產品型號:AF-1020
概述:
NGAF是麵向應用層設計,能夠精確識別用戶、應用和內容,具備完整安全防護能力,能夠全麵替代傳統防火墻,並具有強勁應用層處理能力的全新網路安全設備。NGAF解決瞭傳統安全設備在應用管控、應用可視化、應用內容防護等方麵的巨大不足,同時開啟所有功能後性能不會大幅下降。
NGAF 不但可以提供基礎網路安全功能,如狀態檢測、VPN、抗DDoS、NAT等;還實現瞭統一的應用安全防護,可以針對一個入侵行為中的各種技術手段進行統一的檢測和防護,如應用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。NGAF可以為不同規模的行業用戶的數據中心、廣域網邊界、互聯網邊界等場景提供更加精細、更加全麵、更高性能的應用內容防護方案。
更精細的應用層安全控製
當前網路環境中,應用已成為網路的主要載體,而網路安全的威脅更多的來源於應用層,這也使得用戶對於網路訪問控製提出更高的要求。如何精確的識別出用戶和應用、阻斷有安全隱患的應用、保證合法應用正常使用、防止端口盜用等問題,已成為現階段用戶對網路安全關註的焦點。但IP不等於用戶、端口不等於應用,傳統防火墻基於IP/端口的五元組訪問控製策略已不能有效的應對現階段網路環境的巨大變化。
NGAF采用獨創的應用可視化技術,可以根據應用的行為和特征實現對應用的識別和控製,而不僅僅依賴於端口或協議,擺脫瞭傳統設備隻能通過IP地址來控製的尷尬,即使加密過的數據流也能應付自如。
目前,NGAF可以識別700多種應用及其1000多種應用動作,還可以與多種認證系統(AD、LDAP、Radius等)、應用系統(POP3、SMTP等)無縫對接,自動識別出網路當中IP地址對應的用戶信息,並建立組織的用戶分組結構;既滿足瞭普通互聯網邊界行為管控的要求,同時滿足瞭在內網數據中心和廣域網邊界的部署要求,可以識別和控製豐富的內網應用,如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,針對用戶應用系統更新服務的訴求,NGAF還可以精細識別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴格的環境下,系統軟件更新服務暢通無阻。
因此,通過應用可視化技術製定的L3-L7一體化應用訪問控製策略,可以為用戶提供更加精細和直觀化控製界麵,在一個界麵下完成多套設備的運維工作,提升工作效率。
更全麵的內容級安全防護
網路安全與黑客技術的發展使得用戶麵臨的威脅不再單單是一個病毒一個木馬、一次DOS攻擊這樣的簡單攻擊。黑客可采用豐富的工具,利用眾多的漏洞,結合多種攻擊手段進行混合型的破壞性攻擊,具有代表性的如Slammer、Blaster等。而信息獲取和攻擊代碼往往也隱藏在正常的應用訪問中,這種混合型安全威脅的出現也給網路安全建設提出新的要求:需要采用更全麵的防護手段,防止安全短板被利用;需要深入到應用內容的安全防護,以識別和預防潛在威脅。
NGAF融合瞭漏洞防護、web安全防護、病毒防護等多種安全技術,具備2000+條漏洞特征庫、數十萬條病毒、木馬等惡意內容特征庫、1000+Web應用威脅特征庫,可以全麵識別各種應用層和內容級別的各種安全威脅。通過灰度威脅關聯分析技術將數據包還原的內容進行全麵的威脅檢測,並可以針對黑客入侵過程中使用的不同攻擊方法進行關聯分析,從而精確定位出一個黑客的攻擊行為,有效阻斷威脅風險的發生。灰度威脅識別技術改變瞭傳統IPS等設備防禦威脅種類單一,威脅檢測經常出現漏報、誤報的問題,可以幫助用戶最大程度減少風險短板的出現,保證業務系統穩定運行。
此外,深信服憑借在應用層領域6年以上的技術積累,組建瞭專業的安全攻防團隊,可以為用戶定期提供最新的威脅特征庫更新,以確保防禦的及時性。
更高性能的應用層處理能力
性能和安全往往是傳統安全設備是無法權衡的問題。尤其在應用層安全防護功能開啟時,該問題尤為明顯。在帶寬不斷提升、威脅不斷增多的網路環境下,用戶不得不在兩者做出艱難的選擇。
為瞭實現強勁的應用層處理能力,NGAF拋棄瞭傳統防火墻NP、ASIC等適合執行網路層重復計算工作的硬件設計,采用瞭更加適合應用層靈活計算能力的多核並行處理技術;在系統架構上,NGAF也放棄瞭UTM多引擎,多次解析的架構,而采用瞭更為先進的一體化單次解析引擎,將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應用層威脅統一進行檢測匹配,從而提升瞭工作效率,實現瞭萬兆級的應用安全防護能力。
更完整的安全防護方案
隻提供基於應用層安全防護功能的方案,並不是一個完整的安全方案。對於用戶來說,還需要采購基礎網路層的安全設備(FW、VPN),既增加瞭成本,也增加瞭組網復雜度、提升瞭運維難度。從技術角度來說,一個黑客完整的攻擊入侵過程包括瞭網路層和應用層、內容級別等多個層次方式方法,如果將這些威脅割裂開處理進行防護,各種防護設備之間缺乏智能的聯動,很容易出現“三不管”的灰色地帶,出現防護真空。
NGAF涵蓋傳統防火墻、IPS的主要功能,內部能夠實現內核級聯動,是一個“L2-L7完整的安全防護產品”。這也是Gartner定義的“額外的防火墻智能”實現的前提,做到真正的內核級聯動,才能為用戶的業務系統提供一個安全防護的“銅墻鐵壁”。
功能價值:
多種功能融合、縱深安全防禦、一體化安全防護 | |
技術功能 | 功能價值 |
IPS漏洞防護 | 基於漏洞以及攻擊行為的特征庫,提供自動或手動升級方式。防禦包括蠕蟲、木馬、後門、應用層DOS/DDOS、掃描、間諜軟件、漏洞攻擊、緩沖區溢出、協議異常、IPS逃逸攻擊等 |
服務器防護 | 針對OWASP提出的WEB安全威脅的防護,如SQL註入、XSS、CSRF等;提供網站路徑保護,暴力破解防護;WEB服務隱藏FTP隱藏、FTP、telent弱口令防護;文件上傳過濾、URL黑名單等多種服務器防護功能 |
病毒防護 | 基於流引擎查毒技術,可以針對HTTP、FTP、SMTP、POP3等協議進行查殺;可實時查殺大量文件型、網路型和混合型等各類病毒;並采用新一代虛擬脫殼和行為判斷技術,準確查殺各種變種病毒、未知病毒 |
WEB安全防護 | 提供URL過濾、文件過濾、ActiveX過濾、腳本過濾等多種WEB安全防護手段 |
透視網路應用、精細控製策略、規避應用安全風險 | |
技術功能 | 功能價值 |
可視化應用管控 | 擁有國內最大的應用規則識別庫,可識別數百種互聯網應用,上千種應用規則策略 |
可識別豐富的內網應用如:Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LADP等 | |
精確識別Microsoft、360、Symantec、Sogou、kaspersky、金山毒霸、江民殺毒等軟件更新保障嚴格管控下系統軟件更新暢通無阻 | |
提供基於應用識別類型、用戶名、介面、安全域、IP地址、端口、時間進行應用訪問控製列表的製定 |
豐富日志報表、統一集中管理、最優運維成本 | |
技術功能 | 功能價值 |
數據中心 | 提供內置數據中心和獨立數據中心 |
詳細報表 | 提供統計報表、趨勢報表、匯總報表、匯總對比報表、指定對比報表危險行為報表、流速趨勢報表等多種報表 |
統計分析 | 提供詳細的IPS/服務器防護統計、病毒信息統計分析 |
智能風險報表 | 提供根據管理者自定義的風險行為特征自動挖掘並輸出風險行為智能報表 |
限製無關應用、保障核心業務、優化帶寬利用率 | |
技術功能 | 功能價值 |
可視化流量管理 | 基於應用、網站、文件、時間、目標IP以及用戶的多種流量控製 |
多線路技術、虛擬多線路技術、智能選路技術對多線路分別實現流控 | |
保障核心業務、限製合法業務、阻斷非法業務 |
適應復雜場景、抵禦網路攻擊、合理規劃安全域 | |
技術功能 | 功能價值 |
包過濾與狀態檢測 | 提供靜態的包過濾和動態包過濾功能 |
抗攻擊 | 能夠防禦DOS/DDOS、land,smurf,synflood,icmpflood等網路層攻擊 |
NAT | 提供一對一、多對一、多對多等地址轉換方式;支持多種NAT ALG,包括DNS、FTP、H.323、SIP |
VPN模塊 | 內置VPN模塊能實現VPN互聯 |
IP協議/路由 | 支持靜態路由、RIP v1/2、OSPF、策略路由等多種路由協議 |
產品方案:
需求概述
互聯網及IT技術的應用在改變人類生活的同時,也滋生瞭各種各樣的新問題,其中信息網路安全問題將成為其麵對的最重要問題之一。網路帶寬的擴充、IT應用的豐富、互聯網用戶的膨脹式發展,使得網路和信息平臺早已成為攻擊愛好者和安全防護者最激烈鬥爭的舞臺。Web時代的安全問題已遠遠超於早期的單機安全問題,盡管防火墻、IDS、UTM等傳統安全產品在不斷的發展和自我完善,但是道高一尺魔高一丈,黑客們不僅專門針對安全設備開發各種工具來偽裝攻擊、逃避檢測,在攻擊和入侵的形式上也與應用相結合越來越緊密。這些都使傳統的安全設備在保護網路安全上越來越難。目前更多的出現瞭以下的安全問題:
投資成本攀升,運維效率下降
許多企業為瞭應對復雜的安全威脅,購買瞭多個廠商的安全產品,安全建設猶如堆積木一般。購買的安全防護產品愈來愈多,問題也隨之出現:大量的安全防護產品部署,需要大量專業安全管理人員負責維護,復雜的安全架構使得管理同樣變得復雜化,由於企業采用瞭多套安全解決方案,這就要求有很多技術人員精通不同廠商的解決方案。購買產品很簡單,日常運維很復雜,這對企業本來就有限的IT人員、安全管理人員來講是非常痛苦和困難的事情。而且不同廠商安全解決方案之間的協調性也有待商榷,當專業化的攻擊和威脅來臨時,這些安全產品之間能不能發揮協同作用抵禦威脅這還是一個很大的問號。對企業的管理者來說,如何降低管理成本、提高運維效率、提升企業安全水平,是目前最急待解決的問題。
“數據庫泄密”、“網頁遭篡改”等應用層安全事件頻現
2011年上半年,索尼超過1億個客戶帳戶的詳細資料和1200萬個沒有加密的信用卡號碼失竊,索尼已花掉瞭1.71億美元用於泄密事件之後的客戶挽救、法律成本和技術改進這筆損失隻會有增無減。
2011年5月10日上午消息,一些兜售廉價軟件的黑客攻擊瞭多個知名網站,包括美國宇航局(以下簡稱“NASA”)和斯坦福大學的網站。
有網友就在微博中反映:買傢在自己開的網店購物之後,付款時卻將貨款打到一個不相乾的帳戶。後查明,是這個買傢此前已經中毒。這種情況下,在中毒電腦上進行的所有交易都將給騙子付款。
盡管部署瞭眾多安全設備,此類問題仍然頻發,原因何在:
> 當前攻擊層次逐步向應用層轉變,傳統防火墻失效;
> 黑客采取混合攻擊,組合多種威脅方法,傳統的單點式安全設備失效;
> 黑客采取混合攻擊,單點式安全設備串聯,或是UTM, 由於都未真正融合眾多安全功能,無法將各種攻擊信息關聯和共享,無法跟蹤黑客攻擊攻擊各個環節,漏網威脅與日俱增。
網管員對企業流量束手無策
當前網路中流量多為七層應用,傳統安全設備對其不可見,致使IT管理員無法瞭解哪些應用處於使用中以及哪些用戶在使用這些應用,無法輕松區分好應用和壞應用,無法根據網路狀況實施控製策略,如何將網路控製權重新還給IT管理員亟待解決。
部署UTM,網路中斷或訪問變慢
UTM貌似可以解決以上問題,然而,UTM非多種安全防護功能的真正集成,功能全開後性能大幅下降,花重金購置的設備被迫成為瞭擺設,客戶急需真正的一體化安全設備且不應該導致網路運行中斷。
內網出現威脅,追究責任困難
企業內網擁有強大的認證系統,傳統安全產品無法與之有機結合,使之孤立存在,從而內網安全機製無法定位到人員,出現問題隻能定位於大量的IP地址,網管不是計算機,從一大堆的IP地址中,定位具體人員十分困難。
安全設備越快適應現網的認證系統,並充分融合,安全問題真正落實到位,是多年來企業IT人員的夢想。
安全建設方案
為瞭能夠更好的針對當前網路安全現狀,控製好可能發生的各種安全風險,建議采用下一代防火墻深信服NGAF針對業務系統進行全麵的安全加固。
首先,我們建議將整個業務系統劃分為如下網路安全域:
數據中心安全域:包括各種應用系統和服務器,如OA、視訊、ERP、MAIL等,由於是整個IT系統的核心,安全級別最高;
廣域網邊界安全域:各個分支機構通過專網接入總部局域網,訪問各種業務應用系統,主要包括構建專網的核心路由器、分支路由器;
互聯網接入安全域:由於內部終端、對外發佈業務系統(如網上交易系統)都需要與互聯網相連,訪問互聯網資源或者對外提供業務。此區域安全風險最高,需要重點隔離與控製;
內網辦公安全域:包括總部內網的辦公終端,為不同的部門提供高速、穩定的網路接入;
其次,根據這些網路安全域之間的訪問關系、安全級別,我們建議在如下位置部署NGAF進行一體化的L2-L7安全防護與控製,整體方案如下圖所示:
NGAF部署的總體方案
數據中心服務器保護
內部數據中心的服務器承載的業務尤為重要,是整個IT系統的核心組成部分,因此需要從如下四個方麵著重考慮:
1)訪問控製:誰可以訪問數據中心?什麼應用可以訪問數據中心?盜用IP身份怎麼辦?如何防止應用的濫用和誤用?傳統防火墻基於端口/IP能否解決?
2)威脅攻擊的問題:如何保護數據中心免受病毒、木馬攻擊;防止數據中心服務器被攻擊
3)數據中心可用性:數據中心流量大,需要有效保證核心業務可用性
4)安全事件應用響應問題:如何瞭解數據中心安全風險問題?是否可以幫助管理員製定策略?
數據中心方案拓撲
通過在數據中心核心交換機外側部署深信服NGAF可以幫助我們實現如下四個安全目標:
1)麵向用戶、應用的安全訪問:將訪問控製權限精確到用戶與業務系統,有效解決瞭傳統防火墻IP/端口的策略無法精確管理的問題。讓業務開放對象更為明瞭、管理更方便、策略更易懂。
2)7層的內容安全檢測:7層一體化安全防護(包括漏洞防護、服務器防護、病毒防護等)以及智能的內容安全過濾功能,防止各種應用威脅乾擾服務器的穩定運行,確保核心業務數據的安全。
3)核心業務有保障: 基於應用的流量管理,保證核心業務帶寬充足。萬兆的應用層性能,有效保障數據中心的可用性。
4)可視化安全風險評估:提供服務器風險和終端風險報告以及應用流量報表,使全網的安全風險一目瞭然,幫助管理員分析安全狀況管理數據中心。
廣域網邊界安全隔離與防護
對於廣域網邊界安全防護需要從如下幾個方麵著重考慮:
1)人員多,應用雜:如何製定有效的ACL,ACL是基於IP和端口的,這樣的機器語言無法直觀、清晰的製定訪問控製策略,容易出現錯配、漏配;
2)傳統FW缺乏應用層威脅防護,病毒木馬在分支機構和總部間傳播速度快
3)病毒木馬占用廣域網有限帶寬,影響關鍵業務的傳輸
4)分支數量多,IT管理水平層次不齊,設備多,成本高,組網雜,維護難
廣域網邊界安全防護方案拓撲
通過在核心交換機與核心路由器之間部署深信服NGAF,可以幫助我們實現如下安全目標:
1)麵向用戶、應用的安全訪問:將訪問控製權限精確到用戶與業務系統,有效解決瞭傳統防火墻IP/端口的策略無法精確管理的問題。讓業務開放對象更為明瞭、管理更方便、策略更易懂
2)廣域網垃圾流量清洗:通過NGAF智能的內容安全過濾功能,將病毒、木馬、蠕蟲、DDoS等各種垃圾流量清除,確保帶寬純凈,防止病毒擴散
3)一體化部署,簡化組網: NGAF具備L2-L7一體化安全防護功能,可以簡化組網,簡便管理,提高性價比;
互聯網出口邊界防護
由於互聯網邊界實現瞭對外業務發佈系統和內網終端的互聯網接入,因此需要從如下幾個方麵著重考慮:
對外業務系統發佈:
1)網站被掛馬、數據遭篡改,企業/單位形象受損,造成經濟損失,帶來負麵影響
2)合理控製服務器外聯權限,封堵黑客遠程控製,上傳病毒、木馬;
3)響應速度要求快,系統穩定性要求高,需要簡化組網,降低延時,減少單點故障;
內網終端互聯網接入:
1)瀏覽器、OS、Flash漏洞多,上網容易感染病毒、木馬,竊取隱私
2)合理控製服務器外聯權限,封堵黑客遠程控製終端,將內網終端作為跳板,入侵服務器
3)用戶權限多樣,安全策略配置復雜
互聯網邊界安全方案拓撲
通過在互聯網接入路由器後部署深信服NGAF,網上交易系統部署在DMZ區,可以實現對內網終端和對外業務發佈系統的雙重防護
對外業務發佈系統防護:
1)防止黑客入侵,獲取權限,竊取數據:通過NGAF的漏洞防護、服務器防護、病毒防護等多種應用內容防護功能,防止黑客入侵,保證服務器穩定運行;
2)精確控製服務器外聯權限:通過NGAF精確的應用識別,放行服務器補丁升級、病毒庫升級等必要外聯流量,阻斷各種無關非法外聯流量;
3)簡化組網、降低延時: NGAF具備L2-L7一體化安全防護功能,可以簡化組網,減少故障點;通過單次解析引擎減低延時;
內部終端安全防護:
1)全麵防護,標本兼治:通過NGAF的惡意網站過濾功能,防止終端訪問威脅網站和應用;通過漏洞防護、病毒防護、惡意控件/腳本過濾功能,切斷威脅感染終端的各種技術手段;
2)精確識別,防止非法外聯:通過NGAF精確的應用識別,放行服務器補丁升級、病毒庫升級等必要外聯流量,阻斷各種無關非法外聯流量,防止終端被作為跳板入侵服務器
3)一體化部署,配置簡單: NGAF具備L2-L7一體化安全防護功能,可以簡化組網,簡便管理,提高性價比;
批發市場僅提供代購諮詢服務,商品內容為廠商自行維護,若有發現不實、不合適或不正確內容,再請告知我們,查實即會請廠商修改或立即下架,謝謝。