-
-
深信服下一代防火墻
- 產(chǎn)品價格
產(chǎn)品描述深信服下一代防火墻(Next-Generation Application Firewall)NGAF是面向應用層設計,能夠精確識別用戶、應用和內(nèi)容,具備完整安全防護能力,能夠全面替代傳統(tǒng)防火墻,并具有強勁應用層處理能力的全新網(wǎng)絡安全設備。NGAF解決了傳統(tǒng)安全設備在應用識別、訪問控制、內(nèi)容安全防護等方面的不足,同時開啟所有功能后性能不會大幅下降。作為傳統(tǒng)防火墻的升級替代產(chǎn)品,深信服NGA
產(chǎn)品描述
深信服下一代防火墻(Next-Generation Application Firewall)NGAF是面向應用層設計,能夠精確識別用戶、應用和內(nèi)容,具備完整安全防護能力,能夠全面替代傳統(tǒng)防火墻,并具有強勁應用層處理能力的全新網(wǎng)絡安全設備。NGAF解決了傳統(tǒng)安全設備在應用識別、訪問控制、內(nèi)容安全防護等方面的不足,同時開啟所有功能后性能不會大幅下降。作為傳統(tǒng)防火墻的升級替代產(chǎn)品,深信服NGAF不同于工作在L2-L4層的傳統(tǒng)防火墻,可以對全網(wǎng)流量進行雙向深入數(shù)據(jù)內(nèi)容層面的全面透析。在安全策略制定方面,區(qū)域別于傳統(tǒng)防火墻五元組安全策略,第二代防火墻可對L2-L7層更多的元素(如,用戶、應用類型、URL、數(shù)據(jù)內(nèi)容等)制定雙向的安全訪問策略,使安全策略更精細、更有效,且滿足業(yè)務的合規(guī)性;在安全防護能力方面,提升了傳統(tǒng)的抗攻擊的能力,不僅能防護網(wǎng)絡層的攻擊,針對來源更廣泛、攻擊更容易、危害更大的應用層攻擊也可以進行防護,實現(xiàn)L2-L7層的安全防護。同時,深信服下一代防火墻NGAF采用全新的軟硬件架構(gòu),減小在多種復雜的安全策略和L2-L7層多功能防護功能全部開啟時對性能的消耗,實現(xiàn)應用層高性能。
區(qū)別于傳統(tǒng)的網(wǎng)絡層防火墻,NGAF具備L2-L7層的協(xié)議的理解能力。不僅能夠?qū)崿F(xiàn)網(wǎng)絡層訪問控制的功能,且能夠?qū)眠M行識別、控制、防護,解決了傳統(tǒng)防火墻應用層控制和防護能力不足的問題。
區(qū)別于傳統(tǒng)DPI技術的入侵防御系統(tǒng),深信服NGAF具備深入應用內(nèi)容的威脅分析能力,具備雙向的內(nèi)容檢測能力為用戶提供完整的應用層安全防護功能。
同樣都能防護web攻擊,與web應用防火墻關注web應用程序安全的設計理念不同,深信服下一代防火墻NGAF關注web系統(tǒng)在對外發(fā)布的過程中各個層面的安全問題,為對外發(fā)布系統(tǒng)打造堅實的防御體系。
二、下一代防火墻的標準
Gartner在2009年發(fā)布了一份名為《Defining the Next-GenerationFirewall》的文章,給出了真正能夠滿足用戶當前安全需求的下一代防火墻(NGFW)定義。
結(jié)合安全發(fā)展趨勢和國內(nèi)用戶的安全建設現(xiàn)狀,深信服認為下一代防火墻需要滿足以下幾個方面的特點:
防應用層攻擊
75%的安全威脅源自應用層,下一代防火墻應該具備應用層協(xié)議的識別能力,并能針對應用層安全威脅提供完整的解決方案。彌補傳統(tǒng)安全設備由于工作在網(wǎng)絡,只解析網(wǎng)絡層數(shù)據(jù)包,無法理解應用層協(xié)議并防護應用層的安全威脅的問題。
雙向內(nèi)容檢測
為了解決傳統(tǒng)安全設備只針對外部攻擊防護的問題,下一代防火墻應該具備雙向的內(nèi)容檢測能力。除了能夠防護外部攻擊以外,需要對服務器響應的反饋內(nèi)容進行嚴格的安全檢查。以提供防網(wǎng)頁篡改,防敏感信息泄露等功能
涵蓋傳統(tǒng)安全
應用層的安全威脅日益盛行,但源自底層的網(wǎng)絡層安全威脅仍然存在,其危害性也不容忽視。下一代防火墻應該涵蓋傳統(tǒng)防火墻、IPS、VPN等功能,以減少多設備串行部署單點故障、性能瓶頸以及風險無法統(tǒng)一定位的問題。同時從用戶長遠利益考慮減少重復無效的投資,實現(xiàn)最優(yōu)的投資回報。
應用層高性能
雖然多功能網(wǎng)關具備部分應用安全防護能力,但其傳統(tǒng)安全設備的集成、串行部署的方式,使其在多種功能開啟之后性能急劇下降,最終只能當傳統(tǒng)防火墻使用。下一代防火墻應該從軟件構(gòu)架、硬件構(gòu)架兩方面徹底改變多功能網(wǎng)關由于多功能堆疊、串行部署導致的性能瓶頸問題,具備應用層高性能實現(xiàn)萬兆的吞吐。
三、深信服NGAF獨特的產(chǎn)品功能特點
1.精細的應用安全訪問控制
1.1可視化的應用識別
傳統(tǒng)防火墻最主要的用途就是在非信任網(wǎng)絡與信任網(wǎng)絡通過訪問控制實現(xiàn)安全管理。過去一個端口便代表了一個應用,防火墻的問題并沒有完全暴露出來。而隨著應用程序的不斷發(fā)展,采用端口跳躍、端口逃逸、多端口、隨機端口的應用越來越多,使得傳統(tǒng)防火墻五元組的訪問控制策略可讀性、可視性,可控性受到巨大沖擊,傳統(tǒng)防火墻在web2.0時代已無法滿足精細化訪問控制的需求。
NGAF具有卓越的應用可視化功能,通過多種應用識別技術形成國內(nèi)最大的應用特征識別庫,可精確識別內(nèi)外網(wǎng)的采用端口跳躍、端口逃逸、多端口、隨機端口的各類應用,為下一代防火墻實現(xiàn)用戶與應用的精細化訪問控制提供技術基礎。
1.2智能用戶身份識別
NGAF用戶識別功能可以與8種認證系統(tǒng)(AD、LDAP、Radius等)、應用系統(tǒng)(POP3、SMTP等)無縫對接,通過單點登錄的方式自動識別出網(wǎng)絡當中IP地址對應的用戶信息,并建立組織的用戶分組結(jié)構(gòu)。
1.3面向用戶與應用的控制策略
區(qū)別于傳統(tǒng)防火墻的五元組訪問控制策略,下一代防火墻可通過應用可視化功能與用戶識別技術結(jié)合制定的L3-L7一體化應用控制策略, 可以為用戶提供更加精細和直觀化控制界面,在一個界面下完成多套設備的運維工作,提升工作效率。
1.4基于應用的流量控制
區(qū)別于傳統(tǒng)防火墻的簡單的基于數(shù)據(jù)包優(yōu)先級的轉(zhuǎn)發(fā)QOS流量管理策略。深信服NGAF可提供基于用戶和應用的流量管理功能,能夠基于應用做流量控制,實現(xiàn)阻斷非法流量、限制無關流量保證核心業(yè)務的可視化流量管理價值。
2.全面的應用安全防護能力
2.1強化web攻擊防護
深信服下一代防火墻NGAF采用攻擊特征+主動防御相結(jié)合的雙重防護模式,可有效保護web業(yè)務安全。攻擊特征的防護模式有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機制,提供OWASP定義的十大安全威脅的攻擊防護功能,有效防止常見的web安全威脅。如SQL注入、XSS跨站腳本、CSRF跨站請求偽造,敏感信息泄露等,主動模式可提供參數(shù)類型學習的主動防御和自定義參數(shù)防護等個性化配置,保護web系統(tǒng)免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟損失、名譽損失等問題。深信服NGAF于2013年1月通過了OWASP Web安全項目的測試,設備的安全防護等級被評為4星(5星滿分。)
2.2基于應用的深度入侵防御
NGAF基于應用的深度入侵防御采用六大威脅檢測機制:攻擊特征檢測、特殊攻擊檢測、威脅關聯(lián)分析、異常流量檢測、協(xié)議異常檢測、深度內(nèi)容分析能夠有效的防止各類已知未知攻擊,實時阻斷黑客攻擊。如,緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測、掃描、間諜軟件、以及各類IPS逃逸攻擊等。
2.3高效精確的病毒檢測能力
NGAF提供先進的病毒防護功能,可從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進行病毒查殺,也可查殺壓縮包(zip,rar,gzip等)中的病毒。同時采用高效的流式掃描技術,可大幅提升病毒檢測效率避免防病毒成為網(wǎng)絡安全的瓶頸。
2.4DOS/DDOS攻擊防護
NGAF可防護基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報文的DOS攻擊、TCP協(xié)議報文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等,實現(xiàn)對網(wǎng)絡層、應用層的各類資源耗盡的拒絕服務攻擊的防護,實現(xiàn)L2-L7層的異常流量清洗。
2.5專業(yè)攻防研究團隊確保持續(xù)更新
NGAF的統(tǒng)一威脅識別具備3000+條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意內(nèi)容特征庫、2000+Web應用威脅特征庫,可以全面識別各種應用層和內(nèi)容級別的各種安全威脅。其漏洞特征庫已通過國際最著名的安全漏洞庫CVE嚴格的兼容性標準評審,獲得CVE兼容性認證(CVE Compatible)。
深信服憑借在應用層領域6年以上的技術積累組建了專業(yè)的安全攻防團隊,作為微軟的MAPP(Microsoft Active Protections Program)項目合作伙伴,可以在微軟發(fā)布安全更新前獲得漏洞信息,為客戶提供更及時有效的保護,以確保防御的及時性。
3.獨特的雙向內(nèi)容檢測技術
3.1網(wǎng)關型網(wǎng)頁防篡改
網(wǎng)頁防篡改是NGAF服務器防護中的一個子模塊,其設計目的在于提供的一種事后補償防護手段,即使黑客繞過安全防御體系修改了網(wǎng)站內(nèi)容,其修改的內(nèi)容也不會發(fā)布到最終用戶處,從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟損失等問題。
NGAF通過網(wǎng)關型的網(wǎng)頁防篡改(對服務器“0”影響),第一時間攔截網(wǎng)頁篡改的信息并通知管理員確認。同時對外提供篡改重定向功能,提供正常界面、友好界面、web備份服務器的重定向,保證用戶仍可正常訪問網(wǎng)站。NGAF網(wǎng)站篡改防護功能使用網(wǎng)關實現(xiàn)動靜態(tài)網(wǎng)頁防篡改功能。這種實現(xiàn)方式相對于主機部署類防篡改軟件而言,客戶無需在服務器上安裝第三方軟件,易于使用和維護,在防篡改部分基于網(wǎng)絡字節(jié)流的檢測與恢復,對服務器性能沒有影響。
3.2可定義的敏感信息防泄漏
NGAF提供可定義的敏感信息防泄漏功能,根據(jù)儲存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義,通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進行有效識別、報警并阻斷,防止大量敏感信息被非法泄露。(如:用戶信息/郵箱賬戶信息/MD5加密密碼/銀行卡號/身份證號碼/社保賬號/信用卡號/手機號碼……)
3.3僵尸網(wǎng)絡檢測隔離
NGAF獨有的僵尸網(wǎng)絡檢測隔離功能,應用NGAF對外發(fā)流量的檢測能夠判斷服務器或終端由于中了病毒木馬向外發(fā)起的惡意流量。該功能融合了僵尸網(wǎng)絡識別庫,利用業(yè)界領先的僵尸網(wǎng)絡識別檢測技術對黑客的攻擊行為進行有效識別,針對以反彈式木馬為代表的惡意軟件進行深度防護,可識別僵尸網(wǎng)絡流量達15萬條,并由深信服攻防團隊實時更新。同時,深信服NGAF正在完善安全云平臺,部署在全球各地的深信服下一代防火墻設備可以自動或手動上傳可疑的應用流量到安全云平臺,平臺會自動分析,形成新的惡意軟件識別策略下發(fā)到全球所有設備的規(guī)則庫上。
3.4應用協(xié)議內(nèi)容隱藏
NGAF可針對主要的服務器(WEB服務器、FTP服務器、郵件服務器等)反饋信息進行了有效的隱藏。防止黑客利用服務器返回信息進行有針對性的攻擊。如:HTTP出錯頁面隱藏、響應報頭隱藏、FTP信息隱藏等
3.5用戶登錄權(quán)限防護
NGAF可以針對特定的服務或者web頁面提供登陸保護,通過發(fā)送短信驗證碼的方式針對敏感信息和應用提供強認證保護。用戶訪問到該頁面或應用的時候需要經(jīng)過短信的二次認證,增強敏感頁面或應用的安全系數(shù);該功能能夠帶來的價值:
1、對重要的頁面(如管理員頁面)進行防護,防止通過社會工程、暴力破解拿到正常管理員的賬號密碼;
2、可實現(xiàn)敏感頁面的雙因子強認證提高安全性,防止敏感頁面開放于公網(wǎng)或辦公網(wǎng);
4.智能的網(wǎng)絡安全防御體系
4.1完整的防火墻功能
NGAF涵蓋了完整的傳統(tǒng)防火墻功能包括訪問控制、NAT支持、路由協(xié)議、VLAN屬性等功能,已便于用戶替換傳統(tǒng)防火墻后,將原有的策略完全遷移至下一代防火墻中,實現(xiàn)簡化組網(wǎng)、方便運維的效果。
4.2靈活的應用部署方式
NGAF支持多種部署模式,包括路由,透明,虛擬網(wǎng)線,旁路,混合部署等,并支持多鏈路聚合,非對稱路由等復雜網(wǎng)絡環(huán)境。
4.3融合領先的 IPSecVPN實現(xiàn)廣域網(wǎng)隔離與流量清洗
NGAF融合了國內(nèi)市場占有率第一的IPSec VPN模塊,實現(xiàn)高安全防護、高投資回報的分支機構(gòu)安全建設目標,并支持對加密隧道數(shù)據(jù)進行安全攻擊檢測,全面提升廣域網(wǎng)隔離的安全性。
4.4統(tǒng)一集中管理平臺
NGAF提供統(tǒng)一集中管理平臺實現(xiàn)對分支各設備的集中監(jiān)管,集中配置下發(fā)與遠程獨立配置,提高管理效率,簡化運維成本。
4.5安全風險評估與策略聯(lián)動
NGAF基于時間周期的安全防護設計提供事前風險評估及策略聯(lián)動的功能。風險評估功能分為Web弱點掃描與漏洞掃描兩部分:
系統(tǒng)漏洞掃描通過端口、服務、應用掃描幫助用戶及時發(fā)現(xiàn)端口、服務及漏洞風險,并通過模塊間的智能策略聯(lián)動及時更新對應的安全風險的安全防護策略。幫助用戶快速診斷電子商務平臺中各個節(jié)點的安全漏洞問題,并做出有針對性的防護策略。
web弱點掃描通過內(nèi)置的二十多類Web攻擊特征,如SQL注入,盲注,操作系統(tǒng)命令,遠程文件包含,XPATH注入,LDAP注入,服務器端包含(SSI),iframe釣魚,不安全的PHP配置檢查等,可以幫助對用戶的Web服務系統(tǒng)快速的定位出漏洞威脅,并提供相關漏洞的嚴重等級和描述信息以及建議的修復方案等,使得用戶能夠快速定位并解決內(nèi)網(wǎng)Web服務存在的風險。同時該功能模塊可以依據(jù)掃描結(jié)果,給用戶推薦防護策略,通過“一鍵部署”的方式自動生成有效的策略,為絕大多數(shù)管理員提供策略建議的專業(yè)參考。
4.6 智能APT攻擊防護
深信服NGAF融合L2-7層完整的安全防護功能,是國內(nèi)唯一同時融合FW、IPS、WAF、AV功能并能智能聯(lián)動的安全產(chǎn)品,通過各個模塊間的聯(lián)動,為APT攻擊防護提供從主機層(惡意代碼防護、僵尸網(wǎng)絡隔離)、網(wǎng)絡層(訪問控制、邊界隔離、入侵防護、漏洞掃描、內(nèi)網(wǎng)嗅探)、應用層(惡意網(wǎng)址識別、OWASP TOP應用協(xié)議攻擊、管理認證登陸、DLP)的 L2-L7層一體化安全防護。通過關聯(lián)分析準確定位出APT攻擊的行為,阻斷黑客在實施APT攻擊各個步驟、各種手段的有效性。
NGAF智能的主動防御技術可實現(xiàn)內(nèi)部各個模塊之間形成智能的策略聯(lián)動,如一個IP/用戶持續(xù)向內(nèi)網(wǎng)服務器發(fā)起各類攻擊則可通過防火墻策略暫時阻斷IP/用戶。智能防護體系的建立可有效的防止工具型、自動化的黑客攻擊,提高攻擊成本,可抑制APT攻擊的發(fā)生。同時也使得管理員維護變得更為簡單,可實現(xiàn)無網(wǎng)管的自動化安全管理。
4.7專業(yè)可視的安全分析報表
NGAF提供了豐富、可視的日志報表和統(tǒng)計分析功能,可針對服務器、終端、流量、應用、訪問網(wǎng)站等多個維度進行統(tǒng)計,并提供服務器安全報表和網(wǎng)絡安全匯總報表來直觀的反映用戶網(wǎng)絡中的安全風險以及應用流量信息。服務器安全報表按照受攻擊次數(shù),攻擊類型,攻擊來源進行統(tǒng)計分析,并針對每個服務器IP都有針對性的安全分析,并提供相應的服務安全說明,使得報表的可讀性更高,方便用戶從報告中分析出下一步的安全加固策略。
5.更高效的應用層處理能力
5.1多核并行處理技術
為了實現(xiàn)強勁的應用層處理能力,NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡層重復計算工作的硬件設計,采用了更加適合應用層靈活計算能力的多核并行處理技術,極大的提升應用層數(shù)據(jù)的分析能力。
NGAF的設計不僅僅采用了多核的硬件架構(gòu),在計算指令設計上采用了先進的無鎖并行處理技術,能夠?qū)崿F(xiàn)多流水線同時處理,成倍提升系統(tǒng)吞吐量,在多核系統(tǒng)下性能表現(xiàn)十分優(yōu)異,是真正的多核并行處理的架構(gòu)。
5.2單次解析架構(gòu)
區(qū)別于UTM的構(gòu)架,NGAF采用單次解析構(gòu)架實現(xiàn)報文的一次解析一次匹配,避免了UTM由于多模塊疊加對報文進行多次拆包多次解析的問題,有效的提升了應用層效率。實現(xiàn)單次解析技術的一個關鍵要素就是軟件架構(gòu)設計實現(xiàn)網(wǎng)絡、應用層平面分離,通過在將數(shù)據(jù)通過“0”拷貝技術提取到應用層平面上實現(xiàn)威脅特征的統(tǒng)一解析、統(tǒng)一檢測,減少冗余的數(shù)據(jù)包封裝,從而實現(xiàn)高性能的處理。
5.3跳躍式掃描技術
深信服下一代防火墻利用其多年積累的應用識別技術,在內(nèi)核驅(qū)動層面通過私有協(xié)議將所有經(jīng)過NGAF的數(shù)據(jù)包都打上應用的標簽。在數(shù)據(jù)包提取到內(nèi)容檢測平面進行檢測的時候,會找到對應的應用威脅特征,使用跳躍式掃描技術跳過無關的應用威脅檢測特征,從而減少無效掃描,提升掃描效率。比如:流量被識別為HTTP流量,那么FTP sever-u的相關漏洞攻擊特征便不會對系統(tǒng)造成威脅,便可以暫時跳過檢測進行轉(zhuǎn)發(fā),提升轉(zhuǎn)發(fā)的效率。
5.4產(chǎn)品性能評測報告
為驗證應用層性能,國內(nèi)知名IT行業(yè)媒體《網(wǎng)絡世界》針對下一代防火墻產(chǎn)品進行了一次客觀的產(chǎn)品評測。深信服NGAF在各項功能開啟時,應用層處理性能優(yōu)秀。表現(xiàn)出了出色的處理能力。在不同大小文件下,應用流量處理能力均達到萬兆級別,可以滿足正常網(wǎng)絡應用中萬兆寬帶的應用流量處理需求