深信服各产品线案例介绍
深信服公司及产品线概览
•
3、越是没有本领的就越加自命不凡。 20.8.22 07:59:0 407:59 Aug-20 22-Aug-20
•
4、越是无能的人,越喜欢挑剔别人的 错儿。 07:59:0 407:59: 0407:5 9Saturday, August 22, 2020
•
5、知人者智,自知者明。胜人者有力 ,自胜 者强。 20.8.22 20.8.22 07:59:0 407:59: 04Aug ust 22, 2020
2005年,深信服推出中国第一款上网行为管理产品。 目前,深信服在该市场的占有率达到了53%,销售量超过 了所有竞争对手的总和。
2006年底,深信服发布亚太第一款广域网加速产品, 是该领域唯一一家中国企业。
未来的规划:每1-2年推出一款创新性前沿网络产品
2005、2006、2007中国高科技高成长50强
• 报备是对渠道利益的有效保护,如果渠道A先接触客户、但没有 报备,这时渠道B也接触客户、取得了客户的认可并且及时报备 ,深信服科技只能优先支持先报备的B渠道。
• 报备后能获得厂商的各种售前支持。深信服科技的各种资源都将 向渠道伙伴开放,能够帮助渠道一起赢得竞争、拿下项目。
• 当渠道报备通过审核后,深信服科技将提供一切必要的支持和配 合,帮助您拿下该项目。如果出现不可抗原因(如其他与客户有 密切关系的渠道商介入,客户坚持从其他渠道出货等),深信服 科技将与报备的渠道坦诚沟通、共同商定处理策略。在征得报备 的渠道允许的前提下,如果客户通过其他代理商购买了SINFOR产 品、深信服科技仍然会给予报备的渠道适当经济补偿,保证渠道 有投入、就有收益。
谢 谢 大 家 020 7:59 AM8/22/2020 7:59 AM20.8.2220.8.22
深信服NGA下F一代应用防火墙产品介绍-PPT
客户三:政府机构网络安全防护
总结词
政府机构需要严格遵守相关法律法规,保护国家安全和公民隐私,深信服下一代应用防火墙提供了可靠的安全解 决方案。
详细描述
深信服下一代应用防火墙符合国家相关法律法规的要求,为政府机构提供了全面的安全防护,包括对网络攻击的 检测和防御、对敏感信息的加密和保护等。该产品还具有高度的可定制性和可扩展性,能够满足政府机构不断变 化的安全需求。
日志与报表分析
提供详细的日志和报表分析功能,帮助管理员了解设备运行状态和 安全状况。
安全性强
多层次防御
采用多层次防御机制,有效防范各类网络威胁和攻击。
深度内容检测
具备深度内容检测功能,能够检测并阻止各类恶意文件和攻击行 为。
全面支持加密技术
全面支持各种加密技术,确保数据传输安全可靠。
04 适用场景
业和高流量场景的需求。
低延迟
该产品具备低延迟特性,确保网络 传输速度快,不卡顿,为用户提供 流畅的网络体验。
多核并行处理
采用多核并行处理技术,实现高效 的数据处理能力,确保防火墙运行 稳定。
易于管理和维护
直观的GUI界面
提供直观的图形用户界面,方便管理员进行配置、监控和管理。
自动更新与漏洞修复
支持自动更新和漏洞修复功能,降低维护成本和时间。
产品目标
1
提供全面的应用层安全防护,有效抵御各类网络 威胁。
2
简化网络安全架构,降低企业安全运维成本。
3
提升企业业务连续性和数据安全性。
产品特点
深度检测与防护
采用深度包检测技术,对应用层流量进行全面检测与防护,有效防御 各类网络威胁。
智能识别与控制
支持多维度的流量识别与控制,包括IP地址、域名、URL、文件类型 等,实现精细化的安全策略管理。
深信服整体解决方案(3篇)
第1篇随着信息技术的飞速发展,网络安全问题日益凸显,企业对信息安全的重视程度也不断提升。
深信服作为国内领先的网络安全产品和服务提供商,凭借其强大的技术研发实力和丰富的行业经验,为企业提供了一系列整体解决方案,助力企业构建安全、高效、稳定的网络环境。
一、深信服整体解决方案概述深信服整体解决方案以网络安全为核心,涵盖了企业级防火墙、入侵检测/防御系统(IDS/IPS)、安全审计、虚拟化安全、移动安全等多个领域。
通过整合软硬件资源,为企业提供全面、高效、智能的安全防护,助力企业应对日益复杂的网络安全威胁。
二、深信服整体解决方案的特点1. 高安全性深信服整体解决方案采用业界领先的安全技术和算法,确保企业网络安全。
通过实时监控、智能防御和主动防御,有效阻止各类网络攻击,保障企业数据安全。
2. 高可靠性深信服整体解决方案采用模块化设计,具有良好的扩展性和可维护性。
系统具备冗余备份、故障转移等功能,确保企业网络稳定运行。
3. 高性能深信服整体解决方案采用高性能硬件平台和优化算法,具备高速处理能力,满足企业大规模网络的安全需求。
4. 易用性深信服整体解决方案提供直观易用的操作界面,方便企业用户进行配置和管理。
同时,深信服提供专业的技术支持,确保企业顺利实施和运维。
5. 良好的兼容性深信服整体解决方案兼容多种操作系统、网络设备和安全协议,方便企业进行系统集成。
三、深信服整体解决方案的应用场景1. 银行、证券等金融行业金融行业对信息安全的重视程度较高,深信服整体解决方案能够有效保障金融企业的网络安全,防止各类网络攻击,确保金融交易安全。
2. 政府机关政府机关承担着国家信息安全的重要任务,深信服整体解决方案能够帮助政府机关提高网络安全防护能力,确保国家信息安全。
3. 电力、能源等行业电力、能源等行业对信息安全的依赖程度较高,深信服整体解决方案能够保障企业生产、运营和管理的网络安全,提高企业竞争力。
4. 企事业单位企事业单位在信息化过程中,面临着日益复杂的网络安全威胁。
深信服AF_运营商行业案例集
深信服科技运营商行业案例集深信服科技有限公司2014年08月中国电信——上海公司 (3)安徽移动 (5)中国移动通信(湛江)分公司 (7)中国移动通信(邯郸)分公司 (11)中国电信——上海公司应用背景BOSS,业务运营支持系统(Business & Operation Support System),它融合了业务支撑系统(BSS)与运营支撑系统(OSS),是一个综合的业务运营和管理支撑平台,同时也是真正融合业务(不同的运营商有不同业务的融合,如传统网络接入业务、IP数据业务、内容提供业务与移动增值业务等)的综合管理平台。
该系统最早由电信部门的计费系统发展演变而来,基本功能包括客户资料管理、产品管理、用户订购管理、计费、出帐、结算等,负责登记客户资料、管理用户订购服务的提供、实时的根据不同产品、套餐的资费标准计算业务(手机、固定电话用户通话时、点播收视、宽带流量与时间等)的消费金额,准实时及定期计算用户帐单,实时或定期结算用户各种消费费用。
后来又增加了用户信用控制功能,负责实时计算预付费用户现金余额,对欠费用户实施即时停机。
随着电信企业的不断发展,BOSS也在逐渐完善并增强功能,逐渐包括了资源管理系统、客户服务系统、以及与银行等外界的接口,不断提高企业的服务质量。
随着上海电信公司对业务系统的增加。
整体系统的稳定性,安全性都是上海电信的正常业务交付需要的保障。
需求分析上海电信的BOSS系统承载了资源管理系统、客户服务系统,此次安全加固需要做到以下几点:防止漏洞扫描:之前由移动省公司利用扫描工具对地市的各个BOSS系统进行扫描发现了很多漏洞。
包括服务器、客户端、网络协议等安全漏洞,此次安全升级针对BOSS系统漏洞的进行防护泄露。
防止针对漏洞的攻击行为:能够防止针对于服务器或用户的系统的底层OS漏洞或是软件漏洞,以及中间件进行相应的防御并作出处理。
防止针对WEB服务器的攻击行为:能都对黑客针对于WEB服务器的攻击行为进行防御与处理。
深信服SD-WAN产品介绍
多种业务场景匹配SD-WAN方案
解决方案
适用场景
关键业务价值
保障核心业务体 验
提高业务连续性
降低线路成本 易部署易运维
安全加固
多WAN选路和优 多条或计划扩展多条
化
(MPLS+专线+VPN+4G)
✔
云网融合
业务上云,单线路或者 双线路VPN入云
跨境云组网
跨境采用单条专线或者 VPN
✔
连锁分支组网
单线路MPLS或者VPN, 可能存在扩容多条
WOC
广域网优化
主机安全 资产识别、漏洞扫描、防入侵、 恶意代码防护
业务安全 身份认证与权限控制、web漏洞 识别、应用层攻击防范
数据安全 审计合规、特权管控、DLP、访 问可视
aBOS
分支一体机
平台可视化呈现,看的懂安全,快速处置威胁
外部威胁情报
全网安全感知平台
广域网安全威胁
行为分析、机器学习 UEBA、专家辅助
数据中心
灾备数据中心
公有云
SaaS
专线 WAN
互联网 WAN
远程分支
远程分支
远程分支
业务痛点:
1. 分支路由器要分别接入多个公有云、物理数据 中心,传统路由器无法同时建立多条VPN隧道到 云和数据中心,且故障无法快速切换影响业务 稳定性;VPN管理、设备运维工作极其复杂。
2. 分支快速扩张要求分支易部署,然而传统分支 部署周期长。
深信服SD-WAN产品介绍
地市一组 BU 王彦翔
1 业务转型下的企业组网挑战 2 业务转型下WAN最佳实践思路 3 深信服SD-WAN解决方案 4 深信服SD-WAN核心优势和
应用场景
深信服IPS产品交流
软件构架
• 系统内核优化 • 系统文件加固 • 控制与转发分离 • 多数据平面
关键部件冗余设计——可用性保障
传统关键部件冗余: 电源、风扇1+1冗余 支持热插拔
存储介质冗余,确保系统稳定运行: 硬盘+CF卡,实现存储冗余 在硬盘故障时,CF无缝切换,系统稳定运行
软件架构设计1---控制与转发分离
防火 墙
深度 入侵 防御
抗 D.o.S 攻击
恶意 网址 过滤
危险 行为 控制
异常 流量 清洗
风险 报表
主要功能模块介绍
防火 墙
深度 入侵 防御
抗 D.o.S 攻击
恶意 网址 过滤
危险 行为 控制
异常 流量 清洗
风险 报表
重要特性
更安全
更智能
更稳定
硬件架构
• 关键部件冗余设计 • 双主、主备模式
深信服整体安全防护体系介绍
统一安全平台
SANGFOR 统一安全平台介绍
单次解析架构 Sangfor OS
【多核并行处理】高性能硬件平台
硬件架构——多核并行处理架构
核1
性能
设备
核2
处
处
处
处
理
理
理
理
核n
12 3n
核
模
模
模
模
块
块
块
块
并行
多核处理单元级 并行处理
功能模块级 并行处理
Core0 WAF AV IPS FW
钓鱼/恶 意网站 风险URL库
木马工 具
应用特征库
安全事 件库 攻击特征库
应用检测引擎
应用检测引擎
攻击特征检测 威胁关联分析 协议异常检测
深信服NGAF典型部署案例与上架问题参考手册
深信服N G A F典型部署案例与上架问题参考手册公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]NGAF典型案例与上架问题快速参考手册目录案例部分一、路由模式部署单线路简单部署by谢辉【网络现状】Internet——NGAF——内网(PC和服务器)现有1条外网出口线路,20M出口带宽.内网lan口接核心交换机,服务器区也在lan区域.【客户需求】AF代理内网上网对外发布服务双向地址映射流量控制【设备配置】(1)配置lan口,设置为路由口,由于是内网口,固不勾选 wan口(2)配置WAN口,设置为路由口,选择wan口。
(3)设置区域,一个接口属于一个区域,如图:(4)配置系统路由(添加回包路由和缺省路由,缺省路由必须要添加。
)(5)配置源地址转换,即代理上网功能。
源区域选择lan,目标区域选择wan。
源地址转换选择出接口地址,如果有多个公网IP可以选择IP范围。
(6)设置目的地址转换(即对外发布服务)。
源区域选择wan,目的区域为灰色,不可选,IP组应当设置wan口映射IP,可以通过IP组来发布需要映射的公网IP,客户需要将公网的8080端口映射到内部服务器的80端口,固需要将8080端口转换成80端口,以实现客户需求。
(7)客户需要在内网访问公网地址来访问内部服务器,需要我们做双向映射来实现,源区域和目的区域都选择lan区,应用服务器是通过来访问的,固目标端口设置7890,该端口不需要转换所以目标端口转换选择-不转换,如果是域名,则用dnsmapping即可。
所有映射条目如下图:(8)映射设置完毕后,需要放通相应的应用控制策略。
注意:做双向映射后,应当放通lan-lan的规则。
(9)配置流控模块1. 先配置虚拟线路,如图所示:2. 配置正确的线路带宽,将WAN区域的接口设置为外出接口,本例中eth2为WAN口,如下图:3. 设置流控策略,设置流控策略基本和AC一致。
深信服aDesk案例集【教育行业案例】
w深信服科技aDesk桌面云教育行业案例集深信服科技有限公司2015年08月目录北京外国语大学 ..................................................................................... 错误!未定义书签。
吉首大学 .. (4)湖南师范大学 (5)昆明医科大学海源学院 (6)安徽水利水电职业技术学院 (7)青海交通职业技术学院 (8)天津机电职业技术学院 (9)山西省榆次教育局 (10)河北沧州一中 (12)更多客户案例 (13)北京外国语大学应用场景:多媒体教室PC替换项目背景:北京外国语大学,是中国外国语类高等院校中历史悠久、教授语种最多、办学层次齐全的全国重点大学,被誉为“共和国外交官摇篮”。
作为财政部6所“小规模试点高校“之一,入选“985工程优势学科创新平台”,北京外国语大学一直很重视教育信息化的建设,在长期的多媒体教室建设、教学终端维护管理中积累了丰富的经验。
在传统的多媒体教学中每个教室都需要放置1-2台PC,而PC终端的广泛分布,导致运维管理复杂,工作量大。
面临的挑战:1.传统PC零部件多(内存、硬盘、风扇等),故障概率高。
此外,对教学桌面系统进行部署、升级维护和故障排查时,都需要耗费大量人力和时间。
(从学生角度来说)2.教室里的PC终端广泛分布在教学楼,一旦PC终端出现故障,信息管理员往往奔走于各个大楼之间进行维护,维护效率低。
(从管理员角度来说)解决方案及价值:深信服为北京外国语大学提供一站式aDesk桌面云解决方案,构建新型教学云平台:1.硬件一体化的瘦终端aDesk替代传统的PC,极大减少终端硬件故障率,使用寿命长达5年以上。
相比于传统PC零部件多、故障率高等问题,深信服桌面云解决方案最大限度避免因终端故障而影响正常授课教学的情况。
2.采用图形化Web控制台对所有云桌面及云终端进行统一的部署及管理,即使桌面出现问题,管理员也可在办公室第一时间响应,及时解决故障,保证教学过程的连续性。
深信服全产品解决方案
深信服电子科技整体解决方案深信服科技(SANGFOR Technologies Co., Ltd,)版权所有(2015)文档中的全部内容属深信服科技所有,未经允许,不可全部或部分发表、复制、使用于任何目的。
目录1 项目背景 (7)1.1 项目产生背景 (7)2 现状说明 (8)2.1 网络现状说明 (8)2.2 业务现状说明 (8)3 需求分析 (9)3.1 边界安全需求 (9)3.2 业务稳定的需求 (10)3.3 流量监控与管理的需求 (10)3.4 终端安全防护的需求 (11)3.5 移动用户安全接入的需求 (11)3.6 分支机构安全接入的需求 (12)3.7 无线局域网的需求 (13)3.8 漏洞扫描的需求 (13)3.9 网络安全审计的需求 (13)3.10 服务器虚拟化的需求 (14)3.11 安全监控与告警的需求 (14)4 总体方案设计 (16)4.1 方案设计原则 (16)4.2 总体网络拓扑图 (18)4.3 安全区域划分 (19)4.3.1 安全域划分的依据 (19)4.3.2 安全域划分与说明 (20)5 详细解决方案 (21)5.1 边界防护 (21)边界防护设计方案 (21)边界安全设备选型 (22)5.2 负载均衡 (22)负载均衡设计方案 (22)负载均衡设备选型 (23)5.3 流量监控和管理 (24)流量监控和管理设计方案 (24)流量监控和管理设备选型 (26)5.4 终端虚拟化 (28)终端虚拟化设计方案 (28)终端虚拟化产品选型 (30)5.5 移动用户安全接入 (31)移动用户安全接入设计方案 (31)移动用户安全接入产品选型 (31)5.6 分支机构安全接入 (32)分支机构安全接入设计方案 (32)分支机构安全接入产品选型 (35)5.7 无线局域网 (36)无线局域网设计方案 (36)无线局域网产品选型 (37)5.8 漏洞扫描 (39)5.9 网络审计 (39)网络安全审计系统设计方案 (39)网络审计设备选型 (40)5.10 服务器虚拟化 (42)服务器虚拟化设计方案 (42)服务器虚拟化选型 (43)5.11 应用性能管理 (45)应用性能管理系统设计方案 (45)应用性能管理系统选型 (45)6 设备清单 (46)1项目背景1.1项目产生背景(加入客户背景),示例:xx市信息中心是xx市政府的直属结构,负责xx市的电子政务外网建设和xx市的门户网站建设。
深信服解决方案
深信服解决方案一、背景介绍深信服是一家专注于网络安全和网络通信的企业,致力于为企业和机构提供全面的解决方案。
该公司拥有多年的经验和技术实力,在网络安全领域取得了显著的成就。
深信服的解决方案包括网络安全、云安全、挪移安全和通信安全等多个方面,能够满足不同类型企业的需求。
二、解决方案概述深信服的解决方案旨在匡助企业建立稳定、安全的网络环境,保护企业的核心数据和信息安全。
以下是深信服解决方案的主要内容:1. 网络安全解决方案深信服的网络安全解决方案包括防火墙、入侵检测与谨防系统、VPN和网络流量分析等功能。
防火墙能够对企业网络进行全面的保护,阻挠未经授权的访问和恶意攻击。
入侵检测与谨防系统能够及时发现并阻挠网络入侵行为,保护企业的网络安全。
VPN提供安全的远程访问方式,确保企业员工在外部网络上的通信安全。
网络流量分析可以匡助企业了解网络使用情况,及时发现异常行为。
2. 云安全解决方案随着云计算的发展,企业越来越多地将业务迁移到云平台上。
深信服的云安全解决方案提供了云上应用的安全保护。
该解决方案包括云安全网关、云主机防护和云数据备份等功能。
云安全网关可以对企业云上的网络流量进行实时监控和防护,保护云上应用的安全。
云主机防护可以对云主机进行全面的安全防护,防止恶意攻击和数据泄露。
云数据备份可以将企业重要数据备份到云端,确保数据的安全可靠。
3. 挪移安全解决方案随着挪移设备的普及,企业面临着越来越多的挪移安全威胁。
深信服的挪移安全解决方案提供了全面的挪移安全保护。
该解决方案包括挪移设备管理、挪移应用管理和挪移威胁防护等功能。
挪移设备管理可以匡助企业对员工的挪移设备进行管理和安全控制,防止数据泄露和未经授权的访问。
挪移应用管理可以对企业员工使用的挪移应用进行管理和安全策略控制,防止恶意应用的安装和使用。
挪移威胁防护可以实时监测挪移设备的安全状态,发现并阻挠挪移威胁的攻击。
4. 通信安全解决方案深信服的通信安全解决方案主要包括安全通信传输、安全语音通信和安全视频通信等功能。
sangfor安全系列产品介绍
扫描探测
• Port Scan • IP Scan • Tracert
•…
•…
基亍状态 的防护
基亍协议 的防护
探测&扫 描防护
24
IPS入侵防护
5G性能 us延迟
应用DDoS 防护
虚拟补丁库 2200+
掉电保护 Bypass
威胁关联分 析技术
多核并行 技术
IPS 入侵防护
应用内容检 测分析引擎
25
Web安全
防止 泄密
连通
冗余 架构 设计
新的问题又会出现
VPN
• 缺乏: 1、L2-L7立体完整的防护手段 2、以业务流程视角审视IT服务的交付过程
纵向防护、横向隔离
纵向防护(单一业务)
根据业务系统的不同组成部分,划分出数据中心、网络接入、终端三个层次 在每个层次部署对应L2-L7安全技术和产品,实现端到端的L2-L7安全防护
身份认证 终端检测
漏洞防护 内容病毒 上网行为管理
带宽保障
漏洞防护 应用防护 DDoS防护
访问控制 应用权限
数据备份
终端
网络链 路
数据 中心
数据
L2~L7层深度安全防御
L7 L6 L5
内容防护:病毒、恶意代码、恶意URL过滤技术
应 用 识 别
内 容 识 别
威 胁 识 别
AV WAF IPS AC
Web应用防护:SQL注入、跨站脚本、Webshell、口令爆破等威胁防护 漏洞防护:基于攻击特征的系统漏洞、服务器/终端漏洞、网络漏洞防护 SSL VPN:实现应用访问权限控制,检测业务身份安全性 应用管理与审计:1200+应用控制与内容审计,防止文件外发
深信服aDesk案例集【企业行业案例】
w深信服科技aDesk桌面云企业案例深信服科技有限公司2015年08月目录中国华能北方联合电力 (3)上海爱屋吉屋 (4)湖北华新水泥 (5)如风达快递 (6)方大集团 (7)江苏国信集团 (9)晋亿实业 (10)拓普集团 (11)更多客户案例 (12)中国华能北方联合电力项目背景:中国华能北方联合电力是资产优良、产权多元、治理结构科学的股份制企业,不仅承担着内蒙古及京津唐地区的供电任务,同时也承担着自治区主要城市和地区居民采明和工业用电任务。
北方联合电力拥有69家成员单位,其办公及培训的PC终端数量庞大,给信息化部门带来巨大的运维压力。
应用场景:办公网+培训室面临的挑战:1.超5000台的传统PC,每年PC终端报修、更换的成本居高不下。
2.传统PC模式下,系统升级、故障恢复、系统还原等工作需要花费IT管理员大量精力和时间,甚至需要到分厂办公室或培训室现场解决系统出错、硬件故障的问题,故障处理效率低。
解决方案及价值:经过前期详细的了解和对比,北方联合电力决定采用深信服一站式桌面云解决方案,将1260+台云终端aDesk部署在各分电厂的办公网及培训室中:1.采用硬件集成的aDesk云终端替代传统主机,其一体化设计的架构,保障云终端能够长时间运行,极大降低终端故障率,节省大量硬件维修及更换成本。
2.通过aDesk桌面云方案,管理员仅需要登录Web控制台即可对所有桌面进行管理,大幅降低北方联合电力的IT维护工作量和人力支持成本,提升IT管理效率。
3.aDesk桌面云对摄像头完美兼容,保障了北方联合电力通过云桌面进行视频会议时更流畅体验,赢得了客户的青睐。
上海爱屋吉屋项目背景:作为第一个以互联网企业身份进入房产中介行业的新型公司,上海爱屋吉屋正以无可抵挡的速度进行业务扩张。
门店的快速开张使上海爱屋吉屋客户在IT建设上遇到难题,员工人数及办公点的极速增加,在搭建办公环境和管理维护办公设备等环节上都面临挑战。
SANGFOR_AF_产品简介V1.0-1108
Gartner定义下一代防火墙源引自:Gartner《Defining the Next-Generation Firewall》一、防火墙必须演进防火墙必须演进,才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。
随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。
不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。
不断增长的带宽需求和新应用架构(如Web2.0),正在改变协议的使用方式和数据的传输方式。
安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。
在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。
为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(NextGenerationFirewall,简称NGFW)”的产品。
如果防火墙厂商不进行这些改变的话,企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。
二、什么是NGFW?Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。
Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。
NGFW至少具有以下属性:1.支持联机“bump-in-the-wire”配置,不中断网络运行。
2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。
IPS与防火墙的互动效果应当大于这两部分效果的总和。
例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。
深信服公司及产品线介绍
北京居然之家
浙江坤和建设集团 南京银城房地产 开滦集团 金风科技
天津市地矿局
顺特电器 厦门国贸泰达物流 石家庄铁道学院 立白集团
提升广域网应用癿效率
应用协议本身效率导致效率低 改善网上邻居、Email、ERP等
信利康物流
中国日报
香江集团
华宝集团
SANGFOR WAC 广域网加速
SANGFOR WAC 广域网加速
传输优化 数据处理 应用优化
SANGFOR WAC 广域网加速
移劢加速 无线 卫星 VPN
Interne t
丏线
SANGFOR SG 上网优化网关
宠户需求:
– 带宽被滥用。P2P、在线视频等滥用带宽,单纯扩带宽未能提速;
– 上网速度慢:人数多、带宽小、相同数据反复占带宽,上网速度慢;
– 上网丌安全。互联网病毒、木马等威胁导致内网丌安全、丌可靠;
合作伙伴
现代企业竞争丌仅是个体间癿竞争也是产业链癿竞争
英特尔
战略合作伙伴,保障了深信服产品及解决斱案癿速度和稳定性
思博伦
为深信服提供测试设备及测试斱案,提高产品品质
合益
协劣深信服建立了规范癿人才筛选、培养体系,为深信服癿快速
发展和转型提供了系统支持
毕马威
深信服财务顼问,在内部控制、资金、税务、业务整合、风险管 理等领域展开了全斱位癿合作
SANGFOR_深信服科技公司介绍+全系列产品介绍
全面网络优化方案提升带宽价值深信服科技有限公司2010年5月目录全面网络优化方案,提升带宽价值 (1)深信服AC上网行为管理——实现内网有序管控 (2)深信服SSL VPN——全面的移动安全接入方案 (3)深信服IPSec VPN——异地网络安全、快速组网 (4)深信服广域网加速——让网络飞驰起来 (5)深信服BM流量管理——优化带宽资源 (6)深信服SG上网优化网关——提升上网效率 (7)深信服AD应用交付——链路、应用负载双优化 (9)招商局集团部署深信服产品解决网络性能问题 (10)更多成功客户: (12)全面网络优化方案,提升带宽价值——深信服科技深信服科技是中国规模最大、创新能力最强的前沿网络设备供应商,致力于通过创新、高品质的产品及卓越的服务,帮助用户提升互联网带宽的价值。
通过专业、创新、高性价比的产品,围绕商业用户Internet带宽资源,帮助用户降低成本(VPN实现网间互联、替代专线)、提高效率(广域网加速让应用更快捷)、产生效益(SSL VPN实现无处不在的移动办公)、防范风险(AC上网行为管理网关保证内、外网安全)、优化资源(BM流量控制实现带宽合理管控)、提高访问体验(AD应用交付实现链路及服务器双负载均衡),提供全面的网络优化解决方案!深信服科技现有AC上网行为管理、IPSec VPN、SSL VPN、广域网加速、BM流量控制、AD应用交付等全系列产品线。
丰富的产品系列给客户更大的选择空间。
不同层次、不同需求的客户都可以在深信服科技找到适合自己的网络连通、管理、优化产品。
截止到2010年5月,已有超过16,000家用户选择了同深信服合作并取得了显著收益。
这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业,也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。
在中国入选世界500强的企业中,超过一半的企业都是深信服的用户。
目前,深信服科技总人数已达900人,直属分支机构36个,销售网络遍布全国,并在香港、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。
深信服典型客户案例集
品牌及本地化服务:
A)品牌: 2005年,深信服科技推出了全球第一台SSL/IPSec一体化
VPN产品,目前已成为VPN领域的标准配置。2006年,深信 服科技先后开发了SMS短信认证、HardCA硬件身份认证、 SSL VPN专线功能,极大地提高了SSL VPN产品的安全性。 2007年,深信服科技的M5900-S SSL VPN在网络世界的评测 中,并发用户数突破8000,性能跻身全球三甲。
中国联通辽宁省分公司 中国电信山东省分公司 中国电信湖南省分公司 中国电信四川省分公司 中国电信福建省分公司 中国电信青海省分公司 中国电信广州市分公司 中国电信西安市分公司 中国电信苏州市分公司 新疆电信有限公司 中国网通广东省分公司 中国网通富阳市分公司 中国网通唐山市分公司
01
运营商行业 Industry operators
事实上,随着全球经济的开放与协作,企事业单位对于自身业务流程的效率、安全、稳定等提出了越来越高的 要求,目前众多的企事业单位的业务操作均通过相应的业务管理系统来解决,相应的业务流程也均依托于网络平 台。围绕着信息共享、业务系统协调的局域网连通,针对内网安全效率的管控,提升用户效率与体验的网络业务速 度优化,这三者的需求越来越强烈。
电力行业
电力行业典型客户名单
19
1
中电投的新动力
20
——深信服SSL VPN远程接入方案
2
助力大唐电力发展
21
——深信服上网行为管理结缘大唐国际
3
南方电网,打造移动网络平台
22
石油行业
深信服NGAF典型部署案例与上架问题参考手册簿
NGAF典型案例与上架问题快速参考手册目录案例部分 (1)一、路由模式部署 (1)单线路简单部署by谢辉 (1)单线路+专线互联by李绘东 (11)多线路+sangfor vpn互联by李宁 (22)二、网桥模式部署by孙阳华 (31)三、功能测试案例by黄翔 (42)问题部分 (48)一、断网问题 (48)路由模式 (48)网桥模式 (50)二、目的地址转换/双向地址转换不通问题 (52)目的地址转换 (52)双向地址转换 (53)三、经过AF访问公网速度变慢 (53)案例部分一、路由模式部署单线路简单部署by谢辉【网络现状】Internet——NGAF——内网(PC和服务器)现有1条外网出口线路,20M出口带宽.内网lan口接核心交换机,服务器区也在lan区域.【客户需求】AF代理内网上网对外发布服务双向地址映射流量控制【设备配置】(1)配置lan口,设置为路由口,由于是内网口,固不勾选 wan口(2)配置WAN口,设置为路由口,选择wan口。
(3)设置区域,一个接口属于一个区域,如图:(4)配置系统路由(添加回包路由和缺省路由,缺省路由必须要添加。
)(5)配置源地址转换,即代理上网功能。
源区域选择lan,目标区域选择wan。
源地址转换选择出接口地址,如果有多个公网IP可以选择IP范围。
(6)设置目的地址转换(即对外发布服务)。
源区域选择wan,目的区域为灰色,不可选,IP组应当设置wan口映射IP,可以通过IP组来发布需要映射的公网IP,客户需要将公网的8080端口映射到内部服务器的80端口,固需要将8080端口转换成80端口,以实现客户需求。
(7)客户需要在内网访问公网地址来访问内部服务器,需要我们做双向映射来实现,源区域和目的区域都选择lan区,应用服务器是通过http://X.X.X.X:7890来访问的,固目标端口设置7890,该端口不需要转换所以目标端口转换选择-不转换,如果是域名,则用dnsmapping即可。
深信服设备全产品线图标精品PPT课件
PC
笔记本
会议电视
视频会议
移动硬盘
公司产品相关
短信网关
短信猫
动态令牌 外置数据中心
数据报表
硬件特征码
Radius服务器
服务器
server
存储服务器
磁盘阵列
存储磁带库
应用服务器
服务器群建筑物/人物 Nhomakorabea其它
B/S访问
其它
为更好满足学习和使用需求,课件在下载 后自由编辑,请根据实际情况进行调整
Thank you for watching and listening. I hope you can make great progress
SANGFOR产品图标
NGAF
APM
无线控制器
AP(内置天线)
AP(外置天线)
VDC
SANGFOR产品图标(无名称标识)
基础网络设备图标
防火墙
集线器
modem
USB-KEY 交换机
网闸
基础网络设备
网络管理平台
杀毒网关
IDS
无线AP
安全网关
基础网络设备
路由器
交换机
可视电话
交换机
PC等
宽带上网
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AC产品线案例一:南方航空排除其他应用对订票业务系统的影响2009年南方航空购买了M5900-AC,当时客户主要需求为:旁路部署AC,封堵炒股软件,同时对上网链路的流量和行为进行统计、分析和报表输出等,基于报表统计为南方航空的IT决策提供数据支持。
南方航空的WWW网站、机票订购系统、明珠会员服务系统等通过40M独立生产链路向互联网发布。
这些系统为南方航空贡献超过一半的销售额,所以南航对这些系统的可用性、可靠性非常关注。
但是南航发现40M的生产链路带宽吃紧,尤其核心业务—订票网站的带宽不够。
但按照正常业务量来看,带宽应该是充裕的,问题出在哪里?南航将AC部署在内网服务器前端,在40M生产链路中,将互联网接在AC的LAN口上,生产服务器接在AC的WAN口上,对从互联网到服务器的流量进行监控和审计,以获得相应的报表,后续再根据这些报表进行数据的分析。
南航发现了数个问题:某生产系统上有个管理员帐号一直被分公司人员远程访问和使用,而且该用户每天产生数G的大流量。
后续南航封堵了该漏洞;通过AC对URL的排行等,南航发现网易蜘蛛等网络爬虫程序大量、频发的访问南航网站,而且将机票打折信息等扩散出去。
南航机票预定与某中介机构合作,并允许该中介机构定期查询和检索南航机票数据库,但南航发现该中介机构大量的、频发的查询数据库,造成很大流量;另外南航还发现,非主要业务系统占了70%的流量,而机票预定等核心业务系统的带宽占用不足30%,这些统计结果为南航进一步IT建设提供了有力的决策支撑。
通过部署深信服AC设备,一方面解决了服务器安全,详细记录用户访问服务器的情况,另外通过AC的详细审计功能,了解链路带宽的使用情况。
案例二:深信服上网行为管理部署吉利汽车2009年5月10日,吉利宣布在香港整体上市。
吉利作为一家民营企业,在汽车这样一个资本密集型行业面临资金压力显而易见,他的上市不仅能尽快建立与国际接轨的经营模式和管理体系,更是希望通过吸纳更多的境外资本而实现企业国际化战略,这是吉利一直的企业目标。
根据有关上市公司内部审计工作规定,公司需要结合所处行业和生产经营特点,建立健全内部审计制度,防范和控制公司风险,增强公司信息披露的可靠性。
建立规范的信息审计体系,吉利汽车认为必须先从IT管理开始,因为内部应用系统都通过网络连接,财务、研发等核心部门都可以访问互联网,虽然已经通过传统网络安全产品进行了限制,但吉利汽车信息中心仍然预见到了一定的风险。
IT管理主要从三个方面来实现:首先,集团内部需要提升终端PC的安全等级,防止外网威胁通过存在安全漏洞的PC入侵内网,导致整个网络的不稳定和机密信息被窃取。
其次,员工的上网权限需要合理的划分,根据不同部门员工的工作性质授予其相应的网络资源访问权限,避免无关人员接触到保密信息,避免在上班时间进行与工作无关的网络行为。
另外,员工在上班时间无意的论坛发帖可能给集团带来不必要的影响,为了信息的安全,集团希望能有全面的网络措施进行解决。
在经过沟通、了解,技术认可和严格的测试后,吉利汽车与深信服达成了合作意识,最后决定采用深信服上网行为管理解决方案,帮助公司做好上市前的信息安全工作。
深信服上网行为管理部署在网络的总出口处,集团总部内网数据都经过策略处理。
针对计算机安全问题,深信服上网行为管理通过制定终端安全检查策略,符合安全等级的PC才允许接到外网,测试的工作人员表示,这样不仅避免了木马程序通过内网PC盗取敏感文件,也减少了终端PC的管理工作。
对于不同工作性质的部门,该套解决方案实现了细致的权限划分。
比如市场部,我们做的策略是允许工作需要的网络访问,但是限制访问研发的服务器和资料库,研发部门可以内部交流,但不允许发送有关商业机密的文件出去。
在测试过程中,吉利工程师表示,外发邮件的控制是吉利很关注的一点,深信服上网行为管理产品基于关键字的邮件过滤和邮件延迟审计有效的解决了我们的问题。
所有外发的邮件,通过设置多个关键字匹配策略,包含这些关键字的文件将会被拦截,发送到管理员处,经过审核后才可以外发。
这个策略做好后,有个问题出现了,管理员的工作量有了增加,他每天需要审核很多封邮件,所以在实际的应用中,再配合基于文件类型的邮件过滤做了进一步的完善。
例如对研发部门设置基于CAD图纸类型的DWG、DXF、DWF文件按类型过滤。
深信服上网行为管理在吉利上市前期,有力的配合了吉利的信息安全审计工作,吉利资深工程师表示,深信服上网行为管理在信息安全保障和规范员工上网行为上控制力度比我们预期的要强大和稳定,是吉利信息安全保障工作的好助手。
案例三:东风日产选择深信服AC上网行为管理方案“深信服的M5800-AC支持上万用户的大规模容量,并具备网关、旁路、透明多种部署模式,在管理、控制、报表功能都走在所有初选设备的前列,非常贴近我们东风这种大规模集团的需求,是一款超出我们想象的产品。
尤其值得一提的是,深信服销售工程师所提供的服务水平和响应速度,让我们非常信服和满意,对我们提的一些很小的改进意见,深信服往往第二天就能予以答复,对合理的意见还会在一周左右提供测试版本”。
——东风日产汽车有限公司IS信息中心宋先生需求分析:来自互联网资源滥用的威胁东风日产汽车有限公司(以下简称“东风日产”)是东风汽车公司与日产汽车公司战略合作携手组建的公司,是目前中国汽车行业迄今为止规模最大、合作层次最深、领域最广的合资项目。
作为一个拥有上万名员工、信息化程度高的制造型企业,东风日产一直非常重视信息化的建设,在局域网里部署了比较完整的安全解决方案。
随着近几年Internet接入的普及和带宽的增加,互联网也暴露出双刃剑的特性:一方面员工的上网条件得到改善,东风日产组织运营效率也得到了大大提升,但另一方面虽然部署了很多的安全设备,却仍然发现网络给企业带来很多的安全威胁,互联网资源被滥用的问题也日益严峻。
如员工在上班时间的上网聊天、购物、游戏等行为也严重影响了工作效率;部分缺乏保密意识的员工则通过BBS论坛、外发邮件等导致组织内部机密信息泄漏;日益流行的BT、电驴等下载软件非常容易导致关键业务应用系统带宽无法保证,有几次甚至因为无法访问服务器导致MIS生产系统停顿;虽然部署了正版杀毒软件,但时不时还是会发生一两起局域网中毒事件,经追踪发现很多病毒事件都是因为一些员工访问一些非法网页/非法BBS论坛,或通过FTP下载文件及即时通讯软件传播文件而引发。
设备选型:深信服AC落户东风汽车如何在最大利用互联网优势的同时,避免以上由于互联网资源被滥用所引发的安全威胁及其他各类问题,东风日产IS信息中心就此进行了深入讨论,最后得出的解决办法是:通过技术设备和规章制度的结合来指导、规范员工正确使用单位的网络资源,从而对局域网的上网行为进行有效管理。
经过对不同厂商产品的研究,结合自身作为大型制造业集团的需求,东风日产IS信息中心提出了对上网行为管理的选型标准:(1)控制功能:可合理分配不同部门、员工的上网权限,比如什么时间可以上网、什么时间不能上网,能够访问那些互联网内容,那些互联网资源是严格禁止使用的;对代理软件的封堵,防止不能上外网的员工通过代理软件上外网;阻止访问高风险、非法和不健康的互联网内容,避免法律纠纷等,以增强单位的互联网访问管理与控制力度,实现对不同权限的员工对访问网络资源的合理分配;(2)监控与审计功能:可以将所有跟上网相关的行为记录下来,如对研发、财务等关键部门的上网行为、聊天内容、邮件内容进行记录,以便事后审计,并在内部起到威慑的效果;(3)报表分析功能:具备丰富的数据中心,可以方便直观的统计分析员工的上网情况,据此掌握单位内部互联网的使用情况;为避免内网用户数量巨大直接查询网关容易造成网关宕机的现象,要求设备支持独立的数据中心;(4)流量控制与带宽管理:支持对不同员工进行分组,通过一段时间数据统计,限定每个组的上网流量;对BT/电驴等P2P下载软件进行封堵,避免其对网络带宽资源的消耗;(5)满足国家政策和法律规定:东风日产作为大型国有控股公司,所部署的设备需要能满足国家相关的法律法规(如公安部针对此的82号文件规定。
在选型初期,根据大型集团信息化稳定性、安全性等角度出发,东风日产SI信息中心“网控项目小组”选择了多家国内产品和国外产品进行了多方面的测试,结果却不甚满意。
由于上网行为管理在国内还是一个很新的课题,能提供该类产品的国内厂商大部分是一些小公司,无法提供良好的服务,产品质量和功能也有比较大的不足;而国外厂商则因为研发部门基本不在国内,对中国上网行为管理的国情一知半解,无法满足东风汽车一些个性化的管理需要。
负责此次设备选型的东风IS信息中心的宋工从网上看到了一篇关于深信服AC上网行为管理设备介绍的文章。
在初步的沟通和小组讨论后,宋工和他的小组成员把主要精力放在了深信服SANGFOR AC上。
经过几个月的测试,无论从性能上,还是功能上,深信服SANGFOR AC专用上网行为管理设备给宋工和他的小组成员留下了深刻的印象。
当时送测的产品是M5800-AC,该产品是基于硬件Linux架构的上网行为管理平台,在测试过程中,表现出了令人折服的稳定性、可靠性和安全性,并且具备丰富直观易用的数据中心报表报告功能,能够为整个局域网的上网统计分析提供可靠的依据。
最终,东风日产选择了深信服自主研发的M5800-AC上网行为管理解决方案,作为公司上网管理的解决方案。
应用效果:利用AC搭建一个可以管理的互联网在深信服科技的帮助下,东风日产通过部署AC上网行为管理设备逐步制定和实施了一套适合自己企业的互联网使用政策。
深信服AC网关采用了严格的身份认证和不同的访问权限策略,并可根据不同的时间段做灵活的时间管理,具有URL过滤、关键字过滤、上传下载限制、深度内容检测、邮件过滤功能和独特的邮件延迟审计功能等众多功能,从而让东风汽车把与工作无关的上网行为降到最低,去除员工的分心,让他们专注于工作,提高工作效率,并在技术措施上配合制度管理解决了内部机密可能通过Internet泄漏的问题。
AC网关的流量控制功能,可以实现对东风汽车内部上网用户按照用户组或按用户来做流量限制,使得东风汽车的网络带宽得到最充分有效地利用。
针对病毒的来源和传播途径,深信服AC上网行为管理设备可以很好的配合东风日产原有的杀毒软件实现“治标治本”的效果。
AC网关里面的URL过滤功能,可以对常见的网址/非法BBS论坛直接实现过滤,AC网关提供的对下载及P2P软件的封堵和管理功能也可以有效减少因为文件下载而引发的病毒传播,尤其值得一提的是AC里面的SSL控制功能,可控制用户通过SSL协议访问的URL,并可对SSL协议的证书做有效性检查,允许或拒绝用户访问持有指定X.509证书的网站,以防止用户通过SSL协议泄密和访问色情、反动和钓鱼网站,从而起到“防钓鱼”的效果,避免客户陷入“网络钓鱼”陷阱。