深信服下一代防火墙NGAF与传统FW功能对比.docxVIP

深信服下一代防火墙NGAF与传统FW功能对比

网络层安全功

NGAF

提供完整的传统FW安全

FW 对比要点

提供状态检测、 NGAF已经涵盖了传统FW的

能

功能和网络功能，包括状

态检测、路由、NAT、VPN、抗攻击等

路由、NAT、VPN、

抗攻击等网络层安全功能

网络层功能

流量分类方式

基于应用程序识别技术，

不论是何种端口、协议等

状态检测技术：

基于端口和协

FW:应用与端口或协议无

关；

流量。

议，应用协议经

NGAF：具有应用完全可视性

常误识别。

及细粒度控制

应用流量处理

主动控制：只允许合法的

消极控制：只阻

FW:粗糙的管理模式，使得

模式

流量，阻止所有非法流量

止策略所设置的

IT主管经常考虑“如何禁止

应用层QoS：提供针对应

流量，允许其它

最有效”；

用细分的带宽保障，确保

所有流量

NGAF：不但可以阻断非法流

关键业务的优先处理，如

量，还可以针对放行流量的

自动识别出OA、视频、系

优先级别进行带宽保障，确

统升级等流量，并给予8M

保关键业务流量有限转发，

以上带宽

稳定运行

用户信息收集

可作为策略元素之一在日

志和报表中图形化显示

没有

FW:用IP地址会给网络管

理带来很大难度；

NGAF：基于用户和组的应用

管理，使得分支机构运维更

加智能和简便。

应用层安全防

护功能

NGAF可以提供漏洞防护、

病毒过滤、恶意Web内容

没有

FW：无法针对合法应用中的

威胁流量进行深度检测和

等应用层威胁流量进行全

处理

面的检测和过滤，可以防

护2000+种漏洞、20万种

NGAF：针对数据包的L2-L7

进行全面的过滤和检测，防

以上的恶意内容过滤

止终端病毒通过广域网进

行传播，阻塞有限的广域网

带宽。

强化的服务器

NGAF提供针对服务器提

没有

针对网络上部署的关键业

防护

供全面应用防护，如缓冲

务系统服务器提供全面的

区溢出、SQL注入、密码

防护，避免服务器被攻击而

破解、应用探测、跨站脚

导致业务终端

本等

性能

单通道并行扫描机制，实

网络层万兆级性

NGAF：高性能、低延时，确

现应用层万兆级性能，微

能

保实时性要求高的业务稳

妙级延时

定运行