用户感言
部署深信服下一代应用防火墙加固了我们内部网络的安全性,解决了传统防火墙不能满足的SQL注入、DDOS攻击、网页篡改、Web防护等安全性问题,对我们的网站服务器和内网用户上网所产生的安全威胁实现了全面有效的安全防护。方案具有针对性,设备运行稳定,性能表现良好。
——某省财政厅
应用背景
省财政厅门户网站承担着“宣传经济发展、对外交流、公开信息”等重要功能,是服务于和谐社会的窗口。一旦受到黑客攻击,不仅影响网站的正常工作,同时还降低网站的公信力,严重的情况下会导致重要信息的泄密,危及政府和企业形象。
面对现阶段越来越严重的网络安全威胁,该省财政厅进行了深入的检测和评估,包括抗DDOS等攻击的防护设备、网站的防篡改、服务器的漏洞检测和防范、应急预案等等。发现的各种内容安全威胁主要有:漏洞利用、拒绝服务攻击和分布式拒绝服务攻击、零时差攻击、间谍软件、协议异常和违规检测、侦测和扫描、Web入侵、病毒木马等。针对以上问题如采用软件的方式解决,其性能依存于服务器的性能、操作系统的稳定性和安全性、本身软件的稳定性等,制约其功能发挥的因素很多,同时要对流量进行全面的七层分析和清洗,服务器的CPU和内存要求特别高,软件的性能发挥出现瓶颈。
深信服解决之道
安全防护提升拓扑图
通过在互联网接入路由器后面部署一台深信服NGAF-2020,开启IPS、AV功能授权,可以实现对内网终端和对外业务发布系统的双重防护:
对外业务发布系统防护:
1)防止黑客入侵,获取权限,窃取数据:通过NGAF的漏洞防护、服务器防护、病毒防护等多种应用内容防护功能,防止黑客入侵,保证服务器稳定运行;
2)精确控制服务器外联权限:通过NGAF精确的应用识别,放行服务器补丁升级、病毒库升级等必要外联流量,阻断各种无关非法外联流量;
3)简化组网、降低延时:NGAF具备L2-L7一体化安全防护功能,可以简化组网,减少故障点,通过单次解析引擎减低延时;
内部终端安全防护:
1)全面防护,标本兼治:通过NGAF的恶意网站过滤功能,防止终端访问威胁网站和应用;通过漏洞防护、病毒防护、恶意控件/脚本过滤功能,切断威胁感染终端的各种技术手段;
2)垃圾流量清洗:通过NGAF智能的内容安全过滤功能,将病毒、木马、蠕虫、DDoS等各种垃圾流量清除,确保带宽纯净,防止病毒扩散
3)精确识别,防止非法外联:通过NGAF精确的应用识别,放行服务器补丁升级、病毒库升级等必要外联流量,阻断各种无关非法外联流量,防止终端被作为跳板入侵服务器
4)一体化部署,配置简单:NGAF具备L2-L7一体化安全防护功能,可以简化组网,简便管理,提高性价比;
应用效果
通过深信服下一代应用防火墙在互联网出口的部署,不仅为该省财政厅互联网出口7层的流量进行了有效的清洗,同时为信息中心门户提供了有利的安全保障,从最优投资的角度减少了多余安全设备的投资。
