深信服下一代防火墙NGAF

深 信 服 下 一 代 防 火 墙 NGAF 一 深 信 服 下 一 代 防 火 墙 的 定 位 下 一 代 防 火 墙 的 背 景 全 球 最 具 权 威 的 IT 研 究 与 顾 问 咨 询 公 司 Gartner 在 2009 年 发 布 了 一 篇 名 为 Defining the Next-Generation Firewall 的 文 章, 给 出 了 真 正 能 够 满 足 用 户 当 前 安 全 需 求 的 下 一 代 防 火 墙 定 义 : 下 一 代 防 火 墙 是 一 种 深 度 包 检 测 防 火 墙, 超 越 了 基 于 端 口 协 议 的 检 测 和 阻 断, 增 加 了 应 用 层 的 检 测 和 入 侵 防 护, 下 一 代 防 火 墙 不 应 该 与 独 立 的 网 络 入 侵 检 测 系 统 混 为 一 谈, 后 者 只 包 含 了 日 常 的 或 是 非 企 业 级 的 防 火 墙, 或 者 把 防 火 墙 和 IPS 简 单 放 到 一 个 设 备 里, 整 合 得 并 不 紧 密 适 用 于 国 内 环 境 的 下 一 代 防 火 墙 结 合 目 前 国 内 的 互 联 网 安 全 环 境 来 看, 越 来 越 多 的 安 全 事 件 是 由 于 Web 层 面 的 设 计 漏 洞 被 黑 客 利 用 所 引 发 的 据 统 计, 国 内 用 户 上 网 流 量 与 对 外 发 布 业 务 流 量 混 合 在 一 起 的 比 例 超 过 50% 以 政 府 为 例,60% 以 上 的 政 府 单 位 门 户 网 站 和 用 户 上 网 是 共 用 电 子 政 务 外 网 的 线 路 在 这 种 场 景 下, 如 果 作 为 出 口 安 全 网 关 的 防 火 墙 不 具 备 Web 应 用 防 护 能 力, 那 么 在 新 出 现 的 APT 攻 击 的 大 环 境 下, 现 有 的 安 全 设 备 很 容 易 被 绕 过, 形 同 虚 设 下 一 代 防 火 墙 作 为 一 款 融 合 型 安 全 产 品, 不 能 存 在 针 对 基 于 Web 应 用 的 安 全 短 板 深 信 服 下 一 代 防 火 墙 的 功 能 定 位 作 为 国 内 下 一 代 防 火 墙 产 品 的 领 导 者, 以 及 公 安 部 第 二 代 防 火 墙 标 准 制 定 的 参 与 者, 深 信 服 一 直 走 在 前 沿, 在 产 品 推 出 伊 始 就 把 Web 应 用 防 护 这 个 基 因 深 深 地 植 入 到 深 信 服 下 一 代 防 火 墙 当 中 深 信 服 下 一 代 防 火 墙 (Next-Generation Application Firewall)NGAF 面 向 应 用 层 设 计, 能 够 精 确 识 别 用 户 应 用 和 内 容, 具 备 完 整 的 L2-L7 层 安 全 防 护 体 系, 强 化 了 在 Web 层 面 的 应 用 防 护 能 力, 不 仅 能 够 全 面 替 代 传 统 防 火 墙, 而 且 在 开 启 安 全 功 能 的 情 况 下 还 保 持 着 强 劲 的 应 用 层 处 理 性 能 L2-L7 层 完 整 的 安 全 防 护 体 系 1 / 19

二 为 什 么 需 要 深 信 服 下 一 代 防 火 墙 近 年 来, 越 来 越 多 的 网 络 安 全 事 件 告 诉 我 们, 安 全 风 险 比 以 往 更 加 难 以 察 觉 随 着 网 络 安 全 形 势 逐 渐 恶 化, 网 络 攻 击 愈 加 频 繁, 客 户 对 自 己 的 网 络 安 全 建 设 变 得 越 来 越 不 自 信 如 何 加 强 安 全 建 设? 安 全 建 设 的 核 心 问 题 是 什 么? 采 用 何 种 安 全 防 护 手 段 更 为 合 适? 这 些 问 题 已 成 为 困 扰 客 户 安 全 建 设 的 关 键 问 题 问 题 一 : 看 不 看 得 到 真 正 的 风 险? 一 方 面, 只 有 看 到 L2-L7 层 的 攻 击 才 能 了 解 网 络 的 整 体 安 全 状 况, 基 于 多 产 品 的 组 合 方 案 使 大 多 数 用 户 没 有 办 法 进 行 统 一 分 析, 也 就 无 法 快 速 定 位 安 全 问 题, 同 时 也 加 大 了 安 全 运 维 的 工 作 量 另 一 方 面, 没 有 攻 击 并 不 意 味 着 业 务 不 存 在 漏 洞, 一 旦 漏 洞 被 利 用 就 为 时 已 晚 好 的 解 决 方 案 应 能 及 时 发 现 业 务 漏 洞, 防 患 于 未 然 最 后, 即 使 有 大 量 的 攻 击 也 不 意 味 着 业 务 安 全 威 胁 很 大, 只 有 针 对 真 实 存 在 的 业 务 漏 洞 进 行 的 攻 击 才 是 有 效 攻 击 看 不 到 有 效 攻 击 的 方 案, 就 无 法 让 客 户 看 到 网 络 和 业 务 的 真 实 安 全 情 况 问 题 二 : 防 不 防 得 住 潜 藏 的 攻 击? 一 方 面, 防 护 技 术 不 能 存 在 短 板, 存 在 短 板 必 然 会 被 绕 过, 原 有 设 备 就 形 同 虚 设 ; 另 一 方 面, 单 纯 防 护 外 部 黑 客 对 内 网 终 端 和 服 务 器 的 攻 击 是 不 够 的, 终 端 和 服 务 器 主 动 向 外 发 起 的 流 量 中 是 否 存 在 攻 击 行 为 和 泄 密 也 需 要 检 测, 进 而 才 能 找 到 黑 客 针 对 内 网 的 控 制 通 道, 同 时 发 现 泄 密 的 风 险, 最 后 通 过 针 对 性 的 安 全 防 护 技 术 加 以 防 御 综 上 所 述, 真 正 能 看 到 攻 击 与 业 务 漏 洞, 及 时 查 漏 补 缺, 并 能 及 时 防 住 攻 击 才 是 最 有 效 的 解 决 方 案 那 么 基 于 攻 击 特 征 防 护 的 传 统 解 决 方 案 是 否 真 的 能 够 达 到 要 求 呢? 传 统 组 合 方 案 (FW+IPS+WAF) 能 否 满 足? 组 合 方 案 不 足 点 一 : 有 几 款 设 备 就 可 以 看 到 几 种 攻 击, 但 由 于 信 息 是 割 裂 的 难 以 对 安 全 日 志 进 行 统 一 分 析 ; 有 攻 击 才 能 发 现 问 题, 在 没 有 攻 击 的 情 况 下, 就 无 法 看 到 业 务 漏 洞, 但 这 并 不 代 表 业 务 漏 洞 不 存 在 ; 即 使 发 现 了 攻 击, 也 无 法 判 断 业 务 系 统 是 否 真 正 存 在 安 全 漏 洞, 还 是 无 法 指 导 用 户 进 行 安 全 建 设 组 合 方 案 不 足 点 二 : 有 几 种 设 备 就 可 以 防 护 几 种 攻 击, 但 大 部 分 客 户 无 法 全 部 部 署, 所 以 存 在 短 板 ; 即 使 全 部 部 署, 这 些 设 备 也 不 对 服 务 器 和 终 端 向 外 主 动 发 起 的 业 务 流 进 行 防 护, 在 面 临 新 的 未 知 攻 击 的 情 况 下 缺 乏 有 效 的 防 御 措 施, 还 是 存 在 被 绕 过 的 风 险 传 统 组 合 方 案 问 题 多 其 他 品 牌 的 下 一 代 防 火 墙 能 否 解 决 问 题? 目 前, 市 场 上 的 大 部 分 下 一 代 防 火 墙 产 品 只 能 看 到 除 Web 攻 击 以 外 的 大 多 数 攻 击, 只 有 极 少 部 分 下 一 代 防 火 墙 能 够 看 到 简 单 的 Web 攻 击, 但 均 无 法 看 到 业 务 的 漏 洞 攻 击 和 漏 洞 无 法 关 联 就 很 难 确 定 攻 击 的 真 实 性 ; 另 外, 大 部 分 下 一 代 防 火 墙 防 不 住 Web 攻 击, 也 不 能 对 服 务 器 / 终 端 主 动 向 外 发 起 的 业 务 流 进 行 防 护, 比 如 信 息 泄 露 僵 尸 网 络 等, 应 对 未 知 攻 击 的 方 式 比 较 单 一, 只 通 过 简 单 的 联 动 防 护, 仍 有 被 绕 过 的 风 险 2 / 19

三 深 信 服 下 一 代 防 火 墙 介 绍 结 合 安 全 发 展 趋 势 和 国 内 用 户 的 安 全 建 设 现 状, 深 信 服 认 为 适 合 中 国 用 户 本 土 需 求 的 下 一 代 防 火 墙 需 要 满 足 以 下 几 个 方 面 的 特 点 : 1. 安 全 可 视 深 信 服 下 一 代 防 火 墙 可 以 理 解 网 络 中 的 应 用 应 用 中 的 威 胁 和 攻 击 威 胁 带 走 的 数 据 内 容, 并 能 简 单 易 懂 地 呈 现, 实 现 真 正 的 L2-L7 层 统 一 的 安 全 可 视 化 ; 能 通 过 主 动 或 者 被 动 流 量 检 测 及 时 发 现 业 务 漏 洞, 即 使 没 有 攻 击 也 能 找 到 业 务 中 潜 在 的 风 险 通 过 攻 击 与 业 务 漏 洞 的 关 联 分 析, 可 以 帮 助 用 户 准 确 地 找 到 有 效 攻 击, 使 用 户 看 到 网 络 和 业 务 的 真 实 安 全 情 况 2. 双 向 防 御 深 信 服 下 一 代 防 火 墙 具 备 L2-L7 层 的 攻 击 防 护 技 术, 使 防 护 技 术 不 存 在 短 板 NGAF 不 仅 能 够 防 护 外 部 攻 击, 还 能 检 查 服 务 器 / 终 端 外 发 流 量 是 否 有 风 险, 弥 补 了 传 统 安 全 设 备 只 防 外 不 防 内 的 不 足 之 处 NGAF 可 检 测 服 务 器 外 发 数 据 是 否 存 在 泄 密 或 篡 改 行 为, 也 可 检 测 内 网 终 端 电 脑 是 否 被 黑 客 控 制 3. 智 能 联 动 正 所 谓 道 高 一 尺, 魔 高 一 丈, 各 种 应 用 层 攻 击 变 种 逃 逸 攻 击 行 为 层 出 不 穷, 能 够 智 能 地 针 对 攻 击 行 为 或 者 防 护 对 象 进 行 学 习, 动 态 形 成 智 能 防 护 规 则 也 是 下 一 代 防 火 墙 必 备 的 特 征 之 一, 让 安 全 检 测 模 块 与 防 护 策 略 联 动 生 效, 能 够 提 高 黑 客 的 攻 击 成 本, 降 低 客 户 的 运 维 管 理 成 本 4. 高 效 稳 定 虽 然 多 功 能 网 关 具 备 部 分 应 用 安 全 防 护 能 力, 但 其 传 统 安 全 设 备 的 集 成 串 行 部 署 的 方 式, 使 其 在 多 种 功 能 开 启 之 后 性 能 急 剧 下 降, 最 终 只 能 当 传 统 防 火 墙 使 用 深 信 服 下 一 代 防 火 墙 从 软 件 构 架 硬 件 构 架 两 方 面 彻 底 改 变 了 多 功 能 网 关 由 于 多 功 能 堆 叠 串 行 部 署 导 致 的 性 能 瓶 颈 问 题, 具 备 高 效 的 应 用 层 处 理 能 力, 实 现 万 兆 吞 吐 深 信 服 下 一 代 防 火 墙 四 大 特 性 四 深 信 服 下 一 代 防 火 墙 功 能 特 性 1. 安 全 可 视 1.1 业 务 安 全 状 况 可 视 NGAF 提 供 的 实 时 漏 洞 分 析 功 能, 可 以 根 据 经 过 设 备 的 业 务 流 量 主 动 分 析 其 中 存 在 的 风 险 并 实 时 展 示 出 来, 实 时 监 控 界 面 可 以 根 据 服 务 器 真 实 存 在 的 漏 洞 数 量 进 行 排 名, 同 时 给 出 各 业 务 系 统 风 险 情 况 的 评 估, 并 给 出 建 议 和 解 决 方 案 3 / 19

业 务 系 统 遭 受 攻 击 分 布 NGAF 还 提 供 强 大 的 综 合 风 险 报 表 功 能, 从 业 务 和 用 户 两 个 维 度 对 网 络 中 的 安 全 状 况 进 行 整 体 分 析, 按 照 攻 击 类 型 漏 洞 类 型 和 威 胁 类 型 进 行 统 计 分 析, 并 根 据 每 项 业 务 对 应 的 服 务 器 IP 进 行 针 对 性 的 安 全 分 析, 提 供 相 应 的 安 全 服 务 说 明, 使 报 表 具 备 更 高 的 可 读 性, 方 便 用 户 从 报 告 中 分 析 出 下 一 步 的 安 全 加 固 策 略 NGAF 风 险 报 表 1.2 应 用 服 务 内 容 可 视 NGAF 具 有 卓 越 的 应 用 可 视 化 功 能, 通 过 多 种 应 用 识 别 技 术 形 成 国 内 最 大 的 应 用 特 征 识 别 库 和 URL 库, 涵 盖 了 超 过 3000 种 应 用 规 则 和 3000 万 URL 条 目, 可 精 确 识 别 内 外 网 的 采 用 端 口 跳 跃 端 口 逃 逸 多 端 口 随 机 端 口 等 各 类 应 用, 为 下 一 代 防 火 墙 实 现 用 户 与 应 用 的 精 细 化 访 问 控 制 提 供 技 术 基 础 4 / 19

卓 越 的 用 户 与 应 用 识 别 能 力 1.3 用 户 控 制 策 略 可 视 NGAF 可 通 过 应 用 可 视 化 功 能 与 用 户 识 别 技 术 结 合 制 定 L2-L7 一 体 化 应 用 控 制 策 略, 可 以 为 用 户 提 供 更 加 精 细 和 直 观 化 的 控 制 界 面, 在 一 个 界 面 下 完 成 多 套 设 备 的 运 维 工 作, 提 升 工 作 效 率 1.4 网 络 流 量 状 态 可 视 基 于 用 户 和 应 用 的 访 问 控 制 策 略 NGAF 可 提 供 基 于 用 户 和 应 用 的 流 量 管 理 功 能, 能 够 基 于 应 用 做 流 量 控 制, 实 现 阻 断 非 法 流 量 限 制 无 关 流 量 保 证 核 心 业 务 的 可 视 化 流 量 管 理 价 值, 并 可 通 过 运 行 状 态 页 面 观 察 到 每 条 通 道 的 流 量 状 态 信 息, 应 用 流 量 排 行 以 及 用 户 流 量 排 行 等, 同 时 也 会 对 应 用 流 量 进 行 汇 总 统 计, 可 直 观 了 解 到 网 络 中 的 流 量 分 布 情 况 2. 双 向 防 御 5 / 19

双 向 内 容 检 测 2.1 强 化 的 Web 攻 击 防 护 NGAF 采 用 攻 击 特 征 + 主 动 防 御 相 结 合 的 双 重 防 护 模 式, 可 有 效 保 护 Web 业 务 的 安 全 攻 击 特 征 的 防 护 模 式 有 效 结 合 了 Web 攻 击 的 静 态 规 则 以 及 基 于 黑 客 攻 击 过 程 的 动 态 防 御 机 制, 提 供 OWASP 定 义 的 十 大 安 全 威 胁 的 攻 击 防 护 功 能, 有 效 防 止 常 见 的 Web 安 全 威 胁 如 SQL 注 入 XSS 跨 站 脚 本 CSRF 跨 站 请 求 伪 造 Webshell 文 件 上 传 等 等, 主 动 防 御 模 式 可 提 供 参 数 类 型 学 习 和 自 定 义 参 数 等 个 性 化 配 置, 保 护 Web 系 统 免 受 网 站 篡 改 网 页 挂 马 业 务 数 据 泄 露 及 用 户 账 号 被 盗 等 NGAF 于 2013 年 1 月 通 过 了 OWASP Web 安 全 项 目 的 测 试, 设 备 的 安 全 防 护 等 级 被 评 为 4 星 (5 星 满 分 ), 为 国 内 同 类 厂 商 的 最 高 得 分 ;2014 年 9 月, NGAF 通 过 了 全 球 顶 级 评 测 机 构 NSS Labs 的 Web 应 用 防 护 功 能 评 测, 并 获 得 最 高 评 价 Recommended 推 荐 6 / 19

深 信 服 下 一 代 防 火 墙 获 NSS Labs 最 高 评 价 推 荐 认 证 2.2 基 于 应 用 的 深 度 入 侵 防 御 NGAF 基 于 应 用 的 深 度 入 侵 防 御 采 用 六 大 威 胁 检 测 机 制 : 攻 击 特 征 检 测 特 殊 攻 击 检 测 威 胁 关 联 分 析 异 常 流 量 检 测 协 议 异 常 检 测 深 度 内 容 分 析 能 够 有 效 地 防 止 各 类 已 知 / 未 知 攻 击, 实 时 阻 断 黑 客 攻 击 如 缓 冲 区 溢 出 攻 击 利 用 漏 洞 的 攻 击 协 议 异 常 蠕 虫 木 马 后 门 DoS/DDoS 攻 击 探 测 扫 描 间 谍 软 件 以 及 各 类 IPS 逃 逸 攻 击 等 2.3 僵 尸 网 络 检 测 隔 离 NGAF 独 有 的 僵 尸 网 络 检 测 隔 离 功 能, 能 够 实 时 对 外 发 流 量 进 行 检 测, 协 助 用 户 定 位 内 网 被 黑 客 控 制 的 服 务 器 或 终 端 该 功 能 融 合 了 僵 尸 网 络 识 别 库, 利 用 业 界 领 先 的 僵 尸 网 络 识 别 检 测 技 术 对 黑 客 的 攻 击 行 为 进 行 有 效 识 别, 针 对 以 反 弹 式 木 马 为 代 表 的 恶 意 软 件 进 行 深 度 防 护 僵 尸 网 络 识 别 库 数 量 超 过 30 多 万 条, 并 由 深 信 服 攻 防 团 队 实 时 更 新 僵 尸 网 络 检 测 隔 离 同 时, 深 信 服 建 设 了 完 善 的 安 全 云 平 台, 将 近 5000 台 部 署 在 全 球 各 地 的 深 信 服 下 一 代 防 火 墙 NGAF 可 以 自 动 ( 在 获 得 用 户 授 权 的 前 提 下 ) 上 传 可 疑 的 应 用 流 量 到 安 全 云 平 台, 云 平 台 将 该 部 分 流 量 放 到 虚 拟 沙 盒 中 进 行 运 行, 通 过 分 析 异 常 网 络 行 为, 对 流 量 进 行 判 断 若 上 传 流 量 存 在 安 全 威 胁, 云 平 台 将 生 成 安 全 防 护 规 则 并 实 时 下 发 到 全 球 所 有 在 线 的 NGAF, 令 其 能 够 有 效 抵 御 各 类 互 联 网 攻 击 截 止 至 2015 年 1 月, 深 信 服 安 全 云 平 台 累 计 收 到 7000 多 万 条 可 疑 威 胁 流 量, 并 分 析 出 20 多 万 条 存 在 威 胁 的 流 量, 安 全 云 平 台 同 步 生 成 并 下 发 的 安 全 防 护 规 则 累 计 拦 截 了 450 多 万 次 的 访 问 请 求 7 / 19

深 信 服 安 全 云 平 台 2.4 异 常 流 量 检 测 数 据 窃 取 或 者 是 远 控 木 马 往 往 利 用 常 用 端 口 或 者 协 议 进 行 伪 装,NGAF 可 以 根 据 端 口 和 协 议 是 否 匹 配 来 检 测 流 量 是 否 存 在 异 常, 比 如 常 见 的 如 80 443 21 25 等 端 口 的 传 输 协 议 是 否 为 对 应 的 HTTP HTTPS FTP 和 SMTP 协 议 RDP SSH 协 议 是 否 运 行 在 默 认 的 3389 22 端 口 等, 让 恶 意 流 量 无 法 轻 易 地 通 过 端 口 或 者 协 议 伪 装, 绕 过 安 全 设 备 的 检 测 2.5 口 令 暴 力 破 解 防 护 口 令 暴 力 破 解 也 是 黑 客 经 常 使 用 的 一 种 攻 击 手 段,NGAF 不 仅 支 持 HTTP 协 议 的 口 令 暴 力 破 解 防 护, 还 支 持 FTP RDP SSH Mysql MS_sqlserver Oracle IMAP POP3 SMTP Telnet SMB 等 多 种 协 议 的 口 令 暴 力 破 解 防 护, 全 面 提 升 防 护 对 象 的 密 码 安 全 2.6 应 用 协 议 内 容 隐 藏 NGAF 可 针 对 主 要 的 服 务 器 (Web 服 务 器 FTP 服 务 器 邮 件 服 务 器 等 ) 反 馈 信 息 进 行 有 效 隐 藏 防 止 黑 客 利 用 服 务 器 返 回 的 信 息 进 行 有 针 对 性 地 攻 击 如 :HTTP 出 错 页 面 隐 藏 响 应 报 头 隐 藏 FTP 信 息 隐 藏 等 2.7 用 户 登 录 权 限 防 护 NGAF 可 以 针 对 特 定 的 服 务 或 者 Web 页 面 提 供 登 录 保 护, 通 过 发 送 短 信 验 证 码 的 方 式 提 供 强 认 证 保 护 用 户 访 问 到 该 页 面 或 应 用 的 时 候 需 要 先 经 过 短 信 的 认 证 才 能 进 入 到 正 常 的 登 录 界 面, 增 强 了 敏 感 页 面 或 应 用 的 安 全 系 数 该 功 能 带 来 的 价 值 : 第 一, 对 重 要 的 页 面 ( 如 管 理 员 页 面 ) 进 行 防 护, 防 止 通 过 社 会 工 程 暴 力 破 解 拿 到 正 常 管 理 员 的 账 号 密 码 第 二, 可 实 现 敏 感 页 面 的 双 因 子 强 认 证 提 高 安 全 性, 防 止 敏 感 页 面 开 放 于 公 网 或 办 公 网 2.8 精 确 的 病 毒 检 测 能 力 NGAF 提 供 先 进 的 病 毒 防 护 功 能, 可 从 源 头 对 HTTP FTP SMTP POP3 等 协 议 流 量 进 行 病 毒 查 杀, 也 可 查 杀 压 缩 包 (zip rar gzip 等 ) 中 的 病 毒 同 时 NGAF 采 用 高 效 的 流 式 扫 描 技 术, 可 大 幅 提 升 病 毒 检 测 效 率, 避 免 防 病 毒 成 为 网 络 安 全 的 瓶 颈 2.9 网 关 型 网 页 防 篡 改 NGAF 提 供 网 关 型 的 网 页 防 篡 改 ( 对 服 务 器 0 影 响 ) 功 能, 能 够 第 一 时 间 拦 截 网 页 被 篡 改 的 信 息 并 通 知 管 理 员 确 认, 同 时 对 外 提 供 篡 改 重 定 向 功 能, 提 供 正 常 界 面 友 好 界 面 Web 备 份 服 务 器 的 重 定 向, 保 证 用 户 仍 可 正 常 访 问 网 站 NGAF 网 站 篡 改 防 护 功 能 使 用 网 关 实 现 动 静 态 网 页 防 篡 改 功 能, 这 种 实 现 方 式 相 对 于 主 机 部 署 类 防 篡 改 软 件 而 言, 客 户 无 需 在 服 务 器 上 安 装 第 三 方 软 件, 易 于 使 用 和 维 护, 在 防 篡 改 技 术 方 面 采 用 了 网 络 字 节 流 的 检 测 与 恢 复, 对 服 务 器 性 能 没 有 影 响 2.10 可 定 义 的 敏 感 信 息 防 泄 漏 NGAF 提 供 内 置 敏 感 信 息 库 以 及 可 定 义 的 敏 感 信 息 防 泄 漏 功 能, 根 据 不 同 用 户 的 防 护 需 求 可 灵 活 自 定 义 敏 感 信 息 ( 如 : 用 户 信 息 / 邮 箱 账 户 信 息 /MD5 加 密 密 码 / 银 行 卡 号 / 身 份 证 号 码 / 社 保 账 号 / 信 用 卡 号 / 手 机 号 码 ), 通 过 短 信 邮 件 报 警 及 连 接 请 求 阻 断 的 方 式 防 止 大 量 的 敏 感 信 息 被 窃 取 2.11 覆 盖 传 统 防 火 墙 功 能 NGAF 涵 盖 了 完 整 的 传 统 防 火 墙 功 能, 包 括 融 合 了 技 术 国 内 领 先 市 场 占 有 率 第 一 的 IPSec VPN 和 SSL VPN 模 块, 支 持 应 用 访 问 控 制 NAT 支 持 路 由 协 议 VLAN 属 性 链 路 聚 合 等 功 能, 便 于 用 户 替 换 传 统 防 火 墙 后, 将 原 有 的 策 略 完 全 迁 移 至 下 一 代 防 火 墙 中, 实 现 简 化 组 网 方 便 运 维 的 效 果 同 时 NGAF 可 防 护 基 于 数 据 包 的 DOS 攻 击 IP 协 议 报 文 的 DOS 攻 击 TCP 协 议 报 文 的 DOS 攻 击 基 于 HTTP 协 议 的 DOS 攻 击 等, 实 现 对 网 络 层 应 用 层 的 各 类 资 源 耗 尽 的 拒 绝 服 务 攻 击 的 防 护, 支 持 对 加 密 隧 道 数 据 进 行 安 全 攻 击 检 测, 全 面 提 升 广 8 / 19

域 网 隔 离 的 安 全 性 3. 智 能 联 动 深 信 服 下 一 代 防 火 墙 L2-L7 层 智 能 防 御 体 系 3.1 自 主 学 习 主 动 防 御 NGAF 内 置 主 动 防 御 功 能, 可 智 能 分 析 提 交 HTTP 请 求 中 的 变 量 和 参 数 类 型, 根 据 设 定 的 阈 值 进 行 学 习, 学 习 结 果 最 终 形 成 防 护 白 名 单, 阻 断 不 符 合 学 习 内 容 的 请 求, 白 名 单 根 据 学 习 结 果 动 态 更 新, 保 证 参 数 内 容 学 习 的 正 确 性 3.2 智 能 APT 攻 击 防 护 深 信 服 NGAF 是 国 内 唯 一 同 时 融 合 FW IPS WAF 和 AV 功 能 并 能 进 行 智 能 联 动 的 安 全 产 品, 通 过 各 模 块 间 的 联 动, 为 APT 攻 击 防 护 提 供 从 主 机 层 ( 恶 意 代 码 防 护 僵 尸 网 络 隔 离 ) 网 络 层 ( 访 问 控 制 边 界 隔 离 入 侵 防 护 漏 洞 扫 描 内 网 嗅 探 ) 到 应 用 层 ( 恶 意 网 址 识 别 OWASP TOP 10 管 理 认 证 登 录 DLP) 的 L2-L7 层 一 体 化 安 全 防 护 通 过 关 联 分 析 准 确 定 位 出 APT 攻 击 的 行 为, 阻 断 黑 客 在 实 施 APT 攻 击 各 个 步 骤 各 种 手 段 的 有 效 性 NGAF 智 能 的 主 动 防 御 技 术 可 实 现 内 部 各 个 模 块 之 间 形 成 智 能 的 策 略 联 动, 如 一 个 IP/ 用 户 持 续 向 内 网 服 务 器 发 起 各 类 攻 击 则 可 通 过 防 火 墙 策 略 暂 时 阻 断 IP/ 用 户 智 能 防 护 体 系 的 建 立 可 有 效 地 防 止 工 具 型 自 动 化 的 黑 客 攻 击, 提 高 攻 击 成 本, 可 抑 制 APT 攻 击 的 发 生 同 时 也 使 得 管 理 员 维 护 变 得 更 为 简 单, 可 实 现 无 网 管 的 自 动 化 安 全 管 理 3.3 安 全 风 险 评 估 与 策 略 联 动 NGAF 基 于 时 间 周 期 的 安 全 防 护 设 计 提 供 事 前 风 险 评 估 及 策 略 联 动 的 功 能 风 险 评 估 功 能 分 为 Web 弱 点 扫 描 与 系 统 漏 洞 扫 描 两 部 分 : 系 统 漏 洞 扫 描 通 过 端 口 服 务 应 用 扫 描 帮 助 用 户 及 时 发 现 端 口 服 务 及 漏 洞 风 险, 并 通 过 模 块 间 的 智 能 策 略 联 动 及 时 更 新 对 应 安 全 风 险 的 安 全 防 护 策 略, 帮 助 用 户 快 速 诊 断 电 子 商 务 平 台 中 各 个 节 点 的 安 全 漏 洞 问 题, 并 做 出 有 针 对 性 的 防 护 策 略 Web 弱 点 扫 描 通 过 内 置 的 二 十 多 类 Web 攻 击 特 征, 如 SQL 注 入 盲 注 操 作 系 统 命 令 远 程 文 件 包 含 XPATH 注 入 LDAP 注 入 服 务 器 端 包 含 (SSI) iframe 钓 鱼 不 安 全 的 PHP 配 置 检 查 等, 可 以 帮 助 用 户 快 速 定 位 出 Web 应 用 的 漏 洞, 并 提 供 相 关 漏 洞 的 严 重 等 级 和 描 述 信 息 以 及 建 议 的 修 复 方 案 等, 协 助 用 户 快 速 解 决 内 网 Web 应 用 存 在 的 风 险 9 / 19

3.4 智 能 联 动 封 锁 攻 击 NGAF 在 配 置 安 全 策 略 后, 可 根 据 策 略 的 匹 配 情 况 动 态 生 成 启 发 式 阻 断 规 则, 当 检 测 到 某 个 IP 有 攻 击 行 为 后, 联 动 封 锁 一 段 时 间, 以 此 达 到 提 高 黑 客 攻 击 成 本 的 目 的 当 设 定 的 时 间 内 没 有 再 发 生 攻 击 行 为, 则 把 该 IP 从 启 发 式 阻 断 规 则 中 删 除 3.5 全 网 安 全 监 测 平 台 深 信 服 推 出 基 于 广 域 网 安 全 监 控 要 求 的 全 网 安 全 监 测 平 台, 可 实 现 对 分 支 机 构 安 全 状 况 进 行 监 控, 并 建 设 完 善 的 全 网 安 全 网 络 深 信 服 全 网 安 全 监 测 平 台 部 署 在 各 节 点 的 NGAF 为 分 支 机 构 的 网 络 提 供 L2-L7 层 完 整 的 安 全 防 护, 有 效 避 免 分 支 机 构 因 薄 弱 的 安 全 建 设 成 为 入 侵 短 板 ; 总 部 核 心 业 务 区 防 护 设 备 的 部 署, 强 有 力 地 保 障 了 各 项 业 务 高 效 稳 定 地 开 展 ; 安 全 管 理 区 的 全 网 安 全 监 测 平 台 通 过 收 集 各 节 点 的 流 量 攻 击 情 况, 使 总 部 运 维 人 员 可 实 时 了 解 分 支 机 构 的 安 全 风 险 ; 集 中 管 理 平 台 可 实 现 全 网 各 节 点 设 备 的 统 一 管 理 和 统 一 策 略 推 送, 真 正 做 到 管 理 集 中 化 运 维 自 动 化 10 / 19

4. 高 效 稳 定 4.1 分 离 平 面 设 计 分 支 机 构 安 全 状 况 实 时 上 报 深 信 服 下 一 代 防 火 墙 通 过 软 件 设 计 将 网 络 层 和 应 用 层 的 数 据 处 理 进 行 分 离, 在 底 层 以 应 用 识 别 模 块 为 基 础, 对 所 有 网 卡 接 收 到 的 数 据 进 行 识 别, 再 通 过 抓 包 驱 动 把 需 要 处 理 的 应 用 数 据 报 文 抓 取 到 应 用 层 若 应 用 层 发 生 数 据 处 理 失 败 的 情 况, 也 不 会 影 响 到 网 络 层 数 据 的 转 发, 从 而 实 现 高 效 可 靠 的 数 据 报 文 处 理 分 离 平 面 设 计 4.2 多 核 并 行 处 理 NGAF 的 设 计 不 仅 采 用 了 多 核 的 硬 件 架 构, 在 计 算 指 令 设 计 上 还 采 用 了 先 进 的 无 锁 并 行 处 理 技 术, 能 够 实 现 多 流 水 线 同 时 处 理, 成 倍 提 升 系 统 吞 吐 量, 在 多 核 系 统 下 性 能 表 现 十 分 优 异, 是 真 正 的 多 核 并 行 处 理 架 构 11 / 19

多 核 并 行 处 理 技 术 4.3 单 次 解 析 架 构 NGAF 采 用 单 次 解 析 构 架 实 现 报 文 的 一 次 解 析 一 次 匹 配, 有 效 提 升 了 应 用 层 效 率 实 现 单 次 解 析 技 术 的 一 个 关 键 要 素 就 是 软 件 架 构 设 计 实 现 网 络 层 应 用 层 的 平 面 分 离, 将 数 据 通 过 0 拷 贝 技 术 提 取 到 应 用 层 平 面 上 实 现 威 胁 特 征 的 统 一 解 析 和 统 一 检 测, 减 少 冗 余 的 数 据 包 封 装, 实 现 高 性 能 的 数 据 处 理 单 次 解 析 架 构 4.4 跳 跃 式 扫 描 技 术 NGAF 利 用 多 年 积 累 的 应 用 识 别 技 术, 在 内 核 驱 动 层 面 通 过 私 有 协 议 将 所 有 经 过 NGAF 的 数 据 包 都 打 上 应 用 的 标 签 当 数 据 包 被 提 取 到 内 容 检 测 平 面 进 行 检 测 时, 设 备 会 找 到 对 应 的 应 用 威 胁 特 征, 通 过 使 用 跳 跃 式 扫 描 技 术 跳 过 无 关 的 应 用 威 胁 检 测 特 征, 减 少 无 效 扫 描, 提 升 扫 描 效 率 比 如 : 流 量 被 识 别 为 HTTP 流 量, 那 么 FTP sever-u 的 相 关 漏 洞 攻 击 特 征 便 不 会 对 系 统 造 成 威 胁, 便 可 以 暂 时 跳 过 检 测 进 行 转 发, 提 升 转 发 的 效 率 4.5 Sangfor Regex 正 则 引 擎 正 则 表 达 式 是 一 种 识 别 特 定 模 式 数 据 的 方 法, 它 可 以 精 确 识 别 网 络 中 的 攻 击 经 深 信 服 安 全 专 家 研 究 发 现, 业 界 已 有 的 正 则 表 达 式 匹 配 方 法 的 速 度 一 般 比 较 慢, 制 约 了 下 一 代 防 火 墙 整 机 速 度 的 提 高 为 此, 深 信 服 设 计 并 实 现 了 全 新 的 Sangfor Regex 正 则 引 擎, 将 正 则 表 达 式 的 匹 配 速 度 提 高 到 数 十 Gbps, 比 PCRE 和 Google 的 RE2 等 知 名 引 擎 快 数 十 倍, 达 到 业 界 领 先 水 平 NGAF 的 Sangfor Regex 大 幅 降 低 了 CPU 占 用 率, 有 效 提 高 了 NGAF 的 整 机 吞 吐, 从 而 能 够 更 高 速 地 处 理 客 户 的 业 务 数 据, 该 项 技 术 尤 其 适 用 于 对 每 秒 吞 吐 量 要 求 特 别 高 的 场 景, 如 运 营 商 电 商 等 4.6 产 品 性 能 评 测 报 告 国 内 知 名 IT 行 业 媒 体 网 络 世 界 在 2013 年 针 对 NGAF 进 行 了 一 次 客 观 的 产 品 评 测 NGAF 在 各 项 功 能 开 启 的 情 况 下, 应 用 层 处 理 性 能 表 现 优 秀 在 不 同 大 小 文 件 下, 应 用 流 量 处 理 能 力 均 达 到 万 兆 级 别, 很 好 地 满 足 了 正 常 网 络 应 用 中 万 兆 宽 带 的 应 用 流 量 处 理 需 求 12 / 19

五 深 信 服 下 一 代 防 火 墙 的 品 牌 优 势 1. 市 场 引 领 者 2011 年 7 月, 深 信 服 率 先 推 出 国 内 第 一 台 下 一 代 防 火 墙 NGAF, 自 产 品 发 布 后, 国 内 追 随 者 不 断 深 信 服 NGAF 的 销 量 一 直 稳 居 下 一 代 防 火 墙 市 场 的 榜 首, 在 国 内 拥 有 最 多 的 用 户 数 量 截 止 至 2014 年 12 月,NGAF 在 全 国 的 用 户 数 累 计 超 过 10000 家, 在 线 稳 定 运 行 的 设 备 数 超 过 20000 台, 用 户 覆 盖 各 行 各 业, 其 中 包 括 100 多 家 部 委 省 厅 级 单 位 80 多 家 运 营 商 和 金 融 单 位 90 多 家 知 名 教 育 单 位 200 多 家 大 型 企 业 和 国 资 委 下 属 央 企 集 团, 用 户 数 量 遥 遥 领 先 据 全 球 著 名 的 咨 询 机 构 Frost&Sullivan 的 分 析 报 告 显 示,2013 年 深 信 服 下 一 代 防 火 墙 NGAF 在 中 国 集 成 防 火 墙 市 场 排 名 第 4, 占 有 10.1% 的 市 场 份 额, 是 唯 一 凭 借 下 一 代 防 火 墙 一 款 产 品 参 与 排 名 的 厂 商 Frost&Sullivan 评 价 到 : 深 信 服 凭 借 优 质 的 下 一 代 防 火 墙 产 品, 奠 定 了 其 在 中 国 防 火 墙 市 场 的 领 导 地 位 2. 产 品 安 全 稳 定 凭 借 专 业 的 安 全 防 护 能 力 和 卓 越 的 产 品 品 质,NGAF 获 得 了 高 标 准 行 业 的 共 同 认 可, 连 续 三 年 入 围 中 央 政 府 采 购 名 单,2013 年 2014 年 连 续 两 年 在 中 国 电 信 集 团 Web 应 用 防 护 系 统 集 采 项 目 中 获 得 最 大 份 额,2014 年 在 中 国 移 动 集 团 首 次 启 动 Web 应 用 防 火 墙 产 品 集 采 中 即 获 得 最 高 性 能 档 的 最 大 份 额 此 外,NGAF 还 在 金 融 行 业 核 心 系 统 中 得 到 了 应 用 NGAF 获 得 NSS Labs 最 高 级 别 推 荐 认 证 2013 年, 深 信 服 将 NGAF 送 往 位 于 美 国 的 全 球 最 知 名 的 独 立 安 全 研 究 和 评 测 机 构 NSS Labs 进 行 Web 安 全 防 护 功 能 评 测, 在 业 界 专 业 的 WAF 测 试 规 范 下, 成 功 通 过 所 有 的 攻 击 逃 逸 测 试 产 品 稳 定 性 和 可 靠 性 测 试, 其 中, 送 测 设 备 的 每 秒 新 建 连 接 数 达 到 76,616CPS, 为 送 测 的 6 家 厂 商 中 的 最 高 数 值 深 信 服 下 一 代 防 火 墙 NGAF 最 终 获 得 NSS Labs 最 高 级 别 Recommended 推 荐 认 证 Product NSS-Tested Capacity Sangfor M5900-F-I 76,616 CPS vaf 4.6.101 Evasions Stability & Reliability PASS PASS NGAF NSS Labs 测 试 结 果 NGAF 具 备 良 好 的 稳 定 性 为 保 证 设 备 具 有 良 好 的 稳 定 性,NGAF 出 厂 前 都 会 经 过 7 轮 软 硬 件 高 吞 吐 低 温 高 温 等 恶 劣 环 境 的 严 格 测 试, 并 通 过 第 三 方 机 构 的 专 业 产 品 检 测 目 前, 深 信 服 下 一 代 防 火 墙 产 品 已 无 故 障 工 作 超 过 8 万 小 时, 具 备 高 可 靠 的 稳 定 性 13 / 19

NGAF 稳 定 性 的 第 三 方 评 测 报 告 3. 专 业 安 全 攻 防 团 队 深 信 服 凭 借 在 应 用 层 领 域 10 年 以 上 的 技 术 积 累 组 建 了 南 北 安 全 攻 防 团 队, 确 保 安 全 规 则 的 实 时 更 新 以 及 安 全 体 检 服 务 的 开 展, 深 信 服 NGAF 具 备 4000+ 条 漏 洞 特 征 库 超 百 万 条 病 毒 特 征 库 数 十 万 僵 尸 网 络 特 征 库 3500+Web 应 用 威 胁 特 征 库, 可 以 全 面 识 别 各 种 应 用 层 和 内 容 级 别 的 安 全 威 胁 4. 专 业 权 威 的 认 可 NGAF 的 Web 应 用 防 护 功 能 获 得 权 威 认 可 深 信 服 下 一 代 防 火 墙 NGAF 在 OWASP 授 权 机 构 的 25 项 测 评 项 中 获 得 19 项 五 星 满 分 评 分, 综 合 四 星, 是 国 内 唯 一 一 家 获 得 OWASP 测 评 四 星 的 安 全 厂 商 同 时,NGAF 还 获 得 了 全 球 著 名 的 独 立 安 全 研 究 和 评 测 机 构 NSS Labs 的 Web 应 用 防 护 最 高 级 别 Recommended 推 荐 认 证, 是 国 内 唯 一 获 得 该 项 认 证 的 下 一 代 防 火 墙 产 品 深 信 服 受 邀 参 与 第 二 代 防 火 墙 标 准 制 定 2013 年 3 月, 深 信 服 凭 借 多 年 的 安 全 技 术 实 力 积 累 和 对 安 全 防 护 的 独 到 见 解, 受 到 公 安 部 第 三 研 究 所 ( 信 息 安 全 行 业 规 范 编 制 单 位 ) 的 邀 请, 参 与 国 内 第 二 代 防 火 墙 标 准 (GA/T1177-2014 信 息 安 全 技 术 第 二 代 防 火 墙 安 全 技 术 要 求 ) 的 制 定, 并 成 为 主 要 起 草 单 位 目 前 该 标 准 已 于 2014 年 7 月 24 日 正 式 发 布,9 月 1 日 已 开 始 实 施 此 外, 深 信 服 还 是 微 软 MAPP 计 划 合 作 会 员 中 国 反 网 络 病 毒 联 盟 成 员, 安 全 技 术 实 力 得 到 了 广 大 权 威 机 构 的 认 可 深 信 服 获 得 多 方 权 威 机 构 的 认 可 14 / 19

5. 完 整 的 安 全 资 质 安 全 服 务 资 质.jp g 15 / 19

六 典 型 场 景 和 案 例 典 型 应 用 场 景 对 外 发 布 场 景 典 型 应 用 场 景 部 署 在 网 银 网 上 报 税 网 上 营 业 厅 电 子 商 务 等 系 统 出 口, 防 止 黑 客 入 侵, 保 护 关 键 业 务 和 客 户 隐 私 信 息, 避 免 损 害 单 位 形 象, 造 成 经 济 损 失 数 据 中 心 场 景 部 署 在 单 位 内 部 的 财 务 ERP OA 等 服 务 器 前 面, 精 细 控 制 访 问 权 限, 防 止 非 法 访 问, 防 止 企 业 机 密 信 息 被 窃 取, 保 障 核 心 业 务 获 取 必 要 的 带 宽 资 源 广 域 网 边 界 场 景 部 署 在 专 网 路 由 器 后 面, 过 滤 应 用 层 垃 圾 流 量, 防 止 病 毒 木 马 等 威 胁 在 分 支 机 构 间 横 向 传 播, 影 响 业 务 开 展 ; 优 化 广 域 网 带 宽, 保 障 关 键 业 务 稳 定 运 行 互 联 网 出 口 场 景 部 署 在 互 联 网 出 口, 针 对 各 种 终 端 提 供 漏 洞 防 护, 病 毒 / 木 马 过 滤, 高 性 能 应 用 管 控 与 流 量 优 化, 提 供 一 体 化 的 安 全 防 护 部 署 方 式 网 关 模 式 支 持 网 关 模 式, 支 持 NAT 路 由 转 发 应 用 层 防 护 等 全 部 功 能 网 桥 模 式 支 持 网 桥 模 式, 以 透 明 方 式 串 接 在 网 络 中, 支 持 除 VPN 以 外 的 所 有 功 能 16 / 19

混 杂 模 式 支 持 同 时 开 启 支 持 网 关 和 网 桥 模 式 旁 路 模 式 支 持 旁 路 模 式 部 署, 不 改 变 原 有 网 络 架 构 该 模 式 下 只 支 持 入 侵 防 御 Web 防 护 和 敏 感 信 息 防 泄 漏 功 能 典 型 应 用 案 例 最 高 人 民 法 院 最 高 人 民 法 院 根 据 其 实 际 网 络 环 境 和 需 求, 选 择 了 将 深 信 服 下 一 代 防 火 墙 NGAF 部 署 于 其 服 务 器 区 的 核 心 交 换 机 前, 启 用 了 服 务 器 防 护 漏 洞 防 护 与 敏 感 信 息 防 泄 漏 功 能 对 进 出 服 务 器 的 双 向 流 量 进 行 安 全 与 合 规 性 检 查 设 备 对 来 自 内 部 用 户 区 与 互 联 网 的 数 据 流 量 进 行 L2-L7 层 的 攻 击 检 测 与 防 护 ; 对 服 务 器 区 外 发 的 数 据 流 实 现 合 规 性 验 证 并 通 过 文 件 类 型 与 自 定 义 敏 感 信 息 防 泄 漏 规 则 两 种 方 式 防 止 数 据 交 互 过 程 中, 敏 感 信 息 被 非 法 人 员 窃 取 国 土 资 源 部 随 着 业 务 类 别 的 不 断 丰 富, 为 全 面 提 升 办 公 网 的 安 全 防 护 能 力, 国 土 资 源 部 在 数 据 中 心 服 务 器 区 和 内 网 办 公 区 前 端 分 别 部 署 了 深 信 服 下 一 代 防 火 墙 NGAF 替 换 掉 原 有 的 UTM 防 病 毒 网 关 IPS IDS 等 传 统 网 络 安 全 设 备, 极 大 地 简 化 了 组 网 拓 扑, 便 于 用 户 维 护 网 络 的 稳 定 性 设 备 的 部 署 加 强 了 应 用 层 网 络 的 防 护 能 力, 并 能 实 时 检 测 办 公 内 网 是 否 存 在 安 全 风 险, 为 国 土 资 源 部 的 网 络 提 供 强 有 力 的 安 全 保 障 海 关 总 署 海 关 总 署 通 过 将 深 信 服 下 一 代 防 火 墙 NGAF 部 署 在 其 与 国 务 院 新 闻 办 之 间 的 专 线 入 口 处, 有 效 地 对 海 关 总 署 和 国 务 院 新 闻 办 的 网 络 进 行 了 逻 辑 隔 离, 并 对 专 线 中 所 有 流 经 防 火 墙 的 数 据 包 按 照 严 格 的 安 全 规 则 进 行 过 滤, 清 洗 恶 意 流 量, 杜 绝 越 权 访 问, 防 止 各 类 非 法 攻 击 行 为, 保 障 了 海 关 总 署 内 部 业 务 系 统 的 安 全 稳 定 招 商 银 行 为 了 给 用 户 提 供 更 安 全 更 优 质 的 网 上 银 行 服 务, 招 商 银 行 在 其 网 银 服 务 器 区 部 署 了 深 信 服 下 一 代 防 火 墙 NGAF, 可 实 现 信 息 的 精 确 识 别 定 义 制 定 信 息 泄 露 安 全 策 略, 并 能 对 数 据 访 问 和 数 据 查 询 进 行 审 计, 有 效 保 障 了 网 银 敏 感 信 息 的 安 全 复 旦 大 学 为 进 一 步 加 强 校 园 信 息 化 安 全 建 设, 防 御 各 种 互 联 网 攻 击, 复 旦 大 学 选 择 了 深 信 服 下 一 代 防 火 墙 NGAF 为 校 园 网 络 保 驾 护 航 NGAF 的 入 侵 防 御 功 能, 可 有 效 抵 御 外 来 攻 击 ; 此 外, NGAF 可 对 网 络 中 已 被 感 染 的 终 端 进 行 检 测 和 定 位, 并 实 现 网 络 流 量 实 时 安 全 分 析 全 方 位 的 安 全 防 御 为 复 旦 的 师 生 提 供 了 安 全 稳 定 的 上 网 环 境 招 商 局 集 团 创 立 于 1872 年 晚 清 洋 务 运 动 时 期 的 招 商 局, 在 2012 年 建 设 了 一 个 具 备 专 业 性 先 进 性 和 模 块 化 设 计 架 构 的 IDC 中 心, 为 全 面 保 障 内 网 安 全, 招 商 局 在 数 据 中 心 DMZ 区 业 务 数 据 区 等 多 个 区 域 部 署 了 多 台 深 信 服 万 兆 下 一 代 防 火 墙 NGAF 设 备 为 各 业 务 系 统 各 终 端 提 供 了 L2 L7 完 整 的 安 全 防 护,IPS 和 WAF 等 模 块 有 效 防 止 漏 洞 攻 击 注 入 类 攻 击 等 多 种 安 全 威 胁, 单 次 解 析 架 构 多 核 并 行 处 理 技 术 很 好 地 解 决 了 多 功 能 模 块 开 启 导 致 的 性 能 下 降 问 17 / 19

题, 实 现 了 万 兆 级 别 的 应 用 层 处 理 性 能 华 润 电 力 专 注 于 电 力 煤 矿 和 新 能 源 的 华 润 电 力 在 全 国 分 布 着 众 多 各 项 目 公 司, 这 些 公 司 常 常 需 要 访 问 总 部 共 性 系 统 进 行 业 务 联 系 深 信 服 广 域 网 安 全 建 设 解 决 方 案 为 华 润 电 力 提 供 了 安 全 可 靠 的 广 域 网 环 境, 确 保 其 业 务 高 效 稳 定 地 运 行 NGAF 内 置 IPSec VPN 实 现 了 广 域 网 一 体 化 安 全 组 网, 并 对 广 域 网 网 络 层 到 应 用 层 进 行 流 量 清 洗, 有 效 解 决 了 广 域 网 病 毒 木 马 快 速 扩 散 及 对 总 部 应 用 层 进 行 攻 击 的 问 题 ; 集 中 管 理 统 一 监 管 则 解 决 了 各 项 目 公 司 专 业 安 全 维 护 困 难 的 问 题, 帮 助 客 户 真 正 实 现 管 理 集 中 化 运 维 自 动 化 七 部 分 客 户 列 表 国 家 部 委 / 省 厅 应 用 场 景 运 营 商 用 户 应 用 场 景 国 土 资 源 部 数 据 中 心 中 国 电 信 集 团 DMZ 区 公 安 部 数 据 中 心 中 国 移 动 四 川 省 分 公 司 互 联 网 出 口 交 通 运 输 部 互 联 网 出 口 中 国 联 通 福 建 省 分 公 司 互 联 网 出 口 外 交 部 互 联 网 出 口 中 国 移 动 广 东 省 分 公 司 互 联 网 出 口 海 关 总 署 DMZ 区 中 国 联 通 黑 龙 江 省 分 公 司 互 联 网 出 口 巟 信 部 数 据 中 心 中 国 电 信 河 北 省 分 公 司 互 联 网 出 口 +DMZ 区 卫 生 部 数 据 中 心 中 国 电 信 吉 林 省 分 公 司 互 联 网 出 口 环 保 部 数 据 中 心 中 国 移 动 安 徽 省 分 公 司 DMZ 区 农 业 部 DMZ 区 中 国 联 通 江 苏 省 分 公 司 互 联 网 出 口 +DMZ 区 铁 道 部 ( 原 ) DMZ 区 中 国 联 通 青 海 省 分 公 司 互 联 网 出 口 国 资 委 数 据 中 心 中 国 联 通 湖 北 省 分 公 司 互 联 网 出 口 +DMZ 区 国 家 统 计 局 DMZ 区 中 国 移 动 陕 西 省 分 公 司 互 联 网 出 口 +DMZ 区 最 高 人 民 法 院 数 据 中 心 中 国 电 信 云 南 省 分 公 司 互 联 网 出 口 +DMZ 区 企 业 用 户 应 用 场 景 金 融 用 户 应 用 场 景 水 利 水 电 第 十 六 巟 程 局 互 联 网 出 口 招 商 银 行 股 份 有 限 公 司 数 据 中 心 波 司 登 集 团 广 域 网 分 支 申 银 万 国 证 券 股 份 有 限 公 司 数 据 中 心 18 / 19

国 美 电 器 集 团 数 据 中 心 兴 业 银 行 河 北 省 分 行 数 据 中 心 东 风 汽 车 集 团 互 联 网 出 口 中 国 保 险 监 督 管 理 委 员 会 数 据 中 心 中 国 南 车 集 团 互 联 网 业 务 区 中 国 邮 政 储 蓄 银 行 浙 江 省 分 行 数 据 中 心 中 国 建 筑 第 二 巟 程 局 互 联 网 出 口 中 国 邮 政 储 蓄 银 行 安 徽 省 分 行 数 据 中 心 中 国 航 空 国 际 技 术 有 限 公 司 专 线 出 口 华 润 深 国 投 信 托 有 限 公 司 互 联 网 业 务 区 中 国 黄 金 集 团 互 联 网 业 务 区 华 泰 证 券 有 限 责 任 公 司 互 联 网 出 口 中 铁 六 局 集 团 有 限 公 司 互 联 网 出 口 光 大 证 券 股 份 有 限 公 司 互 联 网 出 口 招 商 局 集 团 有 限 公 司 互 联 网 业 务 区 西 部 证 券 股 份 有 限 公 司 数 据 中 心 教 育 用 户 应 用 场 景 教 育 用 户 应 用 场 景 北 京 海 淀 教 育 信 息 中 心 互 联 网 业 务 区 顺 义 教 育 信 息 中 心 数 据 中 心 广 东 教 育 厅 互 联 网 业 务 区 福 建 闽 侯 教 育 局 互 联 网 出 口 上 海 虹 口 教 育 信 息 中 心 互 联 网 业 务 区 上 海 教 育 考 试 院 互 联 网 业 务 区 复 旦 大 学 互 联 网 业 务 区 杭 州 电 子 科 技 大 学 互 联 网 出 口 上 海 政 法 大 学 互 联 网 出 口 华 中 农 业 大 学 互 联 网 出 口 湖 南 农 业 大 学 互 联 网 出 口 哈 尔 滨 理 巟 大 学 互 联 网 业 务 区 用 手 机 扫 描 上 述 二 维 码 即 可 观 看 相 关 视 频 19 / 19