1、深信服NGAF下一代应用防火墙,1、下一代防火墙大势所趋,Web攻击事件新浪微博病毒大范围传播,启示:类似XSS蠕虫05年就攻击过知名社交网站MySpace,这次事件可以算是samy蠕虫在新浪的翻版,但随着web2.0技术的广泛应用这种攻击的影响可能会加剧。,Web攻击事件索尼泄密事件,其查询页面被搜索引擎抓取后,至少有数百个公积金账户的详细信息被泄漏到网上,包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。,泄密事件北京市公积金查询网站,启示:web漏洞利用、防泄密不容忽视,泄密事件2011年末泄密事件,篡改事件2012年初网页篡改仍然严重,截至2011年6月底,我国域名总数为7
2、86万个。中国的网站数,即域名注册者在中国境内的网站数(包括在境内接入和境外接入)为183万个。,第 28 次中国互联网络发展状况统计报告,网络安全信息与动态 2012年1月,难道这些单位不重视安全建设吗?,威胁来自应用层! 90%投资在网络层! 传统防火墙已经失效!,现行的解决方案“串糖葫芦”式部署,FW,IPS,AV,WAF,“串糖葫芦式”“打补丁式”建设,成本高:环境、空间、重复采购 管理难:多设备,多厂商、安全风险无法分析 效率低:重复解析、单点故障,现行的解决方案UTM,基于端口/协议的ID,L2/L3网络、高可用性(HA)、配置管理、报告,基于端口/协议的ID,URL签名,L2/L
3、3网络、高可用性(HA)、配置管理、报告,URL策略,基于端口/协议的ID,IPS签名,L2/L3网络、高可用性(HA)、配置管理、报告,IPS策略,基于端口/协议的ID,防病毒签名,L2/L3网络、高可用性(HA)、配置管理、报告,防病毒策略,防火墙策略,IPS解码器,防病毒解码器&代理,多设备叠加=多功能假集成=貌合神离,简单的叠加 性能是最大的瓶颈,网络层次越高 资产价值越大,L5-L7: 应用层,L4: 传输层,L3: 网络层,L2: 链路层,L1: 物理层,风险越高 越迫切需要 被保护,访问控制问题 协议异常 网络层DDoS,ARP欺骗、广播风暴,传输线路物理损坏,L2-L7层潜在的
4、安全威胁,敏感信息外泄 网页篡改、挂马 应用层DDoS SQL注入、跨站脚本 漏洞利用攻击 扫描探测 蠕虫、病毒、木马 P2P带宽滥用,业务内容,Web应用架构,Web服务架构,操作系统,TCP/IP协议栈,网络接口,网线,安全建设应该重新考虑,防护应用层安全威胁为重心,关注服务器外发内容的安全风险,融合现网环境, 与传统安全形成异构,安全不会成为网络的瓶颈,2、产品介绍,下一代防火墙应具备的特性,防应用层攻击 双向内容检测 涵盖传统安全 应用层高性能,NGAF是面向应用层设计,能识别用户、应用和内容,具备完整安全防护能力的高性能下一代防火墙。,L2-L7层安全防护方案,NGAF特点防应用层攻
5、击,多维度应用层攻击防护 “识别防护”的攻击防护 深入内容的内容解析,多维度的漏洞攻击防护,核心应用漏洞库:2200+ 主机操作系统漏洞,如Windows、Linux、Unix等 应用程序漏洞,如Adobe、Office、SPA、IBM Lotus等 网络操作系统漏洞,如思科IOS、Juniper JUNOS、SSL协议等 中间件漏洞,如WebShpere、WebLogic等 数据库漏洞,如SQL Server、Oracle等 浏览器漏洞:IE、FrieFox、Google Chrome等 病毒、木马、后门软件等 。,多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护,强化的Web安全防护,
6、应用隐藏 FTP信息隐藏 HTTP信息隐藏 口令防护 弱口令防护 暴力破解防护 权限控制 文件上传过滤 URL防护 OWASP 10大web风险 SQL注入 XSS跨站脚本 网页木马 webshell,NGAF特点双向内容检测,防止端口/服务扫描 弱口令保护/防暴力破解 关键URL保护 应用信息隐藏 HTTP出错页面隐藏 HTTP(S)响应报文头隐藏 FTP信息隐藏,强化的web防护 防SQL注入攻击 防OS命令注入 XSS攻击、CSRF攻击 多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护,DOS攻击 应用层DOS攻击 CC攻击* 权限控制 可执行程序上传过滤 上行病毒木马清洗 切断we
7、bshell流量,用户/黑客,事前风险分析,网页防篡改,网关型网页防篡改 爬虫技术网页缓存 模糊、精确匹配方式 特征码、文件等多种比对方式 业务审批与安全管理界面分离 短信、邮件报警,敏感信息防泄漏,常见的敏感信息防泄漏 用户信息 邮箱账户信息 MD5加密密码 银行卡号 身份证号码 社保账号 信用卡号 手机号码 内部保密文件,WAF,NGAF特点涵盖传统安全,网络层次越高 资产价值越大,L5-L7: 应用层,L4: 传输层,L3: 网络层,L2: 链路层,L1: 物理层,防火墙,NGAF,TCP/IP协议栈,网络接口,操作系统,Web服务架构,Web应用架构,应用,风险越高 越迫切需要 被保护
8、,应用层数据,会话标识,HTTP请求/响应,IPS,TCP连接,IP报文,以太网报文,二进制比特流,网线,集成式防火墙功能,内置IPSEC VPN模块,市场占有率连续5年全国第一 基于国际标准的IPSec VPN 国家IPSec VPN标准的核心制定者之一,产品高安全保证,统一集中管理,可视化展现 基于设备面板状态监控 多维度图形化监控 设备集中状态监控,深层次审计分析 高性能数据处理能力 高容量数据存储 多应用数据挖掘和分析 集中管理 多种协议方式管理,、,受控端,受控端,受控端,受控端,SC中心端,NGAF特点应用层高性能,单次解析构架 实现报文一次解析和匹配,核 1,核 2,核 n,并行,+,=,应用层高性能,万兆处理能力,多核并行处理技术 提升应用层分析速度,全新技术构架 实现应用层万兆处理能力,
