深信服NGAF下一代应用防火墙产品介绍
深信服下一代防火墙APT攻击防范首选利器
下一代防火墙- APT攻击防护首选利器一认识APT攻击互联网攻击与防御技术一直以来都是此消彼长,交替前行,根据CNCERT/CC 2012中国互联网网络安全报告分析,一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁,这就是大家热谈的APT攻击。
APT 全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。
这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
二APT攻击特征(1)、攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩;(2)、攻击者也经常采用邮件方式攻击受害者,这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招;(3)、网站往往是一个企业或组织的对外门户,很多企业或组织对网站缺乏良好的安全防护,对攻击者而言,网站如同攻击过程中的桥头堡,是攻击者渗透进内网的重要捷径;(4)、一旦企业或组织的内网终端或者门户网站感染恶意程序,成为僵尸网络主机,将频繁进行内网隐私数据信息嗅探;(5)、通过已感染主机做反弹跳板,黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听,从而获取攻击目标登陆权限;(6)、目前绝大多数安全防护设备【传统网络层防火墙、IPS等等】只能做到从外到内的单向危险流量检测和防护,从内到外主动发起的数据传输缺乏有效的检测和防范机制,给APT攻击者开通了一条灰色的数据运输通道。
攻击者通过控制攻击目标,源源不断地从受害企业和组织获取数据信息。
从上述APT攻击特征进行分析,不难发现APT攻击已经不再是传统认识观念中的单一网络攻击行为,针对APT攻击,采取多款安全产品串行堆叠的传统做法已经无法有效应对,市场迫切需要新一种新的防御方案。
深信服下一代防火墙设备功能配置系列 地址转换功能
深信服下一代防火墙设备功能配置系列二:地址转换功能
案例需求:
某客户拓扑图如下,客户需要让内网用户和服务器群都能够通过NGAF防火墙上网,此时需要在NGAF设备上添加源地址转换规则,将192.168.1.0/24和172.16.1.0/24上网的数据经过NGAF后转换成 1.2.1.1,也就是NGAF设备出接口ETH1的IP地址。
配置详述:
1.在配置源地址转换规则之前,首先要在网络配置中定义好接口所属的区域,在对象定义中定义好内网网段所属的IP组。
因此,将ETH1接口定义为外网区域,ETH2定义为内网区域。
网段17
2.16.1.0/24和192.168.1.0/24定义成内网IP组。
2.在地址转换栏目中新增地址转换策略并启用该策略。
同时,设置源区域和IP组,用于设置需要进行源地址转换即匹配此条规则的源IP条件,只有来自指定的源区域和指定IP组的数据才会匹配该规则、进行源地址转换。
3.设置外网区域为目标区域,数据到哪个目标区域、访问哪些目标IP组、或者从哪个接口出去的数据,才匹配该规则。
同时,将源地址转换设置为出接口地址,即外网接口地址。
4.保存并启用该策略。
深信服下一代防火墙介绍
传统防火墙厂商
从90年代随着我国第一波信息化 安全浪潮涌现了老牌安全公司, 同时2000年之后涌现了山石网科, 定位为传统防火墙厂商,其防火 墙专注于传统防火墙功能,如网 络适应性、访问控制协议、会话 管理等基本功能。 典型代表:天融信、启明星辰、 绿盟科技
国外厂商
在中国的外资厂商,国外厂商采 用渠道化战略,定位中高端客户, 通常高度产品化,以技术路线运 作项目 典型代表:Fortinet(飞塔)、 Checkpoint、Palo Alto
集成 学习
深度神
SAVE
经网络
深信服人工智能杀毒引擎SAVE
Sangfor Anti-Virus Engine
自然语 言处理
创新人工智能无特征技术 准确检测未知病毒
Bad Rabbit(17年10月出现的最新勒索 病毒),年后最新出现的 GlobeImposter 2.0 勒索病毒均能使用旧模型查杀。
解决之道之二:简单有效
全程可视
风险的可视 保护过程的可视 保护结果的可视
优势1
简单交付
一体化策略部署 全过程运营中心 综合风险报表
优势 2
高效稳定
单次解析 多模匹配算法 软硬件双冗余架构
优势 3
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
为什么之选深信服NGAF?
高速增长,年复合增长超70% 2011年发布国内首台下一代防火墙 4万家用户一致好评 5.4万台在线稳定运行
简单有效
全程可视+简单交付
解决之道之一:融合安全
事前 预知
事中 防御
事后 检测/响应
解决之道之一:融合安全
潜伏威胁事件检测 和分析 4
安全策略加固和有效 性自检
★深信服AF应用防火墙NGAF产品培训资料
SAP ERP系统安全加固
国美应用效果:
1)针对SAP ERP系统的安全漏洞进行针对
FW FW
性防护
2)针对底层的Linux操作系统漏洞进行安
全防护 3)启用了IPS和WAF防扫描防探测功能
NGAF NGAF
4)启用了安全模块的智能联劢功能
内网
SAP服务器区
产品部署方式
路由模式
WEB交互系统 WEB门户网站
1、安全防护更全面,融 合了IPS以及WAF功能; 2、强化的web攻击防护, 可防御各类SQL注入变种 攻击 3、独特的敏感信息防泄 漏,与门为高端用户打造 4、网关融合网页防篡改, 对服务器稳定性和性能无 影响
解决方案卖点——网站一体化安全防护
网站一体化安全防护
人事考试网应用效果:
NGAF NGAF
功能卖点
竞争优势
1、集成SANGFOR 优秀 的IPSEC VPN功能 2、基于应用的流控 3、融合应用攻击防护 4、高效流式病毒过滤 5、集中管理
1、融合业界市场占有率 第一的IPSEC VPN,实现 最优的安全组网 2、L2-L7层流量清洗,业 界最完整的一体化安全防 护方案 3、一体化网关实现安全 组网不流量清洗,建设成 本更低
1、虚拟补丁解决系统漏 洞问题 2、web安全保障应用层 面安全 3、信息泄露防护防止拖 库暴库,加固数据层面安 全防护能力 4、网页篡改防护保证 web页面完整性,加固数 据层面安全防护能力
解决方案卖点——业务系统安全加固
一站式应用安全加固部署方案
解决方案卖点——业务系统安全加固
节点纵深防御应用安全加固部署方案
解决方案卖点——业务系统敏感信息防泄漏
网银区服务器数据防泄露
NGAF下一代应用防火墙系列产品
数量 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1
比例
价格(元) 39800.00
-
10% 5% 20% 10% 10%
3980.00 1990.00 7960.00 3980.00 3980.00 79800.00
IPS漏洞防护+服务器防护功能模块更新费用 购买模块起一年后每年升级费
-
10% 5% 20% 1Байду номын сангаас% 10%
7980.00 3990.00 15960.00 7980.00 7980.00 119800.00
14980.00 7490.00 29960.00 14980.00 14980.00 189000.00
IPS漏洞防护+服务器防护功能模块更新费用 购买模块起一年后每年升级费
-
10% 5% 20% 10% 10%
18900.00 9450.00 37800.00 18900.00 18900.00 239800.00
每增加一条Internet线路(设备自带一条Internet线路授权) 每增加一个IPSEC VPN用户 每增加一个含DKEY的IPSEC VPN用户 每接入一个第三方IPSEC VPN网关
1 1 1 1
9360.00 422.00 702.00 1872.00
1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 10% 5% 20% 10% 10% 108980.00 54490.00 217960.00 108980.00 108980.00 10% 5% 20% 10% 10% 74980.00 37490.00 149960.00 74980.00 74980.00 1089800.00 10% 5% 20% 10% 10% 56980.00 28490.00 113960.00 56980.00 56980.00 749800.00 10% 5% 20% 10% 10% 46980.00 23490.00 93960.00 46980.00 46980.00 569800.00 10% 5% 20% 10% 10% 36980.00 18490.00 73960.00 36980.00 36980.00 469800.00
SANGFOR下一代防火墙
0
技术支持说明
为了让您在安装,调试、配置、维护和学习 SANGFOR 设备时,能及时、快速、有效 的获得技帮助你快速的完成部署、安装 SANGFOR 设备。如果快 速安装手册不能满足您的需要, 您可以到 SANGFOR 技术论坛或官网获得电子版的完整版 用户手册或者其他技术资料,以便你获得更详尽的信息。
4.
致电 SANGFOR 客服中心,确认最适合您的服务方式和服务提供方,客服中心会在您的 技术问题得到解决后,帮助您获得有效的服务信息和服务途径,以便您在后续的产品使 用和维护中最有效的享受技术支持服务,及时、有效的解决产品使用中的问题。
SANGFOR 技术论坛:/forum
公司网址:
技术支持服务热线:800830643(固话)、 4008306430(手机、固话均可拨打)
邮箱:support@
1
目录
技术支持说明................................................................................................................................... 1 声明 .................................................................................................................................................. 3 前言 ..............................................................................................
深信服下一代防火墙入门
系统规则库更新
(1)手动升级
选择需要更 新的库文件
点击手动更新,导入 最新的库文件即可
系统规则库更新
(2)自动升级
点击该按钮立 即进行更新
选择需要访问的 升级服务器
如果是代理上 网环境,设备 可以通过HTTP 代理服务器上 网更新内置库
点击该按钮回 滚到上一次的 更新操作
问题思考
1. 能够通过多功能序列号控制设备的哪些功能模块? 2. 某客户的日志设置如下图所示,此时用户是否能将日志记录到数据中心?
日志设置
3、Syslog设置
配置Syslog服 务器的IP和通 信端口
注意: 1.Syslog仅支持UDP方式连接。
2.Syslog不能同步系统日志,只能同步数据中心日志。
代 理
SG
系统规则库更新
AF设备内置了病毒库、URL库、IPS特征库、应用识别库、WEB应用防护库
和网关补丁,当客户配置了相应的防护策略后,通过设备的数据包将匹配相应库 文件中的数据特征,以识别该数据的真正用途。这些库文件由深信服公司的专人 进行收集和维护,会不定期的进行更新,以适应网络应用的不断变化,用户可设 置手动升级或自动升级将设备的库文件更新到最新版本。 (1)手动升级 在升级服务有效期内,可以手动将最新的库文件导入到设备中。 (2)自动升级 首先保证设备与深信服公司服务器之间的连通性,当服务器更新了库文件 后,如果设备在升级服务有效期内且启用了自动更新,则设备将会自动从服务器 上获取最新的库文件。
代 理
SG
日志设置
1、内置数据中心
不启用内置数据中心, 则内置数据中心不会 记录日志,但配置了 Syslog服务器,会将日 志发送到Syslog服务器。
根据日志的 保存天数或 者是磁盘占 用率自动删 除日志
SANGFOR_AF_产品简介
SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃:Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进,才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。
随着攻击变得越来越复杂,企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。
不断变化的业务流程、企业部署的技术,以及威胁,正推动对⽹络安全性的新需求。
不断增长的带宽需求和新应⽤架构(如Web2.0),正在改变协议的使⽤⽅式和数据的传输⽅式。
安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。
在这种环境中,简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测,不再有⾜够的价值。
为了应对这些挑战,防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall,简称NGFW)”的产品。
如果防⽕墙⼚商不进⾏这些改变的话,企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。
⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。
Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。
NGFW⾄少具有以下属性:1.⽀持联机“bump-in-the-wire”配置,不中断⽹络运⾏。
2.发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤,⾄少具有以下特性:(1)标准的第⼀代防⽕墙能⼒:包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测:⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。
IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。
例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全信息与动态 2012年1月
难道这些单位不重视安全建设吗?
威胁来自应用层! 90%投资在网络层! 传统防火墙已经失效!
现行的解决方案——“串糖葫芦”式部署
网络操作系统漏洞,如思科IOS、 Juniper JUNOS、SSL协议等
中间件漏洞,如WebShpere、 WebLogic等
数据库漏洞,如SQL Server、 Oracle等
浏览器漏洞:IE、FrieFox、 Google Chrome等
病毒、木马、后门软件等
。。。。。。
NGAF特点——涵盖传统安全
网络层次越高 资产价值越大
L5-L7: 应用层
WAF
L4: 传输层
L3: 网络层
L2: 链路层 L1: 物理层
IPS 防火墙
NGAF
应用
应用层数据
Web应用架构
风险越高 越迫切需要
被保护
会话标识
Web服务架构 操作系统
TCP/IP协议栈 网络接口 网线
HTTP请求/响应
• 防止端口/服务扫描 • 弱口令保护/防暴力破解 • 关键URL保护 • 应用信息隐藏
• HTTP出错页面隐藏 • HTTP(S)响应报文头隐藏 • FTP信息隐藏
扫描过程
• 强化的web防护 • 防SQL注入攻击 • 防OS命令注入 • XSS攻击、CSRF攻击
• 多对象漏洞利用 • 服务器漏洞攻击防护 • 终端漏洞攻击防护
融合现网环境, 与传统安全形成 异构
涵盖传 统安全
2、产品介绍
下一代防火墙应具备的特性
NGAF是面向应用层设计,能识别用户、应用和内容,具备完整 安全防护能力的高性能下一代防火墙。
• 防应用层攻击 • 双向内容检测 • 涵盖传统安全 • 应用层高性能
L2-L7层安全防护方案
NGAF特点——防应用层攻击
其查询页面被搜索引擎 抓取后,至少有数百个 公积金账户的详细信息 被泄漏到网上,包括公 积金账户姓名、身份证 号、公积金余额、所在 单位等一览无遗。
• 启示:web漏洞利用、防泄密不容忽视
泄密事件——2011年末泄密事件
篡改事件——2012年初网页篡改仍然严重
第 28 次中国互联网络发展状况统计报告
深信服NGAF下一代应用防火墙
1、下一代防火墙大势所趋
Web攻击事件——新浪微博病毒大范围传播
启示:类似XSS蠕虫05年就攻击过知名社交网站MySpace,这次 事件可以算是samy蠕虫在新浪的翻版,但随着web2.0技术的广泛 应用这种攻击的影响可能会加剧。
Web攻击事件——索尼泄密事件
泄密事件——北京市公积金查询网站
网页防篡改
• 网关型网页防篡改 • 爬虫技术网页缓存 • 模糊、精确匹配方式 • 特征码、文件等多种比对方式 • 业务审批与安全管理界面分离 • 短信、邮件报警
敏感信息防泄漏
• 常见的敏感信息防泄漏 – 用户信息 – 邮箱账户信息 – MD5加密密码 – 银行卡号 – 身份证号码 – 社保账号 – 信用卡号 – 手机号码 – 内部保密文件
FW
IPS
AV
WAF
“串糖葫芦式”“打补丁式”建设
成本高:环境、空间、重复采购 管理难:多设备,多厂商、安全风险无法分析 效率低:重复解析、单点故障
现行的解决方案——UTM
IPS策略
防病毒策略
URL策略
IPS签名
防病毒签名
防火墙策略
URL签名
IPS解码器
防病毒解码器&代理
基于端口/协议的ID
服务器敏感信息
NGAF
多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
多维度的漏洞攻击防护
多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护
核心应用漏洞库:2200+
主机操作系统漏洞,如Windows、 Linux、Unix等
应用程序漏洞,如Adobe、Office、 SPA、IBM Lotus等
核1
核2
+
核n
性能
并行
12 3n
万兆处理能力
=
应用层高性能
核
单次解析构架 实现报文一次解析和匹配
多核并行处理技术
全新技术构架
提升应用层分析速度 实现应用层万兆处理能力
漏洞利用攻击 扫描探测
蠕虫、病毒、木马 P2P带宽滥用
访问控制问题 协议异常
网络层DDoS
网络接口 网线
ARP欺骗、广播风暴 传输线路物理损坏
安全建设应该重新考虑
安全不会成为网 络的瓶颈
应用层 高性能
防应用 层攻击
防护应用层安全 威胁为重心
重新考虑 安全建设
双向内 容检测
关注服务器外发 内容的安全风险
、
受控端
SC中心端
受控端
• 深层次审计分析
– 高性能数据处理能力 – 高容量数据存储 – 多应用数据挖掘和分析
• 集中管理
– 多种协议方式管理
受控端
受控端
• 可视化展现
– 基于设备面板状态监控 – 多维度图形化监控 – 设备集中状态监控
NGAF特点——应用层高性能
FW IPS AV
策略层
网络层/快递路径 网络硬件I/O
强化的Web安全防护
• 应用隐藏 – FTP信息隐藏 – HTTP信息隐藏
• 口令防护 – 弱口令防护 – 暴力破解防护
• 权限控制 – 文件上传过滤 – URL防护
• OWASP 10大web风险 – SQL注入 – XSS跨站脚本 – 网页木马 – webshell
NGAF特点——双向内容检测
TCP连接 IP报文 以太网报文 二进制比特流
集成式防火墙功能
包过滤与 状态检测
IPSECVPN
路由
防火
墙
抗网络层
攻击
NAT
内置IPSEC VPN模块
• 市场占有率连续5年全国第一 • 基于国际标准的IPSec VPN • 国家IPSec VPN标准的核心制定者
之一,产品高安全保证
统一集中管理
攻击过程
• DOS攻击 • 应用层DOS攻击 • CC攻击* • 权限控制 • 可执行程序上传过滤 • 上行病毒木马清洗 • 切断webshell流量
破坏过程
用户/黑客
窃取内容
服务器外发内容过滤 •网页防篡改:静态、动态 •敏感信息防泄露:身份证号、 信用卡号、财务数据等
Web应用服务器
事前风险分析
报告
多设备叠加=多功能假集成=貌合神离
L2-L7层潜在的安全威胁
网络层次越高 资产价值越大 L5-L7: 应用层
L4: 传输层 L3: 网络层 L2: 链路层 L1: 物理层
业务内容 Web应用架构
Web服务架构 操作系统
TCP/IP协议栈
风险越高 越迫切需要
被保护
敏感信息外泄 网页篡改、挂马
应用层DDoS SQL注入、跨站脚本
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
L2/L3网络、高可用 性(HA)、配置管理、
报告
L2/L3网络、高可用
L2/L3网络、高可用
性(LH2A/L)3网、络配、置高管可理用、性(HA)性、(配HA置)管、理配、置报管告理、
报告
报告
L2/L3网络、高可用 性(HA)、配置管理、