下一代企業(yè)防火墻NGAF技術(shù)白皮書

1、 33/33下一代企業(yè)防火墻NGAF 技術(shù)白皮書目 錄 TOC o 1-3 h z u HYPERLINK l _Toc509947521 一、概述 PAGEREF _Toc509947521 h 4 HYPERLINK l _Toc509947522 二、為什么需要下一代防火墻 PAGEREF _Toc509947522 h 4 HYPERLINK l _Toc509947523 2.1網(wǎng)絡(luò)發(fā)展的趨勢使防火墻以及傳統(tǒng)方案失效 PAGEREF _Toc509947523 h 4 HYPERLINK l _Toc509947524 2.2現(xiàn)有方案缺陷分析 PAGEREF _Toc50994752

2、4 h 5 HYPERLINK l _Toc509947525 2.2.1單一的應(yīng)用層設(shè)備是否能滿足？ PAGEREF _Toc509947525 h 5 HYPERLINK l _Toc509947526 2.2.2“串糖葫蘆式的組合方案” PAGEREF _Toc509947526 h 6 HYPERLINK l _Toc509947527 2.2.3UTM統(tǒng)一威脅管理 PAGEREF _Toc509947527 h 6 HYPERLINK l _Toc509947528 2.2.4其他品牌下一代防火墻能否解決？ PAGEREF _Toc509947528 h 7 HYPERLINK l

3、_Toc509947529 三、下一代防火墻定位 PAGEREF _Toc509947529 h 7 HYPERLINK l _Toc509947530 四、下一代防火墻NGAF PAGEREF _Toc509947530 h 8 HYPERLINK l _Toc509947531 4.1產(chǎn)品設(shè)計理念 PAGEREF _Toc509947531 h 8 HYPERLINK l _Toc509947532 4.2產(chǎn)品功能特色 PAGEREF _Toc509947532 h 9 HYPERLINK l _Toc509947533 4.2.1可視的網(wǎng)絡(luò)安全情況 PAGEREF _Toc5099475

4、33 h 9 HYPERLINK l _Toc509947534 4.2.2強化的應(yīng)用層攻擊防護 PAGEREF _Toc509947534 h 15 HYPERLINK l _Toc509947535 4.2.3獨特的雙向內(nèi)容檢測技術(shù) PAGEREF _Toc509947535 h 22 HYPERLINK l _Toc509947536 4.2.4智能的網(wǎng)絡(luò)安全防御體系 PAGEREF _Toc509947536 h 24 HYPERLINK l _Toc509947537 4.2.5更高效的應(yīng)用層處理能力 PAGEREF _Toc509947537 h 25 HYPERLINK l _T

5、oc509947538 4.2.6涵蓋傳統(tǒng)安全功能 PAGEREF _Toc509947538 h 25 HYPERLINK l _Toc509947539 4.3產(chǎn)品優(yōu)勢技術(shù) PAGEREF _Toc509947539 h 26 HYPERLINK l _Toc509947540 4.3.1深度內(nèi)容解析 PAGEREF _Toc509947540 h 26 HYPERLINK l _Toc509947541 4.3.2雙向內(nèi)容檢測 PAGEREF _Toc509947541 h 27 HYPERLINK l _Toc509947542 4.3.3分離平面設(shè)計 PAGEREF _Toc5099

6、47542 h 27 HYPERLINK l _Toc509947543 4.3.4單次解析架構(gòu) PAGEREF _Toc509947543 h 28 HYPERLINK l _Toc509947544 4.3.5多核并行處理 PAGEREF _Toc509947544 h 29 HYPERLINK l _Toc509947545 4.3.6智能聯(lián)動技術(shù) PAGEREF _Toc509947545 h 29 HYPERLINK l _Toc509947546 4.3.7Regex正則引擎 PAGEREF _Toc509947546 h 30 HYPERLINK l _Toc509947547

7、五、部屬方式 PAGEREF _Toc509947547 h 31 HYPERLINK l _Toc509947548 5.1互聯(lián)網(wǎng)出口-內(nèi)網(wǎng)終端上網(wǎng) PAGEREF _Toc509947548 h 31 HYPERLINK l _Toc509947549 5.2互聯(lián)網(wǎng)出口-服務(wù)器對外發(fā)布 PAGEREF _Toc509947549 h 31 HYPERLINK l _Toc509947550 5.3廣域網(wǎng)邊界安全隔離 PAGEREF _Toc509947550 h 32 HYPERLINK l _Toc509947551 5.4數(shù)據(jù)中心 PAGEREF _Toc509947551 h 33概

8、述防火墻自誕生以來，在網(wǎng)絡(luò)安全防御系統(tǒng)中就建立了不可替代的地位。作為邊界網(wǎng)絡(luò)安全的第一道關(guān)卡防火墻經(jīng)歷了包過濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)的技術(shù)革命，通過ACL訪問控制策略、NAT地址轉(zhuǎn)換策略以及抗網(wǎng)絡(luò)攻擊策略有效的阻斷了一切未被明確允許的包通過，保護了網(wǎng)絡(luò)的安全。防火墻就像機場的安檢部門，對進出機場/防火墻的一切包裹/數(shù)據(jù)包進行檢查，保證合法包裹/數(shù)據(jù)包能夠進入機場/網(wǎng)絡(luò)訪問合法資源同時防止非法人員通過非法手段進入機場/網(wǎng)絡(luò)或干擾機場/網(wǎng)絡(luò)的正常運行。傳統(tǒng)的防火墻正如機場安檢人員，通過有限的防御方式對風險進行防護，成本高，效率低，安全防范手段有限。而下一代防火墻則形如機場的整體安檢系統(tǒng)，除了

9、包括原有的安檢人員/傳統(tǒng)防火墻功能外，還引入了先進的探測掃描儀/深度內(nèi)容安全檢測構(gòu)成一套完整的整體安全防護體系。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文，重新定義下一代防火墻，下一代防火墻的概念在業(yè)內(nèi)便得到了普遍的認可。也在經(jīng)過10年網(wǎng)絡(luò)安全技術(shù)6年的應(yīng)用安全技術(shù)沉淀之后，于2011年正式發(fā)布“下一代防火墻”NGAF。 為什么需要下一代防火墻網(wǎng)絡(luò)發(fā)展的趨勢使防火墻以及傳統(tǒng)方案失效近幾年來，越來越多的安全事故告訴我們，安全風險比以往更加難以察覺。隨著網(wǎng)絡(luò)安全形勢逐漸惡化，網(wǎng)絡(luò)攻擊愈加頻繁，客戶對自己的網(wǎng)絡(luò)安全建設(shè)變得越

10、來越不自信。到底怎么加強安全建設(shè)？安全建設(shè)的核心問題是什么？采用什么安全防護手段更為合適？已成為困擾用戶安全建設(shè)的關(guān)鍵問題。問題一：看不看得到真正的風險？一方面，只有看到L2-7層的攻擊才能了解網(wǎng)絡(luò)的整體安全狀況，而基于多產(chǎn)品組合方案大多數(shù)用戶沒有辦法進行統(tǒng)一分析，也就無法快速定位安全問題，同時也加大了安全運維的工作量。另一方面，沒有攻擊并不意味著業(yè)務(wù)就不存在漏洞，一旦漏洞被利用就為時已晚。好的解決方案應(yīng)能及時發(fā)現(xiàn)業(yè)務(wù)漏洞，防患于未然。最后，即使有大量的攻擊也不意味著業(yè)務(wù)安全威脅很大，只有針對真實存在的業(yè)務(wù)漏洞進行的攻擊才是有效攻擊?？床坏接行Ч舻姆桨?，就無法讓客戶看到網(wǎng)絡(luò)和業(yè)務(wù)的真實的安全

11、情況。問題二：防不防得住潛藏的攻擊？一方面，防護技術(shù)不能存在短板，存在短板必然會被繞過，原有設(shè)備就形同虛設(shè)；另一方面，單純防護外部黑客對內(nèi)網(wǎng)終端和服務(wù)器的攻擊是不夠的，終端和服務(wù)器主動向外發(fā)起的流量中是否存在攻擊行為和泄密也需要檢測，進而才能找到黑客針對內(nèi)網(wǎng)的控制通道，同時發(fā)現(xiàn)泄密的風險，最后通過針對性的安全防護技術(shù)加以防御。綜上所述，真正能看到攻擊與業(yè)務(wù)漏洞，及時查漏補缺，并能及時防住攻擊才是最有效的解決方案。那么基于攻擊特征防護的傳統(tǒng)解決方案是否真的能夠達到要求呢？現(xiàn)有方案缺陷分析單一的應(yīng)用層設(shè)備是否能滿足？ 1、入侵防御設(shè)備應(yīng)用安全防護體系不完善，只能針對操作系統(tǒng)或者應(yīng)用軟件的底層漏洞進

12、行防護，缺乏針對Web攻擊威脅的防御能力，對Web攻擊防護效果不佳。缺乏攻擊事后防護機制，不具備數(shù)據(jù)的雙向內(nèi)容檢測能力，對未知攻擊產(chǎn)生的后果無能為力，如入侵防御設(shè)備無法應(yīng)對來自于web網(wǎng)頁上的SQL，XSS漏洞，無法防御來自內(nèi)網(wǎng)的敏感信息泄露或者敏感文件過濾等等。2、Web應(yīng)用防火墻傳統(tǒng)Web防火墻面對當前復(fù)雜的業(yè)務(wù)流量類型處理性能有限，且只針對來自Web的攻擊防護，缺乏針對來自應(yīng)用系統(tǒng)底層漏洞的攻擊特征，缺乏基于敏感業(yè)務(wù)內(nèi)容的保護機制，只能提供簡單的關(guān)鍵字過濾功能，無法對Web業(yè)務(wù)提供L2-L7層的整體安全防護?！按呛J式的組合方案”由于防火墻功能上的缺失使得企業(yè)在網(wǎng)絡(luò)安全建設(shè)的時候針對現(xiàn)

13、有多樣化的攻擊類型采取了打補丁式的設(shè)備疊加方案，形成了“串糖葫蘆”式部署。通常我們看到的網(wǎng)絡(luò)安全規(guī)劃方案的時候都會以防火墻+入侵防御系統(tǒng)+網(wǎng)關(guān)殺毒+的形式。這種方式在一定程度上能彌補防火墻功能單一的缺陷，對網(wǎng)絡(luò)中存在的各類攻擊形成了似乎全面的防護。但在這種環(huán)境中，管理人員通常會遇到如下的困難：一，有幾款設(shè)備就可以看到幾種攻擊，但是是割裂的難以對安全日志進行統(tǒng)一分析；有攻擊才能發(fā)現(xiàn)問題，在沒有攻擊的情況下，就無法看到業(yè)務(wù)漏洞，但這并不代表業(yè)務(wù)漏洞不存在；即使發(fā)現(xiàn)了攻擊，也無法判斷業(yè)務(wù)系統(tǒng)是否真正存在安全漏洞，還是無法指導(dǎo)客戶進行安全建設(shè)；二，有幾種設(shè)備就可以防護幾種攻擊，但大部分客戶無法全部部署

14、，所以存在短板；即使全部部署，這些設(shè)備也不對服務(wù)器和終端向外主動發(fā)起的業(yè)務(wù)流進行防護，在面臨新的未知攻擊的情況下缺乏有效防御措施，還是存在被繞過的風險。UTM統(tǒng)一威脅管理2004年IDC推出統(tǒng)一威脅管理UTM的概念。這種設(shè)備的理念是將多個功能模塊集中如：FW、IPS、AV，聯(lián)合起來達到統(tǒng)一防護，集中管理的目的。這無疑給安全建設(shè)者們提供了更新的思路。事實證明國內(nèi)市場UTM產(chǎn)品確實得到用戶認可，據(jù)IDC統(tǒng)計數(shù)據(jù)09年UTM市場增長迅速，但2010年UTM的增長率同比有明顯的下降趨勢。這是因為UTM設(shè)備僅僅將FW、IPS、AV進行簡單的整合，傳統(tǒng)防火墻安全與管理上的問題依然存在，比如缺乏對WEB服務(wù)

15、器的有效防護等；另外，UTM開啟多個模塊時是串行處理機制，一個數(shù)據(jù)包先過一個模塊處理一遍，再重新過另一個模塊處理一遍，一個數(shù)據(jù)要經(jīng)過多次拆包，多次分析，性能和效率使得UTM難以令人信服。Gartner認為“UTM安全設(shè)備只適合中小型企業(yè)使用，而NGFW才適合員工大于1000人以上規(guī)模的大型企業(yè)使用?！逼渌放葡乱淮阑饓δ芊窠鉀Q？大部分下一代防火墻只能看到除web攻擊外的大部分攻擊，極少部分下一代防火墻能夠看到簡單的WEB攻擊，但均無法看到業(yè)務(wù)的漏洞。攻擊和漏洞無法關(guān)聯(lián)就很難確定攻擊的真實性；另外，大部分下一代防火墻防不住web攻擊，也不對服務(wù)器/終端主動向外發(fā)起的業(yè)務(wù)流進行防護，比如信息泄露

16、、僵尸網(wǎng)絡(luò)等，應(yīng)對未知攻擊的方式比較單一，只通過簡單的聯(lián)動防護，仍有被繞過的風險。下一代防火墻定位全球最具權(quán)威的IT研究與顧問咨詢公司Gartner，在2009年發(fā)布了一份名為Defining the Next-Generation Firewall的文章，給出了真正能夠滿足用戶當前安全需求的下一代防火墻定義：下一代防火墻是一種深度包檢測防火墻，超越了基于端口、協(xié)議的檢測和阻斷，增加了應(yīng)用層的檢測和入侵防護,下一代防火墻不應(yīng)該與獨立的網(wǎng)絡(luò)入侵檢測系統(tǒng)混為一談，后者只包含了日常的或是非企業(yè)級的防火墻，或者把防火墻和IPS簡單放到一個設(shè)備里，整合的并不緊密。結(jié)合目前國內(nèi)的互聯(lián)網(wǎng)安全環(huán)境來看，更多的

17、安全事件是通過Web層面的設(shè)計漏洞被黑客利用所引發(fā)。據(jù)統(tǒng)計，國內(nèi)用戶上網(wǎng)流量與對外發(fā)布業(yè)務(wù)流量混合在一起的比例超過50%。以政府為例，60%以上的政府單位門戶網(wǎng)站和用戶上網(wǎng)是共用電子政務(wù)外網(wǎng)的線路。在這種場景下，如果作為出口安全網(wǎng)關(guān)的防火墻不具備Web應(yīng)用防護能力，那么在新出現(xiàn)的APT攻擊的大環(huán)境下，現(xiàn)有的安全設(shè)備很容易被繞過，形同虛設(shè)，下一代防火墻做為一款融合型的安全產(chǎn)品，不能存針對基于Web的應(yīng)用安全短板。做為國內(nèi)下一代防火墻產(chǎn)品的領(lǐng)導(dǎo)者，和公安部第二代防火墻標準制定的參與者，走在前沿，在產(chǎn)品推出伊始就把Web應(yīng)用防護這個基因深深地植入到下一代防火墻當中，下一代防火墻（Next-Gener

18、ation Application Firewall）NGAF面向應(yīng)用層設(shè)計，能夠精確識別用戶、應(yīng)用和內(nèi)容，具備完整的L2-L7層的安全防護體系，強化了在Web層面的應(yīng)用防護能力，不僅能夠全面替代傳統(tǒng)防火墻，并具在開啟安全功能的情況下還保持有強勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。下一代防火墻NGAF 產(chǎn)品設(shè)計理念更精細的應(yīng)用層安全控制： 貼近國內(nèi)應(yīng)用、持續(xù)更新的應(yīng)用識別規(guī)則庫識別內(nèi)外網(wǎng)超過1500多種應(yīng)用、3000多種動作（截止2014年2月14日）支持包括AD域、Radius等8種用戶身份識別方式面向用戶與應(yīng)用策略配置，減少錯誤配置的風險更全面的內(nèi)容級安全防護： 基于攻擊過程的服務(wù)器保護，防

19、御黑客掃描、入侵、破壞三步曲強化的WEB應(yīng)用安全，支持多種SQL注入防范、XSS攻擊、CSRF、權(quán)限控制等完整的終端安全保護，支持漏洞、病毒防護等雙向內(nèi)容檢測，功能防御策略智能聯(lián)動更高性能的應(yīng)用層處理能力：單次解析架構(gòu)實現(xiàn)報文一次拆解和匹配多核并行處理技術(shù)提升應(yīng)用層分析速度Regex正則表達引擎提升規(guī)則解析效率全新技術(shù)架構(gòu)實現(xiàn)應(yīng)用層萬兆處理能力更完整的安全防護方案可替代傳統(tǒng)防火墻/VPN、IPS所有功能，實現(xiàn)內(nèi)核級聯(lián)動產(chǎn)品功能特色可視的網(wǎng)絡(luò)安全情況NGAF獨創(chuàng)的應(yīng)用可視化技術(shù)，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使

20、加密過的數(shù)據(jù)流也能應(yīng)付自如。目前，NGAF的應(yīng)用可視化引擎不但可以識別1200多種的內(nèi)外網(wǎng)應(yīng)用及其2700多種應(yīng)用動作，還可以與多種認證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無縫對接，自動識別出網(wǎng)絡(luò)當中IP地址對應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識別和控制豐富的內(nèi)網(wǎng)應(yīng)用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,針對用戶應(yīng)用系統(tǒng)更新服務(wù)的訴求,NGAF還可以精細識別Microsoft、360、Symant

21、ec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴格的環(huán)境下,系統(tǒng)軟件更新服務(wù)暢通無阻。因此，通過應(yīng)用可視化引擎制定的L4-L7一體化應(yīng)用控制策略, 可以為用戶提供更加精細和直觀化控制界面，在一個界面下完成多套設(shè)備的運維工作，提升工作效率?？梢暬木W(wǎng)絡(luò)應(yīng)用隨著網(wǎng)絡(luò)攻擊不斷向應(yīng)用層業(yè)務(wù)系統(tǒng)轉(zhuǎn)移，傳統(tǒng)的網(wǎng)絡(luò)層防火墻已經(jīng)不能有效實施防護。因此，作為企業(yè)網(wǎng)絡(luò)中最重要的屏障，如何幫助用戶實現(xiàn)針對所有業(yè)務(wù)的安全可視化變得十分重要。NGAF以精確的應(yīng)用識別為基礎(chǔ)，可以幫助用戶恢復(fù)對網(wǎng)絡(luò)中各類流量的掌控，阻斷或控制不當操作，根據(jù)企業(yè)自身狀況合理分配帶寬資源等。N

22、GAF的應(yīng)用識別有以下幾種方式：第一，基于協(xié)議和端口的檢測僅僅是第一步(傳統(tǒng)防火墻做法)。固定端口小于1024的協(xié)議，其端口通常是相對穩(wěn)定,可以根據(jù)端口快速識別應(yīng)用。第二，基于應(yīng)用特征碼的識別，深入讀取IP包載荷的內(nèi)容中的OSI七層協(xié)議中的應(yīng)用層信息，將解包后的應(yīng)用信息與后臺特征庫進行比較來確定應(yīng)用類型。第三，基于流量特征的識別，不同的應(yīng)用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同，例如，基于P2P下載應(yīng)用的流量模型特點為平均包長都在450字節(jié)以上、下載時間長、連接速率高、首選傳輸層協(xié)議為TCP等；NGAF基于這一系列流量的行為特征，通過分析會話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的

23、間隔等信息來鑒別應(yīng)用類型?？梢暬臉I(yè)務(wù)和終端安全NGAF可對經(jīng)過設(shè)備的流量進行實時流量分析，相比主動漏洞掃描工具或者是市場的漏掃設(shè)備，被動漏洞分析最大的優(yōu)勢就在于能實時發(fā)現(xiàn)客戶網(wǎng)絡(luò)環(huán)境的安全缺陷，且不會給網(wǎng)絡(luò)產(chǎn)生額外的流量。此模塊設(shè)計的初衷就是希望能夠?qū)崟r發(fā)現(xiàn)和跟蹤網(wǎng)絡(luò)中存在的主機、服務(wù)和應(yīng)用，發(fā)現(xiàn)服務(wù)器軟件的漏洞，實時分析用戶網(wǎng)絡(luò)中存在的安全問題，為用戶展現(xiàn)AF的安全防護能力。實時漏洞分析功能主要可以幫助用戶從以下幾個方面來被動的對經(jīng)過的流量進行分析：底層軟件漏洞分析實時分析網(wǎng)絡(luò)流量，發(fā)現(xiàn)網(wǎng)絡(luò)中存在漏洞的應(yīng)用，把漏洞的危害和解決方法通過日志和報表進行展示，支持的應(yīng)用包括：HTTP服務(wù)器(Ap

24、ache、IIS)，F(xiàn)TP服務(wù)器(FileZilla)，Mail服務(wù)器(Exchange)，Realvnc，OpenSSH，Mysql，DB，SQL，Oracle等Web應(yīng)用風險分析針對用戶WEB應(yīng)用系統(tǒng)中存在的如下風險和安全問題進行分析：1.SQL注入、文件包含、命令執(zhí)行、文件上傳、XSS攻擊、目錄穿越、webshell；2.發(fā)現(xiàn)網(wǎng)站/OA存在的設(shè)計問題，包括：a)在HTTP請求中直接傳SQL語句；b)在HTTP請求中直接傳javascript代碼；c) URL包含敏感信息：如user、username、pass、password、session、jsessionid、sessionid等；

25、3.支持第三方插件的漏洞檢測，如：媒體庫插件jplayer，論壇插件discuz，網(wǎng)頁編輯器fckeditor，freetextbox，ewebeditor，webhtmleditor，kindeditor等Web不安全配置檢測各種應(yīng)用服務(wù)的默認配置存在安全隱患，容易被黑客利用，例如，SQL Server 的默認安裝，就具有用戶名為sa，密碼為空的管理員帳號。不安全的默認配置，管理員通常難以發(fā)覺，并且，隨著服務(wù)的增多，發(fā)現(xiàn)這些不安全的配置就更耗人力。NGAF支持常用Web服務(wù)器不安全配置檢測，如Apache的httpd.conf配置文件，IIS的metabase.xml配置文件，nginx的w

26、eb.xml和 nginx.conf配置文件，Tomcat的server.xml配置文件，PHP的php.ini配置文件等等，同時也支持操作系統(tǒng)和數(shù)據(jù)庫配置文件的不安全配置檢測，如Windows的ini文件，Mysql的my.ini，Oracle的sqlnet.ora等等。弱口令檢測支持FTP，POP3，SMTP，Telnet，Web，Mysql，LDAP，AD域等協(xié)議或應(yīng)用的弱口令檢查。另外，NGAF還提供強大的綜合風險報表功能。能夠從業(yè)務(wù)和用戶兩個維度來對可網(wǎng)絡(luò)中的安全狀況進行全面評估，區(qū)分檢測到的攻擊和其中真正有效的攻擊次數(shù)，并針對攻擊類型，漏洞類型和威脅類型進行詳細的分析給提供相應(yīng)的解

27、決建議，同時還能夠針對預(yù)先定義好的業(yè)務(wù)系統(tǒng)進行威脅分析，還原給客戶一個網(wǎng)絡(luò)真實遭受到安全威脅的情況。智能用戶身份識別網(wǎng)絡(luò)中的用戶并不一定需要平等對待，通常，許多企業(yè)策略僅僅是允許某些IP段訪問網(wǎng)絡(luò)及網(wǎng)絡(luò)資源。NGAF提供基于用戶與用戶組的訪問控制策略，它使管理員能夠基于各個用戶和用戶組（而不是僅僅基于 IP 地址）來查看和控制應(yīng)用使用情況。在所有功能中均可獲得用戶信息，包括應(yīng)用訪問控制策略的制定和安全防護策略創(chuàng)建、取證調(diào)查和報表分析。1、映射組織架構(gòu)NGAF可以按照組織的行政結(jié)構(gòu)建立樹形用戶分組，將用戶分配到指定的用戶組中，以實現(xiàn)網(wǎng)絡(luò)訪問權(quán)限的授予與繼承。用戶創(chuàng)建的過程簡單方便，除手工輸入帳戶

28、方式外，NGAF能夠根據(jù)OU或Group讀取AD域控服務(wù)器上用戶組織結(jié)構(gòu)，并保持與AD的自動同步，方便管理員管理。此外，NGAF支持賬戶自動創(chuàng)建功能，依據(jù)管理員分配好的IP段與用戶組的對應(yīng)關(guān)系，基于新用戶的源IP地址段自動將其添加到指定用戶組、同時綁定IP/MAC，并繼承管理員指定的網(wǎng)絡(luò)權(quán)限。管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導(dǎo)入，實現(xiàn)快捷的創(chuàng)建用戶和分組信息。2、建立身份認證體系本地認證：Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定第三方認證：AD、LDAP、Radius、POP3、PROXY等；單點登錄：AD、POP3、Proxy、HTTP POST等

29、；強制認證：強制指定IP段的用戶必須使用單點登錄（如必須登錄AD域等）豐富的認證方式，幫助組織管理員有效區(qū)分用戶，建立組織身份認證體系，進而形成樹形用戶分組，映射組織行政結(jié)構(gòu)，實現(xiàn)用戶與資源的一一對應(yīng)。NGAF支持為未認證通過的用戶分配受限的網(wǎng)絡(luò)訪問權(quán)限，將通過Web認證的用戶重定向至顯示指定網(wǎng)頁，方便組織管理員發(fā)布通知。面向用戶與應(yīng)用的訪問控制策略當前的網(wǎng)絡(luò)環(huán)境，IP不等于用戶，端口不等于應(yīng)用。而傳統(tǒng)防火墻的基于IP/端口的控制策略就會失效，用戶可以輕易繞過這些策略，不受控制的訪問互聯(lián)網(wǎng)資源及數(shù)據(jù)中心內(nèi)容，帶來巨大的安全隱患。NGAF不僅具備了精確的用戶和應(yīng)用的識別能力，還可以針對每個數(shù)據(jù)包

30、找出相對應(yīng)的用戶角色和應(yīng)用的訪問權(quán)限。通過將用戶信息、應(yīng)用識別有機結(jié)合，提供角色為應(yīng)用和用戶的可視化界面，真正實現(xiàn)了由傳統(tǒng)的“以設(shè)備為中心”到“以用戶為中心”的應(yīng)用管控模式轉(zhuǎn)變。幫助管理者實施針對何人、何時、何地、何種應(yīng)用動作、何種威脅等多維度的控制，制定出L4-L7層一體化基于用戶應(yīng)用的訪問控制策略，而不是僅僅看到IP地址和端口信息。在這樣的信息幫助下，管理員可以真正把握安全態(tài)勢，實現(xiàn)有效防御，恢復(fù)了對網(wǎng)絡(luò)資源的有效管控。基于應(yīng)用的流量管理傳統(tǒng)防火墻的QOS流量管理策略僅僅是簡單的基于數(shù)據(jù)包優(yōu)先級的轉(zhuǎn)發(fā)，當用戶帶寬流量過大、垃圾流量占據(jù)大量帶寬，而這些流量來源于同一合法端口的不同非法應(yīng)用時，

31、傳統(tǒng)防火墻的QOS便失去意義。NGAF提供基于用戶和應(yīng)用的流量管理功能，能夠基于應(yīng)用做流量控制，實現(xiàn)阻斷非法流量、限制無關(guān)流量保證核心業(yè)務(wù)的可視化流量管理價值。NGAF采用了隊列流量處理機制：首先，將數(shù)據(jù)流根據(jù)各種條件進行分類（如IP地址，URL，文件類型，應(yīng)用類型等分類，像skype、emule屬于P2P類）然后，分類后的數(shù)據(jù)包被放置于各自的分隊列中，每個分類都被分配了一定帶寬值，相同的分類共享帶寬，當一個分類上的帶寬空閑時，可以分配給其他分類，其中帶寬限制是通過限制每個分隊列上數(shù)據(jù)包的發(fā)送速率來限制每個分類的帶寬，提高了帶寬限制的精確度。最后，在數(shù)據(jù)包的出口處，每個分類具備一個優(yōu)先級別，優(yōu)

32、先級高的隊列先發(fā)送，當優(yōu)先級高的隊列中的數(shù)據(jù)包全部發(fā)送完畢后，再發(fā)送優(yōu)先級低的。也可以為分隊列設(shè)置其它排隊方法，防止優(yōu)先級高的隊列長期占用網(wǎng)絡(luò)接口?；趹?yīng)用/網(wǎng)站/文件類型的智能流量管理NGAF可以基于不同用戶(組)、出口鏈路、應(yīng)用類型、網(wǎng)站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配，如保證領(lǐng)導(dǎo)視頻會議的帶寬而限制員工P2P的帶寬、保證市場部訪問行業(yè)網(wǎng)站的帶寬而限制研發(fā)部訪問新聞類網(wǎng)站的帶寬、保證設(shè)計部傳輸CAD文件的帶寬而限制營銷部傳輸RM文件的帶寬。精細智能的流量管理既防止帶寬濫用，又提升帶寬使用效率。P2P的智能識別與靈活控制封IP、端口等管控“帶寬殺手”P2P應(yīng)用的方式極

33、不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。NGAF不僅識別和管控常用P2P、加密P2P，對不常見和未來將出現(xiàn)的P2P亦能管控。而完全封堵P2P可能實施困難，NGAF的P2P流控技術(shù)能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會濫用帶寬，充分滿足管理的靈活性。強化的應(yīng)用層攻擊防護基于應(yīng)用的深度入侵防御NGAF的灰度威脅關(guān)聯(lián)分析引擎具備4000+條漏洞特征庫、3000+Web應(yīng)用威脅特征庫，可以全面識別各種應(yīng)用層和內(nèi)容級別的單一安全威脅；另外，憑借在應(yīng)用層領(lǐng)域10年以上的技術(shù)積累，組建了專業(yè)的安全攻防團隊，可以為用戶定期提供最新的威脅特征庫

34、更新，以確保防御的及時性。下圖為灰度威脅關(guān)聯(lián)分析引擎的工作原理：第一,威脅行為建模,在灰度威脅樣本庫中，形成木馬行為庫、SQL攻擊行為庫、P2P行為庫、病毒蠕蟲行為庫等數(shù)十個大類行為樣本，根據(jù)他們的風險性我們初始化一個行為權(quán)重，如異常流量0.32、病毒蠕蟲0.36等等，同時擬定一個威脅閥值，如閥值=1。 第二，用戶行為經(jīng)過單次解析引擎后，發(fā)現(xiàn)攻擊行為，立即將相關(guān)信息，如IP、用戶、攻擊行為等反饋給灰度威脅樣本庫。第三，在灰度威脅樣本庫中，針對單次解析引擎的反饋結(jié)果，如攻擊行為、IP、用戶等信息，不斷歸并和整理，形成了基于IP、用戶的攻擊行為的表單。第四，基于已有威脅樣本庫，將特定用戶的此次行為

35、及樣本庫中的行為組合，進行權(quán)值計算和閥值比較，例如某用戶的行為組權(quán)重之和為1.24，超過了預(yù)設(shè)的閥值1，我們會認定此類事件為威脅事件。由此可見， 威脅關(guān)聯(lián)分析引擎對豐富的灰度威脅樣本庫和權(quán)重的準確性提出了更高的要求，NGAF在兩方面得以增強：第一，通過NGAF抓包，客戶可以記錄未知流量并提交給的威脅探針云，在云中心，專家會對威脅反復(fù)測試，加快灰度威脅的更新速度，不斷豐富灰度威脅樣本庫。第二，不斷的循環(huán)驗證和權(quán)重微調(diào)，形成了準確的權(quán)重知識庫，為檢測未知威脅奠定了基礎(chǔ)。強化的WEB攻擊防護NGAF能夠有效防護OWASP組織提出的10大web安全威脅的主要攻擊，并于2013年1月獲得了OWASP組織

36、頒發(fā)的產(chǎn)品安全功能測試4星評級證書（最高評級為5星，NGAF為國內(nèi)同類產(chǎn)品評分最高）主要功能如：防SQL注入攻擊SQL注入攻擊產(chǎn)生的原因是由于在開發(fā)web應(yīng)用時，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。NGAF可以通過高效的URL過濾技術(shù)，過濾SQL注入的關(guān)鍵信息，從而有效的避免網(wǎng)站服務(wù)器受到SQL注入攻擊。防XSS跨站腳本攻擊跨站攻擊產(chǎn)生的原理是攻擊者通過向Web頁面里插入惡意html代碼，從而達到特殊目的。NGAF通過先進的數(shù)據(jù)包正則表達式匹

37、配原理，可以準確地過濾數(shù)據(jù)包中含有的跨站攻擊的惡意代碼，從而保護用戶的WEB服務(wù)器安全。防CSRF攻擊CSRF即跨站請求偽造，從成因上與XSS漏洞完全相同，不同之處在于利用的層次上，CSRF是對XSS漏洞更高級的利用，利用的核心在于通過XSS漏洞在用戶瀏覽器上執(zhí)行功能相對復(fù)雜的JavaScript腳本代碼劫持用戶瀏覽器訪問存在XSS漏洞網(wǎng)站的會話，攻擊者可以與運行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權(quán)限執(zhí)行惡意操作。NGAF通過先進的數(shù)據(jù)包正則表達式匹配原理，可以準確地過濾數(shù)據(jù)包中含有的CSRF的攻擊代碼，防止WEB系統(tǒng)遭受跨站請求偽造攻擊。主動防御技術(shù)主動防御可以針對受

38、保護主機接受的URL請求中帶的參數(shù)變量類型，以及變量長度按照設(shè)定的閾值進行自動學(xué)習(xí)，學(xué)習(xí)完成后可以抵御各種變形攻擊。另外還可以通過自定義參數(shù)規(guī)則來更精確的匹配合法URL參數(shù)，提高攻擊識別能力。應(yīng)用信息隱藏NGAF對主要的服務(wù)器（WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等）反饋信息進行了有效的隱藏。防止黑客利用服務(wù)器返回信息進行有針對性的攻擊。如：HTTP出錯頁面隱藏：用于屏蔽Web服務(wù)器出錯的頁面，防止web服務(wù)器版本信息泄露、數(shù)據(jù)庫版本信息泄露、網(wǎng)站絕對路徑暴露，應(yīng)使用自定義頁面返回。HTTP(S)響應(yīng)報文頭隱藏：用于屏蔽HTTP(S)響應(yīng)報文頭中特定的字段信息。FTP信息隱藏：用于隱藏通過正

39、常FTP命令反饋出的FTP服務(wù)器信息，防止黑客利用FTP軟件版本信息采取有針對性的漏洞攻擊。URL防護Web應(yīng)用系統(tǒng)中通常會包含有系統(tǒng)管理員管理界面以便于管理員遠程維護web應(yīng)用系統(tǒng)，但是這種便利很可能會被黑客利用從而入侵應(yīng)用系統(tǒng)。通過NGAF提供的受限URL防護功能，幫助用戶選擇特定URL的開放對象，防止由于過多的信息暴露于公網(wǎng)產(chǎn)生的威脅。弱口令防護弱口令被視為眾多認證類web應(yīng)用程序的普遍風險問題，NGAF通過對弱口令的檢查，制定弱口令檢查規(guī)則控制弱口令廣泛存在于web應(yīng)用程序中。同時通過時間鎖定的設(shè)置防止黑客對web系統(tǒng)口令的暴力破解。HTTP異常檢測通過對HTTP協(xié)議內(nèi)容的單次解析，分

40、析其內(nèi)容字段中的異常，用戶可以根據(jù)自身的Web業(yè)務(wù)系統(tǒng)來量身定造允許的HTTP頭部請求方法，有效過濾其他非法請求信息。文件上傳過濾由于web應(yīng)用系統(tǒng)在開發(fā)時并沒有完善的安全控制，對上傳至web服務(wù)器的信息進行檢查，從而導(dǎo)致web服務(wù)器被植入病毒、木馬成為黑客利用的工具。NGAF通過嚴格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務(wù)器。同時還能夠結(jié)合病毒防護、插件過濾等功能檢查上傳文件的安全性，以達到保護web服務(wù)器安全的目的。用戶登錄權(quán)限防護針對某些特定的敏感頁面或者應(yīng)用系統(tǒng)，如管理員登陸頁面等，為了防止黑客訪問并不斷的進行登錄密碼嘗試，NGAF可以提供訪問URL登錄進行短

41、信認證的方式，提高訪問的安全性。緩沖區(qū)溢出檢測 HYPERLINK /view/266782.htm t _blank 緩沖區(qū)溢出攻擊是利用緩沖區(qū) HYPERLINK /view/164019.htm t _blank 溢出漏洞所進行的攻擊行動?？梢岳盟鼒?zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進而進行各種非法操作。NGAF通過對URL長度，POST實體長度和HTTP頭部內(nèi)容長度檢測來防御此類型的攻擊。全面的終端安全保護傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備對于終端的安全保護僅限于病毒防護。事實上終端的安全不僅僅是病毒，很多用戶在部署過防病毒軟件之后，終端的安全事件依然頻發(fā)，如何完整的保護終端成為眾多用戶關(guān)注的焦點。

42、尤其是最近幾年，互聯(lián)網(wǎng)不斷披露的一些安全事件都涉及到了一種新型，復(fù)雜，存在長期影響的攻擊行為APT。APT 全稱Advanced Persistent Threat（高級持續(xù)性威脅），是以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。傳統(tǒng)防毒墻和殺毒軟件查殺病毒木馬的效果有限，在APT場景下，因為無法解讀數(shù)據(jù)的應(yīng)用層內(nèi)容以及木馬的偽裝技術(shù)逃逸

43、殺毒軟件的檢測，傳統(tǒng)防毒墻和殺毒軟件更是形同虛設(shè)，因此需要一種全面的檢測防護機制，用于發(fā)現(xiàn)和定位內(nèi)部網(wǎng)絡(luò)受病毒木馬感染的機器。APT檢測NGAF的APT檢測功能主要解決的問題：針對內(nèi)網(wǎng)PC感染了病毒、木馬的機器，其病毒、木馬試圖與外部網(wǎng)絡(luò)通信時，AF識別出該流量，并根據(jù)用戶策略進行阻斷和記錄日志。幫助客戶能夠定位出那臺PC中毒，并能阻斷其網(wǎng)絡(luò)流量，避免一些非法惡意數(shù)據(jù)進入客戶端，起到更好的防護效果。NGAF的APT檢測功能主要由兩部分檢測內(nèi)容來實現(xiàn)：1.遠控木馬檢測在應(yīng)用特征識別庫當中存在一類木馬控制的應(yīng)用分類。這部分木馬具有較明顯的網(wǎng)絡(luò)惡意行為特征，且行為過程不經(jīng)由HTTP協(xié)議交互，故通過專

44、門制作分析的應(yīng)用特征來進行識別。如灰鴿子，熾天使，冰河木馬，網(wǎng)絡(luò)守望者等等。此種類型的木馬也隨應(yīng)用識別規(guī)則庫的更新而更新。2.僵尸網(wǎng)絡(luò)檢測僵尸網(wǎng)絡(luò)檢測主要是通過匹配內(nèi)置的僵尸網(wǎng)絡(luò)識別庫來實現(xiàn)。該特征庫包含木馬，廣告軟件，惡意軟件，間諜軟件，后門，蠕蟲，漏洞，黑客工具，病毒9大分類。特征庫的數(shù)量目前已達數(shù)十萬，并且依然以每兩周升級一次的速度進行更新。除了APT攻擊檢測功能，在終端安全防護方面還提供了基于漏洞和病毒特征的增強防護，確保終端的全面安全終端漏洞防護內(nèi)網(wǎng)終端仍然存在漏洞被利用的問題，多數(shù)傳統(tǒng)安全設(shè)備僅僅提供基于服務(wù)器的漏洞防護，對于終端漏洞的利用視而不見。NGAF同時提供基于終端的漏洞保

45、護能防護如：后門程序預(yù)防、協(xié)議脆弱性保護、exploit保護、網(wǎng)絡(luò)共享服務(wù)保護、shellcode預(yù)防、間諜程序預(yù)防等基于終端的漏洞防護，有效防止了終端漏洞被利用而成為黑客攻擊的跳板。終端病毒防護NGAF提供基于終端的病毒防護功能，從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進行病毒查殺，亦可查殺壓縮包（zip，rar，7z等）中的病毒，內(nèi)置百萬級別病毒樣本，確保查殺效果。專業(yè)攻防研究團隊確保持續(xù)更新NGAF的統(tǒng)一威脅識別具備4000+條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意內(nèi)容特征庫、3000+Web應(yīng)用威脅特征庫，可以全面識別各種應(yīng)用層和內(nèi)容級別的各種安全威脅。其漏洞特征庫已通過

46、國際最著名的安全漏洞庫CVE嚴格的兼容性標準評審，獲得CVE兼容性認證（CVE Compatible）。憑借在應(yīng)用層領(lǐng)域7年以上的技術(shù)積累組建了專業(yè)的安全攻防團隊，作為微軟的MAPP（Microsoft Active Protections Program）項目合作伙伴，可以在微軟發(fā)布安全更新前獲得漏洞信息，為客戶提供更及時有效的保護，以確保防御的及時性。獨特的雙向內(nèi)容檢測技術(shù)只提供基于應(yīng)用層安全防護功能的方案，并不是一個完整的安全方案，對于服務(wù)器的保護傳統(tǒng)解決方案通常是通過防火墻、IPS、AV、WAF等設(shè)備的疊加來達到多個方面的安全防護效果。這種方式功能模塊的分散，雖然能防護主流的攻擊手段，

47、但并不是真正意義上的統(tǒng)一防護。這既增加了成本，也增加了組網(wǎng)復(fù)雜度、提升了運維難度。從技術(shù)角度來說，一個黑客完整的攻擊入侵過程包括了網(wǎng)絡(luò)層和應(yīng)用層、內(nèi)容級別等多個層次方式方法，如果將這些威脅割裂開處理進行防護，各種防護設(shè)備之間缺乏智能的聯(lián)動，很容易出現(xiàn)“三不管”的灰色地帶，出現(xiàn)防護真空。比如當年盛極一時的蠕蟲“SQL Slammer”，在發(fā)送應(yīng)用層攻擊報文之前會發(fā)送大量的“正常報文”進行探測，即使IPS有效阻斷了攻擊報文，但是這些大量的“正常報文”造成了網(wǎng)絡(luò)擁塞，反而意外的形成了DOS攻擊，防火墻無法有效防護。因此，“具備完整的L2-L7完整的安全防護功能”就是Gartner定義的“額外的防火墻

48、智能”實現(xiàn)前提，才能做到真正的內(nèi)核級聯(lián)動，為用戶的業(yè)務(wù)系統(tǒng)提供一個真正的“銅墻鐵壁”。網(wǎng)關(guān)型網(wǎng)頁防篡改網(wǎng)頁防篡改是NGAF服務(wù)器防護中的一個子模塊，其設(shè)計目的在于提供的一種事后補償防護手段，即使黑客繞過安全防御體系修改了網(wǎng)站內(nèi)容，其修改的內(nèi)容也不會發(fā)布到最終用戶處，從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟損失等問題。NGAF通過網(wǎng)關(guān)型的網(wǎng)頁防篡改（對服務(wù)器“0”影響），第一時間攔截網(wǎng)頁篡改的信息并通知管理員確認。同時對外提供篡改重定向功能，提供正常界面、友好界面、web備份服務(wù)器的重定向，保證用戶仍可正常訪問網(wǎng)站。NGAF網(wǎng)站篡改防護功能使用網(wǎng)關(guān)實現(xiàn)動靜態(tài)網(wǎng)頁防篡改功能。這種實現(xiàn)

49、方式相對于主機部署類防篡改軟件而言，客戶無需在服務(wù)器上安裝第三方軟件，易于使用和維護，在防篡改部分基于網(wǎng)絡(luò)字節(jié)流的檢測與恢復(fù)，對服務(wù)器性能沒有影響?？啥x的敏感信息防泄漏NGAF提供可定義的敏感信息防泄漏功能，根據(jù)儲存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進行有效識別、報警并阻斷，防止大量敏感信息被非法泄露。（如：用戶信息/郵箱賬戶信息/MD5加密密碼/銀行卡號/身份證號碼/社保賬號/信用卡號/手機號碼）應(yīng)用協(xié)議內(nèi)容隱藏NGAF可針對主要的服務(wù)器（WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等）

50、反饋信息進行了有效的隱藏。防止黑客利用服務(wù)器返回信息進行有針對性的攻擊。如：HTTP出錯頁面隱藏、響應(yīng)報頭隱藏、FTP信息隱藏等。智能的網(wǎng)絡(luò)安全防御體系風險評估與策略聯(lián)動NGAF基于時間周期的安全防護設(shè)計提供事前風險評估及策略聯(lián)動的功能。通過端口、服務(wù)、應(yīng)用掃描幫助用戶及時發(fā)現(xiàn)端口、服務(wù)及漏洞風險，并通過模塊間的智能策略聯(lián)動及時更新對應(yīng)的安全風險的安全防護策略。幫助用戶快速診斷電子商務(wù)平臺中各個節(jié)點的安全漏洞問題，并做出有針對性的防護策略。智能的防護模塊聯(lián)動智能的主動防御技術(shù)可實現(xiàn)NGAF內(nèi)部各個模塊之間形成智能的策略聯(lián)動，如一個IP/用戶持續(xù)向內(nèi)網(wǎng)服務(wù)器發(fā)起各類攻擊則可通過防火墻策略暫時阻斷

51、IP/用戶。智能防護體系的建立可有效的防止工具型、自動化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。同時也使得管理員維護變得更為簡單，可實現(xiàn)無網(wǎng)管的自動化安全管理。智能建模及主動防御NGAF提供智能的自主學(xué)習(xí)以及自動建模技術(shù)，通過匹配防護URL中的參數(shù)，學(xué)習(xí)參數(shù)的類型和一般長度，當學(xué)習(xí)次數(shù)累積達到預(yù)設(shè)定的閾值時，則會加入到白名單列表，后續(xù)過來的請求只要符合改白名單規(guī)則則放行，不符合則阻斷。可實現(xiàn)網(wǎng)絡(luò)的智能管理，簡化運維。更高效的應(yīng)用層處理能力為了實現(xiàn)強勁的應(yīng)用層處理能力，NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計算工作的硬件設(shè)計，采用了更加適合應(yīng)用層靈活計算能力的多核并

52、行處理技術(shù)；在系統(tǒng)架構(gòu)上，NGAF也放棄了UTM多引擎，多次解析的架構(gòu)，而采用了更為先進的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應(yīng)用層威脅統(tǒng)一進行檢測匹配，從而提升了工作效率，實現(xiàn)了萬兆級的應(yīng)用安全防護能力。涵蓋傳統(tǒng)安全功能NGAF除了關(guān)注來自應(yīng)用層的威脅以外，也涵蓋了傳統(tǒng)防火墻的所有基礎(chǔ)功能，使得客戶在使用原有傳統(tǒng)防火墻的基礎(chǔ)上可以實現(xiàn)無縫切換到下一代防火墻。智能DOS/DDOS攻擊防護NGAF采用自主研發(fā)的DOS攻擊算法，可防護基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報文的DOS攻擊、TCP協(xié)議報文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實現(xiàn)對網(wǎng)絡(luò)層、應(yīng)

53、用層的各類資源耗盡的拒絕服務(wù)攻擊的防護，實現(xiàn)L2-L7層的異常流量清洗。融合領(lǐng)先的IPSecVPNNGAF融合了國內(nèi)市場占有率第一的IPSec VPN模塊，實現(xiàn)高安全防護、高投資回報的分支機構(gòu)安全建設(shè)目標，并支持對加密隧道數(shù)據(jù)進行安全攻擊檢測，對通道內(nèi)存在的IPS攻擊威脅進行流量清洗，全面提升廣域網(wǎng)隔離的安全性。統(tǒng)一集中管理平臺NGAF提供統(tǒng)一集中管理平臺實現(xiàn)對分支各設(shè)備的集中監(jiān)管，可實現(xiàn)各分支設(shè)備的硬件資源情況實時上報以及安全日志匯總，集中管理配置下發(fā)與遠程獨立配置，提高管理效率，簡化運維成本。靈活的應(yīng)用部署方式NGAF支持多種部署模式，包括可以在互聯(lián)網(wǎng)出口做代理網(wǎng)關(guān)，或在不改變客戶原有拓撲的情況下可做透明橋接或數(shù)據(jù)轉(zhuǎn)發(fā)更高效的虛擬網(wǎng)線模式，同時也支持在交換機上做鏡像把數(shù)據(jù)映射一份到設(shè)備做旁路部署以及支持二、三層接口混合使用的混合部署等，另外還提供了端口鏈路聚合功能，提高鏈路帶寬和可靠