深信服AF-1320下一代防火墙
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备
关键指标
|
指标 |
AF-1320 |
|
网络层吞吐量 |
5Gbps |
|
应用层吞吐量 |
700Mbps |
|
并发连接数 |
1,500,000 |
|
新建连接数 |
70,000CPS |
|
VPN隧道数 |
500 |
|
延时 |
小于40 us |
|
平均无故障时间(MTBF) |
100,000小时 |
|
网络接口 |
6个千兆电口 |
|
管理接口 |
RJ-45*1,USB2.0*2 |
|
电源规格 |
单电源,最大功率250W |
|
外形尺寸 |
1U机架式机箱(长430mm*宽300mm*高44.5mm) |
|
重量 |
7.45KG |
|
工作环境温度 |
0℃~45℃ |
|
工作环境湿度 |
5~80% |
功能列表
|
项目 |
具体功能 |
|
部署方式 |
支持路由,透明,旁路,虚拟网线,混合部署模式; |
|
实时监控 |
实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等;提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理; |
|
网络适应性 |
支持ARP代理、静态ARP绑定,配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP客户端;支持SNMP v1,v2,v3,支持SNMP Trap;支持静态路由、RIP v1/2、OSPF、策略路由;支持链路探测,端口聚合,接口联动; |
|
包过滤与状态检测 |
提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP; |
|
NAT地址转换 |
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能;可配置支持地址转换的有效时间;支持多种NAT ALG,包括DNS、FTP、H.323、SIP等 |
|
抗攻击特性 |
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能;支持CC攻击防护; |
|
VPN |
支持IPSec VPN,SSL VPN; |
|
应用访问控制策略 |
支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定; |
|
僵尸网络检测 |
内置超过50万的病毒,木马,间谍软件等恶意软件特征库,并且在不断的持续更新特征内容;支持通过安全云实现虚拟沙盒动态检测技术。可检测未知威胁在沙盒中对注册表、文件系统等的修改,通过云端联动的方式快速更新到各节点设备中,可实现快速统一的防护未知攻击;支持内部发起的DDoS异常流量检测功能,能够区分正常业务流量和潜藏在其中的危险流量。能够有效区分RDP 、SSH、 IMAP、SMTP、POP3、FTP、 DNS、 HTTP等WEB服务器上常见应用流量中的危险流量,也能对常规应用运行在非标准端口的为进行预警; |
|
IPS入侵防护 |
微软“MAPP”计划成员,漏洞特征库: 4000+;获得“CVE兼容性认证证书”,能够自动或者手动升级;防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;防护对象分为保护服务器和保护客户端两大类,便于策略部署;漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容;支持自动拦截、记录日志、上传灰度威胁到“云端”; |
|
Web攻击防护 |
支持Web攻击特征数3000+;支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,Web响应报文头可自定义;支持FTP服务应用信息隐藏包括:服务器信息、软件版本信息等;支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护;支持Web站点防扫描;可严格控制上传文件类型,支持识别PHP,JSP,ASP脚本编写的Webshell脚本文件上传;支持对常见Web内容管理系统的防护,如dedecms,phpcms,phpwind,discuz,wordpress,joomla等; |
|
口令暴力破解防护 |
支持对常见应用服务器和数据库软件,如HTTP,FTP,SSH,SMTP,IMAP,MySQL,Oracle,MSSQL等的口令暴力破解防护功能; |
|
敏感信息防泄漏 |
内置常见敏感信息的特征,如身份证信息、MD5、手机号码、银行卡号、邮箱等,并可自定义具有特殊特征的敏感信息;支持正常访问http连接中非法敏感信息的外泄防护;支持数据库文件敏感信息检测,防止数据库文件被“拖库”、“暴库”; |
|
威胁情报预警与处置 |
具备威胁情报功能,能够主动推送当前热门0 day或者高危漏洞,并可以提供漏洞检测工具对业务开展扫描自查,并可以根据扫描结果进行一键生成安全防护策略; |
|
风险评估 |
支持服务器、客户端的漏洞风险评估功能,支持对目标IP进行端口、服务扫描;支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描;支持SQL注入,SQL盲注,跨站脚本攻击(XSS),跨站请求伪造(CSRF),操作系统命令,本地文件包含,远程文件包含,暴力破解,弱密码登录,XPATH注入,LDAP注入,服务器端包含(SSI)等丰富的Web应用服务漏洞检测;风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略; |
|
实时漏洞分析 |
支持对经过设备的流量被动进行分析,分析内容包括底层软件漏洞分析,Web应用风险分析,Web不安全配置检测以及服务器弱密码检测,并实时生成分析报告。具备单独的针对服务器安全风险和潜在威胁的特征识别库; |
|
综合风险报表 |
提供基于用户/业务的综合风险报表,统计维度为用户和业务而非IP地址;根据网络风险状况提供优、良、中、差评级;攻击统计提供所有检测攻击数和有效攻击数两个维度;报表内容呈现主动扫描的漏洞分布情况,匹配攻击日志输出已被攻击的漏洞数和发现的所有漏洞数的统计报表;业务安全报表提供攻击分析、漏洞评估、业务系统漏洞详情等信息;用户安全报表提供遭攻击最多的用户详情、异常连接用户详情等信息;安全风险类型汇总基于业务系统遭受攻击类型、业务系统存在最多漏洞类型、用户遭受最多威胁类型进行统计; |
|
网页篡改防护 |
客户端插件型网页防篡改,安装到服务器上后,采用IRF文件驱动流技术,通过插件配置需要保护的文件目录和允许修改该目录的应用程序,识别修改被保护网站目录的应用程序是否合法;客户端插件支持记录尝试修改,删除,新增被保护目录下文件的行为日志;客户端插件需要保障自身安全性,包括后台进程不允许被强制中止,访问客户端插件管理页面需要进行密码验证,访问客户端插件管理页面需具备自动超时机制;支持在网关设备设置对通过CMS方式登录网站管理后台进行邮件二次认证;支持在网关设备设置对通过FTP方式登录网站管理后台进行邮件二次认证; 支持设置网站后台登录管理白名单,白名单中的用户登录网站管理后台无需经过二次认证; |
|
黑链风险检测 |
支持对网站是否被种植了黑链进行检测,并能够记录黑链的类型和黑链所在的位置,方便管理员进行维护; |
|
Web过滤 |
对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志;支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志 |
|
流量管理 |
支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控;支持基于应用类型、网站类型、文件类型的带宽划分与分配;支持时间和IP的带宽划分与分配; |
|
用户管理 |
支持基于用户名/密码、单点登陆以及基于IP地址、MAC地址、计算机名的识别等多种认证方式;支持AD域结合、Proxy、POP3、web表单等多种单点登陆方式,简化用户操作;*可强制指定用户、指定IP段的用户必须使用单点登录;支持添加到指定本地组、临时账号和不允许新用户认证等新用户认证策略;支持强制AD域认证,指定用户必须用AD域账户登录操作系统,否则禁止上网;认证成功的用户支持页面跳转,包括最近请求页面、管理员制定URL、注销页面等;支持CSV格式文件导入、扫描导入和从外部LDAP服务器上导入等账户导入方式;用户分组支持树形结构,支持父组、子组、组内套组等组织结构; |
|
高可用性 |
支持A/A,A/S模式部署,支持会话同步,配置同步和用户信息同步; |
|
网关管理 |
网管管理员具备安全管理员,审计员和系统管理员三种权限,安全管理员默认只允许安全策略和安全日志的查看和编辑权限;审计员默认只开放数据中心日志的查看和编辑权限,不具备设备的管理权限;系统管理员默认具备除安全功能外的其他系统管理权限,不具备设备的日志查看权限;支持SSL加密WEB方式管理设备;支持邮件、短信(可扩展)等告警方式,可提供管理员登录、病毒、IPS、web攻击以及日志存储空间不足等告警设置;提供图形化排障工具,便于管理员排查策略错误等故障;提供路由、网桥、旁路等部署模式的配置引导,提供保护服务器、保护内网用户上网安全、保证内网用户上网带宽、保证遭到攻击及时提醒和保留证据等网关应用场景的配置引导,简化管理员配置; |
|
日志管理与报表 |
能够自定义时间段查询DOS攻击、web防护、IPS、病毒、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询;提供可定义时间内安全趋势分析报表;支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;支持将统计/趋势等报表自动发送到指定邮箱;支持导出安全统计/趋势等报表,包括网页、PDF等格式; |
