下一代應用防火墻NGAFCONTENTS網絡安全形式第二代防火墻標準深信服下一代防火墻場景&解決方案&案例2023/1/171網絡安全形式安全風險逐漸向應用層遷移Source：Gartner敏感信息竊取網頁篡改、掛馬漏洞利用攻擊SQL注入、跨站腳本應用掃描探測弱密碼攻擊應用層DDoS應用層安全風險傳統安全設備大多在網絡層失效！網絡安全≠應用安全信息安全的三大威脅網絡病毒僵尸網絡網站攻擊隱秘后門系統漏洞遠程利用2第二代防火墻標準Gartner定義下一代防火墻基本防火墻功能集成式入侵防御可視化應用識別智能防火墻高性能

Gartner2009年定義下一代防火墻產品12年3月12年5月12年7月12年7月第一品牌11年7月12年10月13年2月13年2月13年2月13年1月信息安全產品認證檢測單位信息安全行業規范編制單位信息安全等級保護測評單位公安部第三研究所13年已開始調研《第二代防火墻》標準現已發布2013年3月8日啟動2014年7月24日發布2014年9月1日實施公安部第三研究所與深信服科技是主要的兩家起草單位《第二代防火墻》規范解析

一個或一組在不同安全策略的網絡或安全域之間實施訪問控制的系統，具備包過濾、網絡地址轉換（ＮＡＴ）、狀態檢測等安全功能。第二代防火墻第一代防火墻

除具備第一代防火墻基本功能之外，還具有應用流量識別、應用層訪問控制、應用層安全防護、用戶控制、深度內容檢測、高性能等特征的控制的系統。《第二代防火墻》規范解析融合的安全替代防火墻可以應用在各個網絡邊界，如互聯網出口、數據中心未來邊界的安全統一，利于做大數據分析Web攻擊防護3.4將SQL注入納入新的定義中

首次將web攻擊定義為防護的攻擊行為之一雙向內容檢測3.3定義深度內容檢測

信息泄露防護，能夠對服務器外發流量進行檢測混合包性能首次加入應用層性能的概念，評估HTTP、SMTP、FPT、SQL等首次應用混合包模型，改變原有大小包的評估方法3深信服下一代防火墻深信服下一代防火墻下一代防火墻NGAF可視雙向智能高效深信服下一代防火墻標準起草單位完全滿足《規范》要求國內首款下一代防火墻走得更前，優勢更明顯L2-7層可視、完整的威脅識別下一代防火墻NGAF用戶內容威脅應用雙向防護、完整安全下一代防火墻NGAF數據內容檢測L2-L7攻擊防護下一代防火墻NGAF入侵檢測WAFFW信息收集防御通用漏洞防御0day漏洞防御惡意流量識別敏感信息防泄漏智能聯動分析全新架構實現高效的應用層處理性能下一代防火墻NGAFNGAF融合業內頂尖技術下一代防火墻NGAF建模技術異常檢測統一關聯分析內容級雙向防護體系沙箱與云聯動技術外發流量合規性異常檢測用戶行為異常檢測NSSLABS應用防護推薦級國內唯一，全球第五OWASP應用層威脅防御能力??????Gartner下一代防火墻魔力象限2014公安部GA標準增強級產品國內第一家等級保護建設首批咨詢建設機構認證互聯網相應中心上海核心支撐單位

下一代防火墻NGAF安全機構推薦產品2023/1/174場景與解決方案

互聯網出口SecurityDesktop保護終端上網用戶不被攻擊檢測被黑客控制的終端電腦下一代防火墻NGAF傳統方案：只關注外到內的攻擊內部外部潛伏已久1、沒有防止內到外的數據泄密2、不能防止潛藏的跳板攻擊互聯網出口僵尸網絡檢測潛藏已久的僵尸用戶惡意URL惡意HOST主動向外連接惡意回包內容外網內網提升防護效果，未知攻擊也能防護對外發布場景事中Web攻擊防掛馬、防掃描有效攻擊分析事前評估業務風險評估主動防御事后追溯防用戶泄密防網頁篡改業務風險報表OWASP4星（國內第一）NSSLABweb安全推薦級（國內唯一）傳統：看不到風險的本源傳統安全更關注攻擊的防御忽略了漏洞的識別

NGAF：集成主動漏洞掃描傳統漏掃：主動掃描周期性探測NGAF：集成實時漏洞掃描實時掃描檢測業務流量實時發現漏洞NGAF：主動/被動漏洞掃描看清業務系統風險本質傳統：海量日志找不到”源頭”海量日志有效威脅攻擊2個無效分析費時費力，無法快速響應NGAF：漏洞和攻擊日志關聯分析漏洞攻擊日志NGAF：直接展示互聯網的有效攻擊數據中心下一代安全高效可靠可視化管理數據保護傳統：數據中心日志無法讓您直觀看到：安全風險、防護價值、改進措施IP地址MS-13-10漏洞Sql注入43443端口43源端口：80NGAF：從業務角度分析日志業務系統風險資產等級漏洞情況攻擊情況網銀系統風險程度：高攻擊次數50次SQL注入漏洞IIS漏洞SQL注入攻擊XSS攻擊IIS漏洞攻擊OA系統風險程度：中攻擊次數2次IIS漏洞攻擊Webshell攻擊IIS漏洞Webshell漏洞NGAF：看得懂的數據中心”業務風險報表”郵件系統ERP系統財務系統訂單系統網銀系統風險高危風險中等風險較低NGAF:看得懂的”業務風險報表”廣域網——全網安全監控平臺三級網絡安全建設深信服下一代防火墻應用效果1）有效的過濾病毒木馬入侵，保護總部網絡不被病毒木馬感染。2）替換傳統CISCOASA防火墻，以業務維度呈現安全形勢報表。3）應用層安全防護，針對主站和B/S架構保障WEB應用的業務安全。4）雙向流量檢測，防御外到內和內到外的威脅流量并作清洗，同時防止敏感信息泄密；

本項目中將按照申銀萬國安全架構設計的要求針對入侵檢測，應用層防護，流量管理，完全達到了設計伊始的要求。深信服下一代防火墻安全穩定運行，為申銀萬國的業務保駕護航。招行應用效果：1）檢測網銀區服務器對外數據是否含有機密信息。2）識別銀行賬號、手機號、身份證號等對象(通過正則表達式)；可配置，同時出現1個對象或多個對象時，則認為有風險。并使用短信實施安全告警；3）含http-Response、FTP、SMTP、Ping包檢測等危險流量識別告警、網銀區服務主動Get請求告警、主動DNS、Post請求的安全防護，4