Web安全解決方案

Web安全解決方案目錄Web安全 1解決方案 1第一章 需求概述 41.1 項目背景 41.2 網(wǎng)絡安全建設現(xiàn)狀分析 41.3 Web業(yè)務面臨的安全風險 4第二章 Web安全解決方案設計 72.1 方案概述 72.2 方案價值 8第三章 XXX下一代防火墻NGAF解決方案 83.1 XXXNGAF產品設計理念 83.2 XXXNGAF解決方案 103.2.1 四種部署模式支持 103.2.2 多種攔截方式支持 123.2.3 安全風險評估與策略聯(lián)動 123.2.4 典型的Web攻擊防護 123.2.5 網(wǎng)關型網(wǎng)頁防篡改 183.2.6 可定義的敏感信息防泄漏 203.2.7 基于應用的深度入侵防御 213.2.8 高效精確的病毒檢測能力 233.2.9 智能的DOS攻擊防護 243.2.10 智能的防護模塊聯(lián)動 253.2.11 完整的防火墻功能 253.2.12 其他安全功能 253.2.13 產品容錯能力 29

需求概述項目背景 （請根據(jù)客戶實際情況自行添加）網(wǎng)絡安全建設現(xiàn)狀分析 （請根據(jù)客戶實際情況自行添加） XX擬建立Web業(yè)務對外發(fā)布系統(tǒng)，該對外發(fā)布系統(tǒng)由多臺服務器組成，承載的有OA應用、集團內部門戶網(wǎng)站、集團內門戶網(wǎng)站群等多個WEB應用。 目前，XXweb應用邊界使用傳統(tǒng)防火墻進行數(shù)據(jù)包過濾進行安全防護，現(xiàn)運行許多WEB應用系統(tǒng)。Web業(yè)務對外發(fā)布數(shù)據(jù)中心是XXIT建設數(shù)據(jù)大集中的產物，作為Web業(yè)務集中化部署、發(fā)布、存儲的區(qū)域，該對外發(fā)布數(shù)據(jù)中心承載著XXWeb業(yè)務的核心數(shù)據(jù)以及機密信息。對于惡意攻擊者而言，Web業(yè)務對外發(fā)布數(shù)據(jù)中心是最具吸引力的目標。而之前，的安全建設以各區(qū)域安全隔離為主，隔離來自internet、intranet、extrane等區(qū)域的安全風險，實現(xiàn)網(wǎng)絡級的訪問控制。而安全隱患遷移到了應用層，UAP云平臺資源池數(shù)據(jù)中心面臨的應用層安全威脅是基于L3-L4層的傳統(tǒng)防火墻完全無法理解的。 1、利用業(yè)務開發(fā)時期沒有對代碼的安全進行評估，使得系統(tǒng)可輕易通過web攻擊實現(xiàn)對web服務器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題 2、利用服務器操作系統(tǒng)漏洞、應用軟件漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應用層攻擊，獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題 3、來自其他安全域的病毒、木馬、蠕蟲的交叉感染，使得數(shù)據(jù)中心成為“養(yǎng)馬場“ 4、由于訪問控制權限不當、系統(tǒng)誤配置導致的敏感信息跨區(qū)域傳播的問題 5、利用協(xié)議漏洞對服務器發(fā)起的拒絕服務攻擊使得服務器無法提供正常服務，導致業(yè)務中斷等問題Web業(yè)務面臨的安全風險 Web業(yè)務已經(jīng)成為當前的主要的業(yè)務，大量的在線應用業(yè)務都依托于Web服務進行。由于大量的web業(yè)務不斷更新，大量web應用快速上線，而由于Web業(yè)務資金、進度、意識方面的影響，這些web應用系統(tǒng)沒有進行充分的安全評估而導致大量的可利用漏洞。 根據(jù)Gartner的調查，信息安全攻擊有75%都是發(fā)生在Web應用層，2/3的Web站點都相當脆弱，易受攻擊。而針對web的攻擊往往隱藏在大量的正常訪問業(yè)務行為中，導致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。 近年來，Web安全事件不斷攀升，電子商務、金融成為了主要目標，國家互聯(lián)網(wǎng)應急中心（CNCERT/CC）《2011年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》顯示“網(wǎng)站安全類事件占到61.7%；境內被篡改網(wǎng)站數(shù)量為36612個，較2010年增加5.1%；4月-12月被植入網(wǎng)站后門的境內網(wǎng)站為12513個。CNVD接受的漏洞中，涉及網(wǎng)站相關的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。網(wǎng)站安全問題進一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。2011年底，CSDN、天涯等網(wǎng)站發(fā)生用戶泄露事件引起社會廣泛關注，被公開的疑似泄露數(shù)據(jù)庫26個，涉及賬號、密碼信息2.78億條，嚴重威脅互聯(lián)網(wǎng)用戶的合法權益和互聯(lián)網(wǎng)安全。” Web業(yè)務對外發(fā)布數(shù)據(jù)中心包含Web服務器、存儲服務器、數(shù)據(jù)庫服務器、內網(wǎng)系統(tǒng)等多種業(yè)務系統(tǒng)，向internet、intranet等多個區(qū)域提供服務，Web數(shù)據(jù)中心要面臨來自內外網(wǎng)多個區(qū)域的安全威脅。其安全保障意義重大。而傳統(tǒng)的安全隔離形式僅僅是通過vlan、ACL訪問控制對其進行安全隔離。應用層攻擊仍然能夠穿透這些安全隔離的手段，從外向內部進行滲透。同時帶有目的性的內網(wǎng)用戶的攻擊滲透行為也是造成眾多泄露事件的原因之一。Web業(yè)務對外發(fā)布數(shù)據(jù)中心急需解決應用層安全防護的問題。 部分多功能防火墻或者是UTM雖然具備了部分應用層安全防護的能力，但由于其實現(xiàn)方式、缺乏應用層協(xié)議的理解能力。在應用層攻擊防護上存在嚴重不足，比如針對數(shù)據(jù)中心的十大web攻擊： SQL注入、XSS、CSRF等攻擊是包含在http正常請求中的web攻擊，可以通過80端口滲透傳統(tǒng)防火墻與多功能網(wǎng)關，造成正對數(shù)據(jù)中心數(shù)據(jù)庫服務器、web服務器、存儲服務器的攻擊，可能導致信息泄露、數(shù)據(jù)中心服務器掛馬、數(shù)據(jù)中心B/S業(yè)務篡改、甚至是業(yè)務中斷。 SQL注入等web攻擊逃逸攻擊，由于傳統(tǒng)的多功能網(wǎng)關或者IPS實現(xiàn)應用層攻擊僅僅通過DPI數(shù)據(jù)包的深度檢測進行攻擊特征分析，攻擊行為一旦采用了逃逸手段，傳統(tǒng)多功能網(wǎng)關類設備或者IPS設備便無法檢測出來。聰明黑客會通過多種手段對防止攻擊行為被檢測，一旦攻擊被利用重新編碼、分片、亂序等逃逸處理方式，傳統(tǒng)的多功能網(wǎng)關將無法檢測并防護。只有真正對數(shù)據(jù)流進行深度內容解析，理解協(xié)議本身，還原其真實的攻擊行為才能夠進行有效的阻斷。 其他攻擊還包括：信息泄露攻擊、目錄遍歷、系統(tǒng)命令注入、webshell等多種傳統(tǒng)基于DPI技術的多功能網(wǎng)關無法防御的攻擊，如： 信息泄露漏洞是由于web服務器配置或者本身存在安全漏洞，導致一些系統(tǒng)文件或者配置文件直接暴露在互聯(lián)網(wǎng)中，泄露web服務器的一些敏感信息，如用戶名、密碼、源代碼、服務器信息、配置信息等。 目錄遍歷漏洞攻擊就是通過瀏覽器向web服務器任意目錄附加“../”，或者是附加“../”的一些變形，編碼，訪問web服務器根目錄或者之外的目錄。 系統(tǒng)命令注入是攻擊者提交的特殊字符或者操作系統(tǒng)命令，web程序沒有進行檢測或者繞過web應用程序過濾，把用戶提交的請求作為指令進行解析，導致操作系統(tǒng)命令執(zhí)行。 …… 總的來說，由于該類攻擊可導致Web業(yè)務面臨的主要安全威脅如下： 1、網(wǎng)頁篡改問題 網(wǎng)頁篡改是指攻擊者利用Web應用程序漏洞將正常的Web網(wǎng)頁替換為攻擊者提供的網(wǎng)頁/文字/圖片等內容。一般來說網(wǎng)頁的篡改對計算機系統(tǒng)本身不會產生直接的影響，但對于UAP平臺重要的Web業(yè)務，需要與用戶通過Web業(yè)務進行溝通的應用而言，就意味著UAP平臺Web業(yè)務將被迫停止服務，對中國移動湛江分公司的經(jīng)濟利益、企業(yè)形象及信譽會造成嚴重的損害。 2、網(wǎng)頁掛馬問題 網(wǎng)頁掛馬也是利用Web攻擊造成的一種網(wǎng)頁篡改的安全問題，相對而言這種問題會比較隱蔽，但本質上這種方式也破壞了網(wǎng)頁的完整性。網(wǎng)頁掛馬會導致Web業(yè)務的最終用戶成為受害者，成為攻擊者的幫兇或者造成自身的經(jīng)濟損失。這種問題出現(xiàn)在Web業(yè)務中也嚴重影響中國移動湛江分公司UAP數(shù)據(jù)中心的正常運作并影響到公司的公信度。 3、敏感信息泄漏問題 這類安全問題主要web攻擊、系統(tǒng)漏洞攻擊等攻擊手段操作后臺數(shù)據(jù)庫，導致數(shù)據(jù)庫中儲存的用戶資料、身份證信息、賬戶信息、信用卡信息、聯(lián)系方式等敏感信息被攻擊者獲取。這對于承載多種Web業(yè)務的UAP數(shù)據(jù)中心平臺而言是致命的打擊，可產生巨大的經(jīng)濟損失。 4、無法響應正常服務的問題 黑客通過DOS/DDOS拒絕服務攻擊使UAP平臺無法響應正常請求。這種攻擊行為使得Web服務器充斥大量要求回復的信息，嚴重消耗網(wǎng)絡系統(tǒng)資源，導致Web業(yè)務無法響應正常的服務請求。對于中國移動湛江分公司UAP平臺Web業(yè)務而言是巨大的威脅。Web安全解決方案設計方案概述 XXX為XX提供針對Web業(yè)務對外發(fā)布數(shù)據(jù)中心完整的安全解決方案。 通過在核心交換前雙機部署兩臺XXX下一代應用防火墻NGAF，可實現(xiàn)業(yè)務服務器的業(yè)務邏輯隔離，核心業(yè)務帶寬保障、防止網(wǎng)絡層、應用層安全威脅在數(shù)據(jù)中心內擴散。 NGAF應用防火墻的部署可以從從攻擊源頭上防護導致Web業(yè)務各類網(wǎng)絡/應用層安全威脅；同時XXX下一代防火墻NGAF提供的雙向內容檢測的技術幫助用戶解決攻擊被繞過后產生的網(wǎng)頁篡改、敏感信息泄露的問題，實現(xiàn)防攻擊、防篡改、防泄密的效果。 1、XXX應用防火墻AF-8020雙機部署于核心交換前可實現(xiàn)整體安全防護； 2、NGAF通過訪問控制策略ACL可實現(xiàn)Web服務器區(qū)、數(shù)據(jù)庫服務器區(qū)、DMZ等區(qū)域的網(wǎng)絡安全域劃分，阻斷各個區(qū)域間的網(wǎng)絡通信，防止威脅擴散，防止訪問控制權限不當、系統(tǒng)誤配置導致的敏感信息跨區(qū)域傳播的問題； 3、NGAF通過服務器防護功能模塊的開啟，可實現(xiàn)對各個區(qū)域（尤其是DMZ區(qū)）的Web服務器、數(shù)據(jù)庫服務器、FTP服務器等服務器的安全防護。防止黑客利用業(yè)務代碼開發(fā)安全保障不利，使得系統(tǒng)可輕易通過Web攻擊實現(xiàn)對Web服務器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題； 4、NGAF通過風險評估模塊對服務器進行安全體檢，通過一鍵策略部署的功能開啟IPS、WAF模塊的對應策略，可幫助管理員的實現(xiàn)針對性的策略配置； 5、利用NGAF入侵防御模塊可實現(xiàn)對各類服務器操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應用程序漏洞（IIS服務器、Apache服務器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等）的防護，防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題； 6、NGAF防病毒網(wǎng)關的模塊可實現(xiàn)各個安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區(qū)域進行交叉感染； 7、NGAFDDOS/DOS攻擊防護模塊可以防止利用協(xié)議漏洞對服務器發(fā)起的拒絕服務攻擊使得服務器無法提供正常服務，導致業(yè)務中斷等問題。（拓撲圖）方案價值 XXXWeb安全解決方案是針對面向互聯(lián)網(wǎng)、第三方網(wǎng)絡發(fā)布過程中潛在的各類安全問題專門開發(fā)的一套安全防護解決方案。該方案有效的彌補了傳統(tǒng)安全解決方案在Web業(yè)務安全防護能力的不足： 事前，快速的進行風險掃描，幫助用戶快速定位安全風險并智能更新防護策略； 事中，有效防止了引起網(wǎng)頁篡改問題、網(wǎng)頁掛馬問題、敏感信息泄漏問題、無法響應正常服務問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統(tǒng)掃描等攻擊； 事后，對服務器外發(fā)內容進行安全檢測，防止攻擊繞過安全防護體系，對Web業(yè)務產生的網(wǎng)站篡改、數(shù)據(jù)泄漏問題。 同時該方案從簡化組網(wǎng)、方便運維、最優(yōu)投資的用戶角度出發(fā)，可為Web業(yè)務對外發(fā)布數(shù)據(jù)中心打造L2-L7層的安全防護體系構架，實現(xiàn)完整的安全防護，同時在可用性、可靠性上采用了XXX特有的先進技術保證Web業(yè)務的正常穩(wěn)定運行，打造一個“安全”、“可靠”、“高效”的Web業(yè)務對外發(fā)布數(shù)據(jù)中心。XXX下一代防火墻NGAF解決方案XXXNGAF產品設計理念 XXXNGAF提供對Web業(yè)務系統(tǒng)的三維立體防護解決方案，深入分析黑客攻擊的時機和動機。從事件周期、攻擊過程、防護對象三個維度出發(fā)，提供全面的安全防護手段，保護web業(yè)務系統(tǒng)不受來自各方的侵害。 基于事件周期的設計 攻擊的防護不可能實現(xiàn)百分百的安全。Web系統(tǒng)的安全建設必須貫穿到整個Web安全事件周期中，設立事前、事中、事后三道安全防線分階段進行防護。 NGAF提供事前策略自檢、事中攻擊防護、事后防止篡改的整體安全防護。事前策略自檢：在配置完安全策略后，NGAF可以自動進行掃描和探測，查看系統(tǒng)還存在哪些安全策略漏洞和隱患；事中攻擊防護：2-7層完整的安全防護，包括：Web攻擊防護、漏洞防護、病毒防護等；事后網(wǎng)頁篡改響應：可以針對被篡改的靜態(tài)網(wǎng)頁進行告警、替換、還原等功能?；诠暨^程的安全防護 傳統(tǒng)的web安全防護采用的是防火墻+IPS+WAF割裂式的安全防護體系，針對各類的攻擊總是被動的增補相應功能的安全設備。而對于Web安全防護不是單一攻擊手段的防護，而需要對黑客攻擊動機與時機進行分析，基于黑客的攻擊過程的每一個環(huán)節(jié)進行統(tǒng)一防護。 NGAF的設計是基于黑客攻擊過程的完整Web系統(tǒng)安全防護，針對黑客入侵三步曲即掃描、入侵、破壞進行統(tǒng)一的安全防護：掃描過程：提供防端口/服務掃描、防弱口令暴力破解、關鍵URL防護、應用信息隱藏等攻擊過程：提供強化的Web攻擊防護（防SQL注入、OS命令注入、XSS攻擊、CSRF攻擊）、多對象漏洞利用防護等破壞過程：提供抗應用層DOS攻擊、可執(zhí)行程序上傳過濾、上行病毒木馬清洗等多維對象的全面防護 安全的漏洞就像木桶的短板，任何可以被黑客利用的機會都可能導致所有的防護措施形同虛設。對眾多用戶網(wǎng)絡安全現(xiàn)狀分析后，發(fā)現(xiàn)安全問題是多角度、多方面的，在Web安全規(guī)劃中，一味強調Web服務器的防護是遠遠不夠的。面對防護全面的Web應用服務器，黑客往往以退為進采用“跳板式攻擊”，先突破漏洞較多的內網(wǎng)終端，通過內網(wǎng)終端竊取密碼后堂而皇之的入侵Web服務器。 NGAF不僅提供強化的服務器安全防護，針對網(wǎng)內存在巨大安全風險，很有可能成為“肉雞”被黑客利用的終端也采取了嚴格的防護措施?；诮K端漏洞防護終端的病毒防護惡意插件、腳本過濾 NGAF是充分考慮安全事件周期性，基于黑客攻擊行為的過程，提供多維對象防護的完整Web安全解決方案。 除此之外，NGAF涵蓋了L2-L7全面的安全功能，可以替代FW、IPS、WAF，節(jié)省投資。同時，簡化了組網(wǎng)，統(tǒng)一了管理，極大地提升運維工作效率。XXXNGAF解決方案四種部署模式支持 NGAF支持網(wǎng)關模式部署、網(wǎng)橋模式部署、混雜模式部署以及旁路模式部署等四種模式部署，可支持多進多出，單進多出、多進單出等多種方式接入，可適用于各種復雜環(huán)境下的部署環(huán)境。網(wǎng)關模式：支持網(wǎng)關模式，支持NAT、路由轉發(fā)、應用層防護等全部功能部署在網(wǎng)絡邊界，類似于一個路由器，提供靜態(tài)路由和策略路由，又是一臺防火墻，實現(xiàn)NAT地址轉換和流量管理，提供網(wǎng)絡層安全防護，還是一臺網(wǎng)絡入侵防護系統(tǒng)，實現(xiàn)應用層和內容層的安全防御；網(wǎng)橋模式：支持網(wǎng)橋模式，以透明方式串接在網(wǎng)絡中，支持除IPECVPN以外的所有功能1、類似二層交換機一樣，采用一進多出或多進多出的方式，同時與不同網(wǎng)段相連接，進行數(shù)據(jù)交換；2、可實時監(jiān)測各網(wǎng)段之間的各種流量，提供從網(wǎng)絡層、應用層到內容層的深度安全防護。混雜模式：支持同時開啟支持網(wǎng)關和網(wǎng)橋模式，支持功能視各線路情況而定；1、在總部互聯(lián)網(wǎng)出入口處在線部署NGAF，實現(xiàn)路由防護，提供互聯(lián)網(wǎng)的從網(wǎng)絡層、應用層到內容層的深度安全防護；2、在總部內部網(wǎng)段之間以及與分支機構網(wǎng)絡之間在線部署NGAF，提供透明接入的、獨立多路NGAF一進一出的、交換式NGAF多進多出的全方位、立體式的安全防護體系，實現(xiàn)內網(wǎng)的安全區(qū)域劃分和控制；3、在企業(yè)服務器區(qū)旁路部署NGAF，保護服務器安全；旁路模式：支持旁路模式部署，不改變原有網(wǎng)絡架構。該模式下只支持入侵防御、WEB防護和敏感信息防泄漏功能多種攔截方式支持 NGAF可實現(xiàn)對HTTP/HTTPS協(xié)議的深入解析，精確識別出協(xié)議中的各種要素，如cookie、Get參數(shù)、Post表單等，并對這些數(shù)據(jù)進行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，可以精確的檢測其是否包含威脅內容。而傳統(tǒng)的IPS基于DPI深度數(shù)據(jù)包解析技術，只能實現(xiàn)在網(wǎng)絡層數(shù)據(jù)包層面進行重組還原及特征匹配，無法解析基于HTTP協(xié)議的內容分析，很難有效檢測針對web應用的攻擊。而具備簡單web攻擊防護的IPS，僅僅是基于簡單的特征檢測技術，存在大量的漏報誤報的信息。 NGAF作為web客戶端與服務器請求與響應的中間人，能夠有效的避免web服務器直接暴露在互聯(lián)網(wǎng)之上，NGAF雙向內容檢測技術可檢測過濾HTTP雙向交互的數(shù)據(jù)流包括response報文，對惡意流量，以及服務器外發(fā)的有風險信息進行實時的清洗與過濾。安全風險評估與策略聯(lián)動 NGAF基于時間周期的安全防護設計提供事前風險評估及策略聯(lián)動的功能。通過端口、服務、應用掃描幫助用戶及時發(fā)現(xiàn)端口、服務及漏洞風險，并通過模塊間的智能策略聯(lián)動及時更新對應的安全風險的安全防護策略。幫助用戶快速診斷電子商務平臺中各個節(jié)點的安全漏洞問題，并做出有針對性的防護策略。典型的Web攻擊防護 XXX下一代防火墻NGAF有效結合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機制，實現(xiàn)雙向的內容檢測，提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟損失、名譽損失等問題。 SQL注入攻擊 攻擊者通過設計上的安全漏洞，把SQL代碼黏貼在網(wǎng)頁形式的輸入框內，獲取網(wǎng)絡資源或改變數(shù)據(jù)。NGAF設備可以檢測在http協(xié)議中Get參數(shù)、Post表單以及cooke中隱藏的攻擊威脅，并通過協(xié)議中斷阻止此類攻擊行為的發(fā)生。NGAF可針對web的主流技術進行防護：ASP+ACCESSASP+MSSQLASP.NET+MSSQLJSP+ORACLEJSP+MYSQLPHP+MYSQL……NGAF可針對攻擊的關鍵步驟進行攻擊防護：SQL注入漏洞掃描，踩點防護數(shù)據(jù)庫類型探測防護數(shù)據(jù)庫基本信息探測防護數(shù)據(jù)表總數(shù)探測數(shù)據(jù)列總數(shù)探測數(shù)據(jù)表名稱探測防護數(shù)據(jù)列名稱探測防護數(shù)據(jù)表記錄總數(shù)探測防護數(shù)據(jù)表字段值探測防護數(shù)據(jù)庫字段值增刪改防護數(shù)據(jù)庫存儲過程執(zhí)行防護數(shù)據(jù)庫非法授權防護數(shù)據(jù)庫備份防護……SQL注入工具防護NGAF支持黑客常用的SQL注入類工具進行攻擊防護，包括如：Domain明小子阿D教主NBSI軍火庫HDSI穿山甲PangolinCASI二娃ZBSI……SQL注入逃逸攻擊防護 一、SQL注入編碼逃逸防護 SQL注入繞過WAF的常用方法之一是對注入的語句或參數(shù)進行編碼，因為基本于特征匹配的算法通常無法匹配編碼后的關鍵字，這樣就可以成功地繞過WAF攻擊用戶的服務器；如：UTF-7、UTF-8、UTF-16、Base64…… NGAF可實現(xiàn)對http協(xié)議的語義還原，防止通過語句或參數(shù)編碼等多種形式的SQL注入逃逸攻擊。包括： 二、SQL注入采用注釋逃逸；如：//,-,/**/,#,-+,---,;%00,/!*UNIION/等； 三、SQL注入采用大小寫轉換進行逃逸的攻擊；如：UnIoN/**/SeLEcT等； 四、注入攻擊緩沖區(qū)；如：UNION(select0xAAAAAAAAA...AAA...)； 五、針對SQL中的功能語句增、刪、改、查進行可能的注入點。 六、SQL注入TCP/IP分片進行逃逸攻擊：類似fragrouter分片工具把數(shù)據(jù)分片，對于沒有基于包重組檢測的引擎，這類攻擊都可以成功地繞過WAF的SQL注入防護，NGAF支持TCP/IP分片進行SQL注入逃逸的攻擊防護，防止黑客通過TCP/IP分片逃逸實施攻擊。 七、其他如：or1=1簽名繞過等逃逸方式 ……XSS跨站腳本攻擊 跨站腳本攻擊，XSS是一種經(jīng)常出現(xiàn)在WEB應用中的計算機安全漏洞。它允許代碼植入到提供給其他用戶使用的頁面中。例如HTML代碼和客戶端腳本，攻擊者利用XSS漏洞繞過訪問控制，獲取數(shù)據(jù)，例如盜取賬號等。NGAF可以實現(xiàn)對http協(xié)議的解析，通過頁面代碼對用戶輸入進行過濾，檢查并替換常見的XSS使用字符。NGAF可實現(xiàn)包括： 1、基于標簽事件的XSS防護 2、基于標簽style的XSS防護 3、基于標簽javascript偽協(xié)議的XSS防護 4、基于IE支持的expression的防護 ……WEBSHELL WEBSHELL是WEB入侵的一種腳本工具，通常情況下，是一個ASP、PHP或者JSP程序頁面，也叫做網(wǎng)站后面木馬，在入侵一個網(wǎng)站后，常常將這些木馬放置在服務器WEB目錄中，也正常網(wǎng)頁混在一起。通過WEHSHELL，長期操縱和控制受害者網(wǎng)站。NGAF設備不僅可以防止黑客通過webshell獲得權限。 如比較流行的一句話木馬：把一句話<%executerequest(“value”)%>添加到數(shù)據(jù)庫中，然后打開客戶端，填上加入了一句話的asp文件，或者是asp網(wǎng)頁，便可實施入侵。 1、NGAF可對常見的文件格式內容進行解析；主要是分析一下各種文件格式的通用格式，然后提取特征，作為上傳的檢測機制.包括:PE/ELF/PHPwebshell/LinuxShell/PowerShell/Javashell/AspShell/PerlShell/Pythonshell/AIXshell/solarisshell/cgi/ssi/OracleAppServer/等； 2、NGAF可提取常見的Webshell的特征，阻止上傳到服務器； 3、NGAF優(yōu)化文件類型判斷,不再簡單以擴展名為依據(jù)，解決Webshell偽裝問題；例如可以把可執(zhí)行的腳本嵌入到圖片中。NGAF還可以支持包括多種類型的webshell后臺木馬，如：ASP海洋頂端木馬砍客木馬藍屏木馬站長助手木馬冰狐浪子木馬超級隱藏免殺木馬阿江探針Asp一句話小馬……PHPPHPShell靈魂PHP木馬采飛揚PHP木馬C99Shell木馬浪點PHP探針……JSP修改文件時間木馬執(zhí)行CMD木馬JshellJfolderJbrowser……ASPX.NET安全浮云木馬WebAdmin木馬ASPXSPY木馬……應用信息隱藏 NGAF可針對主要的服務器（WEB服務器、FTP服務器、郵件服務器等）反饋信息進行了有效的隱藏。防止黑客利用服務器返回信息進行有針對性的攻擊。如：HTTP出錯頁面隱藏、響應報頭隱藏、FTP信息隱藏等FTP應用信息隱藏： 客戶端登錄FTP服務器的時候，服務器會返回客戶端FTP服務器的版本等信息。攻擊者可以利用相應版本的漏洞發(fā)起攻擊。該功能是隱藏FTP服務器返回的這些信息，避免被攻擊者利用。HTTP應用信息隱藏： 當客戶端訪問WEB網(wǎng)站的時候，服務器會通過HTTP報文頭部返回客戶端很多字段信息，例如Server、Via等，Via可能會泄露代理服務器的版本信息，攻擊者可以利用服務器版本漏洞進行攻擊。因此可以通過隱藏這些字段來防止攻擊?？缯菊埱髠卧旃簦–SRF） CSRF即跨站請求偽造，從成因上與XSS漏洞完全相同，不同之處在于利用的層次上，CSRF是對XSS漏洞更高級的利用，利用的核心在于通過XSS漏洞在用戶瀏覽器上執(zhí)行功能相對復雜的JavaScript腳本代碼劫持用戶瀏覽器訪問存在XSS漏洞網(wǎng)站的會話，攻擊者可以與運行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權限執(zhí)行惡意操作。NGAF通過先進的雙向內容檢測技術，結合數(shù)據(jù)包正則表達式匹配原理，可以準確地過濾數(shù)據(jù)包中含有的CSRF的攻擊代碼，防止WEB系統(tǒng)遭受跨站請求偽造攻擊。網(wǎng)頁木馬 網(wǎng)頁木馬實際上是一個經(jīng)過黑客精心設計的HTML網(wǎng)頁。當用戶訪問該頁面時，嵌入該網(wǎng)頁中的腳本利用瀏覽器漏洞，讓瀏覽器自動下載黑客放置在網(wǎng)絡上的木馬并運行這個木馬。NGAF設備可以檢測到此類攻擊行為。網(wǎng)站掃描 網(wǎng)站掃描是對WEB站點掃描，對WEB站點的結構、漏洞進行掃描。NGAF設備可以檢測到如爬蟲、掃描軟件，如appscan、等多種掃描攻擊行為并進行阻斷。系統(tǒng)命令注入 攻擊者利用服務器操作系統(tǒng)的漏洞，把OS命令利用WEB訪問的形式傳至服務器，獲取其網(wǎng)絡資源或者改變數(shù)據(jù)。NGAF設備可以檢測到此類攻擊行為。文件包含攻擊 文件包含漏洞攻擊是針對PHP站點特有的一種惡意攻擊。當PHP中變量過濾不嚴，沒有判斷參數(shù)是本地的還是遠程主機上的時，就可以指定遠程主機上的文件作為參數(shù)來提交給變量指向，而如果提交的這個文件中存在惡意代碼甚至干脆就是一個PHP木馬的話，文件中的代碼或者是PHP木馬就會以WEB權限被成功執(zhí)行。NGAF設備可以檢測到此類攻擊行為。目錄遍歷攻擊 目錄遍歷漏洞就是通過瀏覽器向WEB服務器任意目錄附件“.../”，或者是在有特殊意義的目錄附加“.../”，或者是附件“.../”的一些變形，編碼訪問WEB服務器的根目錄之外的目錄。NGAF設備可以檢測到此類攻擊行為。信息泄露攻擊 信息泄露漏洞是由于WEB服務器配置或者本身存在安全漏洞，導致一些系統(tǒng)文件或者配置文件直接暴露在互聯(lián)網(wǎng)中，泄露WEB服務器的一些敏感信息，如用戶名、密碼、源代碼、服務器信息、配置信息等。NGAF設備可以檢測到此類攻擊行為?？诹畋┝ζ平夥雷o 弱口令被視為眾多認證類web應用程序的普遍風險問題，NGAF通過對弱口令的檢查，制定弱口令檢查規(guī)則控制弱口令廣泛存在于web應用程序中。同時通過時間鎖定的設置防止黑客對web系統(tǒng)口令的暴力破解。文件上傳過濾 由于web應用系統(tǒng)在開發(fā)時并沒有完善的安全控制，對上傳至web服務器的信息進行檢查，從而導致web服務器被植入病毒、木馬成為黑客利用的工具。NGAF通過嚴格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務器。同時還能夠結合病毒防護、插件過濾等功能檢查上傳文件的安全性，以達到保護web服務器安全的目的。URL防護 Web應用系統(tǒng)中通常會包含有系統(tǒng)管理員管理界面以便于管理員遠程維護web應用系統(tǒng)，但是這種便利很可能會被黑客利用從而入侵應用系統(tǒng)。通過NGAF提供的URL防護功能，幫助用戶選擇特定URL的開放對象，防止由于過多的信息暴露于公網(wǎng)產生的威脅。網(wǎng)關型網(wǎng)頁防篡改 【網(wǎng)站篡改防護】功能是XXX下一代防火墻NGAF-服務器防護中的一個子模塊，其設計目的在于提供的一種事后補償防護手段，即使黑客繞過安全防御體系修改了網(wǎng)站內容，其修改的內容也不會發(fā)布到最終用戶處，從而避免因網(wǎng)站內容被篡改給組織單位造成的形象破壞、經(jīng)濟損失等問題。防篡改實現(xiàn)流程及原理 當網(wǎng)頁被數(shù)據(jù)篡改后，用戶看到的頁面變成了非法頁面或者損害企事業(yè)單位形象的網(wǎng)頁，這種事故往往會給企事業(yè)單位造成很嚴重的影響，甚至造成嚴重的經(jīng)濟損失。XXX下一代防火墻NGAF【網(wǎng)站篡改防護】功能可有效降低此類風險，當內部網(wǎng)站數(shù)據(jù)被篡改之后，設備可以重定向到備用網(wǎng)站服務器或者指定的其他頁面，并且及時地通過短信或者郵件方式通知管理員。 【網(wǎng)站篡改防護】功能使用網(wǎng)關實現(xiàn)動靜態(tài)網(wǎng)頁防篡改功能。這種實現(xiàn)方式相對于主機部署類防篡改軟件而言，客戶無需在服務器上安裝第三方軟件，易于使用和維護，在防篡改部分基于網(wǎng)絡字節(jié)流的檢測與恢復，對服務器性能沒有影響。防篡改實現(xiàn)流程 網(wǎng)站防篡改實現(xiàn)流程如下：管理員預先在控制臺設置好需要防護的網(wǎng)站，設置后，NGAF設備會向該網(wǎng)站請求頁面并且緩存到設備。當用戶訪問網(wǎng)站的時候，數(shù)據(jù)經(jīng)過NGAF設備，NGAF設備根據(jù)預先緩存的頁面與用戶訪問的頁面進行比對，如有變動，則判斷為篡改，跳轉到指定頁面并且通知管理員。檢測原理 【網(wǎng)站篡改防護】的樣本采樣模塊會將首次獲取到的防護頁面作為基準頁面，通過一定時間反復或者通過手動更新輪詢方式更新采集網(wǎng)站的樣本，再次之后獲取的頁面為輪詢頁面。采樣得到的基準頁面與輪詢頁面將通過【網(wǎng)站篡改防護】模塊中的檢測算法進行輪詢的檢測與匹配。若經(jīng)過算法計算的基準頁面與輪詢頁面出現(xiàn)不一致時，則判定網(wǎng)頁存在篡改的風險，通過提交管理員審核的方式判定更新內容是合法更新還是非法篡改。匹配方式 【網(wǎng)站篡改防護】功能能實現(xiàn)動態(tài)、靜態(tài)網(wǎng)頁的篡改檢測，通過兩種匹配方式對網(wǎng)頁篡改進行檢測與匹配。一般情況下純靜態(tài)網(wǎng)頁，則選擇[精確匹配]，全動態(tài)頁面的網(wǎng)站選擇[模糊匹配-靈敏度低]，靜/動態(tài)網(wǎng)頁都有的網(wǎng)站可選擇[模糊匹配-靈敏度高]或者[模糊匹配-靈敏度中]。 方式一：精確匹配 精確匹配模式適用于首頁或者前幾級更新內容較少、用戶訪問次數(shù)最多需要進行嚴格保障的頁面。通過精確匹配的識別方式，網(wǎng)站框架、文字、圖片等網(wǎng)站任何一個元素的變化均被判定為被非法篡改。 方式二：模糊匹配 模糊匹配適用于內容更新頻發(fā)的動態(tài)更新的頁面，網(wǎng)頁中的文字會隨著動態(tài)發(fā)布進行更新，而網(wǎng)站的整體框架不允許被篡改，否則被認定為是一種篡改事件?？勺R別篡改類型 1、替換整個網(wǎng)頁 XXXNGAF可識別黑客對整個網(wǎng)頁進行替換的篡改事件。 2、插入新鏈接 若攻擊者篡改頁面插入其他網(wǎng)站鏈接打廣告，NGAF則可以通過檢測外鏈的功能進行檢驗。 3、替換網(wǎng)站圖片文件 若攻擊者更改了網(wǎng)頁中某些圖片內容，XXXNGAF可根據(jù)圖片的特征精確識別圖片的更改與否，防止攻擊者替換網(wǎng)頁中的圖片信息。 4、小規(guī)模編輯網(wǎng)頁（僅精確模式使用） 在精確檢測模式下，XXXNGAF可識別小規(guī)模的網(wǎng)頁編輯，如小部分文字內容的修改實現(xiàn)嚴格的網(wǎng)頁篡改防護要求。 5、因網(wǎng)站運行出錯導致結構畸變 XXXNGAF可實現(xiàn)網(wǎng)站更新、訪問出錯導致的網(wǎng)站結構發(fā)生畸變的篡改防護，保證網(wǎng)頁不會因為出錯使得網(wǎng)站結構與框架發(fā)生改變。管理員維護界面 為了方便網(wǎng)站業(yè)務維護人員更新網(wǎng)站內容，XXX下一代防火墻NGAF【網(wǎng)站篡改防護】模塊為管理員提供了單獨維護的管理界面。該界面不同于下一代防火墻的管理界面，用于業(yè)務維護人員管理更新網(wǎng)站。實現(xiàn)業(yè)務維護人員與安全管理人員的維護的安全分離。通過業(yè)務維護界面可實現(xiàn)網(wǎng)站內容更新是否合法的判定，且能夠實現(xiàn)通過該維護界面實現(xiàn)合法圖片更新的還原。篡改后重定向 XXXNGAF【網(wǎng)站篡改防護】模塊提供網(wǎng)站篡改重定向的功能。當檢測到篡改發(fā)生后，NGAF可阻止用戶訪問到被篡改的頁面，同時能夠提供兩種重定向的方式，避免用戶訪問到被篡改的頁面。 一、指定網(wǎng)頁重定向 檢測到篡改事件時，NGAF可將用戶的訪問重定向引導到預先編輯的顯示提示頁面。該頁面可由管理員預先設定，防止用戶訪問到被篡改的頁面。 二、web服務器重定向 用戶可搭建一個備份服務器實現(xiàn)關鍵頁面的實時備份。NGAF檢測到篡改事件后，也可將用戶的訪問請求重定向到備份的web服務器上，保證用戶訪問業(yè)務的永續(xù)性，防止用戶訪問到被篡改的頁面。報警方式 XXXNGAF【網(wǎng)站篡改防護】模塊檢測到篡改發(fā)生后，可以通過郵件、短信的方式通知管理員。通過郵件進行實時的篡改界定，若屬于正常更新則可通過連接防通更新內容；若更改屬于篡改事件，則可通過連接防止篡改內容發(fā)布?？啥x的敏感信息防泄漏 NGAF提供可定義的敏感信息防泄漏功能，根據(jù)儲存的數(shù)據(jù)內容可根據(jù)其特征清晰定義，通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。XXX敏感信息防泄漏解決方案可以自定義多種敏感信息內容進行有效識別、報警并阻斷，防止大量敏感信息被非法泄露。郵箱賬戶信息MD5加密密碼銀行卡號身份證號碼社保賬號信用卡號手機號碼…… 通過XXX深度內容檢測技術的應用，XXX下一代防火墻具備深度內容檢測的能力。能夠檢測出通過文件、數(shù)據(jù)流、標準協(xié)議等通過網(wǎng)關的內容。因此具備針對敏感信息，如186、139等有特征的11位的手機號碼、18位身份證號，有標準特征的@郵箱等有特征數(shù)據(jù)進行識別。并通過分離平面設計的軟件構架，實現(xiàn)控制平面與內容平面檢測聯(lián)動，通過控制平面向底層數(shù)據(jù)轉發(fā)平面發(fā)送操作指令來阻斷敏感信息的泄漏。有防護了各單位、政府、金融機構的敏感泄漏的風險。基于應用的深度入侵防御 NGAF基于應用的深度入侵防御采用六大威脅檢測機制：攻擊特征檢測、特殊攻擊檢測、威脅關聯(lián)分析、異常流量檢測、協(xié)議異常檢測、深度內容分析能夠有效的防止各類已知未知攻擊，實時阻斷黑客攻擊。如，緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測、掃描、間諜軟件、以及各類IPS逃逸攻擊等。 XXXNGAF融合多種應用威脅檢測方式，提升威脅檢測的精度。檢測方式主要包含6種檢測方式：攻擊特征檢測特殊攻擊檢測威脅關聯(lián)分析異常流量檢測協(xié)議異常檢測深度內容分析 NGAF漏洞防護策略的設計思路是，防御服務器和客戶端的各種漏洞，以保護服務器和客戶端不受攻擊。管理員在配置策略時可根據(jù)具體的應用場景，配置針對性的策略，便于維護與管理。如： 1、互聯(lián)網(wǎng)邊界：由于涉及幾乎所有的應用對象，建議開啟IPS所有的安全特征庫，對流量進行最全面檢測防護；2、服務器保護：根據(jù)保護服務器類型，開啟相應服務器的防護規(guī)則，如果服務器中包含WEB服務器，建議開啟WAF防護規(guī)則，同時開啟系統(tǒng)類防護規(guī)則，包括操作系統(tǒng)、木馬軟件、后門軟件、病毒軟件。3、保護客戶端網(wǎng)絡安全：建議開啟應用軟件、瀏覽器、惡意文件、常用ActiveX控件，同時開啟系統(tǒng)類防護規(guī)則，包括操作系統(tǒng)、木馬軟件、后門軟件、病毒軟件。NGAF防護的服務器漏洞包含：協(xié)議脆弱性保護DDoS攻擊保護DNS服務器保護其他exploit保護finger服務保護ftp服務器保護imap服務器保護mysql服務器保護netbios服務保護nntp服務保護oracle服務器保護Pop2服務器保護Pop3服務器保護RPC服務保護remoteservice保護遠程探測防護shellcode防護smtp服務器保護snmp服務器保護SQLserver服務器保護telnet服務保護tftp類服務保護voip防護frontpage擴展安全性保護iis服務器保護X11服務器保護…… 內網(wǎng)終端仍然存在漏洞被利用的問題，多數(shù)傳統(tǒng)安全設備僅僅提供基于服務器的漏洞防護，對于終端漏洞的利用視而不見。NGAF同時提供基于終端的漏洞保護能防護如：后門程序預防、協(xié)議脆弱性保護、exploit保護、網(wǎng)絡共享服務保護、shellcode預防、間諜程序預防等基于終端的漏洞防護，有效防止了終端漏洞被利用而成為黑客攻擊的跳板。NGAF防護的終端漏洞包括：后門程序預防協(xié)議脆弱性保護其他exploit保護網(wǎng)絡共享服務保護shellcode預防間諜程序預防web應用安全…… NGAF基于應用的入侵防御包含豐富的威脅處理動作，灰度威脅可通過“云”端聯(lián)動與XXX攻防團隊實現(xiàn)互動，幫助用戶排查未知威脅。 NGAF可針對各種優(yōu)先級別的漏洞設置動作，高的默認值為阻斷；中等威脅可定義為允許通過并記錄日志；威脅等級為低的特征可定義為禁用或者記錄日志。 NGAF的統(tǒng)一威脅識別具備2500+條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意內容特征庫、1000+Web應用威脅特征庫，可以全面識別各種應用層和內容級別的各種安全威脅。其漏洞特征庫已通過國際最著名的安全漏洞庫CVE嚴格的兼容性標準評審，獲得CVE兼容性認證（CVECompatible）。 XXX憑借在應用層領域6年以上的技術積累組建了專業(yè)的安全攻防團隊，作為微軟的MAPP（MicrosoftActiveProtectionsProgram）項目合作伙伴，可以在微軟發(fā)布安全更新前獲得漏洞信息，為客戶提供更及時有效的保護，以確保防御的及時性。高效精確的病毒檢測能力 NGAF提供先進的病毒防護功能，可從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進行病毒查殺，也可查殺壓縮包（zip，rar，gzip等）中的病毒。同時采用高效的流式掃描技術，可大幅提升病毒檢測效率避免防病毒成為網(wǎng)絡安全的瓶頸。 NGAF的具有大容量病毒庫，能夠查殺10萬種以上種病毒。為了更有效地過濾網(wǎng)絡病毒，除了特征碼識別、廣譜特征碼、啟發(fā)式掃描技術等幾種常見的檢測方法以外，XXXNGAF還采用了多種先進的新一代病毒掃描引擎技術，以巧妙而精確的算法保證在檢測大量病毒時，仍然保持高速而準確的檢測結果，其中包括:病毒脫殼技術:對加殼的病毒先進行脫殼，然后再進行檢測。OLE分離技術:宏掃描從Office文件中提取宏，根據(jù)已知的宏病毒字符串對宏進行檢測，并對宏中的代碼行為進行分析，識別宏病毒。壓縮格式病毒檢測技術:輕松查殺多種壓縮格式的病毒，如ZIP、GZIP、RAR、ARJ、ARC、LZH、CAB、ZOO、TAR和CHM等。木馬、黑客程序檢測技術:針對網(wǎng)絡上流行的木馬、黑客程序，XXXNGAF掃描引擎采用了獨特的特征&行為雙重檢測技術，可以對其進行有效的阻斷。高速的協(xié)議分析、還原和內容檢測技術:通過精心設計的算法保證了在檢測大量病毒時仍然保持高速而準確的檢測結果。智能的DOS攻擊防護 NGAF采用自主研發(fā)的DOS攻擊算法，可防護基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報文的DOS攻擊、TCP協(xié)議報文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實現(xiàn)對網(wǎng)絡層、應用層的各類資源耗盡的拒絕服務攻擊的防護，實現(xiàn)L2-L7層的異常流量清洗。智能的防護模塊聯(lián)動 智能的主動防御技術可實現(xiàn)NGAF內部各個模塊之間形成智能的策略聯(lián)動，如一個IP/用戶持續(xù)向內網(wǎng)服務器發(fā)起各類攻擊則可通過防火墻策略暫時阻斷IP/用戶。智能防護體系的建立可有效的防止工具型、自動化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。同時也使得管理員維護變得更為簡單，可實現(xiàn)無網(wǎng)管的自動化安全管理。完整的防火墻功能 NGAF涵蓋了完整的傳統(tǒng)防火墻功能包括訪問控制、NAT支持、路由協(xié)議、VLAN屬性等功能，已便于用戶替換傳統(tǒng)防火墻后，將原有的策略完全遷移至下一代防火墻中，實現(xiàn)簡化組網(wǎng)、方便運維的效果。訪問控制 NGAF內置狀態(tài)防火墻，支持基于網(wǎng)絡接口、源/目的IP地址、協(xié)議、時間等元素，自定義訪問控制策略。NAT支持 NGAF提供地址轉換功能，支持靜態(tài)NAT（StaticNAT）、動態(tài)NAT（PooledNAT）和端口NAT（PAT），支持多對一、多對多和一對一等多種地址轉換方式。路由支持 NGAF提供控制力更強，使用更靈活的策略路由功能，能夠根據(jù)協(xié)議類型、應用、IP源地址等策略來選擇數(shù)據(jù)轉發(fā)路徑，而且能夠根據(jù)報文數(shù)據(jù)流的發(fā)起方向來確定以后的路由，滿足各種應用環(huán)境的需要。VLAN特性 NGAF支持工業(yè)標準的802.1QVLANTrunk封裝協(xié)議，實現(xiàn)兩個交換機同一VLAN間的數(shù)據(jù)交互，同時具備不同VLAN虛擬接口間的路由功能，極大增強了NGAF對交換式網(wǎng)絡的部署適應能力。其他安全功能可視化的應用識別 傳統(tǒng)防火墻最主要的用途就是在非信任網(wǎng)絡與信任網(wǎng)絡通過訪問控制實現(xiàn)安全管理。過去一個端口便代表了一個應用，防火墻的問題并沒有完全暴露出來。而隨著應用程序的不斷發(fā)展，采用端口跳躍、端口逃逸、多端口、隨機端口的應用越來越多，使得傳統(tǒng)防火墻五元組的訪問控制策略可讀性、可視性，可控性受到巨大沖擊，傳統(tǒng)防火墻在web2.0時代已無法滿足精細化訪問控制的需求。 NGAF具有卓越的應用可視化功能，通過多種應用識別技術形成國內最大的應用特征識別庫，可精確識別內外網(wǎng)的采用端口跳躍、端口逃逸、多端口、隨機端口的各類應用，為下一代防火墻實現(xiàn)用戶與應用的精細化訪問控制提供技術基礎。NGAF的應用識別有以下幾種方式： 第一，基于協(xié)議和端口的檢測僅僅是第一步(傳統(tǒng)防火墻做法)。固定端口小于1024的協(xié)議，其端口通常是相對穩(wěn)定,可以根據(jù)端口快速識別應用。 第二，基于應用特征碼的識別，深入讀取IP包載荷的內容中的OSI七層協(xié)議中的應用層信息，將解包后的應用信息與后臺特征庫進行比較來確定應用類型。 第三，基于流量特征的識別，不同的應用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同，例如，基于P2P下載應用的流量模型特點為平均包長都在450字節(jié)以上、下載時間長、連接速率高、首選傳輸層協(xié)議為TCP等；NGAF基于這一系列流量的行為特征，通過分析會話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來鑒別應用類型。智能的用戶身份識別 NGAF用戶識別功能可以與8種認證系統(tǒng)（AD、LDAP、Radius等）、應用系統(tǒng)（POP3、SMTP等）無縫對接，通過單點登錄的方式自動識別出網(wǎng)絡當中IP地址對應的用戶信息，并建立組織的用戶分組結構。 1、映射組織架構 NGAF可以按照組織的行政結構建立樹形用戶分組，將用戶分配到指定的用戶組中，以實現(xiàn)網(wǎng)絡訪問權限的授予與繼承。用戶創(chuàng)建的過程簡單方便，除手工輸入帳戶方式外，NGAF能夠根據(jù)OU或Group讀取AD域控服務器上用戶組織結構，并保持與AD的自動同步，方便管理員管理。 此外，NGAF支持賬戶自動創(chuàng)建功能，依據(jù)管理員分配好的IP段與用戶組的對應關系，基于新用戶的源IP地址段自動將其添加到指定用戶組、同時綁定IP/MAC，并繼承管理員指定的網(wǎng)絡權限。管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導入，實現(xiàn)快捷的創(chuàng)建用戶和分組信息。 2、建立身份認證體系 本地認證：Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定 第三方認證：AD、LDAP、Radius、POP3、PROXY等； 雙因素認證：USB-Key認證； 單點登