深信服NGAF下一代应用防火墙产品介绍-PPT精品.ppt

事前风险分析 网页防篡改 网关型网页防篡改 爬虫技术网页缓存 模糊、精确匹配方式 特征码、文件等多种比对方式 业务审批与安全管理界面分离 短信、邮件报警 敏感信息防泄漏 常见的敏感信息防泄漏 用户信息 邮箱账户信息 MD5加密密码 银行卡号 身份证号码 社保账号 信用卡号 手机号码 内部保密文件 WAF NGAF特点——涵盖传统安全 网络层次越高资产价值越大 L5-L7: 应用层 L4: 传输层 L3: 网络层 L2: 链路层 L1: 物理层 防火墙 NGAF TCP/IP协议栈 网络接口 操作系统 Web服务架构 Web应用架构 应用 风险越高越迫切需要被保护 应用层数据 会话标识 HTTP请求/响应 IPS TCP连接 IP报文 以太网报文 二进制比特流 网线 集成式防火墙功能 内置IPSEC VPN模块 市场占有率连续5年全国第一 基于国际标准的IPSec VPN 国家IPSec VPN标准的核心制定者之一，产品高安全保证 统一集中管理 可视化展现 基于设备面板状态监控 多维度图形化监控 设备集中状态监控 深层次审计分析 高性能数据处理能力 高容量数据存储 多应用数据挖掘和分析 集中管理 多种协议方式管理 、 受控端 受控端 受控端 受控端 SC中心端 NGAF特点——应用层高性能 单次解析构架 实现报文一次解析和匹配 核 1 核 2 核 n 并行 核 性能 1 2 3 n 策略层 网络层/快递路径 网络硬件I/O FW IPS AV + = 应用层高性能 万兆处理能力 多核并行处理技术 提升应用层分析速度 全新技术构架 实现应用层万兆处理能力 * 单位信息安全问题不仅可能造成恶劣的政治影响、也会造成巨大的经济损失。【】索尼今年就因为泄露了客户信息造成了10几亿美元的损失。 * * 21日CSDN600数据库被黑，600余万用户资料泄漏 22日人人网500万用户资料遭泄密 25日天涯400万用户资料泄密 27日乌云漏洞平台称京东存在可用户权限控制不当漏洞，会导致用户资料完全泄露 * 2-7层，攻击的图 * * * * 如：提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。 如：某个应用占用带宽持续增高，提示管理员是否对该应用进行流量控制或者禁止。通过这种方式来发现潜在和未知的威胁。） * * * 深信服NGAF下一代应用防火墙 1、下一代防火墙大势所趋 Web攻击事件——新浪微博病毒大范围传播 启示：类似XSS蠕虫05年就攻击过知名社交网站MySpace，这次事件可以算是samy蠕虫在新浪的翻版，但随着web2.0技术的广泛应用这种攻击的影响可能会加剧。 Web攻击事件——索尼泄密事件 其查询页面被搜索引擎抓取后，至少有数百个公积金账户的详细信息被泄漏到网上，包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。 泄密事件——北京市公积金查询网站 启示：web漏洞利用、防泄密不容忽视 泄密事件——2011年末泄密事件 篡改事件——2012年初网页篡改仍然严重 截至2011年6月底，我国域名总数为786万个。中国的网站数，即域名注册者在中国境内的网站数（包括在境内接入和境外接入）为183万个。 第 28 次中国互联网络发展状况统计报告 网络安全信息与动态 2012年1月 难道这些单位不重视安全建设吗？ 威胁来自应用层！ 90%投资在网络层！ 传统防火墙已经失效！ 现行的解决方案——“串糖葫芦”式部署 FW IPS AV WAF “串糖葫芦式”“打补丁式”建设 成本高：环境、空间、重复采购 管理难：多设备，多厂商、安全风险无法分析 效率低：重复解析、单点故障 现行的解决方案——UTM 基于端口/协议的ID L2/L3网络、高可用性（HA）、配置管理、报告 基于端口/协议的ID URL签名 L2/L3网络、高可用性（HA）、配置管理、报告 URL策略 基于端口/协议的ID IPS签名 L2/L3网络、高可用性（HA）、配置管理、报告 IPS策略 基于端口/协议的ID 防病毒签名 L2/L3网络、高可用性（HA）、配置管理、报告 防病毒策略 防火墙策略 IPS解码器 防病毒解码器代理 多设备叠加=多功能假集成=貌合神离 L2/L3网络、高可用性（HA）、配置管理、报告 网络层次越高资产价值越大 L5-L7: 应用层 L4: 传输层 L3: 网络层 L2: 链路层 L1: 物理层 风险越高越迫切需要被保护 访问控制问题 协议异常 网络层DDoS ARP欺骗、广播风暴 传输线路物理损坏 L2-L7层潜在的安全威胁 敏感信息外泄 网页篡改、挂马 应用层DDoS SQL注入、跨站脚本 漏洞利用攻击 扫描探测 蠕虫、病毒、木马 P2P带宽滥用 业务内容 Web应用架构 Web服务架构 操作系统