网安NGAF解决方案.doc

深信服下一代防火墙NGAF 互联网出口安全解决方案 2015年5月7日 网安科技有限公司 一、背景介绍 随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变： 网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务； 沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系； 移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作； 因此，在员工的日常工作中，银行客户需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。 近几年来，越来越多的安全事故告诉我们，安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化，网络攻击愈加频繁，客户对自己的网络安全建设变得越来越不自信。到底怎么加强安全建设？安全建设的核心问题是什么？采用什么安全防护手段更为合适？已成为困扰用户安全建设的关键问题。 问题一：看不看得到真正的风险？ 一方面，只有看到L2-7层的攻击才能了解网络的整体安全状况，而基于多产品组合方案大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。另一方面，没有攻击并不意味着业务就不存在漏洞，一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着业务安全威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案，就无法让客户看到网络和业务的真实的安全情况。 问题二：防不防得住潜藏的攻击？ 一方面，防护技术不能存在短板，存在短板必然会被绕过，原有设备就形同虚设；另一方面，单纯防护外部黑客对内网终端和服务器的攻击是不够的，终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测，进而才能找到黑客针对内网的控制通道，同时发现泄密的风险，最后通过针对性的安全防护技术加以防御。 综上所述，真正能看到攻击与业务漏洞，及时查漏补缺，并能及时防住攻击才是最有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢？ 二、深信服下一代防火墙定位 全球最具权威的IT研究与顾问咨询公司——Gartner，在2009年发布了一份名为《Defining the Next-Generation Firewall》的文章，给出了真正能够满足用户当前安全需求的下一代防火墙定义：下一代防火墙是一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检测系统混为一谈，后者只包含了日常的或是非企业级的防火墙，或者把防火墙和IPS简单放到一个设备里，整合的并不紧密。 结合目前国内的互联网安全环境来看，更多的安全事件是通过Web层面的设计漏洞被黑客利用所引发。据统计，国内用户上网流量与对外发布业务流量混合在一起的比例超过50%。以政府为例，60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。在这种场景下，如果作为出口安全网关的防火墙不具备Web应用防护能力，那么在新出现的APT攻击的大环境下，现有的安全设备很容易被绕过，形同虚设，下一代防火墙做为一款融合型的安全产品，不能存针对基于Web的应用安全短板。做为国内下一代防火墙产品的领导者，和公安部第二代防火墙标准制定的参与者，深信服走在前沿，在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中，深信服下一代防火墙（Next-Generation Application Firewall）NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整的L2-L7层的安全防护体系，强化了在Web层面的应用防护能力，不仅能够全面替代传统防火墙，并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。 三、深信服下一代防火墙—NGAF 产品功能特色 （一）可视的网络安全情况 NGAF独创的应用可视化技术，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆脱了过去只能通过IP地址来控制的尴尬，即使加密过的数据流也能应付自如。目前，NGAF的应用可视化引擎不但可以识别1200多种的内外网应用及其2700多种应用动作，还可以与多种认证系统（AD、LDAP、Radius等）、应用系统（POP3、SMTP等）无缝对接，自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组结构；既满足了普通互联网边界行为管控的要求，同时还满足了在内网数据中心和广域网边界的部署要求，可以识别和控制丰富的内网应用，如Lotus Note