深信服ngaf下一代运用防火墙产品介绍-教材.pptVIP

深信服NGAF下一代应用防火墙 1、下一代防火墙大势所趋 Web攻击事件——新浪微博病毒大范围传播 启示：类似XSS蠕虫05年就攻击过知名社交网站MySpace，这次事件可以算是samy蠕虫在新浪的翻版，但随着web2.0技术的广泛应用这种攻击的影响可能会加剧。 Web攻击事件——索尼泄密事件 其查询页面被搜索引擎抓取后，至少有数百个公积金账户的详细信息被泄漏到网上，包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。 泄密事件——北京市公积金查询网站 启示：web漏洞利用、防泄密不容忽视 泄密事件——2011年末泄密事件 篡改事件——2012年初网页篡改仍然严重 截至2011年6月底，我国域名总数为786万个。中国的网站数，即域名注册者在中国境内的网站数（包括在境内接入和境外接入）为183万个。 第 28 次中国互联网络发展状况统计报告 网络安全信息与动态 2012年1月 难道这些单位不重视安全建设吗？ 威胁来自应用层！ 90%投资在网络层！ 传统防火墙已经失效！ 现行的解决方案——“串糖葫芦”式部署 “串糖葫芦式”“打补丁式”建设 成本高：环境、空间、重复采购 管理难：多设备，多厂商、安全风险无法分析 效率低：重复解析、单点故障 现行的解决方案——UTM 基于端口/协议的ID L2/L3网络、高可用性（HA）、配置管理、报告 基于端口/协议的ID URL签名 L2/L3网络、高可用性（HA）、配置管理、报告 URL策略 基于端口/协议的ID IPS签名 L2/L3网络、高可用性（HA）、配置管理、报告 IPS策略 基于端口/协议的ID 防病毒签名 L2/L3网络、高可用性（HA）、配置管理、报告 防病毒策略 防火墙策略 IPS解码器 防病毒解码器代理 多设备叠加=多功能假集成=貌合神离 简单的叠加 性能是最大的瓶颈 网络层次越高资产价值越大 L5-L7: 应用层 L4: 传输层 L3: 网络层 L2: 链路层 L1: 物理层 风险越高越迫切需要被保护 访问控制问题 协议异常 网络层DDoS ARP欺骗、广播风暴 传输线路物理损坏 L2-L7层潜在的安全威胁 敏感信息外泄 网页篡改、挂马 应用层DDoS SQL注入、跨站脚本 漏洞利用攻击 扫描探测 蠕虫、病毒、木马 P2P带宽滥用 业务内容 Web应用架构 Web服务架构 操作系统 TCP/IP协议栈 网络接口 网线 安全建设应该重新考虑 重新考虑安全建设 防应用层攻击 双向内容检测 涵盖传统安全 应用层高性能 防护应用层安全威胁为重心 关注服务器外发内容的安全风险 融合现网环境，与传统安全形成异构 安全不会成为网络的瓶颈 2、产品介绍 下一代防火墙应具备的特性 防应用层攻击 双向内容检测 涵盖传统安全 应用层高性能 NGAF是面向应用层设计，能识别用户、应用和内容，具备完整安全防护能力的高性能下一代防火墙。 L2-L7层安全防护方案 NGAF特点——防应用层攻击 多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析 多维度的漏洞攻击防护 核心应用漏洞库：2200+ 主机操作系统漏洞，如Windows、Linux、Unix等 应用程序漏洞，如Adobe、Office、SPA、IBM Lotus等 网络操作系统漏洞，如思科IOS、Juniper JUNOS、SSL协议等 中间件漏洞，如WebShpere、WebLogic等 数据库漏洞，如SQL Server、Oracle等 浏览器漏洞：IE、FrieFox、Google Chrome等 病毒、木马、后门软件等 。。。。。。 多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护 强化的Web安全防护 应用隐藏 FTP信息隐藏 HTTP信息隐藏 口令防护 弱口令防护 暴力破解防护 权限控制 文件上传过滤 URL防护 OWASP 10大web风险 SQL注入 XSS跨站脚本 网页木马 webshell NGAF特点——双向内容检测 防止端口/服务扫描 弱口令保护/防暴力破解 关键URL保护 应用信息隐藏 HTTP出错页面隐藏 HTTP(S)响应报文头隐藏 FTP信息隐藏 强化的web防护 防SQL注入攻击 防OS命令注入 XSS攻击、CSRF攻击 多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护 DOS攻击 应用层DOS攻击 CC攻击* 权限控制 可执行程序上传过滤 上行病毒木马清洗 切断webshell流量 事前风险分析 网页防篡改 网关型网页防篡改 爬虫技术网页缓存 模糊、精确匹配方式 特征码、文件等多种比对方式 业务审批与安全管理界面分离 短信、邮件报警 敏感信息防泄漏 常见的敏感信息防泄漏 用户信息 邮箱账户信息 MD5加密密码 银行卡号 身份证号码 社保账号 信用卡号 手机号码 内