多核并行处理技术 3. 单次解析架构
NGAF采用单次解析构架实现报文的一次解析一次匹配,有效提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离,将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析和统一检测,减少冗余的数据包封装,实现高性能的数据处理。
单次解析架构
4. 跳跃式扫描技术
NGAF利用多年积累的应用识别技术,在内核驱动层面通过私有协议将所有经过NGAF的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时,设备会找到对应的应用威胁特征,通过使用跳跃式扫描技术跳过无关的应用威胁检测特征,减少无效扫描,提升扫描效率。比如:流量被识别为HTTP流量,那么FTP sever-u的相关漏洞攻击特征便不会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率。
5. Sangfor Regex正则引擎
正则表达式是一种识别特定模式数据的方法,它可以精确识别网络中的攻击。经深信服安全专家研究发现,业界已有的正则表达式匹配方法的速度一般比较慢,制约了下一代防火墙整机速度的提高。为此,深信服设计并实现了全新的Sangfor Regex正则引擎,将正则表达式的匹配速度提高到数十Gbps,比PCRE和Google的RE2等知名引擎快数十倍,达到业界领先水平。
NGAF的Sangfor Regex大幅降低了CPU占用率,有效提高了NGAF的整机吞吐,从而能够更高速地处理客户的业务数据,该项技术尤其适用于对每秒吞吐量要求特别高的场景,如运营商、电商等。
五、 深信服下一代防火墙品牌优势
1. 市场引领者
2011年7月,深信服率先推出国内第一台下一代防火墙NGAF,自产品发布后,国内追随者不断,且赢得了众多用户的信任,年销量平均增长率超过50%。
截止至2015年末,NGAF在全国的用户累计超过20000家,在线稳定运行的设备超过
11 / 17
40000台,用户覆盖各行各业,其中包括120多家部委省厅级单位、100多家运营商和金融单位、120多家知名教育单位、250多家大型企业和国资委下属央企集团,用户数量遥遥领先。
据咨询机构IDC的分析报告显示,2014年深信服下一代防火墙NGAF在中国集成防火墙市场排名第3,占有10.9%的市场份额,是唯一凭借下一代防火墙一款产品参与排名的厂商。咨询机构Frost&Sullivan评价到:深信服凭借优质的下一代防火墙产品,奠定了其在中国防火墙市场的领导地位。
2. 专业权威的认可
国内最先获得NSS Labs“推荐”评价
早在2013年,深信服就将NGAF送往位于美国的全球最知名的独立安全研究和评测机构NSS Labs进行Web安全防护功能评测,在业界专业的WAF测试规范下,成功通过所有的攻击逃逸测试、产品稳定性和可靠性测试,其中,送测设备的每秒新建连接数达到76,616CPS,为送测的6家厂商中的最高数值。深信服下一代防火墙NGAF最终获得NSS Labs “Recommended”推荐评价。
国内最早获得NSS Labs“推荐”评价的下一代防火墙产品
国内OWASP测试综合平分最高
深信服下一代防火墙NGAF在OWASP授权机构的25项测评项中获得19项“五星”满分评分,综合四星(国内最高为4星)。 受邀参与公安部第二代防火墙标准制定
2013年3月,深信服凭借多年的安全技术实力积累和对安全防护的独到见解,受到公安部第三研究所(信息安全行业规范编制单位)的邀请,参与国内第二代防火墙标准(GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》)的制定,并成为主要起草单位。目前该标准已于2014年7月24日正式发布,9月1日已开始实施。
此外,深信服还是微软MAPP计划合作会员、中国反网络病毒联盟成员,安全技术实力得到了广大权威机构的认可。
12 / 17
深信服NGAF获得多方权威机构认可
3. 专业安全团队
深信服在应用层领域有着10年以上的技术积累,背后离不开一个不断成长壮大的安全团队来支撑。深信服目前具备一个约500人规模的专业安全团队,从事安全产品研发、安全服务工具开发、威胁样本分析、应急响应、安全咨询服务等工作;并且还设立了深信服安全攻防实验室,专门负责国内外安全前瞻性技术研究和安全漏洞挖掘。2015全年挖掘近30个原创高危漏洞;多次发布针对重大网络安全事件预警与分析,如IIS漏洞、juniper漏洞等; 每月发布安全月报并提交至安全主管部门,如CNCERT、网络安全保卫局、CNVD等。全年共发现安全漏洞95个,涉及客户网站13348个,发现钓鱼网站3305余个,发现篡改网站2571余个。2015年总共提交了近20篇专利,其中一篇美国专利已经授权通过。
深信服专家团队还参与了多项国家级网络安全保障支撑工作:如国家“九三大阅兵”活动,参与完成威胁预警、安全监控值守、安全演练等工作;国家“互联网网络安全威胁治理行动”活动,支撑威胁通报17期,治理钓鱼网站1500余个,通报被篡改网站100余个。“首都网络安全日”活动,为网络安全重点保障单位等。
4. 产品可靠稳定
为保证设备具有良好的稳定性,NGAF出厂前都会经过7轮软硬件高吞吐、低温高温等恶劣环境的严格测试,并通过第三方机构的专业产品检测。目前,深信服下一代防火墙产品已无故障工作超过8万小时,具备高可靠的稳定性。
NGAF稳定性的第三方评测报告
13 / 17
六、 典型场景和案例
典型应用场景 典型应用场景
对外发布场景 部署在网银、网上报税、网上营业厅、电子商务等系统出口,防止黑客入侵,保护关键业务和客户隐私信息,避免损害单位形象,造成经济损失。
数据中心场景 部署在单位内部的财务、ERP、OA等服务器前面,精细控制访问权限,防止非法访问,防止企业机密信息被窃取,保障核心业务获取必要的带宽资源。
广域网边界场景 部署在专网边界,过滤应用层威胁流量,防止病毒、木马等威胁在分支机构间横向传播,影响业务开展;广域网VPN组网,形成全网安全监测解决方案;
互联网出口场景 部署在互联网出口,针对各种终端提供漏洞防护,病毒/木马等恶意软件过滤,僵尸网络检测,对外DoS攻击检测,高性能应用管控与流量优化,提供一体化的安全防护。
典型应用案例
最高人民法院
最高人民法院根据其实际网络环境和需求,选择了将深信服下一代防火墙NGAF部署于其服务器区的核心交换机前,启用了服务器防护、漏洞防护与敏感信息防泄漏功能对进出服务器的双向流量进行安全与合规性检查。设备对来自内部用户区与互联网的数据流量进行
14 / 17
L2-L7层的攻击检测与防护;对服务器区外发的数据流实现合规性验证。并通过文件类型与自定义敏感信息防泄漏规则两种方式防止数据交互过程中,敏感信息被非法人员窃取。
国土资源部 随着业务类别的不断丰富,为全面提升办公网的安全防护能力,国土资源部在数据中心服务器区和内网办公区前端分别部署了深信服下一代防火墙NGAF。替换掉原有的UTM、防病毒网关、IPS、IDS等传统网络安全设备,极大地简化了组网拓扑,便于用户维护网络的稳定性。设备的部署加强了应用层网络的防护能力,并能实时检测办公内网是否存在安全风险,为国土资源部的网络提供强有力的安全保障。
海关总署
海关总署通过将深信服下一代防火墙NGAF部署在其与国务院新闻办之间的专线入口处,有效地对海关总署和国务院新闻办的网络进行了逻辑隔离,并对专线中所有流经防火墙的数据包按照严格的安全规则进行过滤,清洗恶意流量,杜绝越权访问,防止各类非法攻击行为,保障了海关总署内部业务系统的安全稳定。
招商银行 为了给用户提供更安全、更优质的网上银行服务,招商银行在其网银服务器区部署了深信服下一代防火墙NGAF,可实现信息的精确识别定义、制定信息泄露安全策略,并能对数据访问和数据查询进行审计,有效保障了网银敏感信息的安全。
复旦大学 为进一步加强校园信息化安全建设,防御各种互联网攻击,复旦大学选择了深信服下一代防火墙NGAF为校园网络保驾护航。NGAF的入侵防御功能,可有效抵御外来攻击;此外,NGAF可对网络中已被感染的终端进行检测和定位,并实现网络流量实时安全分析。全方位的安全防御为复旦的师生提供了安全稳定的上网环境。
招商局集团 创立于1872年晚清洋务运动时期的招商局,在2012年建设了一个具备专业性、先进性和模块化设计架构的IDC中心,为全面保障内网安全,招商局在数据中心DMZ区、业务数据区等多个区域部署了多台深信服万兆下一代防火墙NGAF。设备为各业务系统、各终端提供了L2—L7完整的安全防护,IPS和WAF等模块有效防止漏洞攻击、注入类攻击等多种安全威胁,单次解析架构、多核并行处理技术很好地解决了多功能模块开启导致的性能下降问题,实现了万兆级别的应用层处理性能。
华润电力 专注于电力、煤矿和新能源的华润电力在全国分布着众多各项目公司,这些公司常常需要访问总部共性系统进行业务联系。深信服广域网安全建设解决方案为华润电力提供了安全、可靠的广域网环境,确保其业务高效稳定地运行。NGAF内置IPSec VPN实现了广域网一体化安全组网,并对广域网网络层到应用层进行流量清洗,有效解决了广域网病毒木马快速扩散及对总部应用层进行攻击的问题;集中管理、统一监管则解决了各项目公司专业安全维护困难的问题,帮助客户真正实现管理集中化、运维自动化。
15 / 17
相关推荐:
loading