NGAF互联网出口一体化安全解决方案彩页_V4.0.docx

深信服NGAF互联网出口安全解决方案彩页

深信服科技有限公司

2016年04月XX日

一、应用背景

互联网丰富的资源和日益成熟的网络基础建设大大提高了人类的生产力和工作效率，给组织单位的持续、快速、高效发展提供了强大助力。然而互联网带给人类发展便利的同时，也随之带来了诸多的网络安全风险，比如近期愈演愈烈的勒索病毒问题，就是典型的互联网病毒传播问题。国内相继有很多家大中型企业、政府单位内部员工或高层领导的电脑、手机感染了该病毒，导致重要文件被加密，需要缴纳赎金才能恢复正常。这给组织正常的业务运行带来很大影响，同时造成一定的经济损失。

二、需求分析

互联网出口是Intranet和Internet之间信息交互的窗口，对于大部分企业用户来说，互联网出口同时承担着两个方面的业务：一是为内部用户提供统一的互联网接入服务；二是为组织对外网站、邮件等业务应用提供统一对外服务。互联网出口安全建设需要考虑这两个方面的需求。

网络接入安全需求

从互联网接入服务来看，内部终端主要面临着病毒木马、僵尸网络和漏洞入侵等安全问题，造成多种潜在危害。

病毒蠕虫传播速度快、变种多，内网一旦进入病毒蠕虫，不仅会造成网络拥塞、业务中断，同时也会带来信息资产的丢失、破坏、泄露等问题。

僵尸主机就像是黑客打入的网络间谍，潜在危害很大。CNCERT/CC数据显示:我国僵尸网络肉机在千万规模，并且大部分被境外黑客控制，因此很容易发动APT攻击，实现研发代码和财务数据等敏感信息窃取

内部系统或应用的漏洞被利用导致的入侵危害也非常严重，震惊全球的震网病毒事件、乌克兰电力系统事件等，都是采用了未知漏洞实现入侵。

业务应用安全需求

而企业的门户网站、邮件系统等业务应用通过互联网对外服务，也会面临互联网上的多样安全威胁，比如：WEB应用攻击、网页恶意篡改、网站黑链等。

越来越多的业务系统转移到B/S架构，而WEB应用面临的攻击手段很多，如SQL注入、XSS跨站脚本、WEBSHELL、请求伪造等，造成的危害也很大，比如敏感信息泄露、网站篡改、网站挂马等。对企业来说，核心研发代码、财务数据等信息泄露的危害是致命性的；而政府网站被篡改所带来的声誉损失也非常大。而最近就爆出国内某公积金网站700多万账户记录信息泄露和菲律宾选举网站5000多万选民信息泄露的严重网络安全事件。

三、深信服解决之道

通过在线部署深信服下一代防火墙NGAF，可以完善解决互联网出口的安全问题。NGAF提供了全面的网络安全解决方案，能够从网络入口处一站式智能化解决这些网络层/应用层安全威胁，保障内网用户网络接入和网站业务服务的安全问题。

NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，具有全面的网络层和应用层安全保障。

专业的网络接入安全

NGAF给组织网络接入区域构建了立体的防护体系，提供包括接入控制、病毒蠕虫防护、僵尸网络防护、恶意入侵防护等多种功能，防止内部上网终端遭受各个层次的安全威胁。

防止病毒入侵：NGAF不断更新的病毒防御特征，可以抵御各类网络病毒入侵行为。针对近期爆发的勒索病毒，深信服NGAF及时更新了数十万的安全防护特征，能够有效的抵御这类病毒的入侵行为，确保内网安全。

防止僵尸网络：NGAF智能融合的僵尸网络识别技术，超过50万条僵尸网络特征库，包含了木马、后门、蠕虫、恶意软件、间谍软件等多种分类。有效识别并切断僵尸网络控制通道，阻止僵尸网络向内部传播。

云端威胁检测：NGAF还可以与深信服“云中心”进行智能联动，实现可疑/未知流量云端上报和沙盒检测，判定恶意内容，并生成防护规则，实时下发到全球所有在线设备上，提升未知威胁检测能力，有效清除APT攻击跳板。

恶意入侵防护：NGAF内置7000+条漏洞防护特征并不断更新特征库，通过了CVE严格的兼容性标准评审，有效防止针对各类系统和业务的恶意入侵行为。

强大的业务应用安全

深信服NGAF提供了二到七层双向内容检测技术，具有NSSLabs推荐级的WEB安全防护能力，实时发现扫描、入侵、漏洞、破坏等安全问题，有效阻止网页篡改、挂马、黑链、敏感信息泄露等问题，完美解决业务应用安全需求。

OWASP十大web攻击防护：NGAF提供了OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击，保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

专业的网页防篡改：NGAF提供了专业的网页防篡改功能，通过网关型防篡改和防篡改客户端软件配合使用，极大的提升篡改检出效率和防护准确度，保障网站安全。NGAF还集成了黑链检测功能，通过对黑链类型和链接内容的分类匹配，快速、精准的定位黑链问题。

多维敏感信息防泄漏：NGAF提供了多种维度的敏感信息防泄漏功能，能够实时检测并阻断网站源代码、用户帐号