SANGFOR_AF_产品彩页_V5.0_140314.pdf

深信服千兆隔离网闸AF 一、深信服安全隔离网闸的定位 全球最具权威的 IT 研究与顾问咨询公司——Gartner ，在 2009 年发布了一份名为 《Defining the Next-Generation Firewall》的文章，给出了真正能够满足用户当前安全需求的 安全隔离网闸定义：安全隔离网闸是一种深度包检测网闸，超越了基于端口、协议的检测和 阻断，增加了应用层的检测和入侵防护,安全隔离网闸不应该与独立的网络入侵检测系统混 为一谈，后者只包含了日常的或是非企业级的网闸，或者把网闸和IPS 简单放到一个设备里， 整合的并不紧密。 结合目前国内的互联网安全环境来看，更多的安全事件是通过Web 层面的设计漏洞被 黑客利用所引发。据统计，国内用户上网流量与对外发布业务流量混合在一起的比例超过 50% 。以政府为例，60% 以上的政府单位门户网站和用户上网是共用电子政务外网的线路。 在这种场景下，如果作为出口安全网关的网闸不具备Web 应用防护能力，那么在新出现的 APT 攻击的大环境下，现有的安全设备很容易被绕过，形同虚设，安全隔离网闸做为一款融 合型的安全产品，不能存针对基于Web 的应用安全短板。做为国内安全隔离网闸产品的领 导者，和公安部第二代网闸标准制定的参与者，深信服走在前沿，在产品推出伊始就把Web 应用防护这个基因深深地植入到深信服安全隔离网闸当中，深信服安全隔离网闸 （Next-Generation Application Firewall ）AF 面向应用层设计，能够精确识别用户、应用和内 容，具备完整的L2-L7 层的安全防护体系，强化了在Web 层面的应用防护能力，不仅能够全 面替代传统网闸，并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安 全设备。 二、为什么需要深信服安全隔离网闸 近几年来，越来越多的安全事故告诉我们，安全风险比以往更加难以察觉。随着网络安 全形势逐渐恶化，网络攻击愈加频繁，客户对自己的网络安全建设变得越来越不自信。到底 怎么加强安全建设？安全建设的核心问题是什么？采用什么安全防护手段更为合适？已成 为困扰用户安全建设的关键问题。 问题一：看不看得到真正的风险？ 一方面，只有看到 L2-7 层的攻击才能了解网络的整体安全状况，而基于多产品组合方 案大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维 的工作量。另一方面，没有攻击并不意味着业务就不存在漏洞，一旦漏洞被利用就为时已晚。 好的解决方案应能及时发现业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着业 务安全威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击 的方案，就无法让客户看到网络和业务的真实的安全情况。 问题二：防不防得住潜藏的攻击？ 一方面，防护技术不能存在短板，存在短板必然会被绕过，原有设备就形同虚设；另一 方面，单纯防护外部黑客对内网终端和服务器的攻击是不够的，终端和服务器主动向外发起 的流量中是否存在攻击行为和泄密也需要检测，进而才能找到黑客针对内网的控制通道，同 时发现泄密的风险，最后通过针对性的安全防护技术加以防御。 综上所述，真正能看到攻击与业务漏洞，及时查漏补缺，并能及时防住攻击才是最有效 的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢？ 传统组合方案（AF+IPS+WAF ）能否满足？ 1 / 12 组合方案不足点一，有几款设备就可以看到几种攻击，但是是割裂的难以对安全日志进 行统一分析；有攻击才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不 代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是 无法指导客户进行安全建设； 组合方案不足点二，有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所 以存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流进行防护， 在面临新的未知攻击的情况下缺乏有效防御措施，还是存在被绕过的风险。 其他品牌安全隔离网闸能否解决？ 大部分安全隔离网闸只能看到除web 攻击外的大部分攻击，极少部分安全隔离网闸能 够看到简单的WEB 攻击，但均无法看到业务的漏洞。攻击和漏洞无法关