NGAF是面向應(yīng)用層設(shè)計(jì),能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容,具備完整安全防護(hù)能力,能夠全面替代傳統(tǒng)防火墻,并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控、應(yīng)用可視化、應(yīng)用內(nèi)容防護(hù)等方面的巨大不足,同時(shí)開啟所有功能后性能不會(huì)大幅下降。
NGAF 不但可以提供基礎(chǔ)網(wǎng)絡(luò)安全功能,如狀態(tài)檢測、VPN、抗DDoS、NAT等;還實(shí)現(xiàn)了統(tǒng)一的應(yīng)用安全防護(hù),可以針對一個(gè)入侵行為中的各種技術(shù)手段進(jìn)行統(tǒng)一的檢測和防護(hù),如應(yīng)用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。NGAF可以為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場景提供更加精細(xì)、更加全面、更高性能的應(yīng)用內(nèi)容防護(hù)方案。
更精細(xì)的應(yīng)用層安全控制
當(dāng)前網(wǎng)絡(luò)環(huán)境中,應(yīng)用已成為網(wǎng)絡(luò)的主要載體,而網(wǎng)絡(luò)安全的威脅更多的來源于應(yīng)用層,這也使得用戶對于網(wǎng)絡(luò)訪問控制提出更高的要求。如何精確的識(shí)別出用戶和應(yīng)用、阻斷有安全隱患的應(yīng)用、保證合法應(yīng)用正常使用、防止端口盜用等問題,已成為現(xiàn)階段用戶對網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。但I(xiàn)P不等于用戶、端口不等于應(yīng)用,傳統(tǒng)防火墻基于IP/端口的五元組訪問控制策略已不能有效的應(yīng)對現(xiàn)階段網(wǎng)絡(luò)環(huán)境的巨大變化。
NGAF采用獨(dú)創(chuàng)的應(yīng)用可視化技術(shù),可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對應(yīng)用的識(shí)別和控制,而不僅僅依賴于端口或協(xié)議,擺脫了傳統(tǒng)設(shè)備只能通過IP地址來控制的尷尬,即使加密過的數(shù)據(jù)流也能應(yīng)付自如。
目前,NGAF可以識(shí)別700多種應(yīng)用及其1000多種應(yīng)用動(dòng)作,還可以與多種認(rèn)證系統(tǒng)(AD、LDAP、Radius等)、應(yīng)用系統(tǒng)(POP3、SMTP等)無縫對接,自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對應(yīng)的用戶信息,并建立組織的用戶分組結(jié)構(gòu);既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求,同時(shí)滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求,可以識(shí)別和控制豐富的內(nèi)網(wǎng)應(yīng)用,如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,針對用戶應(yīng)用系統(tǒng)更新服務(wù)的訴求,NGAF還可以精細(xì)識(shí)別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴(yán)格的環(huán)境下,系統(tǒng)軟件更新服務(wù)暢通無阻。
因此,通過應(yīng)用可視化技術(shù)制定的L3-L7一體化應(yīng)用訪問控制策略,可以為用戶提供更加精細(xì)和直觀化控制界面,在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作,提升工作效率。
更全面的內(nèi)容級安全防護(hù)
網(wǎng)絡(luò)安全與黑客技術(shù)的發(fā)展使得用戶面臨的威脅不再單單是一個(gè)病毒一個(gè)木馬、一次DOS攻擊這樣的簡單攻擊。黑客可采用豐富的工具,利用眾多的漏洞,結(jié)合多種攻擊手段進(jìn)行混合型的破壞性攻擊,具有代表性的如Slammer、Blaster等。而信息獲取和攻擊代碼往往也隱藏在正常的應(yīng)用訪問中,這種混合型安全威脅的出現(xiàn)也給網(wǎng)絡(luò)安全建設(shè)提出新的要求:需要采用更全面的防護(hù)手段,防止安全短板被利用;需要深入到應(yīng)用內(nèi)容的安全防護(hù),以識(shí)別和預(yù)防潛在威脅。
NGAF融合了漏洞防護(hù)、web安全防護(hù)、病毒防護(hù)等多種安全技術(shù),具備2000+條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意內(nèi)容特征庫、1000+Web應(yīng)用威脅特征庫,可以全面識(shí)別各種應(yīng)用層和內(nèi)容級別的各種安全威脅。通過灰度威脅關(guān)聯(lián)分析技術(shù)將數(shù)據(jù)包還原的內(nèi)容進(jìn)行全面的威脅檢測,并可以針對黑客入侵過程中使用的不同攻擊方法進(jìn)行關(guān)聯(lián)分析,從而精確定位出一個(gè)黑客的攻擊行為,有效阻斷威脅風(fēng)險(xiǎn)的發(fā)生。灰度威脅識(shí)別技術(shù)改變了傳統(tǒng)IPS等設(shè)備防御威脅種類單一,威脅檢測經(jīng)常出現(xiàn)漏報(bào)、誤報(bào)的問題,可以幫助用戶最大程度減少風(fēng)險(xiǎn)短板的出現(xiàn),保證業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。
此外,深信服憑借在應(yīng)用層領(lǐng)域6年以上的技術(shù)積累,組建了專業(yè)的安全攻防團(tuán)隊(duì),可以為用戶定期提供最新的威脅特征庫更新,以確保防御的及時(shí)性。
更高性能的應(yīng)用層處理能力
性能和安全往往是傳統(tǒng)安全設(shè)備是無法權(quán)衡的問題。尤其在應(yīng)用層安全防護(hù)功能開啟時(shí),該問題尤為明顯。在帶寬不斷提升、威脅不斷增多的網(wǎng)絡(luò)環(huán)境下,用戶不得不在兩者做出艱難的選擇。
為了實(shí)現(xiàn)強(qiáng)勁的應(yīng)用層處理能力,NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計(jì)算工作的硬件設(shè)計(jì),采用了更加適合應(yīng)用層靈活計(jì)算能力的多核并行處理技術(shù);在系統(tǒng)架構(gòu)上,NGAF也放棄了UTM多引擎,多次解析的架構(gòu),而采用了更為先進(jìn)的一體化單次解析引擎,將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應(yīng)用層威脅統(tǒng)一進(jìn)行檢測匹配,從而提升了工作效率,實(shí)現(xiàn)了萬兆級的應(yīng)用安全防護(hù)能力。
更完整的安全防護(hù)方案
只提供基于應(yīng)用層安全防護(hù)功能的方案,并不是一個(gè)完整的安全方案。對于用戶來說,還需要采購基礎(chǔ)網(wǎng)絡(luò)層的安全設(shè)備(FW、VPN),既增加了成本,也增加了組網(wǎng)復(fù)雜度、提升了運(yùn)維難度。從技術(shù)角度來說,一個(gè)黑客完整的攻擊入侵過程包括了網(wǎng)絡(luò)層和應(yīng)用層、內(nèi)容級別等多個(gè)層次方式方法,如果將這些威脅割裂開處理進(jìn)行防護(hù),各種防護(hù)設(shè)備之間缺乏智能的聯(lián)動(dòng),很容易出現(xiàn)“三不管”的灰色地帶,出現(xiàn)防護(hù)真空。
NGAF涵蓋傳統(tǒng)防火墻、IPS的主要功能,內(nèi)部能夠?qū)崿F(xiàn)內(nèi)核級聯(lián)動(dòng),是一個(gè)“L2-L7完整的安全防護(hù)產(chǎn)品”。這也是Gartner定義的“額外的防火墻智能”實(shí)現(xiàn)的前提,做到真正的內(nèi)核級聯(lián)動(dòng),才能為用戶的業(yè)務(wù)系統(tǒng)提供一個(gè)安全防護(hù)的“銅墻鐵壁”。
功能價(jià)值
成功案例
 |
新疆聯(lián)通大客戶高流量互聯(lián)網(wǎng)出口
新疆聯(lián)通為了給其大客戶提供安全、穩(wěn)定的互聯(lián)網(wǎng)接入業(yè)務(wù),同時(shí)確保大客戶門戶網(wǎng)站的訪問安全性,在大客戶的互聯(lián)網(wǎng)出口和服務(wù)器前端分別部署2臺(tái)高性能NGAF設(shè)備,提供應(yīng)用管控、服務(wù)器防護(hù)、終端內(nèi)容過濾等功能,并且可以滿足未來5年8G以上流量,10000人以上并發(fā)的高性能需求。
|
| |
|
安徽衛(wèi)生廳全省衛(wèi)生綜合管理平臺(tái)建設(shè)
深信服NGAF為全省各縣管理平臺(tái)提供針對服務(wù)器風(fēng)險(xiǎn)的2-7層一體化安全解決方案,有效保障管理平臺(tái)安全的同時(shí),簡化了組網(wǎng)、方便了運(yùn)維、節(jié)約了投資,為各縣級市投資利益最大化提供了最優(yōu)的解決方案。目前全省已成功部署10多臺(tái),其他各縣市也將陸續(xù)部署深信服NGAF下一代防火墻。
|
| |
|
陜煤集團(tuán)門戶網(wǎng)站安全建設(shè)
門戶網(wǎng)站面臨越來越嚴(yán)峻的WEB安全形勢,諸如注入攻擊、跨站攻擊、DDOS攻擊、腳本攻擊、暴力破解等安全事件屢見不鮮,而已經(jīng)部署的防火墻、IPS等設(shè)備在應(yīng)對WEB攻擊時(shí)顯得力不從心。通過部署深信服下一代防火墻,為陜煤集團(tuán)門戶提供基于攻擊過程的Web安全防護(hù)解決方案。
|
| |
|
貴陽市地方稅務(wù)局實(shí)現(xiàn)互聯(lián)網(wǎng)出口統(tǒng)一安全防護(hù)
貴陽地稅局在互聯(lián)網(wǎng)出口部署深信服NGAF產(chǎn)品,實(shí)現(xiàn)惡意網(wǎng)站訪問的控制、網(wǎng)頁惡意代碼過濾、終端系統(tǒng)漏洞防護(hù)、病毒木馬查殺等功能,確保了內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的安全性;同時(shí),NGAF的部署極大簡化了組網(wǎng),微秒級的延時(shí)確保了用戶訪問互聯(lián)網(wǎng)的高效體驗(yàn)。
|
| |
|
重慶百事達(dá)實(shí)現(xiàn)網(wǎng)站安全防護(hù)及流量帶寬保障
由于門戶網(wǎng)站與上網(wǎng)終端同屬一個(gè)出口,有限的帶寬、巨大的訪問量以及P2P泛濫給百事達(dá)IT部門帶來巨大壓力。深信服NGAF的部署,將WEB服務(wù)器單獨(dú)劃分DMZ區(qū)進(jìn)行強(qiáng)化的WEB安全防護(hù),并制定帶寬保障策略。同時(shí)通過應(yīng)用管控,限制大量非法、存在風(fēng)險(xiǎn)的互聯(lián)網(wǎng)應(yīng)用,使IT部門的壓力降到最低。
|
| |
|
河北農(nóng)業(yè)大學(xué)打造園區(qū)網(wǎng)出口安全和審計(jì)方案
深信服提供下一代防火墻和上網(wǎng)行為管理的互聯(lián)網(wǎng)出口解決方案。將河北農(nóng)業(yè)大學(xué)園區(qū)網(wǎng)的幾個(gè)重要組成部分合理的劃分安全域,有效保證各個(gè)網(wǎng)絡(luò)的獨(dú)立性;針對教務(wù)系統(tǒng)服務(wù)器提供漏洞防護(hù)、服務(wù)器防護(hù)等功能,保障教務(wù)系統(tǒng)的安全;通過上網(wǎng)行為管理解決了互聯(lián)網(wǎng)安全審計(jì)的難題,有效控制來自互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)。
|
| |
點(diǎn)擊圖片查看原圖
