近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化，网络攻击愈加频繁，用户对自己的网络安全建设是否合规、完善并没有把握。该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。

一、企业级网络安全建设需要什么

1.  传统割裂的各种安全产品？

传统组合方案问题多

传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的，难以对安全日志进行统一分析；安全设备在有攻击时才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。

传统产品组合方案缺陷二：有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以安全存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流量进行防护，在面临新的未知攻击的情况下缺乏有效的防御措施，还是存在被绕过的风险。

传统产品组织方案缺陷三：无论安全建设采用的是传统的安全产品叠加方案还是采用UTM/NGFW+WAF的整合类产品解决方案，都是聚焦于如何保护资产在事中攻击过程中不被入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的。

1.  企业级的网络安全需要什么？

诉求一：看不看得到安全风险？

只有看到L2-L7层的攻击才能了解网络的整体安全状况，基于传统多产品的组合方案使大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。此外，没有攻击并不意味着业务不存在漏洞，一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着对业务安全的威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的来源，就无法让客户看到网络和业务的真实安全情况。

诉求二：能不能持续抵抗新威胁？

首先，面对已知威胁，需要评估现有的安全防护体系在技术层面是否存在短板，存在短板必然容易被绕过，原有安全设备就形同虚设；其次，面对新型的威胁，企业是否具备实时应对和响应的能力，能够把影响最小化；最后，更多的安全威胁是未知的，如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁，是企业安全建设更高的一个层次的需求。

诉求三：安全运营是否能够简化？

面对专业的安全设备，如果采用前述r”雇佣兵”式的服务，并无法持续地帮助企业用户将安全达到一种可控的状态。要想能够脱离”雇佣兵”式的安全服务，让安全设备发挥出最大的防护价值，就必须将专业、难懂的安全配置、安全日志进行简化，并能够引导和帮助用户具备用好、管好自己的设备的能力。

一、深信服下一代防火墙的价值主张

融合安全，简单有效

融合不是单纯的功能叠加，而是依照业务开展过程中会遇到的各类风险，所提供的对应安全技术手段的融合，能够为业务提供全流程的保护，融合安全包括从事前的资产风险发现，策略有效性检测，到事中所应具备的各类安全防御手段以及事后的持续检测和快速响应机制。

一、深信服下一代防火墙为企业安全赋能

1.看懂安全现状和风险

1.1 业务安全状况可视

NGAF提供强大的综合安全风险报表功能，能够帮助用户直观地了解到网络中存在的风险，通过从业务安全、用户安全以及漏洞分布三个维度来全方位地帮助用户了解网络当中存在的威胁。

基于业务的风险分析报表（截选）

NGAF的实时漏洞分析功能，可以主动分析经过设备的业务流量中存在的风险并实时展示出来，实时监控界面可以根据服务器真实存在的漏洞数量进行排名，同时给出各业务系统风险情况的评估，并给出建议和解决方案。

1.1威胁危害效果可视

深信服NGAF突破传统安全产品的设计理念，在首页内容展示上进行了创新，将设备检测到的威胁风险通过图形化的界面进行统计和展示。用户通过首页就能一眼掌握网络的安全状况。通过各个版块简单的点击，就能继续深入了解到更详细的受害对象列表、安全日志、攻击来源等信息，能够直观地了解到哪些业务或者用户已经被黑客入侵或控制，哪些业务存在漏洞威胁，哪些Web服务器已经被植入了黑链等等。

1.1安全事件实时通报

深信服NGAF搭建的微信安全服务平台，能够帮助用户7*24小时监控设备的安全状态，一旦发现设备检测到安全威胁，则通过深信服后台安全专家的验证确认后推送到用户端，帮助用户及时发现和处理安全风险，同时也通过漫画的形式帮助用户更好地了解所遭受攻击的危害，并定期生成安全风险报表，让运维管理人员更加了解自身的网络安全状态。

二、持续对抗新型威胁

2.1产品快速迭代应对已知威胁

深信服NGAF具有完备的L2-L7层一体化的安全防御体系来应对已知威胁，在Web应用安全层面的防护能力尤为突出，如具备网站黑链检测、Webshell脚本检测、OWASP TOP10Web攻击防护等功能。对于不断更新的威胁，深信服NGAF通过产品的快速迭代开发来响应需求。深信服NGAF保持每两月更新一个软件版本的速度实现对产品改进需求的快速响应。

在攻击特征库方面也保持着每两周更新一次的频率进行维护。高危的0day漏洞当天进行规则更新和发布。

2.1完整的APT攻击检测链

面对复杂、隐蔽的APT攻击，深信服NGAF深入剖析了APT攻击的五个阶段，并在每个阶段都具备相应的安全措施，让用户可以看到不同阶段检测到的APT攻击行为，并可对威胁进行攻击举证；

2.1    Web风险全面防御

越来越多的web风险持续威胁着企业的关键业务，深信服基于此构建了下一代WAF防御体系，通过采用人工智能技术对合法流量进行精准识别，快速通行，有效提升设备的处理性能；

通过深度分析业务系统，将业务系统的解析能力全面移植到现有的WAF设备中，实现业务智能适配，有效抵御web风险，通过基于漏洞原理的深度防御，对现存的web风险精准识别；

2.4 业务失陷风险持续检测

面对企业重要资产的失陷风险，从而影响企业内部的核心业务，深信服专家团队全面分析了失陷主机的失陷全过程，从各个维度对失陷主机进行安全的防护，基于人工智能技术，有效识别恶意行为，生成恶意行为检测模型，对非法的行为实现快速响应；

安全云脑持续应对未知威胁

在应对未知威胁方面，深信服在云端搭建了智能大脑，安全云脑通过构建全球样本采集点并通过厂商安全情报的交换，丰富的数据来源，扩充自身的数据生态；基于领先的技术架构，对海量的数据进行汇聚、分析、挖掘，通过人工智能构建众多引擎，如僵尸网络引擎、恶意链接引擎，恶意文件检测引擎等，不断的对高危、热点威胁进行深度检测与分析，并通过攻防、安全专家不断的优化云端架构和算法引擎；通过安全云脑不断突破防火墙的防护边界，同时可以对全球热点事件进行极速响应；

NGAF与云端大脑联动应对未知威胁

深信服未知威胁云检测平台        

截止至2017年12月，深信服安全云平台累计收到接近2亿条可疑威胁流量，并分析定位出100多万条存在威胁的恶意网址，安全云平台同步生成并下发的安全防护规则累计拦截了600多万次的访问请求。

业界领先的风险防御体系

深信服下一代安全防护体系通过业界领先的架构，构建云端、边界协同联动，全面风险管控的能力，以防火墙为建设主体，通过云端不断增强防火墙的安全能力，同时可以联动终端，持续防御未知威胁、高级威胁；

三、简化安全运营

3.1任务化的风险管理

         深信服NGAF通过将检测到的安全风险统一汇总，为用户形成一个待处理问题清单，引导用户关注未处理的安全风险，并通过提供工具化的解决办法来帮助用户将安全风险处理掉形成运营闭环。

3.1    威胁情报预警与处置

         深信服NGAF内置了威胁情报预警中心，通过深信服后台安全专家团队持续不断地搜集互联网上最新爆发流行的0day漏洞，及时地将高危漏洞的危害分析以及检测验证工具同步推送到NGAF上，运维人员不仅可以在第一时间了解到最新的0day漏洞，还能够自主扫描验证内部服务器是否存在漏洞，如果扫描出问题也可以通过一键防护功能进行应急处置，帮助用户快速地将风险降到最低。

3.2    风险评估与策略联动

         深信服NGAF基于时间周期的安全防护设计，提供事前风险评估及策略联动功能。风险评估功能分为系统漏洞扫描和Web弱点扫描两部分：

         系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应安全风险的安全防护策略。

         Web弱点扫描通过内置的二十多类Web攻击特征，可以帮助用户快速定位出Web应用的漏洞，并提供相关漏洞的严重等级、漏洞详情以及建议的修复方案等，协助用户快速解决内网Web应用存在的风险。

3.3    智能联动封锁机制

         深信服NGAF智能主动防御技术可在内部各个模块之间形成智能的联动策略，如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断该IP/用户。智能防护体系的建立可有效地防止工具型、自动化的黑客攻击，提高攻击成本。同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。

四、高效稳定的底层架构设计

1.  分离平面设计

深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发，从而实现高效、可靠的数据报文处理。

分离平面设计

1.多核并行处理

         NGAF的设计不仅采用了多核的硬件架构，在计算指令设计上还采用了先进的无锁并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异，是真正的多核并行处理架构。

2.单次解析架构

         NGAF采用单次解析构架实现报文的一次解析一次匹配，有效提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离，将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析和统一检测，减少冗余的数据包封装，实现高性能的数据处理。

3.跳跃式扫描技术

         NGAF利用多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过NGAF的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时，设备会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测特征，减少无效扫描，提升扫描效率。比如：流量被识别为HTTP流量，那么FTP sever-u的相关漏洞攻击特征便不会对系统造成威胁，便可以暂时跳过检测进行转发，提升转发的效率。

4.Sangfor Regex正则引擎

正则表达式是一种识别特定模式数据的方法，它可以精确识别网络中的攻击。经深信服安全专家研究发现，业界已有的正则表达式匹配方法的速度一般比较慢，制约了下一代防火墙整机速度的提高。为此，深信服设计并实现了全新的Sangfor Regex正则引擎，将正则表达式的匹配速度提高到数十Gbps，比PCRE和Google的RE2等知名引擎快数十倍，达到业界领先水平。

NGAF的Sangfor Regex大幅降低了CPU占用率，有效提高了NGAF的整机吞吐，从而能够更高速地处理客户的业务数据，该项技术尤其适用于对每秒吞吐量要求特别高的场景，如运营商、电商等。