
國內(nèi)下一代防火墻******品牌
深信服下一代防火墻(Next-Generation Application Firewall)NGAF是面向應(yīng)用層設(shè)計,能夠******識別用戶、應(yīng)用和內(nèi)容,具備完整安全防護能力,能夠全面替代傳統(tǒng)防火墻,并具有強勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用識別、訪問控制、內(nèi)容安全防護等方面的不足,同時開啟所有功能后性能不會大幅下降。作為傳統(tǒng)防火墻的升級替代產(chǎn)品,深信服NGAF不同于工作在L2-L4層的傳統(tǒng)防火墻,可以對全網(wǎng)流量進行雙向深入數(shù)據(jù)內(nèi)容層面的全面透析。在安全策略制定方面,區(qū)域別于傳統(tǒng)防火墻五元組安全策略,深信服NGAF可對L2-L7層更多的元素(如,用戶、應(yīng)用類型、URL、數(shù)據(jù)內(nèi)容等)制定雙向的安全訪問策略,使安全策略更精細、更有效,且滿足業(yè)務(wù)的合規(guī)性;在安全防護能力方面,提升了傳統(tǒng)的抗攻擊的能力,不僅能防護網(wǎng)絡(luò)層的攻擊,針對來源更廣泛、攻擊更容易、危害更大的應(yīng)用層攻擊也可以進行防護,實現(xiàn)L2-L7層的安全防護。同時,深信服NGAF采用全新的軟硬件架構(gòu),減小在多種復(fù)雜的安全策略和L2-L7層多功能防護功能全部開啟時性能的消耗,實現(xiàn)應(yīng)用層高性能。
產(chǎn)品系列型號
產(chǎn)品型號 | AF-520 | AF-1020 | AF-1120 | AF-1210 | AF-1300 | AF-1320 | AF-1520 |
三層吞吐 | 1Gbps | 1.2Gbps | 2Gbps | 3Gbps | 3Gbps | 5Gbps | 6Gbps |
七層吞吐 | 200Mbps | 300Mbps | 400Mbps | 500Mbps | 500Mbps | 700Mbps | 800Mbps |
并發(fā)連接數(shù) | 250,000 | 250,000 | 250,000 | 1,000,000 | 1,000,000 | 1,000,000 | 1,000,000 |
網(wǎng)絡(luò)接口 | 3個千兆電口 | 4個千兆電口 | 4個千兆電口 | 6個千兆電口 | 4個千兆電口 2個千兆光口 | 6個千兆電口 | 4個千兆電口 2個千兆光口 |
安裝空間 | 桌面式 | 1U | 1U | 1U | 1U | 1U | 1U |
電源 | 單電源 | 單電源 | 單電源 | 單電源 | 單電源 | 單電源 | 單電源 |
產(chǎn)品型號 | AF-1720 |
三層吞吐 | 8Gbps |
七層吞吐 | 1.6Gbps |
并發(fā)連接數(shù) | 1,000,000 |
網(wǎng)絡(luò)接口 | 8個千兆電口 |
安裝空間 | 1U |
電源 | 單電源 |
產(chǎn)品功能列表
項目 | 具體功能 |
部署方式 | 支持路由,透明,旁路,虛擬網(wǎng)線,混合部署模式; |
實時監(jiān)控 | 實時提供CPU、內(nèi)存、磁盤占用率、會話數(shù)、在線用戶數(shù)、網(wǎng)絡(luò)接口等設(shè)備資源信息;提供安全事件信息,包括***近安全事件、服務(wù)器安全事件、終端安全事件等,事件信息提供發(fā)生事件、源IP、目的IP、攻擊類型以及攻擊的URL等;提供實時智能模塊間聯(lián)動的源IP以便實現(xiàn)動態(tài)智能安全管理; |
網(wǎng)絡(luò)適應(yīng)性 | 支持ARP代理、靜態(tài)ARP綁定,配置DNS及DNS代理、支持DHCP中繼、DHCP服務(wù)器、DHCP客戶端;支持SNMP v1,v2,v3,支持SNMP Trap;支持靜態(tài)路由、RIP v1/2、OSPF、策略路由;支持鏈路探測,端口聚合,接口聯(lián)動; |
包過濾與狀態(tài)檢測 | 提供靜態(tài)的包過濾和動態(tài)包過濾功能;支持的應(yīng)用層報文過濾,包括:應(yīng)用層協(xié)議:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;傳輸層協(xié)議:TCP、UDP; |
NAT地址轉(zhuǎn)換 | 支持多個內(nèi)部地址映射到同一個公網(wǎng)地址、多個內(nèi)部地址映射到多個公網(wǎng)地址、內(nèi)部地址到公網(wǎng)地址一一映射、源地址和目的地址同時轉(zhuǎn)換、外部網(wǎng)絡(luò)主機訪問內(nèi)部服務(wù)器、支持DNS映射功能;可配置支持地址轉(zhuǎn)換的有效時間;支持多種NAT ALG,包括DNS、FTP、H.323、SIP等 |
抗攻擊特性 | 支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺騙攻擊防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、支持IP SYN速度限制、超大ICMP報文攻擊防范、地址/端口掃描的防范、DoS/DDoS攻擊防范、ICMP重定向或不可達報文控制等功能,此外還支持靜態(tài)和動態(tài)黑名單功能、MAC和IP綁定功能;支持CC攻擊防護; |
IPSEC VPN | 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持擴展國密辦SCB2等其他加密算法支持MD5及SHA-1驗證算法;支持各種NAT網(wǎng)絡(luò)環(huán)境下的VPN組網(wǎng);支持第三方標準IPSec VPN進行對接;*總部與分支有多條線路,可在線路間一一進行IPSecVPN隧道建立,并設(shè)置主隧道及備份隧道,對主隧道可進行帶寬疊加、按包或會話進行流量平均分配,主隧道斷開備份隧道自動啟用,******IPSecVPN連接不中斷;可為每一分支單獨設(shè)置不同的多線路策略;單臂部署下同樣支持多線路策略; |
SSL VPN | 支持SSL VPN; |
應(yīng)用訪問控制策略 | 支持對1000種以上應(yīng)用、2500種以上應(yīng)用動作,可以識別P2P、IM、OA辦公應(yīng)用、數(shù)據(jù)庫應(yīng)用、ERP應(yīng)用、軟件升級應(yīng)用、木馬外聯(lián)、炒股軟件、視頻應(yīng)用、代理軟件、網(wǎng)銀等協(xié)議;支持自定義規(guī)則; 提供基于應(yīng)用識別類型、用戶名、接口、安全域、IP地址、端口、時間進行應(yīng)用訪問控制列表的制定; |
APT檢測 | 內(nèi)置超過60萬的病毒,木馬,間諜軟件等惡意軟件特征庫,并且在不斷的持續(xù)更新特征內(nèi)容;支持通過安全云實現(xiàn)虛擬沙盒動態(tài)檢測技術(shù)??蓹z測未知威脅在沙盒中對注冊表、文件系統(tǒng)等的修改,通過云端聯(lián)動的方式快速更新到各節(jié)點設(shè)備中,可實現(xiàn)快速統(tǒng)一的防護未知攻擊;支持異常流量檢測功能,能夠區(qū)分正常業(yè)務(wù)流量和潛藏在其中的危險流量。能夠有效區(qū)分RDP 、SSH、 IMAP、SMTP、POP3、FTP、 DNS、 HTTP等WEB服務(wù)器上常見應(yīng)用流量中的危險流量,也能對常規(guī)應(yīng)用運行在非標準端口的為進行預(yù)警; |
IPS入侵防護 | 微軟“MAPP”計劃會員,漏洞特征庫: 3900+并獲得CVE“兼容性認證證書”,能夠自動或者手動升級;防護類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測/掃描/間諜軟件/利用漏洞的攻擊/緩沖區(qū)溢出攻擊/協(xié)議異常/ IPS逃逸攻擊等;防護對象分為保護服務(wù)器和保護客戶端兩大類,便于策略部署;漏洞詳細信息顯示:漏洞ID、漏洞名稱、漏洞描述、攻擊對象、危險等級、參考信息、地址等內(nèi)容;支持自動攔截、記錄日志、上傳灰度威脅到“云端”; |
Web攻擊防護 | 支持Web攻擊特征數(shù)3000+;支持Web網(wǎng)站隱藏,包括HTTP響應(yīng)報文頭出錯頁面的過濾,Web響應(yīng)報文頭可自定義;支持FTP服務(wù)應(yīng)用信息隱藏包括:服務(wù)器信息、軟件版本信息等;支持OWASP定義10大web安全威脅,保護服務(wù)器免受基于Web應(yīng)用的攻擊,如SQL注入防護、XSS攻擊防護、CSRF攻擊防護;支持Web站點防掃描;可嚴格控制上傳文件類型,支持識別PHP,JSP,ASP腳本編寫的Webshell腳本文件上傳;支持對常見Web內(nèi)容管理系統(tǒng)的防護,如dedecms,phpcms,phpwind,discuz,wordpress,joomla等; |
口令暴力破解防護 | 支持對常見應(yīng)用服務(wù)器和數(shù)據(jù)庫軟件,如HTTP,F(xiàn)TP,SSH,SMTP,IMAP,MySQL,Oracle,MSSQL等的口令暴力破解防護功能; |
敏感信息防泄漏 | 內(nèi)置常見敏感信息的特征,如信息、MD5、、銀行卡號、郵箱等,并可自定義具有特殊特征的敏感信息;支持正常訪問http連接中非法敏感信息的外泄防護;支持數(shù)據(jù)庫文件敏感信息檢測,防止數(shù)據(jù)庫文件被“拖庫”、“暴庫”; |
風(fēng)險評估 | 支持服務(wù)器、客戶端的漏洞風(fēng)險評估功能,支持對目標IP進行端口、服務(wù)掃描;支持ftp、mysql、oracle、mssql、ssh、RDP、網(wǎng)上鄰居NetBIOS、VNC等多種應(yīng)用的弱口令評估與掃描;支持SQL注入,SQL盲注,跨站腳本攻擊(XSS),跨站請求偽造(CSRF),操作系統(tǒng)命令,本地文件包含,遠程文件包含,暴力破解,弱密碼登錄,XPATH注入,LDAP注入,服務(wù)器端包含(SSI)等豐富的Web應(yīng)用服務(wù)漏洞檢測;風(fēng)險評估可以實現(xiàn)與FW、IPS、服務(wù)器防護模塊的智能策略聯(lián)動,自動生成策略; |
實時漏洞分析 | 支持對經(jīng)過設(shè)備的流量被動進行分析,分析內(nèi)容包括底層軟件漏洞分析,Web應(yīng)用風(fēng)險分析,Web不安全配置檢測以及服務(wù)器弱密碼檢測,并實時生成分析報告。具備單獨的針對服務(wù)器安全風(fēng)險和潛在威脅的特征識別庫; |
業(yè)務(wù)風(fēng)險報表 | 提供基于用戶/業(yè)務(wù)的綜合風(fēng)險報表,統(tǒng)計維度為用戶和業(yè)務(wù)而非IP地址;根據(jù)網(wǎng)絡(luò)風(fēng)險狀況提供優(yōu)、良、中、差評級;攻擊統(tǒng)計提供所有檢測攻擊數(shù)和有效攻擊數(shù)兩個維度;報表內(nèi)容呈現(xiàn)主動掃描的漏洞分布情況,匹配攻擊日志輸出已被攻擊的漏洞數(shù)和發(fā)現(xiàn)的所有漏洞數(shù)的統(tǒng)計報表;業(yè)務(wù)安全報表提供攻擊分析、漏洞評估、業(yè)務(wù)系統(tǒng)漏洞詳情等信息;用戶安全報表提供遭攻擊***多的用戶詳情、異常連接用戶詳情等信息;安全風(fēng)險類型匯總基于業(yè)務(wù)系統(tǒng)遭受攻擊類型、業(yè)務(wù)系統(tǒng)存在***多漏洞類型、用戶遭受***多威脅類型進行統(tǒng)計; |
網(wǎng)頁篡改防護 | 網(wǎng)關(guān)型網(wǎng)頁防篡改,無需在服務(wù)器中安裝任何插件;支持文件比對、特征碼比對、網(wǎng)站元素、數(shù)字指紋比對多種比對方式,******網(wǎng)站安全;全面保護網(wǎng)站的靜態(tài)網(wǎng)頁和動態(tài)網(wǎng)頁,支持網(wǎng)頁的自動發(fā)布、篡改檢測、應(yīng)用保護、警告和自動恢復(fù),******傳輸、鑒別、地址訪問、表單提交、審計等各個環(huán)節(jié)的安全,******實時杜絕篡改后的網(wǎng)頁被訪問的可能性及任何使用Web方式對后臺數(shù)據(jù)庫的篡改;支持各級頁面模糊框架匹配、******匹配的方式適用不同的網(wǎng)頁類型;支持提供管理員業(yè)務(wù)操作界面與網(wǎng)管管理界面分離功能,方便業(yè)務(wù)人員更新網(wǎng)站內(nèi)容;支持通過替換、重定向等技術(shù)手段,防護篡改頁面;網(wǎng)站維護管理員必須通過短信認證才可進行網(wǎng)站更新業(yè)務(wù)操作(選配);支持短信報警、郵件報警、控制臺報警等多種篡改報警方式; |
病毒防護 | 支持基于流引擎查毒技術(shù),可以針對HTTP、FTP、SMTP、POP3等協(xié)議進行查殺;能實時查殺大量文件型、網(wǎng)絡(luò)型和混合型等各類病毒;并采用新一代虛擬脫殼和行為判斷技術(shù),******查殺各種變種病毒、未知病毒;內(nèi)置10萬條以上的病毒庫,并且可以自動或者手動升級;檢測到病毒后支持記錄日志、阻斷連接; |
Web過濾 | 對用戶web行為進行過濾,保護用戶免受攻擊;支持只過濾HTTP GET、HTTP POST、HTTPS等應(yīng)用行為;并進行阻斷和記錄日志;支持針對上傳、下載等操作進行文件過濾;支持自定義文件類型進行過濾;支持基于時間表的策略制定;支持的處理動作包括:阻斷和記錄日志 |
流量管理 | 支持將多條外網(wǎng)線路虛擬映射到設(shè)備上,實現(xiàn)對多線路的分別流控;支持基于應(yīng)用類型、網(wǎng)站類型、文件類型的帶寬劃分與分配;支持時間和IP的帶寬劃分與分配; |
用戶管理 | 支持基于用戶名/密碼、單點登陸以及基于IP地址、MAC地址、計算機名的識別等多種認證方式;支持AD域結(jié)合、Proxy、POP3、web表單等多種單點登陸方式,簡化用戶操作;*可強制用戶、IP段的用戶必須使用單點登錄;支持添加到本地組、臨時賬號和不允許新用戶認證等新用戶認證策略;支持強制AD域認證,用戶必須用AD域賬戶登錄操作系統(tǒng),否則禁止上網(wǎng);認證成功的用戶支持頁面跳轉(zhuǎn),包括***近請求頁面、管理員制定URL、注銷頁面等;支持CSV格式文件導(dǎo)入、掃描導(dǎo)入和從外部LDAP服務(wù)器上導(dǎo)入等賬戶導(dǎo)入方式;用戶分組支持樹形結(jié)構(gòu),支持父組、子組、組內(nèi)套組等組織結(jié)構(gòu); |
關(guān)鍵頁面雙因素認證 | 支持管理員頁面、管理后臺的短信強認證機制,要求至少提供URL、telnet、ssh三種方式的短信認證 |
高可用性 | 支持A/A,A/S模式部署,支持會話同步,配置同步和用戶信息同步; |
網(wǎng)關(guān)管理 | 網(wǎng)管管理員具備安全管理員,審計員和系統(tǒng)管理員三種權(quán)限,安全管理員默認只允許安全策略和安全日志的查看和編輯權(quán)限;審計員默認只開放數(shù)據(jù)中心日志的查看和編輯權(quán)限,不具備設(shè)備的管理權(quán)限;系統(tǒng)管理員默認具備除安全功能外的其他系統(tǒng)管理權(quán)限,不具備設(shè)備的日志查看權(quán)限;支持SSL加密WEB方式管理設(shè)備;支持郵件、短信(可擴展)等告警方式,可提供管理員登錄、病毒、IPS、web攻擊以及日志存儲空間不足等告警設(shè)置;提供圖形化排障工具,便于管理員排查策略錯誤等故障;提供路由、網(wǎng)橋、旁路等部署模式的配置引導(dǎo),提供保護服務(wù)器、保護內(nèi)網(wǎng)用戶上網(wǎng)安全、******內(nèi)網(wǎng)用戶上網(wǎng)帶寬、******遭到攻擊及時提醒和保留證據(jù)等網(wǎng)關(guān)應(yīng)用場景的配置引導(dǎo),簡化管理員配置; |
日志管理與報表 | 能夠自定義時間段查詢DOS攻擊、web防護、IPS、病毒、web威脅、網(wǎng)站訪問、應(yīng)用控制、用戶登錄、系統(tǒng)操作等多種安全日志查詢;提供可定義時間內(nèi)安全趨勢分析報表;支持自定義統(tǒng)計IP/用戶組/用戶/應(yīng)用在時間段內(nèi)的服務(wù)器安全風(fēng)險、終端安全風(fēng)險等內(nèi)容,并形成報表;支持將統(tǒng)計/趨勢等報表自動發(fā)送到郵箱;支持導(dǎo)出安全統(tǒng)計/趨勢等報表,包括網(wǎng)頁、PDF等格式; |
全網(wǎng)安全監(jiān)控平臺 | 支持全網(wǎng)集中管控,提供獨立外置數(shù)據(jù)中心軟件,實時匯總收集分支設(shè)備的安全日志,并在外置數(shù)據(jù)中心集中展現(xiàn)全網(wǎng)所有安全設(shè)備的安全狀態(tài),包括安全等級,攻擊趨勢,***近有效事件,用戶安全,服務(wù)器安全情況以及攻擊來源,實現(xiàn)數(shù)據(jù)的實時匯總,統(tǒng)一分析和統(tǒng)一展現(xiàn); |