深信服下一代防火墙介绍37页PPT
深信服下一代防火墙APT攻击防范首选利器
下一代防火墙- APT攻击防护首选利器一认识APT攻击互联网攻击与防御技术一直以来都是此消彼长,交替前行,根据CNCERT/CC 2012中国互联网网络安全报告分析,一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁,这就是大家热谈的APT攻击。
APT 全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。
这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
二APT攻击特征(1)、攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩;(2)、攻击者也经常采用邮件方式攻击受害者,这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招;(3)、网站往往是一个企业或组织的对外门户,很多企业或组织对网站缺乏良好的安全防护,对攻击者而言,网站如同攻击过程中的桥头堡,是攻击者渗透进内网的重要捷径;(4)、一旦企业或组织的内网终端或者门户网站感染恶意程序,成为僵尸网络主机,将频繁进行内网隐私数据信息嗅探;(5)、通过已感染主机做反弹跳板,黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听,从而获取攻击目标登陆权限;(6)、目前绝大多数安全防护设备【传统网络层防火墙、IPS等等】只能做到从外到内的单向危险流量检测和防护,从内到外主动发起的数据传输缺乏有效的检测和防范机制,给APT攻击者开通了一条灰色的数据运输通道。
攻击者通过控制攻击目标,源源不断地从受害企业和组织获取数据信息。
从上述APT攻击特征进行分析,不难发现APT攻击已经不再是传统认识观念中的单一网络攻击行为,针对APT攻击,采取多款安全产品串行堆叠的传统做法已经无法有效应对,市场迫切需要新一种新的防御方案。
H3C SecPath下一代防火墙产品介绍
H3C SecPath NGFW下一代防火墙产品介绍
目录
➢ NGFW的时代需求 ➢ H3C下一代防火墙介绍 ➢ 典型应用场景
2
新挑战-用户的安全策略随行
员工和领导使用同一台设备办 公可否获取不同的安全策略?
传统防火墙根据设备的IP或MAC地址来 下发安全策略。设备即用户,策略控制 不够灵活。
真路由!真安全!真交换!
16
Hale Waihona Puke 新老防火墙参数对比固定端口形态 防火墙吞吐量 SSL VPN并发用户
并发连接数 4到7层深度防御 VPN性能(3DES)
硬盘扩展插槽 Comware软件平台
F100-A-G 6GE 1.2G 50 25万 250M 300M 无 V5
F100-A-G2
F1000-C-G
SecPath NGFW
小型分支
SecPath NGFW
总公司内部网络
20
典型应用场景-VPN及BYOD解决方案
系统自带VPN 组件对接
通过L2TP over IPSec 加密传输
安卓/IOS
H3C iNODE SSL对接
企业WiFi
加密 认证
3G/4G
SecPath NGFW
通过SSL VPN加密传输
目前可识别多达1200种应用流量并进行控制! 特征库不断更新!
HTTP 邮件、P2P
UDP、TCP
1200+
11
强大的4-7层深度安全防御引擎
开启深度安全防御,性能折损在 所难免,业界公认折损容忍度: 相比防火墙性能折损比≤50%
SecPath NGFW全系列 DPI性能平均折损比≤40%
DPI性能折损比(D)
深信服下一代防火墙互联网出口解决方案ppt课件
阻断、重定向、隔离等
正常数据流
关联分析
分片重组
流量分析
流恢复
报文正规化
关联检测引擎:提升检测精度例:Apache 2.2 漏洞: CVE-2011-3192 Denial Of Service Vulnerability应用识别分析: Web应用,保护对象为 Apache 2.2内容识别分析: 数据包匹配到CVE-2011-3192的漏洞特征关联分析结果: 命中,威胁级别严重,阻断!
敏感信息防泄漏
常见的敏感信息防泄漏用户信息邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码内部保密文件根据文件类型防泄密根据特征自定义信息合规性
病毒/URL过滤
病毒查杀
常见病毒查杀httpftpPop3Smtp压缩文件……
网站分类过滤70个大类含非法及不良分类恶意网站过滤数千万个网站……
安全云
自动化威胁情报收集平台
IPS保护
虚拟主机补丁(4000+)操作系统漏洞,如Windows、Linux、Unix等应用程序漏洞,如Apache、IIS等中间件漏洞,如WebShpere、WebLogic等数据库漏洞,如SQL Server、Oracle等浏览器漏洞:IE、FrieFox、Google Chrome等……
自动学习建模
正常访问服务器
自动学习自动建模
未知攻击、非法请求
网站构架参数类型参数长度……
多维行为分析
1、多维行为分类2、分类威胁阈值3、阈值循环微调4、汇总基线比较
自动关联分析
数据流
会话状态跟踪
丢弃报文
应用识别分析并行处理支持近千种协议
内容特征分析 并行处理包括攻击特征、漏洞特征
丢弃报文、隔离
深信服下一代防火墙NGAF产品彩页
深信服下一代防火墙NGAF近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。
随着网络安全形势逐渐恶化,网络攻击愈加频繁,用户对自己的网络安全建设是否合规、完善并没有把握。
该如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?安全建设该如何体现价值?这些问题已成为困扰用户安全建设的关键问题。
一、企业级网络安全建设需要什么1.传统割裂的各种安全产品?传统组合方案问题多传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。
传统产品组合方案缺陷二:有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以安全存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流量进行防护,在面临新的未知攻击的情况下缺乏有效的防御措施,还是存在被绕过的风险。
2.“雇佣兵”式的安全服务?即使采购了安全设备,但是缺乏专业的安全人员来进行及时有效的安全运维也是企业在安全建设中遇到的难题。
以往只能通过安全服务商采购安全服务,我们称为”雇佣兵”式的安全服务。
虽然短期内可以快速提升安全防护效果,满足合规要求,但是安全咨询和安全服务的交付质量,严重依赖于安全服务人员的水平,一旦安全专家离开了,那安全服务的交付质量就无法得到保障。
虽然买回来一堆完备的安全设备,也会因为专业程度太高,缺乏专家水平的人员运维,让这些设备变成了摆设,用户通过自己的力量并不能够真正地掌控网络安全。
3.企业级的网络安全到底需要什么?诉求一:看不看得到安全风险?只有看到L2-L7层的攻击才能了解网络的整体安全状况,基于传统多产品的组合方案使大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。
深信服下一代应用层防火墙彩页
国内下一代防火墙第一品牌深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
作为传统防火墙的升级替代产品,深信服NGAF不同于工作在L2-L4层的传统防火墙,可以对全网流量进行双向深入数据内容层面的全面透析。
在安全策略制定方面,区域别于传统防火墙五元组安全策略,深信服NGAF可对L2-L7层更多的元素(如,用户、应用类型、URL、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;在安全防护能力方面,提升了传统的抗攻击的能力,不仅能防护网络层的攻击,针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护,实现L2-L7层的安全防护。
同时,深信服NGAF采用全新的软硬件架构,减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗,实现应用层高性能。
功能列表项目具体功能部署方式支持路由,透明,旁路,虚拟网线,混合部署模式;实时监控实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等;提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理;网络适应性支持ARP代理、静态ARP绑定,配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP客户端;支持SNMP v1,v2,v3,支持SNMP Trap;支持静态路由、RIP v1/2、OSPF、策略路由;支持链路探测,端口聚合,接口联动;包过滤与状态检测提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP;NAT地址转换支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS 映射功能;可配置支持地址转换的有效时间;支持多种NAT ALG,包括DNS、FTP、H.323、SIP等抗攻击特性支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能;IPSEC VPN 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法;支持各种NAT网络环境下的VPN组网;支持第三方标准IPSec VPN进行对接;*总部与分支有多条线路,可在线路间一一进行IPSecVPN 隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略;应用访问控制策略支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定;APT检测内置超过20万的病毒,木马,间谍软件等恶意软件特征库,并且在不断的持续更新特征内容;支持通过安全云实现虚拟沙盒动态检测技术。
深信服下一代防火墙介绍
传统防火墙厂商
从90年代随着我国第一波信息化 安全浪潮涌现了老牌安全公司, 同时2000年之后涌现了山石网科, 定位为传统防火墙厂商,其防火 墙专注于传统防火墙功能,如网 络适应性、访问控制协议、会话 管理等基本功能。 典型代表:天融信、启明星辰、 绿盟科技
国外厂商
在中国的外资厂商,国外厂商采 用渠道化战略,定位中高端客户, 通常高度产品化,以技术路线运 作项目 典型代表:Fortinet(飞塔)、 Checkpoint、Palo Alto
集成 学习
深度神
SAVE
经网络
深信服人工智能杀毒引擎SAVE
Sangfor Anti-Virus Engine
自然语 言处理
创新人工智能无特征技术 准确检测未知病毒
Bad Rabbit(17年10月出现的最新勒索 病毒),年后最新出现的 GlobeImposter 2.0 勒索病毒均能使用旧模型查杀。
解决之道之二:简单有效
全程可视
风险的可视 保护过程的可视 保护结果的可视
优势1
简单交付
一体化策略部署 全过程运营中心 综合风险报表
优势 2
高效稳定
单次解析 多模匹配算法 软硬件双冗余架构
优势 3
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
为什么之选深信服NGAF?
高速增长,年复合增长超70% 2011年发布国内首台下一代防火墙 4万家用户一致好评 5.4万台在线稳定运行
简单有效
全程可视+简单交付
解决之道之一:融合安全
事前 预知
事中 防御
事后 检测/响应
解决之道之一:融合安全
潜伏威胁事件检测 和分析 4
安全策略加固和有效 性自检
《防火墙介绍》课件
防火墙分类
防火墙根据其部署位置和功能可以分为不同类型,包括基于网络层、基于主机、和基于应用层的防火墙。
基于网络层的防火墙
介绍网络层防火墙的工作原理 和特点。
基于主机的防火墙
探索主机防火墙的优势和适用 场景。
基于应用层的防火墙
分析应用层防火墙的工作方式 和应用范围。
防火墙原理
了解防火墙实现网络安全的基本原理,包括包过滤、状态检测和应用代理。
解释防火墙云化的趋势和相关技术。
探索防火墙作为一体化解决方案的发展。
总结
回顾防火墙的作用、分类、原理和实现方式,以及应用场景和发展趋势。
防火墙的作用和分类
总结防火墙在网络安全中的作用及不同类型。
防火墙的原理和实现方式
强调防火墙实现网络安全的原理和不同的实现方式。
防火墙的应用场景和发展趋势
回顾防火墙在不同场景中的应用和未来的发展趋势。
1 包过滤
探讨包过滤技术在防火墙中的作用。
2 状态检测
介绍状态检测技术在防火墙中的应用。
3 应用代理
解释应用代理如何提供更高级的安全保护。
防火墙的实现方式
探索不同实现方式下的防火墙,包括软件防火墙、硬件防火墙和云防火墙。
1
软件防火墙
介绍软件防火墙的优势和实施方式。
2
硬件防火墙
分析硬件防火墙在网络保护方面的重要性。
《防火墙介绍》PPT课件
欢迎来到《防火墙介绍》的课件!在本课程中,我们将深入了解防火墙的作 用、分类、原理、实现方式以及应用场景和发展趋势。
什么是防火墙?
防火墙是网络安全的重要组成部分,它起到了保护计算机网络免受恶意攻击和未经授权访问的作 用。
防火墙概述
深信服NGA下F一代应用防火墙产品介绍-PPT
客户三:政府机构网络安全防护
总结词
政府机构需要严格遵守相关法律法规,保护国家安全和公民隐私,深信服下一代应用防火墙提供了可靠的安全解 决方案。
详细描述
深信服下一代应用防火墙符合国家相关法律法规的要求,为政府机构提供了全面的安全防护,包括对网络攻击的 检测和防御、对敏感信息的加密和保护等。该产品还具有高度的可定制性和可扩展性,能够满足政府机构不断变 化的安全需求。
日志与报表分析
提供详细的日志和报表分析功能,帮助管理员了解设备运行状态和 安全状况。
安全性强
多层次防御
采用多层次防御机制,有效防范各类网络威胁和攻击。
深度内容检测
具备深度内容检测功能,能够检测并阻止各类恶意文件和攻击行 为。
全面支持加密技术
全面支持各种加密技术,确保数据传输安全可靠。
04 适用场景
业和高流量场景的需求。
低延迟
该产品具备低延迟特性,确保网络 传输速度快,不卡顿,为用户提供 流畅的网络体验。
多核并行处理
采用多核并行处理技术,实现高效 的数据处理能力,确保防火墙运行 稳定。
易于管理和维护
直观的GUI界面
提供直观的图形用户界面,方便管理员进行配置、监控和管理。
自动更新与漏洞修复
支持自动更新和漏洞修复功能,降低维护成本和时间。
产品目标
1
提供全面的应用层安全防护,有效抵御各类网络 威胁。
2
简化网络安全架构,降低企业安全运维成本。
3
提升企业业务连续性和数据安全性。
产品特点
深度检测与防护
采用深度包检测技术,对应用层流量进行全面检测与防护,有效防御 各类网络威胁。
智能识别与控制
支持多维度的流量识别与控制,包括IP地址、域名、URL、文件类型 等,实现精细化的安全策略管理。
《防火墙讲解》PPT课件
包过滤技术
7
8
9
10
11
12
包过滤技术的优点
在网络中需要时时通信时,可以使用这种方 法.
对用户来说是完全透明的 可以通过普通的路由器实现
13
包过滤技术的缺点
包过滤技术是通过设置具体的数据包过滤准 则来实现的,为了实现更强的过滤功能,必须设 置非常复杂的包过滤准则.大幅度降低了数据 包的过滤速度.
防火墙基础
1
黑客会对我们的网络感兴趣吗?
对黑客来说,只要看到一点点从系统漏洞发出 的光亮就会蠢蠢欲动
如何保护我们的网络?——防火墙
2
防火墙的概念
隔离在本地网络和外界网络之间的一道防御 系统
可以隔离风险区域与安全区域的连接 但不会妨碍人们对风险区域的访问
3
防火墙的功能
过滤不安全的服务和非法用户 控制对特殊站点的访问 提供监视Internet安全访问和预警的可靠节点 实现公司的安全策略
基于网络的入侵检测系统不能处理加密后的 数据
资源和处理能力的局限性 还受到内存和硬盘的限制
39
结论
防火墙和IDS的结合将会大 大增强网络安全性
40
END
41
使用代理技术,可以实现基于用户级的身份认 证和访问控制.
由于代理服务器工作于客户机和真实的服务 器之间,可以完全控制两者之间的对话,从而提 供非常详细的日志功能.
在代理服务技术中,可以使用第三方的身份认 证系统和日志记录系统.从而提供这两方面更 为完善的功能
20
代理技术的优点
具有内部地址屏蔽及转换功能 使用代理技术可以简化包过滤规则的设定
15
如果黑客伪装DNS服务器的地 址,那么它在理论上当然可以从附着 DNS的UDP端口发起攻击.只要允许 DNS查询和反馈包进入网络,这个问 题就必然存在.解决办法是采用代理
《防火墙介绍》PPT课件
部网络技术体系VPN
2009.09.15
点我!
基本特性
(一)内部网络和外部网络之间的所有
网络数据流都必须经过防火墙
(二)只有符合安全策略的数据流才能
你“同意”的人和数据进入你的网络,同时将你
“不同意”的人和数据拒之门外,最大限度地阻止
网络中的黑客来访问你的网络。换句话说,如果不
通过防火墙,公司内部的人就无法访问Internet, Internet上的人也无法和公司内部的人进行通信。
2009.09.15
点我!
防火墙的功能
防火墙最基本的功能就是控制在计算机网络中, 不同信任程度区域间传送的数据流。
防火墙就是一个位于计算机和它所连接的网 络之间的软件或硬件。该计算机流入流出的所有 网络通信均要经过此防火墙。
2009.09.15
点我!
为什么使用防火墙?
防火墙具有很好的保 护作用。入侵者必须首 先穿越防火墙的安全防 线,才能接触目标计算 机。你可以将防火墙配 置成许多不同保护级别。 高级别的保护可能会禁 止一些服务,如视频流 等,但至少这是你自己 的保护选择。
2009.09.15
点我!
在安装和实用中的注意事项
1.防火墙实现了你的安全政策 2.一个防火墙在许多时候并不是一个单
一的设备 3.防火墙并不是现成的随时获得的产品 4. 防火墙并不会解决你所有的问题 5. 使用默认的策略
2009.09.15
点我!
6. 有条件的妥协,而不是轻易的 7. 使用分层手段 8. 只安装你所需要的 9. 使用可以获得的所有资源 10. 只相信你能确定的 11. 不断的重新评价决定 12. 要对失败有心理准备
深信服下一代防火墙入门
系统规则库更新
(1)手动升级
选择需要更 新的库文件
点击手动更新,导入 最新的库文件即可
系统规则库更新
(2)自动升级
点击该按钮立 即进行更新
选择需要访问的 升级服务器
如果是代理上 网环境,设备 可以通过HTTP 代理服务器上 网更新内置库
点击该按钮回 滚到上一次的 更新操作
问题思考
1. 能够通过多功能序列号控制设备的哪些功能模块? 2. 某客户的日志设置如下图所示,此时用户是否能将日志记录到数据中心?
日志设置
3、Syslog设置
配置Syslog服 务器的IP和通 信端口
注意: 1.Syslog仅支持UDP方式连接。
2.Syslog不能同步系统日志,只能同步数据中心日志。
代 理
SG
系统规则库更新
AF设备内置了病毒库、URL库、IPS特征库、应用识别库、WEB应用防护库
和网关补丁,当客户配置了相应的防护策略后,通过设备的数据包将匹配相应库 文件中的数据特征,以识别该数据的真正用途。这些库文件由深信服公司的专人 进行收集和维护,会不定期的进行更新,以适应网络应用的不断变化,用户可设 置手动升级或自动升级将设备的库文件更新到最新版本。 (1)手动升级 在升级服务有效期内,可以手动将最新的库文件导入到设备中。 (2)自动升级 首先保证设备与深信服公司服务器之间的连通性,当服务器更新了库文件 后,如果设备在升级服务有效期内且启用了自动更新,则设备将会自动从服务器 上获取最新的库文件。
代 理
SG
日志设置
1、内置数据中心
不启用内置数据中心, 则内置数据中心不会 记录日志,但配置了 Syslog服务器,会将日 志发送到Syslog服务器。
根据日志的 保存天数或 者是磁盘占 用率自动删 除日志
SANGFOR深信服下一代防火墙介绍(AF-1120AF-1210)
SANGFOR深信服下⼀代防⽕墙介绍(AF-1120AF-1210)国内下⼀代防⽕墙第⼀品牌深信服下⼀代防⽕墙(Next-Generation Application Firewall)NGAF是⾯向应⽤层设计,能够精确识别⽤户、应⽤和内容,具备完整安全防护能⼒,能够全⾯替代传统防⽕墙,并具有强劲应⽤层处理能⼒的全新⽹络安全设备。
NGAF解决了传统安全设备在应⽤识别、访问控制、内容安全防护等⽅⾯的不⾜,同时开启所有功能后性能不会⼤幅下降。
区别于传统的⽹络层防⽕墙,NGAF具备L2-L7层的协议的理解能⼒。
不仅能够实现⽹络层访问控制的功能,且能够对应⽤进⾏识别、控制、防护,解决了传统防⽕墙应⽤层控制和防护能⼒不⾜的问题。
区别于传统DPI技术的⼊侵防御系统,深信服NGAF具备深⼊应⽤内容的威胁分析能⼒,具备双向的内容检测能⼒为⽤户提供完整的应⽤层安全防护功能。
同样都能防护web攻击,与web应⽤防⽕墙关注web应⽤程序安全的设计理念不同,深信服下⼀代防⽕墙NGAF关注web系统在对外发布的过程中各个层⾯的安全问题,为对外发布系统打造坚实的防御体系。
关键指标(产品参数可能有改动,以深信服公司公告为准)功能参数项⽬具体功能部署⽅式⽀持⽹关、⽹桥、旁路和混杂模式;实时监控实时提供CPU、内存、磁盘占⽤率、会话数、在线⽤户数、⽹络接⼝的鞥设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发⽣事件、源IP、⽬的IP、攻击类型以及攻击的URL等;提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理;⽹络适应性⽀持静态路由、RIP v1/2、OSPF、策略路由;⽀持ARP、域名解析、DHCP中继、DHCP 服务器、DHCP客户端等IP服务;包过滤与状态检测提供静态的包过滤和动态包过滤功能;⽀持的应⽤层报⽂过滤,包括:应⽤层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP;NAT地址转换⽀持多个内部地址映射到同⼀个公⽹地址、多个内部地址映射到多个公⽹地址、内部地址到公⽹地址⼀⼀映射、源地址和⽬的地址同时转换、外部⽹络主机访问内部服务器、⽀持DNS 映射功能;可配置⽀持地址转换的有效时间;⽀持多种NAT ALG,包括DNS、FTP、H.323、SIP等抗攻击特性可防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood等多种DOS/DDOS攻击IPSEC VPN ⽀持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且⽀持扩展国密办SCB2等其他加密算法⽀持MD5及SHA-1验证算法;⽀持各种NAT⽹络环境下的VPN组⽹;⽀持第三⽅标准IPSec VPN进⾏对接;*总部与分⽀有多条线路,可在线路间⼀⼀进⾏IPSecVPN 隧道建⽴,并设置主隧道及备份隧道,对主隧道可进⾏带宽叠加、按包或会话进⾏流量平均分配,主隧道断开备份隧道⾃动启⽤,保证IPSecVPN 连接不中断;可为每⼀分⽀单独设置不同的多线路策略;单臂部署下同样⽀持多线路策略;应⽤访问控制策略⽀持应⽤2000种以上的应⽤动作的应⽤识别;⽀持应⽤更新版本后的主动识别和控制的应⽤智能识别;提供基于应⽤识别类型、⽤户名、接⼝、安全域、IP地址、端⼝、时间进⾏应⽤访问控制列表的制定;⼆层协议⽀持802.3、AX25、802.2等多种⼆层协议过滤威胁检测⽀持基于特征匹配、协议异常检测、智能应⽤识别等⽅式针对已知威胁进⾏检测;⽀持基于威胁关联分析的检测机制,针对未知威胁进⾏分析检测;IPS⼊侵防护(选配)微软“MAPP”计划会员,漏洞特征库: 2800+并获得CVE“兼容性认证证书”,能够⾃动或者⼿动升级;防护类型包括蠕⾍/⽊马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利⽤漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;防护对象分为保护服务器和保护客户端两⼤类,便于策略部署;漏洞详细信息显⽰:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容;⽀持⾃动拦截、记录⽇志、上传灰度威胁到“云端”服务器防护(选配)⽀持web攻击特征数量1000+;⽀持Web⽹站隐藏,包括HTTP响应报⽂头出错页⾯的过滤,web响应报⽂头可⾃定义;⽀持FTP服务应⽤信息隐藏包括:服务器信息、软件版本信息等;⽀持OWASP定义10⼤web安全威胁,保护服务器免受基于Web应⽤的攻击,如SQL注⼊防护、XSS攻击防护、CSRF攻击防护、⽀持根据⽹站登录路径保护⼝令暴⼒破解;⽀持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护;可严格控制上传⽂件类型,检查⽂件头的特征码防⽌有安全隐患的⽂件上传⾄服务器,并⽀持结合病毒防护、插件过滤等功能检查⽂件安全性;⽀持指定URL的⿊名单、加⼊排除URL⽬录,ftp弱⼝令防护、telnet 弱⼝令防护等功能;敏感信息防泄漏内置常见敏感信息的特征,且可⾃定义敏感信息特征,如⽤户名、密码、邮箱、⾝份证信息、MD5密码等,可⾃定义具有特殊特征的敏感信息;⽀持正常访问http连接中⾮法敏感信息的外泄操作;⽀持数据库⽂件敏感信息检测,防⽌数据库⽂件被“拖库”、“暴库”;风险评估⽀持服务器、客户端的漏洞风险评估功能,⽀持对⽬标IP进⾏端⼝、服务扫描;⽀持ftp、mysql、oracle、mssql、ssh、RDP、⽹上邻居NetBIOS、VNC等多种应⽤的弱⼝令评估与扫描;风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,⾃动⽣成策略;⽹页篡改防护⽹关型⽹页防篡改,⽆需在服务器中安装任何插件;⽀持⽂件⽐对、特征码⽐对、⽹站元素、数字指纹⽐对多种⽐对⽅式,保证⽹站安全;全⾯保护⽹站的静态⽹页和动态⽹页,⽀持⽹页的⾃动发布、篡改检测、应⽤保护、警告和⾃动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的⽹页被访问的可能性及任何使⽤Web⽅式对后台数据库的篡改;⽀持各级页⾯模糊框架匹配、精确匹配的⽅式适⽤不同的⽹页类型;⽀持提供管理员业务操作界⾯与⽹管管理界⾯分离功能,⽅便业务⼈员更新⽹站内容;⽀持通过替换、重定向等技术⼿段,防护篡改页⾯;⽹站维护管理员必须通过短信认证才可进⾏⽹站更新业务操作(选配);⽀持短信报警、邮件报警、控制台报警等多种篡改报警⽅式;病毒防护(选配)⽀持基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进⾏查杀;能实时查杀⼤量⽂件型、⽹络型和混合型等各类病毒;并采⽤新⼀代虚拟脱壳和⾏为判断技术,准确查杀各种变种病毒、未知病毒;内置10万条以上的病毒库,并且可以⾃动或者⼿动升级;检测到病毒后⽀持记录⽇志、阻断连接;Web安全防护对⽤户web⾏为进⾏过滤,保护⽤户免受攻击;⽀持只过滤HTTP GET、HTTP POST、HTTPS 等应⽤⾏为;并进⾏阻断和记录⽇志;⽀持针对上传、下载等操作进⾏⽂件过滤;⽀持⾃定义⽂件类型进⾏过滤;⽀持基于时间表的策略制定;⽀持的处理动作包括:阻断和记录⽇志;⽀持基于签名证书的ActiveX过滤;⽀持添加⽩名单和合法⽹站列表;⽀持基于应⽤类型的ActiveX过滤,如视频、在线杀毒、娱乐等;⽀持基于操作类型的脚本过滤,如注册表读写、⽂件读写、变形脚本、威胁对象调⽤、恶意图⽚等;流量管理⽀持同时连接多条外⽹线路,且⽀持多线路复⽤和智能选路技术;⽀持将多条外⽹线路虚拟映射到设备上,实现对多线路的分别流控;⽀持基于应⽤类型、⽹站类型、⽂件类型的带宽划分与分配;⽀持时间和IP的带宽划分与分配;⽤户管理⽀持基于⽤户名/密码、单点登陆以及基于IP地址、MAC地址、计算机名的识别等多种认证⽅式;⽀持AD域结合、Proxy、POP3、web 表单等多种单点登陆⽅式,简化⽤户操作;*可强制指定⽤户、指定IP段的⽤户必须使⽤单点登录;⽀持添加到指定本地组、临时账号和不允许新⽤户认证等新⽤户认证策略;⽀持强制AD域认证,指定⽤户必须⽤AD域账户登录操作系统,否则禁⽌上⽹;认证成功的⽤户⽀持页⾯跳转,包括最近请求页⾯、管理员制定URL、注销页⾯等;⽀持CSV格式⽂件导⼊、扫描导⼊和从外部LDAP服务器上导⼊等账户导⼊⽅式;⽤户分组⽀持树形结构,⽀持⽗组、⼦组、组内套组等组织结构;⽹关管理⽀持SSL加密WEB⽅式管理设备;⽀持邮件、短信(可扩展)等告警⽅式,可提供管理员登陆、病毒、IPS、web攻击以及⽇志存储空间不⾜等告警设置;提供图形化排障⼯具,便于管理员排查策略错误等故障;提供路由、⽹桥、旁路等部署模式的配置引导,提供保护服务器、保护内⽹⽤户上⽹安全、保证内⽹⽤户上⽹带宽、保证遭到攻击及时提醒和保留证据等⽹关应⽤场景的配置引导,简化管理员配置;⽇志管理与报表提供端⼝、服务、漏洞、弱密码等安全风险评估报表;提供DOS攻击、web防护、IPS、病毒、web威胁、⽹站访问、应⽤控制、⽤户登录、系统操作等多种安全⽇志查询;提供可定义时间内安全趋势分析报表;⽀持⾃定义统计指定IP/⽤户组/⽤户/应⽤在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;⽀持将统计/趋势等报表⾃动发送到指定邮箱;⽀持导出安全统计/趋势等报表,包括⽹页、PDF等格式;。
深信服下一代防火墙介绍
深信服下一代防火墙介绍首先,深信服下一代防火墙提供了灵活的网络接入控制。
它可以根据企业的安全策略和网络需求,对网络流量进行全面的访问控制,包括对不同用户、应用程序、协议和端口的控制。
这样,企业可以根据自己的需求设置合适的访问控制规则,确保网络安全。
其次,深信服下一代防火墙具有高性能和高吞吐量。
它采用了先进的硬件和软件技术,能够支持高速和大流量的网络传输,确保网络的稳定和畅通。
无论是小型企业还是大型企业,都能够获得可靠的网络性能和安全保护。
此外,深信服下一代防火墙还拥有强大的安全功能。
它可以对网络流量进行实时的深度检测和分析,对潜在的威胁进行精确识别和阻止。
同时,它还具备入侵防御和漏洞管理等功能,能够有效地抵御各种网络攻击和漏洞利用。
此外,下一代防火墙还支持安全策略的自动化管理和动态调整,能够实时地适应不断变化的网络环境和威胁。
另外,深信服下一代防火墙还提供了高级的应用控制功能。
它能够对网络流量中的应用程序进行识别和控制,包括P2P文件共享、社交媒体和视频流等。
企业可以根据自己的需求,对不同的应用程序进行限制或优化,提高网络的安全性和效率。
此外,深信服下一代防火墙还具备全面的报告和日志功能。
它能够记录和分析企业网络中的所有活动和事件,包括流量、攻击、安全策略等。
这对于监控网络安全、分析网络行为以及合规性审计都非常有帮助。
总而言之,深信服下一代防火墙是一种先进、全面和智能化的网络安全设备。
它具备灵活的网络接入控制、高性能和高吞吐量、强大的安全功能、高级的应用控制功能以及全面的报告和日志功能。
通过使用下一代防火墙,企业可以更好地保护自己的网络免受各种威胁的侵害,提高网络的安全性和可靠性。
深信服-NGAF(下一代防火墙)基本功能介绍
SANGFOR NGAF
NGAF产品的产生背景 NGAF基本功能介绍 新手指深引信服公司简介
网络发展的趋势——防火墙需要更新换代
网络在改变
• 网络已经深入日常生活 • 1、大量的新应用建立在HTTP/HTTPS标准协议之上 • 2、许多威胁依附在应用之中传播肆虐 • 3、Gartner报告:75%的攻击来自应用层 • 攻击的多样化、黑客平民化
超过1100种主流应用(2015年2月)
深度内容识别
智能识别
基于用户和应用的内容安全控制
内容安全控制四大功能
1
应用控制
• 基于区域、用户做应用控制,减少不必要的访问,满足客户对 互联网管控的需求。例如:禁止P2P下载、禁止网络流媒体等。
2
病毒防御
• 针对HTTP、FTP、POP3、SMTP进行流杀毒,保护内网用户 的上网安全
IPS、DOS/DDOS防护、服务器保护
DOS/DDOS防护
内网防护:用于保护设备的安全 外网防护:用于保护内网的服务器免受来 自外部的攻击
IPS、DOS/DDOS防护、服务器保护
服务器保护
专门针对客户内网的WEB和FTP服务器 设计的防攻击策略,服务器保护包括应 用隐藏、网站攻击防护、口令防护、权 限控制四部分功能。
流量可视化
流量管理
动态带宽分配 多线路复用与智能选路 P2P智能识别与灵活控制 基于应用/网站/文件类型的智能流量管理
IPS、DOS/DDOS防护、服务器保护
IPS
入侵防御系统( intrusion prevention system):不管是操作系统本 身,还是运行之上的应用软件程序,都可能存在一些安全漏洞, 攻击者可以利用这些漏洞发起带攻击性的数据包威胁网络信息 安全。 AF检查穿过的数据包,和内置的漏洞规则列表进行比较,确 定这种数据包的真正用途,然后根据用户配置来决定是否允许 这种数据包进入目标区域网络。根据客户端和服务器的不同特 性,分为客户端漏洞和服务器漏洞。
深信服下一代防火墙介绍
通用竞争策略
无论和任何一家产品竞争对比,保持回归深信服下一代防火墙的价值主张-融合安全。价值主张定位 的是与同类产品的差异,通过价值主张,把传统安全品类(含友商下一代防火墙)定位为事中防御。
➢ 不管什么其他安全品类都存在缺乏事前预知、事后检测和响应的问题,并且割裂的防御; ➢ 传统以设备堆叠为主的建设方案会产生日志碎片化、防护割裂,缺乏设备间联动等后果,无法给用户提供有价值信息;
防御手段: 通常传统安全厂商会认为早期的深信服只做VPN及上网行为管理,安全能力不足,这一块各位可以向客户说明 深信服于2011年发布下一代防火墙,是国内最早发布下一代防火请产品的安全厂商,同时是公安部下一代防火墙 行标的主要撰写单位,并已经连续4年在全球Gartner魔力象限中入围(国内连续4年的只有华为和深信服)。
事后持续监测已入侵威胁,快速止损
事后能够实时监测内部异常外联行为,及时 察觉并定位已入侵威胁,快速处理减少损失。
事后
持续监测,快速响应
事前
梳理风险,确保防护有效性
事中
融合安全防护能力
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
新一代边界安全:深信服下一代防火墙
深信服下一代防火墙 NGAF 系列
传统防火墙厂商
从90年代随着我国第一波信息化 安全浪潮涌现了老牌安全公司, 同时2000年之后涌现了山石网科, 定位为传统防火墙厂商,其防火 墙专注于传统防火墙功能,如网 络适应性、访问控制协议、会话 管理等基本功能。 典型代表:天融信、启明星辰、 绿盟科技
国外厂商
在中国的外资厂商,国外厂商采 用渠道化战略,定位中高端客户, 通常高度产品化,以技术路线运 作项目 典型代表:Fortinet(飞塔)、 Checkpoint、Palo Alto
深信服下一代防火墙 界面指引
深信服下一代防火墙
安全可视化界面指引
1、总览
总览页面,可以帮助您清晰的看到目前的网络状况,从安全运营中心、设备信息、业务安全状态、用户安全状态、网络活动状态五个维度来对目前网络状态状况进行概览。
2、安全运营中心
安全运营中心界面,安全相关需要处理的问题及事件都会在待办事件中按照优先级进行排序,每个事件的详情界面中的都为您准备了解决建议。
业务安全界面,基于业务维度,将您网络环境中的业务风险和业务攻击进行汇总,并且支持按照业务重要性与综合风险等级进行排序,可以直观的看到目前网络环境中各项业务的安全状态以及热门的攻击事件类型。
用户安全界面,基于用户维度,对每个用户的风险等级进行评估,并且记录攻击事件,帮助您直观的了解现网环境中用户的安全情况。
5、下一代安全防护体系
下一代安全防护体系界面,展现了深信服下一代防护体系通过联动云端、终端、边界进行协同响应,并且您可以通过该界面使用或查看云镜、云守、云眼和安全云脑的相关功能,帮助您持续、全面的抵御风险。
6、云端威胁对抗
云端威胁对抗界面,体现了连接安全云脑之后,通过云端的大数据分析与检测发现的未知威胁与对应的资产风险检测,极大的提高您的安全防护能力。
7、门户网站保护
门户网站保护界面,将您的网站安全情况进行汇总分析,帮助您实时掌握您的网站是否存在安全风险,防护状态如何以及相应的防护建议。
8、安全防护能力
安全防护能力界面,展示了深信服下一代防火墙的安全能力图谱,您可以通过能力更新日志查看每日更新的热门威胁情报,还可以查看事前、事中、事后三个安全阶段的对应功能项开启情况,可以直观的看到现网安全能力的状况。