用戶感言

部署深信服下一代應(yīng)用防火墻加固了我們內(nèi)部網(wǎng)絡(luò)的安全性，解決了傳統(tǒng)防火墻不能滿足的SQL注入、DDOS攻擊、網(wǎng)頁篡改、Web防護(hù)等安全性問題，對我們的網(wǎng)站服務(wù)器和內(nèi)網(wǎng)用戶上網(wǎng)所產(chǎn)生的安全威脅實(shí)現(xiàn)了全面有效的安全防護(hù)。方案具有針對性，設(shè)備運(yùn)行穩(wěn)定，性能表現(xiàn)良好。

——某省財(cái)政廳

應(yīng)用背景

省財(cái)政廳門戶網(wǎng)站承擔(dān)著“宣傳經(jīng)濟(jì)發(fā)展、對外交流、公開信息”等重要功能，是服務(wù)于和諧社會的窗口。一旦受到黑客攻擊，不僅影響網(wǎng)站的正常工作，同時(shí)還降低網(wǎng)站的公信力，嚴(yán)重的情況下會導(dǎo)致重要信息的泄密，危及政府和企業(yè)形象。

面對現(xiàn)階段越來越嚴(yán)重的網(wǎng)絡(luò)安全威脅，該省財(cái)政廳進(jìn)行了深入的檢測和評估，包括抗DDOS等攻擊的防護(hù)設(shè)備、網(wǎng)站的防篡改、服務(wù)器的漏洞檢測和防范、應(yīng)急預(yù)案等等。發(fā)現(xiàn)的各種內(nèi)容安全威脅主要有：漏洞利用、拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊、零時(shí)差攻擊、間諜軟件、協(xié)議異常和違規(guī)檢測、偵測和掃描、Web入侵、病毒木馬等。針對以上問題如采用軟件的方式解決，其性能依存于服務(wù)器的性能、操作系統(tǒng)的穩(wěn)定性和安全性、本身軟件的穩(wěn)定性等，制約其功能發(fā)揮的因素很多，同時(shí)要對流量進(jìn)行全面的七層分析和清洗，服務(wù)器的CPU和內(nèi)存要求特別高，軟件的性能發(fā)揮出現(xiàn)瓶頸。

深信服解決之道

安全防護(hù)提升拓?fù)鋱D

通過在互聯(lián)網(wǎng)接入路由器后面部署一臺深信服NGAF-2020，開啟IPS、AV功能授權(quán)，可以實(shí)現(xiàn)對內(nèi)網(wǎng)終端和對外業(yè)務(wù)發(fā)布系統(tǒng)的雙重防護(hù)：

對外業(yè)務(wù)發(fā)布系統(tǒng)防護(hù)：

1）防止黑客入侵，獲取權(quán)限，竊取數(shù)據(jù)：通過NGAF的漏洞防護(hù)、服務(wù)器防護(hù)、病毒防護(hù)等多種應(yīng)用內(nèi)容防護(hù)功能，防止黑客入侵，保證服務(wù)器穩(wěn)定運(yùn)行；

2）精確控制服務(wù)器外聯(lián)權(quán)限：通過NGAF精確的應(yīng)用識別，放行服務(wù)器補(bǔ)丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關(guān)非法外聯(lián)流量；

3）簡化組網(wǎng)、降低延時(shí)：NGAF具備L2-L7一體化安全防護(hù)功能，可以簡化組網(wǎng)，減少故障點(diǎn)，通過單次解析引擎減低延時(shí)；

內(nèi)部終端安全防護(hù)：

1）全面防護(hù)，標(biāo)本兼治：通過NGAF的惡意網(wǎng)站過濾功能，防止終端訪問威脅網(wǎng)站和應(yīng)用；通過漏洞防護(hù)、病毒防護(hù)、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術(shù)手段；

2）垃圾流量清洗：通過NGAF智能的內(nèi)容安全過濾功能，將病毒、木馬、蠕蟲、DDoS等各種垃圾流量清除，確保帶寬純凈，防止病毒擴(kuò)散

3）精確識別，防止非法外聯(lián)：通過NGAF精確的應(yīng)用識別，放行服務(wù)器補(bǔ)丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關(guān)非法外聯(lián)流量，防止終端被作為跳板入侵服務(wù)器

4）一體化部署，配置簡單：NGAF具備L2-L7一體化安全防護(hù)功能，可以簡化組網(wǎng)，簡便管理，提高性價(jià)比；

應(yīng)用效果

通過深信服下一代應(yīng)用防火墻在互聯(lián)網(wǎng)出口的部署，不僅為該省財(cái)政廳互聯(lián)網(wǎng)出口7層的流量進(jìn)行了有效的清洗，同時(shí)為信息中心門戶提供了有利的安全保障，從最優(yōu)投資的角度減少了多余安全設(shè)備的投資。