深信服产品图标

深信服产品图标（共5篇）

1.深信服产品图标 篇一

昨天下午去深信服参加了面试，只有两个面试官，一个是面软件开发的`，一个是面算法的。

我去到的时候3点30分，一个华师的研究生师兄和一个华工的霸王面同学在等，就跟他们聊了一下。

4点45分才轮到我，

面试官先让我自我介绍，我从第三句起就开始说我喜欢算法，最后说到ACM。然后那个面试官就问我ACM比赛中印象最深的是哪几道题，我就说了那道11倍数还有打球的两道水题。然后他就根据笔试试题上面的问题来问我了。基本上都是先让我重新说一下我的思路，然后再根据我的思路来提问题。

1.假设路由器中有n条系统路由，每个路由条目由目标IP和子网掩码组成，现在需要转发网络的数据，请设计一个高效的路由寻找算法。

他另外提问的是：如何在路由器存储的那么多路由地址中查找到要转发的地址?最终我说的方法是用一个平衡二叉树进行查找，没办法，我对查找没研究，只是上午看哈希函数时不小心看到了平衡二叉树。

2.Web Cache(网页内容查找)，要把出现最多的网页的内容存在内存中，如果查不到内容，则放到磁盘里，如果磁盘满了，则把冷网页淘汰掉。请设计一个算法。

答案：设计一个计数器，每使用一次就自增1，当磁盘到达一定量时，把一定的计数器最小的网页从磁盘删去。

他另外提问的问题是：如何查找到某一个网页的Url?也还是类似上面的查找问题。不过看我没怎么主动回答，他也没有深问。

3.请设计一方案，尽可能短在10GB源串(数据保存在硬盘中)寻找某模式串(大小4KB)的最大匹配，在开始模式匹配前，可以对10GB数据进行分析处理，中间的分析数据可以存放在100MB左右的内存内。

他问我对这道题有没有什么想法(我试卷没做，因为只需要三道做2道就好)。这个我暂时想不出来，我就跟他说，暂时没有思路，除非让我多想一下。不过他还是问下一个问题了。

二：算法基础题

1.有a,b,c,d,e五个袋子里面装了26个玻璃球，没有空的也没有相同玻璃球数量的袋子，已知道a+e,b+c,c+d都超过了11个玻璃球，而 a+c小于11个玻璃球，请问有多少种可能的由小到大的组合?(例如1，3，5，7，10，但是1，5，3，7，10不是正确的组合)。解题空有6个空，但不一定都要填。

答：(1)1，3，4，8，10

(2)1，2，3，9，11

(3)2，3，4，8，9

(4)1，2，4，9，10

这道题他居然以为是我以前做过的，汗死，天大的耻辱啊。我再给他讲了一下我的思路，看他才有点相信我是真的第一次做的样子。

2.假设Hash函数是随机的，在n个桶中插入m个元素后平均占用多少个桶?(用数学表达式)

他跟我说了这道题的重大意义，他说这是一个评判该哈希函数好坏的一个依据，我自己讲了哈希函数的基本意义。

更多相关文章推荐：

1.深信服面试经验

2.iphone面试题目

3.应届生面试攻略

4.小公司如何面试员工经验之谈(2)

5.小公司如何面试员工经验之谈

6.电话回访员面试经验(2)

7.小公司如何面试员工经验之谈(3)

8.国考国税公务员面试经验大分享

9.四大会计事务所面试时看重哪些能力

2.深信服产品图标 篇二

目前水电十局网络互联主要存在2个问题:第1个是都江堰办公大楼、下属设计院等二级分公司与十局之间的互联;第2个是十局相关项目组包括海外项目组的移动办公需求。二级分公司主要要求实现快速安全的访问总部OA、财务NC等应用系统。以传统的方式采用VPN构建安全的互联, 除了速度跟不上, 对于项目组出差人员, 在网络环境较差的情况下, 数据传输安全和速度都没有保障, 因此对于这种移动办公项目人员在临时办公地点部署大型安全互联设备显然也不可取。十局考虑的网络方案要求能够在实现安全互联的基础上, 提升出差人员和分公司人员的接入访问速度。

深信服为十局提供了一套解决方案——深信服广域网加速设备集快速TCP、HTP、流缓存、链路缓池等优势技术于一体, 不仅能实现对数据传输速度的提升, 而且还能对应用系统进行优化, 以提升应用系统访问速度。

首先在成都总部以单臂模式部署一台M5400-Q广域网加速设备, 利用深信服广域网加速设备自带的VPN模块构建与二级公司构建安全互联, 启用加速模块后提高分支与总部之间的数据传输速度;其次在分支机构分别部署M5100-Q广域网加速网关, 利用广域网加速设备加速其重要的应用系统和实现数据的快速传输;第三步是和现有VPN的无缝对接, 实现集团公司三级网络安全互联目标;最后是针对出差办公人员的远程接入需求, 采用部署深信服广域网加速设备移动客户端方式接入总部, 实现安全快速的数据传输及提升访问速度。

3.深信服产品图标 篇三

深信服科技董事长兼总裁何朝曦在主题演讲中表示,我们已经进入了业务2.0时代,在这其中,IT技术将越来越凸显价值。“所谓业务2.0,简而言之,是指用户越来越多的业务系统逐渐转移到互联网上,因此需要各种新的前沿网络技术进行支撑。”他说。

深信服副总裁张开翼介绍,前沿网络架构在一些新兴的技术之上,比如架构在员工上网管理、广域网优化、VPN加密技术以及新兴的移动互联网技术上,最终实现IT对业务的感知,形成IT系统与业务系统的互动,达到安全、优化、可管理、创新业务价值的网络建设目标。

正因为认识到网络系统新的变化,深信服将自己定位为新兴网络技术的开发者。何朝曦介绍,深信服未来的技术开发不会关注传统的网络设备市场,如交换机、路由器、存储等领域,而会进一步关注新兴的网络技术领域,如流量优化、负载均衡、应用识别等,因此深信服不会是传统的网络设备厂商,而会是前沿网络设备厂商。

目前,深信服新的前沿网络技术已经应用在多个领域,如电子政务、金融、运营商行业,并得到了用户的首肯。这次参会的300多位用户全是深信服的客户,其中包括国土资源部、云南社保、招商银行、南车集团等大型行业用户。

简讯

唐骏“造假门”引黑客入侵新华都官网

本报讯 近日,作家方舟子连续通过微博炮轰“打工皇帝”唐骏的个人学历造假,引起了社会各界的普遍关注,唐骏担任总裁及CEO的新华都集团官网也被黑客挂上黑链。360安全工程师发现,新华都官网至少已经受到两波不同黑客攻击,建议好奇网友使用360安全浏览器访问该网站,以免遭遇安全风险。360安全工程师表示,挂黑链其实是一种常见的SEO(搜索引擎优化)黑帽手法,网站站长为了提高网站排名和权重,会买通黑客攻入到别人的网站嵌入自己网站的链接,一般网民是看不到的。网站一旦被挂上了黑链,也就意味着该网站或网站服务器已被黑客攻破,轻则沦为色情、游戏等网站的推广工具,重则沦为木马站、钓鱼站,危害极其严重。

网秦截获首个Android手机病毒

本报讯 日前,网秦全球手机安全中心截获了一个名为“安卓短信卧底”(SW.Spyware.A)的手机病毒,以及它的一个变种(SW.Spyware.B)。经证实,这是首款出现在安卓(Android)手机上的病毒。该病毒能窃取手机中的短信内容,造成用户隐私严重泄露,其变种病毒除能窃取短信外还能监控用户的通话记录。目前,网秦手机杀毒Android版已经可以对该病毒进行查杀。

绿盟科技新一代万兆多核抗DDoS产品上市

4.深信服AC系列上网行为管理 篇四

深信服科技在IDC中国发布的2010年下半年中国安全内容管理市场（上网行为管理市场）报告中占有率达到40%，在2009年占有率达到33.8%，蝉联市场占有率第一。

深信服上网行为管理为您解决以下问题：

防止带宽资源滥用

深信服AC系列上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽，保障OA、ERP等办公应用获得足够的带宽支持，提升上网速度和网络办公应用的使用效率。

防止无关网络行为影响工作效率

深信服AC系列上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为，并可根据各组织不同要求进行授权的灵活调整，包括基于不同用户身份差异化授权、智能提醒等。

记录上网轨迹满足法规要求

深信服AC系列上网行为管理产品可以帮助组织详尽记录用户的上网轨迹，做到网络行为有据可查，满足组织对网络行为记录的相关要求、规避可能的法规风险。

管控外发信息，降低泄密风险

深信服AC系列上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为，从事前防范、事中告警、事后追踪等多方面防范泄密，为组织保护信息资产安全，降低网络风险。

掌握组织动态、优化员工管理

深信服AC系列上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工，并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险，而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态，并以此为基础实施组织文化建设、制度改进等针对性措施，从而提高员工管理水平。

为网络管理与优化提供决策依据

深信服AC系列上网行为管理产品提供了丰富的网络可视化报表，能够提供详细报告让管理者清晰掌握互联网流量的使用情况，找到造成网络故障的原因和网络瓶颈所在，从而对精细化管理网络并持续加以优化提供了有效依据。

防止病毒木马等网络风险

通过部署深信服AC系列上网行为管理产品，利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等，从源头上切断病毒、木马的潜入，再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段，实现立体式安全护航，确保组织安全上网。

低成本且有效推行IT制度

深信服AC系列上网行为管理产品能够实现用户网络权限的细致分配以及带宽的优化管理，通过事前精细规范、事中智能提醒、事后报表呈现等手段实现有效管理；通过将是否具备上网权限与用户对IT制度的遵从情况进行绑定，强制要求用户遵从组织IT制度里的各项细则规定（如必须安装指定的杀毒软件或桌面管理软件等），并且可以根据组织要求进行各种智能提醒，通过创新技术的应用，让IT管理制度融入每位用户的日常工作中。

深信服“第二代上网行为管理”推出的上网安全桌面产品，弥补了传统上网行为管理在安全方面的不足。上网安全桌面产品采用了业内领先的“沙盒”以及“重定向”等技术，仅占用电脑极小部分内存，在不改变用户使用习惯、不增加操作复杂度的前提下，将内网与风险重重的互联网隔离开，防止病毒、木马对电脑和内部局域网的侵袭，保护内网电脑与企业信息、个人隐私安全。同时，位于网关处的上网行为管理设备与终端安全桌面形成了端到端的安全解决方案，上网安全桌面与AC设备的恶意网址过滤等创新技术相结合，实现立体式安全护航，形成一套真正适合企业级市场的上网行为管理方案。

目前在上网安全领域，深信服上网安全桌面产品得到了大量客户的认可，已有招商银行等大型金融、企业客户使用。

防止病毒对电脑的破坏：

访问互联网时，常常会无意中下载到一些包含恶意病毒的文件，这些病毒程序通常是极具破坏力的，严重时会造成计算机系统的崩溃。当内网用户使用安全桌面上网，“沙盒”以及“重定向”技术使本机内真实系统与文件、注册表得到了保护，而访问目录权限功能使病毒无法访问继而感染本机内部文件，有效地防止了病毒对本机系统的破坏，弥补传统杀毒产品对安全事件事前防护的不足。

防止电脑数据泄露:

互联网上同样充斥着各种木马程序，当用户上网时，木马就可能通过一封经过伪装的邮件附件，非正规网站上下载的文件，甚至是浏览器程序漏洞，悄悄潜入这台电脑。这样黑客便可以肆无忌惮的通过木马窃取被感染电脑内的文件。当这台电脑存储有个人隐私或企业机密信息时，就会因为信息泄露而造成巨大的经济损失。深信服上网安全桌面产品根据安全规则对本机文件数据进行了隔离，依靠“沙盒”等技术，安全桌面内的任何程序试图获取本机被隔离文件数据的行为都将被禁止，使黑客无从下手，从而有效保护了敏感数据的安全性。

双网隔离保护内网安全：

现在许多互联网病毒都是通过内部局域网进行传播，一旦内部网络中某一用户不慎感染了病毒，则很有可能将病毒传染到内网的其他电脑上，造成企业或组织内部网络瘫痪，业务中断，造成巨大的经济损失。同时IT维护人员重装电脑，恢复网络，疲于奔命，苦不堪言。深信服上网安全桌面通过规则设置对默认桌面和安全桌面进行网络隔离，默认桌面只允许访问局域网，而安全桌面只允许访问Internet，禁止访问局域网，从而做到互联网与内部网络的隔离。当用户通过安全桌面访问互联网时，不小心感染病毒或木马，病毒也无法通过内部网络感染局域网的其它个人主机或服务器设备，木马程序也无法窃取内部网络的数据信息，起到了保护内网安全的作用。

轻量级轻松切换简单易用：

终端在开启了上网安全桌面后，仅占用非常小的CPU和内存，不会给终端系统带来负荷压力。安全桌面和默认桌面通过任务栏、导航条便可轻松切换，操作方便。同时默认桌面的应用程序可以复制到安全桌面，所以用户在安全桌面上网时，可正常使用各应用程序。而Outlook、Foxmail、QQ/MSN聊天记录、收藏夹等办公必备的软件属于白名单进程，当安全桌面重启时，这些软件产生的日志不会被删除，可以继续使用。安全性与工作效率两手抓！

端到端部署管理便捷：

大多的杀毒产品提供的并非企业级解决方案，所以在组织中强制每个用户去安装并及时更新杀毒产品，是一件非常困难的事情。位于终端的上网安全桌面与深信服第二代上网行为管理产品组成了端到端的企业级管理解决方案。IT管理员通过位于网关处的上网行为管理设备向终端安全桌面统一下发网络和数据访问权限策略，实现了终端安全的统一管理，简单方便。

5.深信服产品图标 篇五

深信服下一代防火墙NGAF 技术白皮书

深信服科技有限公司 二零一四年四月 / 28

NGAF技术白皮书文档密级：公开

目录

目录..................................................................................................................................................2一、二、2.1 2.2 概述...................................................................................................................................4 为什么需要下一代防火墙...............................................................................................4 网络发展的趋势使防火墙以及传统方案失效...........................................................4 现有方案缺陷分析.......................................................................................................5 2.2.1 2.2.2 2.2.3 2.2.4三、四、4.1 4.2 单一的应用层设备是否能满足？...................................................................5 “串糖葫芦式的组合方案”...........................................................................5 UTM统一威胁管理..........................................................................................6 其他品牌下一代防火墙能否解决？...............................................................6

深信服下一代防火墙定位...............................................................................................6 深信服下一代防火墙—NGAF..........................................................................................7 产品设计理念...............................................................................................................7 产品功能特色...............................................................................................................7 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 可视的网络安全情况.......................................................................................7 强化的应用层攻击防护.................................................................................12 独特的双向内容检测技术.............................................................................17 智能的网络安全防御体系.............................................................................19 更高效的应用层处理能力.............................................................................20 涵盖传统安全功能.........................................................................................21 4.3 产品优势技术.............................................................................................................21 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 深度内容解析.................................................................................................21 双向内容检测.................................................................................................22 分离平面设计.................................................................................................22 单次解析架构.................................................................................................23 多核并行处理.................................................................................................24 智能联动技术.................................................................................................24 Regex正则引擎..............................................................................................24

五、部属方式.........................................................................................................................25

/ 28

NGAF技术白皮书文档密级：公开

5.1 5.2 5.3 5.4

六、互联网出口-内网终端上网........................................................................................25 互联网出口-服务器对外发布....................................................................................26 广域网边界安全隔离.................................................................................................26 数据中心.....................................................................................................................27 关于深信服.....................................................................................................................27

/ 28

NGAF技术白皮书文档密级：公开

一、概述

防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员，通过有限的防御方式对风险进行防护，成本高，效率低，安全防范手段有限。而下一代防火墙则形如机场的整体安检系统，除了包括原有的安检人员/传统防火墙功能外，还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后，于2011年正式发布深信服“下一代防火墙”——NGAF。

二、为什么需要下一代防火墙

2.1 网络发展的趋势使防火墙以及传统方案失效

近几年来，越来越多的安全事故告诉我们，安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化，网络攻击愈加频繁，客户对自己的网络安全建设变得越来越不自信。到底怎么加强安全建设？安全建设的核心问题是什么？采用什么安全防护手段更为合适？已成为困扰用户安全建设的关键问题。

问题一：看不看得到真正的风险？

一方面，只有看到L2-7层的攻击才能了解网络的整体安全状况，而基于多产品组合方案大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。另一方面，没有攻击并不意味着业务就不存在漏洞，一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着业务安全威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案，就无法让客户看到网络和业务的真实的安全情况。

问题二：防不防得住潜藏的攻击？

一方面，防护技术不能存在短板，存在短板必然会被绕过，原有设备就形同虚设；另一

/ 28

NGAF技术白皮书文档密级：公开

方面，单纯防护外部黑客对内网终端和服务器的攻击是不够的，终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测，进而才能找到黑客针对内网的控制通道，同时发现泄密的风险，最后通过针对性的安全防护技术加以防御。

综上所述，真正能看到攻击与业务漏洞，及时查漏补缺，并能及时防住攻击才是最有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢？

2.2 现有方案缺陷分析

2.2.1

单一的应用层设备是否能满足？

1、入侵防御设备

应用安全防护体系不完善，只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。缺乏攻击事后防护机制，不具备数据的双向内容检测能力，对未知攻击产生的后果无能为力，如入侵防御设备无法应对来自于web网页上的SQL，XSS漏洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。

2、Web应用防火墙

传统Web防火墙面对当前复杂的业务流量类型处理性能有限，且只针对来自Web的攻击防护，缺乏针对来自应用系统底层漏洞的攻击特征，缺乏基于敏感业务内容的保护机制，只能提供简单的关键字过滤功能，无法对Web业务提供L2-L7层的整体安全防护。

2.2.2 “串糖葫芦式的组合方案”

由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案，形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+„„的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷，对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中，管理人员通常会遇到如下的困难：

一，有几款设备就可以看到几种攻击，但是是割裂的难以对安全日志进行统一分析；有攻击才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导客户进行安全建设；

二，有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流进行防护，在面临新的未

/ 28

NGAF技术白皮书文档密级：公开

知攻击的情况下缺乏有效防御措施，还是存在被绕过的风险。

2.2.3

UTM统一威胁管理

2004年IDC推出统一威胁管理UTM的概念。这种设备的理念是将多个功能模块集中如：FW、IPS、AV，联合起来达到统一防护，集中管理的目的。这无疑给安全建设者们提供了更新的思路。事实证明国内市场UTM产品确实得到用户认可，据IDC统计数据09年UTM市场增长迅速，但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合，传统防火墙安全与管理上的问题依然存在，比如缺乏对WEB服务器的有效防护等；另外，UTM开启多个模块时是串行处理机制，一个数据包先过一个模块处理一遍，再重新过另一个模块处理一遍，一个数据要经过多次拆包，多次分析，性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用，而NGFW才适合员工大于1000人以上规模的大型企业使用。”

2.2.4 其他品牌下一代防火墙能否解决？

大部分下一代防火墙只能看到除web攻击外的大部分攻击，极少部分下一代防火墙能够看到简单的WEB攻击，但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性；另外，大部分下一代防火墙防不住web攻击，也不对服务器/终端主动向外发起的业务流进行防护，比如信息泄露、僵尸网络等，应对未知攻击的方式比较单一，只通过简单的联动防护，仍有被绕过的风险。

三、深信服下一代防火墙定位

全球最具权威的IT研究与顾问咨询公司——Gartner，在2009年发布了一份名为《Defining the Next-Generation Firewall》的文章，给出了真正能够满足用户当前安全需求的下一代防火墙定义：下一代防火墙是一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检测系统混为一谈，后者只包含了日常的或是非企业级的防火墙，或者把防火墙和IPS简单放到一个设备里，整合的并不紧密。

结合目前国内的互联网安全环境来看，更多的安全事件是通过Web层面的设计漏洞被黑客利用所引发。据统计，国内用户上网流量与对外发布业务流量混合在一起的比例超过50%。以政府为例，60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。在这种场景下，如果作为出口安全网关的防火墙不具备Web应用防护能力，那么在新出现的APT攻击的大环

/ 28

NGAF技术白皮书文档密级：公开

境下，现有的安全设备很容易被绕过，形同虚设，下一代防火墙做为一款融合型的安全产品，不能存针对基于Web的应用安全短板。做为国内下一代防火墙产品的领导者，和公安部第二代防火墙标准制定的参与者，深信服走在前沿，在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中，深信服下一代防火墙（Next-Generation Application Firewall）NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整的L2-L7层的安全防护体系，强化了在Web层面的应用防护能力，不仅能够全面替代传统防火墙，并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。

四、深信服下一代防火墙—NGAF

4.1 产品设计理念

更精细的应用层安全控制：

贴近国内应用、持续更新的应用识别规则库

识别内外网超过1500多种应用、3000多种动作（截止2014年2月14日）支持包括AD域、Radius等8种用户身份识别方式 面向用户与应用策略配置，减少错误配置的风险

更全面的内容级安全防护：

基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲

强化的WEB应用安全，支持多种SQL注入防范、XSS攻击、CSRF、权限控制等 完整的终端安全保护，支持漏洞、病毒防护等

双向内容检测，功能防御策略智能联动 更高性能的应用层处理能力：

单次解析架构实现报文一次拆解和匹配 多核并行处理技术提升应用层分析速度 Regex正则表达引擎提升规则解析效率 全新技术架构实现应用层万兆处理能力

更完整的安全防护方案 可替代传统防火墙/VPN、IPS所有功能，实现内核级联动

4.2 产品功能特色

4.2.1 可视的网络安全情况

/ 28

NGAF技术白皮书文档密级：公开

NGAF独创的应用可视化技术，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆脱了过去只能通过IP地址来控制的尴尬，即使加密过的数据流也能应付自如。目前，NGAF的应用可视化引擎不但可以识别1200多种的内外网应用及其2700多种应用动作，还可以与多种认证系统（AD、LDAP、Radius等）、应用系统（POP3、SMTP等）无缝对接，自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组结构；既满足了普通互联网边界行为管控的要求，同时还满足了在内网数据中心和广域网边界的部署要求，可以识别和控制丰富的内网应用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。因此，通过应用可视化引擎制定的L4-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。4.2.1.1 可视化的网络应用 随着网络攻击不断向应用层业务系统转移，传统的网络层防火墙已经不能有效实施防护。因此，作为企业网络中最重要的屏障，如何帮助用户实现针对所有业务的安全可视化变得十分重要。NGAF以精确的应用识别为基础，可以帮助用户恢复对网络中各类流量的掌控，阻断或控制不当操作，根据企业自身状况合理分配带宽资源等。

NGAF的应用识别有以下几种方式：

第一，基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的协议，其端口通常是相对稳定,可以根据端口快速识别应用。第二，基于应用特征码的识别，深入读取IP包载荷的内容中的OSI七层协议中的应用层信息，将解包后的应用信息与后台特征库进行比较来确定应用类型。第三，基于流量特征的识别，不同的应用类型体现在会话连接或数据流上的状态各有不同，例如，基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等；NGAF基于这一系列流量的行为特征，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。4.2.1.2 可视化的业务和终端安全

NGAF可对经过设备的流量进行实时流量分析，相比主动漏洞扫描工具或者是市场的漏扫设备，被动漏洞分析最大的优势就在于能实时发现客户网络环境的安全缺陷，且不会给网

/ 28

NGAF技术白皮书文档密级：公开

络产生额外的流量。此模块设计的初衷就是希望能够实时发现和跟踪网络中存在的主机、服务和应用，发现服务器软件的漏洞，实时分析用户网络中存在的安全问题，为用户展现AF的安全防护能力。实时漏洞分析功能主要可以帮助用户从以下几个方面来被动的对经过的流量进行分析：  底层软件漏洞分析

实时分析网络流量，发现网络中存在漏洞的应用，把漏洞的危害和解决方法通过日志和报表进行展示，支持的应用包括：HTTP服务器(Apache、IIS)，FTP服务器(FileZilla)，Mail服务器(Exchange)，Realvnc，OpenSSH，Mysql，DB，SQL，Oracle等  Web应用风险分析

针对用户WEB应用系统中存在的如下风险和安全问题进行分析：

1.SQL注入、文件包含、命令执行、文件上传、XSS攻击、目录穿越、webshell； 2.发现网站/OA存在的设计问题，包括： a)在HTTP请求中直接传SQL语句； b)在HTTP请求中直接传javascript代码；

c)URL包含敏感信息：如user、username、pass、password、session、jsessionid、sessionid等；

3.支持第三方插件的漏洞检测，如：媒体库插件jplayer，论坛插件 discuz，网页编辑器 fckeditor，freetextbox，ewebeditor，webhtmleditor，kindeditor等  Web不安全配置检测

各种应用服务的默认配置存在安全隐患，容易被黑客利用，例如，SQL Server 的默认安装，就具有用户名为sa，密码为空的管理员帐号。不安全的默认配置，管理员通常难以发觉，并且，随着服务的增多，发现这些不安全的配置就更耗人力。

NGAF支持常用Web服务器不安全配置检测，如Apache的httpd.conf配置文件，IIS的metabase.xml配置文件，nginx的web.xml和 nginx.conf配置文件，Tomcat的server.xml配置文件，PHP的php.ini配置文件等等，同时也支持操作系统和数据库配置文件的不安全配置检测，如Windows的ini文件，Mysql的my.ini，Oracle的sqlnet.ora等等。 弱口令检测

支持FTP，POP3，SMTP，Telnet，Web，Mysql，LDAP，AD域等协议或应用的弱口令检查。

/ 28

NGAF技术白皮书文档密级：公开

另外，NGAF还提供强大的综合风险报表功能。能够从业务和用户两个维度来对可网络中的安全状况进行全面评估，区分检测到的攻击和其中真正有效的攻击次数，并针对攻击类型，漏洞类型和威胁类型进行详细的分析给提供相应的解决建议，同时还能够针对预先定义好的业务系统进行威胁分析，还原给客户一个网络真实遭受到安全威胁的情况。4.2.1.3 智能用户身份识别 网络中的用户并不一定需要平等对待，通常，许多企业策略仅仅是允许某些IP段访问网络及网络资源。NGAF提供基于用户与用户组的访问控制策略，它使管理员能够基于各个用户和用户组（而不是仅仅基于 IP 地址）来查看和控制应用使用情况。在所有功能中均可获得用户信息，包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。

1、映射组织架构

NGAF可以按照组织的行政结构建立树形用户分组，将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，NGAF能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便管理员管理。此外，NGAF支持账户自动创建功能，依据管理员分配好的IP段与用户组的对应关系，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC，并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件，将账户导入，实现快捷的创建用户和分组信息。

2、建立身份认证体系

 本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定  第三方认证：AD、LDAP、Radius、POP3、PROXY等；  单点登录：AD、POP3、Proxy、HTTP POST等；

 强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等）丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树形用户分组，映射组织行政结构，实现用户与资源的一一对应。NGAF支持为未认证通过的用户分配受限的网络访问权限，将通过Web认证的用户重定向至显示指定网页，方便组织管理员发布通知。4.2.1.4 面向用户与应用的访问控制策略 当前的网络环境，IP不等于用户，端口不等于应用。而传统防火墙的基于IP/端口的控

/ 28

NGAF技术白皮书文档密级：公开

制策略就会失效，用户可以轻易绕过这些策略，不受控制的访问互联网资源及数据中心内容，带来巨大的安全隐患。NGAF不仅具备了精确的用户和应用的识别能力，还可以针对每个数据包找出相对应的用户角色和应用的访问权限。通过将用户信息、应用识别有机结合，提供角色为应用和用户的可视化界面，真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制，制定出L4-L7层一体化基于用户应用的访问控制策略，而不是仅仅看到IP地址和端口信息。在这样的信息帮助下，管理员可以真正把握安全态势，实现有效防御，恢复了对网络资源的有效管控。

4.2.1.5 基于应用的流量管理 传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发，当用户带宽流量过大、垃圾流量占据大量带宽，而这些流量来源于同一合法端口的不同非法应用时，传统防火墙的QOS便失去意义。NGAF提供基于用户和应用的流量管理功能，能够基于应用做流量控制，实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。

NGAF采用了队列流量处理机制：

首先，将数据流根据各种条件进行分类（如IP地址，URL，文件类型，应用类型等分类，11 / 28

NGAF技术白皮书文档密级：公开

像skype、emule属于P2P类）然后，分类后的数据包被放置于各自的分队列中，每个分类都被分配了一定带宽值，相同的分类共享带宽，当一个分类上的带宽空闲时，可以分配给其他分类，其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽，提高了带宽限制的精确度。最后，在数据包的出口处，每个分类具备一个优先级别，优先级高的队列先发送，当优先级高的队列中的数据包全部发送完毕后，再发送优先级低的。也可以为分队列设置其它排队方法，防止优先级高的队列长期占用网络接口。 基于应用/网站/文件类型的智能流量管理 NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配，如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用，又提升带宽使用效率。

 P2P的智能识别与灵活控制 封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。NGAF不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难，NGAF的P2P流控技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。

4.2.2 强化的应用层攻击防护

4.2.2.1 基于应用的深度入侵防御 NGAF的灰度威胁关联分析引擎具备4000+条漏洞特征库、3000+Web应用威胁特征库，可以全面识别各种应用层和内容级别的单一安全威胁；另外，深信服凭借在应用层领域10年以上的技术积累，组建了专业的安全攻防团队，可以为用户定期提供最新的威胁特征库更新，以确保防御的及时性。下图为灰度威胁关联分析引擎的工作原理：

/ 28

NGAF技术白皮书文档密级：公开

第一,威胁行为建模,在灰度威胁样本库中，形成木马行为库、SQL攻击行为库、P2P行为库、病毒蠕虫行为库等数十个大类行为样本，根据他们的风险性我们初始化一个行为权重，如异常流量0.32、病毒蠕虫0.36等等，同时拟定一个威胁阀值，如阀值=1。

第二，用户行为经过单次解析引擎后，发现攻击行为，立即将相关信息，如IP、用户、攻击行为等反馈给灰度威胁样本库。第三，在灰度威胁样本库中，针对单次解析引擎的反馈结果，如攻击行为、IP、用户等信息，不断归并和整理，形成了基于IP、用户的攻击行为的表单。第四，基于已有威胁样本库，将特定用户的此次行为及样本库中的行为组合，进行权值计算和阀值比较，例如某用户的行为组权重之和为1.24，超过了预设的阀值1，我们会认定此类事件为威胁事件。由此可见，威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的 13 / 28

NGAF技术白皮书文档密级：公开

要求，NGAF在两方面得以增强： 第一，通过NGAF抓包，客户可以记录未知流量并提交给深信服的威胁探针云，在云中心，深信服专家会对威胁反复测试，加快灰度威胁的更新速度，不断丰富灰度威胁样本库。第二，深信服不断的循环验证和权重微调，形成了准确的权重知识库，为检测未知威胁奠定了基础。

4.2.2.2 强化的WEB攻击防护 NGAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击，并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书（最高评级为5星，深信服NGAF为国内同类产品评分最高）主要功能如： 防SQL注入攻击 SQL注入攻击产生的原因是由于在开发web应用时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。NGAF可以通过高效的URL过滤技术，过滤SQL注入的关键信息，从而有效的避免网站服务器受到SQL注入攻击。

防XSS跨站脚本攻击 跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码，从而达到特殊目的。NGAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的跨站攻击的恶意代码，从而保护用户的WEB服务器安全。防CSRF攻击 CSRF即跨站请求伪造，从成因上与XSS漏洞完全相同，不同之处在于利用的层次上，CSRF是对XSS漏洞更高级的利用，利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话，攻击者可以与运行于用户浏览器中的脚本代码交互，使攻击者以受攻击浏览器用户的权限执行恶意操作。NGAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的CSRF的攻击代码，防止WEB系统遭受跨站请求伪造攻击。主动防御技术 主动防御可以针对受保护主机接受的URL请求中带的参数变量类型，以及变量长度按照设定的阈值进行自动学习，学习完成后可以抵御各种变形攻击。另外还可以通过自定义参

/ 28

NGAF技术白皮书文档密级：公开

数规则来更精确的匹配合法URL参数，提高攻击识别能力。应用信息隐藏 NGAF对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如： HTTP出错页面隐藏：用于屏蔽Web服务器出错的页面，防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露，应使用自定义页面返回。

HTTP(S)响应报文头隐藏：用于屏蔽HTTP(S)响应报文头中特定的字段信息。

FTP信息隐藏：用于隐藏通过正常FTP命令反馈出的FTP服务器信息，防止黑客利用FTP软件版本信息采取有针对性的漏洞攻击。URL防护 Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统，但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的受限URL防护功能，帮助用户选择特定URL的开放对象，防止由于过多的信息暴露于公网产生的威胁。弱口令防护 弱口令被视为众多认证类web应用程序的普遍风险问题，NGAF通过对弱口令的检查，制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。HTTP异常检测 通过对HTTP协议内容的单次解析，分析其内容字段中的异常，用户可以根据自身的Web业务系统来量身定造允许的HTTP头部请求方法，有效过滤其他非法请求信息。文件上传过滤 由于web应用系统在开发时并没有完善的安全控制，对上传至web服务器的信息进行检查，从而导致web服务器被植入病毒、木马成为黑客利用的工具。NGAF通过严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性，以达到保护web服务器安全的目的。用户登录权限防护 针对某些特定的敏感页面或者应用系统，如管理员登陆页面等，为了防止黑客访问并不断的进行登录密码尝试，NGAF可以提供访问URL登录进行短信认证的方式，提高访问的安全性。

/ 28

NGAF技术白皮书文档密级：公开

缓冲区溢出检测 缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。NGAF通过对URL长度，POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。4.2.2.3 全面的终端安全保护

传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒，很多用户在部署过防病毒软件之后，终端的安全事件依然频发，如何完整的保护终端成为众多用户关注的焦点。尤其是最近几年，互联网不断披露的一些安全事件都涉及到了一种新型，复杂，存在长期影响的攻击行为——APT。

APT 全称Advanced Persistent Threat（高级持续性威胁），是以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

传统防毒墙和杀毒软件查杀病毒木马的效果有限，在APT场景下，因为无法解读数据的应用层内容以及木马的伪装技术逃逸杀毒软件的检测，传统防毒墙和杀毒软件更是形同虚设，因此需要一种全面的检测防护机制，用于发现和定位内部网络受病毒木马感染的机器。

APT检测

NGAF的APT检测功能主要解决的问题：针对内网PC感染了病毒、木马的机器，其病毒、木马试图与外部网络通信时，AF识别出该流量，并根据用户策略进行阻断和记录日志。帮助客户能够定位出那台PC中毒，并能阻断其网络流量，避免一些非法恶意数据进入客户端，起到更好的防护效果。

NGAF的APT检测功能主要由两部分检测内容来实现： 1.远控木马检测

在应用特征识别库当中存在一类木马控制的应用分类。这部分木马具有较明显的网络恶意行为特征，且行为过程不经由HTTP协议交互，故通过专门制作分析的应用特征来进行识别。如灰鸽子，炽天使，冰河木马，网络守望者等等。此种类型的木马也随深信服应用识别规则库的更新而更新。

2.僵尸网络检测

/ 28

NGAF技术白皮书文档密级：公开

僵尸网络检测主要是通过匹配内置的僵尸网络识别库来实现。该特征库包含木马，广告软件，恶意软件，间谍软件，后门，蠕虫，漏洞，黑客工具，病毒9大分类。特征库的数量目前已达数十万，并且依然以每两周升级一次的速度进行更新。

除了APT攻击检测功能，深信服在终端安全防护方面还提供了基于漏洞和病毒特征的增强防护，确保终端的全面安全

终端漏洞防护 内网终端仍然存在漏洞被利用的问题，多数传统安全设备仅仅提供基于服务器的漏洞防护，对于终端漏洞的利用视而不见。NGAF同时提供基于终端的漏洞保护能防护如：后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护，有效防止了终端漏洞被利用而成为黑客攻击的跳板。

终端病毒防护 NGAF提供基于终端的病毒防护功能，从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，亦可查杀压缩包（zip，rar，7z等）中的病毒，内置百万级别病毒样本，确保查杀效果。

4.2.2.4 专业攻防研究团队确保持续更新 NGAF的统一威胁识别具备4000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、3000+Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得CVE兼容性认证（CVE Compatible）。深信服凭借在应用层领域7年以上的技术积累组建了专业的安全攻防团队，作为微软的MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软发布安全更新前获得漏洞信息，为客户提供更及时有效的保护，以确保防御的及时性。

4.2.3 独特的双向内容检测技术

只提供基于应用层安全防护功能的方案，并不是一个完整的安全方案，对于服务器的保护传统解决方案通常是通过防火墙、IPS、AV、WAF等设备的叠加来达到多个方面的安全防护效果。这种方式功能模块的分散，虽然能防护主流的攻击手段，但并不是真正意义上的统一防护。这既增加了成本，也增加了组网复杂度、提升了运维难度。从技术角度来说，一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法，如果将这些威胁割裂开处理进行防护，各种防护设备之间缺乏智能的联动，很容易出现“三不管”的 17 / 28

NGAF技术白皮书文档密级：公开

灰色地带，出现防护真空。比如当年盛极一时的蠕虫“SQL Slammer”，在发送应用层攻击报文之前会发送大量的“正常报文”进行探测，即使IPS有效阻断了攻击报文，但是这些大量的“正常报文”造成了网络拥塞，反而意外的形成了DOS攻击，防火墙无法有效防护。

因此，“具备完整的L2-L7完整的安全防护功能”就是Gartner定义的“额外的防火墙智能”实现前提，才能做到真正的内核级联动，为用户的业务系统提供一个真正的“铜墙铁壁”。

4.2.3.1 网关型网页防篡改 网页防篡改是NGAF服务器防护中的一个子模块，其设计目的在于提供的一种事后补偿防护手段，即使黑客绕过安全防御体系修改了网站内容，其修改的内容也不会发布到最终用户处，从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。

/ 28

NGAF技术白皮书文档密级：公开

NGAF通过网关型的网页防篡改（对服务器“0”影响），第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重定向功能，提供正常界面、友好界面、web备份服务器的重定向，保证用户仍可正常访问网站。NGAF网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安装第三方软件，易于使用和维护，在防篡改部分基于网络字节流的检测与恢复，对服务器性能没有影响。

4.2.3.2 可定义的敏感信息防泄漏 NGAF提供可定义的敏感信息防泄漏功能，根据储存的数据内容可根据其特征清晰定义，通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断，防止大量敏感信息被非法泄露。（如：用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码„„）4.2.3.3 应用协议内容隐藏 NGAF可针对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。

4.2.4 智能的网络安全防御体系

/ 28

NGAF技术白皮书文档密级：公开

4.2.5.1 风险评估与策略联动 NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题，并做出有针对性的防护策略。4.2.5.2 智能的防护模块联动 智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动，如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击，提高攻击成本，可抑制APT攻击的发生。同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。4.2.5.3 智能建模及主动防御

NGAF提供智能的自主学习以及自动建模技术，通过匹配防护URL中的参数，学习参数的类型和一般长度，当学习次数累积达到预设定的阈值时，则会加入到白名单列表，后续过来的请求只要符合改白名单规则则放行，不符合则阻断。可实现网络的智能管理，简化运维。

4.2.5

更高效的应用层处理能力

为了实现强劲的应用层处理能力，NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层

/ 28

NGAF技术白皮书文档密级：公开

重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术；在系统架构上，NGAF也放弃了UTM多引擎，多次解析的架构，而采用了更为先进的一体化单次解析引擎，将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配，从而提升了工作效率，实现了万兆级的应用安全防护能力。

4.2.6 涵盖传统安全功能

NGAF除了关注来自应用层的威胁以外，也涵盖了传统防火墙的所有基础功能，使得客户在使用原有传统防火墙的基础上可以实现无缝切换到下一代防火墙。4.2.4.1 智能DOS/DDOS攻击防护

NGAF采用自主研发的DOS攻击算法，可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，实现L2-L7层的异常流量清洗。4.2.4.2 融合领先的IPSecVPN

NGAF融合了国内市场占有率第一的IPSec VPN模块，实现高安全防护、高投资回报的分支机构安全建设目标，并支持对加密隧道数据进行安全攻击检测，对通道内存在的IPS攻击威胁进行流量清洗，全面提升广域网隔离的安全性。4.2.4.3 统一集中管理平台

NGAF提供统一集中管理平台实现对分支各设备的集中监管，可实现各分支设备的硬件资源情况实时上报以及安全日志汇总，集中管理配置下发与远程独立配置，提高管理效率，简化运维成本。

4.2.4.4 灵活的应用部署方式

NGAF支持多种部署模式，包括可以在互联网出口做代理网关，或在不改变客户原有拓扑的情况下可做透明桥接或数据转发更高效的虚拟网线模式，同时也支持在交换机上做镜像把数据映射一份到设备做旁路部署以及支持二、三层接口混合使用的混合部署等，另外还提供了端口链路聚合功能，提高链路带宽和可靠性。对于数据请求和回复包走不同路由或者数据包两次通过不同接口穿过设备的的非对称路由部署环境，NGAF也能灵活支持。

4.3 产品优势技术

4.3.1 深度内容解析

NGAF的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测，而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客

/ 28

NGAF技术白皮书文档密级：公开 的攻击行为，有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备防御威胁种类单一，威胁检测经常出现漏报、误报的问题，可以帮助用户最大程度减少风险短板的出现，保证业务系统稳定运行。4.3.2 双向内容检测

深信服的双向内容检测技术，主要是针对攻击事件发生前的预防以及攻击事件发生后的检测补救措施，通过对服务器发起的请求以及服务器的回复包进行双向内容检测，使得敏感数据信息不被外发，黑客达不到攻击的最终目的。4.3.3 分离平面设计

/ 28

NGAF技术白皮书文档密级：公开

NGAF通过软件设计将网络层和应用层的数据处理分离，在底层通过应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层，如若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发。实现数据报文的高效，可靠处理。4.3.4 单次解析架构

要进行应用层威胁过滤，就必须将数据报文重组才能检测，而报文重组、特征检测都会极大地消耗内存和CPU，因而UTM的多引擎，多次解析架构工作效率低下。因此，NGAF所采用的单次解析引擎通过统一威胁特征、统一匹配引擎，针对每个数据包做到了只有一次报文重组和特征匹配，消除了重复性工作对内存和资源的占用，从而系统的工作效率提高了70%-80%。但这种技术的一个关键要素就是统一特征库，这项技术的难度在于需要找到一种全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述，这就好比是八个不同国家语言的人要想彼此无障碍交流，最笨的办法是学会7种语言，但明显不可行；

/ 28

NGAF技术白皮书文档密级：公开

因此，需要一种全新的国际语言来完成，从而提高可行性，又降低了工程的复杂度。4.3.5 多核并行处理

现在CPU核越来越多，从双核到4核，再从4核到8核，16核，现在还有128核的CPU了。这样来看，如果1个核能够做到1个G，那么16个核不就能够超过10个G了吗? 但是通常设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是独立的，但是有很多资源是共享的，包括CPU的Cache，内存，这些核在访问共享资源的时候是要等其他核释放资源的，因此很多工作只能串行完成。同时NGAF的多核并行处理技术进行了大量的优化工作----减少临界资源的访问，除了在软件处理流程的设计上尽量减少临界资源以及临界资源的访问周期，还需要充分利用读写锁、原子操作、内存镜像等机制来提高临界资源的访问效率。4.3.6 智能联动技术

4.3.7 Regex正则引擎

/ 28

NGAF技术白皮书文档密级：公开

NGAF使用正则表达式对流量的内容进行匹配，正则表达式是一种识别特定模式数据的方法，可以精确识别网络中的攻击。但经我们研究分析，业界已有的正则表达式匹配方法，其速度一般比较慢，制约了AF设备整机速度的提高，为此，深信服设计并实现全新的Sangfor Regex正则引擎，把正则表达式的匹配速度提高到数十Gbps，比PCRE和Google的RE2等知名引擎快数十倍，达到业界领先水平。

整体而言，Sangfor Regex大幅降低了CPU占用率，提高AF的整机吞吐，从而更高速地处理客户业务数据，这项技术尤其适合对每秒吞吐量要求非常高的场合，如运营商，电商等。

五、部属方式

5.1 互联网出口-内网终端上网

安全需求：

单向访问，内网地址隐藏

带宽有限，实现灵活流控

多线路跨运营商，如何选择最优路径

防御来自互联网的威胁，如DOS/DDOS等

保护终端上网安全，防止遭受病毒、木马、蠕虫的攻击

/ 28

NGAF技术白皮书文档密级：公开

5.2 互联网出口-服务器对外发布

安全需求：

业务面向互联网，存在大量Web攻击

服务器安全风险，操作系统、应用程序漏洞

稳定性要求高，防止拒绝服务攻击

网站形象保护，防止网页篡改

数据内容保护，防止敏感信息外传

5.3 广域网边界安全隔离

安全需求：

接入环境复杂，用户存在安全组网要求

流量复杂，病毒木马易泛滥 / 28

NGAF技术白皮书文档密级：公开

人员复杂，需要精确访问控制

设备数量繁多，需要集中管理

数据内容保护，防止敏感信息越界传播

5.4 数据中心

安全需求：

数据、应用大集中，安全域需隔离

可用性要求高，万兆环境

访问权限要求高，控制非法访问

业务类型多样，数据库系统多

数据内容敏感，泄密风险需防范

六、关于深信服

深信服公司成立于2000年，是中国最大的应用层网络设备供应商，致力于提供基于网络应用层的产品及解决方案。目前，全球有超过21,000家用户正在使用深信服的产品。在中国入选世界500强的企业中，有85%以上的企业都是深信服的用户。截止2013年3月，深信服在全球共设有49个直属分支机构，分布在全球8个国家和地区，并拥有超过1400名员工。作为中国应用层网络市场的领导者，深信服每年保持着50%以上的增长率，持续每年将总营收的15%投入到研发，并在深圳和北京设有研发中心。截至2013年3月，深信服共申

/ 28

NGAF技术白皮书文档密级：公开

请超过100项发明专利。同时，深信服还是IPSec VPN和SSL VPN两项国家标准的主要承建单位。深信服公司被评定为“国家规划布局内重点软件企业”，连续八年入选德勤“亚太地区高科技高成长500强”，连续两届荣获《财富》“卓越雇主——中国最适宜工作的公司”。