深信服NGAF下一代应用防火墙产品介绍-PPT

深信服,NGAF,下一代应用防火墙,1,、下一代,防火墙,大势所趋,Web,攻击事件,新,浪微博病毒大范围传播,启示：,类似,XSS,蠕虫,05,年就攻击过知名社交网站,MySpace,，这次事件可以算是,samy,蠕虫在新浪的翻版，但随着,web2.0,技术的广泛应用这种攻击的影响可能会加剧,。,Web,攻击事件,索尼,泄密,事件,其,查询页面被搜索引擎抓取后，至少有数百个公积金账户的详细信息被泄漏到网上，包括,公积金账户姓名、身份证号、公积金余额、所在单位,等一览无遗。,泄密事件,北京市,公积金查询,网站,启示：,web,漏洞利用、防泄密不容忽视,泄密事件,2011,年末泄密事件,篡改事件,2012,年初网页篡改仍然严重,截至,2011,年,6,月底，,我国域名总数为,786,万个,。中国的网站数，即域名注册者在中国境内的网站数（包括在境内接入和境外接入）为,183,万个,。,第,28,次中国互联网络发展状况统计报告,网络安全信息与动态,2012,年,1,月,难道这些单位不重视安全建设吗？,威胁来自应用层！,90%,投资在网络层！,传统防火墙已经失效！,现行的解决方案,“串糖葫芦”式部署,FW,IPS,AV,WAF,“串糖葫芦式”“打补丁式”建设,成本,高：环境、空间、重复采购,管理难：多设备，多厂商、安全风险无法分析,效率低：重复解析、单点故障,现行的解决方案,UTM,基于端口,/,协议的,ID,L2/L3,网络、高可用性（,HA,）、配置管理、报告,基于端口,/,协议的,ID,URL,签名,L2/L3,网络、高可用性（,HA,）、配置管理、报告,URL,策略,基于端口,/,协议的,ID,IPS,签名,L2/L3,网络、高可用性（,HA,）、配置管理、报告,IPS,策略,基于端口,/,协议的,ID,防病毒签名,L2/L3,网络、高可用性（,HA,）、配置管理、报告,防病毒策略,防火墙策略,IPS,解码器,防病毒解码器,&,代理,多设备叠加,=,多功能假集成,=,貌合神离,L2/L3,网络、高可用性（,HA,）、配置管理、报告,简单,的,叠加,性能,是最大的瓶颈,网络层次越高资产价值越大,L5-L7:,应用层,L4:,传输层,L3:,网络层,L2:,链路层,L1:,物理层,风险越高越迫切需要被保护,访问控制问,题,协,议异,常,网,络层,DDoS,ARP,欺骗、广播风暴,传输线路物理损坏,L2-L7,层潜在的安全威胁,敏感信息外泄,网页篡改、挂马,应用层,DDoS,SQL,注入、跨站脚本,漏,洞,利用攻击,扫,描探,测,蠕虫、病,毒、木,马,P2P,带宽滥用,业务内容,Web,应用架构,Web,服务架构,操作系统,TCP/IP,协议栈,网络接口,网线,安全建设应该重新考虑,重新考虑安全建设,防应用层攻击,双向内容检测,涵盖传统安全,应用层高性能,防护,应用层安全威胁为重心,关注服务器外发内容的安全风险,融合现网环境，,与传统安全形成异构,安全不会成为网络的瓶颈,2,、产品介绍,下一代防火墙应具备的特性,防应用层攻击,双向内容检测,涵盖传统安全,应用层高性能,NGAF,是面向应用层设计，能识别用户、应用和内容，具备完整安全防护能力的高性能下一代防火墙。,L2-L7,层,安全防护方案,NGAF,特点,防应用层攻击,服务,器敏感信息,NGAF,多维度应用层攻击防护,“识别,防护”的攻击防护,深入内容的内容解析,多维度的漏洞攻击防护,核心应用漏洞库：,2200+,主机操作系统漏洞，如,Windows,、,Linux,、,Unix,等,应用程序漏洞，如,Adobe,、,Office,、,SPA,、,IBM Lotus,等,网络操作系统漏洞，如思科,IOS,、,Juniper JUNOS,、,SSL,协议等,中间件漏洞，如,WebShpere,、,WebLogic,等,数据库漏洞，如,SQL Server,、,Oracle,等,浏览器漏洞：,IE,、,FrieFox,、,Google Chrome,等,病毒、木马、后门软件等,。,多对象漏洞利用,服务器,漏洞攻击防护,终端漏洞攻击防护,强化的,Web,安全防护,应用隐藏,FTP,信息隐藏,HTTP,信息隐藏,口令防护,弱口令防护,暴力破解防护,权限控制,文件上传过滤,URL,防护,OWASP 10,大,web,风险,SQL,注入,XSS,跨站脚本,网页木马,webshell,服务器外发内容过滤,网页防篡改：静态、动态,敏感,信息防泄露：,身份证号、信用卡号、财务数据等,NGAF,特点,双向内容检测,防止端口,/,服务扫描,弱口令保护,/,防暴力破解,关键,URL,保护,应用信息隐藏,HTTP,出错页面,隐藏,HTTP(S),响应报文头,隐藏,FTP,信息,隐藏,强化的,web,防护,防,SQL,注入攻击,防,OS,命令注入,XSS,攻击、,CSRF,攻击,多对象漏洞利用,服务器漏洞攻击防护,终端漏洞攻击防护,DOS,攻击,应用层,DOS,攻击,CC,攻击*,权限控制,可执行程序上传,过滤,上行,病毒木马,清洗,切断,webshell,流量,扫描,过程,攻击过程,破坏过程,用户,/,黑客,Web,应用服务器,窃取内容,事前风险分析,网页防篡改,网关型网页防篡改,爬虫技术网页,缓存,模糊、精确匹配方式,特征码、文件等多种比对方式,业务审批与安全管理界面分离,短信、邮件报警,敏感信息防泄漏,常见,的,敏感信息防,泄漏,用户信息,邮箱账户信息,MD5,加密密码,银行卡号,身份证号码,社保账号,信用卡号,手机,号码,内部保密文件,WAF,NGAF,特点,涵盖传统安全,网络层次越高资产价值越大,L5-L7:,应用层,L4:,传输层,L3:,网络层,L2:,链路层,L1:,物理层,防火墙,NGAF,TCP/IP,协议栈,网络接口,操作系统,Web,服务架构,Web,应用架构,应用,风险越高越迫切需要被保护,应用层数据,会话标识,HTTP,请求,/,响应,IPS,TCP,连接,IP,报文,以太网报文,二进制比特流,网线,集成式防火墙,功能,防火墙,包过滤与状态检测,路由,NAT,抗网络层攻击,IPSECVPN,内置,IPSEC VPN,模块,市场占有率连续,5,年全国,第一,基于,国际标准的,IPSec VPN,国家IPSec VPN标准的核心制定者之一，产品高安全,保证,统一集中管理,可视化展现,基于设备面板状态监控,多维度图形化监控,设备集中状态监控,深层次,审计分析,高性能数据处理能力,高容量数据存储,多应用数据挖掘和分析,集中管理,多种协议方式,管理,、,受控端,受控端,受控端,受控端,SC,中心端,NGAF,特点,应用层高性能,单次解析构架,实现报文一次解析和匹配,核,1,核,2,核,n,并行,核,性能,1,2,3,n,策略层,网络层,/,快递路径,网络硬件,I/O,FW,IPS,AV,+,=,应用层高性能,万兆处理能力,多核并行处理技术,提升应用层分析速度,全新技术构架,实现应用层万兆处理能力,