1、 33/33下一代企業防火墻NGAF 技術白皮書目 錄 TOC o 1-3 h z u HYPERLINK l _Toc509947521 一、概述 PAGEREF _Toc509947521 h 4 HYPERLINK l _Toc509947522 二、為什么需要下一代防火墻 PAGEREF _Toc509947522 h 4 HYPERLINK l _Toc509947523 2.1網絡發展的趨勢使防火墻以及傳統方案失效 PAGEREF _Toc509947523 h 4 HYPERLINK l _Toc509947524 2.2現有方案缺陷分析 PAGEREF _Toc50994752

2、4 h 5 HYPERLINK l _Toc509947525 2.2.1單一的應用層設備是否能滿足？ PAGEREF _Toc509947525 h 5 HYPERLINK l _Toc509947526 2.2.2“串糖葫蘆式的組合方案” PAGEREF _Toc509947526 h 6 HYPERLINK l _Toc509947527 2.2.3UTM統一威脅管理 PAGEREF _Toc509947527 h 6 HYPERLINK l _Toc509947528 2.2.4其他品牌下一代防火墻能否解決？ PAGEREF _Toc509947528 h 7 HYPERLINK l

3、_Toc509947529 三、下一代防火墻定位 PAGEREF _Toc509947529 h 7 HYPERLINK l _Toc509947530 四、下一代防火墻NGAF PAGEREF _Toc509947530 h 8 HYPERLINK l _Toc509947531 4.1產品設計理念 PAGEREF _Toc509947531 h 8 HYPERLINK l _Toc509947532 4.2產品功能特色 PAGEREF _Toc509947532 h 9 HYPERLINK l _Toc509947533 4.2.1可視的網絡安全情況 PAGEREF _Toc5099475

4、33 h 9 HYPERLINK l _Toc509947534 4.2.2強化的應用層攻擊防護 PAGEREF _Toc509947534 h 15 HYPERLINK l _Toc509947535 4.2.3獨特的雙向內容檢測技術 PAGEREF _Toc509947535 h 22 HYPERLINK l _Toc509947536 4.2.4智能的網絡安全防御體系 PAGEREF _Toc509947536 h 24 HYPERLINK l _Toc509947537 4.2.5更高效的應用層處理能力 PAGEREF _Toc509947537 h 25 HYPERLINK l _T

5、oc509947538 4.2.6涵蓋傳統安全功能 PAGEREF _Toc509947538 h 25 HYPERLINK l _Toc509947539 4.3產品優勢技術 PAGEREF _Toc509947539 h 26 HYPERLINK l _Toc509947540 4.3.1深度內容解析 PAGEREF _Toc509947540 h 26 HYPERLINK l _Toc509947541 4.3.2雙向內容檢測 PAGEREF _Toc509947541 h 27 HYPERLINK l _Toc509947542 4.3.3分離平面設計 PAGEREF _Toc5099

6、47542 h 27 HYPERLINK l _Toc509947543 4.3.4單次解析架構 PAGEREF _Toc509947543 h 28 HYPERLINK l _Toc509947544 4.3.5多核并行處理 PAGEREF _Toc509947544 h 29 HYPERLINK l _Toc509947545 4.3.6智能聯動技術 PAGEREF _Toc509947545 h 29 HYPERLINK l _Toc509947546 4.3.7Regex正則引擎 PAGEREF _Toc509947546 h 30 HYPERLINK l _Toc509947547

7、五、部屬方式 PAGEREF _Toc509947547 h 31 HYPERLINK l _Toc509947548 5.1互聯網出口-內網終端上網 PAGEREF _Toc509947548 h 31 HYPERLINK l _Toc509947549 5.2互聯網出口-服務器對外發布 PAGEREF _Toc509947549 h 31 HYPERLINK l _Toc509947550 5.3廣域網邊界安全隔離 PAGEREF _Toc509947550 h 32 HYPERLINK l _Toc509947551 5.4數據中心 PAGEREF _Toc509947551 h 33概

8、述防火墻自誕生以來，在網絡安全防御系統中就建立了不可替代的地位。作為邊界網絡安全的第一道關卡防火墻經歷了包過濾技術、代理技術和狀態監視技術的技術革命，通過ACL訪問控制策略、NAT地址轉換策略以及抗網絡攻擊策略有效的阻斷了一切未被明確允許的包通過，保護了網絡的安全。防火墻就像機場的安檢部門，對進出機場/防火墻的一切包裹/數據包進行檢查，保證合法包裹/數據包能夠進入機場/網絡訪問合法資源同時防止非法人員通過非法手段進入機場/網絡或干擾機場/網絡的正常運行。傳統的防火墻正如機場安檢人員，通過有限的防御方式對風險進行防護，成本高，效率低，安全防范手段有限。而下一代防火墻則形如機場的整體安檢系統，除了

9、包括原有的安檢人員/傳統防火墻功能外，還引入了先進的探測掃描儀/深度內容安全檢測構成一套完整的整體安全防護體系。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文，重新定義下一代防火墻，下一代防火墻的概念在業內便得到了普遍的認可。也在經過10年網絡安全技術6年的應用安全技術沉淀之后，于2011年正式發布“下一代防火墻”NGAF。 為什么需要下一代防火墻網絡發展的趨勢使防火墻以及傳統方案失效近幾年來，越來越多的安全事故告訴我們，安全風險比以往更加難以察覺。隨著網絡安全形勢逐漸惡化，網絡攻擊愈加頻繁，客戶對自己的網絡安全建設變得越

10、來越不自信。到底怎么加強安全建設？安全建設的核心問題是什么？采用什么安全防護手段更為合適？已成為困擾用戶安全建設的關鍵問題。問題一：看不看得到真正的風險？一方面，只有看到L2-7層的攻擊才能了解網絡的整體安全狀況，而基于多產品組合方案大多數用戶沒有辦法進行統一分析，也就無法快速定位安全問題，同時也加大了安全運維的工作量。另一方面，沒有攻擊并不意味著業務就不存在漏洞，一旦漏洞被利用就為時已晚。好的解決方案應能及時發現業務漏洞，防患于未然。最后，即使有大量的攻擊也不意味著業務安全威脅很大，只有針對真實存在的業務漏洞進行的攻擊才是有效攻擊。看不到有效攻擊的方案，就無法讓客戶看到網絡和業務的真實的安全

11、情況。問題二：防不防得住潛藏的攻擊？一方面，防護技術不能存在短板，存在短板必然會被繞過，原有設備就形同虛設；另一方面，單純防護外部黑客對內網終端和服務器的攻擊是不夠的，終端和服務器主動向外發起的流量中是否存在攻擊行為和泄密也需要檢測，進而才能找到黑客針對內網的控制通道，同時發現泄密的風險，最后通過針對性的安全防護技術加以防御。綜上所述，真正能看到攻擊與業務漏洞，及時查漏補缺，并能及時防住攻擊才是最有效的解決方案。那么基于攻擊特征防護的傳統解決方案是否真的能夠達到要求呢？現有方案缺陷分析單一的應用層設備是否能滿足？ 1、入侵防御設備應用安全防護體系不完善，只能針對操作系統或者應用軟件的底層漏洞進

12、行防護，缺乏針對Web攻擊威脅的防御能力，對Web攻擊防護效果不佳。缺乏攻擊事后防護機制，不具備數據的雙向內容檢測能力，對未知攻擊產生的后果無能為力，如入侵防御設備無法應對來自于web網頁上的SQL，XSS漏洞，無法防御來自內網的敏感信息泄露或者敏感文件過濾等等。2、Web應用防火墻傳統Web防火墻面對當前復雜的業務流量類型處理性能有限，且只針對來自Web的攻擊防護，缺乏針對來自應用系統底層漏洞的攻擊特征，缺乏基于敏感業務內容的保護機制，只能提供簡單的關鍵字過濾功能，無法對Web業務提供L2-L7層的整體安全防護。“串糖葫蘆式的組合方案”由于防火墻功能上的缺失使得企業在網絡安全建設的時候針對現

13、有多樣化的攻擊類型采取了打補丁式的設備疊加方案，形成了“串糖葫蘆”式部署。通常我們看到的網絡安全規劃方案的時候都會以防火墻+入侵防御系統+網關殺毒+的形式。這種方式在一定程度上能彌補防火墻功能單一的缺陷，對網絡中存在的各類攻擊形成了似乎全面的防護。但在這種環境中，管理人員通常會遇到如下的困難：一，有幾款設備就可以看到幾種攻擊，但是是割裂的難以對安全日志進行統一分析；有攻擊才能發現問題，在沒有攻擊的情況下，就無法看到業務漏洞，但這并不代表業務漏洞不存在；即使發現了攻擊，也無法判斷業務系統是否真正存在安全漏洞，還是無法指導客戶進行安全建設；二，有幾種設備就可以防護幾種攻擊，但大部分客戶無法全部部署

14、，所以存在短板；即使全部部署，這些設備也不對服務器和終端向外主動發起的業務流進行防護，在面臨新的未知攻擊的情況下缺乏有效防御措施，還是存在被繞過的風險。UTM統一威脅管理2004年IDC推出統一威脅管理UTM的概念。這種設備的理念是將多個功能模塊集中如：FW、IPS、AV，聯合起來達到統一防護，集中管理的目的。這無疑給安全建設者們提供了更新的思路。事實證明國內市場UTM產品確實得到用戶認可，據IDC統計數據09年UTM市場增長迅速，但2010年UTM的增長率同比有明顯的下降趨勢。這是因為UTM設備僅僅將FW、IPS、AV進行簡單的整合，傳統防火墻安全與管理上的問題依然存在，比如缺乏對WEB服務

15、器的有效防護等；另外，UTM開啟多個模塊時是串行處理機制，一個數據包先過一個模塊處理一遍，再重新過另一個模塊處理一遍，一個數據要經過多次拆包，多次分析，性能和效率使得UTM難以令人信服。Gartner認為“UTM安全設備只適合中小型企業使用，而NGFW才適合員工大于1000人以上規模的大型企業使用。”其他品牌下一代防火墻能否解決？大部分下一代防火墻只能看到除web攻擊外的大部分攻擊，極少部分下一代防火墻能夠看到簡單的WEB攻擊，但均無法看到業務的漏洞。攻擊和漏洞無法關聯就很難確定攻擊的真實性；另外，大部分下一代防火墻防不住web攻擊，也不對服務器/終端主動向外發起的業務流進行防護，比如信息泄露

16、、僵尸網絡等，應對未知攻擊的方式比較單一，只通過簡單的聯動防護，仍有被繞過的風險。下一代防火墻定位全球最具權威的IT研究與顧問咨詢公司Gartner，在2009年發布了一份名為Defining the Next-Generation Firewall的文章，給出了真正能夠滿足用戶當前安全需求的下一代防火墻定義：下一代防火墻是一種深度包檢測防火墻，超越了基于端口、協議的檢測和阻斷，增加了應用層的檢測和入侵防護,下一代防火墻不應該與獨立的網絡入侵檢測系統混為一談，后者只包含了日常的或是非企業級的防火墻，或者把防火墻和IPS簡單放到一個設備里，整合的并不緊密。結合目前國內的互聯網安全環境來看，更多的

17、安全事件是通過Web層面的設計漏洞被黑客利用所引發。據統計，國內用戶上網流量與對外發布業務流量混合在一起的比例超過50%。以政府為例，60%以上的政府單位門戶網站和用戶上網是共用電子政務外網的線路。在這種場景下，如果作為出口安全網關的防火墻不具備Web應用防護能力，那么在新出現的APT攻擊的大環境下，現有的安全設備很容易被繞過，形同虛設，下一代防火墻做為一款融合型的安全產品，不能存針對基于Web的應用安全短板。做為國內下一代防火墻產品的領導者，和公安部第二代防火墻標準制定的參與者，走在前沿，在產品推出伊始就把Web應用防護這個基因深深地植入到下一代防火墻當中，下一代防火墻（Next-Gener

18、ation Application Firewall）NGAF面向應用層設計，能夠精確識別用戶、應用和內容，具備完整的L2-L7層的安全防護體系，強化了在Web層面的應用防護能力，不僅能夠全面替代傳統防火墻，并具在開啟安全功能的情況下還保持有強勁應用層處理能力的全新網絡安全設備。下一代防火墻NGAF 產品設計理念更精細的應用層安全控制： 貼近國內應用、持續更新的應用識別規則庫識別內外網超過1500多種應用、3000多種動作（截止2014年2月14日）支持包括AD域、Radius等8種用戶身份識別方式面向用戶與應用策略配置，減少錯誤配置的風險更全面的內容級安全防護： 基于攻擊過程的服務器保護，防

19、御黑客掃描、入侵、破壞三步曲強化的WEB應用安全，支持多種SQL注入防范、XSS攻擊、CSRF、權限控制等完整的終端安全保護，支持漏洞、病毒防護等雙向內容檢測，功能防御策略智能聯動更高性能的應用層處理能力：單次解析架構實現報文一次拆解和匹配多核并行處理技術提升應用層分析速度Regex正則表達引擎提升規則解析效率全新技術架構實現應用層萬兆處理能力更完整的安全防護方案可替代傳統防火墻/VPN、IPS所有功能，實現內核級聯動產品功能特色可視的網絡安全情況NGAF獨創的應用可視化技術，可以根據應用的行為和特征實現對應用的識別和控制，而不僅僅依賴于端口或協議，擺脫了過去只能通過IP地址來控制的尷尬，即使

20、加密過的數據流也能應付自如。目前，NGAF的應用可視化引擎不但可以識別1200多種的內外網應用及其2700多種應用動作，還可以與多種認證系統（AD、LDAP、Radius等）、應用系統（POP3、SMTP等）無縫對接，自動識別出網絡當中IP地址對應的用戶信息，并建立組織的用戶分組結構；既滿足了普通互聯網邊界行為管控的要求，同時還滿足了在內網數據中心和廣域網邊界的部署要求，可以識別和控制豐富的內網應用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,針對用戶應用系統更新服務的訴求,NGAF還可以精細識別Microsoft、360、Symant

21、ec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴格的環境下,系統軟件更新服務暢通無阻。因此，通過應用可視化引擎制定的L4-L7一體化應用控制策略, 可以為用戶提供更加精細和直觀化控制界面，在一個界面下完成多套設備的運維工作，提升工作效率。可視化的網絡應用隨著網絡攻擊不斷向應用層業務系統轉移，傳統的網絡層防火墻已經不能有效實施防護。因此，作為企業網絡中最重要的屏障，如何幫助用戶實現針對所有業務的安全可視化變得十分重要。NGAF以精確的應用識別為基礎，可以幫助用戶恢復對網絡中各類流量的掌控，阻斷或控制不當操作，根據企業自身狀況合理分配帶寬資源等。N

22、GAF的應用識別有以下幾種方式：第一，基于協議和端口的檢測僅僅是第一步(傳統防火墻做法)。固定端口小于1024的協議，其端口通常是相對穩定,可以根據端口快速識別應用。第二，基于應用特征碼的識別，深入讀取IP包載荷的內容中的OSI七層協議中的應用層信息，將解包后的應用信息與后臺特征庫進行比較來確定應用類型。第三，基于流量特征的識別，不同的應用類型體現在會話連接或數據流上的狀態各有不同，例如，基于P2P下載應用的流量模型特點為平均包長都在450字節以上、下載時間長、連接速率高、首選傳輸層協議為TCP等；NGAF基于這一系列流量的行為特征，通過分析會話連接流的包長、連接速率、傳輸字節量、包與包之間的

23、間隔等信息來鑒別應用類型。可視化的業務和終端安全NGAF可對經過設備的流量進行實時流量分析，相比主動漏洞掃描工具或者是市場的漏掃設備，被動漏洞分析最大的優勢就在于能實時發現客戶網絡環境的安全缺陷，且不會給網絡產生額外的流量。此模塊設計的初衷就是希望能夠實時發現和跟蹤網絡中存在的主機、服務和應用，發現服務器軟件的漏洞，實時分析用戶網絡中存在的安全問題，為用戶展現AF的安全防護能力。實時漏洞分析功能主要可以幫助用戶從以下幾個方面來被動的對經過的流量進行分析：底層軟件漏洞分析實時分析網絡流量，發現網絡中存在漏洞的應用，把漏洞的危害和解決方法通過日志和報表進行展示，支持的應用包括：HTTP服務器(Ap

24、ache、IIS)，FTP服務器(FileZilla)，Mail服務器(Exchange)，Realvnc，OpenSSH，Mysql，DB，SQL，Oracle等Web應用風險分析針對用戶WEB應用系統中存在的如下風險和安全問題進行分析：1.SQL注入、文件包含、命令執行、文件上傳、XSS攻擊、目錄穿越、webshell；2.發現網站/OA存在的設計問題，包括：a)在HTTP請求中直接傳SQL語句；b)在HTTP請求中直接傳javascript代碼；c) URL包含敏感信息：如user、username、pass、password、session、jsessionid、sessionid等；

25、3.支持第三方插件的漏洞檢測，如：媒體庫插件jplayer，論壇插件discuz，網頁編輯器fckeditor，freetextbox，ewebeditor，webhtmleditor，kindeditor等Web不安全配置檢測各種應用服務的默認配置存在安全隱患，容易被黑客利用，例如，SQL Server 的默認安裝，就具有用戶名為sa，密碼為空的管理員帳號。不安全的默認配置，管理員通常難以發覺，并且，隨著服務的增多，發現這些不安全的配置就更耗人力。NGAF支持常用Web服務器不安全配置檢測，如Apache的httpd.conf配置文件，IIS的metabase.xml配置文件，nginx的w

26、eb.xml和 nginx.conf配置文件，Tomcat的server.xml配置文件，PHP的php.ini配置文件等等，同時也支持操作系統和數據庫配置文件的不安全配置檢測，如Windows的ini文件，Mysql的my.ini，Oracle的sqlnet.ora等等。弱口令檢測支持FTP，POP3，SMTP，Telnet，Web，Mysql，LDAP，AD域等協議或應用的弱口令檢查。另外，NGAF還提供強大的綜合風險報表功能。能夠從業務和用戶兩個維度來對可網絡中的安全狀況進行全面評估，區分檢測到的攻擊和其中真正有效的攻擊次數，并針對攻擊類型，漏洞類型和威脅類型進行詳細的分析給提供相應的解

27、決建議，同時還能夠針對預先定義好的業務系統進行威脅分析，還原給客戶一個網絡真實遭受到安全威脅的情況。智能用戶身份識別網絡中的用戶并不一定需要平等對待，通常，許多企業策略僅僅是允許某些IP段訪問網絡及網絡資源。NGAF提供基于用戶與用戶組的訪問控制策略，它使管理員能夠基于各個用戶和用戶組（而不是僅僅基于 IP 地址）來查看和控制應用使用情況。在所有功能中均可獲得用戶信息，包括應用訪問控制策略的制定和安全防護策略創建、取證調查和報表分析。1、映射組織架構NGAF可以按照組織的行政結構建立樹形用戶分組，將用戶分配到指定的用戶組中，以實現網絡訪問權限的授予與繼承。用戶創建的過程簡單方便，除手工輸入帳戶

28、方式外，NGAF能夠根據OU或Group讀取AD域控服務器上用戶組織結構，并保持與AD的自動同步，方便管理員管理。此外，NGAF支持賬戶自動創建功能，依據管理員分配好的IP段與用戶組的對應關系，基于新用戶的源IP地址段自動將其添加到指定用戶組、同時綁定IP/MAC，并繼承管理員指定的網絡權限。管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導入，實現快捷的創建用戶和分組信息。2、建立身份認證體系本地認證：Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定第三方認證：AD、LDAP、Radius、POP3、PROXY等；單點登錄：AD、POP3、Proxy、HTTP POST等

29、；強制認證：強制指定IP段的用戶必須使用單點登錄（如必須登錄AD域等）豐富的認證方式，幫助組織管理員有效區分用戶，建立組織身份認證體系，進而形成樹形用戶分組，映射組織行政結構，實現用戶與資源的一一對應。NGAF支持為未認證通過的用戶分配受限的網絡訪問權限，將通過Web認證的用戶重定向至顯示指定網頁，方便組織管理員發布通知。面向用戶與應用的訪問控制策略當前的網絡環境，IP不等于用戶，端口不等于應用。而傳統防火墻的基于IP/端口的控制策略就會失效，用戶可以輕易繞過這些策略，不受控制的訪問互聯網資源及數據中心內容，帶來巨大的安全隱患。NGAF不僅具備了精確的用戶和應用的識別能力，還可以針對每個數據包

30、找出相對應的用戶角色和應用的訪問權限。通過將用戶信息、應用識別有機結合，提供角色為應用和用戶的可視化界面，真正實現了由傳統的“以設備為中心”到“以用戶為中心”的應用管控模式轉變。幫助管理者實施針對何人、何時、何地、何種應用動作、何種威脅等多維度的控制，制定出L4-L7層一體化基于用戶應用的訪問控制策略，而不是僅僅看到IP地址和端口信息。在這樣的信息幫助下，管理員可以真正把握安全態勢，實現有效防御，恢復了對網絡資源的有效管控。基于應用的流量管理傳統防火墻的QOS流量管理策略僅僅是簡單的基于數據包優先級的轉發，當用戶帶寬流量過大、垃圾流量占據大量帶寬，而這些流量來源于同一合法端口的不同非法應用時，

31、傳統防火墻的QOS便失去意義。NGAF提供基于用戶和應用的流量管理功能，能夠基于應用做流量控制，實現阻斷非法流量、限制無關流量保證核心業務的可視化流量管理價值。NGAF采用了隊列流量處理機制：首先，將數據流根據各種條件進行分類（如IP地址，URL，文件類型，應用類型等分類，像skype、emule屬于P2P類）然后，分類后的數據包被放置于各自的分隊列中，每個分類都被分配了一定帶寬值，相同的分類共享帶寬，當一個分類上的帶寬空閑時，可以分配給其他分類，其中帶寬限制是通過限制每個分隊列上數據包的發送速率來限制每個分類的帶寬，提高了帶寬限制的精確度。最后，在數據包的出口處，每個分類具備一個優先級別，優

32、先級高的隊列先發送，當優先級高的隊列中的數據包全部發送完畢后，再發送優先級低的。也可以為分隊列設置其它排隊方法，防止優先級高的隊列長期占用網絡接口。基于應用/網站/文件類型的智能流量管理NGAF可以基于不同用戶(組)、出口鏈路、應用類型、網站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配，如保證領導視頻會議的帶寬而限制員工P2P的帶寬、保證市場部訪問行業網站的帶寬而限制研發部訪問新聞類網站的帶寬、保證設計部傳輸CAD文件的帶寬而限制營銷部傳輸RM文件的帶寬。精細智能的流量管理既防止帶寬濫用，又提升帶寬使用效率。P2P的智能識別與靈活控制封IP、端口等管控“帶寬殺手”P2P應用的方式極

33、不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。NGAF不僅識別和管控常用P2P、加密P2P，對不常見和未來將出現的P2P亦能管控。而完全封堵P2P可能實施困難，NGAF的P2P流控技術能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會濫用帶寬，充分滿足管理的靈活性。強化的應用層攻擊防護基于應用的深度入侵防御NGAF的灰度威脅關聯分析引擎具備4000+條漏洞特征庫、3000+Web應用威脅特征庫，可以全面識別各種應用層和內容級別的單一安全威脅；另外，憑借在應用層領域10年以上的技術積累，組建了專業的安全攻防團隊，可以為用戶定期提供最新的威脅特征庫

34、更新，以確保防御的及時性。下圖為灰度威脅關聯分析引擎的工作原理：第一,威脅行為建模,在灰度威脅樣本庫中，形成木馬行為庫、SQL攻擊行為庫、P2P行為庫、病毒蠕蟲行為庫等數十個大類行為樣本，根據他們的風險性我們初始化一個行為權重，如異常流量0.32、病毒蠕蟲0.36等等，同時擬定一個威脅閥值，如閥值=1。 第二，用戶行為經過單次解析引擎后，發現攻擊行為，立即將相關信息，如IP、用戶、攻擊行為等反饋給灰度威脅樣本庫。第三，在灰度威脅樣本庫中，針對單次解析引擎的反饋結果，如攻擊行為、IP、用戶等信息，不斷歸并和整理，形成了基于IP、用戶的攻擊行為的表單。第四，基于已有威脅樣本庫，將特定用戶的此次行為

35、及樣本庫中的行為組合，進行權值計算和閥值比較，例如某用戶的行為組權重之和為1.24，超過了預設的閥值1，我們會認定此類事件為威脅事件。由此可見， 威脅關聯分析引擎對豐富的灰度威脅樣本庫和權重的準確性提出了更高的要求，NGAF在兩方面得以增強：第一，通過NGAF抓包，客戶可以記錄未知流量并提交給的威脅探針云，在云中心，專家會對威脅反復測試，加快灰度威脅的更新速度，不斷豐富灰度威脅樣本庫。第二，不斷的循環驗證和權重微調，形成了準確的權重知識庫，為檢測未知威脅奠定了基礎。強化的WEB攻擊防護NGAF能夠有效防護OWASP組織提出的10大web安全威脅的主要攻擊，并于2013年1月獲得了OWASP組織

36、頒發的產品安全功能測試4星評級證書（最高評級為5星，NGAF為國內同類產品評分最高）主要功能如：防SQL注入攻擊SQL注入攻擊產生的原因是由于在開發web應用時，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。NGAF可以通過高效的URL過濾技術，過濾SQL注入的關鍵信息，從而有效的避免網站服務器受到SQL注入攻擊。防XSS跨站腳本攻擊跨站攻擊產生的原理是攻擊者通過向Web頁面里插入惡意html代碼，從而達到特殊目的。NGAF通過先進的數據包正則表達式匹

37、配原理，可以準確地過濾數據包中含有的跨站攻擊的惡意代碼，從而保護用戶的WEB服務器安全。防CSRF攻擊CSRF即跨站請求偽造，從成因上與XSS漏洞完全相同，不同之處在于利用的層次上，CSRF是對XSS漏洞更高級的利用，利用的核心在于通過XSS漏洞在用戶瀏覽器上執行功能相對復雜的JavaScript腳本代碼劫持用戶瀏覽器訪問存在XSS漏洞網站的會話，攻擊者可以與運行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權限執行惡意操作。NGAF通過先進的數據包正則表達式匹配原理，可以準確地過濾數據包中含有的CSRF的攻擊代碼，防止WEB系統遭受跨站請求偽造攻擊。主動防御技術主動防御可以針對受

38、保護主機接受的URL請求中帶的參數變量類型，以及變量長度按照設定的閾值進行自動學習，學習完成后可以抵御各種變形攻擊。另外還可以通過自定義參數規則來更精確的匹配合法URL參數，提高攻擊識別能力。應用信息隱藏NGAF對主要的服務器（WEB服務器、FTP服務器、郵件服務器等）反饋信息進行了有效的隱藏。防止黑客利用服務器返回信息進行有針對性的攻擊。如：HTTP出錯頁面隱藏：用于屏蔽Web服務器出錯的頁面，防止web服務器版本信息泄露、數據庫版本信息泄露、網站絕對路徑暴露，應使用自定義頁面返回。HTTP(S)響應報文頭隱藏：用于屏蔽HTTP(S)響應報文頭中特定的字段信息。FTP信息隱藏：用于隱藏通過正

39、常FTP命令反饋出的FTP服務器信息，防止黑客利用FTP軟件版本信息采取有針對性的漏洞攻擊。URL防護Web應用系統中通常會包含有系統管理員管理界面以便于管理員遠程維護web應用系統，但是這種便利很可能會被黑客利用從而入侵應用系統。通過NGAF提供的受限URL防護功能，幫助用戶選擇特定URL的開放對象，防止由于過多的信息暴露于公網產生的威脅。弱口令防護弱口令被視為眾多認證類web應用程序的普遍風險問題，NGAF通過對弱口令的檢查，制定弱口令檢查規則控制弱口令廣泛存在于web應用程序中。同時通過時間鎖定的設置防止黑客對web系統口令的暴力破解。HTTP異常檢測通過對HTTP協議內容的單次解析，分

40、析其內容字段中的異常，用戶可以根據自身的Web業務系統來量身定造允許的HTTP頭部請求方法，有效過濾其他非法請求信息。文件上傳過濾由于web應用系統在開發時并沒有完善的安全控制，對上傳至web服務器的信息進行檢查，從而導致web服務器被植入病毒、木馬成為黑客利用的工具。NGAF通過嚴格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務器。同時還能夠結合病毒防護、插件過濾等功能檢查上傳文件的安全性，以達到保護web服務器安全的目的。用戶登錄權限防護針對某些特定的敏感頁面或者應用系統，如管理員登陸頁面等，為了防止黑客訪問并不斷的進行登錄密碼嘗試，NGAF可以提供訪問URL登錄進行短

41、信認證的方式，提高訪問的安全性。緩沖區溢出檢測 HYPERLINK /view/266782.htm t _blank 緩沖區溢出攻擊是利用緩沖區 HYPERLINK /view/164019.htm t _blank 溢出漏洞所進行的攻擊行動。可以利用它執行非授權指令，甚至可以取得系統特權，進而進行各種非法操作。NGAF通過對URL長度，POST實體長度和HTTP頭部內容長度檢測來防御此類型的攻擊。全面的終端安全保護傳統網絡安全設備對于終端的安全保護僅限于病毒防護。事實上終端的安全不僅僅是病毒，很多用戶在部署過防病毒軟件之后，終端的安全事件依然頻發，如何完整的保護終端成為眾多用戶關注的焦點。

42、尤其是最近幾年，互聯網不斷披露的一些安全事件都涉及到了一種新型，復雜，存在長期影響的攻擊行為APT。APT 全稱Advanced Persistent Threat（高級持續性威脅），是以竊取核心資料為目的，針對客戶所發動的網絡攻擊和侵襲行為，是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為，就是一種“網絡間諜”的行為。傳統防毒墻和殺毒軟件查殺病毒木馬的效果有限，在APT場景下，因為無法解讀數據的應用層內容以及木馬的偽裝技術逃逸

43、殺毒軟件的檢測，傳統防毒墻和殺毒軟件更是形同虛設，因此需要一種全面的檢測防護機制，用于發現和定位內部網絡受病毒木馬感染的機器。APT檢測NGAF的APT檢測功能主要解決的問題：針對內網PC感染了病毒、木馬的機器，其病毒、木馬試圖與外部網絡通信時，AF識別出該流量，并根據用戶策略進行阻斷和記錄日志。幫助客戶能夠定位出那臺PC中毒，并能阻斷其網絡流量，避免一些非法惡意數據進入客戶端，起到更好的防護效果。NGAF的APT檢測功能主要由兩部分檢測內容來實現：1.遠控木馬檢測在應用特征識別庫當中存在一類木馬控制的應用分類。這部分木馬具有較明顯的網絡惡意行為特征，且行為過程不經由HTTP協議交互，故通過專

44、門制作分析的應用特征來進行識別。如灰鴿子，熾天使，冰河木馬，網絡守望者等等。此種類型的木馬也隨應用識別規則庫的更新而更新。2.僵尸網絡檢測僵尸網絡檢測主要是通過匹配內置的僵尸網絡識別庫來實現。該特征庫包含木馬，廣告軟件，惡意軟件，間諜軟件，后門，蠕蟲，漏洞，黑客工具，病毒9大分類。特征庫的數量目前已達數十萬，并且依然以每兩周升級一次的速度進行更新。除了APT攻擊檢測功能，在終端安全防護方面還提供了基于漏洞和病毒特征的增強防護，確保終端的全面安全終端漏洞防護內網終端仍然存在漏洞被利用的問題，多數傳統安全設備僅僅提供基于服務器的漏洞防護，對于終端漏洞的利用視而不見。NGAF同時提供基于終端的漏洞保

45、護能防護如：后門程序預防、協議脆弱性保護、exploit保護、網絡共享服務保護、shellcode預防、間諜程序預防等基于終端的漏洞防護，有效防止了終端漏洞被利用而成為黑客攻擊的跳板。終端病毒防護NGAF提供基于終端的病毒防護功能，從源頭對HTTP、FTP、SMTP、POP3等協議流量中進行病毒查殺，亦可查殺壓縮包（zip，rar，7z等）中的病毒，內置百萬級別病毒樣本，確保查殺效果。專業攻防研究團隊確保持續更新NGAF的統一威脅識別具備4000+條漏洞特征庫、數十萬條病毒、木馬等惡意內容特征庫、3000+Web應用威脅特征庫，可以全面識別各種應用層和內容級別的各種安全威脅。其漏洞特征庫已通過

46、國際最著名的安全漏洞庫CVE嚴格的兼容性標準評審，獲得CVE兼容性認證（CVE Compatible）。憑借在應用層領域7年以上的技術積累組建了專業的安全攻防團隊，作為微軟的MAPP（Microsoft Active Protections Program）項目合作伙伴，可以在微軟發布安全更新前獲得漏洞信息，為客戶提供更及時有效的保護，以確保防御的及時性。獨特的雙向內容檢測技術只提供基于應用層安全防護功能的方案，并不是一個完整的安全方案，對于服務器的保護傳統解決方案通常是通過防火墻、IPS、AV、WAF等設備的疊加來達到多個方面的安全防護效果。這種方式功能模塊的分散，雖然能防護主流的攻擊手段，

47、但并不是真正意義上的統一防護。這既增加了成本，也增加了組網復雜度、提升了運維難度。從技術角度來說，一個黑客完整的攻擊入侵過程包括了網絡層和應用層、內容級別等多個層次方式方法，如果將這些威脅割裂開處理進行防護，各種防護設備之間缺乏智能的聯動，很容易出現“三不管”的灰色地帶，出現防護真空。比如當年盛極一時的蠕蟲“SQL Slammer”，在發送應用層攻擊報文之前會發送大量的“正常報文”進行探測，即使IPS有效阻斷了攻擊報文，但是這些大量的“正常報文”造成了網絡擁塞，反而意外的形成了DOS攻擊，防火墻無法有效防護。因此，“具備完整的L2-L7完整的安全防護功能”就是Gartner定義的“額外的防火墻

48、智能”實現前提，才能做到真正的內核級聯動，為用戶的業務系統提供一個真正的“銅墻鐵壁”。網關型網頁防篡改網頁防篡改是NGAF服務器防護中的一個子模塊，其設計目的在于提供的一種事后補償防護手段，即使黑客繞過安全防御體系修改了網站內容，其修改的內容也不會發布到最終用戶處，從而避免因網站內容被篡改給組織單位造成的形象破壞、經濟損失等問題。NGAF通過網關型的網頁防篡改（對服務器“0”影響），第一時間攔截網頁篡改的信息并通知管理員確認。同時對外提供篡改重定向功能，提供正常界面、友好界面、web備份服務器的重定向，保證用戶仍可正常訪問網站。NGAF網站篡改防護功能使用網關實現動靜態網頁防篡改功能。這種實現

49、方式相對于主機部署類防篡改軟件而言，客戶無需在服務器上安裝第三方軟件，易于使用和維護，在防篡改部分基于網絡字節流的檢測與恢復，對服務器性能沒有影響。可定義的敏感信息防泄漏NGAF提供可定義的敏感信息防泄漏功能，根據儲存的數據內容可根據其特征清晰定義，通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。敏感信息防泄漏解決方案可以自定義多種敏感信息內容進行有效識別、報警并阻斷，防止大量敏感信息被非法泄露。（如：用戶信息/郵箱賬戶信息/MD5加密密碼/銀行卡號/身份證號碼/社保賬號/信用卡號/手機號碼）應用協議內容隱藏NGAF可針對主要的服務器（WEB服務器、FTP服務器、郵件服務器等）

50、反饋信息進行了有效的隱藏。防止黑客利用服務器返回信息進行有針對性的攻擊。如：HTTP出錯頁面隱藏、響應報頭隱藏、FTP信息隱藏等。智能的網絡安全防御體系風險評估與策略聯動NGAF基于時間周期的安全防護設計提供事前風險評估及策略聯動的功能。通過端口、服務、應用掃描幫助用戶及時發現端口、服務及漏洞風險，并通過模塊間的智能策略聯動及時更新對應的安全風險的安全防護策略。幫助用戶快速診斷電子商務平臺中各個節點的安全漏洞問題，并做出有針對性的防護策略。智能的防護模塊聯動智能的主動防御技術可實現NGAF內部各個模塊之間形成智能的策略聯動，如一個IP/用戶持續向內網服務器發起各類攻擊則可通過防火墻策略暫時阻斷

51、IP/用戶。智能防護體系的建立可有效的防止工具型、自動化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發生。同時也使得管理員維護變得更為簡單，可實現無網管的自動化安全管理。智能建模及主動防御NGAF提供智能的自主學習以及自動建模技術，通過匹配防護URL中的參數，學習參數的類型和一般長度，當學習次數累積達到預設定的閾值時，則會加入到白名單列表，后續過來的請求只要符合改白名單規則則放行，不符合則阻斷。可實現網絡的智能管理，簡化運維。更高效的應用層處理能力為了實現強勁的應用層處理能力，NGAF拋棄了傳統防火墻NP、ASIC等適合執行網絡層重復計算工作的硬件設計，采用了更加適合應用層靈活計算能力的多核并

52、行處理技術；在系統架構上，NGAF也放棄了UTM多引擎，多次解析的架構，而采用了更為先進的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應用層威脅統一進行檢測匹配，從而提升了工作效率，實現了萬兆級的應用安全防護能力。涵蓋傳統安全功能NGAF除了關注來自應用層的威脅以外，也涵蓋了傳統防火墻的所有基礎功能，使得客戶在使用原有傳統防火墻的基礎上可以實現無縫切換到下一代防火墻。智能DOS/DDOS攻擊防護NGAF采用自主研發的DOS攻擊算法，可防護基于數據包的DOS攻擊、IP協議報文的DOS攻擊、TCP協議報文的DOS攻擊、基于HTTP協議的DOS攻擊等，實現對網絡層、應

53、用層的各類資源耗盡的拒絕服務攻擊的防護，實現L2-L7層的異常流量清洗。融合領先的IPSecVPNNGAF融合了國內市場占有率第一的IPSec VPN模塊，實現高安全防護、高投資回報的分支機構安全建設目標，并支持對加密隧道數據進行安全攻擊檢測，對通道內存在的IPS攻擊威脅進行流量清洗，全面提升廣域網隔離的安全性。統一集中管理平臺NGAF提供統一集中管理平臺實現對分支各設備的集中監管，可實現各分支設備的硬件資源情況實時上報以及安全日志匯總，集中管理配置下發與遠程獨立配置，提高管理效率，簡化運維成本。靈活的應用部署方式NGAF支持多種部署模式，包括可以在互聯網出口做代理網關，或在不改變客戶原有拓撲的情況下可做透明橋接或數據轉發更高效的虛擬網線模式，同時也支持在交換機上做鏡像把數據映射一份到設備做旁路部署以及支持二、三層接口混合使用的混合部署等，另外還提供了端口鏈路聚合功能，提高鏈路帶寬和可靠