深信服下一代防火墙介绍
深信服下一代防火墙APT攻击防范首选利器
下一代防火墙- APT攻击防护首选利器一认识APT攻击互联网攻击与防御技术一直以来都是此消彼长,交替前行,根据CNCERT/CC 2012中国互联网网络安全报告分析,一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁,这就是大家热谈的APT攻击。
APT 全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。
这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
二APT攻击特征(1)、攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩;(2)、攻击者也经常采用邮件方式攻击受害者,这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招;(3)、网站往往是一个企业或组织的对外门户,很多企业或组织对网站缺乏良好的安全防护,对攻击者而言,网站如同攻击过程中的桥头堡,是攻击者渗透进内网的重要捷径;(4)、一旦企业或组织的内网终端或者门户网站感染恶意程序,成为僵尸网络主机,将频繁进行内网隐私数据信息嗅探;(5)、通过已感染主机做反弹跳板,黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听,从而获取攻击目标登陆权限;(6)、目前绝大多数安全防护设备【传统网络层防火墙、IPS等等】只能做到从外到内的单向危险流量检测和防护,从内到外主动发起的数据传输缺乏有效的检测和防范机制,给APT攻击者开通了一条灰色的数据运输通道。
攻击者通过控制攻击目标,源源不断地从受害企业和组织获取数据信息。
从上述APT攻击特征进行分析,不难发现APT攻击已经不再是传统认识观念中的单一网络攻击行为,针对APT攻击,采取多款安全产品串行堆叠的传统做法已经无法有效应对,市场迫切需要新一种新的防御方案。
NGAF下一代应用防火墙系列产品
数量 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1
比例
价格(元) 39800.00
-
10% 5% 20% 10% 10%
3980.00 1990.00 7960.00 3980.00 3980.00 79800.00
IPS漏洞防护+服务器防护功能模块更新费用 购买模块起一年后每年升级费
-
10% 5% 20% 1Байду номын сангаас% 10%
7980.00 3990.00 15960.00 7980.00 7980.00 119800.00
14980.00 7490.00 29960.00 14980.00 14980.00 189000.00
IPS漏洞防护+服务器防护功能模块更新费用 购买模块起一年后每年升级费
-
10% 5% 20% 10% 10%
18900.00 9450.00 37800.00 18900.00 18900.00 239800.00
每增加一条Internet线路(设备自带一条Internet线路授权) 每增加一个IPSEC VPN用户 每增加一个含DKEY的IPSEC VPN用户 每接入一个第三方IPSEC VPN网关
1 1 1 1
9360.00 422.00 702.00 1872.00
1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 10% 5% 20% 10% 10% 108980.00 54490.00 217960.00 108980.00 108980.00 10% 5% 20% 10% 10% 74980.00 37490.00 149960.00 74980.00 74980.00 1089800.00 10% 5% 20% 10% 10% 56980.00 28490.00 113960.00 56980.00 56980.00 749800.00 10% 5% 20% 10% 10% 46980.00 23490.00 93960.00 46980.00 46980.00 569800.00 10% 5% 20% 10% 10% 36980.00 18490.00 73960.00 36980.00 36980.00 469800.00
SANGFOR下一代防火墙
0
技术支持说明
为了让您在安装,调试、配置、维护和学习 SANGFOR 设备时,能及时、快速、有效 的获得技帮助你快速的完成部署、安装 SANGFOR 设备。如果快 速安装手册不能满足您的需要, 您可以到 SANGFOR 技术论坛或官网获得电子版的完整版 用户手册或者其他技术资料,以便你获得更详尽的信息。
4.
致电 SANGFOR 客服中心,确认最适合您的服务方式和服务提供方,客服中心会在您的 技术问题得到解决后,帮助您获得有效的服务信息和服务途径,以便您在后续的产品使 用和维护中最有效的享受技术支持服务,及时、有效的解决产品使用中的问题。
SANGFOR 技术论坛:/forum
公司网址:
技术支持服务热线:800830643(固话)、 4008306430(手机、固话均可拨打)
邮箱:support@
1
目录
技术支持说明................................................................................................................................... 1 声明 .................................................................................................................................................. 3 前言 ..............................................................................................
深信服NGA下F一代应用防火墙产品介绍-PPT
客户三:政府机构网络安全防护
总结词
政府机构需要严格遵守相关法律法规,保护国家安全和公民隐私,深信服下一代应用防火墙提供了可靠的安全解 决方案。
详细描述
深信服下一代应用防火墙符合国家相关法律法规的要求,为政府机构提供了全面的安全防护,包括对网络攻击的 检测和防御、对敏感信息的加密和保护等。该产品还具有高度的可定制性和可扩展性,能够满足政府机构不断变 化的安全需求。
日志与报表分析
提供详细的日志和报表分析功能,帮助管理员了解设备运行状态和 安全状况。
安全性强
多层次防御
采用多层次防御机制,有效防范各类网络威胁和攻击。
深度内容检测
具备深度内容检测功能,能够检测并阻止各类恶意文件和攻击行 为。
全面支持加密技术
全面支持各种加密技术,确保数据传输安全可靠。
04 适用场景
业和高流量场景的需求。
低延迟
该产品具备低延迟特性,确保网络 传输速度快,不卡顿,为用户提供 流畅的网络体验。
多核并行处理
采用多核并行处理技术,实现高效 的数据处理能力,确保防火墙运行 稳定。
易于管理和维护
直观的GUI界面
提供直观的图形用户界面,方便管理员进行配置、监控和管理。
自动更新与漏洞修复
支持自动更新和漏洞修复功能,降低维护成本和时间。
产品目标
1
提供全面的应用层安全防护,有效抵御各类网络 威胁。
2
简化网络安全架构,降低企业安全运维成本。
3
提升企业业务连续性和数据安全性。
产品特点
深度检测与防护
采用深度包检测技术,对应用层流量进行全面检测与防护,有效防御 各类网络威胁。
智能识别与控制
支持多维度的流量识别与控制,包括IP地址、域名、URL、文件类型 等,实现精细化的安全策略管理。
深信服下一代防火墙入门
系统规则库更新
(1)手动升级
选择需要更 新的库文件
点击手动更新,导入 最新的库文件即可
系统规则库更新
(2)自动升级
点击该按钮立 即进行更新
选择需要访问的 升级服务器
如果是代理上 网环境,设备 可以通过HTTP 代理服务器上 网更新内置库
点击该按钮回 滚到上一次的 更新操作
问题思考
1. 能够通过多功能序列号控制设备的哪些功能模块? 2. 某客户的日志设置如下图所示,此时用户是否能将日志记录到数据中心?
日志设置
3、Syslog设置
配置Syslog服 务器的IP和通 信端口
注意: 1.Syslog仅支持UDP方式连接。
2.Syslog不能同步系统日志,只能同步数据中心日志。
代 理
SG
系统规则库更新
AF设备内置了病毒库、URL库、IPS特征库、应用识别库、WEB应用防护库
和网关补丁,当客户配置了相应的防护策略后,通过设备的数据包将匹配相应库 文件中的数据特征,以识别该数据的真正用途。这些库文件由深信服公司的专人 进行收集和维护,会不定期的进行更新,以适应网络应用的不断变化,用户可设 置手动升级或自动升级将设备的库文件更新到最新版本。 (1)手动升级 在升级服务有效期内,可以手动将最新的库文件导入到设备中。 (2)自动升级 首先保证设备与深信服公司服务器之间的连通性,当服务器更新了库文件 后,如果设备在升级服务有效期内且启用了自动更新,则设备将会自动从服务器 上获取最新的库文件。
代 理
SG
日志设置
1、内置数据中心
不启用内置数据中心, 则内置数据中心不会 记录日志,但配置了 Syslog服务器,会将日 志发送到Syslog服务器。
根据日志的 保存天数或 者是磁盘占 用率自动删 除日志
SANGFOR_AF_产品简介
SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃:Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进,才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。
随着攻击变得越来越复杂,企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。
不断变化的业务流程、企业部署的技术,以及威胁,正推动对⽹络安全性的新需求。
不断增长的带宽需求和新应⽤架构(如Web2.0),正在改变协议的使⽤⽅式和数据的传输⽅式。
安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。
在这种环境中,简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测,不再有⾜够的价值。
为了应对这些挑战,防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall,简称NGFW)”的产品。
如果防⽕墙⼚商不进⾏这些改变的话,企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。
⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。
Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。
NGFW⾄少具有以下属性:1.⽀持联机“bump-in-the-wire”配置,不中断⽹络运⾏。
2.发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤,⾄少具有以下特性:(1)标准的第⼀代防⽕墙能⼒:包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测:⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。
IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。
例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。
AF防火墙参数:全系列型号
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
深信服下一代防火墙销售话术
深信服下一代防火墙NGAF产品导入什么是下一代防火墙?防火墙通常用于两个网络之间的隔离,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。
这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
但是随着黑色产业链的兴起和攻防技术的进步,“人”的因素已经发生了变化,有行为正常的“好人”,也可能有居心叵测,想携带“火种”混入的“坏人”。
所以对于防火墙来说,需要能够有更先进的技术可以识别出“好人”和“坏人”,于是就有了下一代防火墙的概念。
国际知名IT咨询机构Gartner在2009年最初发布了对下一代防火墙NGFW 的定义,简单来说下一代防火墙相较与传统防火墙的区别就是NGFW深度集成了入侵防御功能,能够实现对数据内容的检测以及能够对应用协议和用户进行识别和管控,比传统防火墙只能基于IP地址和端口的管控方式提供了更细粒度的控制手段。
深信服在2011年7月发布了下一代防火墙产品NGAF,是国内最早发布NGFW的安全厂商。
相较与Gartner定义的下一代防火墙,深信服下一代防火墙做了更进一步的提升,最大的特点就是融入了对Web业务安全保护的能力,深信服下一代防火墙提倡的价值主张是:融合安全,简单有效。
融合是指围绕业务生命周期,从事前、事中、事后所需要的安全保护技术手段的融合,简单有效是指安全交付能够简单、可视,安全运营可以持续开展。
销售场景1.客户有网络改造,新建机房或者新建业务系统的需求;2.客户网站被第三方监管机构检测出漏洞或威胁,并被通报要求限期整改;3.出现了如新型恶意软件(勒索病毒,木马等),高危漏洞大规模爆发的安全事件应急处置需求;4.客户存在等级保护等安全合规性建设需求;5.客户原有防火墙使用年限较长(3年以上),存在替换的需求;6.网络不同逻辑区域之间或者物理区域边界之间还未部署安全设备;7.客户有采购入侵防御系统IPS或Web应用防火墙WAF的需求;8.客户需要采购互联网出口网关设备或者有对外发布的网站需要做安全加固;核心功能事前➢资产发现:自动识别内部业务服务器的IP地址、开放端口,以及是否有安全策略覆盖这些识别出的服务器。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
传统防火墙厂商
从90年代随着我国第一波信息化 安全浪潮涌现了老牌安全公司, 同时2000年之后涌现了山石网科, 定位为传统防火墙厂商,其防火 墙专注于传统防火墙功能,如网 络适应性、访问控制协议、会话 管理等基本功能。 典型代表:天融信、启明星辰、 绿盟科技
国外厂商
在中国的外资厂商,国外厂商采 用渠道化战略,定位中高端客户, 通常高度产品化,以技术路线运 作项目 典型代表:Fortinet(飞塔)、 Checkpoint、Palo Alto
集成 学习
深度神
SAVE
经网络
深信服人工智能杀毒引擎SAVE
Sangfor Anti-Virus Engine
自然语 言处理
创新人工智能无特征技术 准确检测未知病毒
Bad Rabbit(17年10月出现的最新勒索 病毒),年后最新出现的 GlobeImposter 2.0 勒索病毒均能使用旧模型查杀。
解决之道之二:简单有效
全程可视
风险的可视 保护过程的可视 保护结果的可视
优势1
简单交付
一体化策略部署 全过程运营中心 综合风险报表
优势 2
高效稳定
单次解析 多模匹配算法 软硬件双冗余架构
优势 3
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
为什么之选深信服NGAF?
高速增长,年复合增长超70% 2011年发布国内首台下一代防火墙 4万家用户一致好评 5.4万台在线稳定运行
简单有效
全程可视+简单交付
解决之道之一:融合安全
事前 预知
事中 防御
事后 检测/响应
解决之道之一:融合安全
潜伏威胁事件检测 和分析 4
安全策略加固和有效 性自检
3 2
评估资产风险漏洞 是否配置策略
快速处置响应
5
1
业务生命周期 安全运营
自动发现新增资产
事前:风险梳理预警与规避
1
核心资产 有效识别
➢ 安全状态 ➢ 安全事件 ➢ 待办事项
安全状态怎样? 保护的效果怎样? 下一步做什么?
全过程 安全可视
①对风险的认知
哪些资产要保护? ➢ 资产发现
哪里不安全?
➢ 风险识别
当前是否有策略? ➢ 策略分析
②对保护过程的认知
谁在攻击我? 是否被绕过? 是否真实存在?
➢ 攻击链可视 ➢ 检测异常行为 ➢ 攻击举证
防御手段: 通常传统安全厂商会认为早期的深信服只做VPN及上网行为管理,安全能力不足,这一块各位可以向客户说明 深信服于2011年发布下一代防火墙,是国内最早发布下一代防火请产品的安全厂商,同时是公安部下一代防火墙 行标的主要撰写单位,并已经连续4年在全球Gartner魔力象限中入围(国内连续4年的只有华为和深信服)。
网络信息系统
产品信息系统
研发信息 系统
法务系统
财务信息系统
审计系统
…
2
实时漏洞 监测分析
检测结果: SQL 注入 开放风险端口 命令执行 信息泄露
……
资产梳理
存在风险
3
安全能力 全面评估
评估结果: 具备防御能力 未关闭端口传输 具备防御能力 全局放通(错配) 存在系统漏洞
防御能力缺失
持续分析
4
最佳实践 策略部署
数通类厂商对比
特点分析: 数通类厂商在市场上所呈现的下一代防火请,通常都是由数通产品演变过来的,传统的功能包括VPN、NAT 访问控制、QOS、双机热备、网络协议支撑等,简单集成了一些传统安全模块,如IPS和杀毒、抗D等模块。
进攻手段: 其最大的特点是安全能力不足,仅仅简单集成了基本安全模块,存在能力缺失,比如针对web攻击的防御模块, C&C外联检测僵尸主机的模块;同时难以跟的上安全的变化形式,比如勒索病毒、挖矿病毒以及各种基于应用 层的未知威胁攻击,缺乏持续更新的能力。
基于AI的杀毒引擎-优势对比
传统引擎
特点
1. 固定算法 2. 人工提取特征 3. 样本收集受限
效果
未知/勒索病毒应对乏力
SAVE引擎
1. 人工智能算法的自我优化 2. 特征自动提取 3. 海量样本自学习
✓ 有效抵御未知病毒、勒索病毒
事后:事后持续监测与快速响应
解决之道之二:简单有效
③对保护结果的认知
防御手段: 数通类通常会从非安全功能角度来进攻深信服,比如数通的下一代防火墙端口密度大、性能高、价格便宜等 我们通常是按照实际需求去引导客户,防火墙通常不需要过高的端口数,性能需求通常来源于特定场景,强调 安全的性价比,如果设备不能有效防御威胁,再便宜也没有市场。
传统防火墙厂商
特点分析: 老牌防火墙厂商安全产品线众多,下一代防火墙通常都是从传统防火墙演变过来的,安全功能多来自于其原有安全 产品功能的集成复用,比如IPS、邮件安全、杀毒等各种功能。从表面功能上看不存在缺失,安全功能应有尽有。
方案二
设备难以有效使用起来
事前不清楚系统存在的风险、需要防护的短 板,导致防护策略错配、漏配,缺乏有效性, 买了高射炮用来打蚊子;
事前
未知威胁难以有效防御
即使全部配置用起来,也难以保障完全防护, 因为如今威胁全面升级,传统的特征匹配跟
有哪些资产? 有哪些漏洞? 是否有策略?
不上黑客的节奏;
缺乏风险预知能力
事后持续监测已入侵威胁,快速止损
事后能够实时监测内部异常外联行为,及时 察觉并定位已入侵威胁,快速处理减少损失。
事后
持续监测,快速响应
事前
梳理风险,确保防护有效性
事中
融合安全防护能力
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
新一代边界安全:深信服下一代防火墙
深信服下一代防火墙 NGAF 系列
通用竞争策略
无论和任何一家产品竞争对比,保持回归深信服下一代防火墙的价值主张-融合安全。价值主张定位 的是与同类产品的差异,通过价值主张,把传统安全品类(含友商下一代防火墙)定位为事中防御。
➢ 不管什么其他安全品类都存在缺乏事前预知、事后检测和响应的问题,并且割裂的防御; ➢ 传统以设备堆叠为主的建设方案会产生日志碎片化、防护割裂,缺乏设备间联动等后果,无法给用户提供有价值信息;
5小时
综合分析操作系 统日志、防火墙 日志、交换机日 志,定位源头和 修补缺口。
每次新型威胁来临,以上情景一再重演
需要全周期的安全防护手段
事前洞悉资产风险,确保防护有效性
事前自动梳理资产,发现资产风险和新增资 产,确保防护策略的全面、有效、准确。
事中融合防护能力,确保防护的完整性
事中防护能力需要涵盖网络层防护能力和应 用层防护能力,具备边界防护的完整功能。
纵深防御
一层防不住 就多几层防御 网络层面防御 终端层面也防御
区域边界隔离 (分区分域)
缩小影响面 简化管理
深信服下一代防火墙家族
1、传统防火墙功能( NAT、 路由、访问控制ACL、IPSec VPN、DDoS、会话控制、用 户认证、流控、双机) 2、NIPS功能 3、WAF功能 4、AV功能
融合安全 简单有效
深信服集团|安全事业部
网络防火墙的价值
网络区域划分
对互联互通的网络进行区域划分,最小化安 全域,控制安全事件的影响范围。
区域边界隔离
防火墙部署在区域之间,阻断区域之间的互 联互通,防范跨区域安全事件的发生。
边界访问控制
通过配置访问控制策略,灵活控制可通过边 界的对象身份和权限,满足正常业务需求。
规避风险
一键关闭
一键防御 一键防御
完善防御能力
事中:L2-L7完整、融合防护
下一代L2-7层双向边界防御体系
网络层安全
抗拒绝服务攻击
应用层安全
信息泄露防护
流量会话管理
Web攻击防护
包过滤
策略路由
Webshell防护
黑链防护
VPN
僵尸网络防护
恶意代码防护
IP/MAC绑定
入侵防御
NAT
应用内容的访问控制
进攻手段: 安全产品的简单集成实际上并未能够给客户带来足够的安全,需要安全厂商围绕下一代防火墙的真实要求,进行 从底层到上层的功能融合,深信服底层采用单次解析并行处理的机制可以有效提升设备性能,同时上层通过融合 安全框架提供事前、事中、事后的全程保护和全程可视,同时内部安全模块可有机联动抵御威胁。内部的良好机制 及依托用户体验的风险可视化能力是我们的优势。
2016.5.16 Version 3.000
2016.5.26 Version 3.100
2016.8.22 Version 5.001
重金、技术投入下,黑客攻击手段更新频繁
新型威胁,能够轻易绕过所有防护设备
防火墙
IPS
WAF
防毒墙
杀毒软件
服务器
数据加密
事后:发现滞后、响应迟缓,导致损失扩大
上午7点
15年8月 国内第一 国内首款
第二代防火墙
15年5月 Gartner魔力象限
ICSA防火墙认证
国内仅4家
市场格局介绍
2018年IDC统一威胁管理国内市场排名,前5分别为:网御 星云、深信服、360企业安全、山石网科、华为。
深信服仅以下一代防火墙一个产品占据第二名,与网御存 在两个百分点的差距,但是网御主要是靠UTM产品销售额 达到的16.2%的占比,也就是说如果有下一代防火墙排名 的话,深信服早已是第一名。
事前 预知
事中 防御
事后 检测/响应
融合安全,简单有效!!!
深信服下一代防火墙的核心价值
竞争分析要回归产品本身的差异化优势 基于融合安全框架提供全面的风险可视化能力
L2-L7层的深度防御全程保护用户业务安全