深信服NGAF下一代应用防火墙产品介绍-PPT

多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护
强化的Web安全防护
• 应用隐藏 – FTP信息隐藏 – HTTP信息隐藏 • 口令防护 – 弱口令防护 – 暴力破解防护 • 权限控制 – 文件上传过滤
– URL防护 • OWASP 10大web风险
– SQL注入 – XSS跨站脚本 – 网页木马 – webshell
事前风险分析
网页防篡改
• 网关型网页防篡改
• 爬虫技术网页缓存
• 模糊、精确匹配方式 • 特征码、文件等多种比对方式 • 业务审批与安全管理界面分离 • 短信、邮件报警
敏感信息防泄漏
• 常见的敏感信息防泄漏
– 用户信息 – 邮箱账户信息 – MD5加密密码 – 银行卡号 – 身份证号码 – 社保账号 – 信用卡号
– 手机号码
– 内部保密文件
NGAF特点——涵盖传统安全
应用 应用层数据
网络层次越高 资产价值越大
WAF
L5-L7: 应用层
Web应用架构
风险越高 越迫切需要 被保护
会话标识
NGAF IPS
L4: 传输层
Web服务架构 操作系统
HTTP请求/响应
TCP连接
L3: 网络层
防火墙
TCP/IP协议栈
IP报文 以太网报文 二进制比特流
NGAF特点——双向内容检测
• 防止端口/服务扫描 • 强化的web防护 • • • • • 防SQL注入攻击 防OS命令注入 XSS攻击、CSRF攻击 服务器漏洞攻击防护 终端漏洞攻击防护 • DOS攻击 • 应用层DOS攻击 • CC攻击* • 权限控制 • 可执行程序上传过滤 • 上行病毒木马清洗 • 切断webshell流量
FW
IPS
AV
WAF
“串糖葫芦式”“打补丁式”建设
成本高：环境、空间、重复采购 管理难：多设备，多厂商、安全风险无法分析 效率低：重复解析、单点故障
现行的解决方案——UTM
IPS策略
URL策略 防火墙策略
防病毒策略
IPS签名
防病毒签名
URL签名
IPS解码器
防病毒解码器&代理
基于端口/协议的ID
关注服务器外发 内容的安全风险
涵盖传
融合现网环境， 与传统安全形成 异构
统安全
2、产品介绍
下一代防火墙应具备的特性
NGAF是面向应用层设计，能识别用户、应用和内容，具备完整 安全防护能力的高性能下一代防火墙。 • 防应用层攻击 • 双向内容检测 • 涵盖传统安全 • 应用层高性能
L2-L7层安全防护方案
+
核2 核n 并行
性能
=
应用层高性能
n 核
网络硬件I/O
1
2
3
单次解析构架 实现报文一次解析和匘配
多核并行处理技术 提升应用层分析速度
全新技术构架 实现应用层万兆处理能力
www.sangfor.com.cn
其查询页面被搜索引擎 抓取后，至少有数百个 公积金账户的详细信息 被泄漏到网上，包括公 积金账户姓名、身份证
号、公积金余额、所在
单位等一览无遗。
• 启示：web漏洞利用、防泄密不容忽视
泄密事件——2011年末泄密事件
篡改事件——2012年初网页篡改仍然严重
第 28 次中国互联网络发展状况统计报告
NGAF特点——防应用层攻击
服务器敏感信息
NGAF
多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
多维度的漏洞攻击防护
核心应用漏洞库：2200+ 主机操作系统漏洞，如Windows、 Linux、Unix等 应用程序漏洞，如Adobe、Office、 SPA、IBM Lotus等 网络操作系统漏洞，如思科IOS、 Juniper JUNOS、SSL协议等 中间件漏洞，如WebShpere、 WebLogic等 数据库漏洞，如SQL Server、 Oracle等 浏览器漏洞：IE、FrieFox、 Google Chrome等 病毒、木马、后门软件等 。。。。。。
截至2011年6月底，我国域名总数为786万个。中国的网站数，即域名注册者在中国境 内的网站数（包括在境内接入和境外接入）为183万个。
网络安全信息与动态 2012年1月
难道这些单位不重视安全建设吗？
威胁来自应用层！ 90%投资在网络层！ 传统防火墙已经失效！
现行的解决方案——“串糖葫芦”式部署
扫描探测
蠕虫、病毒、木马 P2P带宽滥用
访问控制问题
协议异常 网络层DDoS
L3: 网络层
L2: 链路层
L1: 物理层
网络接口 网线
ARP欺骗、广播风暴
传输线路物理损坏
安全建设应该重新考虑
防应用 层攻击
安全不会成为网 络的瓶颈 防护应用层安全 威胁为重心
应用层 高性能
重新考虑
安全建设
双向内 容检测
L2: 链路层 L1: 物理层
网络接口 网线
集成式防火墙功能
包过滤与 状态检测
IPSECVPN
wenku.baidu.com
路由
防火 墙
NAT
抗网络层 攻击
内置IPSEC VPN模块
• •
市场占有率连续5年全国第一 基于国际标准的IPSec VPN
•
国家IPSec VPN标准的核心制定者
之一，产品高安全保证
统一集中管理
、
SC中心端 受控端
• 弱口令保护/防暴力破解
• 关键URL保护 • 应用信息隐藏 • HTTP出错页面隐藏 • HTTP(S)响应报文头隐藏 • FTP信息隐藏
• 多对象漏洞利用
扫描过程
攻击过程
破坏过程
用户/黑客
Web应用服务器
窃取内容
服务器外发内容过滤
•网页防篡改：静态、动态 •敏感信息防泄露：身份证号、 信用卡号、财务数据等
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
L2/L3网络、高可用 性（HA）、配置管理、 报告
L2/L3网络、高可用 L2/L3网络、高可用 性（HA）、配置管理、 性（HA）、配置管理、 L2/L3网络、高可用性（HA）、配置管理、报告 报告 报告
L2/L3网络、高可用 性（HA）、配置管理、 报告
多设备叠加=多功能假集成=貌合神离
L2-L7层潜在的安全威胁
敏感信息外泄
网络层次越高 资产价值越大
业务内容
网页篡改、挂马 应用层DDoS 风险越高 越迫切需要 被保护
Web应用架构 L5-L7: 应用层 Web服务架构 L4: 传输层 操作系统 TCP/IP协议栈
SQL注入、跨站脚本 漏洞利用攻击
深信服NGAF下一代应用防火墙
1、下一代防火墙大势所趋
Web攻击事件——新浪微博病毒大范围传播
启示：类似XSS蠕虫05年就攻击过知名社交网站MySpace，这次 事件可以算是samy蠕虫在新浪的翻版，但随着web2.0技术的广泛 应用这种攻击的影响可能会加剧。
Web攻击事件——索尼泄密事件
泄密事件——北京市公积金查询网站
受控端
受控端
受控端
• 深层次审计分析
– 高性能数据处理能力 – 高容量数据存储 – 多应用数据挖掘和分析
• 可视化展现
– 基于设备面板状态监控 – 多维度图形化监控 – 设备集中状态监控
• 集中管理
– 多种协议方式管理
NGAF特点——应用层高性能
核1
万兆处理能力
FW
IPS
策略层
AV
网络层/快递路径