深信服：NGAF下一代防火墙产品白皮书（39页）.pdf

1、深信服下一代防火墙技术白皮书文档密级：公开1/41深信服科技NGAFNGAF 下一代防火墙下一代防火墙产品白皮书产品白皮书深信服科技有限公司深信服科技有限公司2012017 7 年年 6 6 月月深信服下一代防火墙技术白皮书文档密级：公开3/411.概述.42.深信服下一代防火墙核心价值.52.1.全程保护.52.2.全程可视.73.主要功能介绍.83.1.系统架构设计.83.2.基础防火墙特性.113.3.事前风险预知.133.4.事中安全防护.183.5.事后检测及响应.314.部署模式.334.1.网关模式.334.2.网桥模式.344.3.旁路模式.364.4.双机模式.375.市场表

2、现.395.1.高速增长，年复合增长超 70%.395.2.众多权威机构一致认可.405.3.为客户需求而持续创新.406.关于深信服.40深信服下一代防火墙技术白皮书文档密级：公开4/411.1.概述概述近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0 day 漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设

3、模式已经捉襟见肘，面临着巨大的挑战。问题一：问题一：传统信息安全建设，以事中防御为主。缺乏事前的风险预知，事后的持续检传统信息安全建设，以事中防御为主。缺乏事前的风险预知，事后的持续检测及响应能力测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在时候提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安

4、全将是安全建设发展的趋势。问题二：问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。另外在防护机制上只能依赖静态的防御策略进行防护，无法及时应对业务发生的变化，不同安全设备之间也无法形成有效的联动封锁机制，不仅投资高，运维方面也难管理。深信服下一代防火墙安全理念深信服下一代防火墙安全理念深信服通过对以上问题的思考进行了下一代防火墙的产品设计，对下一代防火墙赋予了风险预知、深度安全防护、检测响应的能

5、力，最终形成了全程保护、全程可视的融合安全体系。融合不是单纯的功能叠加，而是依照业务开展过程中会遇到的各类风险，所提供的对应安全技术手段的融合，能够为业务提供全流程的保护，融合安全包括从事前的资产风险发现，策略有效性检测，到事中所应具备的各类安全防御手段以及事后的持续检测和快速响应机深信服下一代防火墙技术白皮书文档密级：公开5/41制，并将这一过程中所有的相关信息通过多种方式呈现给给用户。2.2.深信服下一代防火墙核心价值深信服下一代防火墙核心价值2.1.2.1.全程保护全程保护2.1.1.2.1.1.事前预知：资产事前预知：资产/脆弱性脆弱性/策略有效性策略有效性深信服 NGAF 能够在事前

6、对内部的服务器进行自动识别，并且还能自动识别服务器上开放端口和存在的漏洞，弱密码等风险，同时还能判断识别出的资产是否有对应的安全防护策略以及是否生效。2.1.2.2.1.2.事中防御：完整的防御体系事中防御：完整的防御体系+安全联动安全联动+威胁情报威胁情报深信服NGAF在事中防御层面融合了多种安全技术，提供了L2-7层完整的安全防御体系，确保安全防护不存在短板，同时还能通过安全联动功能加强防御体系的时效性和有效性，包深信服下一代防火墙技术白皮书文档密级：公开6/41括模块间的联动封锁，同云端安全联动，策略的智能联动等。此外，深信服 NGAF 还广泛的开展第三方安全机构合作，通过国家漏洞信息库