《深信服下一代应用层防火墙彩页》由会员分享,可在线阅读,更多相关《深信服下一代应用层防火墙彩页(6页珍藏版)》请在金锄头文库上搜索。
1、国内下一代防火墙第一品牌深信服下一代防火墙(Next-Generation Application Firewall)NGAF 是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产品,深信服 NGAF 不同于工作在 L2-L4 层的传统防火墙,可以对全网流量进行双向深入数据内容层面的全面透析。在安全策略制定方面,区域别于传统防火墙五元组安全策略,深信服 NGAF 可对 L2
2、-L7 层更多的元素(如,用户、应用类型、URL、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;在安全防护能力方面,提升了传统的抗攻击的能力,不仅能防护网络层的攻击,针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护,实现 L2-L7 层的安全防护。同时,深信服 NGAF 采用全新的软硬件架构,减小在多种复杂的安全策略和 L2-L7 层多功能防护功能全部开启时性能的消耗,实现应用层高性能。功能列表项目项目具体功能具体功能部署方式部署方式支持路由,透明,旁路,虚拟网线,混合部署模式;实时监控实时监控实时提供 CPU、内存、磁盘占用率、会话数、在线用
3、户数、网络接口的鞥设备资源信息; 提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供 发生事件、源 IP、目的 IP、攻击类型以及攻击的 URL 等;提供实时智能模块间联动封锁的 源 IP 以便实现动态智能安全管理;网络适应性网络适应性支持 ARP 代理、静态 ARP 绑定,配置 DNS 及 DNS 代理、支持 DHCP 中继、DHCP 服务 器、DHCP 客户端;支持 SNMP v1,v2,v3,支持 SNMP Trap;支持静态路由、RIP v1/2、OSPF、策略路由;支持链路探测,端口聚合,接口联动;包过滤与状态包过滤与状态 检测检测提供静态的包过滤和动态
4、包过滤功能;支持的应用层报文过滤,包括:应用层协议: FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP) 、SQLNET、MMS、PPTP 等;传输层协议:TCP、UDP;NATNAT 地址转换地址转换支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到 公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持 DNS 映射功能;可配置支持地址转换的有效时间;支持多种 NAT ALG,包括 DNS、FTP、H.323、SIP 等抗攻击特性抗攻击特性支持防御 Land、Smurf、Fraggle、WinN
5、uke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP 欺骗攻击防 范、ARP 主动反向查询、TCP 报文标志位不合法攻击防范、支持 IP SYN 速度限制、超大 ICMP 报文攻击防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可 达报文控制等功能,此外还支持静态和动态黑名单功能、MAC 和 IP 绑定功能;IPSECIPSEC VPNVPN支持 AES、DES、3DES、MD5、SHA1、DH、RC4 等算法,并且支持扩展国密办 SCB2
6、 等 其他加密算法支持 MD5 及 SHA-1 验证算法;支持各种 NAT 网络环境下的 VPN 组网;支持 第三方标准 IPSec VPN 进行对接;*总部与分支有多条线路,可在线路间一一进行 IPSecVPN 隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进 行流量平均分配,主隧道断开备份隧道自动启用,保证 IPSecVPN 连接不中断;可为每一 分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略;应用访问控制应用访问控制 策略策略支持对 1000 种以上应用、2500 种以上应用动作,可以识别 P2P、IM、OA 办公应用、数 据库应用、ERP 应用、软件升
7、级应用、木马外联、炒股软件、视频应用、代理软件、网银等 协议;支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP 地址、端口、 时间进行应用访问控制列表的制定;APTAPT 检测检测内置超过 20 万的病毒,木马,间谍软件等恶意软件特征库,并且在不断的持续更新特征内 容;支持通过安全云实现虚拟沙盒动态检测技术。可检测未知威胁在沙盒中对注册表、文件 系统等的修改,通过云端联动的方式快速更新到各节点设备中,可实现快速统一的防护未知 攻击; IPSIPS 入侵防护入侵防护微软“MAPP”计划会员,漏洞特征库: 3500+并获得 CVE“兼容性认证证书” ,能够自动或 者手动升级;防护
8、类型包括蠕虫/木马/后门/DoS/DDoS 攻击探测/扫描/间谍软件/利用漏洞 的攻击/缓冲区溢出攻击/协议异常/ IPS 逃逸攻击等;防护对象分为保护服务器和保护客户 端两大类,便于策略部署;漏洞详细信息显示:漏洞 ID、漏洞名称、漏洞描述、攻击对象、 危险等级、参考信息、地址等内容;支持自动拦截、记录日志、上传灰度威胁到“云端” 服务器防护服务器防护支持 web 攻击特征数量 2500+;支持 Web 网站隐藏,包括 HTTP 响应报文头出错页面的 过滤,web 响应报文头可自定义;支持 FTP 服务应用信息隐藏包括:服务器信息、软件版 本信息等;支持 OWASP 定义 10 大 web
9、安全威胁,保护服务器免受基于 Web 应用的攻 击,如 SQL 注入防护、XSS 攻击防护、CSRF 攻击防护、支持根据网站登录路径保护口令暴 力破解;支持 web 站点扫描、web 站点结构扫描、漏洞扫描等扫描防护;可严格控制上传 文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、 插件过滤等功能检查文件安全性;支持指定 URL 的黑名单、加入排除 URL 目录,ftp 弱口令 防护、telnet 弱口令防护等功能; 敏感信息防泄敏感信息防泄 漏漏内置常见敏感信息的特征,如身份证信息、MD5、手机号码、银行卡号、邮箱等,并可自 定义具有特殊特征的敏感信息;支持
10、正常访问 http 连接中非法敏感信息的外泄防护;支持 数据库文件敏感信息检测,防止数据库文件被“拖库” 、 “暴库” ; 风险评估风险评估支持服务器、客户端的漏洞风险评估功能,支持对目标 IP 进行端口、服务扫描;支持 ftp、mysql、oracle、mssql、ssh、RDP、网上邻居 NetBIOS、VNC 等多种应用的弱口令 评估与扫描;支持 SQL 注入,SQL 盲注,跨站脚本攻击(XSS) ,跨站请求伪造(CSRF) , 操作系统命令,本地文件包含,远程文件包含,暴力破解,弱密码登录,XPATH 注入, LDAP 注入,服务器端包含(SSI)等丰富的 Web 应用服务漏洞检测;风
11、险评估可以实现与 FW、IPS、服务器防护模块的智能策略联动,自动生成策略; 实时漏洞分析实时漏洞分析支持对经过设备的流量被动进行分析,分析内容包括底层软件漏洞分析,Web 应用风险分 析,Web 不安全配置检测以及服务器弱密码检测,并实时生成分析报告。具备单独的针对 服务器安全风险和潜在威胁的特征识别库; 业务风险报表业务风险报表提供基于用户/业务的综合风险报表,统计维度为用户和业务而非 IP 地址;根据网络风险状 况提供优、良、中、差评级;攻击统计提供所有检测攻击数和有效攻击数两个维度;报表内 容呈现主动扫描的漏洞分布情况,匹配攻击日志输出已被攻击的漏洞数和发现的所有漏洞数 的统计报表;业
12、务安全报表提供攻击分析、漏洞评估、业务系统漏洞详情等信息;用户安全 报表提供遭攻击最多的用户详情、异常连接用户详情等信息;安全风险类型汇总基于业务系 统遭受攻击类型、业务系统存在最多漏洞类型、用户遭受最多威胁类型进行统计; 网页篡改防护网页篡改防护网关型网页防篡改,无需在服务器中安装任何插件;支持文件比对、特征码比对、网站元素、 数字指纹比对多种比对方式,保证网站安全;全面保护网站的静态网页和动态网页,支持网 页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单 提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web 方式对后台数据库的篡
13、改;支持各级页面模糊框架匹配、精确匹配的方式适用不同的 网页类型;支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站 内容;支持通过替换、重定向等技术手段,防护篡改页面;网站维护管理员必须通过短信认 证才可进行网站更新业务操作(选配) ;支持短信报警、邮件报警、控制台报警等多种篡改 报警方式; 病毒防护病毒防护支持基于流引擎查毒技术,可以针对 HTTP、FTP、SMTP、POP3 等协议进行查杀;能实时 查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准 确查杀各种变种病毒、未知病毒;内置 10 万条以上的病毒库,并且可以自动或者手动升级; 检
14、测到病毒后支持记录日志、阻断连接; WebWeb 过滤过滤对用户 web 行为进行过滤,保护用户免受攻击;支持只过滤 HTTP GET、HTTP POST、HTTPS 等应用行为;并进行阻断和记录日志;支持针对上传、下载等操作进行文件 过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括: 阻断和记录日志 流量管理流量管理支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控;支持基于应用类型、网 站类型、文件类型的带宽划分与分配;支持时间和 IP 的带宽划分与分配; 用户管理用户管理支持基于用户名/密码、单点登陆以及基于 IP 地址、MAC 地址、计算机名的识别
15、等多种认 证方式;支持 AD 域结合、Proxy、POP3、web 表单等多种单点登陆方式,简化用户操作; *可强制指定用户、指定 IP 段的用户必须使用单点登录;支持添加到指定本地组、临时账号 和不允许新用户认证等新用户认证策略;支持强制 AD 域认证,指定用户必须用 AD 域账户 登录操作系统,否则禁止上网;认证成功的用户支持页面跳转,包括最近请求页面、管理员 制定 URL、注销页面等;支持 CSV 格式文件导入、扫描导入和从外部 LDAP 服务器上导入 等账户导入方式;用户分组支持树形结构,支持父组、子组、组内套组等组织结构; 关键页面双因关键页面双因 素认证素认证支持管理员页面、管理后
16、台的短信强认证机制,要求至少提供 URL、telnet、ssh 三种方式 的短信认证 高可用性高可用性支持 A/A,A/S 模式部署,支持会话同步,配置同步和用户信息同步; 网关管理网关管理网管管理员具备安全管理员,审计员和系统管理员三种权限,安全管理员默认只允许安全策 略和安全日志的查看和编辑权限;审计员默认只开放数据中心日志的查看和编辑权限,不具 备设备的管理权限;系统管理员默认具备除安全功能外的其他系统管理权限,不具备设备的 日志查看权限;支持 SSL 加密 WEB 方式管理设备;支持邮件、短信(可扩展)等告警方式, 可提供管理员登录、病毒、IPS、web 攻击以及日志存储空间不足等告警设置;提供图形化 排障工具,便于管理员排查策略错误等故障;提供路由、网桥、旁路等部署模式的配置引导, 提供保护服务器、保护内网用户上网安全、保证内网用户上网带宽、保证遭到攻击及时提醒 和保留证据等网关应用场景的配置引导,简化管理员配置; 日志管理与报日志管理与报 表表能够自定义时间段查询 DOS 攻击、web 防护、IPS、病毒、web 威胁、网站访问、应用控 制、用户登录、系统操作等多种
