自Gartner提出下一代防火墻概念以來，國外廠商Palo alto搞得風生水起，國內卻一直偃旗息鼓。2011年，深信服科技在國內首家推出下一代防火墻NGAF，一年多的時間取得了不錯的成績。究竟這款產品能否延續(xù)其"細分市場第一"的產品發(fā)展戰(zhàn)略，帶著一些疑問我們決定對這款產品的功能以及技術進行更進一步的了解。

為什么加入網頁防篡改功能？

在Gartner的定義中，下一代防火墻是在不同信任級別的網絡之間實時執(zhí)行網絡安全策略的聯(lián)機控制，可偏偏在深信服的下一代防火墻中，出現(xiàn)了網頁防篡改的功能選項，這又是為什么呢？

深信服科技防火墻產品線運營經理王帆解釋："這是深信服下一代防火墻NGAF服務器防護中的一個子模塊，其設計目的在于提供的一種事后補償防護手段，因為沒有任何一種安全設備是絕對的安全，都有被攻破的風險。近些年，有不少大大小小的政府、企業(yè)門戶網站被惡意篡改，這其中有純報復性質、也有惡意商業(yè)目的，無論出發(fā)點如何，都對用戶造成了極大地負面形象影響。所以添加這個功能，即使黑客繞過安全防御體系修改了網站內容，其修改的內容也不會發(fā)布到最終用戶處，從而避免因網站內容被篡改給組織單位造成的形象破壞、經濟損失等問題。我們的產品定位就是要讓國內用戶在最簡單部署條件下能夠實現(xiàn)近乎全部的安全要求，并保障設備的穩(wěn)定運行。"

和其他的防篡改類產品相比，深信服下一代防火墻的防篡改是如何實現(xiàn)的呢？

簡單來說，管理員預先在控制臺設置需防護的網站， NGAF設備會向該網站請求頁面并緩存到設備。當用戶訪問網站時，數(shù)據經過NGAF設備，NGAF根據預先緩存的頁面與用戶訪問的頁面進行比對，如有變動，則判斷為篡改，跳轉到指定頁面并且通過多種方式通知管理員。

都能防護那些篡改？

能夠防護篡改的類型至少可以分為如下幾類：

1、替換整個網頁

2、插入新鏈接

3、替換網站圖片文件

4、編輯網頁

5、因網站運行出錯導致結構畸變

與軟件防篡改相比有哪些優(yōu)勢？

這兩種方式都能夠解決客戶最剛性的兩個需求，一是被篡改之后外面的人不能訪問到被篡改頁面，二是能夠及時發(fā)現(xiàn)篡改行為并進行告警，以便管理人員能夠及時處理。

被篡改頁面的恢復這個功能確實是軟飯防護方式的一個優(yōu)勢，但是，軟件防篡改也有一個很大的致命弊端，它們需要在WEB服務器上安裝客戶端程序，這樣會給客戶帶來兩個比較大的風險，一是客戶端程序可能和原來的WEB發(fā)布軟件和網站程序有兼容性問題，影響網站正常訪問；二是它們缺乏對服務器的整體防護措施缺乏底層漏洞攻擊防護，一旦服務器被黑客控制，黑客可以隨意把防篡改的軟件程序關閉，這樣軟件防護方式就徹底失去了防護效果。這也是現(xiàn)在越來越多的用戶不用軟件方式的主要原因。

而深信服下一代防火墻NGAF屬于硬件防護方式，無需在原有的WEB服務器上安裝任何程序，不影響原有的應用，還能提供完整的2到7層的整體防護，目前受到更多用戶的青睞。