24小時(shí)服務熱(rè)線:深信服下(xià)一代防火牆NGAF
更新時(shí)間:2019-09-23 15:35:49
國内下(xià)一代防火牆******品牌深信服下(xià)一代防火牆(Next-Generation Application Firewall)NGAF是面向應用(yòng)層設計,能夠******識别用(yòng)戶、應用(yòng)和(hé)...
國内下(xià)一代防火牆******品牌
深信服下(xià)一代防火牆(Next-Generation Application Firewall)NGAF是面向應用(yòng)層設計,能夠******識别用(yòng)戶、應用(yòng)和(hé)内容,具備完整安全防護能力,能夠全面替代傳統防火牆,并具有強勁應用(yòng)層處理(lǐ)能力的(de)全新網絡安全設備。NGAF解決了(le)傳統安全設備在應用(yòng)識别、訪問控制、内容安全防護等方面的(de)不足,同時(shí)開啓所有功能後性能不會大(dà)幅下(xià)降。作爲傳統防火牆的(de)升級替代産品,深信服NGAF不同于工作在L2-L4層的(de)傳統防火牆,可(kě)以對(duì)全網流量進行雙向深入數據内容層面的(de)全面透析。在安全策略制定方面,區(qū)域别于傳統防火牆五元組安全策略,深信服NGAF可(kě)對(duì)L2-L7層更多(duō)的(de)元素(如,用(yòng)戶、應用(yòng)類型、URL、數據内容等)制定雙向的(de)安全訪問策略,使安全策略更精細、更有效,且滿足業務的(de)合規性;在安全防護能力方面,提升了(le)傳統的(de)抗攻擊的(de)能力,不僅能防護網絡層的(de)攻擊,針對(duì)來(lái)源更廣泛、攻擊更容易、危害更大(dà)的(de)應用(yòng)層攻擊也(yě)可(kě)以進行防護,實現L2-L7層的(de)安全防護。同時(shí),深信服NGAF采用(yòng)全新的(de)軟硬件架構,減小在多(duō)種複雜(zá)的(de)安全策略和(hé)L2-L7層多(duō)功能防護功能全部開啓時(shí)性能的(de)消耗,實現應用(yòng)層高(gāo)性能。
産品系列型号
| 産品型号 | AF-520 | AF-1020 | AF-1120 | AF-1210 | AF-1300 | AF-1320 | AF-1520 |
| 三層吞吐 | 1Gbps | 1.2Gbps | 2Gbps | 3Gbps | 3Gbps | 5Gbps | 6Gbps |
| 七層吞吐 | 200Mbps | 300Mbps | 400Mbps | 500Mbps | 500Mbps | 700Mbps | 800Mbps |
| 并發連接數 | 250,000 | 250,000 | 250,000 | 1,000,000 | 1,000,000 | 1,000,000 | 1,000,000 |
| 網絡接口 | 3個(gè)千兆電口 |
4個(gè)千兆電口 | 4個(gè)千兆電口 | 6個(gè)千兆電口 | 4個(gè)千兆電口 2個(gè)千兆光(guāng)口 |
6個(gè)千兆電口 | 4個(gè)千兆電口 2個(gè)千兆光(guāng)口 |
| 安裝空間 | 桌面式 | 1U | 1U | 1U | 1U | 1U | 1U |
| 電源 | 單電源 | 單電源 | 單電源 | 單電源 | 單電源 | 單電源 | 單電源 |
| 産品型号 | AF-1720 |
| 三層吞吐 | 8Gbps |
| 七層吞吐 | 1.6Gbps |
| 并發連接數 | 1,000,000 |
| 網絡接口 | 8個(gè)千兆電口 |
| 安裝空間 | 1U |
| 電源 | 單電源 |
産品功能列表
| 項目 | 具體功能 |
| 部署方式 | 支持路由,透明(míng),旁路,虛拟網線,混合部署模式; |
| 實時(shí)監控 | 實時(shí)提供CPU、内存、磁盤占用(yòng)率、會話(huà)數、在線用(yòng)戶數、網絡接口等設備資源信息;提供安全事件信息,包括***近安全事件、服務器安全事件、終端安全事件等,事件信息提供發生事件、源IP、目的(de)IP、攻擊類型以及攻擊的(de)URL等;提供實時(shí)智能模塊間聯動封鎖的(de)源IP以便實現動态智能安全管理(lǐ); |
| 網絡适應性 | 支持ARP代理(lǐ)、靜态ARP綁定,配置DNS及DNS代理(lǐ)、支持DHCP中繼、DHCP服務器、DHCP客戶端;支持SNMP v1,v2,v3,支持SNMP Trap;支持靜态路由、RIP v1/2、OSPF、策略路由;支持鏈路探測,端口聚合,接口聯動; |
| 包過濾與狀态檢測 | 提供靜态的(de)包過濾和(hé)動态包過濾功能;支持的(de)應用(yòng)層報文過濾,包括:應用(yòng)層協議(yì):FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;傳輸層協議(yì):TCP、UDP; |
| NAT地址轉換 | 支持多(duō)個(gè)内部地址映射到同一個(gè)公網地址、多(duō)個(gè)内部地址映射到多(duō)個(gè)公網地址、内部地址到公網地址一一映射、源地址和(hé)目的(de)地址同時(shí)轉換、外部網絡主機訪問内部服務器、支持DNS映射功能;可(kě)配置支持地址轉換的(de)有效時(shí)間;支持多(duō)種NAT ALG,包括DNS、FTP、H.323、SIP等 |
| 抗攻擊特性 | 支持防禦Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺騙攻擊防範、ARP主動反向查詢、TCP報文标志位不合法攻擊防範、支持IP SYN速度限制、超大(dà)ICMP報文攻擊防範、地址/端口掃描的(de)防範、DoS/DDoS攻擊防範、ICMP重定向或不可(kě)達報文控制等功能,此外還(hái)支持靜态和(hé)動态黑(hēi)名單功能、MAC和(hé)IP綁定功能;支持CC攻擊防護; |
| IPSEC VPN | 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算(suàn)法,并且支持擴展國密辦SCB2等其他(tā)加密算(suàn)法支持MD5及SHA-1驗證算(suàn)法;支持各種NAT網絡環境下(xià)的(de)VPN組網;支持第三方标準IPSec VPN進行對(duì)接;*總部與分(fēn)支有多(duō)條線路,可(kě)在線路間一一進行IPSecVPN隧道建立,并設置主隧道及備份隧道,對(duì)主隧道可(kě)進行帶寬疊加、按包或會話(huà)進行流量平均分(fēn)配,主隧道斷開備份隧道自動啓用(yòng),******IPSecVPN連接不中斷;可(kě)爲每一分(fēn)支單獨設置不同的(de)多(duō)線路策略;單臂部署下(xià)同樣支持多(duō)線路策略; |
| SSL VPN | 支持SSL VPN; |
| 應用(yòng)訪問控制策略 | 支持對(duì)1000種以上應用(yòng)、2500種以上應用(yòng)動作,可(kě)以識别P2P、IM、OA辦公應用(yòng)、數據庫應用(yòng)、ERP應用(yòng)、軟件升級應用(yòng)、木(mù)馬外聯、炒股軟件、視頻(pín)應用(yòng)、代理(lǐ)軟件、網銀等協議(yì);支持自定義規則; 提供基于應用(yòng)識别類型、用(yòng)戶名、接口、安全域、IP地址、端口、時(shí)間進行應用(yòng)訪問控制列表的(de)制定; |
| APT檢測 | 内置超過60萬的(de)病毒,木(mù)馬,間諜軟件等惡意軟件特征庫,并且在不斷的(de)持續更新特征内容;支持通(tōng)過安全雲實現虛拟沙盒動态檢測技術。可(kě)檢測未知威脅在沙盒中對(duì)注冊表、文件系統等的(de)修改,通(tōng)過雲端聯動的(de)方式快(kuài)速更新到各節點設備中,可(kě)實現快(kuài)速統一的(de)防護未知攻擊;支持異常流量檢測功能,能夠區(qū)分(fēn)正常業務流量和(hé)潛藏在其中的(de)危險流量。能夠有效區(qū)分(fēn)RDP 、SSH、 IMAP、SMTP、POP3、FTP、 DNS、 HTTP等WEB服務器上常見應用(yòng)流量中的(de)危險流量,也(yě)能對(duì)常規應用(yòng)運行在非标準端口的(de)爲進行預警; |
| IPS入侵防護 | 微軟“MAPP”計劃會員(yuán),漏洞特征庫: 3900+并獲得(de)CVE“兼容性認證證書(shū)”,能夠自動或者手動升級;防護類型包括蠕蟲/木(mù)馬/後門/DoS/DDoS攻擊探測/掃描/間諜軟件/利用(yòng)漏洞的(de)攻擊/緩沖區(qū)溢出攻擊/協議(yì)異常/ IPS逃逸攻擊等;防護對(duì)象分(fēn)爲保護服務器和(hé)保護客戶端兩大(dà)類,便于策略部署;漏洞詳細信息顯示:漏洞ID、漏洞名稱、漏洞描述、攻擊對(duì)象、危險等級、參考信息、地址等内容;支持自動攔截、記錄日志、上傳灰度威脅到“雲端”; |
| Web攻擊防護 | 支持Web攻擊特征數3000+;支持Web網站隐藏,包括HTTP響應報文頭出錯頁面的(de)過濾,Web響應報文頭可(kě)自定義;支持FTP服務應用(yòng)信息隐藏包括:服務器信息、軟件版本信息等;支持OWASP定義10大(dà)web安全威脅,保護服務器免受基于Web應用(yòng)的(de)攻擊,如SQL注入防護、XSS攻擊防護、CSRF攻擊防護;支持Web站點防掃描;可(kě)嚴格控制上傳文件類型,支持識别PHP,JSP,ASP腳本編寫的(de)Webshell腳本文件上傳;支持對(duì)常見Web内容管理(lǐ)系統的(de)防護,如dedecms,phpcms,phpwind,discuz,wordpress,joomla等; |
| 口令暴力破解防護 | 支持對(duì)常見應用(yòng)服務器和(hé)數據庫軟件,如HTTP,FTP,SSH,SMTP,IMAP,MySQL,Oracle,MSSQL等的(de)口令暴力破解防護功能; |
| 敏感信息防洩漏 | 内置常見敏感信息的(de)特征,如身份證信息、MD5、手機号碼、銀行卡号、郵箱等,并可(kě)自定義具有特殊特征的(de)敏感信息;支持正常訪問http連接中非法敏感信息的(de)外洩防護;支持數據庫文件敏感信息檢測,防止數據庫文件被“拖庫”、“暴庫”; |
| 風險評估 | 支持服務器、客戶端的(de)漏洞風險評估功能,支持對(duì)目标IP進行端口、服務掃描;支持ftp、mysql、oracle、mssql、ssh、RDP、網上鄰居NetBIOS、VNC等多(duō)種應用(yòng)的(de)弱口令評估與掃描;支持SQL注入,SQL盲注,跨站腳本攻擊(XSS),跨站請求僞造(CSRF),操作系統命令,本地文件包含,遠(yuǎn)程文件包含,暴力破解,弱密碼登錄,XPATH注入,LDAP注入,服務器端包含(SSI)等豐富的(de)Web應用(yòng)服務漏洞檢測;風險評估可(kě)以實現與FW、IPS、服務器防護模塊的(de)智能策略聯動,自動生成策略; |
| 實時(shí)漏洞分(fēn)析 | 支持對(duì)經過設備的(de)流量被動進行分(fēn)析,分(fēn)析内容包括底層軟件漏洞分(fēn)析,Web應用(yòng)風險分(fēn)析,Web不安全配置檢測以及服務器弱密碼檢測,并實時(shí)生成分(fēn)析報告。具備單獨的(de)針對(duì)服務器安全風險和(hé)潛在威脅的(de)特征識别庫; |
| 業務風險報表 | 提供基于用(yòng)戶/業務的(de)綜合風險報表,統計維度爲用(yòng)戶和(hé)業務而非IP地址;根據網絡風險狀況提供優、良、中、差評級;攻擊統計提供所有檢測攻擊數和(hé)有效攻擊數兩個(gè)維度;報表内容呈現主動掃描的(de)漏洞分(fēn)布情況,匹配攻擊日志輸出已被攻擊的(de)漏洞數和(hé)發現的(de)所有漏洞數的(de)統計報表;業務安全報表提供攻擊分(fēn)析、漏洞評估、業務系統漏洞詳情等信息;用(yòng)戶安全報表提供遭攻擊***多(duō)的(de)用(yòng)戶詳情、異常連接用(yòng)戶詳情等信息;安全風險類型彙總基于業務系統遭受攻擊類型、業務系統存在***多(duō)漏洞類型、用(yòng)戶遭受***多(duō)威脅類型進行統計; |
| 網頁篡改防護 | 網關型網頁防篡改,無需在服務器中安裝任何插件;支持文件比對(duì)、特征碼比對(duì)、網站元素、數字指紋比對(duì)多(duō)種比對(duì)方式,******網站安全;全面保護網站的(de)靜态網頁和(hé)動态網頁,支持網頁的(de)自動發布、篡改檢測、應用(yòng)保護、警告和(hé)自動恢複,******傳輸、鑒别、地址訪問、表單提交、審計等各個(gè)環節的(de)安全,******實時(shí)杜絕篡改後的(de)網頁被訪問的(de)可(kě)能性及任何使用(yòng)Web方式對(duì)後台數據庫的(de)篡改;支持各級頁面模糊框架匹配、******匹配的(de)方式适用(yòng)不同的(de)網頁類型;支持提供管理(lǐ)員(yuán)業務操作界面與網管管理(lǐ)界面分(fēn)離功能,方便業務人(rén)員(yuán)更新網站内容;支持通(tōng)過替換、重定向等技術手段,防護篡改頁面;網站維護管理(lǐ)員(yuán)必須通(tōng)過短信認證才可(kě)進行網站更新業務操作(選配);支持短信報警、郵件報警、控制台報警等多(duō)種篡改報警方式; |
| 病毒防護 | 支持基于流引擎查毒技術,可(kě)以針對(duì)HTTP、FTP、SMTP、POP3等協議(yì)進行查殺;能實時(shí)查殺大(dà)量文件型、網絡型和(hé)混合型等各類病毒;并采用(yòng)新一代虛拟脫殼和(hé)行爲判斷技術,******查殺各種變種病毒、未知病毒;内置10萬條以上的(de)病毒庫,并且可(kě)以自動或者手動升級;檢測到病毒後支持記錄日志、阻斷連接; |
| Web過濾 | 對(duì)用(yòng)戶web行爲進行過濾,保護用(yòng)戶免受攻擊;支持隻過濾HTTP GET、HTTP POST、HTTPS等應用(yòng)行爲;并進行阻斷和(hé)記錄日志;支持針對(duì)上傳、下(xià)載等操作進行文件過濾;支持自定義文件類型進行過濾;支持基于時(shí)間表的(de)策略制定;支持的(de)處理(lǐ)動作包括:阻斷和(hé)記錄日志 |
| 流量管理(lǐ) | 支持将多(duō)條外網線路虛拟映射到設備上,實現對(duì)多(duō)線路的(de)分(fēn)别流控;支持基于應用(yòng)類型、網站類型、文件類型的(de)帶寬劃分(fēn)與分(fēn)配;支持時(shí)間和(hé)IP的(de)帶寬劃分(fēn)與分(fēn)配; |
| 用(yòng)戶管理(lǐ) | 支持基于用(yòng)戶名/密碼、單點登陸以及基于IP地址、MAC地址、計算(suàn)機名的(de)識别等多(duō)種認證方式;支持AD域結合、Proxy、POP3、web表單等多(duō)種單點登陸方式,簡化(huà)用(yòng)戶操作;*可(kě)強制指定用(yòng)戶、指定IP段的(de)用(yòng)戶必須使用(yòng)單點登錄;支持添加到指定本地組、臨時(shí)賬号和(hé)不允許新用(yòng)戶認證等新用(yòng)戶認證策略;支持強制AD域認證,指定用(yòng)戶必須用(yòng)AD域賬戶登錄操作系統,否則禁止上網;認證成功的(de)用(yòng)戶支持頁面跳轉,包括***近請求頁面、管理(lǐ)員(yuán)制定URL、注銷頁面等;支持CSV格式文件導入、掃描導入和(hé)從外部LDAP服務器上導入等賬戶導入方式;用(yòng)戶分(fēn)組支持樹形結構,支持父組、子組、組内套組等組織結構; |
| 關鍵頁面雙因素認證 | 支持管理(lǐ)員(yuán)頁面、管理(lǐ)後台的(de)短信強認證機制,要求至少提供URL、telnet、ssh三種方式的(de)短信認證 |
| 高(gāo)可(kě)用(yòng)性 | 支持A/A,A/S模式部署,支持會話(huà)同步,配置同步和(hé)用(yòng)戶信息同步; |
| 網關管理(lǐ) | 網管管理(lǐ)員(yuán)具備安全管理(lǐ)員(yuán),審計員(yuán)和(hé)系統管理(lǐ)員(yuán)三種權限,安全管理(lǐ)員(yuán)默認隻允許安全策略和(hé)安全日志的(de)查看和(hé)編輯權限;審計員(yuán)默認隻開放數據中心日志的(de)查看和(hé)編輯權限,不具備設備的(de)管理(lǐ)權限;系統管理(lǐ)員(yuán)默認具備除安全功能外的(de)其他(tā)系統管理(lǐ)權限,不具備設備的(de)日志查看權限;支持SSL加密WEB方式管理(lǐ)設備;支持郵件、短信(可(kě)擴展)等告警方式,可(kě)提供管理(lǐ)員(yuán)登錄、病毒、IPS、web攻擊以及日志存儲空間不足等告警設置;提供圖形化(huà)排障工具,便于管理(lǐ)員(yuán)排查策略錯誤等故障;提供路由、網橋、旁路等部署模式的(de)配置引導,提供保護服務器、保護内網用(yòng)戶上網安全、******内網用(yòng)戶上網帶寬、******遭到攻擊及時(shí)提醒和(hé)保留證據等網關應用(yòng)場(chǎng)景的(de)配置引導,簡化(huà)管理(lǐ)員(yuán)配置; |
| 日志管理(lǐ)與報表 | 能夠自定義時(shí)間段查詢DOS攻擊、web防護、IPS、病毒、web威脅、網站訪問、應用(yòng)控制、用(yòng)戶登錄、系統操作等多(duō)種安全日志查詢;提供可(kě)定義時(shí)間内安全趨勢分(fēn)析報表;支持自定義統計指定IP/用(yòng)戶組/用(yòng)戶/應用(yòng)在指定時(shí)間段内的(de)服務器安全風險、終端安全風險等内容,并形成報表;支持将統計/趨勢等報表自動發送到指定郵箱;支持導出安全統計/趨勢等報表,包括網頁、PDF等格式; |
| 全網安全監控平台 | 支持全網集中管控,提供獨立外置數據中心軟件,實時(shí)彙總收集分(fēn)支設備的(de)安全日志,并在外置數據中心集中展現全網所有安全設備的(de)安全狀态,包括安全等級,攻擊趨勢,***近有效事件,用(yòng)戶安全,服務器安全情況以及攻擊來(lái)源,實現數據的(de)實時(shí)彙總,統一分(fēn)析和(hé)統一展現; |