资源描述
,*,*,深信服NGAF下一代应用防火墙,深信服NGAF下一代应用防火墙,1,、下一代防火墙大势所趋,1、下一代防火墙大势所趋,Web,攻击事件,新浪微博病毒大范围传播,启示:,类似,XSS,蠕虫,05,年就攻击过知名社交网站,MySpace,,这次事件可以算是,samy,蠕虫在新浪的翻版,但随着,web2.0,技术的广泛应用这种攻击的影响可能会加剧,。,Web攻击事件新浪微博病毒大范围传播启示:类似XSS蠕虫,Web,攻击事件,索尼泄密事件,Web攻击事件索尼泄密事件,其查询页面被搜索引擎抓取后,至少有数百个公积金账户的详细信息被泄漏到网上,包括,公积金账户姓名、身份证号、公积金余额、所在单位,等一览无遗。,泄密事件,北京市公积金查询网站,启示:,web,漏洞利用、防泄密不容忽视,其查询页面被搜索引擎抓取后,至少有数百个公积金账户的详细信息,泄密事件,2011,年末泄密事件,泄密事件2011年末泄密事件,篡改事件,2012,年初网页篡改仍然严重,截至,2011,年,6,月底,,我国域名总数为,786,万个,。中国的网站数,即域名注册者在中国境内的网站数(包括在境内接入和境外接入)为,183,万个,。,第,28,次中国互联网络发展状况统计报告,网络安全信息与动态,2012,年,1,月,篡改事件2012年初网页篡改仍然严重截至2011年6月底,难道这些单位不重视安全建设吗?,威胁来自应用层!,90%,投资在网络层!,传统防火墙已经失效!,难道这些单位不重视安全建设吗?威胁来自应用层!,现行的解决方案,“串糖葫芦”式部署,FW,IPS,AV,WAF,“串糖葫芦式”“打补丁式”建设,成本高:环境、空间、重复采购,管理难:多设备,多厂商、安全风险无法分析,效率低:重复解析、单点故障,现行的解决方案“串糖葫芦”式部署FWIPSAVWAF“串,现行的解决方案,UTM,基于端口,/,协议的,ID,L2/L3,网络、高可用性(,HA,)、配置管理、报告,基于端口,/,协议的,ID,URL,签名,L2/L3,网络、高可用性(,HA,)、配置管理、报告,URL,策略,基于端口,/,协议的,ID,IPS,签名,L2/L3,网络、高可用性(,HA,)、配置管理、报告,IPS,策略,基于端口,/,协议的,ID,防病毒签名,L2/L3,网络、高可用性(,HA,)、配置管理、报告,防病毒策略,防火墙策略,IPS,解码器,防病毒解码器,&,代理,多设备叠加,=,多功能假集成,=,貌合神离,L2/L3,网络、高可用性(,HA,)、配置管理、报告,简单的叠加,性能是最大的瓶颈,现行的解决方案UTM基于端口/协议的IDL2/L3网络、,网络层次越高资产价值越大,L5-L7:,应用层,L4:,传输层,L3:,网络层,L2:,链路层,L1:,物理层,风险越高越迫切需要被保护,访问控制问题,协议异常,网络层,DDoS,ARP,欺骗、广播风暴,传输线路物理损坏,L2-L7,层潜在的安全威胁,敏感信息外泄,网页篡改、挂马,应用层,DDoS,SQL,注入、跨站脚本,漏洞利用攻击,扫描探测,蠕虫、病毒、木马,P2P,带宽滥用,业务内容,Web,应用架构,Web,服务架构,操作系统,TCP/IP,协议栈,网络接口,网线,网络层次越高资产价值越大L5-L7:应用层L4:传输层,安全建设应该重新考虑,防护应用层安全威胁为重心,关注服务器外发内容的安全风险,融合现网环境,,与传统安全形成异构,安全不会成为网络的瓶颈,安全建设应该重新考虑防护应用层安全威胁为重心关注服务器外发内,2,、产品介绍,2、产品介绍,下一代防火墙应具备的特性,防应用层攻击,双向内容检测,涵盖传统安全,应用层高性能,NGAF,是面向应用层设计,能识别用户、应用和内容,具备完整安全防护能力的高性能下一代防火墙。,下一代防火墙应具备的特性防应用层攻击NGAF是面向应用层设计,L2-L7,层安全防护方案,L2-L7层安全防护方案,NGAF,特点,防应用层攻击,服务器敏感信息,NGAF,多维度应用层攻击防护,“识别,防护”的攻击防护,深入内容的内容解析,NGAF特点防应用层攻击服务器敏感信息NGAF多维度应用,多维度的漏洞攻击防护,核心应用漏洞库:,2200+,主机操作系统漏洞,如,Windows,、,Linux,、,Unix,等,应用程序漏洞,如,Adobe,、,Office,、,SPA,、,IBM Lotus,等,网络操作系统漏洞,如思科,IOS,、,Juniper JUNOS,、,SSL,协议等,中间件漏洞,如,WebShpere,、,WebLogic,等,数据库漏洞,如,SQL Server,、,Oracle,等,浏览器漏洞:,IE,、,FrieFox,、,Google Chrome,等,病毒、木马、后门软件等,。,多对象漏洞利用,服务器漏洞攻击防护,终端漏洞攻击防护,多维度的漏洞攻击防护核心应用漏洞库:2200+多对象漏洞利用,强化的,Web,安全防护,应用隐藏,FTP,信息隐藏,HTTP,信息隐藏,口令防护,弱口令防护,暴力破解防护,权限控制,文件上传过滤,URL,防护,OWASP 10,大,web,风险,SQL,注入,XSS,跨站脚本,网页木马,webshell,强化的Web安全防护应用隐藏,服务器外发内容过滤,网页防篡改:静态、动态,敏感信息防泄露:身份证号、信用卡号、财务数据等,NGAF,特点,双向内容检测,防止端口,/,服务扫描,弱口令保护,/,防暴力破解,关键,URL,保护,应用信息隐藏,HTTP,出错页面隐藏,HTTP(S),响应报文头隐藏,FTP,信息隐藏,强化的,web,防护,防,SQL,注入攻击,防,OS,命令注入,XSS,攻击、,CSRF,攻击,多对象漏洞利用,服务器漏洞攻击防护,终端漏洞攻击防护,DOS,攻击,应用层,DOS,攻击,CC,攻击*,权限控制,可执行程序上传过滤,上行病毒木马清洗,切断,webshell,流量,扫描过程,攻击过程,破坏过程,用户,/,黑客,Web,应用服务器,窃取内容,服务器外发内容过滤NGAF特点双向内容检测防止端口/服务,事前风险分析,事前风险分析,网页防篡改,网关型网页防篡改,爬虫技术网页缓存,模糊、精确匹配方式,特征码、文件等多种比对方式,业务审批与安全管理界面分离,短信、邮件报警,网页防篡改网关型网页防篡改,敏感信息防泄漏,常见,的敏感信息防泄漏,用户信息,邮箱账户信息,MD5,加密密码,银行卡号,身份证号码,社保账号,信用卡号,手机号码,内部保密文件,敏感信息防泄漏常见的敏感信息防泄漏,WAF,NGAF,特点,涵盖传统安全,网络层次越高资产价值越大,L5-L7:,应用层,L4:,传输层,L3:,网络层,L2:,链路层,L1:,物理层,防火墙,NGAF,TCP/IP,协议栈,网络接口,操作系统,Web,服务架构,Web,应用架构,应用,风险越高越迫切需要被保护,应用层数据,会话标识,HTTP,请求,/,响应,IPS,TCP,连接,IP,报文,以太网报文,二进制比特流,网线,WAFNGAF特点涵盖传统安全网络层次越高资产价值越大,集成式防火墙功能,集成式防火墙功能,内置,IPSEC VPN,模块,市场占有率连续,5,年全国第一,基于国际标准的,IPSec VPN,国家IPSec VPN标准的核心制定者之一,产品高安全保证,内置IPSEC VPN模块市场占有率连续5年全国第一,统一集中管理,可视化展现,基于设备面板状态监控,多维度图形化监控,设备集中状态监控,深层次审计分析,高性能数据处理能力,高容量数据存储,多应用数据挖掘和分析,集中管理,多种协议方式管理,、,受控端,受控端,受控端,受控端,SC,中心端,统一集中管理可视化展现深层次审计分析、受控端受控端受控端受控,NGAF,特点,应用层高性能,单次解析构架,实现报文一次解析和匹配,核,1,核,2,核,n,并行,核,性能,1,2,3,n,策略层,网络层,/,快递路径,网络硬件,I/O,FW,IPS,AV,+,=,应用层高性能,万兆处理能力,多核并行处理技术,提升应用层分析速度,全新技术构架,实现应用层万兆处理能力,NGAF特点应用层高性能单次解析构架核 1核 2核 n并,深信服NGAF下一代应用防火墙产品介绍课件,
展开阅读全文