自Gartner提出下一代防火墻概念以來，國外廠商Palo alto搞得風(fēng)生水起，國內(nèi)卻一直偃旗息鼓。2011年，深信服科技在國內(nèi)首家推出下一代防火墻NGAF，一年多的時(shí)間取得了不錯(cuò)的成績。究竟這款產(chǎn)品能否延續(xù)其"細(xì)分市場第一"的產(chǎn)品發(fā)展戰(zhàn)略，帶著一些疑問我們決定對這款產(chǎn)品的功能以及技術(shù)進(jìn)行更進(jìn)一步的了解。

為什么加入網(wǎng)頁防篡改功能？

在Gartner的定義中，下一代防火墻是在不同信任級別的網(wǎng)絡(luò)之間實(shí)時(shí)執(zhí)行網(wǎng)絡(luò)安全策略的聯(lián)機(jī)控制，可偏偏在深信服的下一代防火墻中，出現(xiàn)了網(wǎng)頁防篡改的功能選項(xiàng)，這又是為什么呢？

深信服科技防火墻產(chǎn)品線運(yùn)營經(jīng)理王帆解釋："這是深信服下一代防火墻NGAF服務(wù)器防護(hù)中的一個(gè)子模塊，其設(shè)計(jì)目的在于提供的一種事后補(bǔ)償防護(hù)手段，因?yàn)闆]有任何一種安全設(shè)備是絕對的安全，都有被攻破的風(fēng)險(xiǎn)。近些年，有不少大大小小的政府、企業(yè)門戶網(wǎng)站被惡意篡改，這其中有純報(bào)復(fù)性質(zhì)、也有惡意商業(yè)目的，無論出發(fā)點(diǎn)如何，都對用戶造成了極大地負(fù)面形象影響。所以添加這個(gè)功能，即使黑客繞過安全防御體系修改了網(wǎng)站內(nèi)容，其修改的內(nèi)容也不會發(fā)布到最終用戶處，從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟(jì)損失等問題。我們的產(chǎn)品定位就是要讓國內(nèi)用戶在最簡單部署條件下能夠?qū)崿F(xiàn)近乎全部的安全要求，并保障設(shè)備的穩(wěn)定運(yùn)行。"

和其他的防篡改類產(chǎn)品相比，深信服下一代防火墻的防篡改是如何實(shí)現(xiàn)的呢？

簡單來說，管理員預(yù)先在控制臺設(shè)置需防護(hù)的網(wǎng)站， NGAF設(shè)備會向該網(wǎng)站請求頁面并緩存到設(shè)備。當(dāng)用戶訪問網(wǎng)站時(shí)，數(shù)據(jù)經(jīng)過NGAF設(shè)備，NGAF根據(jù)預(yù)先緩存的頁面與用戶訪問的頁面進(jìn)行比對，如有變動(dòng)，則判斷為篡改，跳轉(zhuǎn)到指定頁面并且通過多種方式通知管理員。

都能防護(hù)那些篡改？

能夠防護(hù)篡改的類型至少可以分為如下幾類：

1、替換整個(gè)網(wǎng)頁

2、插入新鏈接

3、替換網(wǎng)站圖片文件

4、編輯網(wǎng)頁

5、因網(wǎng)站運(yùn)行出錯(cuò)導(dǎo)致結(jié)構(gòu)畸變

與軟件防篡改相比有哪些優(yōu)勢？

這兩種方式都能夠解決客戶最剛性的兩個(gè)需求，一是被篡改之后外面的人不能訪問到被篡改頁面，二是能夠及時(shí)發(fā)現(xiàn)篡改行為并進(jìn)行告警，以便管理人員能夠及時(shí)處理。

被篡改頁面的恢復(fù)這個(gè)功能確實(shí)是軟飯防護(hù)方式的一個(gè)優(yōu)勢，但是，軟件防篡改也有一個(gè)很大的致命弊端，它們需要在WEB服務(wù)器上安裝客戶端程序，這樣會給客戶帶來兩個(gè)比較大的風(fēng)險(xiǎn)，一是客戶端程序可能和原來的WEB發(fā)布軟件和網(wǎng)站程序有兼容性問題，影響網(wǎng)站正常訪問；二是它們?nèi)狈Ψ?wù)器的整體防護(hù)措施缺乏底層漏洞攻擊防護(hù)，一旦服務(wù)器被黑客控制，黑客可以隨意把防篡改的軟件程序關(guān)閉，這樣軟件防護(hù)方式就徹底失去了防護(hù)效果。這也是現(xiàn)在越來越多的用戶不用軟件方式的主要原因。

而深信服下一代防火墻NGAF屬于硬件防護(hù)方式，無需在原有的WEB服務(wù)器上安裝任何程序，不影響原有的應(yīng)用，還能提供完整的2到7層的整體防護(hù)，目前受到更多用戶的青睞。