深信服下一代防火牆產品

 

NGAF是面向應用層設計，能夠精確識別用戶、應用和內容，具備完整安全防護能力，能夠全面替代傳統防火牆，並具有強勁應用層處理能力的全新網絡安全設備。NGAF解決了傳統安全設備在應用管控、應用可視化、應用內容防護等方面的巨大不足，同時開啟所有功能後性能不會大幅下降。
　　NGAF 不但可以提供基礎網絡安全功能，如狀態檢測、VPN、抗DDoS、NAT等；還實現了統一的應用安全防護，可以針對一個入侵行為中的各種技術手段進行統一的檢測和防護，如應用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。NGAF可以為不同規模的行業用戶的數據中心、廣域網邊界、互聯網邊界等場景提供更加精細、更加全面、更高性能的應用內容防護方案。


更精細的應用層安全控制

當前網絡環境中，應用已成為網絡的主要載體，而網絡安全的威脅更多的來源於應用層，這也使得用戶對於網絡訪問控制提出更高的要求。如何精確的識別出用戶和應用、阻斷有安全隱患的應用、保證合法應用正常使用、防止端口盜用等問題，已成為現階段用戶對網絡安全關注的焦點。但IP不等於用戶、端口不等於應用，傳統防火牆基於IP/端口的五元組訪問控制策略已不能有效的應對現階段網絡環境的巨大變化。 .

NGAF采用獨創的應用可視化技術，可以根據應用的行為和特征實現對應用的識別和控制，而不僅僅依賴於端口或協議，擺脫了傳統設備只能通過IP地址來控制的尴尬，即使加密過的數據流也能應付自如。

　　目前，NGAF可以識別700多種應用及其1000多種應用動作，還可以與多種認證系統（AD、LDAP、Radius等）、應用系統（POP3、SMTP等）無縫對接，自動識別出網絡當中IP地址對應的用戶信息，並建立組織的用戶分組結構；既滿足了普通互聯網邊界行為管控的要求，同時滿足了在內網數據中心和廣域網邊界的部署要求，可以識別和控制豐富的內網應用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等，針對用戶應用系統更新服務的訴求，NGAF還可以精細識別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴格的環境下，，系統軟件更新服務暢通無阻。

　　因此，通過應用可視化技術制定的L3-L7一體化應用訪問控制策略，可以為用戶提供更加精細和直觀化控制界面，在一個界面下完成多套設備的運維工作，提升工作效率。


更全面的內容級安全防護

　　網絡安全與黑客技術的發展使得用戶面臨的威脅不再單單是一個病毒一個木馬、一次DOS攻擊這樣的簡單攻擊。黑客可采用豐富的工具，利用眾多的漏洞，結合多種攻擊手段進行混合型的破壞性攻擊，具有代表性的如Slammer、Blaster等。而信息獲取和攻擊代碼往往也隱藏在正常的應用訪問中，這種混合型安全威脅的出現也給網絡安全建設提出新的要求：需要采用更全面的防護手段，防止安全短板被利用；需要深入到應用內容的安全防護，以識別和預防潛在威脅。 .

　　NGAF融合了漏洞防護、web安全防護、病毒防護等多種安全技術，具備2000+條漏洞特征庫、數十萬條病毒、木馬等惡意內容特征庫、1000+Web應用威脅特征庫，可以全面識別各種應用層和內容級別的各種安全威脅。通過灰度威脅關聯分析技術將數據包還原的內容進行全面的威脅檢測，並可以針對黑客入侵過程中使用的不同攻擊方法進行關聯分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風險的發生。灰度威脅識別技術改變了傳統IPS等設備防御威脅種類單一，威脅檢測經常出現漏報、誤報的問題，可以幫助用戶最大程度減少風險短板的出現，保證業務系統穩定運行。

　　此外，深信服憑借在應用層領域6年以上的技術積累，組建了專業的安全攻防團隊，可以為用戶定期提供最新的威脅特征庫更新，以確保防御的及時性。


更高性能的應用層處理能力

　　性能和安全往往是傳統安全設備是無法權衡的問題。尤其在應用層安全防護功能開啟時，該問題尤為明顯。在帶寬不斷提升、威脅不斷增多的網絡環境下，用戶不得不在兩者做出艱難的選擇。

　　為了實現強勁的應用層處理能力，NGAF拋棄了傳統防火牆NP、ASIC等適合執行網絡層重復計算工作的硬件設計，采用了更加適合應用層靈活計算能力的多核並行處理技術；在系統架構上，NGAF也放棄了UTM多引擎，多次解析的架構，而采用了更為先進的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應用層威脅統一進行檢測匹配，從而提升了工作效率，實現了萬兆級的應用安全防護能力。

.

更完整的安全防護方案

　　只提供基於應用層安全防護功能的方案，並不是一個完整的安全方案。對於用戶來說，還需要采購基礎網絡層的安全設備（FW、VPN），既增加了成本，也增加了組網復雜度、提升了運維難度。從技術角度來說，一個黑客完整的攻擊入侵過程包括了網絡層和應用層、內容級別等多個層次方式方法，如果將這些威脅割裂開處理進行防護，各種防護設備之間缺乏智能的聯動，很容易出現“三不管”的灰色地帶，出現防護真空。

NGAF涵蓋傳統防火牆、IPS的主要功能，內部能夠實現內核級聯動，是一個“L2-L7完整的安全防護產品”。這也是Gartner定義的“額外的防火牆智能”實現的前提，做到真正的內核級聯動，才能為用戶的業務系統提供一個安全防護的“銅牆鐵壁”。

.

.

多種功能融合、縱深安全防御、一體化安全防護

.

技術功能 功能價值 .