【免费】深信服SANGFOR_下一代防火墙_白皮书V1.0-1108_深信服下一代防火墙SANGFORVP资源-CSDN文库

下一代防火墙

需积分: 0 153 浏览量 2018-01-10 11:05:52 上传评论收藏 1.01MB PDF 举报

资源推荐

资源详情

资源评论

NGAF 技术白皮书文档密级：公开

1 / 17

深信服下一代防火墙 NGAF

技术白皮书

深信服科技有限公司

www.sangfor.com

二零一一年八月

NGAF 技术白皮书文档密级：公开

2 / 17

1.概述 ............................................................................................................................................... 3

2. 为什么需要下一代防火墙 .......................................................................................................... 3

2.1 网络发展的趋势使防火墙以及传统方案失效 ................................................................. 3

2.2 替代性方案能否弥补 ......................................................................................................... 4

2.2.1“打补丁式的方案” ............................................................................................... 4

2.2.2 UTM 统一威胁管理 ................................................................................................. 4

3.下一代防火墙的诞生与价值 ........................................................................................................ 4

3.1Gantner 定义下一代防火墙 ............................................................................................... 4

3.2 深信服下一代应用防火墙—NGAF ................................................................................... 5

4.产品功能特点 ................................................................................................................................ 6

4.1 更精细的应用层安全控制 ................................................................................................. 6

4.1.1 可视化应用识别 ...................................................................................................... 7

4.1.2 多种用户识别方式 .................................................................................................. 7

4.1.3 一体化应用访问控制策略 ...................................................................................... 8

4.1.4 基于应用的流量管理 .............................................................................................. 9

4.2 更全面的内容级安全防护 ............................................................................................... 10

4.2.1 灰度威胁关联分析技术 ........................................................................................ 10

4.2.2 基于攻击过程的服务器保护 ................................................................................ 12

4.2.3 强化的 WEB 安全防护 .......................................................................................... 13

4.2.4 完整的终端安全保护 ............................................................................................ 14

4.3 更高性能的应用层处理能力 ........................................................................................... 15

4.3.1 单次解析架构 ........................................................................................................ 15

4.3.2 多核并行处理技术 ................................................................................................ 16

4.4 更完整的安全防护方案 ................................................................................................... 16

5.关于深信服.................................................................................................................................. 17

NGAF 技术白皮书文档密级：公开

3 / 17

1.概述

防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。作为边界网络安

全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过 ACL

访问控制策略、NAT 地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包

通过，保护了网络的安全。防火墙就像故宫的城墙，对进出防火墙的一切数据包进行检查，

保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干

扰网络的正常运行。防火墙技术在当时被堪称完美！随着时代的变迁，故宫的城墙已黯然失

色，失去了它原有的防御能力。同样防火墙在面对网络的高速发展，应用的不断增多的时代

也失去了它不可替代的地位。自 2009 年 10 月 Gartner 提出“Defining the Next-Generation

Firewall”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。

深信服也在经过 10 年网络安全技术 6 年的应用安全技术沉淀之后，于 2011 年正式发布深信

服“下一代应用防火墙”——NGAF。

2. 为什么需要下一代防火墙

2.1 网络发展的趋势使防火墙以及传统方案失效

防火墙作为一款历史悠久的经典产品，在 IP/端口的网络时代，发挥了巨大的作用：合

理的分隔了安全域，有效的阻止了外部的网络攻击。防火墙在设计时的针对性，在当时显然

是网络安全的最佳选择。但在网络应用高速发展，网络规划复杂化的今天防火墙的不适应性

就越发明显，从用户对网络安全建设的需求来看，传统防火墙存在以下问题：

1、应用安全防护的问题：

传统防火墙基于 IP/端口，无法对应用层进行识别与控制，无法确定哪些应用经过了防

火墙，自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击，防火墙显得力不从心，

无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如病毒、蠕虫、木马等。

2、安全管理的问题：

传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大

量的策略，并且这些基于 IP/端口策略可读性非常之差，经常会造成错配、漏配的情况，留

下的这些隐患，往往给黑客们以可乘之机。

NGAF 技术白皮书文档密级：公开

4 / 17

2.2 替代性方案能否弥补

2.2.1“打补丁式的方案”

由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型

采取了打补丁式的设备叠加方案，形成了“串糖葫芦”式部署。通常我们看到的网络安全规

划方案的时候都会以防火墙+入侵防御系统+网关杀毒+„„的形式。这种方式在一定程度上

能弥补防火墙功能单一的缺陷，对网络中存在的各类攻击形成了似乎全面的防护。但在这种

环境中，管理人员通常会遇到如下的困难：

效率低：同一数据包经过串联的各类设备，被重复拆包，重复解析，使整个网络的效率

变得低下，运行速度变得十分缓慢。

维护成本高：众多设备需要提供足够的空间和环境支持，大大提高了维护成本。

管理复杂：独立设备、管理复杂，需要培养熟悉各类设备、各厂商设备的高级管理人员。

同时也无法进行统一的安全风险分析

2.2.2 UTM 统一威胁管理

2004 年 IDC 推出统一威胁管理 UTM 的概念。这种设备的理念是将多个功能模块集中如：

FW、IPS、AV，联合起来达到统一防护，集中管理的目的。这无疑给安全建设者们提供了更

新的思路。

事实证明国内市场 UTM 产品确实得到用户认可，据 IDC 统计数据 09 年 UTM 市场增长

迅速，但 2010 年 UTM 的增长率同比有明显的下降趋势。这是因为 UTM 设备仅仅将 FW、IPS、

AV 进行简单的整合，传统防火墙安全与管理上的问题依然存在，比如缺乏对 WEB 服务器的

有效防护等；另外，UTM 开启多个模块时是串行处理机制，一个数据包先过一个模块处理

一遍，再重新过另一个模块处理一遍，一个数据要经过多次拆包，多次分析，性能和效率使

得 UTM 难以令人信服。Gartner 认为“UTM 安全设备只适合中小型企业使用，而 NGFW 才

适合员工大于 1000 的大型企业使用。”

3.下一代防火墙的诞生与价值

3.1Gantner 定义下一代防火墙

针对上述安全风险、网络环境、应用系统的变化，传统网络安全设备的无能为力，市场

咨询分析机构 Gartner 在 2009 年发布了一份名为《Defining the Next-GenerationFirewall》的

文章，给出了真正能够满足用户当前安全需求的下一代防火墙（NGFW）定义。

剩余16页未读，继续阅读

评论收藏

内容反馈

yang724407099

粉丝: 0
资源: 5

深信服SANGFOR_下一代防火墙_白皮书V1.0-1108

下一代防火墙AF

深信服_上网行为管理_产品白皮书

下一代防火墙AF_技术白皮书_v8.0.19-20200115.pdf

深信服下一代防火墙产品白皮书-41页

深信服AF1800技术白皮书

SANGFOR-AF-白皮书V1.0-1108

深信服下一代防火墙NGAF方案白皮书.pdf

深信服下一代防火墙NGAF方案白皮书.docx

AF_方案彩页_深信服下一代防火墙一虚多解决方案V1.0.docx

SANGFOR深信服下一代防火墙介绍(AF-1120&AF-1210).pdf

深信服SANGFOR_NGAF_旁路模式部署配置.pdf

SANGFOR_AC_V11.0_产品白皮书_20161114-V3版

深信服SANGFOR_AD7.0.3_双机配置指导.pdf

深信服 SANGFOR_AC_SG_v11.0_AD域如何关联组策略和用户配置指导书

SANGFOR_IPSEC_防火墙过滤规则配置指导书.pdf

SANGFOR_AC_v12.0.7_用户手册

深信服下一代防火墙AF用户手册-V8.0.75-648页

SANGFOR_NGAF_6.8_DNS-Mapping配置指导.pdf

SANGFOR_WAC_V2.6_深信服无线产品白皮书

深信服 SANGFOR AC_v4.3中文使用手册

SANGFOR_企业级云_技术白皮书.zip

真信服防火墙 SANGFOR_NGAF_v1.0_Manual_CN_20110812_PDF

SANGFOR_aDesk_V4.9_ADESK恢复出厂-刷机配置指导文档.pdf

SANGFOR_AC_v12.0.18_上网行为管理系统用户手册_20181205.rar

SANGFOR_Updater6.0.zip

SANGFOR_AC_SG_v11.0_如何开直通及全局排除配置指导.pdf

最新版ISO/IEC 27001:2022、ISO 27002:2022中英文合集

Goby红队版-win-x64-2.4.7版本

最新资源