1、 NGAF 下一代防火墻方案白皮書目 錄 HYPERLINK l _TOC_250019 概述4 HYPERLINK l _TOC_250018 深信服下一代防火墻核心價值5 HYPERLINK l _TOC_250017 全程保護5 HYPERLINK l _TOC_250016 全程可視7 HYPERLINK l _TOC_250015 主要功能介紹8 HYPERLINK l _TOC_250014 系統(tǒng)架構(gòu)設(shè)計8 HYPERLINK l _TOC_250013 基礎(chǔ)防火墻特性11 HYPERLINK l _TOC_250012 事前風(fēng)險預(yù)知13 HYPERLINK l _TOC_2500

2、11 事中安全防護18 HYPERLINK l _TOC_250010 事后檢測及響應(yīng)31 HYPERLINK l _TOC_250009 部署模式33 HYPERLINK l _TOC_250008 網(wǎng)關(guān)模式33 HYPERLINK l _TOC_250007 網(wǎng)橋模式34 HYPERLINK l _TOC_250006 旁路模式36 HYPERLINK l _TOC_250005 雙機模式37 HYPERLINK l _TOC_250004 市場表現(xiàn)39 HYPERLINK l _TOC_250003 高速增長，年復(fù)合增長超 70%39 HYPERLINK l _TOC_250002 眾多

3、權(quán)威機構(gòu)一致認(rèn)可40 HYPERLINK l _TOC_250001 為客戶需求而持續(xù)創(chuàng)新40 HYPERLINK l _TOC_250000 關(guān)于深信服40概述近幾年來，隨著互聯(lián)網(wǎng)+、業(yè)務(wù)數(shù)字化轉(zhuǎn)型的深入推進，各行各業(yè)都在加速往互聯(lián)網(wǎng)化、 數(shù)字化轉(zhuǎn)型。業(yè)務(wù)越來越多的向公眾、合作伙伴，第三方機構(gòu)等開放，在數(shù)字化業(yè)務(wù)帶給我們高效和便捷的同時，信息暴露面的增加，網(wǎng)絡(luò)邊界的模糊化以及黑客攻擊的產(chǎn)業(yè)化使得網(wǎng)絡(luò)安全事件相較以往成指數(shù)級的增加，面對應(yīng)對層出不窮的新型安全事件如網(wǎng)站被篡改，被掛黑鏈，0 day 漏洞利用，數(shù)據(jù)竊取，僵尸網(wǎng)絡(luò)，勒索病毒等等，傳統(tǒng)安全建設(shè)模式已經(jīng)捉襟見肘，面臨著巨大的挑戰(zhàn)。問題一

4、：傳統(tǒng)信息安全建設(shè)，以事中防御為主。缺乏事前的風(fēng)險預(yù)知，事后的持續(xù)檢 測及響應(yīng)能力傳統(tǒng)意義上的安全建設(shè)無論采用的是多安全產(chǎn)品疊加方案還是采用 UTM/NGFW+WAF 的整合類產(chǎn)品解決方案，關(guān)注的重點都在于如何防護資產(chǎn)在被攻擊過程中不被黑客入侵成功，但是并不具備對于資產(chǎn)的事前風(fēng)險預(yù)知和事后檢測響應(yīng)的能力，從業(yè)務(wù)風(fēng)險的生命周期來看， 僅僅具備事中的防護是不完整的，如果能在事前做好預(yù)防措施以及在時候提高檢測和響應(yīng)的能力，安全事件發(fā)生產(chǎn)生的不良影響會大幅度降低，所以未來，融合安全將是安全建設(shè)發(fā)展的趨勢。問題二：傳統(tǒng)安全建設(shè)是拼湊的事中防御，缺乏有效的聯(lián)動分析和防御機制傳統(tǒng)安全建設(shè)方案，搜集到的都是不

5、同產(chǎn)品碎片化的攻擊日志信息，只能簡單的統(tǒng)計報 表展示，并不能結(jié)合業(yè)務(wù)形成有效的資產(chǎn)安全狀態(tài)分析。另外在防護機制上只能依賴靜態(tài)的 防御策略進行防護，無法及時應(yīng)對業(yè)務(wù)發(fā)生的變化，不同安全設(shè)備之間也無法形成有效的聯(lián) 動封鎖機制，不僅投資高，運維方面也難管理。深信服下一代防火墻安全理念深信服通過對以上問題的思考進行了下一代防火墻的產(chǎn)品設(shè)計，對下一代防火墻賦予了 風(fēng)險預(yù)知、深度安全防護、檢測響應(yīng)的能力，最終形成了全程保護、全程可視的融合安全體 系。融合不是單純的功能疊加，而是依照業(yè)務(wù)開展過程中會遇到的各類風(fēng)險，所提供的對應(yīng)安全技術(shù)手段的融合，能夠為業(yè)務(wù)提供全流程的保護，融合安全包括從事前的資產(chǎn)風(fēng)險發(fā)現(xiàn)，

6、 策略有效性檢測，到事中所應(yīng)具備的各類安全防御手段以及事后的持續(xù)檢測和快速響應(yīng)機制，并將這一過程中所有的相關(guān)信息通過多種方式呈現(xiàn)給給用戶。深信服下一代防火墻核心價值全程保護事前預(yù)知：資產(chǎn)/脆弱性/策略有效性深信服 NGAF 能夠在事前對內(nèi)部的服務(wù)器進行自動識別，并且還能自動識別服務(wù)器上開放端口和存在的漏洞，弱密碼等風(fēng)險，同時還能判斷識別出的資產(chǎn)是否有對應(yīng)的安全防護策 略以及是否生效。事中防御：完整的防御體系+安全聯(lián)動+威脅情報深信服NGAF 在事中防御層面融合了多種安全技術(shù)，提供了L2-7 層完整的安全防御體系， 確保安全防護不存在短板，同時還能通過安全聯(lián)動功能加強防御體系的時效性和有效性，包

7、括模塊間的聯(lián)動封鎖，同云端安全聯(lián)動，策略的智能聯(lián)動等。此外，深信服 NGAF 還廣泛的開展第三方安全機構(gòu)合作，通過國家漏洞信息庫，谷歌 Virustotal 惡意鏈接庫等多來源威脅情報的輸入，幫助用戶能夠在安全事件爆發(fā)之前就提前做好防御的準(zhǔn)備。事后檢測&響應(yīng)：威脅行為的持續(xù)檢測&快速響應(yīng)傳統(tǒng)安全建設(shè)主要集中在邊界安全防御，缺乏對繞過安全防御措施后的檢測及響應(yīng)能 力，如果能做好事后的檢測及響應(yīng)措施，可以極大程度降低安全事件產(chǎn)生的影響。深信服NGAF 融合了事后檢測及快速響應(yīng)技術(shù)，即使在黑客入侵之后，也能夠幫助用戶及時發(fā)現(xiàn)入侵后的惡意行為，如檢測僵尸主機發(fā)起的惡意行為，網(wǎng)頁篡改，網(wǎng)站黑鏈植入及網(wǎng)站

8、Webshell 后門檢測等，并快速推送告警事件，協(xié)助用戶進行響應(yīng)處置。全程可視事前對安全風(fēng)險的認(rèn)知清晰了解資產(chǎn)脆弱性快速發(fā)現(xiàn)策略有效性事中對保護過程的認(rèn)知攻擊事件匹配不同攻擊階段事后對保護結(jié)果的認(rèn)知基于信息資產(chǎn)維度的安全現(xiàn)狀展示綜合風(fēng)險報表主要功能介紹系統(tǒng)架構(gòu)設(shè)計深信服下一代防火墻構(gòu)筑在 64 位多核并發(fā)，高速硬件平臺之上，采用自主研發(fā)的并行操作系統(tǒng)（Sangfor OS），將轉(zhuǎn)發(fā)平面、安全平面并行運行在多核平臺上。多平面并發(fā)處理， 緊密協(xié)作，極大的提升了網(wǎng)絡(luò)數(shù)據(jù)包的安全處理性能?？刂破矫尕?fù)責(zé)整個系統(tǒng)各平面、各模塊間的監(jiān)控和協(xié)調(diào)工作，此平面包括配置存儲、配置下發(fā)、 控制臺 UI、數(shù)據(jù)中心等功

9、能。轉(zhuǎn)發(fā)平面負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，此平面包括路由子系統(tǒng)、網(wǎng)橋子系統(tǒng)、鄰居系統(tǒng)、VPN、NAT、撥號等功能。安全平面負(fù)責(zé)安全功能的協(xié)調(diào)運行，采用一次解析引擎，一次掃描便可識別出各種威脅和攻擊， 此平面包括入侵防御、WEB 應(yīng)用防護、實時漏洞分析、僵尸網(wǎng)絡(luò)、數(shù)據(jù)防泄密、內(nèi)容過濾、防病毒等功能。分離平面設(shè)計深信服下一代防火墻通過軟件設(shè)計將網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)處理進行分離，在底層以應(yīng) 用識別模塊為基礎(chǔ)，對所有網(wǎng)卡接收到的數(shù)據(jù)進行識別，再通過抓包驅(qū)動把需要處理的應(yīng)用 數(shù)據(jù)報文抓取到應(yīng)用層。若應(yīng)用層發(fā)生數(shù)據(jù)處理失敗的情況，也不會影響到網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn) 發(fā)，從而實現(xiàn)高效、可靠的數(shù)據(jù)報文處理。多核并行處理深

10、信服下一代防火墻的設(shè)計不僅采用了多核的硬件架構(gòu)，在計算指令設(shè)計上還采用了先 進的無鎖并行處理技術(shù)，能夠?qū)崿F(xiàn)多流水線同時處理，成倍提升系統(tǒng)吞吐量，在多核系統(tǒng)下 性能表現(xiàn)十分優(yōu)異，是真正的多核并行處理架構(gòu)。單次解析架構(gòu)深信服下一代防火墻采用單次解析架構(gòu)實現(xiàn)報文的一次解析一次匹配，有效提升了應(yīng)用 層效率。實現(xiàn)單次解析技術(shù)的一個關(guān)鍵要素就是軟件架構(gòu)設(shè)計實現(xiàn)網(wǎng)絡(luò)層、應(yīng)用層的平面分 離，將數(shù)據(jù)通過“0”拷貝技術(shù)提取到應(yīng)用平面上實現(xiàn)威脅特征的統(tǒng)一解析和統(tǒng)一檢測，減少冗余的數(shù)據(jù)包封裝，實現(xiàn)高性能的數(shù)據(jù)處理。跳躍式掃描技術(shù)深信服下一代防火墻利用多年積累的應(yīng)用識別技術(shù)，在內(nèi)核驅(qū)動層面通過私有協(xié)議將所有經(jīng)過下一代防

11、火墻的數(shù)據(jù)包都打上應(yīng)用的標(biāo)簽。當(dāng)數(shù)據(jù)包被提取到內(nèi)容檢測平面進行檢測 時，設(shè)備會找到對應(yīng)的應(yīng)用威脅特征，通過使用跳躍式掃描技術(shù)跳過無關(guān)的應(yīng)用威脅檢測特 征，減少無效掃描，提升掃描效率。比如：流量被識別為 HTTP 流量，那么 FTP server 的相關(guān)漏洞攻擊特征便不會對系統(tǒng)造成威脅，便可以暫時跳過檢測進行轉(zhuǎn)發(fā)，提升轉(zhuǎn)發(fā)的效率。Sangfor Regex 正則引擎正則表達(dá)式是一種識別特定模式數(shù)據(jù)的方法，它可以準(zhǔn)確識別網(wǎng)絡(luò)中的攻擊。經(jīng)深信服安全專家研究發(fā)現(xiàn)，業(yè)界已有的正則表達(dá)式匹配方法的速度一般比較慢，制約了下一代防火墻的整機速度的提高。為此，深信服設(shè)計并實現(xiàn)了全新的 Sangfor Regex

12、 正則引擎，將正則表達(dá)式的匹配速度提高到數(shù)十 Gbps，比 PCRE 和 Google 的 RE2 等知名引擎快數(shù)十倍，達(dá)到業(yè)內(nèi)較高水平。深信服下一代防火墻的 Sangfor Regex 大幅降低了 CPU 占用率，有效提高了 NGAF 的整機吞吐，從而能夠更高速地處理客戶的業(yè)務(wù)數(shù)據(jù)，該項技術(shù)尤其適用于對每秒吞吐量要求特 別高的場景，如運營商、電商等?；A(chǔ)防火墻特性深信服 NGAF 兼容傳統(tǒng)防火墻的所有功能特性，包括交換/路由、訪問控制，A-A/A-S 雙機熱備、軟硬件 Bypass、系統(tǒng)管理、日志報表、會話管理、抗 DDoS 攻擊、應(yīng)用代理、DHCP/DNS 等等。PPPoE通過 ADSL

13、接入 Internet 已經(jīng)成為越來越多中小企業(yè)的選擇，而 ADSL 需要撥號以后才能獲得 IP 地址。深信服 NGAF 支持 PPPoE 協(xié)議，作為 PPPoE Client 端完成與 PPPoE Server 建立連接和地址獲取，通過設(shè)置用戶名和口令即可支持 ADSL 接入，獲得動態(tài) IP 地址、網(wǎng)關(guān)及 DNS 地址，自動完成撥號過程，接入 Internet 網(wǎng)絡(luò)。解決中小企業(yè)上網(wǎng)問題。NAT 地址轉(zhuǎn)換支持靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（Static NAT）和動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（Dynamic NAT），實現(xiàn)內(nèi)網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址后進行網(wǎng)絡(luò)通信。支持目的 NAT，將對外網(wǎng)地址的訪問映射為對內(nèi)網(wǎng)地址訪問，

14、支持將對一個公網(wǎng)地址的訪問映射為內(nèi)網(wǎng)多個地址，實現(xiàn)內(nèi)網(wǎng)服務(wù)器的負(fù)載均衡 訪問，同時支持目的端口轉(zhuǎn)換。IPv6/IPv4 雙協(xié)議棧支持 IPv6 安全控制策略設(shè)置，能針對 IPV6 的目的/源地址、目的/源服務(wù)端口、服務(wù)、等條件進行安全訪問規(guī)則的設(shè)置；支持 IPv6 靜態(tài)路由；支持雙棧、6to4 及 6in4 隧道實現(xiàn)IPv6 網(wǎng)絡(luò)與 IPv4 網(wǎng)絡(luò)訪問等。深信服 NGAF 產(chǎn)品已獲 IPv6-Ready 認(rèn)證。VPN深信服 NGAF 根據(jù)企業(yè) VPN 常見使用場景，支持多種 VPN 隧道業(yè)務(wù)，包括 IPSec、GRE、SSL、L2TP VPN 等。用戶可通過 GRE、IPSec 或 SSL V

15、PN 隧道實現(xiàn)分公司與總部之間的數(shù)據(jù)安全傳輸，通過 SSL 或 L2TP VPN 隧道實現(xiàn) PC 以及移動客戶端與總部之間的數(shù)據(jù)安全傳輸； 支持多種隧道模式，即可以讓用戶通過七層 Web 鏈接進行內(nèi)網(wǎng)資源的快速訪問，又可以讓用戶通過三層隧道實現(xiàn)任意內(nèi)網(wǎng)應(yīng)用資源的便捷使用。鏈路聚合鏈路聚合（Link Aggregation），是指將多個物理接口捆綁在一起，成為一個邏輯接口，以實現(xiàn)出/入流量在各成員接口中的負(fù)荷分擔(dān)。SANGFOR NGAF 根據(jù)用戶配置的端口負(fù)荷分擔(dān)策略(主備、負(fù)載均衡-hash、負(fù)載均衡-RR) 決定報文從哪一個成員接口發(fā)送到下一跳地址。當(dāng)交換機檢測到其中一個成員接口鏈路發(fā)生

16、故障時，就停止在此接口上發(fā)送報文，并根據(jù)負(fù)荷分擔(dān)策略在剩下接口鏈路中重新計算報文 發(fā)送的接口。故障接口恢復(fù)后會再次重新計算報文發(fā)送接口。鏈路聚合在增加鏈路帶寬（如果一個接口 1G 帶寬，另外一個接口也是 1G 帶寬，如果把這兩個接口聚合成一個邏輯接口，理論上這個邏輯接口的帶寬就是 2G。）實現(xiàn)鏈路傳輸彈性和冗余等方面是一項很重要的技術(shù)。路由功能深信服 NGAF 可以實現(xiàn)靜態(tài)路由、默認(rèn)路由、浮動靜態(tài)路由等基礎(chǔ)功能，同時能夠?qū)崿F(xiàn)如 BGP、RIP、OSPF 等動態(tài)路由協(xié)議，并更好地支持策略路由、多播路由等功能。事前風(fēng)險預(yù)知資產(chǎn)自動發(fā)現(xiàn)深信服 NGAF 為幫助保護用戶快速管理資產(chǎn)，避免安全防護策略的

17、遺漏實現(xiàn)了基于流量檢測的資產(chǎn)自動發(fā)現(xiàn)功能，可以通過流經(jīng)流量的 IP 地址檢測及端口檢測快速發(fā)現(xiàn)自身資產(chǎn)， 幫助用戶進行策略的有效配置。對于網(wǎng)絡(luò)中的流量，我們可以通過是否與知名 DNS 服務(wù)器連接、是否訪問知名網(wǎng)站、是否有被搜索引擎進行檢測等算法來判定哪些是內(nèi)網(wǎng)主機。在通過端口的鏈接情況，記錄開 放的端口情況，幫助用戶了解自身網(wǎng)路情況。Web 掃描深信服 NGAF 的 WEB 掃描器是深信服結(jié)合多年來在 web 應(yīng)用安全上的研究成果，基于大量信息安全事件應(yīng)急響應(yīng)的豐富經(jīng)驗下開發(fā)出的一款安全掃描器，該掃描器旨在幫助廣大用 戶對 web 服務(wù)器網(wǎng)站進行深度的安全掃描，指紋識別，漏洞驗證，全面預(yù)知 w

18、eb 應(yīng)用系統(tǒng)的安全現(xiàn)狀，并提供專業(yè)的安全加固建議。豐富的掃描插件支持 SQL 注入，XSS 跨站腳本攻擊，目錄遍歷，CSRF 跨站請求偽造，遠(yuǎn)程文件包含，命令注入，敏感信息泄露，Struct 2 漏洞等眾多掃描插件，覆蓋所有 OWASP TOP10 高危漏洞， 保證全面深入的 WEB 網(wǎng)站掃描效果。智能網(wǎng)站指紋識別支持對 web 網(wǎng)站服務(wù)器操作系統(tǒng)類型：Apache，IIS，Tomcat，Nginx，Weblogic 等服務(wù)器/中間件類型；php/jsp/asp/c#/.net/python 等網(wǎng)站語言類型進行自動識別，并和CVE/CNNVD 漏洞庫智能關(guān)聯(lián)分析。專家級漏洞分析和修復(fù)建議為幫

19、助廣大 web 管理人員輕易讀懂和掌握專業(yè)性較強的安全報告內(nèi)容，告別晦澀難懂的漏洞掃描報告，深信服 WEB 掃描器檢測報告對漏洞進行了非常詳細(xì)和介紹和漏洞危害說明， 并將安全檢查過程中發(fā)送的 payload 測試報文進行高亮顯示，web 管理人員通過高亮顯示部分的信息，即能輕易初步掌握漏洞原因。風(fēng)險分析提供主動掃描功能，通過檢查防火墻配置，幫助管理員分析服務(wù)器開放的端口和存在的風(fēng)險，并對掃描結(jié)果提供對應(yīng)防護操作，如漏洞防護，端口屏蔽等來方便用戶進行安全防護。端口掃描對用戶指定的服務(wù)器 IP，端口進行掃描，告知用戶該服務(wù)器開放了那些端口和服務(wù)漏洞分析針對端口掃描結(jié)果對開放的端口和服務(wù)進行風(fēng)險分析

20、，告知用戶服務(wù)器存在的漏洞，并根據(jù)防火墻配置告知用戶現(xiàn)存風(fēng)險的防護狀態(tài)。 弱密碼探測提供內(nèi)置和自定義弱密碼庫，對用戶指定的服務(wù)器進行弱密碼探測，分析服務(wù)器是否存 在弱密碼風(fēng)險。策略防護提供防護操作按鈕，通過新增防火墻配置，對服務(wù)器存在的風(fēng)險進行防護。實時漏洞分析深信服 NGAF 實時漏洞分析系統(tǒng)實時旁路地檢測經(jīng)過設(shè)備的應(yīng)用流量，對流量進行對應(yīng)的應(yīng)用解析，對解析后的應(yīng)用數(shù)據(jù)匹配實時漏洞分析識別庫，發(fā)現(xiàn)服務(wù)器存在漏洞。旁路檢測實時漏洞分析采用的是旁路檢測技術(shù)，即將待檢測的數(shù)據(jù)包鏡像一份到待檢測隊列，檢 測進程對檢測的數(shù)據(jù)包進行掃描檢測，對原有數(shù)據(jù)包的轉(zhuǎn)發(fā)不會造成任何性能影響。強大的漏洞特征庫實時漏

21、洞分析所使用的漏洞特征庫由深信服北京研究中心安全專家針對目前流行的軟件、系統(tǒng)等漏洞提取特征，形成庫并快速的更新到 NGAF 設(shè)備，保證識別出網(wǎng)絡(luò)中出現(xiàn)的較新漏洞。威脅情報預(yù)警與處置在云端通過安全事件響應(yīng)分析模塊自動對安全事件進行及時的響應(yīng)和分析，產(chǎn)出安全事 件的危害描述、漏洞特征、攻擊特征和防護策略，網(wǎng)關(guān)設(shè)備通過更新機制把安全事件更新包 更新到本地，并通過控制臺彈窗的方式告知用戶當(dāng)前的安全事件和危害，本地掃描器針對漏 洞特征對當(dāng)前防護的業(yè)務(wù)系統(tǒng)進行全面掃描分析定位是否存在此安全事件漏洞。如果本地存 在安全漏洞，則通過安全引擎對此漏洞的安全攻擊特征進行防護，并且通過自動化生成安全 防護策略的方式

22、幫助用戶達(dá)到全面有效防護此安全事件的目的。在對此安全事件完成安全防 護后，本地掃描器還會再次掃描評估是否全面有效的防護了此安全事件。原理流程如下：策略有效性識別深信服 NGAF 通過三個維度實現(xiàn)了策略有效性檢測：通過監(jiān)測流量進行發(fā)現(xiàn)，判定是否對設(shè)備與業(yè)務(wù)系統(tǒng)之間進行了策略配置實現(xiàn)檢測、防 御、響應(yīng)；通過策略的對比檢查，發(fā)現(xiàn)是否存在無效策略、策略沖突、策略配置不當(dāng)?shù)葐栴}；通過規(guī)則庫的版本檢測，高危 0day 預(yù)警是否開啟等方式判定設(shè)備是否具備新威脅的防御能力。事中安全防護智能控制深信服 NGAF 除了能實現(xiàn)等同于傳統(tǒng)防火墻的訪問控制功能之外還能實現(xiàn)基于應(yīng)用及地域的訪問控制，幫助用戶更好的進行精準(zhǔn)

23、控制。應(yīng)用控制傳統(tǒng)防火墻的訪問控制或者流量管理粒度粗放，只能基于 IP/端口號對數(shù)據(jù)流量進行一刀切式的禁止或允許。深信服下一代防火墻基于更好的應(yīng)用和用戶識別能力，對數(shù)據(jù)流量和訪問來源進行精細(xì)化辨識和分類，使得用戶可以輕易從同一個端口協(xié)議的數(shù)據(jù)流量中辨識出 任意多種不同的應(yīng)用，或從無意無序的 IP 地址中辨識出有意義的用戶身份信息，從而針對識別出的應(yīng)用和用戶施加細(xì)粒度、有區(qū)別的訪問控制策略、流量管理策略和安全掃描策略， 保障了用戶更直接、準(zhǔn)確、精細(xì)的管理愿望和控制訴求。例如：允許HTTP 網(wǎng)頁訪問順利進行，并且保證高訪問帶寬，但是不允許同樣基于 HTTP 協(xié)議的視頻流量通過；允許通過 QQ 進行

24、即時通訊，但是不允許通過 QQ 傳輸文件；允許郵件傳輸，但需要進行防病毒或明個信息過濾，如發(fā)現(xiàn)有病毒入侵或泄密事件馬上阻斷；等等。地域訪問控制地域訪問控制主要是通過對訪問者的 IP 地址進行歸屬地判斷，判斷所屬國家或地區(qū)是否能夠?qū)I(yè)務(wù)進行訪問。SANGFOR NGAF 內(nèi)置了一個全球的 IP 地址庫，并定期更新。地址庫由三部分組成：黑名單、白名單和全球地址庫，用戶可以在 WEBUI 上對此地址庫配置黑白名單和 IP 歸屬地糾錯。具體訪問控制流程如下：一、訪問者的 IP 首先會根據(jù) IP 黑名單進行匹配，如果此 IP 是黑名單的 IP 則直接拒絕訪問；二、根據(jù) IP 白名單進行匹配，如果此 IP

25、 是白名單的 IP 則直接允許訪問；三、如果不在黑白名單中，則通過 IP 地址庫進行匹配，得出此 IP 的歸屬地（那個國家或地區(qū)），然后根據(jù)用戶配置的此國家或是地區(qū)的訪問策略進行拒絕或允許訪問。基于漏洞的安全防護深信服 NGAF 的威脅分析引擎具備 4000+條漏洞特征庫、3000+Web 應(yīng)用威脅特征庫，可以全面識別各種應(yīng)用層和內(nèi)容級別的單一安全威脅；另外，深信服憑借在應(yīng)用層領(lǐng)域 10 年以上的技術(shù)積累，組建了專業(yè)的安全攻防團隊，可以為用戶定期提供較新的威脅特征庫更新， 以確保防御的及時性。安全團隊定期更新深信服安全團隊對于網(wǎng)絡(luò)中不斷發(fā)現(xiàn)的攻擊形式進行解析，通過后端的專家團隊對攻擊的不斷解析

26、發(fā)現(xiàn)其中的攻擊特征，并將攻擊特征整理歸納填充到現(xiàn)有的特征庫中為用戶定期進行更新，當(dāng)遇到重大安全威脅時深信服的安全團隊會同時發(fā)布威脅預(yù)警并進行實時更新， 幫助用戶抵御較新的安全威脅。在線設(shè)備全網(wǎng)聯(lián)動深信服 NGAF 為滿足對新威脅防御的需求，讓用戶以最快的速度具備防御新威脅的能力， 實現(xiàn)了安全云與在線設(shè)備的聯(lián)動。通過云端收集上萬臺在線設(shè)備的未知威脅進行分析，并將分析結(jié)果發(fā)送給所有的深信服 NGAF，使得用戶具備防御最新威脅的能力。多家機構(gòu)共享特征以目前網(wǎng)絡(luò)攻擊的更新速度來看，單一廠商很難實現(xiàn)對最新威脅的實時更新。為了更好 的服務(wù)客戶，深信服通過與 CNCERT、Google virus tota

27、l 等十余家權(quán)威機構(gòu)的合作來實現(xiàn)共享威脅情報，幫助用戶接收到多方位的信息，實現(xiàn)對新威脅的有效防御。在線沙盒未知檢測在對已知威脅具備了防御能力之后，為了彌補固定特征庫防御方面會有遺漏的問題，深 信服提供了云端在線的沙盒檢測功能。通過沙盒環(huán)境下未知流量的運行來監(jiān)測系統(tǒng)環(huán)境的變 化，提取相關(guān)參數(shù)變化形成分析結(jié)果，確定威脅類型并將結(jié)果下發(fā)的設(shè)備端。同時深信服內(nèi)部每周也會通過云端在線沙盒收集流量來進行分析，用以填充設(shè)備特征庫。精準(zhǔn)分類的防護策略考慮到針對主機和終端的不同操作系統(tǒng)或者軟件攻擊時所要利用漏洞的不同，深信服NGAF 對此問題將防護策略分為了針對客戶端和服務(wù)器端兩種類型，使得使用可以根據(jù)自己的使

28、用場景進行快速選擇，讓防護更局針對性。web 層防護深信服NGAF 能夠有效防護OWASP 組織提出的 10 大web 安全威脅的主要攻擊，并于 2013 年 1 月獲得了 OWASP 組織頒發(fā)的產(chǎn)品安全功能測試 4 星評級證書（最高評級為 5 星，深信服NGAF 為國內(nèi)同類產(chǎn)品評分最高）主要功能如：防SQL 注入攻擊SQL 注入攻擊產(chǎn)生的原因是由于在開發(fā) web 應(yīng)用時，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果， 獲得某些他想得知的數(shù)據(jù)，這就是所謂的 SQL Injection，即 SQL 注入。NGAF 可以通過高效的

29、URL 過濾技術(shù)，過濾 SQL 注入的關(guān)鍵信息，從而有效的避免網(wǎng)站服務(wù)器受到 SQL 注入攻擊。防XSS 跨站腳本攻擊跨站攻擊產(chǎn)生的原理是攻擊者通過向 Web 頁面里插入惡意 html 代碼，從而達(dá)到特殊目的。NGAF 通過先進的數(shù)據(jù)包正則表達(dá)式匹配原理，可以準(zhǔn)確地過濾數(shù)據(jù)包中含有的跨站攻擊的惡意代碼，從而保護用戶的 WEB 服務(wù)器安全。防 CSRF 攻擊CSRF 即跨站請求偽造，從成因上與 XSS 漏洞完全相同，不同之處在于利用的層次上， CSRF 是對 XSS 漏洞更高級的利用，利用的核心在于通過 XSS 漏洞在用戶瀏覽器上執(zhí)行功能相對復(fù)雜的 JavaScript 腳本代碼劫持用戶瀏覽器訪

30、問存在 XSS 漏洞網(wǎng)站的會話，攻擊者可以與運行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權(quán)限執(zhí)行惡意操 作。NGAF 通過先進的數(shù)據(jù)包正則表達(dá)式匹配原理，可以確地過濾數(shù)據(jù)包中含有的 CSRF 的攻擊代碼，防止 WEB 系統(tǒng)遭受跨站請求偽造攻擊。主動防御技術(shù)主動防御可以針對受保護主機接受的 URL 請求中帶的參數(shù)變量類型，以及變量長度按照設(shè)定的閾值進行自動學(xué)習(xí)，學(xué)習(xí)完成后可以抵御各種變形攻擊。另外還可以通過自定義參數(shù) 規(guī)則來更準(zhǔn)確的匹配合法 URL 參數(shù)，提高攻擊識別能力。應(yīng)用信息隱藏NGAF 對主要的服務(wù)器（WEB 服務(wù)器、FTP 服務(wù)器、郵件服務(wù)器等）反饋信息進行了有效的隱

31、藏。防止黑客利用服務(wù)器返回信息進行有針對性的攻擊。如：HTTP 出錯頁面隱藏：用于屏蔽 Web 服務(wù)器出錯的頁面，防止 web 服務(wù)器版本信息泄露、數(shù)據(jù)庫版本信息泄露、網(wǎng)站絕對路徑暴露，應(yīng)使用自定義頁面返回。HTTP(S)響應(yīng)報文頭隱藏：用于屏蔽 HTTP(S)響應(yīng)報文頭中特定的字段信息。FTP 信息隱藏：用于隱藏通過正常 FTP 命令反饋出的 FTP 服務(wù)器信息，防止黑客利用 FTP 軟件版本信息采取有針對性的漏洞攻擊。URL 防護Web 應(yīng)用系統(tǒng)中通常會包含有系統(tǒng)管理員管理界面以便于管理員遠(yuǎn)程維護 web 應(yīng)用系統(tǒng)，但是這種便利很可能會被黑客利用從而入侵應(yīng)用系統(tǒng)。通過 NGAF 提供的受限

32、 URL 防護功能，幫助用戶選擇特定 URL 的開放對象，防止由于過多的信息暴露于公網(wǎng)產(chǎn)生的威脅。弱口令防護弱口令被視為眾多認(rèn)證類 web 應(yīng)用程序的普遍風(fēng)險問題，NGAF 通過對弱口令的檢查， 制定弱口令檢查規(guī)則控制弱口令廣泛存在于 web 應(yīng)用程序中。同時通過時間鎖定的設(shè)置防止黑客對 web 系統(tǒng)口令的暴力破解。HTTP 異常檢測通過對 HTTP 協(xié)議內(nèi)容的單次解析，分析其內(nèi)容字段中的異常，用戶可以根據(jù)自身的 Web 業(yè)務(wù)系統(tǒng)來量身定造允許的 HTTP 頭部請求方法，有效過濾其他非法請求信息。文件上傳過濾由于 web 應(yīng)用系統(tǒng)在開發(fā)時并沒有完善的安全控制，對上傳至 web 服務(wù)器的信息進行

33、檢查，從而導(dǎo)致 web 服務(wù)器被植入病毒、木馬成為黑客利用的工具。NGAF 通過嚴(yán)格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務(wù)器。同時還能夠結(jié)合病毒 防護、插件過濾等功能檢查上傳文件的安全性，以達(dá)到保護 web 服務(wù)器安全的目的。用戶登錄權(quán)限防護針對某些特定的敏感頁面或者應(yīng)用系統(tǒng)，如管理員登陸頁面等，為了防止黑客訪問并不 斷的進行登錄密碼嘗試，NGAF 可以提供訪問 URL 登錄進行短信認(rèn)證的方式，提高訪問的安全性。緩沖區(qū)溢出檢測緩沖區(qū)溢出攻擊是利用緩沖區(qū)溢出漏洞所進行的攻擊行動?？梢岳盟鼒?zhí)行非授權(quán)指 令，甚至可以取得系統(tǒng)特權(quán)，進而進行各種非法操作。NGAF 通過對

34、URL 長度，POST 實體長度和 HTTP 頭部內(nèi)容長度檢測來防御此類型的攻擊。HTTPS 解密由于 HTTPS 的數(shù)據(jù)是經(jīng)過 SSL 加密處理的，如果不進行 HTTPS 解密，SANGFOR NGAF 無法分析加密數(shù)據(jù)包里面的內(nèi)容，從而也無法達(dá)到各種攻擊檢測和防護的作用，而只能進行數(shù) 據(jù)轉(zhuǎn)發(fā)。HTTPS 解密主要是在 SANGFOR NGAF 內(nèi)部實現(xiàn)了 HTTPS 的代理功能。當(dāng) NGAF 識別到用戶在與 HTTPS 服務(wù)器建立連接時，根據(jù)用戶配置的策略，把這條連接的所有數(shù)據(jù)包抓到應(yīng)用層，并用用戶配置的 SSL 證書進行 SSL 解密，然后把解密后的數(shù)據(jù)包進行各種安全檢測處理， 如數(shù)據(jù)包

35、無異常，則再使用用戶配置的 SSL 證書進行加密發(fā)送出去。未知威脅檢測深信服 NGAF 在發(fā)現(xiàn)未知流量時，將會主動（配置允許的條件下）將未知流量上傳到云端沙盒進行未知威脅的檢測工作。深信服云端沙盒可以通過監(jiān)測沙盒環(huán)境下的文件執(zhí)行情 況、異常網(wǎng)絡(luò)行為、注冊表改動等行為來進行未知威脅的判定工作，再通過特征庫更新的方式下發(fā)到所有在線的 NGAF 上。深信服目前已經(jīng)有上網(wǎng)臺 NGAF 與云端聯(lián)動，每天運行大量的未知流量發(fā)現(xiàn)新威脅特征， 用以充實特征庫，幫助用戶抵御較新的攻擊行為。防篡改深信服 NGAF 防篡改系統(tǒng)由兩部分組成：深信服 NGAF 和深信服防篡改客戶端?？蛻舳撕拖乱淮阑饓o密結(jié)合，功能聯(lián)

36、動，保證網(wǎng)站內(nèi)容不被篡改。先進的IRP 流攔截技術(shù)深信服防篡改客戶端采用系統(tǒng)底層文件過濾技術(shù)，在文件系統(tǒng)上加載防篡改客戶端驅(qū)動 程序，攔截分析 IRP（I/O Request Pcaket）流，識別用戶對文件系統(tǒng)的所有操作，并根據(jù)防篡改策略對非法的操作進行攔截，以確保受保護的網(wǎng)站目錄文件不被篡改?？蛻舳塑浖捎媚壳白盍餍械?IRF 文件驅(qū)動流，通過在客戶端軟件配置需要保護的文件目錄和允許修改該目錄的應(yīng)用程序，識別修改被保護網(wǎng)站目錄的應(yīng)用程序是否合法；文件驅(qū)動檢測并識別到非法應(yīng)用程序修改目錄時，拒絕該應(yīng)用程序的修改動作，并記錄行為日志，上報到 NGAF；客戶端軟件只有連接了 NGAF 才能激活使

37、用，不能獨立使用；使用客戶端軟件連接NGAF 時，NGAF 上面須配置一條策略使被保護服務(wù)器 IP 與客戶端軟件能夠進行匹配；網(wǎng)站管理強認(rèn)證深信服 NGAF 對網(wǎng)站管理進行二次認(rèn)證，防止網(wǎng)站管理員因密碼泄露而被篡改，并且對用戶網(wǎng)站服務(wù)器進行 web 防護，防止網(wǎng)站因 webshell、sql 注入等攻擊被篡改。管理員后臺管理賬號密碼泄露，黑客即使知道了管理員賬號密碼，因為無法通過 NGAF 的二次驗證，因而無法篡改網(wǎng)站服務(wù)器的目的。黑客入侵到內(nèi)網(wǎng)，控制了一臺肉雞，想通過肉雞篡改網(wǎng)站服務(wù)器，深信服防篡改客戶端 發(fā)現(xiàn)管理員的源 IP 地址不合法，并且沒有通過授權(quán)，因而也無法達(dá)到篡改網(wǎng)站服務(wù)器的目的

38、。支持多種網(wǎng)站維護方式深信服 NGAF 防篡改系統(tǒng)支持 FTP，CMS 等多種網(wǎng)站后臺管理方式，在對客戶網(wǎng)站服務(wù)器起到保護作用的同時，不會給管理員帶來額外的管理負(fù)擔(dān)，做到的真正的簡單實用。DDOS 防護深信服 NGAF 采用自主研發(fā)的 DOS 攻擊算法，可防護基于數(shù)據(jù)包的 DOS 攻擊、IP 協(xié)議報文的 DOS 攻擊、TCP 協(xié)議報文的 DOS 攻擊、基于 HTTP 協(xié)議的 DOS 攻擊等，實現(xiàn)對網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護，實現(xiàn) L2-L7 層的異常流量清洗。SANGFOR NGAF 通過兩個檢測階段進行 DDoS 的檢測和防護：對于業(yè)務(wù)數(shù)據(jù)第一階段進行 TCP 異常包、

39、IP 選項攻擊、未知 IP 協(xié)議攻擊、IP 分片攻擊、LAND 攻擊、WINNUKE 攻擊、SMURF 攻擊、TCP 選項攻擊、各種 FLOOD 攻擊（包括 SYN FLOOD, ICMP FLOOD, UDP FLOOD, DNS QUERY FLOOD）等 DDoS 檢測。當(dāng)?shù)谝浑A段中檢測到 SYN 包頻率過高時，將在第二階段對 TCP 連接做 SYN COOKIE 代理，第二階段還進行 ICMP 大包攻擊(即ping of death)等檢測。對于本機（訪問 SANGFOR NGAF 自身）數(shù)據(jù)，DDoS 檢測模塊會在第一階段做端口掃描的檢測（SYN 掃描和 CONNECT 掃描），包括

40、所有的 nmap 掃描：FIN 掃描，NULL 掃描，xmas tree 掃描，UDP 掃描，ACK 掃描，MAIMON 掃描，WINDOWS 掃描，TCP Idle 掃描。而第二階段根據(jù)第一階段的檢測結(jié)果決定是否做本機的 syn 代理。病毒防護深信服 NGAF 采用流模式和啟發(fā)式文件掃描技術(shù)，可對 HTTP、SMTP、POP3、FTP 等多種協(xié)議類型的近百萬種病毒進行查殺，包括木馬、蠕蟲、宏病毒、腳本病毒等，同時可對多線 程并發(fā)、深層次壓縮文件等進行有效控制和查殺。多協(xié)議并行解析為了充分利用深信服 NGAF 的多核硬件的架構(gòu)優(yōu)勢，NGAF 中的協(xié)議解析引擎采用了并行解析架構(gòu)，可以對包括 HT

41、TP、SMTP、POP3、FTP 等不同的協(xié)議并發(fā)進行解析，極大的提高解析效率。內(nèi)存共享殺毒協(xié)議解析引擎和殺毒引擎之間直接通過共享內(nèi)存?zhèn)鬟f病毒樣本和殺毒結(jié)果，進程之間數(shù) 據(jù)交互零拷貝，不會因為不同引擎間的數(shù)據(jù)拷貝導(dǎo)致殺毒效率降低。多進程并行查殺殺毒引擎采用深信服 NGAF 自研發(fā)的多進程任務(wù)分發(fā)架構(gòu)，利用多核硬件架構(gòu)，可以極大的提高殺毒引擎同時查殺的病毒樣本數(shù)目。智能學(xué)習(xí)病毒殺毒引擎對于已經(jīng)查殺過病毒樣本，將智能的提取樣本特征寫入緩存，當(dāng)協(xié)議解析引擎再次發(fā)起相同的病毒樣本查殺任務(wù)時，可以快速的返回查殺結(jié)果，從而極大的提高病毒查殺 效率。數(shù)據(jù)防泄密深信服 NGAF 提供可定義的敏感信息防泄漏功能

42、，根據(jù)儲存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。深信服敏 感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進行有效識別、報警并阻斷，防止大量 敏感信息被非法泄露。（如：用戶信息/郵箱賬戶信息/MD5 加密密碼/銀行卡號/身份證號碼/社保賬號/信用卡號/手機號碼）深信服 NGAF 數(shù)據(jù)防泄密特征庫由深信服北京研究中心的安全專家實時跟蹤業(yè)界的安全動態(tài)，收集軟件的敏感信息特征，提取成特征庫并實時更新到 NGAF。保證 NGAF 能夠及時的阻斷黑客對敏感信息的訪問，保護客戶的隱私信息。事后檢測及響應(yīng)持續(xù)檢測失陷主機深信服 NGAF 獨有的失陷主機

43、檢測功能，能夠?qū)崟r對外發(fā)流量進行檢測，協(xié)助用戶定位內(nèi)網(wǎng)被黑客控制的服務(wù)器或終端。該功能融合了僵尸網(wǎng)絡(luò)識別庫，全球在線的僵尸網(wǎng)絡(luò)榮譽 庫，業(yè)界領(lǐng)先的失陷主機行為識別技術(shù)對黑客的攻擊行為進行有效識別，針對以反彈式木馬 為代表的惡意軟件進行深度防護。同時結(jié)合多種失陷主機的行為特征為主機失陷的概率進行評分，幫助用戶對問題進行精 確定位，減少誤判帶來的運維浪費。黑鏈檢測黑客通過非法手段在 web 服務(wù)器中的的頁面插入非法鏈接，或者在 web 服務(wù)器中放置存在非法鏈接的頁面。這些非法鏈就是黑鏈。黑鏈對客戶造成許多的不良影響：損害網(wǎng)站形象、降低搜索排名、同時也說明客戶網(wǎng)站 存在嚴(yán)重安全隱患。黑鏈檢測功能實現(xiàn)

44、識別客戶的 web 服務(wù)器是否被植入黑鏈。其技術(shù)實現(xiàn)原理為：先通過對經(jīng)過放火墻的流量進行 http 抓包，還原 html 頁面、js 文檔、以及 css 文檔；然后從黑鏈特征、黑鏈 url、以及黑鏈關(guān)鍵詞、js 跳轉(zhuǎn)等幾個方面對黑鏈進行檢測。黑鏈檢測通過在線更新機制，維護黑鏈 url 庫和黑鏈關(guān)鍵詞庫，保證檢測的有效性和正確性。黑鏈特征檢測檢測頁面中存在標(biāo)簽的塊屬性標(biāo)簽或者等標(biāo)簽是否存在隱藏自我的樣式。 黑鏈 url 檢測檢測外鏈標(biāo)簽的跳轉(zhuǎn)目標(biāo)是否為已知的非法站點。 黑鏈關(guān)鍵詞檢測檢測外鏈標(biāo)簽和關(guān)鍵詞敏感的標(biāo)簽的內(nèi)容中是否存在常用的黑鏈關(guān)鍵詞。 js 跳轉(zhuǎn)檢測檢測 js 語法，發(fā)現(xiàn)異常的站點跳

45、轉(zhuǎn)。安全響應(yīng)為了幫助客戶在發(fā)現(xiàn)問題后進行快速響應(yīng)，避免因延時處理帶來更大的危害，深信服NGAF 通過三個層面幫助客戶解決網(wǎng)絡(luò)安全問題。策略自動生成日常運維中大多數(shù)用戶每天都會看到上千條的安全日志，在對于這些安全問題的處理上 如果依靠人工分析那么往往無法快速有效的策略配置。在對設(shè)備的配置方面還需要原廠工程 師協(xié)助處理，這個日常工作帶來了很大的延誤。深信服 NGAF 通過基于問題的發(fā)現(xiàn)，可自動生成響應(yīng)的防護策略，幫助客戶快速簡單的實現(xiàn)策略更新，更快地實現(xiàn)安全防護。工具提供對于失陷主機的發(fā)現(xiàn)往往可以快速幫助客戶定位問題根源，但問題發(fā)現(xiàn)后往往帶來的便 是如何清除的問題。深信服 NGAF 自帶僵尸主機清

46、除工具，幫助客戶簡易處理失陷主機，快速清除隱患。云端支持深信服 NGAF 通過云端在線的安全專家，可以 7*24 小時的快速協(xié)助用戶處理安全問題， 針對發(fā)現(xiàn)的安全風(fēng)險進行安全加固，對于未知的問題進行威脅鑒定，通過人工服務(wù)彌補機器的智能缺陷。部署模式網(wǎng)關(guān)模式網(wǎng)關(guān)模式是指設(shè)備工作在三層交換模式，NGAF 以網(wǎng)關(guān)模式部署在網(wǎng)絡(luò)中，所有流量都經(jīng)過 NGAF 處理，實現(xiàn)對用戶或者服務(wù)器的流量管理、行為控制、安全防護等功能。作為的出口網(wǎng)關(guān)，NGAF 的安全功能可保障網(wǎng)絡(luò)安全，支持多線路技術(shù)擴展出口帶寬，NAT 功能代理內(nèi)網(wǎng)用戶上網(wǎng)、服務(wù)器發(fā)布，實現(xiàn)路由功能等。部署方式：NGAF 的 WAN 口與廣域網(wǎng)接入

47、線路相連，支持光纖、ADSL 線路或者是路由器；NGAF 的 LAN 口（DMZ 口）同局域網(wǎng)的交換機相連；內(nèi)網(wǎng) PC 將網(wǎng)關(guān)指向 NGAF 的局域網(wǎng)接口，通過 NGAF 代理上網(wǎng)。網(wǎng)橋模式單網(wǎng)橋模式網(wǎng)橋模式是指設(shè)備工作在二層交換模式，NGAF 以網(wǎng)橋模式部署在網(wǎng)絡(luò)中，如同連接在出口網(wǎng)關(guān)和內(nèi)網(wǎng)交換機之間的“智能網(wǎng)線”，實現(xiàn)對用戶或者服務(wù)器的流量管理、行為控制、 安全防護等功能。網(wǎng)橋模式適用于不希望更改網(wǎng)絡(luò)結(jié)構(gòu)、路由配置、IP 配置的環(huán)境。部署方式：NGAF 的 WAN 口同出口網(wǎng)關(guān) LAN 口相連，為 NGAF 分配一個網(wǎng)橋 IP，該 IP 和出口網(wǎng)關(guān) LAN 口在同一網(wǎng)段；LAN 口（DMZ

48、 口）同核心交換機連接；局域網(wǎng)內(nèi)的任何網(wǎng)絡(luò)設(shè)備和 PC 都不需要更改 IP 地址。多網(wǎng)橋模式考慮到網(wǎng)絡(luò)的穩(wěn)定性、可靠性，往往采用雙機、雙線路構(gòu)建基礎(chǔ)網(wǎng)絡(luò)。NGAF 支持多路橋接模式，適應(yīng)多機網(wǎng)絡(luò)環(huán)境要求。在不影響原有雙機、雙線路前提下，對流經(jīng) NGAF 的所有數(shù)據(jù)流進行控制、攔截、流量管理、安全檢測等操作。部署方式：通過 NGAF 配置界面，定義兩對橋接口（WAN1-LAN1，WAN2-LAN2）；為每對網(wǎng)橋分配 IP 地址。旁路模式NGAF 以旁路模式部署在網(wǎng)絡(luò)中，與交換機鏡像端口相連，實施簡單，完全不影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，降低了網(wǎng)絡(luò)單點故障的發(fā)生率。此時 NGAF 獲得的是鏈路中數(shù)據(jù)的“拷貝”， 主要用于監(jiān)聽、檢測局域網(wǎng)中的數(shù)據(jù)流及用