深信服NGAF下一代应用防火墙产品介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网页防篡改
? 网关型网页防篡改 ? 爬虫技术网页缓存 ? 模糊、精确匹配方式 ? 特征码、文件等多种比对方式 ? 业务审批与安全管理界面分离 ? 短信、邮件报警
敏感信息防泄漏
? 常见的敏感信息防泄漏 – 用户信息 – 邮箱账户信息 – MD5加密密码 – 银行卡号 – 身份证号码 – 社保账号 – 信用卡号 – 手机号码 – 内部保密文件
? 。。。。。。
强化的Web 安全防护
? 应用隐藏 – FTP信息隐藏 – HTTP信息隐藏
? 口令防护 – 弱口令防护 – 暴力破解防护
? 权限控制 – 文件上传过滤 – URL防护
? OWASP 10大web风险 – SQL注入 – XSS跨站脚本 – 网页木马 – webshell
NGAF 特点——双向内容检测
? 网络操作系统漏洞,如思科IOS、 Juniper JUNOS 、SSL协议等
? 中间件漏洞,如WebShpere 、 WebLogic 等
? 数据库漏洞,如SQL Server 、 Oracle 等
? 浏览器漏洞:IE、FrieFox 、 Google Chrome 等
? 病毒、木马、后门软件等
服务器敏感信息
NGAF
? 多维度应用层攻击防护 ? “识别—防护”的攻击防护 ? 深入内容的内容解析
多维度的漏洞攻击防护
多对象漏洞利用 ? 服务器漏洞攻击防护 ? 终端漏洞攻击防护
核心应用漏洞库:2200+
? 主机操作系统漏洞,如Windows 、 Linux 、Unix 等
? 应用程序漏洞,如Adobe 、Office 、 SPA 、IBM Lotus 等
NGAF 特点——涵盖传统安全
网络层次越高 资产价值越大
L5-L7: 应用层
WAF
L4: 传输层
L3: 网络层
L2: 链路层 L1: 物理层
IPS 防火墙
NGAF
应用
应用层数据
Web应用架构
风险越高 越迫切需要
被保护
会话标识
Web服务架构 操作系统
TCP/IP协议栈 网络接口 网线
HTTP请求/响应
? 防止端口/服务扫描 ? 弱口令保护/防暴力破解 ? 关键URL保护 ?பைடு நூலகம்应用信息隐藏
? HTTP出错页面隐藏 ? HTTP(S)响应报文头隐藏 ? FTP信息隐藏
扫描过程
? 强化的web 防护 ? 防SQL注入攻击 ? 防OS命令注入 ? XSS攻击、CSRF攻击
? 多对象漏洞利用 ? 服务器漏洞攻击防护 ? 终端漏洞攻击防护
现行的解决方案——“串糖葫芦”式部署
FW
IPS
AV
WA
F
“串糖葫芦式”“打补丁式”建设
? 成本高:环境、空间、重复采购 ? 管理难:多设备,多厂商、安全风险无法分析 ? 效率低:重复解析、单点故障
现行的解决方案—— UTM
简单的叠加 性能是最大的瓶颈
URL 策略
IPS 策略
IPS签名
防病毒策略
防病毒签名
防火墙策略
URL签名
IPS解码器
防病毒解码器&代理
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
L2/L3网络、高可用 性(HA)、配置管理、
报告
L2/L3网络、高可用
L2/L3网络、高可用
性(LH2A/L)3、网配络置、管高理可、用性(HA)性、(配HA置)管、理配、置报管告理、
攻击过程
? DOS攻击 ? 应用层DOS攻击 ? CC攻击* ? 权限控制 ? 可执行程序上传过滤 ? 上行病毒木马清洗 ? 切断webshell 流量
破坏过程
用户/黑客
窃取内容
服务器外发内容过滤 ?网页防篡改:静态、动态 ?敏感信息防泄露:身份证号、 信用卡号、财务数据等
Web应用服务器
事前风险分析
深信服NGAF 下一代应用防火墙
1、下一代防火墙大势所趋
Web 攻击事件——新浪微博病毒大范围传播
启示:类似XSS 蠕虫05年就攻击过知名社交网站MySpace ,这次 事件可以算是samy 蠕虫在新浪的翻版,但随着web2.0 技术的广泛 应用这种攻击的影响可能会加剧。
Web 攻击事件——索尼泄密事件
风险越高 越迫切需要
被保护
敏感信息外泄 网页篡改、挂马
应用层DDoS SQL注入、跨站脚本
漏洞利用攻击 扫描探测
蠕虫、病毒、木马 P2P带宽滥用
访问控制问题 协议异常
网络层DDoS
网络接口 网线
ARP欺骗、广播风暴 传输线路物理损坏
安全建设应该重新考虑
安全不会成为网 络的瓶颈
融合现网环境, 与传统安全形成 异构
泄密事件——北京市公积金查询网站
其查询页面被搜索引擎 抓取后,至少有数百个 公积金账户的详细信息 被泄漏到网上,包括公 积金账户姓名、身份证 号、公积金余额、所在 单位等一览无遗。
? 启示:web 漏洞利用、防泄密不容忽视
泄密事件—— 2011 年末泄密事件
篡改事件—— 2012 年初网页篡改仍然严重
第 28 次中国互联网络发展状况统计报告
截至2011年6月底, 我国域名总数为 786万个。中国的网站数,即域名注册者在中国境 内的网站数(包括在境内接入和境外接入)为 183万个。
网络安全信息与动态 2012年1月
难道这些单位不重视安全建设吗?
威胁来自应用层! 90% 投资在网络层! 传统防火墙已经失效!
报告
报告
L2/L3网络、高可用 性(HA)、配置管理、
报告
多设备叠加 =多功能假集成 =貌合神离
L2-L7 层潜在的安全威胁
网络层次越高 资产价值越大 L5-L7: 应用层
L4: 传输层 L3: 网络层 L2: 链路层 L1: 物理层
业务内容 Web应用架构
Web服务架构 操作系统
TCP/IP协议栈
防护应用层安全 威胁为重心
关注服务器外发 内容的安全风险
2、产品介绍
下一代防火墙应具备的特性
NGAF 是面向应用层设计,能识别用户、应用和内容,具备完整 安全防护能力的高性能下一代防火墙。
? 防应用层攻击 ? 双向内容检测 ? 涵盖传统安全 ? 应用层高性能
L2-L7 层安全防护方案
NGAF 特点——防应用层攻击
TCP连接 IP报文 以太网报文 二进制比特流
集成式防火墙功能
内置IPSEC VPN 模块
? 市场占有率连续5年全国第一 ? 基于国际标准的IPSec VPN ? 国家IPSec VPN标准的核心制定者
之一,产品高安全保证
统一集中管理
、
受控端