深信服防火墙NGAF方案白皮书

深信服下一代防火墙NGAF方案白皮书

目录

一、企业级网络安全建设需要什么 (4)

1.传统割裂的各种安全产品？ (4)

2.“雇佣兵”式的安全服务？ (5)

3.企业级的网络安全到底需要什么？ (5)

二、深信服下一代防火墙的定位 (6)

1.适用于国内环境的下一代防火墙 (6)

2.我们不仅交付产品，还为您持续输送安全能力 (7)

三、深信服下一代防火墙为企业安全赋能 (7)

1.看懂安全现状和风险 (7)

1.1业务安全状况可视 (7)

1.2威胁危害效果可视 (8)

1.3安全事件实时通报 (9)

2.持续对抗新型威胁 (10)

2.1产品快速迭代应对已知威胁 (10)

2.2完整的APT攻击检测链 (11)

2.3云检测平台应对未知威胁 (12)

3.简化安全运营 (13)

3.1任务化的风险管理 (13)

3.2全网安全统一管控 (14)

3.3威胁情报预警与处置 (15)

3.4风险评估与策略联动 (15)

3.5智能联动封锁机制 (16)

四、高效稳定的底层架构设计 (16)

1.分离平面设计 (16)

2.多核并行处理 (17)

3.单次解析架构 (17)

4.跳跃式扫描技术 (18)

5.Sangfor Regex正则引擎 (18)

6.产品性能评测报告 (19)

五、深信服下一代防火墙品牌优势 (19)

1.市场引领者 (19)

2.专业权威的认可 (20)

3.专业安全攻防团队 (21)

4.产品可靠稳定 (21)

六、典型场景和案例 (22)

典型应用场景 (22)

典型应用案例 (23)

七、部分客户列表 (25)

近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化，网络攻击愈加频繁，用户对自己的网络安全建设是否合规、完善并没有把握。该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。

一、企业级网络安全建设需要什么

传统组合方案问题多

1.传统割裂的各种安全产品？

传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的，难以对安全日志进行统一分析；安全设备在有攻击时才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。

传统产品组合方案缺陷二：有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以安全存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流量进行防护，在面临新的未知攻击的情况下缺乏有效的防御措施，还是存在被绕过的风险。

2.“雇佣兵”式的安全服务？

即使采购了安全设备，但是缺乏专业的安全人员来进行及时有效的安全运维也是企业在安全建设中遇到的难题。以往只能通过安全服务商采购安全服务，我们称为”雇佣兵”式的安全服务。虽然短期内可以快速提升安全防护效果，满足合规要求，但是安全咨询和安全服务的交付质量，严重依赖于安全服务人员的水平，一旦安全专家离开了，那安全服务的交付质量就无法得到保障。虽然买回来一堆完备的安全设备，也会因为专业程度太高，缺乏专家水平的人员运维，让这些设备变成了摆设，用户通过自己的力量并不能够真正地掌控网络安全。

3.企业级的网络安全到底需要什么？

诉求一：看不看得到安全风险？

只有看到L2-L7层的攻击才能了解网络的整体安全状况，基于传统多产品的组合方案使大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。此外，没有攻击并不意味着业务不存在漏洞，一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着对业务安全的威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的来源，就无法让客户看到网络和业务的真实安全情况。

诉求二：能不能持续抵抗新威胁？

首先，面对已知威胁，需要评估现有的安全防护体系在技术层面是否存在短板，存

在短板必然容易被绕过，原有安全设备就形同虚设；其次，面对新型的威胁，企业是否具备实时应对和响应的能力，能够把影响最小化；最后，更多的安全威胁是未知的，如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁，是企业安全建设更高的一个层次的需求。

诉求三：安全运营是否能够简化？

面对专业的安全设备，如果采用前述”雇佣兵”式的服务，并无法持续地帮助企业用户将安全达到一种可控的状态。要想能够脱离”雇佣兵”式的安全服务，让安全设备发挥出最大的防护价值，就必须将专业、难懂的安全配置、安全日志进行简化，并能够引导和帮助用户具备用好、管好自己的设备的能力。

二、深信服下一代防火墙的定位

1.适用于国内环境的下一代防火墙

全球权威的IT研究与顾问咨询公司Gartner在2009年给出了下一代防火墙的定义：下一代防火墙是一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护。结合目前国内的互联网安全环境来看，越来越多的安全事件是由Web层面的设计漏洞被黑客利用所引发的。据统计，国内用户上网流量与对外发布业务流量混合的比例超过50%。作为出口安全网关的防火墙如果不具备Web应用防护能力，则存在明显的短板。所以下一代防火墙作为一款融合型安全产品，不能缺失基于Web应用的安全防护。

作为国内下一代防火墙产品的先行者，公安部第二代防火墙标准制定的参与者，深信服一直走在前沿，在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中。深信服下一代防火墙NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整的L2-L7层安全防护体系，强化了在Web层面的应用防护能力，不仅能够全面替代传统防火墙，而且在开启安全功能的情况下还保持着强劲的应用层处理性能。

2.我们不仅交付产品，还为您持续输送安全能力

安全已经成为继硬件、软件、网络之后的第四大IT基础设施。深信服除了为用户提供创新的安全产品之外，还将致力于帮助企业掌握自身网络安全。通过创新的安全产品+自动化的安全服务不断为用户输送安全能力，帮助用户具备看懂网络安全现状的能力，持续对抗新型威胁的能力和简化安全运营的能力。

三、深信服下一代防火墙为企业安全赋能

1.看懂安全现状和风险

1.1业务安全状况可视

NGAF提供强大的综合安全风险报表功能，能够帮助用户直观地了解到网络中存在的风险，通过从业务安全、用户安全以及漏洞分布三个维度来全方位地帮助用户了解网

络当中存在的威胁。

基于业务的风险分析报表（截选）

NGAF的实时漏洞分析功能，可以主动分析经过设备的业务流量中存在的风险并实时展示出来，实时监控界面可以根据服务器真实存在的漏洞数量进行排名，同时给出各业务系统风险情况的评估，并给出建议和解决方案。

1.2威胁危害效果可视

深信服NGAF突破传统安全产品的设计理念，在首页内容展示上进行了创新，将设备检测到的威胁风险通过图形化的界面进行统计和展示。用户通过首页就能一眼掌握网络的安全状况。通过各个版块简单的点击，就能继续深入了解到更详细的受害对象列表、安全日志、攻击来源等信息，能够直观地了解到哪些业务或者用户已经被黑客入侵或控制，哪些业务存在漏洞威胁，哪些Web服务器已经被植入了黑链等等。

NGAF首页风险展示

1.3安全事件实时通报

深信服NGAF搭建的微信安全服务平台，能够帮助用户7*24小时监控设备的安全状态，一旦发现设备检测到安全威胁，则通过深信服后台安全专家的验证确认后推送到用户端，帮助用户及时发现和处理安全风险，同时也通过漫画的形式帮助用户更好地了解所遭受攻击的危害，并定期生成安全风险报表，让运维管理人员更加了解自身的网络安全状态。

威胁实时通报安全报表推送威胁漫画展示

2.持续对抗新型威胁

2.1产品快速迭代应对已知威胁

完整的应用层防护体系

深信服NGAF具有完备的L2-L7层一体化的安全防御体系来应对已知威胁，在Web 应用安全层面的防护能力尤为突出，如具备网站黑链检测、Webshell脚本检测、OWASP TOP10 Web攻击防护等功能。对于不断更新的威胁，深信服NGAF通过产品的快速迭

代开发来响应需求。深信服NGAF保持每两月更新一个软件版本的速度实现对产品改进需求的快速响应。

在攻击特征库方面也保持着每两周更新一次的频率进行维护。高危的0day漏洞当天进行规则更新和发布。

2.2完整的APT攻击检测链

面对复杂、隐蔽的APT攻击，深信服NGAF深入剖析了APT攻击的五个阶段，并在每个阶段都具备相应的安全措施，让用户可以看到不同阶段检测到的APT攻击行为。

2.3云检测平台应对未知威胁

NGAF与云平台联动应对未知威胁

在应对未知威胁方面，深信服搭建了未知威胁云检测平台，通过6000多台部署在全球各地的深信服下一代防火墙，在获得用户授权的前提下，自动上传可疑的应用流量到未知威胁云检测平台，云平台将该部分流量放到虚拟沙盒中进行运行，通过分析异常网络行为，对流量进行判断。若上传流量存在安全威胁，云平台将生成安全防护规则并实时下发到全球所有在线的NGAF，令其能够有效抵御各类互联网攻击。

深信服未知威胁云检测平台

截止至2015年12月，深信服安全云平台累计收到接近1亿条可疑威胁流量，并分析定位出40多万条存在威胁的恶意网址，安全云平台同步生成并下发的安全防护规则累计拦截了330多万次的访问请求。

3.简化安全运营

3.1任务化的风险管理

深信服NGAF通过将检测到的安全风险统一汇总，为用户形成一个待处理问题清单，引导用户关注未处理的安全风险，并通过提供工具化的解决办法来帮助用户将安全风险处理掉形成运营闭环。

3.2全网安全统一管控

深信服下一代防火墙还具备全网安全监测平台，可实现对分布式部署的下一代防火墙进行统一的管理和监控，建设完善，可控的安全网络。

深信服全网安全监测方案

部署在各节点的NGAF为分支机构的网络提供L2-L7层完整的安全防护，有效避免分支机构因薄弱的安全建设成为入侵短板；总部核心业务区防护设备的部署，强有力

地保障了各项业务高效、稳定地开展；安全管理区的全网安全监测平台通过收集各节点的流量、攻击情况，使总部运维人员可实时了解分支机构的安全风险；集中管理平台可实现全网各节点设备的统一管理和统一策略推送，真正做到管理集中化、运维自动化。

分支机构安全状况实时上报

3.3威胁情报预警与处置

深信服NGAF内置了威胁情报预警中心，通过深信服后台安全专家团队持续不断地搜集互联网上最新爆发流行的0day漏洞，及时地将高危漏洞的危害分析以及检测验证工具同步推送到NGAF上，运维人员不仅可以在第一时间了解到最新的0day漏洞，还能够自主扫描验证内部服务器是否存在漏洞，如果扫描出问题也可以通过一键防护功能进行应急处置，帮助用户快速地将风险降到最低。

3.4风险评估与策略联动

深信服NGAF基于时间周期的安全防护设计，提供事前风险评估及策略联动功能。风险评估功能分为系统漏洞扫描和Web弱点扫描两部分：

系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，

并通过模块间的智能策略联动及时更新对应安全风险的安全防护策略。

Web弱点扫描通过内置的二十多类Web攻击特征，可以帮助用户快速定位出Web 应用的漏洞，并提供相关漏洞的严重等级、漏洞详情以及建议的修复方案等，协助用户快速解决内网Web应用存在的风险。

3.5智能联动封锁机制

深信服NGAF智能主动防御技术可在内部各个模块之间形成智能的联动策略，如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断该IP/用户。智能防护体系的建立可有效地防止工具型、自动化的黑客攻击，提高攻击成本。同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。

四、高效稳定的底层架构设计

1.分离平面设计

深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发，从而实现高效、可靠的数据报文处理。

分离平面设计

2.多核并行处理

NGAF的设计不仅采用了多核的硬件架构，在计算指令设计上还采用了先进的无锁并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异，是真正的多核并行处理架构。

多核并行处理技术

3.单次解析架构

NGAF采用单次解析构架实现报文的一次解析一次匹配，有效提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离，将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析和统一检测，减少冗余的数据包封装，实现高性能的数据处理。

单次解析架构

4.跳跃式扫描技术

NGAF利用多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过NGAF的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时，设备会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测特征，减少无效扫描，提升扫描效率。比如：流量被识别为HTTP流量，那么FTP sever-u的相关漏洞攻击特征便不会对系统造成威胁，便可以暂时跳过检测进行转发，提升转发的效率。

5.Sangfor Regex正则引擎

正则表达式是一种识别特定模式数据的方法，它可以精确识别网络中的攻击。经深信服安全专家研究发现，业界已有的正则表达式匹配方法的速度一般比较慢，制约了下一代防火墙整机速度的提高。为此，深信服设计并实现了全新的Sangfor Regex正则引擎，将正则表达式的匹配速度提高到数十Gbps，比PCRE和Google的RE2等知名引擎快数十倍，达到业界领先水平。

NGAF的Sangfor Regex大幅降低了CPU占用率，有效提高了NGAF的整机吞吐，从而能够更高速地处理客户的业务数据，该项技术尤其适用于对每秒吞吐量要求特别高的场景，如运营商、电商等。

6.产品性能评测报告

根据《GA/T 1177-2014 信息安全技术第二代防火墙安全技术要求》中的定义，应用层防火墙产品的性能应考察的是在多种应用、不同数据包大小的情况下防火墙实际能够处理的流量大小，并且在开启入侵防御和恶意代码防御及应用识别的基础上，要求性能下降不超过30%。深信服下一代防火墙凭借优异的指标率先通过了第二代防火墙标准增强级的测试要求。

在国际知名独立测评实验室NSS Labs的测评当中，深信服下一代防火墙在同国外一线厂商的同比测试中，也表现出了优异的新建和并发处理能力，最终获得『推荐级』评价。

五、深信服下一代防火墙品牌优势

1.市场引领者

2011年7月，深信服率先推出国内第一台下一代防火墙NGAF，自产品发布后，国内追随者不断，且赢得了众多用户的信任，年销量平均增长率超过50%。

截止至2015年末，NGAF在全国的用户累计超过20000家，在线稳定运行的设备超过40000台，用户覆盖各行各业，其中包括120多家部委省厅级单位、100多家运营商和金融单位、120多家知名教育单位、250多家大型企业和国资委下属央企集团，用户数量遥遥领先。

据咨询机构IDC的分析报告显示，2014年深信服下一代防火墙NGAF在中国集成防火墙市场排名第3，占有10.9%的市场份额，是唯一凭借下一代防火墙一款产品参与排名的厂商。咨询机构Frost&Sullivan评价到：深信服凭借优质的下一代防火墙产品，奠定了其在中国防火墙市场的领导地位。

2.专业权威的认可

国内最先获得NSS Labs“推荐”评价

早在2013年，深信服就将NGAF送往位于美国的全球最知名的独立安全研究和评测机构NSS Labs进行Web安全防护功能评测，在业界专业的WAF测试规范下，成功通过所有的攻击逃逸测试、产品稳定性和可靠性测试，其中，送测设备的每秒新建连接数达到76，616CPS，为送测的6家厂商中的最高数值。深信服下一代防火墙NGAF 最终获得NSS Labs “Recommended”推荐评价。

国内最早获得NSS Labs“推荐”评价的下一代防火墙产品

国内OWASP测试综合平分最高

深信服下一代防火墙NGAF在OWASP授权机构的25项测评项中获得19项“五星”满分评分，综合四星（国内最高为4星）。

受邀参与公安部第二代防火墙标准制定

2013年3月，深信服凭借多年的安全技术实力积累和对安全防护的独到见解，受到公安部第三研究所（信息安全行业规范编制单位）的邀请，参与国内第二代防火墙标准（GA/T1177-2014《信息安全技术第二代防火墙安全技术要求》）的制定，并成为主要起草单位。目前该标准已于2014年7月24日正式发布，9月1日已开始实施。