描述
产品概述
深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
全程保护
2.1.1. 事前预知:资产/脆弱性/策略有效性
深信服 NGAF 能够在事前对内部的服务器进行自动识别,并且还能自动识别服务器上开
放端口和存在的漏洞,弱密码等风险,同时还能判断识别出的资产是否有对应的安全防护策
略以及是否生效。
2.1.2. 事中防御:完整的防御体系+安全联动+威胁情报
深信服NGAF在事中防御层面融合了多种安全技术,提供了L2-7层完整的安全防御体系,
确保安全防护不存在短板,同时还能通过安全联动功能加强防御体系的时效性和有效性,包
括模块间的联动封锁,同云端安全联动,策略的智能联动等。此外,深信服 NGAF 还广泛的
开展第三方安全机构合作,通过国家漏洞信息库,谷歌 Virustotal 恶意链接库等多来源威
胁情报的输入,帮助用户能够在安全事件爆发之前就提前做好防御的准备。
2.1.3. 事后检测&响应:威胁行为的持续检测&快速响应
传统安全建设主要集中在边界安全防御,缺乏对绕过安全防御措施后的检测及响应能
力,如果能做好事后的检测及响应措施,可以极大程度降低安全事件产生的影响。深信服
NGAF 融合了事后检测及快速响应技术,即使在黑客入侵之后,也能够帮助用户及时发现入
侵后的恶意行为,如检测僵尸主机发起的恶意行为,网页篡改,网站黑链植入及网站
Webshell 后门检测等,并快速推送告警事件,协助用户进行响应处置。
全程可视
2.2.1. 事前对安全风险的认知
清晰了解资产脆弱性
快速发现策略有效性
2.2.2. 事中对保护过程的认知
攻击事件匹配不同攻击阶段
2.2.3. 事后对保护结果的认知
基于信息资产维度的安全现状展示
综合风险报表
主要功能介绍:
| 项目 | 指标 | 具体功能要求 |
| 部署方式 | 部署模式 | 支持路由,透明,旁路,虚拟网线,混合部署模式; |
| 实时监控 | 设备资源信息 | 提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息; |
| 安全状态 | 提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等; | |
| 流量状态 | 实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息; | |
| 策略联动 | 提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理; | |
| 网络协议 | 网络服务 | 支持ARP代理、静态ARP绑定,ARP欺骗防护,配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP客户端;支持SNMP v1,v2,v3,支持SNMP Trap; |
| 路由服务 | 支持静态路由、RIP v1/2、OSPF、策略路由; | |
| 网口特性 | 支持链路探测,端口聚合,接口联动; | |
| 防火墙/VPN功能 | 包过滤与状态检测 | 可以提供静态的包过滤和动态包过滤功能。支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等; 传输层协议:TCP、UDP |
| NAT功能 | 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能 可配置支持地址转换的有效时间 支持多种NAT ALG,包括DNS、FTP、H.323、SIP等 |
|
| 抗攻击特性 | 支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能。 | |
| IPSec VPN功能 | 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法;支持各种NAT网络环境下的VPN组网;支持第三方标准IPSec VPN进行对接;*总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略; | |
| SSL VPN功能 | 支持SSL VPN远程接入; | |
| 应用访问控制策略 | 应用识别 | 支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则; |
| 应用访问策略 | 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定 | |
| APT检测 | 僵尸网络特征库 | 内置超过20万的病毒,木马,间谍软件等恶意软件特征库,并且在不断的持续更新特征内容; |
| 云端安全检测 | 支持通过安全云实现虚拟沙盒动态检测技术。可检测未知威胁在沙盒中对注册表、文件系统等的修改,通过云端联动的方式快速更新到各节点设备中,可实现快速统一的防护未知攻击; | |
| 异常连接检测 | 能够有效区分RDP 、SSH、 IMAP、SMTP、POP3、FTP、 DNS、 HTTP等WEB服务器上常见应用流量中的危险流量,也能对常规应用运行在非标准端口的为进行预警; | |
| 外发流量异常 | 能够检测内网肉鸡发起的DDoS行为,如ICMP、UDP、SYN、DNS外发请求异常等; | |
| IPS入侵防护 | 防护攻击类型 | 包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等 |
| 口令暴力破解防护 | 支持对常见应用服务器和数据库软件(如HTTP,FTP,SSH,SMTP,IMAP,MySQL,Oracle,MSSQL等)的口令暴力破解防护功能; | |
| 防护对象分类 | 漏洞分为保护服务器和保护客户端两大类,同时具备安全界别分类:如“高”、“中”、“低”等。 | |
| 漏洞描述 | 漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容,便于维护 | |
| 策略制定 | 可根据源区域、目的区域、目的IP组,目的IP组支持多选进行IPS策略的配置 | |
| 特征库数量 | 攻击特征库: 3500+ , 并且能够自动或者手动升级 | |
| 防躲避 | 支持TCP协议的乱序重传、TCP分包 | |
| 处理动作 | 支持自动拦截、记录日志、上传灰度威胁到“云端” | |
| 服务器防护 | Web攻击防护 | 保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、Webshell脚本上传、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击和网站内容管理系统漏洞防护; |
| 参数防护 | 提供主动防御和自定义参数防护两种方式,主动防御通过自学习形成参数白名单,阻断异常参数内容,自定义参数提供更定制化的参数防护; | |
| 应用隐藏 | 支持HTTP和FTP服务隐藏,可针对HTTP响应报文头和HTTP出错页面的过滤,Web响应报文头可自定义,隐藏FTP服务器返回的软件版本信息; | |
| 弱口令防护 | 支持FTP弱口令防护,Web登录弱口令防护,Web登录明文传输检测; | |
| 权限控制 | 支持文件上传服务器过滤、支持指定URL的黑名单、加入排除URL目录功能 | |
| 策略制定 | 配置选项:可设置源、目的区域、目的IP和端口号,端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号 | |
| 登录防护 | 用户登录权限防护,支持页面双因子认证方式,加强敏感页面的访问权限控制; | |
| HTTP异常检测 | 检测HTTP协议异常,可针对HTTP GET、POST、HEAD、OPTIONS、PUT、DELETE、TRACE、SEARCH、CONNECT、LOCK、UNLOCK等方法进行过滤; | |
| CC攻击防护 | 支持HTTP协议CC攻击防护,根据源IP请求阈值来控制; | |
| 网站扫描防护 | 防止Web服务器被常见扫描器扫描出漏洞; | |
| 缓冲区溢出检测 | 支持URL溢出检测,POST实体溢出检测以及HTTP头部各字段溢出检测; | |
| Https防护 | 支持对Https进行解密并进行内容检测,需导入服务器证书; | |
| 敏感信息防泄露 | 敏感信息防护 | 内置身份证、MD5、手机号码、银行卡号、邮箱等敏感信息类型,支持自定义敏感信息内容;支持以IP和连接两种方式进行统计; |
| 文件下载过滤 | 通过定义敏感信息文件后缀进行敏感文件外发的过滤; | |
| 排除白名单 | 支持白名单排除列表,针对白名单中的IP,URL不进行检测; | |
| 服务风险分析 | 开放端口扫描 | 内置常用服务如http、https、ftp、tftp、pop3、smtp、imap、telnet、ssh、vnc、oracle、mssql、mysql、netbios、dns、rdp等开放端口列表,并支持自定义需要扫描的服务器端口; |
| 漏洞风险分析 | 通过开放端口的扫描检测,进一步分析开放端口中可能存在的底层漏洞威胁; | |
| 弱密码扫描 | 支持对ftp、mysql、mssql、oracle、netbios、ssh、rdp、vnc这几种应用服务的弱密码扫描 | |
| 一键防护 | 对于检测出的开放端口,服务器漏洞信息,弱密码威胁,均可一键自动生成相应的防护策略,简化用户的运维管理 | |
| 风险扫描报告 | 对于扫描出的风险内容支持以pdf格式导出; | |
| Web漏洞扫描 | Web扫描器 | 支持SQL注入,SQL盲注,跨站脚本攻击(XSS),跨站请求伪造(CSRF),操作系统命令,本地文件包含,远程文件包含,暴力破解,弱密码登录,XPATH注入,LDAP注入,服务器端包含(SSI)等丰富的Web应用服务漏洞检测; |
| 漏洞报表 | 支持以HTML格式导出Web漏洞分析报表; | |
| 实时漏洞分析 | 实时漏洞风险 | 支持对经过设备的流量被动进行分析,分析内容包括底层软件漏洞分析,Web应用风险分析,Web不安全配置检测以及服务器弱密码检测,并实时生成分析报告。 |
| 黑链检测 | 能够对网站页面中插入的黑链进行检测; | |
| 实时漏洞分析识别库 | 单独的针对服务器安全风险和潜在威胁的特征识别库; | |
| 威胁情报预警与处置 | 威胁情报 | 具备威胁情报功能,能够主动推送当前热门0 day或者高危漏洞,并可以提供漏洞检测工具对业务开展扫描自查,并可以根据扫描结果进行一键生成安全防护策略; |
| 网站篡改防护 (插件版) |
客户端检测方式 | 客户端插件安装到服务器上后,采用IRF文件驱动流技术,通过插件配置需要保护的文件目录和允许修改该目录的应用程序,识别修改被保护网站目录的应用程序是否合法; 客户端插件支持记录尝试修改,删除,新增被保护目录下文件的行为日志; 客户端插件需要保障自身安全性,包括后台进程不允许被强制中止,访问客户端插件管理页面需要进行密码验证,访问客户端插件管理页面需具备自动超时机制; |
| 网站后台登录管理 | 支持在网关设备设置对通过CMS方式登录网站管理后台进行邮件二次认证; 支持在网关设备设置对通过FTP方式登录网站管理后台进行邮件二次认证; 支持设置网站后台登录管理白名单,白名单中的用户登录网站管理后台无需经过二次认证; |
|
| 病毒防护 | 病毒引擎 | 基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进行查杀 |
| 防护类型 | 能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒。 | |
| 病毒库数量 | 支持10万条以上的病毒库,并且可以自动或者手动升级 | |
| 处理动作 | 检测到病毒后的操作:支持记录日志、阻断连接 | |
| WEB过滤 | URL过滤 | 对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志 |
| 文件类型过滤 | 支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志 | |
| 流量管理 | 虚拟多线路 | 支持一条物理线路虚拟成多条虚拟线路,可分别对多条虚拟线路进行流控; |
| 流控类型 | 支持基于应用类型、网站类型、文件类型的带宽划分与分配; | |
| 控制粒度 | 支持基于时间段的带宽划分与分配策略;支持基于访问行为的目标IP实现带宽划分与分配; | |
| 用户管理 | 本地认证 | 支持触发式WEB认证,静态用户名密码认证等; |
| 第三方认证 | 支持LDAP、Radius、POP3、Proxy等第三方认证; | |
| IP、MAC认证 | 支持IP认证、MAC认证,及IP/MAC绑定认证等; | |
| 新用户认证 | 根据新用户的源IP网段实现: | |
| 1. 新用户差异化账户创建规则; | ||
| 2. 新用户差异化自动分组规则; | ||
| 3. 新用户差异化认证规则; | ||
| 4. 新用户差异化IP、MAC绑定规则; | ||
| 公用账户 | 支持多人使用同一帐号登录,且支持重复登陆检测机制; | |
| 账户有效期 | 指定账户支持有效期限制,并支持自动过期; | |
| 单点登录 | 支持AD、POP3、Proxy单点登录,简化用户操作; | |
| 可强制指定用户、指定IP段的用户必须使用单点登录; | ||
| 强制AD认证 | 指定用户必须用AD域账户登录操作系统,否则禁止上网; | |
| 认证失败 | 支持为认证失败用户提供基本网络访问权限机制; | |
| 页面跳转 | 认证成功的用户支持页面跳转: | |
| 1. 跳转到用户原本输入的URL地址; | ||
| 2. 跳转到管理员指定的URL地址; | ||
| 3. 跳转到该用户上网信息排行页面; | ||
| 4. 跳转到注销页面; | ||
| 认证后公告 | 支持向认证通过的用户显示指定网页; | |
| 帐户导入 | 支持从本地导入和扫描导入,支持以文本导入帐户/分组/IP/MAC/描述/密码等信息; | |
| 支持从LDAP服务器导入账户及分组信息; | ||
| 组织结构 | 用户分组支持树形结构,支持父组、子组、组内套组等; | |
| 用户状态查询 | 支持用户登录注销历史查询,包括显示上网流量 | |
| 网关管理 | 管理员帐号 | 支持管理员权限分级,分安全管理员,审计员和系统管理员,安全管理员默认只允许安全策略和安全日志的查看和编辑权限;审计员默认只开放数据中心日志的查看和编辑权限,不具备设备的管理权限;系统管理员默认具备除安全功能外的其他系统管理权限,不具备设备的日志查看权限; |
| 管理界面 | 支持SSL加密WEB方式管理设备;支持邮件、短信(可扩展)等告警方式; | |
| 告警管理 | 可提供管理员登陆、病毒、IPS、web攻击以及日志存储空间不足等告警设置; | |
| 排障工具 | 提供图形化排障工具,便于管理员排查策略错误等故障; | |
| 配置向导 | 提供路由、网桥、旁路等部署模式的配置引导,提供保护服务器、保护内网用户上网安全、保证内网用户上网带宽、保证遭到攻击及时提醒和保留证据等网关应用场景的配置引导,简化管理员配置; | |
| 高可用性 | HA | 支持A/A,A/S模式部署,支持会话同步,配置同步和用户信息同步; |
| 数据分离 | 支持操作系统和数据读写分离,系统运行在CF卡介质上,日志读写操作在硬盘上。 (6020以上设备默认此配置,以下型号需定制) | |
| 日志与报表 | 数据中心 | 设备必须支持内置数据中心和独立的外置数据中心;独立外置数据中心必须内置MySQL,无需单独安装其他数据库; 外置数据中心支持全网安全监测,可以显示所有分支设备的安全状态,汇总安全日志,看到全网安全设备的风险等级,服务器安全,用户安全和攻击来源以及攻击趋势; |
| 日志查询 | 能够自定义时间段查询到内置记录的安全攻击日志,如DoS攻击,Web攻击,IPS,病毒检测,僵尸网络/远控木马检测记录,网站访问记录,系统操作日志; | |
| 统计分析 | 支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、网站访问、网络应用及流量、杀毒统计等,并形成报表; | |
| 综合安全风险报表 | 提供基于用户/业务的综合风险报表,统计维度为用户和业务而非IP地址;根据网络风险状况提供优、良、中、差评级;攻击统计提供所有检测攻击数和有效攻击数两个维度;报表内容呈现主动扫描的漏洞分布情况,匹配攻击日志输出已被攻击的漏洞数和发现的所有漏洞数的统计报表;业务安全报表提供攻击分析、漏洞评估、业务系统漏洞详情等信息;用户安全报表提供遭攻击最多的用户详情、异常连接用户详情等信息;安全风险类型汇总基于业务系统遭受攻击类型、业务系统存在最多漏洞类型、用户遭受最多威胁类型进行统计; | |
| 汇总报表 | 支持生成指定时间段内的网络数据统计汇总以及趋势的展,汇总内容包括服务器,主机安全事件统计分析,应用统计分析,上下行流量统计分析,网站访问行为分析等; | |
| 报表订阅 | 支持每天/每周/每月自动生成报表,并将报表自动发送到指定邮箱,可以自定义报表内容; | |
| 配置业务系统 | 支持业务系统自定义,在报表中可以结合业务系统进行安全威胁和遭受攻击的分析; | |
| 报表导出 | 支持报表以Excel、PDF等格式导出; |
评价
目前还没有评价