防火墙技术白皮书.docVIP

深信服下一代防火墙NGAF

技术白皮书

深信服科技

二零一三年四月

目录

TOC\o1-3\h\z\u一、 概述 4

二、 为什么需要下一代防火墙 4

网络开展的趋势使防火墙以及传统方案失效 4

现有方案缺陷分析 5

单一的应用层设备是否能满足？ 5

“串糖葫芦式的组合方案” 5

UTM统一威胁管理 5

三、 下一代防火墙标准 6

Gartner定义下一代防火墙 6

适合国内用户的下一代防火墙标准 7

四、 深信服下一代应用防火墙—NGAF 8

产品设计理念 8

产品功能特色 9

更精细的应用层平安控制 9

全面的应用平安防护能力 12

独特的双向内容检测技术 17

涵盖传统平安功能 19

智能的网络平安防御体系 19

更高效的应用层处理能力 20

产品优势技术【】 21

深度内容解析 21

双向内容检测 21

别离平面设计 21

单次解析架构 22

多核并行处理 23

智能联动技术 24

五、 解决方案与部属 24

基于业务场景的平安建设方案选择 24

互联网出口-内网终端上网 24

互联网出口-效劳器对外发布 25

广域网边界平安隔离 25

数据中心 26

部署方式 26

路由部署 26

透明部署 26

虚拟网线部署 26

旁路部署 26

混合部署 26

链路聚合 26

六、 关于深信服 27

概述

防火墙自诞生以来，在网络平安防御系统中就建立了不可替代的地位。作为边界网络平安的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的平安。防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员，通过有限的防御方式对风险进行防护，本钱高，效率低，平安防范手段有限。而下一代防火墙那么形如机场的整体安检系统，除了包括原有的安检人员/传统防火墙功能外，还引入了先进的探测扫描仪/深度内容平安检测构成一套完整的整体平安防护体系。自2009年10月Gartner提出“DefiningtheNext-GenerationFirewall”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络平安技术6年的应用平安技术沉淀之后，于2011年正式发布深信服“下一代应用防火墙”——NGAF。

为什么需要下一代防火墙

网络开展的趋势使防火墙以及传统方案失效

防火墙作为一款历史悠久的经典产品，在IP/端口的网络时代，发挥了巨大的作用：合理的分隔了平安域，有效的阻止了外部的网络攻击。防火墙在设计时的针对性，在当时显然是网络平安的最正确选择。但在网络应用高速开展，网络规划复杂化的今天防火墙的不适应性就越创造显，从用户对网络平安建设的需求来看，传统防火墙存在以下问题：

1、应用平安防护的问题：

传统防火墙基于IP/端口，无法对应用层进行识别与控制，无法确定哪些应用经过了防火墙，自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击，防火墙显得力不从心，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比方病毒、蠕虫、木马等。

2、平安管理的问题：

传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略，并且这些基于IP/端口策略可读性非常之差，经常会造成错配、漏配的情况，留下的这些隐患，往往给黑客们以可乘之机。

现有方案缺陷分析

单一的应用层设备是否能满足？

1、入侵防御设备

应用平安防护体系不完善，只能针对应用系统的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。缺乏攻击事后防护机制，不具备数据的双向内容检测能力，对未知攻击产生的后果无能为力【这句话不太好理解，需要重新描述一下，并举一个具体例子】。

2、Web应用防火墙

传统Web防火墙面对当前复杂的业务流量类型处理性能有限，且只针对来自Web的攻击防护，缺乏针对来自应用系统底层漏洞的攻击特征，缺乏基于敏感业务内容的保护机制【在补充一句：只能提供简单的关键字过滤功能】，无法对Web业务提供L2-L7层的整体平安防护。

“串糖葫芦式的组合方案”

由于防火墙功能上