梭子魚WAFVS深信服NGAF

梭子魚WAF 深信服NGAF

安全合規性:

梭子魚VS深信服

安全模型 主動模式

（白名單許可，其他掃描）

?

被動模式

（黑名單阻斷，其他放行）

學習模式

（可以學習后端服務器的各類web

參數屬性）

?? ??

?? ??

正則表達式規則匹配

ICSA Labs Net Firewall(通

過ICSA認證)

（ICSA (互聯網計算機安全聯盟)

是國際上最著名的網絡及網絡安全

產品認證組織，國際上最知名的品牌

一般都會通過這個認證。）

?? ??

ICSA Labs App Firewall (通

過ICSA認證)

網絡防火墻

應用防火墻

Zero-Day 防護

SQL注入攻擊防護

命令注入攻擊防護

目錄穿透

跨站點腳本攻擊

緩存溢出

應用平臺探測

Cookie 篡改

會話劫持

參數篡改

應用層DOS攻擊

網站隱身 (OS,Web rver

fingerprinting)

雙向偵測

掩護 - 數據對象保護/ 數據

盜竊 / 破壞 / 身份竊取

通配證書

SSL 前端加密

（客戶端和梭子魚之間是SSL加密

通訊方式）

?? ??

?? ??

?????

?? ??

?? ??

?? ??

???? ?

?? ??

???? ?

?? ??

?? ??

?? ??

???? ?

?? ??

??

??? ?

??

?? ??

??

?? ?

??

??

SSL 后端加密

（梭子魚和服務器之間是SSL加密

通訊方式）

??

??

??

??

? ?

??

?? ??

?? ??

??? ?

? ?

??

512 bit keys

（SSL加密的位數）

1024 bit keys

（SSL加密的位數）

2048 bit keys

（SSL加密的位數）

網絡層DOS攻擊

局部站點加密

Javascript注入

（直接在瀏覽器地址欄中加入

javascript語句以改變網站內容，是

網頁篡改技術之一）

Cookie 前端防護

（加密、簽名、IP與報頭重放防護：

重放攻擊黑客竊取合法的cookie重

新發送到web服務器，假冒他人訪

問。但I這種假冒的訪問，其P或

http包頭與正常的不服；因此IP和

cookie組合可以防止cookie欺騙。）

??? ?

Cookie 后端防護

（加密、簽名、IP和包頭重放防護）

??

? ?

??? ?

安全密鑰存儲

（對cookie的加密密鑰安全存儲）

用戶管理:

用戶訪問網站的身份認證和授權可以由NC代理完成，減少對服務器非法訪問。

客戶端SSL證書

RADIUS (AAA)

LDAP

NetTegrity

Active Directory

加速技術:

TCP 連接復用（一個TCP

連接中包含多個HTTP請求，

這樣，當有多個訪問時，梭

子魚只用跟服務器創建一個

TCP連接；這樣大幅度減少

了服務器系統開銷。1100平

均復用率為7，2000為10）

緩存

壓縮（gzip）

??? ?

?? ??

?? ??

?? ??

??? ?

?

?

??

(460及以上)

?

??

?? ??

?? ? ?

內容交換

負載均衡

部署

單臂部署

橋接部署

反向代理（路由模式）

混合部署 (橋接&代理)(橋接&網關)

VLAN 支持

bypass

HA

管理簡易性:

CLI（NC系列）

圖形界面

報表

報表可導出

Web應用日志

（記錄攻擊）容越詳細）

網絡防火墻日志

（記錄網絡層訪問日志）

?? ??

?? ??

?? ??

?? ??

?? ??

????????

?? ??

??? ?

?? ??

?? ??

????

??? ??

?? ??

?

（分為8個等級，等級越高內

??

?

??

?? ??

?? ??

??

安全控制多元化（不同站點

采用不同策略）

安全控制具體化（可以具體

到http參數，及站點中的每

一個文件）

Web應用安裝向導

策略應用向導

正則表達式幫助

抓包(NC具備)

設備訪問日志

One-Screen Dashboard（儀

表盤）

自定義HTTP響應方式（如自

定義錯誤相應頁面、重定向

頁面等）

內置多種配置模板（）

備份與恢復

自動備份（X60系列）

多級用戶管理（NC）

?? ??

?? ??

?? ??

??? ?

?? ??

?? ??

?

?? ??

?? ??

?? ??

?? ??

?? ??