深信服SANGFOR_AF技术白皮书

admin管理员组

文章数量:1540709

2024年4月27日发(作者：)

NGAF技术白皮书文档密级：公开

深信服下一代防火墙NGAF

技术白皮书

深信服科技有限公司

二零一三年四月

1 / 27

NGAF技术白皮书文档密级：公开

目录

一、

二、

2.1

2.2

概述 ................................................................................................................................... 4

为什么需要下一代防火墙 ............................................................................................... 4

网络发展的趋势使防火墙以及传统方案失效 ........................................................... 4

现有方案缺陷分析 ....................................................................................................... 5

2.2.1

2.2.2

2.2.3

三、

3.1

3.2

四、

4.1

4.2

单一的应用层设备是否能满足？ ................................................................... 5

“串糖葫芦式的组合方案” ........................................................................... 5

UTM统一威胁管理 .......................................................................................... 6

下一代防火墙标准 ........................................................................................................... 6

Gartner定义下一代防火墙 ......................................................................................... 6

适合国内用户的下一代防火墙标准 ........................................................................... 7

深信服下一代应用防火墙—NGAF .................................................................................. 8

产品设计理念 ............................................................................................................... 8

产品功能特色 ............................................................................................................... 9

4.2.1

4.2.2

4.2.3

4.2.4

4.2.5

4.2.6

更精细的应用层安全控制 ............................................................................... 9

全面的应用安全防护能力 ............................................................................. 12

独特的双向内容检测技术 ............................................................................. 17

涵盖传统安全功能 ......................................................................................... 19

智能的网络安全防御体系 ............................................................................. 19

更高效的应用层处理能力 ............................................................................. 20

4.3 产品优势技术 ............................................................................................................. 21

4.3.1

4.3.2

4.3.3

4.3.4

4.3.5

4.3.6

深度内容解析 ................................................................................................. 21

双向内容检测 ................................................................................................. 21

分离平面设计 ................................................................................................. 21

单次解析架构 ................................................................................................. 22

多核并行处理 ................................................................................................. 23

智能联动技术 ................................................................................................. 24

五、

5.1

解决方案与部属 ............................................................................................................. 24

互联网出口-内网终端上网 ........................................................................................ 24

2 / 27

NGAF技术白皮书文档密级：公开

5.2

5.3

5.4

六、

互联网出口-服务器对外发布 .................................................................................... 25

广域网边界安全隔离 ................................................................................................. 25

数据中心 ..................................................................................................................... 26

关于深信服 ..................................................................................................................... 26

3 / 27

NGAF技术白皮书文档密级：公开

一、 概述

防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。作为边界网络安

全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL

访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包

通过，保护了网络的安全。防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/

数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员

通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人

员，通过有限的防御方式对风险进行防护，成本高，效率低，安全防范手段有限。而下一代

防火墙则形如机场的整体安检系统，除了包括原有的安检人员/传统防火墙功能外，还引入

了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。自2009年10

月Gartner提出“Defining the Next-Generation Firewall”一文，重新定义下一代防火墙，下一

代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应

用安全技术沉淀之后，于2011年正式发布深信服“下一代应用防火墙”——NGAF。

二、 为什么需要下一代防火墙

2.1 网络发展的趋势使防火墙以及传统方案失效

防火墙作为一款历史悠久的经典产品，在IP/端口的网络时代，发挥了巨大的作用：合

理的分隔了安全域，有效的阻止了外部的网络攻击。防火墙在设计时的针对性，在当时显然

是网络安全的最佳选择。但在网络应用高速发展，网络规划复杂化的今天防火墙的不适应性

就越发明显，从用户对网络安全建设的需求来看，传统防火墙存在以下问题：

1、应用安全防护的问题：

传统防火墙基于IP/端口，无法对应用层进行识别与控制，无法确定哪些应用经过了防

火墙，自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击，防火墙显得力不从心，

无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如病毒、蠕虫、木马等。

2、安全管理的问题：

传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大

量的策略，并且这些基于IP/端口策略可读性非常之差，经常会造成错配、漏配的情况，留

下的这些隐患，往往给黑客们以可乘之机。

4 / 27

NGAF技术白皮书文档密级：公开

3.安全可视化的问题

传统防火墙无法抵御来自应用层的威胁，自然就无法提供给用户有效的安全策略制定依

据。传统防火墙的防御能力有限导致了用户对内网服务器和终端的安全状态没有直观的体现

和把握，缺乏安全信息的可视化。

2.2 现有方案缺陷分析

2.2.1

单一的应用层设备是否能满足？

1、入侵防御设备

应用安全防护体系不完善，只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏

针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。缺乏攻击事后防护机制，不具

备数据的双向内容检测能力，对未知攻击产生的后果无能为力，如入侵防御设备无法应对来

自于web网页上的SQL，XSS漏洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等

等。

2、Web应用防火墙

传统Web防火墙面对当前复杂的业务流量类型处理性能有限，且只针对来自Web的攻

击防护，缺乏针对来自应用系统底层漏洞的攻击特征，缺乏基于敏感业务内容的保护机制，

只能提供简单的关键字过滤功能，无法对Web业务提供L2-L7层的整体安全防护。

2.2.2

“串糖葫芦式的组合方案”

由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型

采取了打补丁式的设备叠加方案，形成了“串糖葫芦”式部署。通常我们看到的网络安全规

划方案的时候都会以防火墙+入侵防御系统+网关杀毒+……的形式。这种方式在一定程度上

能弥补防火墙功能单一的缺陷，对网络中存在的各类攻击形成了似乎全面的防护。但在这种

环境中，管理人员通常会遇到如下的困难：

效率低：同一数据包经过串联的各类设备，被重复拆包，重复解析，使整个网络的效率

变得低下，运行速度变得十分缓慢。

维护成本高：众多设备需要提供足够的空间和环境支持，大大提高了维护成本。

管理复杂：独立设备、管理复杂，需要培养熟悉各类设备、各厂商设备的高级管理人员。

安全日志分散：各厂商设备的日志记录内容不同，格式风格不同，甚至可能出现语言也

不同，各自侧重关注的重点不一，无法进行统一的安全风险分析。

5 / 27

NGAF技术白皮书文档密级：公开

2.2.3

UTM统一威胁管理

2004年IDC推出统一威胁管理UTM的概念。这种设备的理念是将多个功能模块集中如：

FW、IPS、AV，联合起来达到统一防护，集中管理的目的。这无疑给安全建设者们提供了更

新的思路。

事实证明国内市场UTM产品确实得到用户认可，据IDC统计数据09年UTM市场增长

迅速，但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、

AV进行简单的整合，传统防火墙安全与管理上的问题依然存在，比如缺乏对WEB服务器的

有效防护等；另外，UTM开启多个模块时是串行处理机制，一个数据包先过一个模块处理

一遍，再重新过另一个模块处理一遍，一个数据要经过多次拆包，多次分析，性能和效率使

得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用，而NGFW才

适合员工大于1000人以上规模的大型企业使用。”

三、 下一代防火墙标准

3.1 Gartner定义下一代防火墙

针对上述安全风险、网络环境、应用系统的变化，传统网络安全设备的无能为力，市场

咨询分析机构Gartner在2009年发布了一份名为《Defining the Next-GenerationFirewall》的

文章，给出了真正能够满足用户当前安全需求的下一代防火墙（NGFW）定义。

在Gartner 看来，NGFW 应该是一个线速（wire-speed）网络安全处理平台， 在功能上

至少应当具备以下几个属性：

1、联机“bump-in-the-wire”配置，不中断网络运行。

2、发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：

（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN

等等。

（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面

向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙

规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明，在NGFW中，应该由防火

墙建立关联，而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征

码，是NGFW的一个主要特征。

（3）应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是

6 / 27

NGAF技术白皮书文档密级：公开

根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype，但关闭Skype中

的文件共享或始终阻止GoToMyPC。

（4）额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻

止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。

Gartner认为，随着防火墙和IPS更新周期的自然到来，或者随着带宽需求的增加和随着成

功的攻击，促使更新防火墙，大企业将用NGFW替换已有的防火墙。不断变化的威胁环境，

以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时

寻找NGFW。

Gartner预计到2014年底，用户采购防火墙的比例将增加到占安装量的35%，60%新购

买的防火墙将是NGFW。

3.2 适合国内用户的下一代防火墙标准

深信服做为国内安全厂商的领导者，早在2011年就在国内率先提出了下一代应用防火

墙的理念，依照国际上定义的下一代防火墙标准，我们认为基于应用层的下一代网络安全产

品，除了满足Gartner定义的要求之外，面对国内软件Web应用环境复杂多样，应能够提供

从L2-L7层的一体化安全防护方案，不让任何一层协议存在的安全隐患成为整个安全体系的

短板，深信服通过多年的安全技术积累以及多行业客户使用情况的调研，认为适合国内用户

的下一代防火墙还应该具备如下的安全功能：

Web攻击防护能力

Web2.0时代，终端客户同互联网业务交互越来越紧密，75%的攻击来自于应用层，如

何保障网站服务器，互联网增值服务等应用的正常运营是安全建设关注的重点，所以针对

Web的攻击防护能力成为关键。

服务器双向内容检测

互联网没有百分之百的安全，假使服务器不幸被攻陷，对于事后的安全补救措施也能把

损失控制到最低，双向内容检测技术即是在攻击发起方开始防护，对于服务器对的请求响应

内容也同时进行检测，及时阻断黑客的攻击行为。

终端木马恶意流量识别/隔离

客户端安全受关注程度日益提高，很多攻击行为并不是针对服务器进行的，而是通过内

网终端用户做为攻击跳板，攻陷了终端用户后再利用终端用户的信任信息对内网服务器发起

进攻。所以对于终端的安全检测以及能够对发现风险后进行隔离都是下一代防火墙应具备的

7 / 27

NGAF技术白皮书文档密级：公开

功能。

数据防泄密

近今年，国内互联网安全事件，导致个人账号，信息泄漏的案例层出不穷，数据泄密已

经在OWASP 2013年最新发布的网络威胁TOP10中版上有名，针对敏感数据内容防泄漏的安

全产品需求日益增长。

网页防篡改

黑客出于获取某种利益或者炫耀技能的目的，针对代表客户形象的门户网站进行篡改替

换，设置外链，黑链等恶意行为，对客户的对外形象产生极其不良的影响。对此类型攻击的

防护，降低正常网页的误判也是国内客户经常遇到的难题。

四、 深信服下一代应用防火墙—NGAF

4.1 产品设计理念

通过将中国用户的安全需求与Garnter定义的“NGFW”功能特性相结合，深信服推出

了下一代应用防火墙NGAF产品。

NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，

能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了

传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足，同时开启所有功

能后性能不会大幅下降。

NGAF 不但可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等；还实现

了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，

如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF

可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更

加全面、更高性能的应用内容防护方案。

更精细的应用层安全控制：

贴近国内应用、持续更新的应用识别规则库

识别内外网超过1200多种应用、2700多种动作（截止2013年4月30日）

支持包括AD域、Radius等8种用户身份识别方式

面向用户与应用策略配置，减少错误配置的风险

更全面的内容级安全防护：

8 / 27

NGAF技术白皮书文档密级：公开

基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲

强化的WEB应用安全，支持多种SQL注入防范、XSS攻击、CSRF、权限控制等

完整的终端安全保护，支持漏洞、病毒防护等

双向内容检测，功能防御策略智能联动

更高性能的应用层处理能力：

单次解析架构实现报文一次拆解和匹配

多核并行处理技术提升应用层分析速度

全新技术架构实现应用层万兆处理能力

更完整的安全防护方案

可替代传统防火墙/VPN、IPS所有功能，实现内核级联动

4.2 产品功能特色

4.2.1

更精细的应用层安全控制

NGAF独创的应用可视化技术，可以根据应用的行为和特征实现对应用的识别和控制，

而不仅仅依赖于端口或协议，摆脱了过去只能通过IP地址来控制的尴尬，即使加密过的数

据流也能应付自如。目前，NGAF的应用可视化引擎不但可以识别1200多种的内外网应用

及其2700多种应用动作，还可以与多种认证系统（AD、LDAP、Radius等）、应用系统（POP3、

SMTP等）无缝对接，自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组

结构；既满足了普通互联网边界行为管控的要求，同时还满足了在内网数据中心和广域网边

界的部署要求，可以识别和控制丰富的内网应用，如Lotus Notes、RTX、Citrix、Oracle EBS、

金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、

360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全

管控严格的环境下,系统软件更新服务畅通无阻。

因此，通过应用可视化引擎制定的L4-L7一体化应用控制策略, 可以为用户提供更加精

细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。

4.2.1.1 可视化的应用识别

随着网络攻击不断向应用层转移，传统的网络层防火墙已经不能有效实施防护。因此，

作为企业网络中最重要的屏障，如何帮助用户实现针对所有应用的可视化变得十分重要。

NGAF以精确的应用识别为基础，可以帮助用户恢复对网络中各类流量的掌控，阻断或控制

不当操作，根据企业自身状况合理分配带宽资源等。

9 / 27

NGAF技术白皮书文档密级：公开

NGAF的应用识别有以下几种方式：

第一，基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的

协议，其端口通常是相对稳定,可以根据端口快速识别应用。

第二，基于应用特征码的识别，深入读取IP包载荷的内容中的OSI七层协议中的应用

层信息，将解包后的应用信息与后台特征库进行比较来确定应用类型。

第三，基于流量特征的识别，不同的应用类型体现在会话连接或数据流上的状态各有不

同，例如，基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、

连接速率高、首选传输层协议为TCP等；NGAF基于这一系列流量的行为特征，通过分析会

话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。

4.2.1.2 智能用户身份识别

网络中的用户并不一定需要平等对待，通常，许多企业策略仅仅是允许某些IP段访问

网络及网络资源。NGAF提供基于用户与用户组的访问控制策略，它使管理员能够基于各个

用户和用户组（而不是仅仅基于 IP 地址）来查看和控制应用使用情况。在所有功能中均可

获得用户信息，包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。

1、映射组织架构

NGAF可以按照组织的行政结构建立树形用户分组，将用户分配到指定的用户组中，以

实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，NGAF

能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方

便管理员管理。

此外，NGAF支持账户自动创建功能，依据管理员分配好的IP段与用户组的对应关系，

基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC，并继承管理员指

定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件，将账户导入，实现快捷的创

建用户和分组信息。

2、建立身份认证体系

 本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定

 第三方认证：AD、LDAP、Radius、POP3、PROXY等；

 单点登录：AD、POP3、Proxy、HTTP POST等；

 强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等）

丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树

10 / 27

NGAF技术白皮书文档密级：公开

形用户分组，映射组织行政结构，实现用户与资源的一一对应。

NGAF支持为未认证通过的用户分配受限的网络访问权限，将通过Web认证的用户重定

向至显示指定网页，方便组织管理员发布通知。

4.2.1.3 面向用户与应用的访问控制策略

当前的网络环境，IP不等于用户，端口不等于应用。而传统防火墙的基于IP/端口的控

制策略就会失效，用户可以轻易绕过这些策略，不受控制的访问互联网资源及数据中心内容，

带来巨大的安全隐患。

NGAF不仅具备了精确的用户和应用的识别能力，还可以针对每个数据包找出相对应的

用户角色和应用的访问权限。通过将用户信息、应用识别有机结合，提供角色为应用和用户

的可视化界面，真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式

转变。帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制，

制定出L4-L7层一体化基于用户应用的访问控制策略，而不是仅仅看到IP地址和端口信息。

在这样的信息帮助下，管理员可以真正把握安全态势，实现有效防御，恢复了对网络资源的

有效管控。

4.2.1.4 基于应用的流量管理

传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发，当用户带宽

11 / 27

NGAF技术白皮书文档密级：公开

流量过大、垃圾流量占据大量带宽，而这些流量来源于同一合法端口的不同非法应用时，传

统防火墙的QOS便失去意义。NGAF提供基于用户和应用的流量管理功能，能够基于应用做

流量控制，实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。

NGAF采用了队列流量处理机制：

首先，将数据流根据各种条件进行分类（如IP地址，URL，文件类型，应用类型等分类，

像skype、emule属于P2P类）

然后，分类后的数据包被放置于各自的分队列中，每个分类都被分配了一定带宽值，相

同的分类共享带宽，当一个分类上的带宽空闲时，可以分配给其他分类，其中带宽限制是通

过限制每个分队列上数据包的发送速率来限制每个分类的带宽，提高了带宽限制的精确度。

最后，在数据包的出口处，每个分类具备一个优先级别，优先级高的队列先发送，当优

先级高的队列中的数据包全部发送完毕后，再发送优先级低的。也可以为分队列设置其它排

队方法，防止优先级高的队列长期占用网络接口。

 基于应用/网站/文件类型的智能流量管理

NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、

时间段进行细致的带宽划分与分配，如保证领导视频会议的带宽而限制员工P2P的带宽、保

证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD

文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用，又提

升带宽使用效率。

 P2P的智能识别与灵活控制

封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新

P2P工具等让众多P2P管理手段束手无策。NGAF不仅识别和管控常用P2P、加密P2P，对不

常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难，NGAF的P2P流控技术

能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满

足管理的灵活性。

4.2.2

全面的应用安全防护能力

只提供基于应用层安全防护功能的方案，并不是一个完整的安全方案，对于服务器的保

护传统解决方案通常是通过防火墙、IPS、AV、WAF等设备的叠加来达到多个方面的安全防

护效果。这种方式功能模块的分散，虽然能防护主流的攻击手段，但并不是真正意义上的统

一防护。这既增加了成本，也增加了组网复杂度、提升了运维难度。从技术角度来说，一个

12 / 27

NGAF技术白皮书文档密级：公开

黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法，如果将这

些威胁割裂开处理进行防护，各种防护设备之间缺乏智能的联动，很容易出现“三不管”的

灰色地带，出现防护真空。比如当年盛极一时的蠕虫“SQL Slammer”，在发送应用层攻击报

文之前会发送大量的“正常报文”进行探测，即使IPS有效阻断了攻击报文，但是这些大量

的“正常报文”造成了网络拥塞，反而意外的形成了DOS攻击，防火墙无法有效防护。

因此，“具备完整的L2-L7完整的安全防护功能”就是Gartner定义的“额外的防火墙智

能”实现前提，才能做到真正的内核级联动，为用户的业务系统提供一个真正的“铜墙铁壁”。

4.2.2.1 基于应用的深度入侵防御

NGAF的灰度威胁关联分析引擎具备3000+条漏洞特征库、2500+Web应用威胁特征库，

可以全面识别各种应用层和内容级别的单一安全威胁；另外，深信服凭借在应用层领域6

年以上的技术积累，组建了专业的安全攻防团队，可以为用户定期提供最新的威胁特征库更

新，以确保防御的及时性。

下图为灰度威胁关联分析引擎的工作原理：

13 / 27

NGAF技术白皮书文档密级：公开

第一,威胁行为建模,在灰度威胁样本库中，形成木马行为库、SQL攻击行为库、P2P行

为库、病毒蠕虫行为库等数十个大类行为样本，根据他们的风险性我们初始化一个行为权重，

如异常流量0.32、病毒蠕虫0.36等等，同时拟定一个威胁阀值，如阀值=1。

第二，用户行为经过单次解析引擎后，发现攻击行为，立即将相关信息，如IP、用户、

攻击行为等反馈给灰度威胁样本库。

第三，在灰度威胁样本库中，针对单次解析引擎的反馈结果，如攻击行为、IP、用户等

信息，不断归并和整理，形成了基于IP、用户的攻击行为的表单。

第四，基于已有威胁样本库，将特定用户的此次行为及样本库中的行为组合，进行权值

计算和阀值比较，例如某用户的行为组权重之和为1.24，超过了预设的阀值1，我们会认定

此类事件为威胁事件。

由此可见， 威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的

14 / 27

NGAF技术白皮书文档密级：公开

要求，NGAF在两方面得以增强：

第一，通过NGAF抓包，客户可以记录未知流量并提交给深信服的威胁探针云，在云中

心，深信服专家会对威胁反复测试，加快灰度威胁的更新速度，不断丰富灰度威胁样本库。

第二，深信服不断的循环验证和权重微调，形成了准确的权重知识库，为检测未知威胁

奠定了基础。

4.2.2.2 强化的WEB攻击防护

NGAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击，并于2013年

1月获得了OWASP组织颁发的产品安全功能测试4星评级证书（最高评级为5星，深信服

NGAF为国内同类产品评分最高）主要功能如：

防SQL注入攻击

SQL注入攻击产生的原因是由于在开发web应用时，没有对用户输入数据的合法性进行

判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，

获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。NGAF可以通过高效

的URL过滤技术，过滤SQL注入的关键信息，从而有效的避免网站服务器受到SQL注入攻

击。

防XSS跨站脚本攻击

跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码，从而达到特殊目

的。NGAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的跨站攻

击的恶意代码，从而保护用户的WEB服务器安全。

防CSRF攻击

CSRF即跨站请求伪造，从成因上与XSS漏洞完全相同，不同之处在于利用的层次上，

CSRF是对XSS漏洞更高级的利用，利用的核心在于通过XSS漏洞在用户浏览器上执行功能

相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话，攻击者可以

与运行于用户浏览器中的脚本代码交互，使攻击者以受攻击浏览器用户的权限执行恶意操

作。NGAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的CSRF

的攻击代码，防止WEB系统遭受跨站请求伪造攻击。

主动防御技术

主动防御可以针对受保护主机接受的URL请求中带的参数变量类型，以及变量长度按

照设定的阈值进行自动学习，学习完成后可以抵御各种变形攻击。另外还可以通过自定义参

15 / 27

NGAF技术白皮书文档密级：公开

数规则来更精确的匹配合法URL参数，提高攻击识别能力。

应用信息隐藏

NGAF对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有

效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：

HTTP出错页面隐藏：用于屏蔽Web服务器出错的页面，防止web服务器版本信息泄露、

数据库版本信息泄露、网站绝对路径暴露，应使用自定义页面返回。

HTTP(S)响应报文头隐藏：用于屏蔽HTTP(S)响应报文头中特定的字段信息。

FTP信息隐藏：用于隐藏通过正常FTP命令反馈出的FTP服务器信息，防止黑客利用FTP

软件版本信息采取有针对性的漏洞攻击。

URL防护

Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系

统，但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的受限URL防护

功能，帮助用户选择特定URL的开放对象，防止由于过多的信息暴露于公网产生的威胁。

弱口令防护

弱口令被视为众多认证类web应用程序的普遍风险问题，NGAF通过对弱口令的检查，

制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防

止黑客对web系统口令的暴力破解。

HTTP异常检测

通过对HTTP协议内容的单次解析，分析其内容字段中的异常，用户可以根据自身的

Web业务系统来量身定造允许的HTTP头部请求方法，有效过滤其他非法请求信息。

文件上传过滤

由于web应用系统在开发时并没有完善的安全控制，对上传至web服务器的信息进行

检查，从而导致web服务器被植入病毒、木马成为黑客利用的工具。NGAF通过严格控制上

传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病

毒防护、插件过滤等功能检查上传文件的安全性，以达到保护web服务器安全的目的。

用户登录权限防护

针对某些特定的敏感页面或者应用系统，如管理员登陆页面等，为了防止黑客访问并不

断的进行登录密码尝试，NGAF可以提供访问URL登录进行短信认证的方式，提高访问的安

全性。

16 / 27

NGAF技术白皮书文档密级：公开

缓冲区溢出检测

缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指

令，甚至可以取得系统特权，进而进行各种非法操作。NGAF通过对URL长度，POST实体长

度和HTTP头部内容长度检测来防御此类型的攻击。

4.2.2.3 完整的终端安全保护

传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病

毒，很多用户在部署过防病毒软件之后，终端的安全事件依然频发，如何完整的保护终端成

为众多用户关注的焦点。NGAF提供完整的终端安全保护，全方位的保护终端不受威胁困扰。

1、病毒防护

NGAF提供基于终端的病毒防护功能，从源头对HTTP、FTP、SMTP、POP3等协议流量

中进行病毒查杀，亦可查杀压缩包（zip，rar，7z等）中的病毒。

2、基于终端的漏洞防护

内网终端仍然存在漏洞被利用的问题，多数传统安全设备仅仅提供基于服务器的漏洞防

护，对于终端漏洞的利用视而不见。NGAF同时提供基于终端的漏洞保护能防护如：后门程

序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预

防等基于终端的漏洞防护，有效防止了终端漏洞被利用而成为黑客攻击的跳板。

4.2.2.4 智能DOS/DDOS攻击防护

NGAF采用自主研发的DOS攻击算法，可防护基于数据包的DOS攻击、IP协议报文的

DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等，实现对网络层、应用

层的各类资源耗尽的拒绝服务攻击的防护，实现L2-L7层的异常流量清洗。

4.2.2.5 专业攻防研究团队确保持续更新

NGAF的统一威胁识别具备3000+条漏洞特征库、数十万条病毒、木马等恶意内容特征

库、2000+Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。其

漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得CVE兼容性

认证（CVE Compatible）。

深信服凭借在应用层领域6年以上的技术积累组建了专业的安全攻防团队，作为微软的

MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软发布安全更新前获

得漏洞信息，为客户提供更及时有效的保护，以确保防御的及时性。

4.2.3 独特的双向内容检测技术

17 / 27

NGAF技术白皮书文档密级：公开

4.2.3.1 网关型网页防篡改

网页防篡改是NGAF服务器防护中的一个子模块，其设计目的在于提供的一种事后补偿

防护手段，即使黑客绕过安全防御体系修改了网站内容，其修改的内容也不会发布到最终用

户处，从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。

NGAF通过网关型的网页防篡改（对服务器“0”影响），第一时间拦截网页篡改的信息

并通知管理员确认。同时对外提供篡改重定向功能，提供正常界面、友好界面、web备份服

务器的重定向，保证用户仍可正常访问网站。NGAF网站篡改防护功能使用网关实现动静态

网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安

装第三方软件，易于使用和维护，在防篡改部分基于网络字节流的检测与恢复，对服务器性

能没有影响。

4.2.3.2 可定义的敏感信息防泄漏

NGAF提供可定义的敏感信息防泄漏功能，根据储存的数据内容可根据其特征清晰定义，

通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防

泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断，防止大量敏感信息

被非法泄露。（如：用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号

/信用卡号/手机号码……）

18 / 27

NGAF技术白皮书文档密级：公开

4.2.3.3 应用协议内容隐藏

NGAF可针对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行

了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面隐

藏、响应报头隐藏、FTP信息隐藏等。

4.2.4

涵盖传统安全功能

下一代应用防火墙除了关注来自应用层的威胁以外，也涵盖了传统防火墙的所有基础功

能，使得客户在使用原有传统防火墙的基础上可以实现无缝切换到下一代防火墙。

4.2.4.1 包含完整的传统防火墙功能

NGAF涵盖了完整的传统防火墙功能包括基于IP协议，端口的5元组访问控制策略、针

对源和目的地址转换以及双向地址转换，NAT地址池，基于端口的PAT等所有NAT功能、支

持静态路由，动态路由协议（OSPFv2，RIPv2）、基于服务和应用的策略路由，VLAN接口

，子接口属性，Access/Trunk二层VLAN端口支持等功能，以便于用户替换传统防火墙后，

将原有的策略完全迁移至下一代防火墙中，实现简化组网、方便运维的效果。

4.2.4.2 融合领先的IPSecVPN

NGAF融合了国内市场占有率第一的IPSec VPN模块，实现高安全防护、高投资回报的

分支机构安全建设目标，并支持对加密隧道数据进行安全攻击检测，对通道内存在的IPS攻

击威胁进行流量清洗，全面提升广域网隔离的安全性。

4.2.4.3 统一集中管理平台

NGAF提供统一集中管理平台实现对分支各设备的集中监管，可实现各分支设备的硬件

资源情况实时上报以及安全日志汇总，集中管理配置下发与远程独立配置，提高管理效率，

简化运维成本。

4.2.4.4 灵活的应用部署方式

NGAF支持多种部署模式，包括可以在互联网出口做代理网关，或在不改变客户原有拓

扑的情况下可做透明桥接或数据转发更高效的虚拟网线模式，同时也支持在交换机上做镜像

把数据映射一份到设备做旁路部署以及支持二、三层接口混合使用的混合部署等，另外还提

供了端口链路聚合功能，提高链路带宽和可靠性。对于数据请求和回复包走不同路由或者数

据包两次通过不同接口穿过设备的的非对称路由部署环境，NGAF也能灵活支持。

4.2.5 智能的网络安全防御体系

19 / 27

NGAF技术白皮书文档密级：公开

4.2.5.1 安全风险评估与策略联动

NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、

服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及

时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全

漏洞问题，并做出有针对性的防护策略。

4.2.5.2 智能的防护模块联动

智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动，如一个IP/

用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系

的建立可有效的防止工具型、自动化的黑客攻击，提高攻击成本，可抑制APT攻击的发生。

同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。

4.2.6

更高效的应用层处理能力

为了实现强劲的应用层处理能力，NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层

重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术；在系

统架构上，NGAF也放弃了UTM多引擎，多次解析的架构，而采用了更为先进的一体化单

次解析引擎，将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进

行检测匹配，从而提升了工作效率，实现了万兆级的应用安全防护能力。

20 / 27

NGAF技术白皮书文档密级：公开

4.3 产品优势技术

4.3.1

深度内容解析

深信服NGAF的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁

检测，而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出

一个黑客的攻击行为，有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备

防御威胁种类单一，威胁检测经常出现漏报、误报的问题，可以帮助用户最大程度减少风险

短板的出现，保证业务系统稳定运行。

4.3.2 双向内容检测

深信服的双向内容检测技术，主要是针对攻击事件发生前的预防以及攻击事件发生后的检测

补救措施，通过对服务器发起的请求以及服务器的回复包进行双向内容检测，使得敏感数据

信息不被外发，黑客达不到攻击的最终目的。

4.3.3 分离平面设计

21 / 27

NGAF技术白皮书文档密级：公开

深信服NGAF通过软件设计将网络层和应用层的数据处理分离，在底层通过应用识别模

块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文

抓取到应用层，如若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发。实

现数据报文的高效，可靠处理。

4.3.4 单次解析架构

22 / 27

NGAF技术白皮书文档密级：公开

要进行应用层威胁过滤，就必须将数据报文重组才能检测，而报文重组、特征检测都会

极大地消耗内存和CPU，因而UTM的多引擎，多次解析架构工作效率低下。因此，NGAF

所采用的单次解析引擎通过统一威胁特征、统一匹配引擎，针对每个数据包做到了只有一次

报文重组和特征匹配，消除了重复性工作对内存和资源的占用，从而系统的工作效率提高了

70%-80%。但这种技术的一个关键要素就是统一特征库，这项技术的难度在于需要找到一种

全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述，这就好比

是八个不同国家语言的人要想彼此无障碍交流，最笨的办法是学会7种语言，但明显不可行；

因此，需要一种全新的国际语言来完成，从而提高可行性，又降低了工程的复杂度。

4.3.5 多核并行处理

现在CPU核越来越多，从双核到4核，再从4核到8核，16核，现在还有128核的CPU

了。这样来看，如果1个核能够做到1个G，那么16个核不就能够超过10个G了吗? 但是

通常设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是独立的，但是有

很多资源是共享的，包括CPU的Cache，内存，这些核在访问共享资源的时候是要等其他核

释放资源的，因此很多工作只能串行完成。

同时NGAF的多核并行处理技术进行了大量的优化工作----减少临界资源的访问，除了在

23 / 27

NGAF技术白皮书文档密级：公开

软件处理流程的设计上尽量减少临界资源以及临界资源的访问周期，还需要充分利用读写

锁、原子操作、内存镜像等机制来提高临界资源的访问效率。

4.3.6 智能联动技术

五、 解决方案与部属

5.1 互联网出口-内网终端上网

安全需求：

单向访问，内网地址隐藏

带宽有限，实现灵活流控

多线路跨运营商，如何选择最优路径

防御来自互联网的威胁，如DOS/DDOS等

24 / 27

NGAF技术白皮书文档密级：公开

保护终端上网安全，防止遭受病毒、木马、蠕虫的攻击

5.2 互联网出口-服务器对外发布

安全需求：

业务面向互联网，存在大量Web攻击

服务器安全风险，操作系统、应用程序漏洞

稳定性要求高，防止拒绝服务攻击

网站形象保护，防止网页篡改

数据内容保护，防止敏感信息外传

5.3 广域网边界安全隔离

安全需求：

接入环境复杂，用户存在安全组网要求

25 / 27

NGAF技术白皮书文档密级：公开

流量复杂，病毒木马易泛滥

人员复杂，需要精确访问控制

设备数量繁多，需要集中管理

数据内容保护，防止敏感信息越界传播

5.4 数据中心

安全需求：

数据、应用大集中，安全域需隔离

可用性要求高，万兆环境

访问权限要求高，控制非法访问

业务类型多样，数据库系统多

数据内容敏感，泄密风险需防范

六、 关于深信服

深信服公司成立于2000年，是中国最大的应用层网络设备供应商，致力于提供基于网

络应用层的产品及解决方案。目前，全球有超过21,000家用户正在使用深信服的产品。在

中国入选世界500强的企业中，有85%以上的企业都是深信服的用户。截止2013年3月，

深信服在全球共设有49个直属分支机构，分布在全球8个国家和地区，并拥有超过1400

名员工。

作为中国应用层网络市场的领导者，深信服每年保持着50%以上的增长率，持续每年将

26 / 27

NGAF技术白皮书文档密级：公开

总营收的15%投入到研发，并在深圳和北京设有研发中心。截至2013年3月，深信服共申

请超过100项发明专利。同时，深信服还是IPSec VPN和SSL VPN两项国家标准的主要承建

单位。

深信服公司被评定为“国家规划布局内重点软件企业”，连续八年入选德勤“亚太地区

高科技高成长500强”，连续两届荣获《财富》“卓越雇主——中国最适宜工作的公司”。

27 / 27

本文标签： 用户应用防火墙防护