深信服下一代防火墙AF_技术白皮书_V4.0

NGAF技术白皮书文档密级：公开1/28深信服下一代防火墙NGAF技术白皮书深信服科技有限公司技术白皮书文档密级：公开2/28目录目录..................................................................................................................................................2一、概述...................................................................................................................................4二、为什么需要下一代防火墙...............................................................................................42.1网络发展的趋势使防火墙以及传统方案失效...........................................................42.2现有方案缺陷分析.......................................................................................................52.2.1单一的应用层设备是否能满足？...................................................................52.2.2“串糖葫芦式的组合方案”...........................................................................52.2.3UTM统一威胁管理..........................................................................................62.2.4其他品牌下一代防火墙能否解决？...............................................................6三、深信服下一代防火墙定位...............................................................................................6四、深信服下一代防火墙—NGAF..........................................................................................74.1产品设计理念...............................................................................................................74.2产品功能特色...............................................................................................................74.2.1可视的网络安全情况.......................................................................................74.2.2强化的应用层攻击防护.................................................................................124.2.3独特的双向内容检测技术.............................................................................174.2.4智能的网络安全防御体系.............................................................................194.2.5更高效的应用层处理能力.............................................................................204.2.6涵盖传统安全功能.........................................................................................214.3产品优势技术.............................................................................................................214.3.1深度内容解析.................................................................................................214.3.2双向内容检测.................................................................................................224.3.3分离平面设计.................................................................................................224.3.4单次解析架构.................................................................................................234.3.5多核并行处理.................................................................................................244.3.6智能联动技术.................................................................................................244.3.7Regex正则引擎..............................................................................................24五、部属方式.........................................................................................................................25NGAF技术白皮书文档密级：公开3/285.1互联网出口-内网终端上网........................................................................................255.2互联网出口-服务器对外发布....................................................................................265.3广域网边界安全隔离.................................................................................................265.4数据中心.....................................................................................................................27六、关于深信服.....................................................................................................................27NGAF技术白皮书文档密级：公开4/28一、概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员，通过有限的防御方式对风险进行防护，成本高，效率低，安全防范手段有限。而下一代防火墙则形如机场的整体安检系统，除了包括原有的安检人员/传统防火墙功能外，还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。自2009年10月Gartner提出“DefiningtheNext-GenerationFirewall”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后，于2011年正式发布深信服“下一代防火墙”——NGAF。二、为什么需要下一代防火墙2.1网络发展的趋势使防火墙以及传统方案失效近几年来，越来越多的安全事故告诉我们，安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化，网络攻击愈加频繁，客户对自己的网络安全建设变得越来越不自信。到底怎么加强安全建设？安全建设的核心问题是什么？采用什么安全防护手段更为合适？已成为困扰用户安全建设的关键问题。问题一：看不看得到真正的风险？一方面，只有看到L2-7层的攻击才能了解网络的整体安全状况，而基于多产品组合方案大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。另一方面，没有攻击并不意味着业务就不存在漏洞，一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着业务安全威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案，就无法让客户看到网络和业务的真实的安全情况。问题二：防不防得住潜藏的攻击？一方面，防护技术不能存在短板，存在短板必然会被绕过，原有设备就形同虚设；另一NGAF技术白皮书文档密级：公开5/28方面，单纯防护外部黑客对内网终端和服务器的攻击是不够的，终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测，进而才能找到黑客针对内网的控制通道，同时发现泄密的风险，最后通过针对性的安全防护技术加以防御。综上所述，真正能看到攻击与业务漏洞，及时查漏补缺，并能及时防住攻击才是最有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢？2.2现有方案缺陷分析2.2.1单一的应用层设备是否能满足？1、入侵防御设备应用安全防护体系不完善，只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。