深信服下一代防火墙NGAF近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。

随着网络安全形势逐渐恶化，网络攻击愈加频繁，用户对自己的网络安全建设是否合规、完善并没有把握。

该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。

一、企业级网络安全建设需要什么1.传统割裂的各种安全产品？传统组合方案问题多传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的，难以对安全日志进行统一分析；安全设备在有攻击时才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。

传统产品组合方案缺陷二：有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以安全存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流量进行防护，在面临新的未知攻击的情况下缺乏有效的防御措施，还是存在被绕过的风险。

2.“雇佣兵”式的安全服务？即使采购了安全设备，但是缺乏专业的安全人员来进行及时有效的安全运维也是企业在安全建设中遇到的难题。

以往只能通过安全服务商采购安全服务，我们称为”雇佣兵”式的安全服务。

虽然短期内可以快速提升安全防护效果，满足合规要求，但是安全咨询和安全服务的交付质量，严重依赖于安全服务人员的水平，一旦安全专家离开了，那安全服务的交付质量就无法得到保障。

虽然买回来一堆完备的安全设备，也会因为专业程度太高，缺乏专家水平的人员运维，让这些设备变成了摆设，用户通过自己的力量并不能够真正地掌控网络安全。

3.企业级的网络安全到底需要什么？诉求一：看不看得到安全风险？只有看到L2-L7层的攻击才能了解网络的整体安全状况，基于传统多产品的组合方案使大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。

此外，没有攻击并不意味着业务不存在漏洞，一旦漏洞被利用就为时已晚。

好的解决方案应能及时发现业务漏洞，防患于未然。

最后，即使有大量的攻击也不意味着对业务安全的威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。

看不到有效攻击的来源，就无法让客户看到网络和业务的真实安全情况。

诉求二：能不能持续抵抗新威胁？首先，面对已知威胁，需要评估现有的安全防护体系在技术层面是否存在短板，存在短板必然容易被绕过，原有安全设备就形同虚设；其次，面对新型的威胁，企业是否具备实时应对和响应的能力，能够把影响最小化；最后，更多的安全威胁是未知的，如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁，是企业安全建设更高的一个层次的需求。

诉求三：安全运营是否能够简化？面对专业的安全设备，如果采用前述”雇佣兵”式的服务，并无法持续地帮助企业用户将安全达到一种可控的状态。

要想能够脱离”雇佣兵”式的安全服务，让安全设备发挥出最大的防护价值，就必须将专业、难懂的安全配置、安全日志进行简化，并能够引导和帮助用户具备用好、管好自己的设备的能力。

二、深信服下一代防火墙的定位1.适用于国内环境的下一代防火墙全球权威的IT研究与顾问咨询公司Gartner在2009年给出了下一代防火墙的定义：下一代防火墙是一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护。

结合目前国内的互联网安全环境来看，越来越多的安全事件是由Web 层面的设计漏洞被黑客利用所引发的。

据统计，国内用户上网流量与对外发布业务流量混合的比例超过50%。

作为出口安全网关的防火墙如果不具备Web应用防护能力，则存在明显的短板。

所以下一代防火墙作为一款融合型安全产品，不能缺失基于Web应用的安全防护。

作为国内下一代防火墙产品的先行者，公安部第二代防火墙标准制定的参与者，深信服一直走在前沿，在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中。

深信服下一代防火墙NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整的L2-L7层安全防护体系，强化了在Web层面的应用防护能力，不仅能够全面替代传统防火墙，而且在开启安全功能的情况下还保持着强劲的应用层处理性能。

2.我们不仅交付产品，还为您持续输送安全能力安全已经成为继硬件、软件、网络之后的第四大IT基础设施。

深信服除了为用户提供创新的安全产品之外，还将致力于帮助企业掌握自身网络安全。

通过创新的安全产品+自动化的安全服务不断为用户输送安全能力，帮助用户具备看懂网络安全现状的能力，持续对抗新型威胁的能力和简化安全运营的能力。

三、深信服下一代防火墙为企业安全赋能1.看懂安全现状和风险1.1业务安全状况可视NGAF提供强大的综合安全风险报表功能，能够帮助用户直观地了解到网络中存在的风险，通过从业务安全、用户安全以及漏洞分布三个维度来全方位地帮助用户了解网络当中存在的威胁。

基于业务的风险分析报表（截选）NGAF的实时漏洞分析功能，可以主动分析经过设备的业务流量中存在的风险并实时展示出来，实时监控界面可以根据服务器真实存在的漏洞数量进行排名，同时给出各业务系统风险情况的评估，并给出建议和解决方案。

1.2威胁危害效果可视深信服NGAF突破传统安全产品的设计理念，在首页内容展示上进行了创新，将设备检测到的威胁风险通过图形化的界面进行统计和展示。

用户通过首页就能一眼掌握网络的安全状况。

通过各个版块简单的点击，就能继续深入了解到更详细的受害对象列表、安全日志、攻击来源等信息，能够直观地了解到哪些业务或者用户已经被黑客入侵或控制，哪些业务存在漏洞威胁，哪些Web服务器已经被植入了黑链等等。

NGAF首页风险展示1.3安全事件实时通报深信服NGAF搭建的微信安全服务平台，能够帮助用户7*24小时监控设备的安全状态，一旦发现设备检测到安全威胁，则通过深信服后台安全专家的验证确认后推送到用户端，帮助用户及时发现和处理安全风险，同时也通过漫画的形式帮助用户更好地了解所遭受攻击的危害，并定期生成安全风险报表，让运维管理人员更加了解自身的网络安全状态。

威胁实时通报安全报表推送威胁漫画展示2.持续对抗新型威胁2.1产品快速迭代应对已知威胁完整的应用层防护体系深信服NGAF具有完备的L2-L7层一体化的安全防御体系来应对已知威胁，在Web应用安全层面的防护能力尤为突出，如具备网站黑链检测、Webshell脚本检测、OWASP TOP10 Web 攻击防护等功能。

对于不断更新的威胁，深信服NGAF通过产品的快速迭代开发来响应需求。

深信服NGAF保持每两月更新一个软件版本的速度实现对产品改进需求的快速响应。

在攻击特征库方面也保持着每两周更新一次的频率进行维护。

高危的0day漏洞当天进行规则更新和发布。

2.2完整的APT攻击检测链面对复杂、隐蔽的APT攻击，深信服NGAF深入剖析了APT攻击的五个阶段，并在每个阶段都具备相应的安全措施，让用户可以看到不同阶段检测到的APT攻击行为。

2.3云检测平台应对未知威胁NGAF与云平台联动应对未知威胁在应对未知威胁方面，深信服搭建了未知威胁云检测平台，通过6000多台部署在全球各地的深信服下一代防火墙，在获得用户授权的前提下，自动上传可疑的应用流量到未知威胁云检测平台，云平台将该部分流量放到虚拟沙盒中进行运行，通过分析异常网络行为，对流量进行判断。

若上传流量存在安全威胁，云平台将生成安全防护规则并实时下发到全球所有在线的NGAF，令其能够有效抵御各类互联网攻击。

深信服未知威胁云检测平台截止至2015年12月，深信服安全云平台累计收到接近1亿条可疑威胁流量，并分析定位出40多万条存在威胁的恶意网址，安全云平台同步生成并下发的安全防护规则累计拦截了330多万次的访问请求。

3.简化安全运营3.1任务化的风险管理深信服NGAF通过将检测到的安全风险统一汇总，为用户形成一个待处理问题清单，引导用户关注未处理的安全风险，并通过提供工具化的解决办法来帮助用户将安全风险处理掉形成运营闭环。

3.2全网安全统一管控深信服下一代防火墙还具备全网安全监测平台，可实现对分布式部署的下一代防火墙进行统一的管理和监控，建设完善，可控的安全网络。

深信服全网安全监测方案部署在各节点的NGAF为分支机构的网络提供L2-L7层完整的安全防护，有效避免分支机构因薄弱的安全建设成为入侵短板；总部核心业务区防护设备的部署，强有力地保障了各项业务高效、稳定地开展；安全管理区的全网安全监测平台通过收集各节点的流量、攻击情况，使总部运维人员可实时了解分支机构的安全风险；集中管理平台可实现全网各节点设备的统一管理和统一策略推送，真正做到管理集中化、运维自动化。

分支机构安全状况实时上报3.3威胁情报预警与处置深信服NGAF内置了威胁情报预警中心，通过深信服后台安全专家团队持续不断地搜集互联网上最新爆发流行的0day漏洞，及时地将高危漏洞的危害分析以及检测验证工具同步推送到NGAF上，运维人员不仅可以在第一时间了解到最新的0day漏洞，还能够自主扫描验证内部服务器是否存在漏洞，如果扫描出问题也可以通过一键防护功能进行应急处置，帮助用户快速地将风险降到最低。

3.4风险评估与策略联动深信服NGAF基于时间周期的安全防护设计，提供事前风险评估及策略联动功能。

风险评估功能分为系统漏洞扫描和Web弱点扫描两部分：系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应安全风险的安全防护策略。

Web弱点扫描通过内置的二十多类Web攻击特征，可以帮助用户快速定位出Web应用的漏洞，并提供相关漏洞的严重等级、漏洞详情以及建议的修复方案等，协助用户快速解决内网Web应用存在的风险。

3.5智能联动封锁机制深信服NGAF智能主动防御技术可在内部各个模块之间形成智能的联动策略，如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断该IP/用户。

智能防护体系的建立可有效地防止工具型、自动化的黑客攻击，提高攻击成本。

同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。

四、高效稳定的底层架构设计1.分离平面设计深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层。

若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发，从而实现高效、可靠的数据报文处理。

分离平面设计2.多核并行处理NGAF的设计不仅采用了多核的硬件架构，在计算指令设计上还采用了先进的无锁并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异，是真正的多核并行处理架构。