互联网上的万里长城——绿盟防火墙

通过ISP策略路由，等价路由，链路探测
等实现多出口智能选路功能。 通过一体化引擎中IPS，AV，URL过滤等 实现对外部病毒，攻击，恶意站点防御。 通过应用层访问控制，带宽管理，URL过 滤，内容过滤等策略实现用户上网管理。
用户典型场景（二）
安全需求：
1.
2. 3.
数据中心访问控制
数据中心与内网其他区域的安全隔离 数据中心应用可靠性及应用流量可视
典型部署场景（产品替代）
互联网边界防护
ISP1
数据中心防护
Internet
远程安全互联
ISP2
Internet
非对称路由支持 解决应用防护难题
用户典型场景（一）
安全需求： 1. 2. 3. 多出口链路备份，链路负载均衡 外部病毒，攻击，恶意软件防护。 内网用户上网行为管理，滥用网络带宽，
解决方案：
2 卖给谁？
3 怎么卖？
应用在被广泛使用的同时也带来了巨大风险
WEB2.0
Application≠Port 应用已经成为企业的一部分，大量高风险 应用携带有威胁，我们需要在保障应用使
WEB1.0
Application=Port 应用本身通常被当成一种威胁存在（如： IM/P2P），企业对应用的控制通常只是
3 怎么卖？
目标客户
政府
教育
医疗
中小企业
等级保护 保 密要求 政策 要求 电子政 务 12金工程 应用流量监控
校园网建设 等级保护 电 化教育 出口 流量管控 非 法言论监管
电子医疗 信息保密 等级保护 访问控制
商业信息保密 应用流量管控 员工上网监管 出口网络建设 关键服务保障
1 卖什么？
2 卖给谁？ 2.1 目标客户 2.2 行业解决方案/典型案例/应用场景集
PHP HTML
ASP JAVA
MySQL
JSP
钓鱼
非法言论
ORACLE
当数据变的难以理解
8
6 4 2 0 流量
10.12.32.112
10.12.32.223 10.12.12.13 10.10.12.48 10.10.65.34 10.10.12.99 什么意思？
15
10
5 0 受攻击端口
TCP80 UDP53 TCP23 UDP888 UDP1293
• 二、广泛的国际合作；
• 1、2009年国内第一个加入微软MAPP计划； • 2、亚太区第一个CSA云安全联盟成员 • 三、全面的产品线
打击点 • 绿盟科技有安全技术优势
绿盟科技VS深信服
• 绿盟科技产品接口密集度高，最高支持32个接口 • 绿盟科技产品最少支持2路Bypass，最高支持16路Bypass • 绿盟科技产品性能高于同型号的NGAF（数通性能及开启 模块性能）
用的前提下发现威胁
简单的允许或者禁止。
传统防火墙已经千疮百孔
HTTPS
POP3 FTP
迅雷
腾讯微博
DNS H.323
SIP
facebook
SSH
优酷
谷歌
SMTP TELNET
语言
威胁 JAVA Script SQL server Active X 木马 蠕虫 XSS 后门 病毒 SQL 注入 异常软件 暴力破解 DDoS
信息全面可视化 一体化引擎
一体化策略
简易的部署
Gartner定义的下一代防火墙
Gartner的《Defining the Next-Generation Firewall》中对其核心功能进 行了定义
下一代防火墙
Standard First-Generation Firewall Capabilities Integrated Rather Than Co-Located IPS Extra-Firewall Intelligence to Identify Users Application Awareness and Full Stack Visibility Support “bump in the wire” Deployments 标准防火墙能力 融合IPS功能
启发式学习 零时响应 多 层解压扫描 AV WEB安全 数据云查找 上亿URL库 本地高速缓存
敏感信息控制 文件类型过滤 行为分析审计
内容审计
统一网管
分层控制 快速定位
统一管理
高速响应
丰富的拓扑支持
混合部署
三层部署
二层部署
虚拟线
部署场景
动态路由 反向路由 VLAN转发
DHCP、DNS
负载均衡
链路聚合
core1
管理平面
core2
coreN
core1
core2
coreN
数据平面
全面的一体化安全引擎和策略框架
高速
单次解析架构
一次解码，全程扫描
一体化策略框架
一步完成全部安全策略配置 七元组（五元组+应用+用户）
双引擎独特设计
提高转发可靠性
自动优化性能分配 可靠
信息的可视化
出现安全事故？ 有重要服务器？ 对安全不自信？ 有机密信息传输？ 有远程接入需求？
带宽有限？ 有言论限制？ 有机密不得外泄？ 授权访问网络？ 想看看流量报？
等保要求？ 涉密？ 政府or事业？ 有关键机密信息？ 需要安全服务？ 需要厂商资质？
1 卖什么？ 2 卖给谁？
3 怎么卖？
3.1 需求挖掘思路
连续稳定运行：57天
1 卖什么？ 2 卖给谁？
3 怎么卖？
3.1 需求挖掘思路
3.2 竞争分析
3.3 常见话术
需求挖掘思路
网络建设 防护需求 审计需求 政策要求
网络出 口建设 电子化 建设 加密
IPS AV
流量 监管 应用 控制
内容 审查 涉密 要求
等保 要求 安全 审查
有老旧设备？ 要网络扩建？ 竞争对手故障？ 有绿盟的产品？ 有统一网管？
解决方案： 细粒度应用层访问控制，实现外部数据 中心访问可控。 一体化安全策略，实现数据中心区病毒 ， 攻击的隔离。 服务器负载均衡以及服务器实时数据
报 表，实现数据中心服务器可靠性及
可视。
用户典型场景（三）
安全需求： 1. 2. 3. 第三方机构与总部接入的安全策略 远程VPN用户安全接入总部 广域网安全域隔离
• 无法建立完整会话
• 部分报文缺乏应用层检查
可用作负载均 衡！
1 卖什么？
1.1 需求分析与产品定位 1.2 产品功能与原理 1.3 优势特性/与老产品差别
1.4 典型部署
2 卖给谁？
3 怎么卖？
典型部署场景（安全增强）
串接于传统防火墙后端
ISP1
旁路接于核心交换机
ISP1 ISP2
ISP2
非对称路由支持 解决应用防护难题
用户身份与策略整合 应用识别及全栈可视 支持嵌入式在线部署
绿盟科技的下一代防火墙
NF NX3 Series
板卡 4GE 8GE 4SFP 8SFP
NF NX5 Series
板卡 4GE 8GE 4SFP 8SFP 2SFP+
系列 型号 吞吐量 接口数
NF NX3 Series G2000L 300M 4GE G2000M 600M 4GE-8GE G2000H 1.2G 6GE+ 1SLOT G4000L 2G 6GE+ 1SLOT G4000M 4G 6GE+ 1SLOT G4000H 6G 6GE+ 1SLOT 或 4SLOT 2U G4000S 8G 4SLOT
什么意思？
%4e%53%46%4f%43%55%53
0111100001110000 78837067857983
什么意思？
当安全组网变成灾难
Internet
防火墙
VPN接入
IPS
应用监控
防毒墙
内网 图片
网页过滤
• • • •
功能孤立 部署复杂 接口众多 管理困难
• • • •
空间浪费 功耗巨大 可靠降低 厂商众多
网络上的万里长城——绿盟防火墙
让安全更容易
密级：内部使用
o sanetao.cof m
© 2014 商道元
网络上的万里长城
长城上有最好的关城：嘉峪关
网络上有最好的防火墙：（NF）绿盟防火墙
1 卖什么？ 1.1 需求分析与产品定位
1.2 产品功能与原理 1.3 优势特性/与老产品差别 1.4 典型部署
解决方案：
细粒度的用户接入以及应用安全控制
策 略，保障第三方机构安全接入总部 。 通过对VPN接入总部的流量进行安全扫 描，实现远程用户的安全接入。 一体化的安全引擎，可一次性做IPS，防 病毒，URL过滤，内容过滤等威胁扫描。
1 卖什么？
2 卖给谁？ 2.1 目标客户 2.2 行业解决方案/典型案例/应用场景集
李四 销售部
用户 识别
王五 人力部
易读
非对称路由支持
完整支持非对称路由情况下的4-7层安全检测
检出率与普 通组网一致
√ √ √ √ ack
NF
LAN
？ ？ ？ ？
FW
流量不通 状态检测 应用识别 攻击检测
LAN
ack
FW
syn
NF
syn
intranet
由原处理 方式升级
intranet
非对称路由问题
• 深信服没有SSL VPN 及PPTP VPN;
• 深信服链路聚合和反向路由方面不好； • 深信服不支持端口复用技术；
• 深信服IPS检测率低；
3 怎么卖？
某高校
典型案例 1 某高校 关键词：
高峰期流量:3.6G 互联 网出口：6路 连续稳 定运行：100天
某省电教馆
典型案例 2
某省电教馆 关键词：
单线路流量：1.8G 同
时开启：NAT，流控
连续稳定运行：40天
某市政府
典型案例 3
某市政府 关键词：
同时开启：NAT，IPS， URL，QOS，反向路由
NF NX5 Series T6000L 10G 4SLOT
高度
1U
1 卖什么？
1.1 需求分析与产品定位
1.2 产品功能与原理
1.3 优势特性/与老产品差别 1.4 典型部署
2 卖给谁？
3 怎么卖？
NAT
VPN
全面的功能支持： IKE IPSec G-G IPSec G-C PSK，证书认证支持 IPSec NAT穿越 SSL VPN WEB代理 SSL VPN L3VPN隧道 L2TP
3.2 竞争分析
3.3 常见话术
竞争基本思路 • 着重于4-7层安全防护进行宣传和拓展，突出应用识别，IPS，AV等功能 • 强调下一代特性和一体化引擎的重要性
• 结合绿盟科技自身的安全攻防历史和经验进行宣传，打击无安全经验的厂
家 绿盟科技的技术优势
• 一、深厚的技术底蕴； • 1、2000年就开始攻防研究； • 2、至少47个自主发掘漏洞被CVE收录；
L过滤
内容过滤
0100011101 0001 1110001001 1101 1010101010 1010 0001 0100011101
识别
控制
数通引擎（NAT/VPN/HA） 绿盟多核并行操作系统
扫描
双引擎系统设计
数通引擎 一体化安全引擎
谁？哪？
什么应用？
姓名/部门
详细应用
10.1.1.3 167.25.4.7 192.168.4.5 …… 172.9.33.26 10.3.25.7 192.16.88.1 ……
……
1110001 001010101 11101010001
应用 识别
张三 财务部
1010101 1011010101 1110001 001010101 ……
文件 传输 邮件 论坛 游戏 P2P 网页
NF
研 发
财 务
销 售
经 理
应用安全
独家提供
应用过滤器 1000+应用 深度包检测 双向流检测 会话关联检测
安全策略 流量管控 实时统计 历史报表
安全能力
拥有专业白帽子团队 提供持续的安全能力
2500+签名库 NSS Lab推荐 Gartner入围
IPS
丰富的认证和授权方式 证书，USB-key证书，RADIUS，本地认证，预共享密钥认证，LDAP，AD，SSL资源授权
用户管理
• 按照用户信息输出应用统计 • 按用户记录网络访问事件
• Local，Radius，LDAP，AD
• AD域自动同步，单点登录
统计 • 根据用户名生成统计报表
认证
• 按用户信息做相应策略放行
路由转发
NF
扩展支持
VRRP
双机HA部署 非对称路由支持
运营商路由 强大的部署能力应对多变和复杂的客户环境
MPLS透传
1 卖什么？
1.1 需求分析与产品定位 1.2 产品功能与原理
1.3 优势特性/与老产品差别
1.4 典型部署
2 卖给谁？
3 怎么卖？
领先的软硬件系统架构
高速
多核并行操作系统
入侵防御
功能叠加又带来了什么
• • • 管理上的分散 配置上的繁琐 审核上的困难
配置灾难 策略1 策略2 策略3
UTM FW IPS AV URL filter 内容审计
• •
性能上的巨大压力 稳定性上的潜在问题
策略4
策略5
安全管理者的愿望
简单！强大！
用户识别 强大 功能全面 性能强劲 组网灵活
简单 应用识别 配置简单