深信服NGAF下一代应用防火墙产品介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深信服NGAF下一代应 用防火墙产品介绍
2020/11/26
深信服NGAF下一代应用防火墙产品 介绍
1、下一代防火墙大势所趋
深信服NGAF下一代应用防火墙产品 介绍
Web攻击事件——新浪微博病毒 大范围传播
启示:类似XSS蠕虫05年就攻击过知名社交网站MySpace,这次
事件可以算是samy蠕虫在新浪的翻版,但随着web2.0技术的广泛
网络层次越高 资产价值越大 L5-L7: 应用层
L4: 传输层 L3: 网络层 L2: 链路层 L1: 物理层
业务内容 Web应用架构
Web服务架构 操作系统
TCP/IP协议栈百度文库
风险越高 越迫切需要
被保护
敏感信息外泄 网页篡改、挂马
应用层DDoS SQL注入、跨站脚本
漏洞利用攻击 扫描探测
蠕虫、病毒、木马 P2P带宽滥用
破坏过程
用户/黑客
窃取内容
Web应用服务器
服务器外发内容过滤
•网页防篡改:静态、动态
•敏感信息防泄露:身份证号、 信用卡号、财务数据等
深信服NGAF下一代应用防火墙产品 介绍
事前风险分析
深信服NGAF下一代应用防火墙产品 介绍
网页防篡改
• 网关型网页防篡改 • 爬虫技术网页缓存 • 模糊、精确匹配方
扫描过程
• 强化的web防护 • 防SQL注入攻击 • 防OS命令注入 • XSS攻击、CSRF攻击
• 多对象漏洞利用 • 服务器漏洞攻击防护 • 终端漏洞攻击防护
攻击过程
• DOS攻击 • 应用层DOS攻击 • CC攻击* • 权限控制 • 可执行程序上传过滤 • 上行病毒木马清洗 • 切断webshell流量
深信服NGAF下一代应用防火墙产品 介绍
NGAF特点——应用层高性能
FW IPS AV
策略层
网络层/快递路径 网络硬件I/O
核1
核2
+
核n
性能
并行
12 3n
万兆处理能力
=
应用层高性能
核
单次解析构架 实现报文一次解析和匹配
多核并行处理技术
全新技术构架
提升应用层分析速度 实现应用层万兆处理能力
深信服NGAF下一代应用防火墙产品 介绍
式 • 特征码、文件等多
种比对方式 • 业务审批与安全管
理界面分离 • 短信、邮件报警
深信服NGAF下一代应用防火墙产品 介绍
敏感信息防泄漏
• 常见的敏感信息防泄漏
– 用户信息 – 邮箱账户信息 – MD5加密密码 – 银行卡号 – 身份证号码 – 社保账号 – 信用卡号 – 手机号码 – 内部保密文件
深信服NGAF下一代应用防火墙产品 介绍
NGAF特点——涵盖传统安全
网络层次越高 资产价值越大
L5-L7: 应用层
WAF
L4: 传输层
L3: 网络层
L2: 链路层 L1: 物理层
IPS 防火墙
NGAF
应用
应用层数据
Web应用架构
风险越高 越迫切需要
被保护
会话标识
Web服务架构 操作系统
TCP/IP协议栈 网络接口 网线
访问控制问题 协议异常
网络层DDoS
网络接口 网线
ARP欺骗、广播风暴 传输线路物理损坏
深信服NGAF下一代应用防火墙产品 介绍
安全建设应该重新考虑
防护应用层安全 威胁为重心
安全不会成为网 络的瓶颈
融合现网环境, 与传统安全形成 异构
关注服务器外发 内容的安全风险
深信服NGAF下一代应用防火墙产品 介绍
2、产品介绍
深信服NGAF下一代应用防火墙产品 介绍
下一代防火墙应具备的特性
NGAF是面向应用层设计,能识别用户、应用和内容,具备完整 安全防护能力的高性能下一代防火墙。 • 防应用层攻击 • 双向内容检测 • 涵盖传统安全 • 应用层高性能
深信服NGAF下一代应用防火墙产品 介绍
L2-L7层安全防护方案
一,产品高安全保证
深信服NGAF下一代应用防火墙产品 介绍
统一集中管理
、
受控端
SC中心端
受控端
• 深层次审计分析
– 高性能数据处理能力 – 高容量数据存储 – 多应用数据挖掘和分析
• 集中管理
– 多种协议方式管理
受控端
•
受控端
可视化展现
– 基于设备面板状态监控 – 多维度图形化监控 – 设备集中状态监控
应用这种攻击的影响可能会加剧。
深信服NGAF下一代应用防火墙产品 介绍
Web攻击事件——索尼泄密事件
深信服NGAF下一代应用防火墙产品 介绍
泄密事件——北京市公积金查询 网站
其查询页面被搜索引擎 抓取后,至少有数百个 公积金账户的详细信息 被泄漏到网上,包括公 积金账户姓名、身份证 号、公积金余额、所在 单位等一览无遗。
深信服NGAF下一代应用防火墙产品 介绍
现行的解决方案——UTM
简单的叠加 性能是最大的瓶颈
URL策略
IPS策略
IPS签名
防病毒策略
防病毒签名
防火墙策略
URL签名
IPS解码器
防病毒解码器&代理
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
L2/L3网络、高可用 性(HA)、配置管理、
网络安全信息与动态 2012年1月
深信服NGAF下一代应用防火墙产品 介绍
难道这些单位不重视安全建设吗?
威胁来自应用层! 90%投资在网络层! 传统防火墙已经失效!
深信服NGAF下一代应用防火墙产品 介绍
现行的解决方案——“串糖葫芦” 式部署
FW
IPS
AV
WAF
“串糖葫芦式”“打补丁式”建设
➢ 成本高:环境、空间、重复采购 ➢ 管理难:多设备,多厂商、安全风险无法分析 ➢ 效率低:重复解析、单点故障
• 启示:web漏洞利用、防泄深密信服N不GAF下容一代忽应用防视火墙产品
介绍
泄密事件——2011年末泄密事件
深信服NGAF下一代应用防火墙产品 介绍
篡改事件——2012年初网页篡改 仍然严重
第 28 次中国互联网络发展状况统计报告
截至2011年6月底,我国域名总数为786万个。中国的网站数,即域名注册者在中国境 内的网站数(包括在境内接入和境外接入)为183万个。
报告
L2/L3网络、高可用
L2/L3网络、高可用
性(LH2A/L)3、网配络置、管高理可用、性(HA)性、(配HA置)管、理配、置报管告理、
报告
报告
L2/L3网络、高可用 性(HA)、配置管理、
报告
多设备叠加=多功能假集成深信=服N貌GAF下合一代神应用离防火墙产品 介绍
L2-L7层潜在的安全威胁
– SQL注入
– XSS跨站脚本
– 网页木马 – webshell
深信服NGAF下一代应用防火墙产品 介绍
NGAF特点——双向内容检测
• 防止端口/服务扫描 • 弱口令保护/防暴力破解 • 关键URL保护 • 应用信息隐藏
• HTTP出错页面隐藏 • HTTP(S)响应报文头隐藏 • FTP信息隐藏
深信服NGAF下一代应用防火墙产品 介绍
NGAF特点——防应用层攻击
服务器敏感信息
NGAF
多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
深信服NGAF下一代应用防火墙产品 介绍
多维度的漏洞攻击防护
核心应用漏洞库:2200+
主机操作系统漏洞,如Windows、 Linux、Unix等
3rew
演讲完毕,谢谢听讲!
再见,see you again
2020/11/26
深信服NGAF下一代应用防火墙产品 介绍
应用程序漏洞,如Adobe、Office、 SPA、IBM Lotus等
网络操作系统漏洞,如思科IOS、 Juniper JUNOS、SSL协议等
中间件漏洞,如WebShpere、 WebLogic等
数据库漏洞,如SQL Server、 Oracle等
多对象漏洞利用 ➢ 服务器漏洞攻击防护 ➢ 终端漏洞攻击防护
浏览器漏洞:IE、FrieFox、 Google Chrome等
病毒、木马、后门软件等
。。。。。。
深信服NGAF下一代应用防火墙产品 介绍
强化的Web安全防护
• 应用隐藏
– FTP信息隐藏
– HTTP信息隐藏 • 口令防护
– 弱口令防护
– 暴力破解防护 • 权限控制
– 文件上传过滤
– URL防护 • OWASP 10大web风险
HTTP请求/响应
TCP连接 IP报文 以太网报文 二进制比特流
深信服NGAF下一代应用防火墙产品 介绍
集成式防火墙功能
深信服NGAF下一代应用防火墙产品 介绍
内置IPSEC VPN模块
• 市场占有率连续5年全国第一 • 基于国际标准的IPSec VPN • 国家IPSec VPN标准的核心制定者之
2020/11/26
深信服NGAF下一代应用防火墙产品 介绍
1、下一代防火墙大势所趋
深信服NGAF下一代应用防火墙产品 介绍
Web攻击事件——新浪微博病毒 大范围传播
启示:类似XSS蠕虫05年就攻击过知名社交网站MySpace,这次
事件可以算是samy蠕虫在新浪的翻版,但随着web2.0技术的广泛
网络层次越高 资产价值越大 L5-L7: 应用层
L4: 传输层 L3: 网络层 L2: 链路层 L1: 物理层
业务内容 Web应用架构
Web服务架构 操作系统
TCP/IP协议栈百度文库
风险越高 越迫切需要
被保护
敏感信息外泄 网页篡改、挂马
应用层DDoS SQL注入、跨站脚本
漏洞利用攻击 扫描探测
蠕虫、病毒、木马 P2P带宽滥用
破坏过程
用户/黑客
窃取内容
Web应用服务器
服务器外发内容过滤
•网页防篡改:静态、动态
•敏感信息防泄露:身份证号、 信用卡号、财务数据等
深信服NGAF下一代应用防火墙产品 介绍
事前风险分析
深信服NGAF下一代应用防火墙产品 介绍
网页防篡改
• 网关型网页防篡改 • 爬虫技术网页缓存 • 模糊、精确匹配方
扫描过程
• 强化的web防护 • 防SQL注入攻击 • 防OS命令注入 • XSS攻击、CSRF攻击
• 多对象漏洞利用 • 服务器漏洞攻击防护 • 终端漏洞攻击防护
攻击过程
• DOS攻击 • 应用层DOS攻击 • CC攻击* • 权限控制 • 可执行程序上传过滤 • 上行病毒木马清洗 • 切断webshell流量
深信服NGAF下一代应用防火墙产品 介绍
NGAF特点——应用层高性能
FW IPS AV
策略层
网络层/快递路径 网络硬件I/O
核1
核2
+
核n
性能
并行
12 3n
万兆处理能力
=
应用层高性能
核
单次解析构架 实现报文一次解析和匹配
多核并行处理技术
全新技术构架
提升应用层分析速度 实现应用层万兆处理能力
深信服NGAF下一代应用防火墙产品 介绍
式 • 特征码、文件等多
种比对方式 • 业务审批与安全管
理界面分离 • 短信、邮件报警
深信服NGAF下一代应用防火墙产品 介绍
敏感信息防泄漏
• 常见的敏感信息防泄漏
– 用户信息 – 邮箱账户信息 – MD5加密密码 – 银行卡号 – 身份证号码 – 社保账号 – 信用卡号 – 手机号码 – 内部保密文件
深信服NGAF下一代应用防火墙产品 介绍
NGAF特点——涵盖传统安全
网络层次越高 资产价值越大
L5-L7: 应用层
WAF
L4: 传输层
L3: 网络层
L2: 链路层 L1: 物理层
IPS 防火墙
NGAF
应用
应用层数据
Web应用架构
风险越高 越迫切需要
被保护
会话标识
Web服务架构 操作系统
TCP/IP协议栈 网络接口 网线
访问控制问题 协议异常
网络层DDoS
网络接口 网线
ARP欺骗、广播风暴 传输线路物理损坏
深信服NGAF下一代应用防火墙产品 介绍
安全建设应该重新考虑
防护应用层安全 威胁为重心
安全不会成为网 络的瓶颈
融合现网环境, 与传统安全形成 异构
关注服务器外发 内容的安全风险
深信服NGAF下一代应用防火墙产品 介绍
2、产品介绍
深信服NGAF下一代应用防火墙产品 介绍
下一代防火墙应具备的特性
NGAF是面向应用层设计,能识别用户、应用和内容,具备完整 安全防护能力的高性能下一代防火墙。 • 防应用层攻击 • 双向内容检测 • 涵盖传统安全 • 应用层高性能
深信服NGAF下一代应用防火墙产品 介绍
L2-L7层安全防护方案
一,产品高安全保证
深信服NGAF下一代应用防火墙产品 介绍
统一集中管理
、
受控端
SC中心端
受控端
• 深层次审计分析
– 高性能数据处理能力 – 高容量数据存储 – 多应用数据挖掘和分析
• 集中管理
– 多种协议方式管理
受控端
•
受控端
可视化展现
– 基于设备面板状态监控 – 多维度图形化监控 – 设备集中状态监控
应用这种攻击的影响可能会加剧。
深信服NGAF下一代应用防火墙产品 介绍
Web攻击事件——索尼泄密事件
深信服NGAF下一代应用防火墙产品 介绍
泄密事件——北京市公积金查询 网站
其查询页面被搜索引擎 抓取后,至少有数百个 公积金账户的详细信息 被泄漏到网上,包括公 积金账户姓名、身份证 号、公积金余额、所在 单位等一览无遗。
深信服NGAF下一代应用防火墙产品 介绍
现行的解决方案——UTM
简单的叠加 性能是最大的瓶颈
URL策略
IPS策略
IPS签名
防病毒策略
防病毒签名
防火墙策略
URL签名
IPS解码器
防病毒解码器&代理
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
L2/L3网络、高可用 性(HA)、配置管理、
网络安全信息与动态 2012年1月
深信服NGAF下一代应用防火墙产品 介绍
难道这些单位不重视安全建设吗?
威胁来自应用层! 90%投资在网络层! 传统防火墙已经失效!
深信服NGAF下一代应用防火墙产品 介绍
现行的解决方案——“串糖葫芦” 式部署
FW
IPS
AV
WAF
“串糖葫芦式”“打补丁式”建设
➢ 成本高:环境、空间、重复采购 ➢ 管理难:多设备,多厂商、安全风险无法分析 ➢ 效率低:重复解析、单点故障
• 启示:web漏洞利用、防泄深密信服N不GAF下容一代忽应用防视火墙产品
介绍
泄密事件——2011年末泄密事件
深信服NGAF下一代应用防火墙产品 介绍
篡改事件——2012年初网页篡改 仍然严重
第 28 次中国互联网络发展状况统计报告
截至2011年6月底,我国域名总数为786万个。中国的网站数,即域名注册者在中国境 内的网站数(包括在境内接入和境外接入)为183万个。
报告
L2/L3网络、高可用
L2/L3网络、高可用
性(LH2A/L)3、网配络置、管高理可用、性(HA)性、(配HA置)管、理配、置报管告理、
报告
报告
L2/L3网络、高可用 性(HA)、配置管理、
报告
多设备叠加=多功能假集成深信=服N貌GAF下合一代神应用离防火墙产品 介绍
L2-L7层潜在的安全威胁
– SQL注入
– XSS跨站脚本
– 网页木马 – webshell
深信服NGAF下一代应用防火墙产品 介绍
NGAF特点——双向内容检测
• 防止端口/服务扫描 • 弱口令保护/防暴力破解 • 关键URL保护 • 应用信息隐藏
• HTTP出错页面隐藏 • HTTP(S)响应报文头隐藏 • FTP信息隐藏
深信服NGAF下一代应用防火墙产品 介绍
NGAF特点——防应用层攻击
服务器敏感信息
NGAF
多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
深信服NGAF下一代应用防火墙产品 介绍
多维度的漏洞攻击防护
核心应用漏洞库:2200+
主机操作系统漏洞,如Windows、 Linux、Unix等
3rew
演讲完毕,谢谢听讲!
再见,see you again
2020/11/26
深信服NGAF下一代应用防火墙产品 介绍
应用程序漏洞,如Adobe、Office、 SPA、IBM Lotus等
网络操作系统漏洞,如思科IOS、 Juniper JUNOS、SSL协议等
中间件漏洞,如WebShpere、 WebLogic等
数据库漏洞,如SQL Server、 Oracle等
多对象漏洞利用 ➢ 服务器漏洞攻击防护 ➢ 终端漏洞攻击防护
浏览器漏洞:IE、FrieFox、 Google Chrome等
病毒、木马、后门软件等
。。。。。。
深信服NGAF下一代应用防火墙产品 介绍
强化的Web安全防护
• 应用隐藏
– FTP信息隐藏
– HTTP信息隐藏 • 口令防护
– 弱口令防护
– 暴力破解防护 • 权限控制
– 文件上传过滤
– URL防护 • OWASP 10大web风险
HTTP请求/响应
TCP连接 IP报文 以太网报文 二进制比特流
深信服NGAF下一代应用防火墙产品 介绍
集成式防火墙功能
深信服NGAF下一代应用防火墙产品 介绍
内置IPSEC VPN模块
• 市场占有率连续5年全国第一 • 基于国际标准的IPSec VPN • 国家IPSec VPN标准的核心制定者之