【正文】 供DPI深度檢測，而IPS、WAF、AV等設備防護功能單一，需要相互搭配使用。而當前的黑客攻擊目的完全以利益為驅動，技術手段更加傾向于應用化、內容化、混合化。因為，那時端口=應用、IP=用戶，只要在交換機、路由器、防火墻做些基于“端口+IP”的訪問控制策略，就可以輕松實現(xiàn)用戶的訪問權限。但是隨著網(wǎng)絡、應用的不斷的發(fā)展，為了便于應用的跨平臺、靈活部署，現(xiàn)在有成千上萬種應用趨向于更少數(shù)的端口運行，都是基于HTTP或者HTTPS協(xié)議（80、443端口）。所謂應用化，面對堡壘森嚴的網(wǎng)絡層防護手段，黑客要想悄無聲息的入侵IT系統(tǒng)，必須采用更高層次的方式繞過這些防護手段。因此，面對多種安全威脅的混合型攻擊，我們需要一個完整的應用層安全防護方案。 防火墻成為了“擺設”從1990開始，隨著Internet的快速發(fā)展，網(wǎng)絡安全的問題也逐步為人們所重視，從最初采用簡單的訪問控制列表，到部署防火墻來保護周界安全。 防護效果不理想：這種方案在性能、檢測精度、可靠性等方面均存在較多問題。同時，由于應用層安全防護強調的是計算的靈活性與并行處理能力（特征比對等），而傳統(tǒng)網(wǎng)絡層安全設備強調的是單一功能的、重復計算的高性能（基于端口的狀態(tài)檢測）。例如提供防火墻規(guī)則來阻止某個地址不斷向IPS加載惡意傳輸流。不斷變化的威脅環(huán)境，以及不斷變化的業(yè)務和IT流程將促使網(wǎng)絡安全經(jīng)理在他們的下一個防火墻/IPS更新周期時尋找NGFW。 面臨的內容安全威脅當前業(yè)務系統(tǒng)“曾經(jīng)出現(xiàn)過”和“潛在出現(xiàn)”的各種內容安全威脅主要包括如下： 漏洞利用無可厚非，軟件開發(fā)人員在開發(fā)一個系統(tǒng)的時候，將實現(xiàn)相應的功能作為首要的任務，而且他們在編寫和調試程序時通常僅考慮用戶正常使用的情況，而對誤用和惡意使用這些例外和異常情況處理考慮不周之處，也就形成了系統(tǒng)漏洞，或稱系統(tǒng)的弱點。這類供給典型的例子如Teardrop、Land、KoD和Winnuke；對第一種DOS攻擊可以通過打補丁的方法來防御，但對付第二種攻擊就沒那么簡單了，另一類DOS和DDOS利用看似合理的海量服務請求來耗盡網(wǎng)絡和系統(tǒng)的資源，從而使合法用戶無法得到服務的響應。 零時差攻擊零時差攻擊（Zeroday Attack）是指從系統(tǒng)漏洞、協(xié)議弱點被發(fā)現(xiàn)到黑客制造出針對該漏洞、弱點的惡意代碼并發(fā)起攻擊之間的時間差幾乎為零的攻擊。由于間諜軟件隱藏在用戶計算機中、秘密監(jiān)視用戶活動，并已經(jīng)建立了一個進入個人電腦的通道，很容易對用戶電腦做后續(xù)的攻擊。記錄用戶的姓名、性別、年齡、密碼、域、電話號碼、郵件地址、VPN、Web瀏覽記錄、網(wǎng)上購物活動、硬件或軟件設置等信息。 協(xié)議異常和違規(guī)檢測在一切正常的情況下，兩個系統(tǒng)間該如何進行某種數(shù)據(jù)交換，協(xié)議都對其進行了定義。正是因為掃描器能有效的獲取系統(tǒng)信息，因此也成為黑客最喜歡的工具。政府網(wǎng)站安全性如果不能進一步提高，將不僅影響政府形象和電子政務的開展，也會給不法分子發(fā)布虛假信息造成可乘之機。病毒可損壞軟件、硬件和文件。一旦您的系統(tǒng)感染蠕蟲，蠕蟲即可獨自傳播。首先，我們建議將整個業(yè)務系統(tǒng)劃分為如下N個網(wǎng)絡安全域：l 數(shù)據(jù)中心安全域：包括各種應用系統(tǒng)和服務器，如OA、視頻、ERP、MAIL等，由于是整個IT系統(tǒng)的核心，安全級別最高； l 廣域網(wǎng)邊界安全域：各個分支機構通過專網(wǎng)接入總部局域網(wǎng)，訪問各種業(yè)務應用系統(tǒng)，主要包括構建專網(wǎng)的核心路由器、分支路由器；l 互聯(lián)網(wǎng)接入安全域：由于內部終端、對外發(fā)布業(yè)務系統(tǒng)（如XXX網(wǎng)上交易系統(tǒng)）都需要與互聯(lián)網(wǎng)相連，訪問互聯(lián)網(wǎng)資源或者對外提供業(yè)務。讓業(yè)務開放對象更為明了、管理更方便、策略更易懂2）廣域網(wǎng)垃圾流量清洗：通過NGAF智能的內容安全過濾功能，將病毒、木馬、蠕蟲、DDoS等各種垃圾流量清除，確保帶寬純凈，防止病毒擴散3）一體化部署，簡化組網(wǎng)： NGAF具備L2L7一體化安全防護功能，可以簡化組網(wǎng)，簡便管理，提高性價比； 互聯(lián)網(wǎng)出口邊界防護由于互聯(lián)網(wǎng)邊界實現(xiàn)了對外業(yè)務發(fā)布系統(tǒng)和內網(wǎng)終端的互聯(lián)網(wǎng)接入，因此需要從如下幾個方面著重考慮：對外業(yè)務系統(tǒng)發(fā)布：1）網(wǎng)站被掛馬、數(shù)據(jù)遭篡改，企業(yè)/單位形象受損，造成經(jīng)濟損失，帶來負面影響2）合理控制服務器外聯(lián)權限，封堵黑客遠程控制，上傳病毒、木馬；3）響應速度要求快，系統(tǒng)穩(wěn)定性要求高，需要簡化組網(wǎng)，降低延時，減少單點故障；內網(wǎng)終端互聯(lián)網(wǎng)接入：1）瀏覽器、OS、Flash漏洞多，上網(wǎng)容易感染病毒、木馬，竊取隱私2）合理控制服務器外聯(lián)權限，封堵黑客遠程控制終端，將內網(wǎng)終端作為跳板，入侵服務器3）用戶權限多樣，安全策略配置復雜圖 互聯(lián)網(wǎng)邊界安全方案拓撲通過在互聯(lián)網(wǎng)接入路由器后面部署XX臺深信服NGAFXXXX，,XX網(wǎng)上交易系統(tǒng)部署在DMZ區(qū)，提供XX性能，開啟XX、XX功能授權，可以實現(xiàn)對內網(wǎng)終端和對外業(yè)務發(fā)布系統(tǒng)的雙重防護（可以根據(jù)具體情況，分開部署），：對外業(yè)務發(fā)布系統(tǒng)防護：1）防止黑客入侵，獲取權限，竊取數(shù)據(jù)：通過NGAF的漏洞防護、服務器防護、病毒防護等多種應用內容防護功能，防止黑客入侵，保證服務器穩(wěn)定運行；2）精確控制服務器外聯(lián)權限：通過NGAF精確的應用識別，放行服務器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關非法外聯(lián)流量；3）簡化組網(wǎng)、降低延時： NGAF具備L2L7一體化安全防護功能，可以簡化組網(wǎng)，減少故障點；通過單次解析引擎減低延時；內部終端安全防護：1）全面防護，標本兼治：通過NGAF的惡意網(wǎng)站過濾功能，防止終端訪問威脅網(wǎng)站和應用；通過漏洞防護、病毒防護、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術手段；2）精確識別，防止非法外聯(lián)：通過NGAF精確的應用識別，放行服務器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關非法外聯(lián)流量，防止終端被作為跳板入侵服務器3）一體化部署，配置簡單： NGAF具備L2L7一體化安全防護功能，可以簡化組網(wǎng)，簡便管理，提高性價比；6 深信服NGAF產(chǎn)品介紹 更精細的應用層安全控制NGAF獨創(chuàng)的應用可視化引擎，可以根據(jù)應用的行為和特征實現(xiàn)對應用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應付自如。多核并行處理架構：現(xiàn)在CPU核越來越多，從雙核到4核，再從4核到8核，16核，現(xiàn)在還有128核的CPU了。對于用戶來說，還需要采購基礎網(wǎng)絡層的安全設備（FW、VPN），這既增加了成本，也增加了組網(wǎng)復雜度、提升了運維難度。比如當年盛極一時的蠕蟲“SQL Slammer”，在發(fā)送應用層攻擊報文之前會發(fā)送大量的“正常報文”進行探測，即使IPS有效阻斷了攻擊報文，但是這些大量的“正常報文”造成了網(wǎng)絡擁塞，反而意外的形成了DOS攻擊，防火墻無法有效防護。因為雖然各個核物理上是獨立的，但是有很多資源是共享的，包括CPU的Cache，內存，這些核在訪問共享資源的時候是要等其他核釋放資源的，因此很多工作只能串行完成。因此，通過應用可視化引擎制定的L3L7一體化應用控制策略, 可以為用戶提供更加精細和直觀化控制界面，在一個界面下完成多套設備的運維工作，提升工作效率。讓業(yè)務開放對象更為明了、管理更方便、策略更易懂。例如，蠕蟲可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計算機也將執(zhí)行同樣的操作，結果造成多米諾效應（網(wǎng)絡通信負