深信服NGAF下一代应用防火墙产品介绍.pptx

《深信服NGAF下一代应用防火墙产品介绍.pptx》由会员分享，可在线阅读，更多相关《深信服NGAF下一代应用防火墙产品介绍.pptx（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、深信服NGAF下一代应用防火墙1、下一代防火墙大势所趋Web攻击事件新浪微博病毒大范围传播启示：类似XSS蠕虫05年就攻击过知名社交网站MySpace，这次事件可以算是samy蠕虫在新浪的翻版，但随着web2.0技术的广泛应用这种攻击的影响可能会加剧。Web攻击事件索尼泄密事件其查询页面被搜索引擎抓取后，至少有数百个公积金账户的详细信息被泄漏到网上，包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。泄密事件北京市公积金查询网站启示：web漏洞利用、防泄密不容忽视泄密事件2011年末泄密事件篡改事件2012年初网页篡改仍然严重截至2011年6月底，我国域名总数为786万个。中国的网站

2、数，即域名注册者在中国境内的网站数（包括在境内接入和境外接入）为183万个。第第 28 次中国互联网络发展状况统计报告次中国互联网络发展状况统计报告网络安全信息与动态网络安全信息与动态 2012年年1月月难道这些单位不重视安全建设吗？威胁来自应用层！90%投资在网络层！传统防火墙已经失效！现行的解决方案“串糖葫芦”式部署FWIPSAVWAF“串糖葫芦式”“打补丁式”建设成本高：环境、空间、重复采购管理难：多设备，多厂商、安全风险无法分析效率低：重复解析、单点故障现行的解决方案UTM基于端口/协议的IDL2/L3网络、高可用性（HA）、配置管理、报告基于端口/协议的IDURL签名L2/L3网络、

3、高可用性（HA）、配置管理、报告URL策略基于端口/协议的IDIPS签名L2/L3网络、高可用性（HA）、配置管理、报告IPS策略基于端口/协议的ID防病毒签名L2/L3网络、高可用性（HA）、配置管理、报告防病毒策略防火墙策略IPS解码器防病毒解码器&代理多设备叠加=多功能假集成=貌合神离L2/L3网络、高可用性（HA）、配置管理、报告网络层次越高网络层次越高资产价值越大资产价值越大L5-L7:应用层L4:传输层L3:网络层L2:链路层L1:物理层风险越高风险越高越迫切需要越迫切需要被保护被保护访问控制问题协议异常网络层DDoSARP欺骗、广播风暴传输线路物理损坏L2-L7层潜在的安全威胁敏

4、感信息外泄敏感信息外泄敏感信息外泄敏感信息外泄网页篡改、挂马网页篡改、挂马网页篡改、挂马网页篡改、挂马应用层应用层应用层应用层DDoSDDoSSQLSQL注入、跨站脚本注入、跨站脚本注入、跨站脚本注入、跨站脚本漏漏漏漏洞洞洞洞利用攻击利用攻击利用攻击利用攻击扫扫扫扫描探描探描探描探测测测测蠕虫、病蠕虫、病蠕虫、病蠕虫、病毒、木毒、木毒、木毒、木马马马马P2PP2P带宽滥用带宽滥用带宽滥用带宽滥用业务内容Web应用架构Web服务架构操作系统TCP/IP协议栈网络接口网线安全建设应该重新考虑重新考虑安全建设防应用层攻击双向内容检测涵盖传统安全应用层高性能防护应用层安全威胁为重心关注服务器外发内容的

5、安全风险融合现网环境，与传统安全形成异构安全不会成为网络的瓶颈2、产品介绍下一代防火墙应具备的特性 防应用层攻击防应用层攻击 双向内容检测双向内容检测 涵盖传统安全涵盖传统安全 应用层高性能应用层高性能NGAF是面向应用层设计，能识别用户、应用和内容，具备完整安全防护能力的高性能下一代防火墙。L2-L7层安全防护方案NGAF特点防应用层攻击服务器敏感信息NGAFNGAFn多维度应用层攻击防护n“识别防护”的攻击防护n深入内容的内容解析多维度的漏洞攻击防护核心应用漏洞库：2200+n主机操作系统漏洞，如Windows、Linux、Unix等n应用程序漏洞，如Adobe、Office、SPA、IB

6、M Lotus等n网络操作系统漏洞，如思科IOS、Juniper JUNOS、SSL协议等n中间件漏洞，如WebShpere、WebLogic等n数据库漏洞，如SQL Server、Oracle等n浏览器漏洞：IE、FrieFox、Google Chrome等n病毒、木马、后门软件等n。多对象漏洞利用服务器漏洞攻击防护终端漏洞攻击防护强化的Web安全防护应用隐藏FTP信息隐藏HTTP信息隐藏口令防护弱口令防护暴力破解防护权限控制文件上传过滤URL防护OWASP 10大web风险SQL注入XSS跨站脚本网页木马webshell服务器外发内容过滤服务器外发内容过滤网页防篡改：静态、动态网页防篡改：

7、静态、动态敏感敏感信息防泄露：信息防泄露：身份证号、身份证号、信用卡号、财务数据等信用卡号、财务数据等NGAF特点双向内容检测防止端口防止端口/服务扫描服务扫描弱口令保护弱口令保护/防暴力破解防暴力破解关键关键URL保护保护应用信息隐藏应用信息隐藏HTTP出错页面出错页面隐藏隐藏HTTP(S)响应报文头响应报文头隐藏隐藏FTP信息信息隐藏隐藏强化的强化的web防护防护防防SQL注入攻击注入攻击防防OS命令注入命令注入XSS攻击、攻击、CSRF攻击攻击多对象漏洞利用多对象漏洞利用服务器漏洞攻击防护服务器漏洞攻击防护终端漏洞攻击防护终端漏洞攻击防护DOS攻击攻击应用层应用层DOS攻击攻击CC攻击攻

8、击*权限控制权限控制可执行程序上传可执行程序上传过滤过滤上行上行病毒木马病毒木马清洗清洗切断切断webshell流量流量扫描扫描扫描扫描过程过程过程过程攻击过程攻击过程攻击过程攻击过程破坏过程破坏过程破坏过程破坏过程用户/黑客Web应用服务器窃取内容窃取内容窃取内容窃取内容事前风险分析网页防篡改网关型网页防篡改爬虫技术网页缓存模糊、精确匹配方式特征码、文件等多种比对方式业务审批与安全管理界面分离短信、邮件报警敏感信息防泄漏常见的敏感信息防泄漏用户信息邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码内部保密文件WAFNGAF特点涵盖传统安全网络层次越高资产价值越大L5-L7:

9、应用层L4:传输层L3:网络层L2:链路层L1:物理层防火墙防火墙NGAFTCP/IP协议栈网络接口操作系统Web服务架构Web应用架构应用风险越高越迫切需要被保护应用层数据会话标识HTTP请求/响应IPSTCP连接IP报文以太网报文二进制比特流网线集成式防火墙功能防火墙包过滤与状态检测路由NAT抗网络层攻击IPSECVPN内置IPSEC VPN模块市场占有率连续5年全国第一基于国际标准的IPSec VPN国家IPSec VPN标准的核心制定者之一，产品高安全保证统一集中管理可视化展现基于设备面板状态监控多维度图形化监控设备集中状态监控深层次审计分析高性能数据处理能力高容量数据存储多应用数据挖掘和分析集中管理多种协议方式管理、受控端受控端受控端受控端SC中心端NGAF特点应用层高性能单次解析构架实现报文一次解析和匹配核核 1 1核核 2 2核核 n n并行核核性能性能1 12 23 3n n策略层网络层/快递路径网络硬件I/OFWFWIPSIPSAVAV+=应用层高性能万兆处理能力多核并行处理技术提升应用层分析速度全新技术构架实现应用层万兆处理能力