NGAF是面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控、應(yīng)用可視化、應(yīng)用內(nèi)容防護(hù)等方面的巨大不足，同時(shí)開啟所有功能后性能不會(huì)大幅下降。
　　NGAF 不但可以提供基礎(chǔ)網(wǎng)絡(luò)安全功能，如狀態(tài)檢測(cè)、VPN、抗DDoS、NAT等；還實(shí)現(xiàn)了統(tǒng)一的應(yīng)用安全防護(hù)，可以針對(duì)一個(gè)入侵行為中的各種技術(shù)手段進(jìn)行統(tǒng)一的檢測(cè)和防護(hù)，如應(yīng)用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。NGAF可以為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場(chǎng)景提供更加精細(xì)、更加全面、更高性能的應(yīng)用內(nèi)容防護(hù)方案。


更精細(xì)的應(yīng)用層安全控制

         當(dāng)前網(wǎng)絡(luò)環(huán)境中，應(yīng)用已成為網(wǎng)絡(luò)的主要載體，而網(wǎng)絡(luò)安全的威脅更多的來源于應(yīng)用層，這也使得用戶對(duì)于網(wǎng)絡(luò)訪問控制提出更高的要求。如何精確的識(shí)別出用戶和應(yīng)用、阻斷有安全隱患的應(yīng)用、保證合法應(yīng)用正常使用、防止端口盜用等問題，已成為現(xiàn)階段用戶對(duì)網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。但I(xiàn)P不等于用戶、端口不等于應(yīng)用，傳統(tǒng)防火墻基于IP/端口的五元組訪問控制策略已不能有效的應(yīng)對(duì)現(xiàn)階段網(wǎng)絡(luò)環(huán)境的巨大變化。

         NGAF采用獨(dú)創(chuàng)的應(yīng)用可視化技術(shù)，可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了傳統(tǒng)設(shè)備只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。

　　目前，NGAF可以識(shí)別700多種應(yīng)用及其1000多種應(yīng)用動(dòng)作，還可以與多種認(rèn)證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無縫對(duì)接，自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對(duì)應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時(shí)滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識(shí)別和控制豐富的內(nèi)網(wǎng)應(yīng)用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等，針對(duì)用戶應(yīng)用系統(tǒng)更新服務(wù)的訴求，NGAF還可以精細(xì)識(shí)別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴(yán)格的環(huán)境下，系統(tǒng)軟件更新服務(wù)暢通無阻。

　　因此，通過應(yīng)用可視化技術(shù)制定的L3-L7一體化應(yīng)用訪問控制策略，可以為用戶提供更加精細(xì)和直觀化控制界面，在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作，提升工作效率。


更全面的內(nèi)容級(jí)安全防護(hù)

　　網(wǎng)絡(luò)安全與黑客技術(shù)的發(fā)展使得用戶面臨的威脅不再單單是一個(gè)病毒一個(gè)木馬、一次DOS攻擊這樣的簡(jiǎn)單攻擊。黑客可采用豐富的工具，利用眾多的漏洞，結(jié)合多種攻擊手段進(jìn)行混合型的破壞性攻擊，具有代表性的如Slammer、Blaster等。而信息獲取和攻擊代碼往往也隱藏在正常的應(yīng)用訪問中，這種混合型安全威脅的出現(xiàn)也給網(wǎng)絡(luò)安全建設(shè)提出新的要求：需要采用更全面的防護(hù)手段，防止安全短板被利用；需要深入到應(yīng)用內(nèi)容的安全防護(hù)，以識(shí)別和預(yù)防潛在威脅。

　　NGAF融合了漏洞防護(hù)、web安全防護(hù)、病毒防護(hù)等多種安全技術(shù)，具備2000+條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意內(nèi)容特征庫、1000+Web應(yīng)用威脅特征庫，可以全面識(shí)別各種應(yīng)用層和內(nèi)容級(jí)別的各種安全威脅。通過灰度威脅關(guān)聯(lián)分析技術(shù)將數(shù)據(jù)包還原的內(nèi)容進(jìn)行全面的威脅檢測(cè)，并可以針對(duì)黑客入侵過程中使用的不同攻擊方法進(jìn)行關(guān)聯(lián)分析，從而精確定位出一個(gè)黑客的攻擊行為，有效阻斷威脅風(fēng)險(xiǎn)的發(fā)生�；叶韧�脅識(shí)別技術(shù)改變了傳統(tǒng)IPS等設(shè)備防御威脅種類單一，威脅檢測(cè)經(jīng)常出現(xiàn)漏報(bào)、誤報(bào)的問題，可以幫助用戶****程度減少風(fēng)險(xiǎn)短板的出現(xiàn)，保證業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。

　　此外，深信服憑借在應(yīng)用層領(lǐng)域6年以上的技術(shù)積累，組建了專業(yè)的安全攻防團(tuán)隊(duì)，可以為用戶定期提供最新的威脅特征庫更新，以確保防御的及時(shí)性。


更高性能的應(yīng)用層處理能力

　　性能和安全往往是傳統(tǒng)安全設(shè)備是無法權(quán)衡的問題。尤其在應(yīng)用層安全防護(hù)功能開啟時(shí)，該問題尤為明顯。在帶寬不斷提升、威脅不斷增多的網(wǎng)絡(luò)環(huán)境下，用戶不得不在兩者做出艱難的選擇。

　　為了實(shí)現(xiàn)強(qiáng)勁的應(yīng)用層處理能力，NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計(jì)算工作的硬件設(shè)計(jì)，采用了更加適合應(yīng)用層靈活計(jì)算能力的多核并行處理技術(shù)；在系統(tǒng)架構(gòu)上，NGAF也放棄了UTM多引擎，多次解析的架構(gòu)，而采用了更為先進(jìn)的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應(yīng)用層威脅統(tǒng)一進(jìn)行檢測(cè)匹配，從而提升了工作效率，實(shí)現(xiàn)了萬兆級(jí)的應(yīng)用安全防護(hù)能力。


更完整的安全防護(hù)方案

　　只提供基于應(yīng)用層安全防護(hù)功能的方案，并不是一個(gè)完整的安全方案。對(duì)于用戶來說，還需要采購基礎(chǔ)網(wǎng)絡(luò)層的安全設(shè)備（FW、VPN），既增加了成本，也增加了組網(wǎng)復(fù)雜度、提升了運(yùn)維難度。從技術(shù)角度來說，一個(gè)黑客完整的攻擊入侵過程包括了網(wǎng)絡(luò)層和應(yīng)用層、內(nèi)容級(jí)別等多個(gè)層次方式方法，如果將這些威脅割裂開處理進(jìn)行防護(hù)，各種防護(hù)設(shè)備之間缺乏智能的聯(lián)動(dòng)，很容易出現(xiàn)“三不管”的灰色地帶，出現(xiàn)防護(hù)真空。

         NGAF涵蓋傳統(tǒng)防火墻、IPS的主要功能，內(nèi)部能夠?qū)崿F(xiàn)內(nèi)核級(jí)聯(lián)動(dòng)，是一個(gè)“L2-L7完整的安全防護(hù)產(chǎn)品”。這也是Gartner定義的“額外的防火墻智能”實(shí)現(xiàn)的前提，做到真正的內(nèi)核級(jí)聯(lián)動(dòng)，才能為用戶的業(yè)務(wù)系統(tǒng)提供一個(gè)安全防護(hù)的“銅墻鐵壁”。

功能價(jià)值

多種功能融合、縱深安全防御、一體化安全防護(hù)
技術(shù)功能	功能價(jià)值
IPS漏洞防護(hù)	基于漏洞以及攻擊行為的特征庫，提供自動(dòng)或手動(dòng)升級(jí)方式。防御包括蠕蟲、木馬、后門、應(yīng)用層DOS/DDOS、掃描、間諜軟件、漏洞攻擊、緩沖區(qū)溢出、協(xié)議異常、IPS逃逸攻擊等
服務(wù)器防護(hù)	針對(duì)OWASP提出的WEB安全威脅的防護(hù)，如SQL注入、XSS、CSRF等；提供網(wǎng)站路徑保護(hù)，暴力破解防護(hù)；WEB服務(wù)隱藏FTP隱藏、FTP、telent弱口令防護(hù)；文件上傳過濾、URL黑名單等多種服務(wù)器防護(hù)功能
病毒防護(hù)	基于流引擎查毒技術(shù)，可以針對(duì)HTTP、FTP、SMTP、POP3等協(xié)議進(jìn)行查殺；可實(shí)時(shí)查殺大量文件型、網(wǎng)絡(luò)型和混合型等各類病毒；并采用新一代虛擬脫殼和行為判斷技術(shù)，準(zhǔn)確查殺各種變種病毒、未知病毒
WEB安全防護(hù)	提供URL過濾、文件過濾、ActiveX過濾、腳本過濾等多種WEB安全防護(hù)手段

透視網(wǎng)絡(luò)應(yīng)用、精細(xì)控制策略、規(guī)避應(yīng)用安全風(fēng)險(xiǎn)
技術(shù)功能	功能價(jià)值
可視化應(yīng)用管控	擁有國內(nèi)****的應(yīng)用規(guī)則識(shí)別庫，可識(shí)別數(shù)百種互聯(lián)網(wǎng)應(yīng)用，上千種應(yīng)用規(guī)則策略
	可識(shí)別豐富的內(nèi)網(wǎng)應(yīng)用如：Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LADP等
	精確識(shí)別Microsoft、360、Symantec、Sogou、kaspersky、金山毒霸、江民殺毒等軟件更新保障嚴(yán)格管控下系統(tǒng)軟件更新暢通無阻
	提供基于應(yīng)用識(shí)別類型、用戶名、接口、安全域、IP地址、端口、時(shí)間進(jìn)行應(yīng)用訪問控制列表的制定

豐富日志報(bào)表、統(tǒng)一集中管理、最優(yōu)運(yùn)維成本
技術(shù)功能	功能價(jià)值
數(shù)據(jù)中心	提供內(nèi)置數(shù)據(jù)中心和獨(dú)立數(shù)據(jù)中心
詳細(xì)報(bào)表	提供統(tǒng)計(jì)報(bào)表、趨勢(shì)報(bào)表、匯總報(bào)表、匯總對(duì)比報(bào)表、指定對(duì)比報(bào)表危險(xiǎn)行為報(bào)表、流速趨勢(shì)報(bào)表等多種報(bào)表
統(tǒng)計(jì)分析	提供詳細(xì)的IPS/服務(wù)器防護(hù)統(tǒng)計(jì)、病毒信息統(tǒng)計(jì)分析
智能風(fēng)險(xiǎn)報(bào)表	提供根據(jù)管理者自定義的風(fēng)險(xiǎn)行為特征自動(dòng)挖掘并輸出風(fēng)險(xiǎn)行為智能報(bào)表

限制無關(guān)應(yīng)用、保障核心業(yè)務(wù)、優(yōu)化帶寬利用率
技術(shù)功能	功能價(jià)值
可視化流量管理	基于應(yīng)用、網(wǎng)站、文件、時(shí)間、目標(biāo)IP以及用戶的多種流量控制
	多線路技術(shù)、虛擬多線路技術(shù)、智能選路技術(shù)對(duì)多線路分別實(shí)現(xiàn)流控
	保障核心業(yè)務(wù)、限制合法業(yè)務(wù)、阻斷非法業(yè)務(wù)

適應(yīng)復(fù)雜場(chǎng)景、抵御網(wǎng)絡(luò)攻擊、合理規(guī)劃安全域
技術(shù)功能	功能價(jià)值
包過濾與狀態(tài)檢測(cè)	提供靜態(tài)的包過濾和動(dòng)態(tài)包過濾功能
抗攻擊	能夠防御DOS/DDOS、land,smurf,synflood,icmpflood等網(wǎng)絡(luò)層攻擊
NAT	提供一對(duì)一、多對(duì)一、多對(duì)多等地址轉(zhuǎn)換方式；支持多種NAT ALG，包括DNS、FTP、H.323、SIP
VPN模塊	內(nèi)置VPN模塊能實(shí)現(xiàn)VPN互聯(lián)
IP協(xié)議/路由	支持靜態(tài)路由、RIP v1/2、OSPF、策略路由等多種路由協(xié)議