您当前位置:华夏民经 >> 深信服 >> 浏览文章

深信服下一代防火墙

sxf-SSL-VPN.jpg

深信服 下一代防火墙NGAF

能够全面替代传统防火墙,IPS、WAF、UTM设备
提供更精细、更全面、更高性能、更完整的应用内容防护方案

产品概述

深信服下一代应用防火墙(NGAF)是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所有功能后性能不会大幅下降。    NGAF 不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF可以为不同规模的行业用户的数据中心、广域网边界、互联网出口等场景提供更精细、更全面、更高性能、更完整的应用内容防护方案。

sxf-NGAF_2.jpg

更精细的应用层安全控制
● 贴近国内应用、持续更新的应用识别规则库;
● 识别内外网超过724种应用、1253种动作(截止2011年8月10日);
● 支持包括AD域、Radius等8种用户身份识别方式;
● 面向用户与应用策略配置,减少错误配置的风险;
更全面的内容级安全防护
● 基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲;
● 强化的WEB应用安全,支持多种注入防范、XSS攻击、权限控制等;
● 完整的终端安全保护,支持插件/脚本过滤、漏洞/病毒防护等;
更高性能的应用层处理能力
●单次解析架构实现报文一次拆解和匹配;
●多核并行处理技术提升应用层分析速度;
●全新技术架构实现应用层万兆处理能力;
●更完整的安全防护方案
●可替代传统防火墙/VPN、IPS所有功能,实现内核级联动。

深信服NGAF产品功能亮点

更精细的应用层安全控制
深信服NGAF通过丰富的、贴近国内用户使用习惯的应用和用户识别能力,为用户提供更加精细应用访问控制,更加可靠、可视化的安全策略配置。
sxf-NGAF_1.jpg 识别内外网超过724种应用、1253种动作
NGAF优秀的应用可视化功能,不但可以识别P2P、IM、视频、炒股软件等互联网应用,满足了普通互联网边界行为管控的要求;同时,还满足了在内网数据中心和广域网边界的部署要求,可以识别LotusNotes、RTX、Oracle EBS、金蝶EAS、SAP、视频等丰富的内网应用,提供更加精细的应用访问权限控制和带宽保障策略,满足内网数据中心和广域网边界的部署要求;此外,为了防止非法外联同时确保服务器得到必要的更新,NGAF还可以准确识别Microsoft、360、Sogou、Kaspersky、金山毒霸等软件更新流量,制定更精细的外联控制策略。
智能用户身份识别
NGAF的应用可视化功能可以与8种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,通过单点登录的方式自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构。从而提供了更可靠、更灵活的基于用户身份的安全策略。
面向用户与应用策略配置,减少错误配置的风险
通过应用可视化功能制定的L3-L7一体化应用控制策略,可以为用户提供更加精细和直观化的控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。

更全面的内容级安全防护

深信服NGAF的灰度威胁识别技术可以将数据包还原到内容级别进行全面的威胁检测,可以提供漏洞利用防护、Web应用攻击防护、终端威胁内容过滤等功能。NGAF改变了传统IPS等设备防御威胁种类单一、威胁检测经常出现漏报、误报的问题,可以帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。
3-1501141433022F.jpg
基于攻击过程的服务器保护
NGAF可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,防御黑客扫描、入侵、破坏三步曲,有效阻断威胁风险的发生。 其中,漏洞利用防护的威胁种类包括:各种操作系统、应用系统、协议异常、网络设备漏洞所导致的缓冲区溢出攻击、协议异常攻击、蓝屏攻击、权限提取等。
强化的Web应用安全防护
NGAF专门针对Web应用面临的各种最新的威胁提供额外的安全防护,包括SQL注入、XSS攻击、OS命令注入、口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等,从根源上消除了Web系统被入侵、数据被篡改的可能性。
全面的终端安全防护
NGAF完整的终端防护功能不但可以针对HTTP、FTP、SMTP、POP3等协议传输的文件进行精确的木马、病毒、蠕虫查杀;还可以有效过滤恶意网站、恶意文件、恶意控件、恶意脚本等内容威胁的访问,从而避免终端访问Web应用内容而被窃取隐私等信息或被用作肉鸡。
专业攻防研究团队确保持续更新
NGAF的灰度威胁识别不但具备2000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、1000+Web应用威胁特征库,可以全面识别应用层和内容级别的各种安全威胁。另外,深信服凭借在应用层领域6年以上的技术积累,组建了专业的安全攻防团队,并且成为了微软MAPP合作伙伴,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。

更完整的安全防护方案

深信服NGAF通过全新的系统架构、计算能力更强大的多核并行处理技术,实现了万兆级的应用层安全防护能力,可以更好地满足用户在大型数据中心、大型互联网出口、城域网出口的安全防护需求。
多核并行处理技术
为了实现强劲的应用层处理能力,NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术,极大的提升应用层数据的分析能力。
单次解析引擎
在系统架构上,NGAF也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行一次检测匹配,从而提升了70-80%工作效率,实现了万兆级的应用安全防护能力。
更高性能的应用层处理能力
NGAF可以替代FW、IPS、VPN等设备的所有功能,为用户提供一个更加完整的防护方案,从而降低投资成本,降低组网复杂度、提升了运维工作效率。
3-150114143619143.jpg