搜索
深信服NGAF产品:陈红炎chy@sangfor.com.cn下一代防火墙推出背景案例一:索尼网站攻击与信息泄露事件其查询页面被搜索引擎抓取后,至少有数百个公积金账户的详细信息被泄漏到网上,包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。案例二:XX公积金查询网站泄密启示:web漏洞利用、防泄密不容忽视L5-L7:应用层L4:传输层L3:网络层L2:链路层L1:物理层业务内容Web应用架构Web服务架构操作系统TCP/IP协议栈网络接口网线ARP欺骗、广播风暴访问控制问题网络层DDoS敏感信息窃取网页篡改、挂马漏洞利用攻击SQL注入、跨站脚本应用扫描探测弱密码攻击应用层DDoS蠕虫、病毒、木马非安全应用滥用环境改变催生下一代30%网络层威胁70%应用层威胁Spending90%10%25%75%SecurityAttacksNetworkServerWebApplicationsSource:Gartnerr安全威胁与安全建设不相匹配Gartner定义下一代防火墙基本防火墙功能集成式入侵防御可视化应用识别智能防火墙高性能2009年Gartner定义下一代防火墙深信服下一代防火墙NGAF是什么?•防应用层攻击•双向内容检测•涵盖传统安全•应用层高性能•模块智能联动2011年,我们推出国内第一款NGAF功能强大性能强劲功能专业国内首家用户好评案例最多深信服NGAF201120125倍市场需求使我们快速增长产品快速迭代获得专业认可什么是下一代防火墙?下一代防火墙可视双向智能高效深信服下一代防火墙NGAF是什么?•防应用层攻击•双向内容检测•涵盖传统安全•应用层高性能•模块智能联动NGAF是面向应用层设计,能识别用户、应用和内容,具备完整安全防护能力的高性能下一代防火墙。能识别的属性,让网络流量清晰可视,访问控制更精细能从业务的角度帮用户进行安全分析,提供风险分析报告,让用户更方便的进行安全管理。whowhenwhereTheartwhatTitle可视性部署下一代防火墙NGAF让你的网络安全管理部署下一代防火墙NGAF让您的网络安全防御体系具备完整的L2-L7外到内攻击防御能力,能够有效防御WEB攻击。超过5000条攻击规则,每月更新4到6次特征库【业界最多】,产品通过OWASP的WEB攻击防御专业性认证,国内厂商最高水平。提供业界唯一的内到外风险防护能力,能够有效识别内部主动往外发送的信息中是否包含恶意流量、是否有泄密信息,是否有被篡改的信息。部署下一代防火墙NGAF让您的网络安全防御体系提供主动防御模式,能够通过自动学习,识别合法的业务交互模式,默认只允许符合合法模式的数据经过防火墙;实现底层模块间智能联动,应用层攻击防护模块可以调用网络层防御模块对远端攻击源进行锁定,提高黑客攻击成本;风险扫描之后能够自动生成针对性的防御策略,管理维护更智能拦截拦截防火墙IPS检测WAF检测网站浏览即时通信网站浏览漏洞攻击SQL注入攻击即时通信动态生成防火墙规则,阻断攻击IP所有流量部署下一代防火墙NGAF让你的网络安全防御体系单次解析架构多核并行处理技术实现应用层高性能,开启多功能也不影响访问体验软件架构—单次解析架构实现数据包一次拆包一次解析,提升检测效率硬件架构—多核并行处理提高整机吞吐能力,实现多线程高效处理多维度应用层攻击防护“识别—防护”的攻击防护深入内容的内容解析NGAF特点—全面防应用层攻击网页防篡改网关型网页防篡改无需安装任何插件动态网页/静态网页业务管理与安全管理分离管理员短信强认证信息防泄漏内置常见敏感信息特征可定义的敏感信息http敏感信息检测数据文件敏感信息检测安全管理更为可视!防御体系更为完整!安全功能更为全面!管理维护更为智能!网络结构更为清晰!处理能力更为高效!投入产出更为有效!可视双向智能高效下一代防火墙帮您打造传统安全架构vsNGAF网络效率低下运维成本高投资成本高单点故障多FWIPSAVWAF更完整的应用安全提升运维效率减少单点故障消除网络瓶颈基于端口/协议的IDL2/L3网络、高可用性(HA)、配置管理、报告基于端口/协议的IDURL签名L2/L3网络、高可用性(HA)、配置管理、报告URL策略基于端口/协议的IDIPS签名L2/L3网络、高可用性(HA)、配置管理、报告IPS策略基于端口/协议的ID防病毒签名L2/L3网络、高可用性(HA)、配置管理、报告防病毒策略防火墙策略IPS解码器防病毒解码器&代理多设备叠加=多功能假集成=貌合神离L2/L3网络、高可用性(HA)、配置管理、报告UTM解决方案匹配场景匹配特征圈定客户目标客户特征的选择标准:客户是否存在应用层安全需求?应用层安全需求特征•IPS,WAF•数据保护,服务器保护,防篡改•终端上网安全•等保【第七个技术要求:入侵和恶意代码防护】等等传统安全需求特征•NAT【网络地址转换】•ACL【访问控制列表】•网络层DOS/DDOS攻击防护•ARP欺骗防护•互联网出口一体化安全防护互联网出口•网站一站式安全防护•网页篡改防护•对外发布业务系统敏感信息防泄漏对外发布•数据中心安全防护•业务系统应用安全加固•数据中心业务系统敏感信息防泄漏数据中心•广域网安全组网及流量清洗•广域网边界安全防护广域网Internet重点目标客户特征如何去沟通?客户有防火墙和IPS采购需求,需要对终端上网安全进行保护;强调网络的简洁、稳定和维护成本,强调性价比;安全需求:互联网出口的NAT,协议过滤终端上网安全防护【恶意URL过滤、浏览器、操作系统以及软件程序漏洞入侵】备注:只有NAT的需求或者对安全不关注的客户不是目标客户;•防应用层攻击•涵盖传统安全优势总结DMZ区Internet安全需求:互联网出口的NAT,协议过滤终端上网安全防护【恶意URL过滤,浏览器、操作系统以及软件程序漏洞入侵】DMZ区域的服务器和业务系统保护【服务器操作系统、应用发布软件以及WEB系统漏洞入侵、网页篡改、信息泄密等等】这一类都是目标客户。需要特别注意的是,如果客户需要分开买设备,我们如何去沟通?业务场景如何去沟通?如果客户正在新建网络,什么设备都没有强调性价比、更多的应用层防护、网络的简洁、稳定、性能和维护成本;如果客户仅买了防火墙,还要买IPS和WAF强调性价比、更多的应用层防护、网络的简洁、稳定、性能和维护成本;如果客户已经购买了防火墙、IPS或WAF针对具体的客户需求进行对比。如果客户已经够了防火墙、IPS和WAF寻找客户其他区域【尤其是分支机构、其他办公区域】的安全需求。•防应用层攻击•涵盖传统安全优势总结•双向内容检测•应用层高性能Internet安全需求:服务器和业务系统保护【服务器操作系统、应用发布软件以及WEB系统漏洞防入侵、网页防篡改、信息防泄密、应用层DDOS攻击防护等等】这一类都是目标客户。需要特别注意的是,如果客户需要分开买设备,我们如何去沟通?业务场景如何去沟通?如果客户正在新建网络,什么设备都没有强调性价比、更多的应用层防护、网络的简洁、稳定、性能和维护成本;如果客户仅买了防火墙,还要买IPS和WAF强调性价比、更多的应用层防护、网络的简洁、稳定、性能和维护成本;如果客户已经购买了防火墙、IPS或WAF针对具体的客户需求进行对比。如果客户已经够了防火墙、IPS和WAF寻找客户其他区域【尤其是分支机构、其他办公区域】的安全需求。•防应用层攻击•涵盖传统安全优势总结•双向内容检测•应用层高性能安全需求:数据中心边界的ACL服务器和业务系统保护【业务系统帐号暴力猜解、HTTP以及FTP等应用协议信息探测、服务器操作系统、应用发布软件以及WEB系统漏洞入侵、信息泄密等等】这一类都是目标客户。需要特别注意的是,如果客户需要分开买设备,我们如何去沟通?业务场景如何去沟通?如果客户正在新建网络,什么设备都没有强调性价比、网络的简洁、稳定、性能和维护成本;强调全面的应用层防护;如果客户仅买了防火墙,还要买IPS/IDS强调性价比、网络的简洁、稳定、性能和维护成本;用WAF的特性去打IPS,强调更全面的应用层防护。如果客户已经购买了防火墙、IPS看使用年限,寻找替换机会;强调更全面的应用层防护、高性能、稳定性、网络的简洁和维护成本;•防应用层攻击•双向内容检测•涵盖传统安全•应用层高性能优势总结路由器MPLS/IPSEC目标客户特征如何去沟通如果客户有终端上网安全、隔离恶意流量和入侵行为的需求,就是我们的目标客户;主要竞争对手是UTM。强调应用识别能力、低成本的高性能、安全策略联动安全需求:分支网络出口的NAT,ACL,协议过滤;分支终端上网安全防护【恶意URL过滤,浏览器、操作系统以及软件程序漏洞入侵】隔离分支机构内部的恶意流量或入侵行为,防止对总部和其他分支网络造成破坏;备注:如果客户只有简单的NAT,ACL,协议过滤需求,就不是我们的目标客户;•防应用层攻击•应用层高性能•涵盖传统安全优势总结UTMWAFFW+IPS+VPN防Web攻击ACL、NAT、DOSFW主要竞争产品:FWIPSUTMWAFNGFWNGFWIPS漏洞防护应用识别AC•选型要参考三层性能参数,避免用过高的型号导致成本过高;•利用上半年的IPS+WAF模块的一年免费政策,引导客户免费体验应用层安全防护的效果;必要时可以进行攻防对比测试;树立技术上的优势点;通过功能模块来控标;•合理利用低端的AF-520这个型号设备进行价格竞争;传统防火墙NGAFFW是网络层设备AF是7层安全设备FW不能识别应用,不能有效控制应用AF能识别应用,并可做基于应用的ACL、流控及防护FW不能防护应用层风险,如web攻击、漏洞攻击、病毒木马等AF能够识别并防护应用层威胁,并实现双向内容检测•钉死UTM的通用弱点:缺乏WEB防护,IPS和防火墙之间的安全策略缺乏联动,多模块开启性能下降比较厉害;结合客户的实际应用场景对客户进行持续影响;UTMNGAFUTM是简单的多功能叠,无法实现联动;NGAF是应用层一体化安全防护,可以实现IPS和防火墙的安全策略联动;风险分析和安全策略的联动;UTM串行处理、多次解析,多功能开启性能差NGAF通过单次解析、多核并行处理、基于应用的防护实现应用层高性能UTM无法防护web攻击,不能实现网页防篡改、防泄密NGAF能够理解http协议,防护web攻击,实现双向内容过滤,不仅能防护外部攻击,也能实现外出流量检查。满足网页防篡改、防泄密的需求。WAFNGAFWAF主要功能是防web应用程序,防止web攻击NGAF涵盖WAF功能并能解决WEB系统底层漏洞、发布系统漏洞的攻击WAF仅防止外部攻击NGAF不仅能防止外部攻击也能防止内到外的敏感信息泄漏、网页篡改WAF性能低下,1G便是高端设备NGAF应用层性能高,有10G万兆平台Tips:WEB系统的安全4层面:1、底层操作系统层面:win2003、linux、unix等(AH、LM)2、发布软件层面:IIS、阿帕奇漏洞(AH、LM)3、应用程序层面:web攻击4、内容层面:敏感信息防泄密、网页防篡改(QM)IPSNGAFIPS主要功能是漏洞防护NGAF涵盖IPS功能,能实现全面的应用安全防护IPS仅防止外部攻击NGAF不仅能防止外部攻击也能防止内到外的敏感信息泄漏、网页篡改IPS基于网络数据包的攻击特征匹配,漏报、误报高NGAF基于应用的特征匹配,有效降低漏报、误报率Tips:应用层安全威胁有哪些?1、漏洞攻击—对操作系统、业务软件、应用程序的漏洞攻击2、恶意插件与脚本攻击—对业务系统上传恶意插件,植入恶意脚本的攻击3、应用层DOS—对业务系统的拒绝服务攻击4、WEB攻击—对web应用、业务系统数据库的攻击5、应用信息扫描和探测—对HTTP/FTP协议的版本等信息的探测*攻击的角度红色部分IPS无法实现FW•传统防火墙无法防御应用层攻击,比如SQL注入等等。UTM•UTM多功能开启性能差,各模块缺乏联动,缺乏WEB攻击防护功能;WAF•处理性能不足,缺乏底层漏洞攻击特征库,缺乏