深信服防火墙透明模式简单拓扑图

深信服下一代防火墙招标参数

硬件平台国产设备，2U机架式硬件平台，采用多核处理器； 安全系统采用专用安全操作系统； 电源48V直流供电；提供42m 直流电源线 性能吞吐量6Gbps，并发连接100万； 设备接口6个千兆电口4个千兆光口，两路电口Bypass（公司盖章支持） 网关管理1.支持网关、网桥、旁路、混杂模式部署；支持SSL加密WEB方式管理设备；支持攻击、病毒、服务器入侵、内容过滤事件、系统日志告警等；提供图形化排障工具，便于管理员排查策略错误等故障； 2.提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理（需提供截图证明） 网络适应性1.ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP 客户端，支持静态路由、RIP v1/2、OSPF、策略路由； 2.必须支持基于应用制定策略路由的智能选路功能 防火墙功能1.可以提供静态的包过滤和动态包过滤功能； 2.支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、 H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP； 3.支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能； 4.风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，自动生成策略（需提供截图证明） IPS漏洞防护1.防护攻击类型：包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等； 2.漏洞分为保护服务器和保护客户端两大类，便于策略部署（需提供截图证明）； 3.漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容，便于维护；可根据源区域、目的区域、目的IP组，目的IP组支持多选进行IPS策略的配置；攻击特征库: 2200+，并且能够自动或者手动升级； 4.支持TCP协议的乱序重传、TCP分包； 5.支持自动拦截、记录日志、上传灰度威胁到“云端”（需提供截图证明）； 6.必须是微软“MAPP”计划会员，特征库必须获得CVE“兼容性认证证书”（需提供截图证明）

深信服下一代应用层防火墙彩页

国内下一代防火墙第一品牌 深信服下一代防火墙（Next-Generation Application Firewall ）NGAF 是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产 品，深信服NGAF 不同于工作在L2-L4 层的传统防火墙，可以对全网流量进行 双向深入数据内容层面的全面透析。在 安全策略制定方面，区域别于传统防火 墙五元组安全策略，深信服NGAF 可对L2-L7层更多的元素（如，用户、应用类型、URL 、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。同时，深信服NGAF 采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。 功能列表 项目 具体功能 部署方式 支持路由，透明，旁路，虚拟网线，混合部署模式； 实时监控 实时提供CPU 、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息；提供安全事件信息，包括最近安全事件、服务器安全事件、终端安全事件等，事件信息提供发 生事件、源IP 、目的IP 、攻击类型以及攻击的URL 等；提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理； 网络适应性 支持ARP 代理、静态ARP 绑定，配置DNS 及DNS 代理、支持DHCP 中继、DHCP 服务器、 DHCP 客户端；支持SNMP v1，v2，v3，支持SNMP Trap ；支持静态路由、RIP v1/2、OSPF 、 策略路由；支持链路探测，端口聚合，接口联动； 包过滤与状态检测 提供静态的包过滤和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：FTP 、 HTTP 、SMTP 、RTSP 、H.323（Q.931，H.245， RTP/RTCP ）、SQLNET 、MMS 、PPTP 等；传 输层协议：TCP 、UDP ； NAT 地址转换 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到 公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS 映射功能；可配置支持地址转换的有效时间；支持多种NAT ALG ，包括DNS 、FTP 、H.323、 SIP 等 抗攻击特性 支持防御Land 、Smurf 、Fraggle 、WinNuke 、Ping of Death 、Tear Drop 、IP Spoofing 、 SYN Flood 、ICMP Flood 、UDP Flood 、DNS Query Flood 、ARP 欺骗攻击防范、ARP 主 动反向查询、TCP 报文标志位不合法攻击防范、支持IP SYN 速度限制、超大ICMP 报文攻击 防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制等功能， 此外还支持静态和动态黑名单功能、MAC 和IP 绑定功能；

应用防火墙技术参数

应用防火墙技术参数： 品牌要求：网神、网御星云、山石网科 系统功能 设备参数接口数目 ★至少6个10/100/1000自适应电口+2SFP插槽，其中包 括1个带外管理口，1个HA口，4个业务接口， 1U设备性能参数 ★至少1200Mbps网络吞吐量，应用层吞吐量不小于 500Mbps,http新建速率大于5000/s,http最大并发为40 万，网络并发连接数150万 防护策略防护规则提供内置规则，同时支持用户自定义防护特征Web扫描 ★提供Web安全扫描功能（提供相应截图） 自定义Web安全扫描任务，定期进行Web安全扫描 安全特性HTTP RFC符合 性 支持对HTTP和HTTPS的协议合法性进行验证 网络层防护 支持访问控制功能，能够有效防御基于网络层的攻击 应能支持URL级别访问控制，支持IP级别黑、白名单WEB应用防护 可防御蠕虫、缓冲区溢出、目录遍历等攻击 可以识别和阻断应用层拒绝服务攻击，如CC攻击等 可以对网页请求/响应内容中的非法关键字进行检测、过 滤，非法上传阻断，包括Webshell攻击防护 应能识别和阻断敏感信息泄露、恶意代码攻击、错误配置 攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓 冲区溢出攻击、弱口令攻击 ★支持HTTPS卸载和加壳：即客户端到服务器端可以任 意选择HTTPS和HTTP，强化应用层安全（需要提供截图） 可以识别和阻断SQL注入攻击,Cookie 注入攻击，命令注 入攻击 可以防御防盗链攻击、爬虫防护，应能控制网络扫描行为 可以进行HTTP报文请求的字段进行严格，中等和宽松的 限制 可以识别和阻断跨站脚本(XSS)注入式攻击 主动防御 ★能根据攻击状态进行学习，形成动态阻断列表（提供相 应截图，加盖原厂公章） ★能根据阻断状态，动态建模（提供相应截图，加盖原厂 公章） 网页篡改防护 ★系统支持网页防篡改模块，支持linux，windows，Aix， FreeBSD等主流操作系统（需要提供截图，加盖原厂公章） 采用基于文件过滤驱动保护技术、事件触发机制相结合方 式

深信服防火墙差异优势说明

深信服下一代防火墙高校数据中心差异优势 支持对不同部门的业务流量进行实时流量分析，发现存在的漏洞威胁，并对发现漏洞次数最多的服务器进行排名，分析攻击类型，详情以及建议方案。 背景：对于高校用户来说，目前事先发现自身业务漏洞的方式只能借助漏洞扫描设备，而漏扫设备存在两个不足，一是扫描时发出的攻击包可能影响正常业务开展；二是扫描都是阶段性、分批次的，无法实时监控所有业务系统的动态漏洞信息；一旦出现0day，响应还是不够及时；同时由于托管了很多二级学院及部门系统，需要分别分析分别处理，因此需要针对每个系统/部门生成单独的报表，包括系统存在哪些漏洞、外部如何攻击他的，哪些攻击真正有效等。 价值：深信服可以提供一种更加高效的解决方案，通过对业务流的全流量分析，能够提供被动式［不主动发包，不影响业务］的7*24小时业务漏洞检测手段，帮助用户更好的对可能存在对风险进行预警。

支持异常流量检测功能，能够区分正常业务流量和潜藏在其中的危险流量。能够有效识别RDP（3389）、SSH （22）、FTP（20，21）、DNS（53）、HTTP（80）、HTTS（443）、SMTP（25）、POP3（110）等常见应用，常用

端口中的未知应用，可疑流量，能区分出占用这些正常应用的合法端口的危险行为。 背景：目标对象被黑客控制后，会在后端被开放一些端口进行数据的通信，而为了绕过安全设备的检测，黑客往往会采用一些知名端口来进行数据通信，所以如何能够识别知名端口是否跑了未知应用，已知应用跑在非标准端口就成了事后防护的主要检测手段； 价值：可检测知名端口是否跑了未知流量，已知应用是否运行在非标准端口，提供异常流量检测预警。 支持ASP，JSP，PHP语言编写的Webshell文件上传检测，支持对已被上传Webshell服务器的检测（单独检测工具）。 背景：Webshell 是黑客进行Web入侵常用的脚本工具，通常情况下是一个ASP、PHP或者JSP程序页面，也叫作网站后门木马，在入侵一个网站后，常常将这些木马放置在服务器WEB目录中，与正常网页混在一起。通过Webshell长期操纵和控制受害者网站； 价值：深信服可针对Webshell文件上传提供事前和事后全面的解决方案，内置独立的语义解析引擎结合常见Webshell后门特征规则，使得深信服的Webshell后门识别率达到99%以上。针对疑似被植入Webshell后门的服务器，深信服也具备事后检测工具，一键解决安全隐患。

深信服和您一起解析防火墙的前世今生

深信服和您一起解析防火墙的前世今生 [内容摘要]:面对现在网络复杂的应用情况，传统防火墙已经显得力不从心，下一代火墙应运而生。作为国内规模最大、创新能力最强的前沿网络设备供应商——深信服科技推出下一代应用防火墙（NGAF）产品，也是中国首家推出下一代防火墙的本土厂商。 关键词：深信服下一代防火墙上网行为管理 前世 防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。防火墙就像城墙，对进出防火墙的一切数据包进行检查，保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随着时代的变迁，曾经如城墙般稳固的传统防火墙已黯然失色，失去了它原有的防御能力。面对网络的高速发展、应用不断增多的时代，逐渐被新的继任者重新定义了“防火墙”。 我们不禁要问：曾经在IP/端口的网络时代发挥了巨大作用的“传统防火墙”为什么会被历史所淘汰？最主要的原因还在于“对网络应用快速发展的3大不适应症状” 1.安全不适症 传统防火墙基于IP/端口无法对应用层进行识别与控制，无法确定哪些应用经过了防火墙。面对应用层的攻击，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如病毒、蠕虫、木马等。 2.管理不适症 传统防火墙的网络访问控制需要配置大量的策略，并且这些基于IP/端口策略可读性非常之差，经常会造成错配、漏配的情况，留下的这些隐患，往往给黑客们以可乘之机。 3.维护不适症 由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案，在一定程度上能弥补防火墙功能单一的缺陷。但在这种环境中，同一数据包经过串联的各类设备，被重复拆包，重复解析，使整个网络的效率变得低下，运行速度缓慢。而独立设备、管理复杂，需要培养熟悉各类设备、各厂商设备的高级管理人员。无法进行统一的安全风险分析，以及无法提供足够的空间和环境支持，大大提高了维护成本。 今生 2009年10月Gartner提出“Defining the Next-Generation Firewall(NGFW)”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为，到2014年底，这个比例将增加到占安装量的35%，60%新购买的防火墙将是下一代防火墙(NGFW)。 在这个全新领域，国内规模最大的前沿网络设备厂商，同时也是全球网络设备领域发展最快

深信服上网行为管理功能参数

AC-4300-RY上网行为管理产品功能性能参数 项目指标具体功能要求 性能吞吐量2.5Gbps，标配6个千兆电口，4个千兆光口，标准2U设备，配备冗余电源 部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中； 旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计； 网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备； 分级管理不同用户组的管理权限支持分配给不同管理员； 集中管理多台设备支持通过统一平台集中管理、集中配置等； 被控设备加入统一平台支持以硬件证书验证身份； 告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等； 加密连接具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问； 排障工具提供图形化排障工具，便于管理员排查策略错误等故障； 上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大； 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息； 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息； 安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全； 上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间； 用户管理本地认证支持触发式WEB认证，静态用户名密码认证等； 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证； 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证； 双因素认证支持以USB-Key方式实现双因素身份认证； IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等； 支持通过SNMP服务器跨三层获取MAC地址； 支持当用户MAC地址变动时，需要重新认证； 短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码； 短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑 内容包括文字、颜色风格、图片，且图片支持轮询播放 公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制； 账户有效期指定账户支持有效期限制，并支持自动过期； 单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作； 可强制指定用户、指定IP段的用户使用单点登录；

深信服防火墙的招标参数样本

1.3.2汇聚防火墙（4台） 硬件平台国产设备，2U机架式硬件平台，采用多核处理器； 安全系统采用专用安全操作系统； 电源48V直流供电；提供42m 直流电源线 性能吞吐量6Gbps，并发连接100万； 设备接口6个千兆电口4个千兆光口，两路电口Bypass（公司盖章支持） 网关管理1.支持网关、网桥、旁路、混杂模式部署；支持SSL加密WEB方式管理设备；支持攻击、病毒、服务器入侵、内容过滤事件、系统日志告警等；提供图形化排障工具，便于管理员排查策略错误等故障； 2.提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理（需提供截图证明） 网络适应性1.ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端，支持静态路由、RIP v1/2、OSPF、策略路由； 2.必须支持基于应用制定策略路由的智能选路功能 防火墙功能1.可以提供静态的包过滤和动态包过滤功能； 2.支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP 等；传输层协议：TCP、UDP； 3.支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能； 4.风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，自动生成策略（需提供截图证明） IPS漏洞防护1.防护攻击类型：包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等；2.漏洞分为保护服务器和保护客户端两大类，便于策略部署（需提供截图证明）； 3.漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容，便于维护；可根据源区域、目的区域、目的IP组，目的IP组支持多选进行IPS策略的配置；攻击特征库: 2200+，并且能够自动或者手动升级； 4.支持TCP协议的乱序重传、TCP分包； 5.支持自动拦截、记录日志、上传灰度威胁到“云端”（需提供截图证明）； 6.必须是微软“MAPP”计划会员，特征库必须获得CVE“兼容性认证证书”（需提供截图证明）

深信服防火墙NGAF方案白皮书

深信服下一代防火墙NGAF方案白皮书

目录 一、企业级网络安全建设需要什么 (4) 1.传统割裂的各种安全产品？ (4) 2.“雇佣兵”式的安全服务？ (5) 3.企业级的网络安全到底需要什么？ (5) 二、深信服下一代防火墙的定位 (6) 1.适用于国内环境的下一代防火墙 (6) 2.我们不仅交付产品，还为您持续输送安全能力 (7) 三、深信服下一代防火墙为企业安全赋能 (7) 1.看懂安全现状和风险 (7) 1.1业务安全状况可视 (7) 1.2威胁危害效果可视 (8) 1.3安全事件实时通报 (9) 2.持续对抗新型威胁 (10) 2.1产品快速迭代应对已知威胁 (10) 2.2完整的APT攻击检测链 (11) 2.3云检测平台应对未知威胁 (12) 3.简化安全运营 (13) 3.1任务化的风险管理 (13) 3.2全网安全统一管控 (14) 3.3威胁情报预警与处置 (15) 3.4风险评估与策略联动 (15)

3.5智能联动封锁机制 (16) 四、高效稳定的底层架构设计 (16) 1.分离平面设计 (16) 2.多核并行处理 (17) 3.单次解析架构 (17) 4.跳跃式扫描技术 (18) 5.Sangfor Regex正则引擎 (18) 6.产品性能评测报告 (19) 五、深信服下一代防火墙品牌优势 (19) 1.市场引领者 (19) 2.专业权威的认可 (20) 3.专业安全攻防团队 (21) 4.产品可靠稳定 (21) 六、典型场景和案例 (22) 典型应用场景 (22) 典型应用案例 (23) 七、部分客户列表 (25)

深信服下一代应用防火墙(NGAF)评析

敢为天下先——深信服NGAF下一代应用防火墙评析 随着互联网的普及，IT管理人员面临着更为复杂和频繁的网络安全问题，病毒、恶意攻击日渐增多，80端口上不再只有web服务，QQ 也不再只是一个聊天工具，并且以经济利益为目的的网络攻击日益成为主流，而传统基于L3、L4的网络设备无法有效应对这些新的网络风险。另一方面，越来越多的业务依托互联网和广域网展开，关键业务面临系统稳定性差、网络速度慢等多种问题，IT管理者急需更为精细化和灵活的业务管理及优化策略。 部分供应商已逐渐意识到这种趋势，但受限于传统技术观点，大多数厂商只能提供部分解决方案，无法帮助IT管理者有效应对挑战。 为了帮助IT管理者解决目前网络所面临的问题，深信服科技于近期发布了NGAF系列下一代应用防火墙产品，成为首家推出NGFW产品的国内厂商。 前不久，计算机世界实验室韩勖发表了一篇《敢为天下先——5大厂商市售NGFW产品评析》文章，上面对深信服公司发布的下一代应用防火墙（NGAF）产品做出了比较全面、客观的介绍。 引文如下： “作为近年来崛起势头最为迅猛的本土信息安全解决方案提供商，深信服科技长期坚持专攻应用与内容安全领域的发展策略，在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际，该公司于近期发布了NGAF系列下一代防火墙，成为首家推出NGFW产品的国内

厂商。 深信服NGAF系列下一代防火墙产品提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能，覆盖了NGFW 定义中要求必备的所有特性。 有国内市场上最成功的上网行为管理产品为基础，深信服科技的NGAF产品在应用识别与控制能力方面有着一定的先天优势。该公司还将WAF产品的主要功能集成到NGAF产品中，结合应用识别与控制功能，为数据中心用户提供了新的安全防护接入思路。 对于我们采访中问到的‘之前没有防火墙/UTM 产品，在状态检测技术和入侵防御技术方面是否有足够积累’的问题，深信服科技市场行销部技术总监殷浩也没有回避。据介绍，该公司在保持应用与内容安全领域技术领先的同时，也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴，可以第一时间获得漏洞资料，提高IPS的防护效果和响应速度。NGAF产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护，正是技术积累的一次集中体现。 产品规格方面，深信服科技的NGAF产品线中包含了多达11款产品，覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供 200Mbps的防火墙处理能力（按照深信服对产品的定义，应用识别与控制功能都默认开启，后同），最高端的AF-8000系列则将该指标推向10Gbps。” “从深信服公司提供的下一代应用防火墙（NGAF）产品测试的最