NGAF下一代防火墻方案白皮書

1、 NGAF 下一代防火墻方案白皮書目 錄 HYPERLINK l _TOC_250019 概述4 HYPERLINK l _TOC_250018 深信服下一代防火墻核心價(jià)值5 HYPERLINK l _TOC_250017 全程保護(hù)5 HYPERLINK l _TOC_250016 全程可視7 HYPERLINK l _TOC_250015 主要功能介紹8 HYPERLINK l _TOC_250014 系統(tǒng)架構(gòu)設(shè)計(jì)8 HYPERLINK l _TOC_250013 基礎(chǔ)防火墻特性11 HYPERLINK l _TOC_250012 事前風(fēng)險(xiǎn)預(yù)知13 HYPERLINK l _TOC_2500

2、11 事中安全防護(hù)18 HYPERLINK l _TOC_250010 事后檢測(cè)及響應(yīng)31 HYPERLINK l _TOC_250009 部署模式33 HYPERLINK l _TOC_250008 網(wǎng)關(guān)模式33 HYPERLINK l _TOC_250007 網(wǎng)橋模式34 HYPERLINK l _TOC_250006 旁路模式36 HYPERLINK l _TOC_250005 雙機(jī)模式37 HYPERLINK l _TOC_250004 市場(chǎng)表現(xiàn)39 HYPERLINK l _TOC_250003 高速增長(zhǎng)，年復(fù)合增長(zhǎng)超 70%39 HYPERLINK l _TOC_250002 眾多

3、權(quán)威機(jī)構(gòu)一致認(rèn)可40 HYPERLINK l _TOC_250001 為客戶需求而持續(xù)創(chuàng)新40 HYPERLINK l _TOC_250000 關(guān)于深信服40概述近幾年來(lái)，隨著互聯(lián)網(wǎng)+、業(yè)務(wù)數(shù)字化轉(zhuǎn)型的深入推進(jìn)，各行各業(yè)都在加速往互聯(lián)網(wǎng)化、 數(shù)字化轉(zhuǎn)型。業(yè)務(wù)越來(lái)越多的向公眾、合作伙伴，第三方機(jī)構(gòu)等開放，在數(shù)字化業(yè)務(wù)帶給我們高效和便捷的同時(shí)，信息暴露面的增加，網(wǎng)絡(luò)邊界的模糊化以及黑客攻擊的產(chǎn)業(yè)化使得網(wǎng)絡(luò)安全事件相較以往成指數(shù)級(jí)的增加，面對(duì)應(yīng)對(duì)層出不窮的新型安全事件如網(wǎng)站被篡改，被掛黑鏈，0 day 漏洞利用，數(shù)據(jù)竊取，僵尸網(wǎng)絡(luò)，勒索病毒等等，傳統(tǒng)安全建設(shè)模式已經(jīng)捉襟見肘，面臨著巨大的挑戰(zhàn)。問(wèn)題一

4、：傳統(tǒng)信息安全建設(shè)，以事中防御為主。缺乏事前的風(fēng)險(xiǎn)預(yù)知，事后的持續(xù)檢 測(cè)及響應(yīng)能力傳統(tǒng)意義上的安全建設(shè)無(wú)論采用的是多安全產(chǎn)品疊加方案還是采用 UTM/NGFW+WAF 的整合類產(chǎn)品解決方案，關(guān)注的重點(diǎn)都在于如何防護(hù)資產(chǎn)在被攻擊過(guò)程中不被黑客入侵成功，但是并不具備對(duì)于資產(chǎn)的事前風(fēng)險(xiǎn)預(yù)知和事后檢測(cè)響應(yīng)的能力，從業(yè)務(wù)風(fēng)險(xiǎn)的生命周期來(lái)看， 僅僅具備事中的防護(hù)是不完整的，如果能在事前做好預(yù)防措施以及在時(shí)候提高檢測(cè)和響應(yīng)的能力，安全事件發(fā)生產(chǎn)生的不良影響會(huì)大幅度降低，所以未來(lái)，融合安全將是安全建設(shè)發(fā)展的趨勢(shì)。問(wèn)題二：傳統(tǒng)安全建設(shè)是拼湊的事中防御，缺乏有效的聯(lián)動(dòng)分析和防御機(jī)制傳統(tǒng)安全建設(shè)方案，搜集到的都是不

5、同產(chǎn)品碎片化的攻擊日志信息，只能簡(jiǎn)單的統(tǒng)計(jì)報(bào) 表展示，并不能結(jié)合業(yè)務(wù)形成有效的資產(chǎn)安全狀態(tài)分析。另外在防護(hù)機(jī)制上只能依賴靜態(tài)的 防御策略進(jìn)行防護(hù)，無(wú)法及時(shí)應(yīng)對(duì)業(yè)務(wù)發(fā)生的變化，不同安全設(shè)備之間也無(wú)法形成有效的聯(lián) 動(dòng)封鎖機(jī)制，不僅投資高，運(yùn)維方面也難管理。深信服下一代防火墻安全理念深信服通過(guò)對(duì)以上問(wèn)題的思考進(jìn)行了下一代防火墻的產(chǎn)品設(shè)計(jì)，對(duì)下一代防火墻賦予了 風(fēng)險(xiǎn)預(yù)知、深度安全防護(hù)、檢測(cè)響應(yīng)的能力，最終形成了全程保護(hù)、全程可視的融合安全體 系。融合不是單純的功能疊加，而是依照業(yè)務(wù)開展過(guò)程中會(huì)遇到的各類風(fēng)險(xiǎn)，所提供的對(duì)應(yīng)安全技術(shù)手段的融合，能夠?yàn)闃I(yè)務(wù)提供全流程的保護(hù)，融合安全包括從事前的資產(chǎn)風(fēng)險(xiǎn)發(fā)現(xiàn)，

6、 策略有效性檢測(cè)，到事中所應(yīng)具備的各類安全防御手段以及事后的持續(xù)檢測(cè)和快速響應(yīng)機(jī)制，并將這一過(guò)程中所有的相關(guān)信息通過(guò)多種方式呈現(xiàn)給給用戶。深信服下一代防火墻核心價(jià)值全程保護(hù)事前預(yù)知：資產(chǎn)/脆弱性/策略有效性深信服 NGAF 能夠在事前對(duì)內(nèi)部的服務(wù)器進(jìn)行自動(dòng)識(shí)別，并且還能自動(dòng)識(shí)別服務(wù)器上開放端口和存在的漏洞，弱密碼等風(fēng)險(xiǎn)，同時(shí)還能判斷識(shí)別出的資產(chǎn)是否有對(duì)應(yīng)的安全防護(hù)策 略以及是否生效。事中防御：完整的防御體系+安全聯(lián)動(dòng)+威脅情報(bào)深信服NGAF 在事中防御層面融合了多種安全技術(shù)，提供了L2-7 層完整的安全防御體系， 確保安全防護(hù)不存在短板，同時(shí)還能通過(guò)安全聯(lián)動(dòng)功能加強(qiáng)防御體系的時(shí)效性和有效性，包

7、括模塊間的聯(lián)動(dòng)封鎖，同云端安全聯(lián)動(dòng)，策略的智能聯(lián)動(dòng)等。此外，深信服 NGAF 還廣泛的開展第三方安全機(jī)構(gòu)合作，通過(guò)國(guó)家漏洞信息庫(kù)，谷歌 Virustotal 惡意鏈接庫(kù)等多來(lái)源威脅情報(bào)的輸入，幫助用戶能夠在安全事件爆發(fā)之前就提前做好防御的準(zhǔn)備。事后檢測(cè)&響應(yīng)：威脅行為的持續(xù)檢測(cè)&快速響應(yīng)傳統(tǒng)安全建設(shè)主要集中在邊界安全防御，缺乏對(duì)繞過(guò)安全防御措施后的檢測(cè)及響應(yīng)能 力，如果能做好事后的檢測(cè)及響應(yīng)措施，可以極大程度降低安全事件產(chǎn)生的影響。深信服NGAF 融合了事后檢測(cè)及快速響應(yīng)技術(shù)，即使在黑客入侵之后，也能夠幫助用戶及時(shí)發(fā)現(xiàn)入侵后的惡意行為，如檢測(cè)僵尸主機(jī)發(fā)起的惡意行為，網(wǎng)頁(yè)篡改，網(wǎng)站黑鏈植入及網(wǎng)站

8、Webshell 后門檢測(cè)等，并快速推送告警事件，協(xié)助用戶進(jìn)行響應(yīng)處置。全程可視事前對(duì)安全風(fēng)險(xiǎn)的認(rèn)知清晰了解資產(chǎn)脆弱性快速發(fā)現(xiàn)策略有效性事中對(duì)保護(hù)過(guò)程的認(rèn)知攻擊事件匹配不同攻擊階段事后對(duì)保護(hù)結(jié)果的認(rèn)知基于信息資產(chǎn)維度的安全現(xiàn)狀展示綜合風(fēng)險(xiǎn)報(bào)表主要功能介紹系統(tǒng)架構(gòu)設(shè)計(jì)深信服下一代防火墻構(gòu)筑在 64 位多核并發(fā)，高速硬件平臺(tái)之上，采用自主研發(fā)的并行操作系統(tǒng)（Sangfor OS），將轉(zhuǎn)發(fā)平面、安全平面并行運(yùn)行在多核平臺(tái)上。多平面并發(fā)處理， 緊密協(xié)作，極大的提升了網(wǎng)絡(luò)數(shù)據(jù)包的安全處理性能。控制平面負(fù)責(zé)整個(gè)系統(tǒng)各平面、各模塊間的監(jiān)控和協(xié)調(diào)工作，此平面包括配置存儲(chǔ)、配置下發(fā)、 控制臺(tái) UI、數(shù)據(jù)中心等功

9、能。轉(zhuǎn)發(fā)平面負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，此平面包括路由子系統(tǒng)、網(wǎng)橋子系統(tǒng)、鄰居系統(tǒng)、VPN、NAT、撥號(hào)等功能。安全平面負(fù)責(zé)安全功能的協(xié)調(diào)運(yùn)行，采用一次解析引擎，一次掃描便可識(shí)別出各種威脅和攻擊， 此平面包括入侵防御、WEB 應(yīng)用防護(hù)、實(shí)時(shí)漏洞分析、僵尸網(wǎng)絡(luò)、數(shù)據(jù)防泄密、內(nèi)容過(guò)濾、防病毒等功能。分離平面設(shè)計(jì)深信服下一代防火墻通過(guò)軟件設(shè)計(jì)將網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)處理進(jìn)行分離，在底層以應(yīng) 用識(shí)別模塊為基礎(chǔ)，對(duì)所有網(wǎng)卡接收到的數(shù)據(jù)進(jìn)行識(shí)別，再通過(guò)抓包驅(qū)動(dòng)把需要處理的應(yīng)用 數(shù)據(jù)報(bào)文抓取到應(yīng)用層。若應(yīng)用層發(fā)生數(shù)據(jù)處理失敗的情況，也不會(huì)影響到網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn) 發(fā)，從而實(shí)現(xiàn)高效、可靠的數(shù)據(jù)報(bào)文處理。多核并行處理深

10、信服下一代防火墻的設(shè)計(jì)不僅采用了多核的硬件架構(gòu)，在計(jì)算指令設(shè)計(jì)上還采用了先 進(jìn)的無(wú)鎖并行處理技術(shù)，能夠?qū)崿F(xiàn)多流水線同時(shí)處理，成倍提升系統(tǒng)吞吐量，在多核系統(tǒng)下 性能表現(xiàn)十分優(yōu)異，是真正的多核并行處理架構(gòu)。單次解析架構(gòu)深信服下一代防火墻采用單次解析架構(gòu)實(shí)現(xiàn)報(bào)文的一次解析一次匹配，有效提升了應(yīng)用 層效率。實(shí)現(xiàn)單次解析技術(shù)的一個(gè)關(guān)鍵要素就是軟件架構(gòu)設(shè)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)層、應(yīng)用層的平面分 離，將數(shù)據(jù)通過(guò)“0”拷貝技術(shù)提取到應(yīng)用平面上實(shí)現(xiàn)威脅特征的統(tǒng)一解析和統(tǒng)一檢測(cè)，減少冗余的數(shù)據(jù)包封裝，實(shí)現(xiàn)高性能的數(shù)據(jù)處理。跳躍式掃描技術(shù)深信服下一代防火墻利用多年積累的應(yīng)用識(shí)別技術(shù)，在內(nèi)核驅(qū)動(dòng)層面通過(guò)私有協(xié)議將所有經(jīng)過(guò)下一代防

11、火墻的數(shù)據(jù)包都打上應(yīng)用的標(biāo)簽。當(dāng)數(shù)據(jù)包被提取到內(nèi)容檢測(cè)平面進(jìn)行檢測(cè) 時(shí)，設(shè)備會(huì)找到對(duì)應(yīng)的應(yīng)用威脅特征，通過(guò)使用跳躍式掃描技術(shù)跳過(guò)無(wú)關(guān)的應(yīng)用威脅檢測(cè)特 征，減少無(wú)效掃描，提升掃描效率。比如：流量被識(shí)別為 HTTP 流量，那么 FTP server 的相關(guān)漏洞攻擊特征便不會(huì)對(duì)系統(tǒng)造成威脅，便可以暫時(shí)跳過(guò)檢測(cè)進(jìn)行轉(zhuǎn)發(fā)，提升轉(zhuǎn)發(fā)的效率。Sangfor Regex 正則引擎正則表達(dá)式是一種識(shí)別特定模式數(shù)據(jù)的方法，它可以準(zhǔn)確識(shí)別網(wǎng)絡(luò)中的攻擊。經(jīng)深信服安全專家研究發(fā)現(xiàn)，業(yè)界已有的正則表達(dá)式匹配方法的速度一般比較慢，制約了下一代防火墻的整機(jī)速度的提高。為此，深信服設(shè)計(jì)并實(shí)現(xiàn)了全新的 Sangfor Regex

12、 正則引擎，將正則表達(dá)式的匹配速度提高到數(shù)十 Gbps，比 PCRE 和 Google 的 RE2 等知名引擎快數(shù)十倍，達(dá)到業(yè)內(nèi)較高水平。深信服下一代防火墻的 Sangfor Regex 大幅降低了 CPU 占用率，有效提高了 NGAF 的整機(jī)吞吐，從而能夠更高速地處理客戶的業(yè)務(wù)數(shù)據(jù)，該項(xiàng)技術(shù)尤其適用于對(duì)每秒吞吐量要求特 別高的場(chǎng)景，如運(yùn)營(yíng)商、電商等。基礎(chǔ)防火墻特性深信服 NGAF 兼容傳統(tǒng)防火墻的所有功能特性，包括交換/路由、訪問(wèn)控制，A-A/A-S 雙機(jī)熱備、軟硬件 Bypass、系統(tǒng)管理、日志報(bào)表、會(huì)話管理、抗 DDoS 攻擊、應(yīng)用代理、DHCP/DNS 等等。PPPoE通過(guò) ADSL

13、接入 Internet 已經(jīng)成為越來(lái)越多中小企業(yè)的選擇，而 ADSL 需要撥號(hào)以后才能獲得 IP 地址。深信服 NGAF 支持 PPPoE 協(xié)議，作為 PPPoE Client 端完成與 PPPoE Server 建立連接和地址獲取，通過(guò)設(shè)置用戶名和口令即可支持 ADSL 接入，獲得動(dòng)態(tài) IP 地址、網(wǎng)關(guān)及 DNS 地址，自動(dòng)完成撥號(hào)過(guò)程，接入 Internet 網(wǎng)絡(luò)。解決中小企業(yè)上網(wǎng)問(wèn)題。NAT 地址轉(zhuǎn)換支持靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（Static NAT）和動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（Dynamic NAT），實(shí)現(xiàn)內(nèi)網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址后進(jìn)行網(wǎng)絡(luò)通信。支持目的 NAT，將對(duì)外網(wǎng)地址的訪問(wèn)映射為對(duì)內(nèi)網(wǎng)地址訪問(wèn)，

14、支持將對(duì)一個(gè)公網(wǎng)地址的訪問(wèn)映射為內(nèi)網(wǎng)多個(gè)地址，實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器的負(fù)載均衡 訪問(wèn)，同時(shí)支持目的端口轉(zhuǎn)換。IPv6/IPv4 雙協(xié)議棧支持 IPv6 安全控制策略設(shè)置，能針對(duì) IPV6 的目的/源地址、目的/源服務(wù)端口、服務(wù)、等條件進(jìn)行安全訪問(wèn)規(guī)則的設(shè)置；支持 IPv6 靜態(tài)路由；支持雙棧、6to4 及 6in4 隧道實(shí)現(xiàn)IPv6 網(wǎng)絡(luò)與 IPv4 網(wǎng)絡(luò)訪問(wèn)等。深信服 NGAF 產(chǎn)品已獲 IPv6-Ready 認(rèn)證。VPN深信服 NGAF 根據(jù)企業(yè) VPN 常見使用場(chǎng)景，支持多種 VPN 隧道業(yè)務(wù)，包括 IPSec、GRE、SSL、L2TP VPN 等。用戶可通過(guò) GRE、IPSec 或 SSL V

15、PN 隧道實(shí)現(xiàn)分公司與總部之間的數(shù)據(jù)安全傳輸，通過(guò) SSL 或 L2TP VPN 隧道實(shí)現(xiàn) PC 以及移動(dòng)客戶端與總部之間的數(shù)據(jù)安全傳輸； 支持多種隧道模式，即可以讓用戶通過(guò)七層 Web 鏈接進(jìn)行內(nèi)網(wǎng)資源的快速訪問(wèn)，又可以讓用戶通過(guò)三層隧道實(shí)現(xiàn)任意內(nèi)網(wǎng)應(yīng)用資源的便捷使用。鏈路聚合鏈路聚合（Link Aggregation），是指將多個(gè)物理接口捆綁在一起，成為一個(gè)邏輯接口，以實(shí)現(xiàn)出/入流量在各成員接口中的負(fù)荷分擔(dān)。SANGFOR NGAF 根據(jù)用戶配置的端口負(fù)荷分擔(dān)策略(主備、負(fù)載均衡-hash、負(fù)載均衡-RR) 決定報(bào)文從哪一個(gè)成員接口發(fā)送到下一跳地址。當(dāng)交換機(jī)檢測(cè)到其中一個(gè)成員接口鏈路發(fā)生

16、故障時(shí)，就停止在此接口上發(fā)送報(bào)文，并根據(jù)負(fù)荷分擔(dān)策略在剩下接口鏈路中重新計(jì)算報(bào)文 發(fā)送的接口。故障接口恢復(fù)后會(huì)再次重新計(jì)算報(bào)文發(fā)送接口。鏈路聚合在增加鏈路帶寬（如果一個(gè)接口 1G 帶寬，另外一個(gè)接口也是 1G 帶寬，如果把這兩個(gè)接口聚合成一個(gè)邏輯接口，理論上這個(gè)邏輯接口的帶寬就是 2G。）實(shí)現(xiàn)鏈路傳輸彈性和冗余等方面是一項(xiàng)很重要的技術(shù)。路由功能深信服 NGAF 可以實(shí)現(xiàn)靜態(tài)路由、默認(rèn)路由、浮動(dòng)靜態(tài)路由等基礎(chǔ)功能，同時(shí)能夠?qū)崿F(xiàn)如 BGP、RIP、OSPF 等動(dòng)態(tài)路由協(xié)議，并更好地支持策略路由、多播路由等功能。事前風(fēng)險(xiǎn)預(yù)知資產(chǎn)自動(dòng)發(fā)現(xiàn)深信服 NGAF 為幫助保護(hù)用戶快速管理資產(chǎn)，避免安全防護(hù)策略的

17、遺漏實(shí)現(xiàn)了基于流量檢測(cè)的資產(chǎn)自動(dòng)發(fā)現(xiàn)功能，可以通過(guò)流經(jīng)流量的 IP 地址檢測(cè)及端口檢測(cè)快速發(fā)現(xiàn)自身資產(chǎn)， 幫助用戶進(jìn)行策略的有效配置。對(duì)于網(wǎng)絡(luò)中的流量，我們可以通過(guò)是否與知名 DNS 服務(wù)器連接、是否訪問(wèn)知名網(wǎng)站、是否有被搜索引擎進(jìn)行檢測(cè)等算法來(lái)判定哪些是內(nèi)網(wǎng)主機(jī)。在通過(guò)端口的鏈接情況，記錄開 放的端口情況，幫助用戶了解自身網(wǎng)路情況。Web 掃描深信服 NGAF 的 WEB 掃描器是深信服結(jié)合多年來(lái)在 web 應(yīng)用安全上的研究成果，基于大量信息安全事件應(yīng)急響應(yīng)的豐富經(jīng)驗(yàn)下開發(fā)出的一款安全掃描器，該掃描器旨在幫助廣大用 戶對(duì) web 服務(wù)器網(wǎng)站進(jìn)行深度的安全掃描，指紋識(shí)別，漏洞驗(yàn)證，全面預(yù)知 w

18、eb 應(yīng)用系統(tǒng)的安全現(xiàn)狀，并提供專業(yè)的安全加固建議。豐富的掃描插件支持 SQL 注入，XSS 跨站腳本攻擊，目錄遍歷，CSRF 跨站請(qǐng)求偽造，遠(yuǎn)程文件包含，命令注入，敏感信息泄露，Struct 2 漏洞等眾多掃描插件，覆蓋所有 OWASP TOP10 高危漏洞， 保證全面深入的 WEB 網(wǎng)站掃描效果。智能網(wǎng)站指紋識(shí)別支持對(duì) web 網(wǎng)站服務(wù)器操作系統(tǒng)類型：Apache，IIS，Tomcat，Nginx，Weblogic 等服務(wù)器/中間件類型；php/jsp/asp/c#/.net/python 等網(wǎng)站語(yǔ)言類型進(jìn)行自動(dòng)識(shí)別，并和CVE/CNNVD 漏洞庫(kù)智能關(guān)聯(lián)分析。專家級(jí)漏洞分析和修復(fù)建議為幫

19、助廣大 web 管理人員輕易讀懂和掌握專業(yè)性較強(qiáng)的安全報(bào)告內(nèi)容，告別晦澀難懂的漏洞掃描報(bào)告，深信服 WEB 掃描器檢測(cè)報(bào)告對(duì)漏洞進(jìn)行了非常詳細(xì)和介紹和漏洞危害說(shuō)明， 并將安全檢查過(guò)程中發(fā)送的 payload 測(cè)試報(bào)文進(jìn)行高亮顯示，web 管理人員通過(guò)高亮顯示部分的信息，即能輕易初步掌握漏洞原因。風(fēng)險(xiǎn)分析提供主動(dòng)掃描功能，通過(guò)檢查防火墻配置，幫助管理員分析服務(wù)器開放的端口和存在的風(fēng)險(xiǎn)，并對(duì)掃描結(jié)果提供對(duì)應(yīng)防護(hù)操作，如漏洞防護(hù)，端口屏蔽等來(lái)方便用戶進(jìn)行安全防護(hù)。端口掃描對(duì)用戶指定的服務(wù)器 IP，端口進(jìn)行掃描，告知用戶該服務(wù)器開放了那些端口和服務(wù)漏洞分析針對(duì)端口掃描結(jié)果對(duì)開放的端口和服務(wù)進(jìn)行風(fēng)險(xiǎn)分析

20、，告知用戶服務(wù)器存在的漏洞，并根據(jù)防火墻配置告知用戶現(xiàn)存風(fēng)險(xiǎn)的防護(hù)狀態(tài)。 弱密碼探測(cè)提供內(nèi)置和自定義弱密碼庫(kù)，對(duì)用戶指定的服務(wù)器進(jìn)行弱密碼探測(cè)，分析服務(wù)器是否存 在弱密碼風(fēng)險(xiǎn)。策略防護(hù)提供防護(hù)操作按鈕，通過(guò)新增防火墻配置，對(duì)服務(wù)器存在的風(fēng)險(xiǎn)進(jìn)行防護(hù)。實(shí)時(shí)漏洞分析深信服 NGAF 實(shí)時(shí)漏洞分析系統(tǒng)實(shí)時(shí)旁路地檢測(cè)經(jīng)過(guò)設(shè)備的應(yīng)用流量，對(duì)流量進(jìn)行對(duì)應(yīng)的應(yīng)用解析，對(duì)解析后的應(yīng)用數(shù)據(jù)匹配實(shí)時(shí)漏洞分析識(shí)別庫(kù)，發(fā)現(xiàn)服務(wù)器存在漏洞。旁路檢測(cè)實(shí)時(shí)漏洞分析采用的是旁路檢測(cè)技術(shù)，即將待檢測(cè)的數(shù)據(jù)包鏡像一份到待檢測(cè)隊(duì)列，檢 測(cè)進(jìn)程對(duì)檢測(cè)的數(shù)據(jù)包進(jìn)行掃描檢測(cè)，對(duì)原有數(shù)據(jù)包的轉(zhuǎn)發(fā)不會(huì)造成任何性能影響。強(qiáng)大的漏洞特征庫(kù)實(shí)時(shí)漏

21、洞分析所使用的漏洞特征庫(kù)由深信服北京研究中心安全專家針對(duì)目前流行的軟件、系統(tǒng)等漏洞提取特征，形成庫(kù)并快速的更新到 NGAF 設(shè)備，保證識(shí)別出網(wǎng)絡(luò)中出現(xiàn)的較新漏洞。威脅情報(bào)預(yù)警與處置在云端通過(guò)安全事件響應(yīng)分析模塊自動(dòng)對(duì)安全事件進(jìn)行及時(shí)的響應(yīng)和分析，產(chǎn)出安全事 件的危害描述、漏洞特征、攻擊特征和防護(hù)策略，網(wǎng)關(guān)設(shè)備通過(guò)更新機(jī)制把安全事件更新包 更新到本地，并通過(guò)控制臺(tái)彈窗的方式告知用戶當(dāng)前的安全事件和危害，本地掃描器針對(duì)漏 洞特征對(duì)當(dāng)前防護(hù)的業(yè)務(wù)系統(tǒng)進(jìn)行全面掃描分析定位是否存在此安全事件漏洞。如果本地存 在安全漏洞，則通過(guò)安全引擎對(duì)此漏洞的安全攻擊特征進(jìn)行防護(hù)，并且通過(guò)自動(dòng)化生成安全 防護(hù)策略的方式

22、幫助用戶達(dá)到全面有效防護(hù)此安全事件的目的。在對(duì)此安全事件完成安全防 護(hù)后，本地掃描器還會(huì)再次掃描評(píng)估是否全面有效的防護(hù)了此安全事件。原理流程如下：策略有效性識(shí)別深信服 NGAF 通過(guò)三個(gè)維度實(shí)現(xiàn)了策略有效性檢測(cè)：通過(guò)監(jiān)測(cè)流量進(jìn)行發(fā)現(xiàn)，判定是否對(duì)設(shè)備與業(yè)務(wù)系統(tǒng)之間進(jìn)行了策略配置實(shí)現(xiàn)檢測(cè)、防 御、響應(yīng)；通過(guò)策略的對(duì)比檢查，發(fā)現(xiàn)是否存在無(wú)效策略、策略沖突、策略配置不當(dāng)?shù)葐?wèn)題；通過(guò)規(guī)則庫(kù)的版本檢測(cè)，高危 0day 預(yù)警是否開啟等方式判定設(shè)備是否具備新威脅的防御能力。事中安全防護(hù)智能控制深信服 NGAF 除了能實(shí)現(xiàn)等同于傳統(tǒng)防火墻的訪問(wèn)控制功能之外還能實(shí)現(xiàn)基于應(yīng)用及地域的訪問(wèn)控制，幫助用戶更好的進(jìn)行精準(zhǔn)

23、控制。應(yīng)用控制傳統(tǒng)防火墻的訪問(wèn)控制或者流量管理粒度粗放，只能基于 IP/端口號(hào)對(duì)數(shù)據(jù)流量進(jìn)行一刀切式的禁止或允許。深信服下一代防火墻基于更好的應(yīng)用和用戶識(shí)別能力，對(duì)數(shù)據(jù)流量和訪問(wèn)來(lái)源進(jìn)行精細(xì)化辨識(shí)和分類，使得用戶可以輕易從同一個(gè)端口協(xié)議的數(shù)據(jù)流量中辨識(shí)出 任意多種不同的應(yīng)用，或從無(wú)意無(wú)序的 IP 地址中辨識(shí)出有意義的用戶身份信息，從而針對(duì)識(shí)別出的應(yīng)用和用戶施加細(xì)粒度、有區(qū)別的訪問(wèn)控制策略、流量管理策略和安全掃描策略， 保障了用戶更直接、準(zhǔn)確、精細(xì)的管理愿望和控制訴求。例如：允許HTTP 網(wǎng)頁(yè)訪問(wèn)順利進(jìn)行，并且保證高訪問(wèn)帶寬，但是不允許同樣基于 HTTP 協(xié)議的視頻流量通過(guò)；允許通過(guò) QQ 進(jìn)行

24、即時(shí)通訊，但是不允許通過(guò) QQ 傳輸文件；允許郵件傳輸，但需要進(jìn)行防病毒或明個(gè)信息過(guò)濾，如發(fā)現(xiàn)有病毒入侵或泄密事件馬上阻斷；等等。地域訪問(wèn)控制地域訪問(wèn)控制主要是通過(guò)對(duì)訪問(wèn)者的 IP 地址進(jìn)行歸屬地判斷，判斷所屬國(guó)家或地區(qū)是否能夠?qū)I(yè)務(wù)進(jìn)行訪問(wèn)。SANGFOR NGAF 內(nèi)置了一個(gè)全球的 IP 地址庫(kù)，并定期更新。地址庫(kù)由三部分組成：黑名單、白名單和全球地址庫(kù)，用戶可以在 WEBUI 上對(duì)此地址庫(kù)配置黑白名單和 IP 歸屬地糾錯(cuò)。具體訪問(wèn)控制流程如下：一、訪問(wèn)者的 IP 首先會(huì)根據(jù) IP 黑名單進(jìn)行匹配，如果此 IP 是黑名單的 IP 則直接拒絕訪問(wèn)；二、根據(jù) IP 白名單進(jìn)行匹配，如果此 IP

25、 是白名單的 IP 則直接允許訪問(wèn)；三、如果不在黑白名單中，則通過(guò) IP 地址庫(kù)進(jìn)行匹配，得出此 IP 的歸屬地（那個(gè)國(guó)家或地區(qū)），然后根據(jù)用戶配置的此國(guó)家或是地區(qū)的訪問(wèn)策略進(jìn)行拒絕或允許訪問(wèn)。基于漏洞的安全防護(hù)深信服 NGAF 的威脅分析引擎具備 4000+條漏洞特征庫(kù)、3000+Web 應(yīng)用威脅特征庫(kù)，可以全面識(shí)別各種應(yīng)用層和內(nèi)容級(jí)別的單一安全威脅；另外，深信服憑借在應(yīng)用層領(lǐng)域 10 年以上的技術(shù)積累，組建了專業(yè)的安全攻防團(tuán)隊(duì)，可以為用戶定期提供較新的威脅特征庫(kù)更新， 以確保防御的及時(shí)性。安全團(tuán)隊(duì)定期更新深信服安全團(tuán)隊(duì)對(duì)于網(wǎng)絡(luò)中不斷發(fā)現(xiàn)的攻擊形式進(jìn)行解析，通過(guò)后端的專家團(tuán)隊(duì)對(duì)攻擊的不斷解析

26、發(fā)現(xiàn)其中的攻擊特征，并將攻擊特征整理歸納填充到現(xiàn)有的特征庫(kù)中為用戶定期進(jìn)行更新，當(dāng)遇到重大安全威脅時(shí)深信服的安全團(tuán)隊(duì)會(huì)同時(shí)發(fā)布威脅預(yù)警并進(jìn)行實(shí)時(shí)更新， 幫助用戶抵御較新的安全威脅。在線設(shè)備全網(wǎng)聯(lián)動(dòng)深信服 NGAF 為滿足對(duì)新威脅防御的需求，讓用戶以最快的速度具備防御新威脅的能力， 實(shí)現(xiàn)了安全云與在線設(shè)備的聯(lián)動(dòng)。通過(guò)云端收集上萬(wàn)臺(tái)在線設(shè)備的未知威脅進(jìn)行分析，并將分析結(jié)果發(fā)送給所有的深信服 NGAF，使得用戶具備防御最新威脅的能力。多家機(jī)構(gòu)共享特征以目前網(wǎng)絡(luò)攻擊的更新速度來(lái)看，單一廠商很難實(shí)現(xiàn)對(duì)最新威脅的實(shí)時(shí)更新。為了更好 的服務(wù)客戶，深信服通過(guò)與 CNCERT、Google virus tota

27、l 等十余家權(quán)威機(jī)構(gòu)的合作來(lái)實(shí)現(xiàn)共享威脅情報(bào)，幫助用戶接收到多方位的信息，實(shí)現(xiàn)對(duì)新威脅的有效防御。在線沙盒未知檢測(cè)在對(duì)已知威脅具備了防御能力之后，為了彌補(bǔ)固定特征庫(kù)防御方面會(huì)有遺漏的問(wèn)題，深 信服提供了云端在線的沙盒檢測(cè)功能。通過(guò)沙盒環(huán)境下未知流量的運(yùn)行來(lái)監(jiān)測(cè)系統(tǒng)環(huán)境的變 化，提取相關(guān)參數(shù)變化形成分析結(jié)果，確定威脅類型并將結(jié)果下發(fā)的設(shè)備端。同時(shí)深信服內(nèi)部每周也會(huì)通過(guò)云端在線沙盒收集流量來(lái)進(jìn)行分析，用以填充設(shè)備特征庫(kù)。精準(zhǔn)分類的防護(hù)策略考慮到針對(duì)主機(jī)和終端的不同操作系統(tǒng)或者軟件攻擊時(shí)所要利用漏洞的不同，深信服NGAF 對(duì)此問(wèn)題將防護(hù)策略分為了針對(duì)客戶端和服務(wù)器端兩種類型，使得使用可以根據(jù)自己的使

28、用場(chǎng)景進(jìn)行快速選擇，讓防護(hù)更局針對(duì)性。web 層防護(hù)深信服NGAF 能夠有效防護(hù)OWASP 組織提出的 10 大web 安全威脅的主要攻擊，并于 2013 年 1 月獲得了 OWASP 組織頒發(fā)的產(chǎn)品安全功能測(cè)試 4 星評(píng)級(jí)證書（最高評(píng)級(jí)為 5 星，深信服NGAF 為國(guó)內(nèi)同類產(chǎn)品評(píng)分最高）主要功能如：防SQL 注入攻擊SQL 注入攻擊產(chǎn)生的原因是由于在開發(fā) web 應(yīng)用時(shí)，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果， 獲得某些他想得知的數(shù)據(jù)，這就是所謂的 SQL Injection，即 SQL 注入。NGAF 可以通過(guò)高效的

29、URL 過(guò)濾技術(shù)，過(guò)濾 SQL 注入的關(guān)鍵信息，從而有效的避免網(wǎng)站服務(wù)器受到 SQL 注入攻擊。防XSS 跨站腳本攻擊跨站攻擊產(chǎn)生的原理是攻擊者通過(guò)向 Web 頁(yè)面里插入惡意 html 代碼，從而達(dá)到特殊目的。NGAF 通過(guò)先進(jìn)的數(shù)據(jù)包正則表達(dá)式匹配原理，可以準(zhǔn)確地過(guò)濾數(shù)據(jù)包中含有的跨站攻擊的惡意代碼，從而保護(hù)用戶的 WEB 服務(wù)器安全。防 CSRF 攻擊CSRF 即跨站請(qǐng)求偽造，從成因上與 XSS 漏洞完全相同，不同之處在于利用的層次上， CSRF 是對(duì) XSS 漏洞更高級(jí)的利用，利用的核心在于通過(guò) XSS 漏洞在用戶瀏覽器上執(zhí)行功能相對(duì)復(fù)雜的 JavaScript 腳本代碼劫持用戶瀏覽器訪

30、問(wèn)存在 XSS 漏洞網(wǎng)站的會(huì)話，攻擊者可以與運(yùn)行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權(quán)限執(zhí)行惡意操 作。NGAF 通過(guò)先進(jìn)的數(shù)據(jù)包正則表達(dá)式匹配原理，可以確地過(guò)濾數(shù)據(jù)包中含有的 CSRF 的攻擊代碼，防止 WEB 系統(tǒng)遭受跨站請(qǐng)求偽造攻擊。主動(dòng)防御技術(shù)主動(dòng)防御可以針對(duì)受保護(hù)主機(jī)接受的 URL 請(qǐng)求中帶的參數(shù)變量類型，以及變量長(zhǎng)度按照設(shè)定的閾值進(jìn)行自動(dòng)學(xué)習(xí)，學(xué)習(xí)完成后可以抵御各種變形攻擊。另外還可以通過(guò)自定義參數(shù) 規(guī)則來(lái)更準(zhǔn)確的匹配合法 URL 參數(shù)，提高攻擊識(shí)別能力。應(yīng)用信息隱藏NGAF 對(duì)主要的服務(wù)器（WEB 服務(wù)器、FTP 服務(wù)器、郵件服務(wù)器等）反饋信息進(jìn)行了有效的隱

31、藏。防止黑客利用服務(wù)器返回信息進(jìn)行有針對(duì)性的攻擊。如：HTTP 出錯(cuò)頁(yè)面隱藏：用于屏蔽 Web 服務(wù)器出錯(cuò)的頁(yè)面，防止 web 服務(wù)器版本信息泄露、數(shù)據(jù)庫(kù)版本信息泄露、網(wǎng)站絕對(duì)路徑暴露，應(yīng)使用自定義頁(yè)面返回。HTTP(S)響應(yīng)報(bào)文頭隱藏：用于屏蔽 HTTP(S)響應(yīng)報(bào)文頭中特定的字段信息。FTP 信息隱藏：用于隱藏通過(guò)正常 FTP 命令反饋出的 FTP 服務(wù)器信息，防止黑客利用 FTP 軟件版本信息采取有針對(duì)性的漏洞攻擊。URL 防護(hù)Web 應(yīng)用系統(tǒng)中通常會(huì)包含有系統(tǒng)管理員管理界面以便于管理員遠(yuǎn)程維護(hù) web 應(yīng)用系統(tǒng)，但是這種便利很可能會(huì)被黑客利用從而入侵應(yīng)用系統(tǒng)。通過(guò) NGAF 提供的受限

32、 URL 防護(hù)功能，幫助用戶選擇特定 URL 的開放對(duì)象，防止由于過(guò)多的信息暴露于公網(wǎng)產(chǎn)生的威脅。弱口令防護(hù)弱口令被視為眾多認(rèn)證類 web 應(yīng)用程序的普遍風(fēng)險(xiǎn)問(wèn)題，NGAF 通過(guò)對(duì)弱口令的檢查， 制定弱口令檢查規(guī)則控制弱口令廣泛存在于 web 應(yīng)用程序中。同時(shí)通過(guò)時(shí)間鎖定的設(shè)置防止黑客對(duì) web 系統(tǒng)口令的暴力破解。HTTP 異常檢測(cè)通過(guò)對(duì) HTTP 協(xié)議內(nèi)容的單次解析，分析其內(nèi)容字段中的異常，用戶可以根據(jù)自身的 Web 業(yè)務(wù)系統(tǒng)來(lái)量身定造允許的 HTTP 頭部請(qǐng)求方法，有效過(guò)濾其他非法請(qǐng)求信息。文件上傳過(guò)濾由于 web 應(yīng)用系統(tǒng)在開發(fā)時(shí)并沒(méi)有完善的安全控制，對(duì)上傳至 web 服務(wù)器的信息進(jìn)行

33、檢查，從而導(dǎo)致 web 服務(wù)器被植入病毒、木馬成為黑客利用的工具。NGAF 通過(guò)嚴(yán)格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務(wù)器。同時(shí)還能夠結(jié)合病毒 防護(hù)、插件過(guò)濾等功能檢查上傳文件的安全性，以達(dá)到保護(hù) web 服務(wù)器安全的目的。用戶登錄權(quán)限防護(hù)針對(duì)某些特定的敏感頁(yè)面或者應(yīng)用系統(tǒng)，如管理員登陸頁(yè)面等，為了防止黑客訪問(wèn)并不 斷的進(jìn)行登錄密碼嘗試，NGAF 可以提供訪問(wèn) URL 登錄進(jìn)行短信認(rèn)證的方式，提高訪問(wèn)的安全性。緩沖區(qū)溢出檢測(cè)緩沖區(qū)溢出攻擊是利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行動(dòng)?？梢岳盟鼒?zhí)行非授權(quán)指 令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。NGAF 通過(guò)對(duì)

34、URL 長(zhǎng)度，POST 實(shí)體長(zhǎng)度和 HTTP 頭部?jī)?nèi)容長(zhǎng)度檢測(cè)來(lái)防御此類型的攻擊。HTTPS 解密由于 HTTPS 的數(shù)據(jù)是經(jīng)過(guò) SSL 加密處理的，如果不進(jìn)行 HTTPS 解密，SANGFOR NGAF 無(wú)法分析加密數(shù)據(jù)包里面的內(nèi)容，從而也無(wú)法達(dá)到各種攻擊檢測(cè)和防護(hù)的作用，而只能進(jìn)行數(shù) 據(jù)轉(zhuǎn)發(fā)。HTTPS 解密主要是在 SANGFOR NGAF 內(nèi)部實(shí)現(xiàn)了 HTTPS 的代理功能。當(dāng) NGAF 識(shí)別到用戶在與 HTTPS 服務(wù)器建立連接時(shí)，根據(jù)用戶配置的策略，把這條連接的所有數(shù)據(jù)包抓到應(yīng)用層，并用用戶配置的 SSL 證書進(jìn)行 SSL 解密，然后把解密后的數(shù)據(jù)包進(jìn)行各種安全檢測(cè)處理， 如數(shù)據(jù)包

35、無(wú)異常，則再使用用戶配置的 SSL 證書進(jìn)行加密發(fā)送出去。未知威脅檢測(cè)深信服 NGAF 在發(fā)現(xiàn)未知流量時(shí)，將會(huì)主動(dòng)（配置允許的條件下）將未知流量上傳到云端沙盒進(jìn)行未知威脅的檢測(cè)工作。深信服云端沙盒可以通過(guò)監(jiān)測(cè)沙盒環(huán)境下的文件執(zhí)行情 況、異常網(wǎng)絡(luò)行為、注冊(cè)表改動(dòng)等行為來(lái)進(jìn)行未知威脅的判定工作，再通過(guò)特征庫(kù)更新的方式下發(fā)到所有在線的 NGAF 上。深信服目前已經(jīng)有上網(wǎng)臺(tái) NGAF 與云端聯(lián)動(dòng)，每天運(yùn)行大量的未知流量發(fā)現(xiàn)新威脅特征， 用以充實(shí)特征庫(kù)，幫助用戶抵御較新的攻擊行為。防篡改深信服 NGAF 防篡改系統(tǒng)由兩部分組成：深信服 NGAF 和深信服防篡改客戶端?？蛻舳撕拖乱淮阑饓o密結(jié)合，功能聯(lián)

36、動(dòng)，保證網(wǎng)站內(nèi)容不被篡改。先進(jìn)的IRP 流攔截技術(shù)深信服防篡改客戶端采用系統(tǒng)底層文件過(guò)濾技術(shù)，在文件系統(tǒng)上加載防篡改客戶端驅(qū)動(dòng) 程序，攔截分析 IRP（I/O Request Pcaket）流，識(shí)別用戶對(duì)文件系統(tǒng)的所有操作，并根據(jù)防篡改策略對(duì)非法的操作進(jìn)行攔截，以確保受保護(hù)的網(wǎng)站目錄文件不被篡改。客戶端軟件采用目前最流行的 IRF 文件驅(qū)動(dòng)流，通過(guò)在客戶端軟件配置需要保護(hù)的文件目錄和允許修改該目錄的應(yīng)用程序，識(shí)別修改被保護(hù)網(wǎng)站目錄的應(yīng)用程序是否合法；文件驅(qū)動(dòng)檢測(cè)并識(shí)別到非法應(yīng)用程序修改目錄時(shí)，拒絕該應(yīng)用程序的修改動(dòng)作，并記錄行為日志，上報(bào)到 NGAF；客戶端軟件只有連接了 NGAF 才能激活使

37、用，不能獨(dú)立使用；使用客戶端軟件連接NGAF 時(shí)，NGAF 上面須配置一條策略使被保護(hù)服務(wù)器 IP 與客戶端軟件能夠進(jìn)行匹配；網(wǎng)站管理強(qiáng)認(rèn)證深信服 NGAF 對(duì)網(wǎng)站管理進(jìn)行二次認(rèn)證，防止網(wǎng)站管理員因密碼泄露而被篡改，并且對(duì)用戶網(wǎng)站服務(wù)器進(jìn)行 web 防護(hù)，防止網(wǎng)站因 webshell、sql 注入等攻擊被篡改。管理員后臺(tái)管理賬號(hào)密碼泄露，黑客即使知道了管理員賬號(hào)密碼，因?yàn)闊o(wú)法通過(guò) NGAF 的二次驗(yàn)證，因而無(wú)法篡改網(wǎng)站服務(wù)器的目的。黑客入侵到內(nèi)網(wǎng)，控制了一臺(tái)肉雞，想通過(guò)肉雞篡改網(wǎng)站服務(wù)器，深信服防篡改客戶端 發(fā)現(xiàn)管理員的源 IP 地址不合法，并且沒(méi)有通過(guò)授權(quán)，因而也無(wú)法達(dá)到篡改網(wǎng)站服務(wù)器的目的

38、。支持多種網(wǎng)站維護(hù)方式深信服 NGAF 防篡改系統(tǒng)支持 FTP，CMS 等多種網(wǎng)站后臺(tái)管理方式，在對(duì)客戶網(wǎng)站服務(wù)器起到保護(hù)作用的同時(shí)，不會(huì)給管理員帶來(lái)額外的管理負(fù)擔(dān)，做到的真正的簡(jiǎn)單實(shí)用。DDOS 防護(hù)深信服 NGAF 采用自主研發(fā)的 DOS 攻擊算法，可防護(hù)基于數(shù)據(jù)包的 DOS 攻擊、IP 協(xié)議報(bào)文的 DOS 攻擊、TCP 協(xié)議報(bào)文的 DOS 攻擊、基于 HTTP 協(xié)議的 DOS 攻擊等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護(hù)，實(shí)現(xiàn) L2-L7 層的異常流量清洗。SANGFOR NGAF 通過(guò)兩個(gè)檢測(cè)階段進(jìn)行 DDoS 的檢測(cè)和防護(hù)：對(duì)于業(yè)務(wù)數(shù)據(jù)第一階段進(jìn)行 TCP 異常包、

39、IP 選項(xiàng)攻擊、未知 IP 協(xié)議攻擊、IP 分片攻擊、LAND 攻擊、WINNUKE 攻擊、SMURF 攻擊、TCP 選項(xiàng)攻擊、各種 FLOOD 攻擊（包括 SYN FLOOD, ICMP FLOOD, UDP FLOOD, DNS QUERY FLOOD）等 DDoS 檢測(cè)。當(dāng)?shù)谝浑A段中檢測(cè)到 SYN 包頻率過(guò)高時(shí)，將在第二階段對(duì) TCP 連接做 SYN COOKIE 代理，第二階段還進(jìn)行 ICMP 大包攻擊(即ping of death)等檢測(cè)。對(duì)于本機(jī)（訪問(wèn) SANGFOR NGAF 自身）數(shù)據(jù)，DDoS 檢測(cè)模塊會(huì)在第一階段做端口掃描的檢測(cè)（SYN 掃描和 CONNECT 掃描），包括

40、所有的 nmap 掃描：FIN 掃描，NULL 掃描，xmas tree 掃描，UDP 掃描，ACK 掃描，MAIMON 掃描，WINDOWS 掃描，TCP Idle 掃描。而第二階段根據(jù)第一階段的檢測(cè)結(jié)果決定是否做本機(jī)的 syn 代理。病毒防護(hù)深信服 NGAF 采用流模式和啟發(fā)式文件掃描技術(shù)，可對(duì) HTTP、SMTP、POP3、FTP 等多種協(xié)議類型的近百萬(wàn)種病毒進(jìn)行查殺，包括木馬、蠕蟲、宏病毒、腳本病毒等，同時(shí)可對(duì)多線 程并發(fā)、深層次壓縮文件等進(jìn)行有效控制和查殺。多協(xié)議并行解析為了充分利用深信服 NGAF 的多核硬件的架構(gòu)優(yōu)勢(shì)，NGAF 中的協(xié)議解析引擎采用了并行解析架構(gòu)，可以對(duì)包括 HT

41、TP、SMTP、POP3、FTP 等不同的協(xié)議并發(fā)進(jìn)行解析，極大的提高解析效率。內(nèi)存共享殺毒協(xié)議解析引擎和殺毒引擎之間直接通過(guò)共享內(nèi)存?zhèn)鬟f病毒樣本和殺毒結(jié)果，進(jìn)程之間數(shù) 據(jù)交互零拷貝，不會(huì)因?yàn)椴煌骈g的數(shù)據(jù)拷貝導(dǎo)致殺毒效率降低。多進(jìn)程并行查殺殺毒引擎采用深信服 NGAF 自研發(fā)的多進(jìn)程任務(wù)分發(fā)架構(gòu)，利用多核硬件架構(gòu)，可以極大的提高殺毒引擎同時(shí)查殺的病毒樣本數(shù)目。智能學(xué)習(xí)病毒殺毒引擎對(duì)于已經(jīng)查殺過(guò)病毒樣本，將智能的提取樣本特征寫入緩存，當(dāng)協(xié)議解析引擎再次發(fā)起相同的病毒樣本查殺任務(wù)時(shí)，可以快速的返回查殺結(jié)果，從而極大的提高病毒查殺 效率。數(shù)據(jù)防泄密深信服 NGAF 提供可定義的敏感信息防泄漏功能

42、，根據(jù)儲(chǔ)存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過(guò)短信、郵件報(bào)警及連接請(qǐng)求阻斷的方式防止大量的敏感信息被竊取。深信服敏 感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進(jìn)行有效識(shí)別、報(bào)警并阻斷，防止大量 敏感信息被非法泄露。（如：用戶信息/郵箱賬戶信息/MD5 加密密碼/銀行卡號(hào)/身份證號(hào)碼/社保賬號(hào)/信用卡號(hào)/手機(jī)號(hào)碼）深信服 NGAF 數(shù)據(jù)防泄密特征庫(kù)由深信服北京研究中心的安全專家實(shí)時(shí)跟蹤業(yè)界的安全動(dòng)態(tài)，收集軟件的敏感信息特征，提取成特征庫(kù)并實(shí)時(shí)更新到 NGAF。保證 NGAF 能夠及時(shí)的阻斷黑客對(duì)敏感信息的訪問(wèn)，保護(hù)客戶的隱私信息。事后檢測(cè)及響應(yīng)持續(xù)檢測(cè)失陷主機(jī)深信服 NGAF 獨(dú)有的失陷主機(jī)

43、檢測(cè)功能，能夠?qū)崟r(shí)對(duì)外發(fā)流量進(jìn)行檢測(cè)，協(xié)助用戶定位內(nèi)網(wǎng)被黑客控制的服務(wù)器或終端。該功能融合了僵尸網(wǎng)絡(luò)識(shí)別庫(kù)，全球在線的僵尸網(wǎng)絡(luò)榮譽(yù) 庫(kù)，業(yè)界領(lǐng)先的失陷主機(jī)行為識(shí)別技術(shù)對(duì)黑客的攻擊行為進(jìn)行有效識(shí)別，針對(duì)以反彈式木馬 為代表的惡意軟件進(jìn)行深度防護(hù)。同時(shí)結(jié)合多種失陷主機(jī)的行為特征為主機(jī)失陷的概率進(jìn)行評(píng)分，幫助用戶對(duì)問(wèn)題進(jìn)行精 確定位，減少誤判帶來(lái)的運(yùn)維浪費(fèi)。黑鏈檢測(cè)黑客通過(guò)非法手段在 web 服務(wù)器中的的頁(yè)面插入非法鏈接，或者在 web 服務(wù)器中放置存在非法鏈接的頁(yè)面。這些非法鏈就是黑鏈。黑鏈對(duì)客戶造成許多的不良影響：損害網(wǎng)站形象、降低搜索排名、同時(shí)也說(shuō)明客戶網(wǎng)站 存在嚴(yán)重安全隱患。黑鏈檢測(cè)功能實(shí)現(xiàn)

44、識(shí)別客戶的 web 服務(wù)器是否被植入黑鏈。其技術(shù)實(shí)現(xiàn)原理為：先通過(guò)對(duì)經(jīng)過(guò)放火墻的流量進(jìn)行 http 抓包，還原 html 頁(yè)面、js 文檔、以及 css 文檔；然后從黑鏈特征、黑鏈 url、以及黑鏈關(guān)鍵詞、js 跳轉(zhuǎn)等幾個(gè)方面對(duì)黑鏈進(jìn)行檢測(cè)。黑鏈檢測(cè)通過(guò)在線更新機(jī)制，維護(hù)黑鏈 url 庫(kù)和黑鏈關(guān)鍵詞庫(kù)，保證檢測(cè)的有效性和正確性。黑鏈特征檢測(cè)檢測(cè)頁(yè)面中存在標(biāo)簽的塊屬性標(biāo)簽或者等標(biāo)簽是否存在隱藏自我的樣式。 黑鏈 url 檢測(cè)檢測(cè)外鏈標(biāo)簽的跳轉(zhuǎn)目標(biāo)是否為已知的非法站點(diǎn)。 黑鏈關(guān)鍵詞檢測(cè)檢測(cè)外鏈標(biāo)簽和關(guān)鍵詞敏感的標(biāo)簽的內(nèi)容中是否存在常用的黑鏈關(guān)鍵詞。 js 跳轉(zhuǎn)檢測(cè)檢測(cè) js 語(yǔ)法，發(fā)現(xiàn)異常的站點(diǎn)跳

45、轉(zhuǎn)。安全響應(yīng)為了幫助客戶在發(fā)現(xiàn)問(wèn)題后進(jìn)行快速響應(yīng)，避免因延時(shí)處理帶來(lái)更大的危害，深信服NGAF 通過(guò)三個(gè)層面幫助客戶解決網(wǎng)絡(luò)安全問(wèn)題。策略自動(dòng)生成日常運(yùn)維中大多數(shù)用戶每天都會(huì)看到上千條的安全日志，在對(duì)于這些安全問(wèn)題的處理上 如果依靠人工分析那么往往無(wú)法快速有效的策略配置。在對(duì)設(shè)備的配置方面還需要原廠工程 師協(xié)助處理，這個(gè)日常工作帶來(lái)了很大的延誤。深信服 NGAF 通過(guò)基于問(wèn)題的發(fā)現(xiàn)，可自動(dòng)生成響應(yīng)的防護(hù)策略，幫助客戶快速簡(jiǎn)單的實(shí)現(xiàn)策略更新，更快地實(shí)現(xiàn)安全防護(hù)。工具提供對(duì)于失陷主機(jī)的發(fā)現(xiàn)往往可以快速幫助客戶定位問(wèn)題根源，但問(wèn)題發(fā)現(xiàn)后往往帶來(lái)的便 是如何清除的問(wèn)題。深信服 NGAF 自帶僵尸主機(jī)清

46、除工具，幫助客戶簡(jiǎn)易處理失陷主機(jī)，快速清除隱患。云端支持深信服 NGAF 通過(guò)云端在線的安全專家，可以 7*24 小時(shí)的快速協(xié)助用戶處理安全問(wèn)題， 針對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)進(jìn)行安全加固，對(duì)于未知的問(wèn)題進(jìn)行威脅鑒定，通過(guò)人工服務(wù)彌補(bǔ)機(jī)器的智能缺陷。部署模式網(wǎng)關(guān)模式網(wǎng)關(guān)模式是指設(shè)備工作在三層交換模式，NGAF 以網(wǎng)關(guān)模式部署在網(wǎng)絡(luò)中，所有流量都經(jīng)過(guò) NGAF 處理，實(shí)現(xiàn)對(duì)用戶或者服務(wù)器的流量管理、行為控制、安全防護(hù)等功能。作為的出口網(wǎng)關(guān)，NGAF 的安全功能可保障網(wǎng)絡(luò)安全，支持多線路技術(shù)擴(kuò)展出口帶寬，NAT 功能代理內(nèi)網(wǎng)用戶上網(wǎng)、服務(wù)器發(fā)布，實(shí)現(xiàn)路由功能等。部署方式：NGAF 的 WAN 口與廣域網(wǎng)接入

47、線路相連，支持光纖、ADSL 線路或者是路由器；NGAF 的 LAN 口（DMZ 口）同局域網(wǎng)的交換機(jī)相連；內(nèi)網(wǎng) PC 將網(wǎng)關(guān)指向 NGAF 的局域網(wǎng)接口，通過(guò) NGAF 代理上網(wǎng)。網(wǎng)橋模式單網(wǎng)橋模式網(wǎng)橋模式是指設(shè)備工作在二層交換模式，NGAF 以網(wǎng)橋模式部署在網(wǎng)絡(luò)中，如同連接在出口網(wǎng)關(guān)和內(nèi)網(wǎng)交換機(jī)之間的“智能網(wǎng)線”，實(shí)現(xiàn)對(duì)用戶或者服務(wù)器的流量管理、行為控制、 安全防護(hù)等功能。網(wǎng)橋模式適用于不希望更改網(wǎng)絡(luò)結(jié)構(gòu)、路由配置、IP 配置的環(huán)境。部署方式：NGAF 的 WAN 口同出口網(wǎng)關(guān) LAN 口相連，為 NGAF 分配一個(gè)網(wǎng)橋 IP，該 IP 和出口網(wǎng)關(guān) LAN 口在同一網(wǎng)段；LAN 口（DMZ

48、 口）同核心交換機(jī)連接；局域網(wǎng)內(nèi)的任何網(wǎng)絡(luò)設(shè)備和 PC 都不需要更改 IP 地址。多網(wǎng)橋模式考慮到網(wǎng)絡(luò)的穩(wěn)定性、可靠性，往往采用雙機(jī)、雙線路構(gòu)建基礎(chǔ)網(wǎng)絡(luò)。NGAF 支持多路橋接模式，適應(yīng)多機(jī)網(wǎng)絡(luò)環(huán)境要求。在不影響原有雙機(jī)、雙線路前提下，對(duì)流經(jīng) NGAF 的所有數(shù)據(jù)流進(jìn)行控制、攔截、流量管理、安全檢測(cè)等操作。部署方式：通過(guò) NGAF 配置界面，定義兩對(duì)橋接口（WAN1-LAN1，WAN2-LAN2）；為每對(duì)網(wǎng)橋分配 IP 地址。旁路模式NGAF 以旁路模式部署在網(wǎng)絡(luò)中，與交換機(jī)鏡像端口相連，實(shí)施簡(jiǎn)單，完全不影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，降低了網(wǎng)絡(luò)單點(diǎn)故障的發(fā)生率。此時(shí) NGAF 獲得的是鏈路中數(shù)據(jù)的“拷貝”， 主要用于監(jiān)聽、檢測(cè)局域網(wǎng)中的數(shù)據(jù)流及用