產(chǎn)品描述

深信服下一代防火墻（Next-Generation Application Firewall）NGAF是面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用識(shí)別、訪問(wèn)控制、內(nèi)容安全防護(hù)等方面的不足，同時(shí)開(kāi)啟所有功能后性能不會(huì)大幅下降。作為傳統(tǒng)防火墻的升級(jí)替代產(chǎn)品，深信服NGAF不同于工作在L2-L4層的傳統(tǒng)防火墻，可以對(duì)全網(wǎng)流量進(jìn)行雙向深入數(shù)據(jù)內(nèi)容層面的全面透析。在安全策略制定方面，區(qū)域別于傳統(tǒng)防火墻五元組安全策略，第二代防火墻可對(duì)L2-L7層更多的元素（如，用戶、應(yīng)用類型、URL、數(shù)據(jù)內(nèi)容等）制定雙向的安全訪問(wèn)策略，使安全策略更精細(xì)、更有效，且滿足業(yè)務(wù)的合規(guī)性；在安全防護(hù)能力方面，提升了傳統(tǒng)的抗攻擊的能力，不僅能防護(hù)網(wǎng)絡(luò)層的攻擊，針對(duì)來(lái)源更廣泛、攻擊更容易、危害更大的應(yīng)用層攻擊也可以進(jìn)行防護(hù)，實(shí)現(xiàn)L2-L7層的安全防護(hù)。同時(shí)，深信服下一代防火墻NGAF采用全新的軟硬件架構(gòu)，減小在多種復(fù)雜的安全策略和L2-L7層多功能防護(hù)功能全部開(kāi)啟時(shí)對(duì)性能的消耗，實(shí)現(xiàn)應(yīng)用層高性能。

         區(qū)別于傳統(tǒng)的網(wǎng)絡(luò)層防火墻，NGAF具備L2-L7層的協(xié)議的理解能力。不僅能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層訪問(wèn)控制的功能，且能夠?qū)?yīng)用進(jìn)行識(shí)別、控制、防護(hù)，解決了傳統(tǒng)防火墻應(yīng)用層控制和防護(hù)能力不足的問(wèn)題。

         區(qū)別于傳統(tǒng)DPI技術(shù)的入侵防御系統(tǒng)，深信服NGAF具備深入應(yīng)用內(nèi)容的威脅分析能力，具備雙向的內(nèi)容檢測(cè)能力為用戶提供完整的應(yīng)用層安全防護(hù)功能。

         同樣都能防護(hù)web攻擊，與web應(yīng)用防火墻關(guān)注web應(yīng)用程序安全的設(shè)計(jì)理念不同，深信服下一代防火墻NGAF關(guān)注web系統(tǒng)在對(duì)外發(fā)布的過(guò)程中各個(gè)層面的安全問(wèn)題，為對(duì)外發(fā)布系統(tǒng)打造堅(jiān)實(shí)的防御體系。

二、下一代防火墻的標(biāo)準(zhǔn)

         Gartner在2009年發(fā)布了一份名為《Defining the Next-GenerationFirewall》的文章，給出了真正能夠滿足用戶當(dāng)前安全需求的下一代防火墻（NGFW）定義。

         結(jié)合安全發(fā)展趨勢(shì)和國(guó)內(nèi)用戶的安全建設(shè)現(xiàn)狀，深信服認(rèn)為下一代防火墻需要滿足以下幾個(gè)方面的特點(diǎn)：

         防應(yīng)用層攻擊

         75%的安全威脅源自應(yīng)用層，下一代防火墻應(yīng)該具備應(yīng)用層協(xié)議的識(shí)別能力，并能針對(duì)應(yīng)用層安全威脅提供完整的解決方案。彌補(bǔ)傳統(tǒng)安全設(shè)備由于工作在網(wǎng)絡(luò)，只解析網(wǎng)絡(luò)層數(shù)據(jù)包，無(wú)法理解應(yīng)用層協(xié)議并防護(hù)應(yīng)用層的安全威脅的問(wèn)題。

         雙向內(nèi)容檢測(cè)

         為了解決傳統(tǒng)安全設(shè)備只針對(duì)外部攻擊防護(hù)的問(wèn)題，下一代防火墻應(yīng)該具備雙向的內(nèi)容檢測(cè)能力。除了能夠防護(hù)外部攻擊以外，需要對(duì)服務(wù)器響應(yīng)的反饋內(nèi)容進(jìn)行嚴(yán)格的安全檢查。以提供防網(wǎng)頁(yè)篡改，防敏感信息泄露等功能

         涵蓋傳統(tǒng)安全

         應(yīng)用層的安全威脅日益盛行，但源自底層的網(wǎng)絡(luò)層安全威脅仍然存在，其危害性也不容忽視。下一代防火墻應(yīng)該涵蓋傳統(tǒng)防火墻、IPS、VPN等功能，以減少多設(shè)備串行部署單點(diǎn)故障、性能瓶頸以及風(fēng)險(xiǎn)無(wú)法統(tǒng)一定位的問(wèn)題。同時(shí)從用戶長(zhǎng)遠(yuǎn)利益考慮減少重復(fù)無(wú)效的投資，實(shí)現(xiàn)最優(yōu)的投資回報(bào)。

         應(yīng)用層高性能

         雖然多功能網(wǎng)關(guān)具備部分應(yīng)用安全防護(hù)能力，但其傳統(tǒng)安全設(shè)備的集成、串行部署的方式，使其在多種功能開(kāi)啟之后性能急劇下降，最終只能當(dāng)傳統(tǒng)防火墻使用。下一代防火墻應(yīng)該從軟件構(gòu)架、硬件構(gòu)架兩方面徹底改變多功能網(wǎng)關(guān)由于多功能堆疊、串行部署導(dǎo)致的性能瓶頸問(wèn)題，具備應(yīng)用層高性能實(shí)現(xiàn)萬(wàn)兆的吞吐。

三、深信服NGAF獨(dú)特的產(chǎn)品功能特點(diǎn)

 1.精細(xì)的應(yīng)用安全訪問(wèn)控制

1.1可視化的應(yīng)用識(shí)別

         傳統(tǒng)防火墻最主要的用途就是在非信任網(wǎng)絡(luò)與信任網(wǎng)絡(luò)通過(guò)訪問(wèn)控制實(shí)現(xiàn)安全管理。過(guò)去一個(gè)端口便代表了一個(gè)應(yīng)用，防火墻的問(wèn)題并沒(méi)有完全暴露出來(lái)。而隨著應(yīng)用程序的不斷發(fā)展，采用端口跳躍、端口逃逸、多端口、隨機(jī)端口的應(yīng)用越來(lái)越多，使得傳統(tǒng)防火墻五元組的訪問(wèn)控制策略可讀性、可視性，可控性受到巨大沖擊，傳統(tǒng)防火墻在web2.0時(shí)代已無(wú)法滿足精細(xì)化訪問(wèn)控制的需求。

         NGAF具有卓越的應(yīng)用可視化功能，通過(guò)多種應(yīng)用識(shí)別技術(shù)形成國(guó)內(nèi)最大的應(yīng)用特征識(shí)別庫(kù)，可精確識(shí)別內(nèi)外網(wǎng)的采用端口跳躍、端口逃逸、多端口、隨機(jī)端口的各類應(yīng)用，為下一代防火墻實(shí)現(xiàn)用戶與應(yīng)用的精細(xì)化訪問(wèn)控制提供技術(shù)基礎(chǔ)。

1.2智能用戶身份識(shí)別

         NGAF用戶識(shí)別功能可以與8種認(rèn)證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無(wú)縫對(duì)接，通過(guò)單點(diǎn)登錄的方式自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對(duì)應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)。

1.3面向用戶與應(yīng)用的控制策略

         區(qū)別于傳統(tǒng)防火墻的五元組訪問(wèn)控制策略，下一代防火墻可通過(guò)應(yīng)用可視化功能與用戶識(shí)別技術(shù)結(jié)合制定的L3-L7一體化應(yīng)用控制策略, 可以為用戶提供更加精細(xì)和直觀化控制界面，在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作，提升工作效率。

1.4基于應(yīng)用的流量控制

         區(qū)別于傳統(tǒng)防火墻的簡(jiǎn)單的基于數(shù)據(jù)包優(yōu)先級(jí)的轉(zhuǎn)發(fā)QOS流量管理策略。深信服NGAF可提供基于用戶和應(yīng)用的流量管理功能，能夠基于應(yīng)用做流量控制，實(shí)現(xiàn)阻斷非法流量、限制無(wú)關(guān)流量保證核心業(yè)務(wù)的可視化流量管理價(jià)值。

2.全面的應(yīng)用安全防護(hù)能力

2.1強(qiáng)化web攻擊防護(hù)

     深信服下一代防火墻NGAF采用攻擊特征+主動(dòng)防御相結(jié)合的雙重防護(hù)模式，可有效保護(hù)web業(yè)務(wù)安全。攻擊特征的防護(hù)模式有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機(jī)制，提供OWASP定義的十大安全威脅的攻擊防護(hù)功能，有效防止常見(jiàn)的web安全威脅。如SQL注入、XSS跨站腳本、CSRF跨站請(qǐng)求偽造，敏感信息泄露等，主動(dòng)模式可提供參數(shù)類型學(xué)習(xí)的主動(dòng)防御和自定義參數(shù)防護(hù)等個(gè)性化配置，保護(hù)web系統(tǒng)免受網(wǎng)站篡改、網(wǎng)頁(yè)掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問(wèn)題。深信服NGAF于2013年1月通過(guò)了OWASP Web安全項(xiàng)目的測(cè)試，設(shè)備的安全防護(hù)等級(jí)被評(píng)為4星（5星滿分。）

2.2基于應(yīng)用的深度入侵防御

         NGAF基于應(yīng)用的深度入侵防御采用六大威脅檢測(cè)機(jī)制：攻擊特征檢測(cè)、特殊攻擊檢測(cè)、威脅關(guān)聯(lián)分析、異常流量檢測(cè)、協(xié)議異常檢測(cè)、深度內(nèi)容分析能夠有效的防止各類已知未知攻擊，實(shí)時(shí)阻斷黑客攻擊。如，緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲(chóng)、木馬、后門(mén)、DoS/DDoS攻擊探測(cè)、掃描、間諜軟件、以及各類IPS逃逸攻擊等。

2.3高效精確的病毒檢測(cè)能力

         NGAF提供先進(jìn)的病毒防護(hù)功能，可從源頭對(duì)HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺，也可查殺壓縮包（zip，rar，gzip等）中的病毒。同時(shí)采用高效的流式掃描技術(shù)，可大幅提升病毒檢測(cè)效率避免防病毒成為網(wǎng)絡(luò)安全的瓶頸。

2.4DOS/DDOS攻擊防護(hù)

         NGAF可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護(hù)，實(shí)現(xiàn)L2-L7層的異常流量清洗。

2.5專業(yè)攻防研究團(tuán)隊(duì)確保持續(xù)更新

         NGAF的統(tǒng)一威脅識(shí)別具備3000+條漏洞特征庫(kù)、數(shù)十萬(wàn)條病毒、木馬等惡意內(nèi)容特征庫(kù)、2000+Web應(yīng)用威脅特征庫(kù)，可以全面識(shí)別各種應(yīng)用層和內(nèi)容級(jí)別的各種安全威脅。其漏洞特征庫(kù)已通過(guò)國(guó)際最著名的安全漏洞庫(kù)CVE嚴(yán)格的兼容性標(biāo)準(zhǔn)評(píng)審，獲得CVE兼容性認(rèn)證（CVE Compatible）。

         深信服憑借在應(yīng)用層領(lǐng)域6年以上的技術(shù)積累組建了專業(yè)的安全攻防團(tuán)隊(duì)，作為微軟的MAPP（Microsoft Active Protections Program）項(xiàng)目合作伙伴，可以在微軟發(fā)布安全更新前獲得漏洞信息，為客戶提供更及時(shí)有效的保護(hù)，以確保防御的及時(shí)性。

3.獨(dú)特的雙向內(nèi)容檢測(cè)技術(shù)

3.1網(wǎng)關(guān)型網(wǎng)頁(yè)防篡改

         網(wǎng)頁(yè)防篡改是NGAF服務(wù)器防護(hù)中的一個(gè)子模塊，其設(shè)計(jì)目的在于提供的一種事后補(bǔ)償防護(hù)手段，即使黑客繞過(guò)安全防御體系修改了網(wǎng)站內(nèi)容，其修改的內(nèi)容也不會(huì)發(fā)布到最終用戶處，從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟(jì)損失等問(wèn)題。

         NGAF通過(guò)網(wǎng)關(guān)型的網(wǎng)頁(yè)防篡改（對(duì)服務(wù)器“0”影響），第一時(shí)間攔截網(wǎng)頁(yè)篡改的信息并通知管理員確認(rèn)。同時(shí)對(duì)外提供篡改重定向功能，提供正常界面、友好界面、web備份服務(wù)器的重定向，保證用戶仍可正常訪問(wèn)網(wǎng)站。NGAF網(wǎng)站篡改防護(hù)功能使用網(wǎng)關(guān)實(shí)現(xiàn)動(dòng)靜態(tài)網(wǎng)頁(yè)防篡改功能。這種實(shí)現(xiàn)方式相對(duì)于主機(jī)部署類防篡改軟件而言，客戶無(wú)需在服務(wù)器上安裝第三方軟件，易于使用和維護(hù)，在防篡改部分基于網(wǎng)絡(luò)字節(jié)流的檢測(cè)與恢復(fù)，對(duì)服務(wù)器性能沒(méi)有影響。

3.2可定義的敏感信息防泄漏

         NGAF提供可定義的敏感信息防泄漏功能，根據(jù)儲(chǔ)存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過(guò)短信、郵件報(bào)警及連接請(qǐng)求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進(jìn)行有效識(shí)別、報(bào)警并阻斷，防止大量敏感信息被非法泄露。（如：用戶信息/郵箱賬戶信息/MD5加密密碼/銀行卡號(hào)/身份證號(hào)碼/社保賬號(hào)/信用卡號(hào)/手機(jī)號(hào)碼……）

3.3僵尸網(wǎng)絡(luò)檢測(cè)隔離

NGAF獨(dú)有的僵尸網(wǎng)絡(luò)檢測(cè)隔離功能，應(yīng)用NGAF對(duì)外發(fā)流量的檢測(cè)能夠判斷服務(wù)器或終端由于中了病毒木馬向外發(fā)起的惡意流量。該功能融合了僵尸網(wǎng)絡(luò)識(shí)別庫(kù)，利用業(yè)界領(lǐng)先的僵尸網(wǎng)絡(luò)識(shí)別檢測(cè)技術(shù)對(duì)黑客的攻擊行為進(jìn)行有效識(shí)別，針對(duì)以反彈式木馬為代表的惡意軟件進(jìn)行深度防護(hù)，可識(shí)別僵尸網(wǎng)絡(luò)流量達(dá)15萬(wàn)條，并由深信服攻防團(tuán)隊(duì)實(shí)時(shí)更新。同時(shí)，深信服NGAF正在完善安全云平臺(tái)，部署在全球各地的深信服下一代防火墻設(shè)備可以自動(dòng)或手動(dòng)上傳可疑的應(yīng)用流量到安全云平臺(tái)，平臺(tái)會(huì)自動(dòng)分析，形成新的惡意軟件識(shí)別策略下發(fā)到全球所有設(shè)備的規(guī)則庫(kù)上。

3.4應(yīng)用協(xié)議內(nèi)容隱藏

         NGAF可針對(duì)主要的服務(wù)器（WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等）反饋信息進(jìn)行了有效的隱藏。防止黑客利用服務(wù)器返回信息進(jìn)行有針對(duì)性的攻擊。如：HTTP出錯(cuò)頁(yè)面隱藏、響應(yīng)報(bào)頭隱藏、FTP信息隱藏等

3.5用戶登錄權(quán)限防護(hù)

         NGAF可以針對(duì)特定的服務(wù)或者web頁(yè)面提供登陸保護(hù)，通過(guò)發(fā)送短信驗(yàn)證碼的方式針對(duì)敏感信息和應(yīng)用提供強(qiáng)認(rèn)證保護(hù)。用戶訪問(wèn)到該頁(yè)面或應(yīng)用的時(shí)候需要經(jīng)過(guò)短信的二次認(rèn)證，增強(qiáng)敏感頁(yè)面或應(yīng)用的安全系數(shù)；該功能能夠帶來(lái)的價(jià)值：

1、對(duì)重要的頁(yè)面（如管理員頁(yè)面）進(jìn)行防護(hù)，防止通過(guò)社會(huì)工程、暴力破解拿到正常管理員的賬號(hào)密碼；

2、可實(shí)現(xiàn)敏感頁(yè)面的雙因子強(qiáng)認(rèn)證提高安全性，防止敏感頁(yè)面開(kāi)放于公網(wǎng)或辦公網(wǎng)；

4.智能的網(wǎng)絡(luò)安全防御體系

4.1完整的防火墻功能

         NGAF涵蓋了完整的傳統(tǒng)防火墻功能包括訪問(wèn)控制、NAT支持、路由協(xié)議、VLAN屬性等功能，已便于用戶替換傳統(tǒng)防火墻后，將原有的策略完全遷移至下一代防火墻中，實(shí)現(xiàn)簡(jiǎn)化組網(wǎng)、方便運(yùn)維的效果。

4.2靈活的應(yīng)用部署方式

         NGAF支持多種部署模式，包括路由，透明，虛擬網(wǎng)線，旁路，混合部署等，并支持多鏈路聚合，非對(duì)稱路由等復(fù)雜網(wǎng)絡(luò)環(huán)境。

4.3融合領(lǐng)先的 IPSecVPN實(shí)現(xiàn)廣域網(wǎng)隔離與流量清洗

         NGAF融合了國(guó)內(nèi)市場(chǎng)占有率第一的IPSec VPN模塊，實(shí)現(xiàn)高安全防護(hù)、高投資回報(bào)的分支機(jī)構(gòu)安全建設(shè)目標(biāo)，并支持對(duì)加密隧道數(shù)據(jù)進(jìn)行安全攻擊檢測(cè)，全面提升廣域網(wǎng)隔離的安全性。

4.4統(tǒng)一集中管理平臺(tái)

         NGAF提供統(tǒng)一集中管理平臺(tái)實(shí)現(xiàn)對(duì)分支各設(shè)備的集中監(jiān)管，集中配置下發(fā)與遠(yuǎn)程獨(dú)立配置，提高管理效率，簡(jiǎn)化運(yùn)維成本。

4.5安全風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng)

         NGAF基于時(shí)間周期的安全防護(hù)設(shè)計(jì)提供事前風(fēng)險(xiǎn)評(píng)估及策略聯(lián)動(dòng)的功能。風(fēng)險(xiǎn)評(píng)估功能分為Web弱點(diǎn)掃描與漏洞掃描兩部分：

         系統(tǒng)漏洞掃描通過(guò)端口、服務(wù)、應(yīng)用掃描幫助用戶及時(shí)發(fā)現(xiàn)端口、服務(wù)及漏洞風(fēng)險(xiǎn)，并通過(guò)模塊間的智能策略聯(lián)動(dòng)及時(shí)更新對(duì)應(yīng)的安全風(fēng)險(xiǎn)的安全防護(hù)策略。幫助用戶快速診斷電子商務(wù)平臺(tái)中各個(gè)節(jié)點(diǎn)的安全漏洞問(wèn)題，并做出有針對(duì)性的防護(hù)策略。

         web弱點(diǎn)掃描通過(guò)內(nèi)置的二十多類Web攻擊特征，如SQL注入，盲注，操作系統(tǒng)命令，遠(yuǎn)程文件包含，XPATH注入，LDAP注入，服務(wù)器端包含（SSI），iframe釣魚(yú)，不安全的PHP配置檢查等，可以幫助對(duì)用戶的Web服務(wù)系統(tǒng)快速的定位出漏洞威脅，并提供相關(guān)漏洞的嚴(yán)重等級(jí)和描述信息以及建議的修復(fù)方案等，使得用戶能夠快速定位并解決內(nèi)網(wǎng)Web服務(wù)存在的風(fēng)險(xiǎn)。同時(shí)該功能模塊可以依據(jù)掃描結(jié)果，給用戶推薦防護(hù)策略，通過(guò)“一鍵部署”的方式自動(dòng)生成有效的策略，為絕大多數(shù)管理員提供策略建議的專業(yè)參考。

4.6 智能APT攻擊防護(hù)

         深信服NGAF融合L2-7層完整的安全防護(hù)功能，是國(guó)內(nèi)唯一同時(shí)融合FW、IPS、WAF、AV功能并能智能聯(lián)動(dòng)的安全產(chǎn)品，通過(guò)各個(gè)模塊間的聯(lián)動(dòng)，為APT攻擊防護(hù)提供從主機(jī)層(惡意代碼防護(hù)、僵尸網(wǎng)絡(luò)隔離)、網(wǎng)絡(luò)層(訪問(wèn)控制、邊界隔離、入侵防護(hù)、漏洞掃描、內(nèi)網(wǎng)嗅探)、應(yīng)用層(惡意網(wǎng)址識(shí)別、OWASP TOP應(yīng)用協(xié)議攻擊、管理認(rèn)證登陸、DLP)的 L2-L7層一體化安全防護(hù)。通過(guò)關(guān)聯(lián)分析準(zhǔn)確定位出APT攻擊的行為，阻斷黑客在實(shí)施APT攻擊各個(gè)步驟、各種手段的有效性。

         NGAF智能的主動(dòng)防御技術(shù)可實(shí)現(xiàn)內(nèi)部各個(gè)模塊之間形成智能的策略聯(lián)動(dòng)，如一個(gè)IP/用戶持續(xù)向內(nèi)網(wǎng)服務(wù)器發(fā)起各類攻擊則可通過(guò)防火墻策略暫時(shí)阻斷IP/用戶。智能防護(hù)體系的建立可有效的防止工具型、自動(dòng)化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。同時(shí)也使得管理員維護(hù)變得更為簡(jiǎn)單，可實(shí)現(xiàn)無(wú)網(wǎng)管的自動(dòng)化安全管理。

4.7專業(yè)可視的安全分析報(bào)表

         NGAF提供了豐富、可視的日志報(bào)表和統(tǒng)計(jì)分析功能，可針對(duì)服務(wù)器、終端、流量、應(yīng)用、訪問(wèn)網(wǎng)站等多個(gè)維度進(jìn)行統(tǒng)計(jì)，并提供服務(wù)器安全報(bào)表和網(wǎng)絡(luò)安全匯總報(bào)表來(lái)直觀的反映用戶網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)以及應(yīng)用流量信息。服務(wù)器安全報(bào)表按照受攻擊次數(shù)，攻擊類型，攻擊來(lái)源進(jìn)行統(tǒng)計(jì)分析，并針對(duì)每個(gè)服務(wù)器IP都有針對(duì)性的安全分析，并提供相應(yīng)的服務(wù)安全說(shuō)明，使得報(bào)表的可讀性更高，方便用戶從報(bào)告中分析出下一步的安全加固策略。

5.更高效的應(yīng)用層處理能力

5.1多核并行處理技術(shù)

         為了實(shí)現(xiàn)強(qiáng)勁的應(yīng)用層處理能力，NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計(jì)算工作的硬件設(shè)計(jì)，采用了更加適合應(yīng)用層靈活計(jì)算能力的多核并行處理技術(shù)，極大的提升應(yīng)用層數(shù)據(jù)的分析能力。

         NGAF的設(shè)計(jì)不僅僅采用了多核的硬件架構(gòu)，在計(jì)算指令設(shè)計(jì)上采用了先進(jìn)的無(wú)鎖并行處理技術(shù)，能夠?qū)崿F(xiàn)多流水線同時(shí)處理，成倍提升系統(tǒng)吞吐量，在多核系統(tǒng)下性能表現(xiàn)十分優(yōu)異，是真正的多核并行處理的架構(gòu)。

5.2單次解析架構(gòu)

         區(qū)別于UTM的構(gòu)架，NGAF采用單次解析構(gòu)架實(shí)現(xiàn)報(bào)文的一次解析一次匹配，避免了UTM由于多模塊疊加對(duì)報(bào)文進(jìn)行多次拆包多次解析的問(wèn)題，有效的提升了應(yīng)用層效率。實(shí)現(xiàn)單次解析技術(shù)的一個(gè)關(guān)鍵要素就是軟件架構(gòu)設(shè)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)、應(yīng)用層平面分離，通過(guò)在將數(shù)據(jù)通過(guò)“0”拷貝技術(shù)提取到應(yīng)用層平面上實(shí)現(xiàn)威脅特征的統(tǒng)一解析、統(tǒng)一檢測(cè)，減少冗余的數(shù)據(jù)包封裝，從而實(shí)現(xiàn)高性能的處理。

5.3跳躍式掃描技術(shù)

         深信服下一代防火墻利用其多年積累的應(yīng)用識(shí)別技術(shù)，在內(nèi)核驅(qū)動(dòng)層面通過(guò)私有協(xié)議將所有經(jīng)過(guò)NGAF的數(shù)據(jù)包都打上應(yīng)用的標(biāo)簽。在數(shù)據(jù)包提取到內(nèi)容檢測(cè)平面進(jìn)行檢測(cè)的時(shí)候，會(huì)找到對(duì)應(yīng)的應(yīng)用威脅特征，使用跳躍式掃描技術(shù)跳過(guò)無(wú)關(guān)的應(yīng)用威脅檢測(cè)特征，從而減少無(wú)效掃描，提升掃描效率。比如：流量被識(shí)別為HTTP流量，那么FTP sever-u的相關(guān)漏洞攻擊特征便不會(huì)對(duì)系統(tǒng)造成威脅，便可以暫時(shí)跳過(guò)檢測(cè)進(jìn)行轉(zhuǎn)發(fā)，提升轉(zhuǎn)發(fā)的效率。

5.4產(chǎn)品性能評(píng)測(cè)報(bào)告

         為驗(yàn)證應(yīng)用層性能，國(guó)內(nèi)知名IT行業(yè)媒體《網(wǎng)絡(luò)世界》針對(duì)下一代防火墻產(chǎn)品進(jìn)行了一次客觀的產(chǎn)品評(píng)測(cè)。深信服NGAF在各項(xiàng)功能開(kāi)啟時(shí)，應(yīng)用層處理性能優(yōu)秀。表現(xiàn)出了出色的處理能力。在不同大小文件下，應(yīng)用流量處理能力均達(dá)到萬(wàn)兆級(jí)別，可以滿足正常網(wǎng)絡(luò)應(yīng)用中萬(wàn)兆寬帶的應(yīng)用流量處理需求