【正文】 erationFirewall》的文章，給出了真正能夠滿(mǎn)足用戶(hù)當(dāng)前安全需求的下一代防火墻（NGFW）定義。（3）應(yīng)用意識(shí)和全棧可見(jiàn)性：識(shí)別應(yīng)用和在應(yīng)用層上執(zhí)行獨(dú)立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。NGAF是面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶(hù)、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。在2010年，漏洞數(shù)量又創(chuàng)出了新的記錄，根據(jù)賽門(mén)鐵克發(fā)布的2010年度網(wǎng)絡(luò)安全報(bào)告顯示，2010年全年共計(jì)發(fā)現(xiàn)了6253個(gè)新的安全漏洞。狼的習(xí)性是群居，一只固然勢(shì)單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。2010年1月中旬，針對(duì)微軟的“Aurora”（極光）的零日漏洞開(kāi)始大規(guī)模被利用。作為互聯(lián)網(wǎng)用戶(hù)，應(yīng)該對(duì)此保持警惕了。另一類(lèi)被稱(chēng)為“監(jiān)視型間諜軟件”，它具有記錄鍵盤(pán)操作的鍵盤(pán)記錄器功能和屏幕捕獲功能，可以用來(lái)在后臺(tái)記錄下所有用戶(hù)的系統(tǒng)活動(dòng)，比如網(wǎng)站訪問(wèn)、程序運(yùn)行、網(wǎng)絡(luò)聊天記錄、鍵盤(pán)輸入包括用戶(hù)名和密碼、桌面截屏快照等。除處理違反協(xié)議的情況外，這種機(jī)制還可截獲命令中的非法參數(shù)，阻止許多緩沖溢出攻擊的發(fā)生。主要表現(xiàn)在兩個(gè)層面：一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來(lái)的安全漏洞越來(lái)越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來(lái)進(jìn)行攻擊的黑客工具越來(lái)越多、黑客活動(dòng)越來(lái)越猖獗，組織性和經(jīng)濟(jì)利益驅(qū)動(dòng)非常明顯。企業(yè)業(yè)務(wù)迅速更新，需要大量的Web應(yīng)用快速上線。與人體病毒按嚴(yán)重性分類(lèi)（從 Ebola 病毒到普通的流感病毒）一樣，計(jì)算機(jī)病毒也有輕重之分，輕者僅產(chǎn)生一些干擾，重者徹底摧毀設(shè)備。當(dāng)新的蠕蟲(chóng)爆發(fā)時(shí)，它們傳播的速度非?？?。2）7層的內(nèi)容安全檢測(cè)：7層一體化安全防護(hù)（包括漏洞防護(hù)、服務(wù)器防護(hù)、病毒防護(hù)等）以及智能的內(nèi)容安全過(guò)濾功能，防止各種應(yīng)用威脅干擾服務(wù)器的穩(wěn)定運(yùn)行，確保核心業(yè)務(wù)數(shù)據(jù)的安全。 更全面的內(nèi)容級(jí)安全防護(hù)深信服NGAF的灰度威脅識(shí)別技術(shù)不但可以將數(shù)據(jù)包還原的內(nèi)容級(jí)別進(jìn)行全面的威脅檢測(cè)，而且還可以針對(duì)黑客入侵過(guò)程中使用的不同攻擊方法進(jìn)行關(guān)聯(lián)分析，從而精確定位出一個(gè)黑客的攻擊行為，有效阻斷威脅風(fēng)險(xiǎn)的發(fā)生。所以，NGAF的多核并行處理技術(shù)進(jìn)行了大量的優(yōu)化工作減少臨界資源的訪問(wèn)，除了在軟件處理流程的設(shè)計(jì)上盡量減少臨界資源以及臨界資源的訪問(wèn)周期，還需要充分利用讀寫(xiě)鎖、原子操作、內(nèi)存鏡像等機(jī)制來(lái)提高臨界資源的訪問(wèn)效率。 因此，“具備完整的L2L7完整的安全防護(hù)功能”就是Gartner定義的“額外的防火墻智能”實(shí)現(xiàn)前提，才能做到真正的內(nèi)核級(jí)聯(lián)動(dòng)，為用戶(hù)的業(yè)務(wù)系統(tǒng)提供一個(gè)真正的“銅墻鐵壁”。 更完整的安全防護(hù)方案只提供基于應(yīng)用層安全防護(hù)功能的方案，并不是一個(gè)完整的安全方案。 更高性能的應(yīng)用層處理能力為了實(shí)現(xiàn)強(qiáng)勁的應(yīng)用層處理能力，NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計(jì)算工作的硬件設(shè)計(jì)，采用了更加適合應(yīng)用層靈活計(jì)算能力的多核并行處理技術(shù)；在系統(tǒng)架構(gòu)上，NGAF也放棄了UTM多引擎，多次解析的架構(gòu)，而采用了更為先進(jìn)的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫(kù)等眾多應(yīng)用層威脅統(tǒng)一進(jìn)行檢測(cè)匹配，從而提升了工作效率，實(shí)現(xiàn)了萬(wàn)兆級(jí)的應(yīng)用安全防護(hù)能力。 廣域網(wǎng)邊界安全隔離與防護(hù)對(duì)于廣域網(wǎng)邊界安全防護(hù)需要從如下幾個(gè)方面著重考慮：1）人員多，應(yīng)用雜：如何制定有效的ACL，ACL是基于IP和端口的，這樣的機(jī)器語(yǔ)言無(wú)法直觀、清晰的制定訪問(wèn)控制策略，容易出現(xiàn)錯(cuò)配、漏配；2）傳統(tǒng)FW缺乏應(yīng)用層威脅防護(hù)，病毒木馬在分支機(jī)構(gòu)和總部間傳播速度快3）病毒木馬占用廣域網(wǎng)有限帶寬，影響關(guān)鍵業(yè)務(wù)的傳輸4）分支數(shù)量多，IT管理水平層次不齊，設(shè)備多，成本高，組網(wǎng)雜，維護(hù)難圖 廣域網(wǎng)邊界安全防護(hù)方案拓?fù)渫ㄟ^(guò)在核心交換機(jī)與核心路由器之間部署XX臺(tái)深信服NGAFXXXX，提供XX性能，開(kāi)啟XX、XX功能授權(quán)，可以幫助我們實(shí)現(xiàn)如下安全目標(biāo)：1）面向用戶(hù)、應(yīng)用的安全訪問(wèn)：將訪問(wèn)控制權(quán)限精確到用戶(hù)與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無(wú)法精確管理的問(wèn)題。5 NGAF安全加固解決方案 總體方案為了能夠更好的針對(duì)當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀，控制好可能發(fā)生的各種安全風(fēng)險(xiǎn)，建議采用下一代防火墻深信服NGAF針對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全加固。首先，它控制計(jì)算機(jī)上可以傳輸文件或信息的功能。它一邊傳播一邊感染計(jì)算機(jī)。根據(jù)ＣＮＣＥＲＴ的監(jiān)測(cè)，２０１０年中國(guó)大陸有３．５萬(wàn)個(gè)網(wǎng)站被黑客篡改，其中被篡改的政府網(wǎng)站高達(dá)４６３５個(gè)，比上年上升６７．６％。 掃描器最初是提供給管理員的一些極具威力的網(wǎng)絡(luò)工具，利用它，網(wǎng)管員可以獲得當(dāng)前系統(tǒng)信息和安全狀況。如果間諜軟件打開(kāi)通向用戶(hù)桌面系統(tǒng)的通道，那么用戶(hù)面臨的危險(xiǎn)將是不可想象的。與其他軟件一同安裝，或通過(guò)ActiveX控件安裝，用戶(hù)并不知道它的存在。間諜軟件在安裝時(shí)什么都不顯示，運(yùn)行時(shí)用戶(hù)也不知曉，刪除起來(lái)非常困難。DOS和DDOS攻擊會(huì)耗盡用戶(hù)寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴(lài)計(jì)算機(jī)網(wǎng)絡(luò)的正常業(yè)務(wù)無(wú)法進(jìn)行，嚴(yán)重?fù)p害企業(yè)的聲譽(yù)并造成極大的經(jīng)濟(jì)損失，使IT部門(mén)承受極大的壓力。DOS和DDOS攻擊可以被分為兩類(lèi)：一種是利用網(wǎng)絡(luò)協(xié)議的固有缺陷或?qū)崿F(xiàn)上的弱點(diǎn)來(lái)進(jìn)行攻擊，與漏洞攻擊相似。其具體特點(diǎn)如下：更精細(xì)的應(yīng)用層安全控制： l 貼近國(guó)內(nèi)應(yīng)用、持續(xù)更新的應(yīng)用識(shí)別規(guī)則庫(kù)l 識(shí)別內(nèi)外網(wǎng)超過(guò)724種應(yīng)用、1253種動(dòng)作（截止2011年8月10日）l 支持包括AD域、Radius等8種用戶(hù)身份識(shí)別方式l 面向用戶(hù)與應(yīng)用策略配置，減少錯(cuò)誤配置的風(fēng)險(xiǎn)更全面的內(nèi)容級(jí)安全防護(hù)： l 基于攻擊過(guò)程的服務(wù)器保護(hù)，防御黑客掃描、入侵、破壞三步曲l 強(qiáng)化的WEB應(yīng)用安全，支持多種注入防范、XSS攻擊、權(quán)限控制等l 完整的終端安全保護(hù)，支持插件/腳本過(guò)濾、漏洞/病毒防護(hù)等更高性能的應(yīng)用層處理能力：l 單次解析架構(gòu)實(shí)現(xiàn)報(bào)文一次拆解和匹配l 多核并行處理技術(shù)提升應(yīng)用層分析速度l 全新技術(shù)架構(gòu)實(shí)現(xiàn)應(yīng)用層萬(wàn)兆處理能力更完整的安全防護(hù)方案l 可替代傳統(tǒng)防火墻/VPN、IPS所有功能，實(shí)現(xiàn)內(nèi)核級(jí)聯(lián)動(dòng)4 XXX網(wǎng)絡(luò)安全現(xiàn)狀 網(wǎng)絡(luò)與應(yīng)用系統(tǒng)現(xiàn)狀請(qǐng)具體描述用戶(hù)當(dāng)期的網(wǎng)絡(luò)、安全、應(yīng)用系統(tǒng)的建設(shè)現(xiàn)狀（設(shè)備類(lèi)型、性能、采用的軟件架構(gòu)、網(wǎng)絡(luò)安全域是如何劃分的等等），分析當(dāng)前的主要安全風(fēng)險(xiǎn)，并且提出改進(jìn)方向。Gartner認(rèn)為，隨著防火墻和IPS更新周期的自然到來(lái)，或者隨著帶寬需求的增加和隨著成功的攻擊，促使更新防火墻，大企業(yè)將用NGFW替換已有的防火墻。IPS與防火墻的互動(dòng)效果應(yīng)當(dāng)大于這兩部分效果的總和。 應(yīng)用層性能瓶頸：首先，UTM只是簡(jiǎn)單整合了應(yīng)用層防護(hù)功能，IPS、AV、Web過(guò)濾都還是獨(dú)立的檢測(cè)分析引擎，沒(méi)有進(jìn)行統(tǒng)一的整合，一個(gè)數(shù)據(jù)包需要經(jīng)過(guò)多次拆包解包，多次分析匹配才完成處理。其次，持續(xù)的運(yùn)維成本也是不小的開(kāi)銷(xiāo)，能源消耗、配套建設(shè)（電源、空調(diào)）、人力成本等等也會(huì)急劇增加。 2 傳統(tǒng)安全設(shè)備日趨“無(wú)力”面對(duì)上述網(wǎng)絡(luò)、應(yīng)用、安全風(fēng)險(xiǎn)等環(huán)境的變化，傳統(tǒng)安全設(shè)備已經(jīng)顯得日趨“無(wú)力”，尤其是傳統(tǒng)防火墻已經(jīng)變成了聾子和瞎子。因此，面對(duì)上述安全風(fēng)險(xiǎn)的變化，給我們的網(wǎng)絡(luò)安全提出了新的問(wèn)題： 能夠防護(hù)混合型攻擊威脅的防護(hù)：傳統(tǒng)防火墻無(wú)法提