产品名称: 深信服下一代防火墙NGAF

产品概要: 深信服AF是一款以应用安全需求出发而设计的下一代应用防火墙。弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷；改善了UTM类设备简单功能堆砌，性能瓶颈的弱点。通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起，提供多功能、高性能的电信级安全设备。与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。

一、更精细的应用层安全控制
      NGAF独创的应用可视化技术，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆脱了过去只能通过IP地址来控制的尴尬，即使加密过的数据流也能应付自如。目前，NGAF的应用可视化引擎不但可以识别700多种的内外网应用及其1000多种应用动作，还可以与多种认证系统（AD、LDAP、Radius等）、应用系统（POP3、SMTP等）无缝对接，自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组结构；既满足了普通互联网边界行为管控的要求，同时还满足了在内网数据中心和广域网边界的部署要求，可以识别和控制丰富的内网应用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。
      因此，通过应用可视化引擎制定的L3-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。
(一）可视化应用识别
      随着网络攻击不断向应用层转移，传统的网络层防火墙已经不能有效实施防护。因此，作为企业网络中最重要的屏障，如何帮助用户实现针对所有应用的可视化变得十分重要。NGAF以精确的应用识别为基础，可以帮助用户恢复对网络中各类流量的掌控，阻断或控制不当操作，根据企业自身状况合理分配带宽资源等。NGAF的应用识别有以下几种方式：
 1）基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的协议，其端口通常是相对稳定,可以根据端口快速识别应用。
 2）基于应用特征码的识别，深入读取IP包载荷的内容中的OSI七层协议中的应用层信息，将解包后的应用信息与后台特征库进行比较来确定应用类型。
 3）基于流量特征的识别，不同的应用类型体现在会话连接或数据流上的状态各有不同，例如，基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等；NGAF基于这一系列流量的行为特征，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。
（二）多种用户识别方式
      网络中的用户并不一定需要平等对待，通常，许多企业策略仅仅是允许某些IP段访问网络及网络资源。NGAF提供基于用户与用户组的访问控制策略，它使管理员能够基于各个用户和用户组（而不是仅仅基于 IP 地址）来查看和控制应用使用情况。在所有功能中均可获得用户信息，包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。

 1、映射组织架构

       NGAF可以按照组织的行政结构建立树形用户分组，将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，NGAF能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便管理员管理。此外，NGAF支持账户自动创建功能，依据管理员分配好的IP段与用户组的对应关系，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC，并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件，将账户导入，实现快捷的创建用户和分组信息。

 2、建立身份认证体系
 本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定
 第三方认证：AD、LDAP、Radius、POP3、PROXY等；
 双因素认证：USB-Key认证；
 单点登录：AD、POP3、Proxy、HTTP POST等；
 强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等）
     丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树形用户分组，映射组织行政结构，实现用户与资源的一一对应。 NGAF支持为未认证通过的用户分配受限的网络访问权限，将通过Web认证的用户重定向至显示指定网页，方便组织管理员发布通知。
（三）一体化应用访问控制策略
     当前的网络环境，IP不等于用户，端口不等于应用。而传统防火墙的基于IP/端口的控制策略就会失效，用户可以轻易绕过这些策略，不受控制的访问互联网资源及数据中心内容，带来巨大的安全隐患。NGAF不仅具备了精确的用户和应用的识别能力，还可以针对每个数据包找出相对应的用户角色和应用的访问权限。通过将用户信息、应用识别有机结合，提供角色为应用和用户的可视化界面，真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制，制定出2-7层一体化基于用户应用的访问控制策略，而不是仅仅看到IP地址和端口信息。在这样的信息帮助下，管理员可以真正把握安全态势，实现有效防御，恢复了对网络资源的有效管控。

 
（四）基于应用的流量管理
      传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发，当用户带宽流量过大、垃圾流量占据大量带宽，而这些流量来源于同一合法端口的不同非法应用时，传统防火墙的QOS便失去意义。NGAF提供基于用户和应用的流量管理功能，能够基于应用做流量控制，实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。NGAF采用了队列流量处理机制：
      首先，将数据流根据各种条件进行分类（如IP地址，URL，文件类型，应用类型等分类，像skype、emule属于P2P类）然后，分类后的数据包被放置于各自的分队列中，每个分类都被分配了一定带宽值，相同的分类共享带宽，当一个分类上的带宽空闲时，可以分配给其他分类，其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽，提高了带宽限制的精确度。最后，在数据包的出口处，每个分类具备一个优先级别，优先级高的队列先发送，当优先级高的队列中的数据包全部发送完毕后，再发送优先级低的。也可以为分队列设置其它排队方法，防止优先级高的队列长期占用网络接口。

1）基于应用/网站/文件类型的智能流量管理

      NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配，如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用，又提升带宽使用效率。

2）P2P的智能识别与灵活控制

      封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。NGAF不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难，NGAF的P2P流控技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。

二、更全面的内容级安全防护
      深信服NGAF的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测，而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行为，有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备防御威胁种类单一，威胁检测经常出现漏报、误报的问题，可以帮助用户最大程度减少风险短板的出现，保证业务系统稳定运行。
（一）灰度威胁关联分析技术
      NGAF的灰度威胁关联分析引擎具备2000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、1000+Web应用威胁特征库，可以全面识别各种应用层和内容级别的单一安全威胁；而且灰度威胁识别技术还提供了多种典型的黑客入侵行为的模板，可以有效关联各种威胁进行分析，最大成的提高了威胁检测精度。另外，深信服凭借在应用层领域6年以上的技术积累，组建了专业的安全攻防团队，可以为用户定期提供最新的威胁特征库更新，以确保防御的及时性。

 深信服NGAF通过灰度威胁关联分析技术可以为业务系统提供端到端的安全防护。主要的防护手段如下：
1、应用信息隐藏： NGAF对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。
2、漏洞防护：各种通过操作系统、应用系统、协议异常等漏洞，进行传播的蠕虫、木马、后门、间谍软件，进行攻击和入侵的DoS/DDoS攻击、缓冲区溢出攻击、协议异常攻击、蓝屏攻击、权限提取等；
3、Web应用类威胁防护：专门针对Web应用面临的各种最新的威胁提供额外的安全防护，包括SQL注入、XSS攻击、OS命令注入、CSRF攻击、口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等，从根源上解决了Web系统被入侵、数据被篡改的可能性；
4、病毒类威胁防护：支持HTTP、SMTP、POP3、FTP等常见的协议的病毒查杀。当这几种协议的数据通过NGAF时，NGAF截获其中的数据，根据用户定义的策略实现查毒、杀毒、隔离、统计、报警等功能。除了传统的HTTP、FTP、SMTP、POP3等协议，还可以针对商务应用（文件共享等）传输的文件进行精确的木马、病毒、蠕虫查杀。 
（三）强化的WEB安全防护
1、web攻击防护  
NGAF能够有效防护owasp提出的10大web安全威胁的主要攻击，主要功能如：
防SQL注入攻击：SQL注入攻击产生的原因是由于在开发web应用时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。NGAF可以通过高效的URL过滤技术，过滤SQL注入的关键信息，从而有效的避免网站服务器受到SQL注入攻击。
防XSS跨站脚本攻击：跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码，从而达到特殊目的。NGAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的跨站攻击的恶意代码，从而保护用户的WEB服务器安全。
防CSRF攻击 ：CSRF即跨站请求伪造，从成因上与XSS漏洞完全相同，不同之处在于利用的层次上，CSRF是对XSS漏洞更高级的利用，利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话，攻击者可以与运行于用户浏览器中的脚本代码交互，使攻击者以受攻击浏览器用户的权限执行恶意操作。NGAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的CSRF的攻击代码，防止WEB系统遭受跨站请求伪造攻击。
2、应用信息隐藏：NGAF对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面隐藏：用于屏蔽Web服务器出错的页面，防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露，应使用自定义页面返回。HTTP(S)响应报文头隐藏：用于屏蔽HTTP(S)响应报文头中特定的字段信息。FTP信息隐藏：用于隐藏通过正常FTP命令反馈出的FTP服务器信息，防止黑客利用FTP软件版本信息采取有针对性的漏洞攻击。
3、URL防护： Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统，但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的URL防护功能，帮助用户选择特定URL的开放对象，防止由于过多的信息暴露于公网产生的威胁。
4、弱口令暴力破解防护：弱口令被视为众多认证类web应用程序的普遍风险问题，NGAF通过对弱口令的检查，制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。
5、文件上传过滤：由于web应用系统在开发时并没有完善的安全控制，对上传至web服务器的信息进行检查，从而导致web服务器被植入病毒、木马成为黑客利用的工具。NGAF通过严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性，以达到保护web服务器安全的目的。
（四）完整的终端安全保护
     传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒，很多用户在部署过防病毒软件之后，终端的安全事件依然频发，如何完整的保护终端成为众多用户关注的焦点。NGAF提供完整的终端安全保护，全方位的保护终端不受威胁困扰。
1、病毒防护：NGAF提供基于终端的病毒防护功能，从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，亦可查杀压缩包（zip，rar，gzip等）中的病毒。
2、基于终端的漏洞防护：内网终端仍然存在漏洞被利用的问题，多数传统安全设备仅仅提供基于服务器的漏洞防护，对于终端漏洞的利用视而不见。NGAF同时提供基于终端的漏洞保护能防护如：后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护，有效防止了终端漏洞被利用而成为黑客攻击的跳板。
3、危险插件过滤：能识别那些下载文件是会自动安装的插件，包括所有通过浏览器自动下载的文件。能根据插件白名单对插件进行过滤，内置常用安全插件列表供用户选择，还可以自定义白名单（支持插件名称、证书名称和域名）。能根据插件证书的合法性进行过滤，包括：检查插件签名是否过期，对插件签名进行证书链控制。能记录控件过滤日志，包括被过滤控件名称及被拒绝的原因，并能在数据中心查出来。能够实现二次提示，第一次出现时做拦截，第二次实现时给出提示）。
4、恶意脚本过滤：过滤注册表的写操作；过滤文件的写操作；危险对象和危险调用；能够实现二次提示，第一次出现时做拦截，第二次实现时给出提示）。
三、更高性能的应用层处理能力
       为了实现强劲的应用层处理能力，NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术；在系统架构上，NGAF也放弃了UTM多引擎，多次解析的架构，而采用了更为先进的一体化单次解析引擎，将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配，从而提升了工作效率，实现了万兆级的应用安全防护能力。
（一）单次解析架构
       要进行应用层威胁过滤，就必须将数据报文重组才能检测，而报文重组、特征检测都会极大地消耗内存和CPU，因而UTM的多引擎，多次解析架构工作效率低下。因此，NGAF所采用的单次解析引擎通过统一威胁特征、统一匹配引擎，针对每个数据包做到了只有一次报文重组和特征匹配，消除了重复性工作对内存和资源的占用，从而系统的工作效率提高了70%-80%。但这种技术的一个关键要素就是统一特征库，这项技术的难度在于需要找到一种
全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述，这就好比是八个不同国家语言的人要想彼此无障碍交流，最笨的办法是学会7种语言，但明显不可行；因此，需要一种全新的国际语言来完成，从既提高可行性，有降低了工程的复杂度。
 （二）多核并行处理技术
        现在CPU核越来越多，从双核到4核，再从4核到8核，16核，现在还有128核的CPU了。这样来看，如果1个核能够做到1个G，那么16个核不就能够超过10个G了吗? 但是通常设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是独立的，但是有很多资源是共享的，包括CPU的Cache，内存，这些核在访问共享资源的时候是要等其他核释放资源的，因此很多工作只能串行完成。同时NGAF的多核并行处理技术进行了大量的优化工作----减少临界资源的访问，除了在软件处理流程的设计上尽量减少临界资源以及临界资源的访问周期，还需要充分利用读写锁、原子操作、内存镜像等机制来提高临界资源的访问效率。
四、更完整的安全防护方案
       只提供基于应用层安全防护功能的方案，并不是一个完整的安全方案。对于用户来说，还需要采购基础网络层的安全设备（FW、VPN），这既增加了成本，也增加了组网复杂度、提升了运维难度。从技术角度来说，一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法，如果将这些威胁割裂开处理进行防护，各种防护设备之间缺乏智能的联动，很容易出现“三不管”的灰色地带，出现防护真空。比如当年盛极一时的蠕虫“SQL Slammer”，在发送应用层攻击报文之前会发送大量的“正常报文”进行探测，即使IPS有效阻断了攻击报文，但是这些大量的“正常报文”造成了网络拥塞，反而意外的形成了DOS攻击，防火墙无法有效防护。NGAF涵盖传统防火墙、IPS的主要功能，内部能够实现联动，如下表：

技术功能	功能价值
包过滤与状态检测	提供静态的包过滤和动态包过滤功能
抗攻击	能够防御DOS/DDOS、land,smurf,synflood,icmpflood等网络层攻击
NAT	提供一对一、多对一、多对多等地址转换方式；支持多种NAT ALG，包括DNS、FTP、H.323、SIP
VPN模块	内置VPN模块能实现VPN互联
IP协议/路由	支持静态路由、RIP v1/2、OSPF、策略路由等多种路由协议

因此，“具备完整的L2-L7完整的安全防护功能”就是Gartner定义的“额外的防火墙智能”实现前提，才能做到真正的内核级联动，为用户的业务系统提供一个真正的“铜墙铁壁”。

Copyright©2012-2013 TNET 塔内网络

• 粤ICP备12057293号-4 |
• 了解塔内|
• 联系我们|
• 塔内微博|

广州塔内网络科技有限公司