网络安全等级保护2.0：下一代防火墙AF_技术白皮书.doc

下一代防火墙技术白皮书文档密级：公开 PAGE22 / NUMPAGES41 网络安全等级保护2.0 AF下一代防火墙 产品白皮书 TOC \o "1-2" \h \z \u 1. 概述 3 2. 下一代防火墙核心价值 5 2.1. 全程保护 5 2.2. 全程可视 7 3. 主要功能介绍 10 3.1. 系统架构设计 10 3.2. 基础防火墙特性 12 3.3. 事前风险预知 14 3.4. 事中安全防护 19 3.5. 事后检测及响应 37 3.6.网端云联动 39 4. 部署模式 42 4.1. 网关模式 42 4.2. 网桥模式 43 4.3. 旁路模式 44 4.4. 双机模式 45 4.5. 多分支集中管控 47 5. 市场表现 48 5.1. 高速增长，年复合增长超70% 48 5.2. 众多权威机构一致认可 48 5.3. 为客户需求而持续创新 49 概述 近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0 day漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经捉襟见肘，面临着巨大的挑战。 问题一：传统信息安全建设，以事中防御为主。缺乏事前的风险预知，事后的持续检测及响应能力 传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用UTM/NGFW+WAF的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在事后提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。 问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制 传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。另外在防护机制上只能依赖静态的防御策略进行防护，无法及时应对业务发生的变化，不同安全设备之间也无法形成有效的联动封锁机制，不仅投资高，运维方面也难管理。 深信服下一代防火墙安全理念 深信服通过对以上问题的思考进行了下一代防火墙的产品设计，对下一代防火墙赋予了风险预知、深度安全防护、检测响应的能力，最终形成了全程保护、全程可视的融合安全体系。 融合不是单纯的功能叠加，而是依照业务开展过程中会遇到的各类风险，所提供的对应安全技术手段的融合，能够为业务提供全流程的保护，融合安全包括从事前的资产风险发现，策略有效性检测，到事中所应具备的各类安全防御手段以及事后的持续检测和快速响应机制，并将这一过程中所有的相关信息通过多种方式呈现给给用户。  下一代防火墙核心价值 全程保护 事前预知：资产/脆弱性/策略有效性 深信服AF能够在事前对内部的服务器进行自动识别，并且还能自动识别服务器上开放端口和存在的漏洞，弱密码等风险，同时还能判断识别出的资产是否有对应的安全防护策略以及是否生效。 事中防御：完整的防御体系+安全联动+威胁情报 深信服AF在事中防御层面融合了多种安全技术，提供了L2-7层完整的安全防御体系，确保安全防护不存在短板，同时还能通过安全联动功能加强防御体系的时效性和有效性，包括模块间的联动封锁，同云端安全联动，策略的智能联动等。此外，深信服AF还广泛的开展第三方安全机构合作，通过国家漏洞信息库，谷歌Virustotal恶意链接库等多来源威胁情报的输入，帮助用户能够在安全事件爆发之前就提前做好防御的准备。 事后检测&响应：威胁行为的持续检测&快速响应 传统安全建设主要集中在边界安全防御，缺乏对绕过安全防御措施后的检测及响应能力，如果能做好事后的检测及响应措施，可以极大程度降低安全事件产生的影响。深信服AF融合了事后检测及快速响应技术，即使在黑客入侵之后，也能够帮助用户及时发现入侵后的恶意行为，如检测僵尸主机发起的恶意行为，网页篡改，网站黑链植入及网站Webshell后门检测等，并快速推送告警事件，协助用户进行响应处置。 积极对抗未知威胁攻击 单个组织需要与整个黑产抗衡，包括未知的恶意软件、恶意链接等规则难以快速更新防御的威胁 - 黑产组织会通过出售或租赁其恶意软件，为各式各样的攻击者提供攻击工具。同时，高级规避技术已实现商品化