【正文】 絡(luò)、應(yīng)用、安全風(fēng)險(xiǎn)等環(huán)境的變化，傳統(tǒng)安全設(shè)備已經(jīng)顯得日趨“無(wú)力”，尤其是傳統(tǒng)防火墻已經(jīng)變成了聾子和瞎子。 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 7 頁(yè) 共 37 頁(yè) 因此，面對(duì)上述網(wǎng)絡(luò)性能的不斷提升 ，給 我們的 安全 防護(hù) 提出了 新的問(wèn)題 ： 實(shí)現(xiàn)萬(wàn)兆級(jí)應(yīng)用層安全處理能力 ： 應(yīng)用層安全防護(hù)強(qiáng)調(diào)的是計(jì)算的靈活性， 傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的強(qiáng)調(diào)的是重復(fù)計(jì)算的高性能。但是只要在 IT系統(tǒng)中出現(xiàn)一個(gè)性能瓶頸，就會(huì)制約整個(gè) IT 系統(tǒng)的性能發(fā)揮。 能夠保護(hù) 應(yīng)用內(nèi)容： 針對(duì)黑客對(duì)內(nèi)容的關(guān)注，需要 基于應(yīng)用的內(nèi)容做安全檢查，包括掃描所有應(yīng)用內(nèi)容，過(guò)濾有風(fēng)險(xiǎn)的內(nèi)容 ，甚至讓用戶(hù)自定義哪些內(nèi)容可以進(jìn)出，哪些內(nèi)容不能進(jìn)出 。 因此，面對(duì)上述安全風(fēng)險(xiǎn)的變化 ，給我們的網(wǎng)絡(luò)安全提出了 新的問(wèn)題 ： 能夠防護(hù)混合型攻擊威脅的防護(hù) ： 傳統(tǒng)防火墻無(wú)法提供 DPI深度檢測(cè)，而 IPS、 WAF、 AV 等設(shè)備防護(hù)功能單一，需要相互搭配使用。 所謂混合化， 在黑客一次攻擊行為中使用了多種技術(shù)手段，而非原來(lái)單一的病毒蠕蟲(chóng)或者漏洞利 用。 所謂內(nèi)容化， 黑客在成功入侵后更加關(guān)注的是 IT 系統(tǒng)中的內(nèi)容，比如客戶(hù)賬號(hào)、通訊方式、銀行賬戶(hù)、企業(yè)機(jī)密、電子訂單等。所以，基于應(yīng)用的漏洞利用、命 令注入、惡意腳本 /插件等威脅就成為了黑客爭(zhēng)相研究的方向。 而當(dāng)前的黑客攻擊 目的完全以利益為驅(qū)動(dòng)， 技術(shù)手段更加傾向于應(yīng)用化、內(nèi)容化、混合化。 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 5 頁(yè) 共 37 頁(yè) 黑客攻擊方式和目的的變化 早期的 黑客攻擊手段 大多為 非破壞性 攻擊 ， 一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用 拒絕服務(wù)攻擊 （ Ping of Death等）網(wǎng)絡(luò)層方式。 Web 成為威脅傳播 的重點(diǎn)對(duì)象： 需要 針對(duì)看似合法的 Web層內(nèi)容中，檢測(cè)和過(guò)濾各種威脅。 比如“開(kāi)心網(wǎng)” 網(wǎng)站上可以運(yùn)行 159 種 應(yīng)用程序 （還在不斷豐富） ——聊天、 游 戲 、 圖片分享等；“谷歌”的企業(yè)級(jí)應(yīng)用套件甚至可以提供 類(lèi)似于 Office、協(xié)作辦公、視頻分享 這樣的企業(yè)應(yīng)用程序。因?yàn)椋菚r(shí)端口 =應(yīng)用、 IP=用戶(hù)，只要在交換機(jī)、路由器、防火墻做些基于“端口 +IP”的訪問(wèn)控制策略，就可以輕松實(shí)現(xiàn)用戶(hù)的訪問(wèn)權(quán)限。要實(shí)現(xiàn)上述目標(biāo)，首先，讓我們來(lái)對(duì)網(wǎng)絡(luò)和系統(tǒng)運(yùn)行面臨的安全挑 戰(zhàn)做出詳細(xì)的分析。 下一代防火墻安全 解決方案 2020年 08月 21日 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 2 頁(yè) 共 37 頁(yè) 目 錄 1 需求分析 ..................................................................................................................... 3 2 網(wǎng)絡(luò)與應(yīng)用環(huán)境面臨的安全挑戰(zhàn) ............................................................................. 3 應(yīng)用多樣化，端口的單一化 ............................................................................. 3 黑客攻擊方式和目的的變化 ............................................................................. 5 端到端的萬(wàn)兆處理能力 ..................................................................................... 6 3 傳統(tǒng)安全設(shè)備日趨“無(wú)力” ..................................................................................... 7 防火墻成為了“擺設(shè)” ..................................................................................... 7 IPS+AV+WAF 補(bǔ)丁式的方案 ........................................................................... 9 簡(jiǎn)單堆砌 的 UTM ............................................................................................. 10 4 下一代防火墻的誕生與價(jià)值 ................................................................................... 11 Gantner 定義下一代防火墻 ............................................................................. 11 深信服 NGAF 的特點(diǎn)與 用戶(hù)價(jià)值 .................................................................. 13 5 一電科技網(wǎng)絡(luò)安全現(xiàn)狀 ........................................................................................... 14 網(wǎng)絡(luò)與應(yīng)用系統(tǒng)現(xiàn)狀 ....................................................................................... 14 面臨的內(nèi)容安全威脅 ....................................................................................... 14 漏洞利用 ................................................................................................... 14 拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊 ................................................... 16 零時(shí)差攻擊 ............................................................................................... 17 間諜軟件 ................................................................................................... 18 協(xié)議異常和違規(guī)檢測(cè) ............................................................................... 20 偵測(cè)和掃描 ............................................................................................... 20 Web 入侵 ...................................................................................................... 21 病毒木馬 ................................................................................................... 22 6 NGAF 安全加固解決方案 ....................................................................................... 23 總體方案 ........................................................................................................... 23 數(shù)據(jù)中心服務(wù)器保護(hù) ....................................................................................... 24 廣域網(wǎng)邊界安全隔離與防護(hù) ........................................................................... 26 互聯(lián)網(wǎng)出口邊界防護(hù) ....................................................................................... 28 7 深信服 NGAF 產(chǎn)品介紹 .......................................................................................... 30 更精細(xì)的應(yīng)用層安全控制 ............................................................................... 30 更全面的內(nèi)容 級(jí)安全防護(hù) ............................................................................... 31 更高性能的應(yīng)用層處理能力 ........................................................................... 33 更完整的安全防護(hù)方案 ................................................................................... 35 成本及預(yù)算 .................................................................