《深信服NGAF下一代运用防火墙产品介绍PPT》由会员分享,可在线阅读,更多相关《深信服NGAF下一代运用防火墙产品介绍PPT(28页珍藏版)》请在金锄头文库上搜索。
1、深信服NGAF下一代应用防火墙 1 下一代防火墙大势所趋 Web攻击事件 新浪微博病毒大范围传播 启示 类似XSS蠕虫05年就攻击过知名社交网站MySpace 这次 事件可以算是samy蠕虫在新浪的翻版 但随着web2 0技术的广泛 应用这种攻击的影响可能会加剧 Web攻击事件 索尼泄密事件 其查询页面被搜索引擎 抓取后 至少有数百个 公积金账户的详细信息 被泄漏到网上 包括公 积金账户姓名 身份证 号 公积金余额 所在 单位等一览无遗 泄密事件 北京市公积金查询网站 启示 web漏洞利用 防泄密不容忽视 泄密事件 2011年末泄密事件 篡改事件 2012年初网页篡改仍然严重 截至2011年6
2、月底 我国域名总数为786万个 中国的网站数 即域名注册者在中国境 内的网站数 包括在境内接入和境外接入 为183万个 第 28 次中国互联网络发展状况统计报告 网络安全信息与动态 2012年1月 难道这些单位不重视安全建设吗 威胁来自应用层 90 投资在网络层 传统防火墙已经失效 现行的解决方案 串糖葫芦 式部署 FW IPS AVWA F 串糖葫芦式 打补丁式 建设 成本高 环境 空间 重复采购 管理难 多设备 多厂商 安全风险无法分析 效率低 重复解析 单点故障 现行的解决方案 UTM 基于端口 协议的ID L2 L3网络 高可用 性 HA 配置管理 报告 基于端口 协议的ID URL签
3、名 L2 L3网络 高可用 性 HA 配置管理 报告 URL策略 基于端口 协议的ID IPS签名 L2 L3网络 高可用 性 HA 配置管理 报告 IPS策略 基于端口 协议的ID 防病毒签名 L2 L3网络 高可用 性 HA 配置管理 报告 防病毒策略 防火墙策略 IPS解码器防病毒解码器 代理 多设备叠加 多功能假集成 貌合神离 L2 L3网络 高可用性 HA 配置管理 报告 简单的叠加 性能是最大的瓶颈 网络层次越高 资产价值越大 L5 L7 应用层 L4 传输层 L3 网络层 L2 链路层 L1 物理层 风险越高 越迫切需要 被保护 访问控制问题 协议异常 网络层DDoS ARP欺骗
4、 广播风暴 传输线路物理损坏 L2 L7层潜在的安全威胁 敏感信息外泄敏感信息外泄 网页篡改 挂马网页篡改 挂马 应用层应用层DDoSDDoS SQLSQL注入 跨站脚本注入 跨站脚本 漏洞利用攻击漏洞利用攻击 扫描探测扫描探测 蠕虫 病毒 木马蠕虫 病毒 木马 P2PP2P带宽滥用带宽滥用 业务内容 Web应用架构 Web服务架构 操作系统 TCP IP协议栈 网络接口 网线 安全建设应该重新考虑 防护应用层安全 威胁为重心 关注服务器外发 内容的安全风险 融合现网环境 与传统安全形成 异构 安全不会成为网 络的瓶颈 2 产品介绍 下一代防火墙应具备的特性 防应用层攻击防应用层攻击 双向内容
5、检测双向内容检测 涵盖传统安全涵盖传统安全 应用层高性能应用层高性能 NGAF是面向应用层设计 能识别用户 应用和内容 具备完整 安全防护能力的高性能下一代防火墙 L2 L7层安全防护方案 NGAF特点 防应用层攻击 服务器敏感信息 NGAFNGAF n 多维度应用层攻击防护 n 识别 防护 的攻击防护 n 深入内容的内容解析 多维度的漏洞攻击防护 核心应用漏洞库 2200 n主机操作系统漏洞 如Windows Linux Unix等 n应用程序漏洞 如Adobe Office SPA IBM Lotus等 n网络操作系统漏洞 如思科IOS Juniper JUNOS SSL协议等 n中间件漏
6、洞 如WebShpere WebLogic等 n数据库漏洞 如SQL Server Oracle等 n浏览器漏洞 IE FrieFox Google Chrome等 n病毒 木马 后门软件等 n 多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护 强化的Web安全防护 应用隐藏 FTP信息隐藏 HTTP信息隐藏 口令防护 弱口令防护 暴力破解防护 权限控制 文件上传过滤 URL防护 OWASP 10大web风险 SQL注入 XSS跨站脚本 网页木马 webshell 服务器外发内容过滤 网页防篡改 静态 动态 敏感信息防泄露 身份证号 信用卡号 财务数据等 NGAF特点 双向内容检测 防止端
7、口 服务扫描 弱口令保护 防暴力破解 关键URL保护 应用信息隐藏 HTTP出错页面隐藏 HTTP S 响应报文头隐藏 FTP信息隐藏 强化的web防护 防SQL注入攻击 防OS命令注入 XSS攻击 CSRF攻击 多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护 DOS攻击 应用层DOS攻击 CC攻击 权限控制 可执行程序上传过滤 上行病毒木马清洗 切断webshell流量 扫描过程扫描过程攻击过程 攻击过程破坏过程破坏过程 用户 黑客 Web应用服务器 窃取内容窃取内容 事前风险分析 网页防篡改 网关型网页防篡改 爬虫技术网页缓存 模糊 精确匹配方式 特征码 文件等多种比对方式 业务审批
8、与安全管理界面分离 短信 邮件报警 敏感信息防泄漏 常见的敏感信息防泄漏 用户信息 邮箱账户信息 MD5加密密码 银行卡号 身份证号码 社保账号 信用卡号 手机号码 内部保密文件 WAF NGAF特点 涵盖传统安全 网络层次越高 资产价值越大 L5 L7 应用层 L4 传输层 L3 网络层 L2 链路层 L1 物理层 防火墙墙 NGAF TCP IP协议栈 网络接口 操作系统 Web服务架构 Web应用架构 应用 风险越高 越迫切需要 被保护 应用层数据 会话标识 HTTP请求 响应 IPS TCP连接 IP报文 以太网报文 二进制比特流 网线 集成式防火墙功能 内置IPSEC VPN模块 市
9、场占有率连续5年全国第一 基于国际标准的IPSec VPN 国家IPSec VPN标准的核心制定者 之一 产品高安全保证 统一集中管理 可视化展现 基于设备面板状态监控 多维度图形化监控 设备集中状态监控 深层次审计分析 高性能数据处理能力 高容量数据存储 多应用数据挖掘和分析 集中管理 多种协议方式管理 受控端 受控端 受控端 受控端 SC中心端 NGAF特点 应用层高性能 单次解析构架 实现报文一次解析和匹配 核核 1 1 核核 2 2 核核 n n 并行 核核 性能性能 1 1 2 2 3 3 n n 策略层 网络层 快递路径 网络硬件I O FWFWIPSIPSAVAV 应用层高性能 万兆处理能力 多核并行处理技术 提升应用层分析速度 全新技术构架 实现应用层万兆处理能力
