深信服NGAF下一代的应用防火墙产品介绍.pdf

深信服NGAF下一代应用防火墙 1、下一代防火墙大势所趋 Web攻击事件——新浪微博病毒大范围传播 启示：类似XSS蠕虫05年就攻击过知名社交网站MySpace，这次 事件可以算是samy蠕虫在新浪的翻版，但随着web2.0技术的广泛 应用这种攻击的影响可能会加剧 。 Web攻击事件——索尼泄密事件 泄密事件——北京市公积金查询网站 其查询页面被搜索引擎 抓取后，至少有数百个 公积金账户的详细信息 被泄漏到网上，包括公 积金账户姓名、身份证 号、公积金余额、所在 单位等一览无遗。 • 启示：web漏洞利用、防泄密不容忽视 泄密事件——2011年末泄密事件 篡改事件——2012年初网页篡改仍然严重 第28 次中国互联网络发展状况统计报告 截至2011年6月底，我国域名总数为786万个。中国的网站数，即域名注册者在中国境 内的网站数（包括在境内接入和境外接入）为183万个。 网络安全信息与动态2012年1月 难道这些单位不重视安全建设吗？ 威胁来自应用层！ 90%投资在网络层！ 传统防火墙已经失效！ 现行的解决方案——“串糖葫芦”式部署 FW IPS AV WAF “串糖葫芦式”“打补丁式”建设  成本高：环境、空间、重复采购  管理难：多设备，多厂商、安全风险无法分析  效率低：重复解析、单点故障 现行的解决方案——UTM IPS策略 防病毒策略 URL策略 IPS签名 防病毒签名 防火墙策略 URL签名 IPS解码器 防病毒解码器&代理 基于端口/协议的ID 基于端口/协议的ID 基于端口/协议的ID 基于端口/协议的ID L2/L3网络、高可用 L2/L3网络、高可用 L2/L3网络、高可用 L2/L3网络、高可用 性（HA）、配置管理、 性（HA）、配置管理、 性（HA）、配置管理、 性（HA）、配置管理、 L2/L3网络、高可用性（HA）、配置管理、报告 报告 报告 报告 报告 多设备叠加=多功能假集成=貌合神离 L2-L7层潜在的安全威胁 敏感信息外泄 业务内容 网络层次越高 网页篡改、挂马 资产