【導讀】下一代防火墻安全解決方案。xx項目NGAF安全加固解決方案建議

　　

【正文】 3） 一體化部署，配置簡單： NGAF 具備 L2L7 一體化安全防護功能，可以簡化組網(wǎng)，簡便管理，提高性價比； 7 深信服 NGAF 產(chǎn)品介紹 更精細的應用層安全控制 NGAF 獨創(chuàng)的 應用可視化引擎 ，可以根據(jù)應用的行為和特征實現(xiàn)對應用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過 IP 地址來控制的尷尬 ， 即使加密過的數(shù)據(jù)流也能應付自如。 目前， NGAF 的應用可視化引擎不但可以識別 724 多種的應用及其應用動作，還可以與多種認證系統(tǒng)（ AD、 LDAP、 Radius 等）、應用系統(tǒng)（ POP SMTP 等）無縫對接，自動識別出網(wǎng)絡當中 IP 地址對應的用戶信息，并建立組織的用戶分組結構；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識別和控制豐富的內(nèi)網(wǎng)應用，如 Lotus Notes、 RTX、xx 項目 NGAF安全加固解決方案建議 第 31 頁 共 37 頁 Citrix、 Oracle EBS、金蝶 EAS、 SAP、 LDAP 等 ,針對用戶應用系統(tǒng)更新服務的訴求 ,NGAF 還可以精細識別 Microsoft、 360、 Symantec、Sogou、 Kaspersky、 McAfee、金山 毒霸、江民殺毒等軟件更新 ,保障在安全管控嚴格的環(huán)境下 ,系統(tǒng)軟件更新服務暢通無阻 。 因此，通過應用可視化引擎制定的 L3L7 一體化應用控制策略 , 可以為用戶提供 更加精細和直觀化 控制界面 ， 在一個界面下完成多套設備的運維工作，提升工作效率。 更全面的內(nèi)容級安全防護 深信服 NGAF 的灰度威脅識別技術不但可以將數(shù)據(jù)包還原的內(nèi)容級別進行全面的威脅檢測 ， 而且還可以針對黑客入侵過程中使用的不同攻擊方法進行關聯(lián)分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風險的發(fā)生?；叶韧{識別技術改變了傳統(tǒng) IPS 等設備防御威脅 種類單一，威脅檢測經(jīng)常出現(xiàn)漏報、誤報的問題，可以幫助用戶最大程度減少風險短板的出現(xiàn)，保證業(yè)務系統(tǒng)穩(wěn)定運行。 xx 項目 NGAF安全加固解決方案建議 第 32 頁 共 37 頁 深信服 NGAF 可以為業(yè)務系統(tǒng)提供端到端的安全防護， 防護對象涵蓋了終端、服務器 、網(wǎng)絡設備等 ， 防御的威脅種類包括了： ? 漏洞利用類威脅： 各種通過操作系統(tǒng)、應用系統(tǒng)、協(xié)議異常等漏洞，進行傳播的蠕蟲、木馬、后門、間諜軟件，進行攻擊和入侵的DoS/DDoS 攻擊、緩沖區(qū)溢出攻擊、協(xié)議異常攻擊、 藍屏攻擊、權限提取 等 ； ? Web 應用類威脅 ： 專門針對 Web 應用面臨的各種最新的威脅提供額外的安全防護，包括 SQL 注入 、 XSS 攻擊 、 OS 命令注入 、 CSRF攻擊 、口令爆破、 弱口令探測、應用信息探測、非法上傳威脅文件等，從根源上解決了 Web 系統(tǒng)被入侵、數(shù)據(jù)被篡改的可能性； ? 病毒類威脅： 除了傳統(tǒng)的 HTTP、 FTP、 SMTP、 POP3 等協(xié)議，還可以針對商務應用（文件共享等）傳輸?shù)奈募?進行 精確的木馬、病毒、蠕蟲查殺； ? 終端內(nèi)容威脅： 為了避免終端訪問 Web 應用內(nèi)容而被竊取隱私等信息或被用作肉雞，需要 有 效過濾惡意網(wǎng)站、惡意文件、惡意控件、惡意腳本等內(nèi)容威脅的 訪問； xx 項目 NGAF安全加固解決方案建議 第 33 頁 共 37 頁 NGAF 的灰度威脅識別不但具備 2020+條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意 內(nèi)容特征庫、 1000+Web 應用威脅特征庫，可以全面識別各種應用層和內(nèi)容級別的單一安全威脅；而且灰度威脅識別技術還提供了 20+典型的黑客入侵行為的模板，可以有效關聯(lián)各種威脅進行分析，最大成的提高了威脅檢測精度。另外，深信服憑借在應用層領域 6年以上的技術積累，組建了專業(yè)的安全攻防團隊，可以為用戶定期提供最新的威脅特征庫更新，以確保防御的及時性。 更高性能的應用層處理能力 為了實現(xiàn)強勁的應用層處理能力， NGAF 拋棄了傳統(tǒng)防火墻 NP、ASIC 等適合執(zhí)行網(wǎng)絡層重復計算工作的硬件設計，采用了更加適合應用層靈活計算能 力的多核并行處理技術；在系統(tǒng)架構上， NGAF 也放棄了 UTM多引擎，多次解析的架構，而采用了更為先進的一體化單次解析引擎，將漏洞、病毒、 Web 攻擊、惡意代碼 /腳本、 URL 庫等眾多應用層威脅統(tǒng)一進行檢測匹配，從而提升了工作效率，實現(xiàn)了萬兆級的應用安全防護能力。 多核并行處理架構： 現(xiàn)在 CPU核越來越多，從雙核到 4 核，再從 4 核到 8 核， 16 核，現(xiàn)在還有 128 核的 CPU了。這樣來看，如果 1 個核能夠做到 1 個 G，那么 16 個核不就能夠超過 10 個 G 了嗎 ? 但是通常設備性能并不能夠根據(jù)核的增加而迅速增加。 因為雖然各個核物理上是獨立的，但是有很多資源是共享的，包括 CPU 的 Cache，內(nèi)存，這些核在訪問共享資源的時候是要等其他核釋放資源的，因此很多工作只能串行完成。 所以， NGAF 的多核并行處理技術進行了大量的優(yōu)化工作 減少臨界資源的訪問，除了在軟件處理流程的設計上盡量減少臨界資xx 項目 NGAF安全加固解決方案建議 第 34 頁 共 37 頁 源以及臨界資源的訪問周期，還需要充分利用讀寫鎖、原子操作、內(nèi)存鏡像等機制來提高臨界資源的訪問效率。 單次解析引擎： 要進行應用層威脅過濾， 就必須將 數(shù)據(jù)報文重組 才能檢測 ，而報文重組、特征檢測都 會極大地消耗內(nèi)存和 CPU， 因而 UTM的多引擎，多次解析架構工作效率低 下。因此， NGAF 所采用的單次解析引擎通過統(tǒng)一威脅特征、統(tǒng)一匹配引擎，針對每個數(shù)據(jù)包做到了只有一次報文重組和特征匹配，消除了重復性工作對內(nèi)存和資源的占用，從而系統(tǒng)的工作效率提高了 70%80%。但這種技術的一個關鍵要素就是統(tǒng)一特征庫，這項技術的難度在于需要找到一種全新的“特征語言”將病毒、漏洞、 Web 入侵、惡意代碼等威脅進行統(tǒng)一描述，這就好比是八個不同國家語言的人要想彼此無障礙交流，最笨的辦法是學會 7 種語言，但明顯不可行；因此，需要一種全新的國際語言來完成，從既提高可行性，有降低了工程的復雜度。 xx 項目 NGAF安全加固解決方案建議 第 35 頁 共 37 頁 更完整 的安全防護方案 只提供基于應用層安全防護功能的方案，并不是一個完整的安全方案。對于用戶來說，還需要采購基礎網(wǎng)絡層的安全設備（ FW、VPN），這既增加了成本，也增加了組網(wǎng)復雜度、提升了運維難度。從技術角度來說，一個黑客完整的攻擊入侵過程包括了網(wǎng)絡層和應用層、內(nèi)容級別等多個層次方式方法，如果將這些威脅割裂開處理進行防護，各種防護設備之間缺乏智能的聯(lián)動，很容易出現(xiàn)“三不管”的灰色地帶，出現(xiàn)防護真空。比如當年盛極一時的蠕蟲“ SQL Slammer”，在發(fā)送應用層攻擊報文之前會發(fā)送大量的“正常報文”進行探測，即使 IPS 有效阻斷了攻擊報文，但是這些大量的“正常報文”造成了網(wǎng)絡擁塞，反而意外的形成了 DOS 攻擊，防火墻無法有效防護。 xx 項目 NGAF安全加固解決方案建議 第 36 頁 共 37 頁 因此，“具備完整的 L2L7 完整的安全防護功能”就是 Gartner定義的 “額外的防火墻智能” 實現(xiàn)前提，才能做 到真正的內(nèi)核級聯(lián)動 ，為用戶的業(yè)務系統(tǒng)提供一個真正的“銅墻鐵壁”。 成本及預算 項目 產(chǎn)品名稱 簡要描述 數(shù)量 單價（元） 總價（元） 1 深信服 AF1210N 下一代應用防火墻 （適合 300 左右的上網(wǎng)用戶數(shù)） 下一代應用防火墻 （深圳一電科技有限公司） 1 59800 59800 2 URL 及應用識別庫升級功能（含一年在線升級） URL 及應用識別庫在線升級 1 5980 5980 產(chǎn)品總價： 65780 可選模塊如下： 3 AV 網(wǎng)關殺毒功能模塊授權 模塊授權購買費用 1 年 11960 11960 4 AV 網(wǎng)關殺毒每年更新費用 購買模塊起一年后每年升級費 1 年 5980 5980 5 IPS 漏洞防護 +服務器防護功能模塊授權 模塊授權購買費用 1 年 5980 5980 6 IPS 漏洞防護 +服務器防護功能模塊更新費用 購買模塊起一年后每年升級費 1 年 2990 2990 服務項 7 *現(xiàn)場安裝、調(diào)試 軟件操作使用培訓 *同等功能的軟件升級服務 * 800 免費電話咨詢 * 遠程調(diào)試及故障排除 * 5 次上門服務（遠程無法解決的問題），超出五次的按500 元 /次 第一年免費 免費 免費 合計總價： 根據(jù)具需再定 聯(lián)系人：唐靈婉 075582901177 13689533584 xx 項目 NGAF安全加固解決方案建議 第 37 頁 共 37 頁 項目 產(chǎn)品名稱 簡要描述 數(shù)量 單價（元） 總價（元） 1 深信服 AF1520N 下一代應用防火墻 （適合 400 左右的上網(wǎng)用戶數(shù)） 下一代應用防火墻 （ 深圳一電科技有限公司） 1 79800 79800 2 URL 及應用識別庫升級功能（含一年在線升級） URL 及應用識別庫在線升級 1 7980 7980 產(chǎn)品總價： 87780 可選模塊如下： 3 AV 網(wǎng)關殺毒功能模塊授權 模塊授權購買費用 1 年 15960 15960 4 AV 網(wǎng)關殺毒每年更新費用 購買模塊起一年后每年升級費 1 年 7980 7980 5 IPS 漏洞防護 +服務器防護功能模塊授權 模塊授權購買費用 1 年 7980 7980 6 IPS 漏洞防護 +服務器防護功能模塊更新費用 購買模塊起一年后每年升級費 1 年 3990 3990 服務項 7 *現(xiàn)場安裝、調(diào)試 軟件操作使用培訓 *同等功能的軟件升級服務 * 800 免費電話咨詢 * 遠程調(diào)試及故障排除 * 5 次上門服務（遠程無法解決的問題），超出五次的按500 元 /次 第一年免費 免費 免費 合計總價： 根據(jù)具需再定