深信服防火墙NGAF方案白皮书
深信服业务系统应用安全加固解决方案模板
深信服XX业务系统应用安全加固解决方案深信服科技有限公司20XX年XX月XX日目录深信服XX业务系统应用安全加固解决方案 (1)目录 (2)1应用背景 (4)2需求分析 (5)2.1一期建设拓扑图 (5)2.2业务系统安全现状 (5)2.3业务系统脆弱性分析 (6)2.4风险可能导致的问题 (8)2.5业务安全加固建设目标 (9)3方案设计 (10)3.1网络安全加固方案 (10)3.1.1DOS/DDOS防护子系统 (10)3.1.2防病毒子系统 (10)3.2系统安全加固方案 (11)3.2.1入侵防御子系统 (12)3.3应用安全加固方案 (13)3.3.1Web安全子系统 (14)3.4数据安全加固方案 (14)3.4.1信息泄漏防护子系统 (15)3.4.2防篡改子系统 (15)4产品部署示方案 (16)4.1方案一:一站式应用安全加固部署方案 (16)4.1.1拓扑图 (16)4.1.2产品部署方案 (16)4.1.3产品选型 (18)4.2方案二:节点纵深防御应用安全加固部署方案 (19)4.2.1拓扑图 (19)4.2.2产品部署方案 (19)4.2.3产品选型 (20)5关于深信服 (21)1应用背景网络的飞速发展促进了各行业的信息化建设,近几年来XX单位走过了不断发展、完善的信息化历程,现已拥有技术先进、种类繁多的网络设备和应用系统,构成了一个配置多样的综合性网络平台。
随着网络基础设施建设的不断完善,有针对性作用的业务系统也不断增加,XX单位已于2011年底完成建设XX业务系统,提供开放的综合业务平台为用户提供便捷的服务。
为了保证用户能够更安全,更便捷的使用业务系统,在XX业务系统建设时便设计并建设完成了第一期网络安全建设规划。
在第一期的网络安全建设规划方案中,防火墙被用作主要的网络安全设备保证业务系统的正常稳定运行。
使用防火墙将服务器区域分割成为应用服务区、数据库服务器区、边界接入区、运维管理区域等多个网络层相互逻辑隔离的区域,防止内、外部安全风险危害各个业务区域。
深信服下一代防火墙互联网出口解决方案ppt课件
阻断、重定向、隔离等
正常数据流
关联分析
分片重组
流量分析
流恢复
报文正规化
关联检测引擎:提升检测精度例:Apache 2.2 漏洞: CVE-2011-3192 Denial Of Service Vulnerability应用识别分析: Web应用,保护对象为 Apache 2.2内容识别分析: 数据包匹配到CVE-2011-3192的漏洞特征关联分析结果: 命中,威胁级别严重,阻断!
敏感信息防泄漏
常见的敏感信息防泄漏用户信息邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码内部保密文件根据文件类型防泄密根据特征自定义信息合规性
病毒/URL过滤
病毒查杀
常见病毒查杀httpftpPop3Smtp压缩文件……
网站分类过滤70个大类含非法及不良分类恶意网站过滤数千万个网站……
安全云
自动化威胁情报收集平台
IPS保护
虚拟主机补丁(4000+)操作系统漏洞,如Windows、Linux、Unix等应用程序漏洞,如Apache、IIS等中间件漏洞,如WebShpere、WebLogic等数据库漏洞,如SQL Server、Oracle等浏览器漏洞:IE、FrieFox、Google Chrome等……
自动学习建模
正常访问服务器
自动学习自动建模
未知攻击、非法请求
网站构架参数类型参数长度……
多维行为分析
1、多维行为分类2、分类威胁阈值3、阈值循环微调4、汇总基线比较
自动关联分析
数据流
会话状态跟踪
丢弃报文
应用识别分析并行处理支持近千种协议
内容特征分析 并行处理包括攻击特征、漏洞特征
丢弃报文、隔离
SANGFOR_AF_解决方案201107
深信服NGAF解决方案深信服科技有限公司2011年7月4日第1章需求概述1.1背景介绍互联网及IT技术的应用在改变人类生活的同时,也滋生了各种各样的新问题,其中信息网络安全问题将成为其面对的最重要问题之一。
网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展,使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。
Web时代的安全问题已远远超于早期的单机安全问题,尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。
这些都使传统的安全设备在保护网络安全上越来越难。
目前更多的出现了以下的安全问题:投资成本攀升,运维效率下降许多企业为了应对复杂的安全威胁,购买了多个厂商的安全产品,安全建设犹如堆积木一般。
购买的安全防护产品愈来愈多,问题也随之出现:大量的安全防护产品部署,需要大量专业安全管理人员负责维护,复杂的安全架构使得管理同样变得复杂化,由于企业采用了多套安全解决方案,这就要求有很多技术人员精通不同厂商的解决方案。
购买产品很简单,日常运维很复杂,这对企业本来就有限的IT人员、安全管理人员来讲是非常痛苦和困难的事情。
而且不同厂商安全解决方案之间的协调性也有待商榷,当专业化的攻击和威胁来临时,这些安全产品之间能不能发挥协同作用抵御威胁这还是一个很大的问号。
对企业的管理者来说,如何降低管理成本、提高运维效率、提升企业安全水平,是目前最急待解决的问题。
“数据库泄密”、“网页遭篡改”等应用层安全事件频现2011年上半年,索尼超过1亿个客户帐户的详细资料和1200万个没有加密的信用卡号码失窃,索尼已花掉了1.71亿美元用于泄密事件之后的客户挽救、法律成本和技术改进这笔损失只会有增无减。
2011年5月10日上午消息,一些兜售廉价软件的黑客攻击了多个知名网站,包括美国宇航局(以下简称“NASA”)和斯坦福大学的网站。
深信服SANGFOR NGAF M5500-F-I性能和容量规格说明书
Performance & Capacity NGAF M5500-F-I DimensionFirewall Throughput IPSec VPN Throughput Max IPSec VPN Tunnels Concurrent Connections (TCP)New Connections (TCP)Power Redundancy2U 25Gbps 2Gbps 3,0003,000,000220,000SupportedHardware Specifications RAMStorage HD Capacity 3Power [Watt] Max Operating T emperature Humidity System WeightSystem Dimensions (L * W * H, mm)NGAF M5500-F-I 8GB64GB SSD + 480G SSD 150W 0 - 45°C5% - 90%, non-condensing 12.95 Kg 600 x 440 x 90Network Interfaces Bypass (Copper)10/100/1000 Base-T SFP10G Fiber SFPOptional InterfaceSerial Port USB PortNGAF M5500-F-I 3 pairs 6421 x RJ452Compliance CertificationsNGAF M5500-F-I CE, FCCSANGFOR NGAFM5500-F-ISang for Next Generation Application Firewall is the world first fully integ rated NGFW + NGWAF with pre-event, during-event and post-event defense for all business assets. A truly integ rated firewall solution, providing holistic overview of the entire org anization security network, with ease of management for administration, operation and maintenance.NGAF M5500-F-I is the ideal Converged Security solution for medium enterprise and data center deployment.NGFW is measured with Firewall, Bandwidth Management , IPS, Application ControlThreat Prevention is measured with Firewall, Bandwidth Management IPS, Application Control, Anti Virus Other storage options; 64GB SSD + 960G SSD, 64GB SSD + 2TB SATA123IPS & WAF Throughput NGFW Throughput WAF Throughput Threat Protection Throughput 9.1Gbps 8.4Gbps 12.6Gbps 12.6Gbps 12All Pictures shown are for illustration purpose only. Actual Product may vary.Network Modules (T otal/Available)2/1End-to-End Protection - End-to-end protection from endpoint to business system- T otal visibility of the entire organization security status- Provides High Availability features with Multi-line HA and Load Balancing- Proactive early detection and prevention at thegateway to prevent attacks from reaching the networkDouble Security (2nd-Tier Firewall)- Double protection which complement existing firewall security policies to ensure full protection - Providing regulatory compliance- Simplified deployment, reducing downtime - Provides flexibility of security design and security policies for di erent business requirements DMZ Protection- Dedicated business system protection for advance protection, without impacting other networks - Providing regulatory compliance- Simplified deployment, reducing downtime- Minimize operation and maintenance works to monitor and troubleshoot security incidentsDeployment ModesInternet O ce NetworkSANGFOR NGAFServer ZoneInternet O ce NetworkServer ZoneInternet SANGFOR NGAF1st-Tier Firewall1st-Tier Firewall2nd-Tier FirewallO ce NetworkServer ZoneInternetSANGFOR NGAF DMZ NetworkPer network module can add one of the NICs below:①. 2 x GE RJ45②. 2 x GE SFP ③. 4 x GE RJ45④. 4 x GE SFP ⑤. 8 x GE RJ45⑥. 8 x GE SFP⑦. 2 x GE RJ45 & 2 x GE SFP⑧. 4 x GE RJ45 & 4 x GE SFP⑨. 2 x 10GE SFP+⑩. 4 x 10GE SFP+. 2 x 40GE QSFP+Hardware Description1. Management Console2. USB ports3. Default Interface4. Line Interface5. Power outlet6. Switch7. Fan Trays8. LED IndicatorsNGAF_DS_P_NGAF55-Datasheet_20210923For more information on Sangfor' full range of support & services, please contact your local representative.All Pictures shown are for illustration purpose only. Actual Product may vary.Software FeaturesNetworkingInterface: Physical Interface, Sub Interface, VLAN Interface, Aggregated InterfaceRouting: Static, Policy-based, RIP, OSPF, BGPNetwork Functions:ARP, DNS, DHCP, SNMP, NAT, High AvailabilityAccess ControlUser: Import / export from external server Authentication: SSO/LDAP/RADIUS Application: ACL and application rules URL Filter:SupportedVPNSANGFOR VPN, IPSEC VPN and SSL VPN supportedSDWAN auto path selectionManagementSNMP v1, v2c, v3SyslogReal-Time Vulnerability ScannerCentral managementKey FeaturesFully converged security solution from endpoint to business systems, without the needs of manual integration & consolidation of each feature, as well as additional hardware, which results in lower operational and maintenance costs.Lower TCO Converged Security SolutionsComprehensive business systems protection with built-in Web Application Firewall and Vulnerability Scanners, which is critical for internal systems as well as "internet-facing" systems. Business systems protection is easily enabled via advanced license, without any integration or additional appliance required.Comprehensive Business Systems ProtectionA single simplified operation & maintenance with interactive GUI, which provides ease of configuration, maintenance, troubleshooting and reporting for IT managers, administrators and operations team.User Friendly12Integrated L2–L7 Security features:DoS/DDoS: Inbound, Outbound, Attack Protection Content Security IPS Anti-virusEngine Zero: AI based anti-malware, anti-virus APT WAFData Leakage Prevention Bandwidth Management Real-Time Vulnerability Scanner Security ReporterNeural-X: Cloud threat intelligence and analyticsWeb Application Firewall (WAF) Semantic EngineSupport OWASP Top 10 WAFrequirementsRecommended by NSSSecurity FeaturesConverged SecurityComprehensive WAF1238NGAF M5500-F-I Ordering Guide* All bundles are o ered in 1, 2, 3 or 5 year increments。
深信服NGAF防火墙产品分析
2100DP 2000DP-B 4000EP-A 4000EP-B 12600GP- 12600GP- 12600GPA A D 0 4 10 0 2 8 0 4 6 0 4 10 0 4 8 0 4 8 2 0 8
0 0 4
0 0 4
0 0 4
0 0 6
0 0 6
0 0 6
0 0 8
目
产品型号分析
8G 10G
*200万 *400万
3000 5000
160000 200000
80000 100000
8 8
4
2
*4路 *4路
冗余电源 冗余电源
500W 500W
2U 2U
产品型号对比-深信服
性能区间划分
40G以上 21G-40G 11-20G 6-10G 1-5G ≤1G 0 2 4 6
16600
•迁移便捷 • DMVPN部署无忧 • VPDN运营商必备 •隧道间路由 •亿级黑白名单,拒绝潜在威胁
私有云
多系统引导
•独创多系统,安全可靠
目
产品型号分析
功能分析
录
资质分析 竞争小结
资质
资质&公司 《计算机软件著作权登记证书》 涉密信息系统集成资质甲级 计算机信息系统集成资质企业(工信部) 信息系统安全集成服务资质-安全集成 中国通信企业协会通信网络安全服务能力评定证书--风险评 估 中国通信企业协会通信网络安全服务能力评定证书--安全设 计与集成乙级 信息安全应急处理服务资质认证 天融信 √ √ 2级 1级 丙级 乙级 一级 山石 √ X X X X X X 网神 √ X 3级 1级 网神 乙级 X 华为 √ X 1级 1级 X X 一级 迪普 √ X X X X X X 绿盟 √ X 3级 1级 乙级 乙级 一级 启明星辰 √ √ 1级 1级 乙级 乙级 一级 深信服 √ X X X X X X
NGAF下一代应用防火墙系列产品
数量 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1
比例
价格(元) 39800.00
-
10% 5% 20% 10% 10%
3980.00 1990.00 7960.00 3980.00 3980.00 79800.00
IPS漏洞防护+服务器防护功能模块更新费用 购买模块起一年后每年升级费
-
10% 5% 20% 1Байду номын сангаас% 10%
7980.00 3990.00 15960.00 7980.00 7980.00 119800.00
14980.00 7490.00 29960.00 14980.00 14980.00 189000.00
IPS漏洞防护+服务器防护功能模块更新费用 购买模块起一年后每年升级费
-
10% 5% 20% 10% 10%
18900.00 9450.00 37800.00 18900.00 18900.00 239800.00
每增加一条Internet线路(设备自带一条Internet线路授权) 每增加一个IPSEC VPN用户 每增加一个含DKEY的IPSEC VPN用户 每接入一个第三方IPSEC VPN网关
1 1 1 1
9360.00 422.00 702.00 1872.00
1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 10% 5% 20% 10% 10% 108980.00 54490.00 217960.00 108980.00 108980.00 10% 5% 20% 10% 10% 74980.00 37490.00 149960.00 74980.00 74980.00 1089800.00 10% 5% 20% 10% 10% 56980.00 28490.00 113960.00 56980.00 56980.00 749800.00 10% 5% 20% 10% 10% 46980.00 23490.00 93960.00 46980.00 46980.00 569800.00 10% 5% 20% 10% 10% 36980.00 18490.00 73960.00 36980.00 36980.00 469800.00
深信服NGA下F一代应用防火墙产品介绍-PPT
客户三:政府机构网络安全防护
总结词
政府机构需要严格遵守相关法律法规,保护国家安全和公民隐私,深信服下一代应用防火墙提供了可靠的安全解 决方案。
详细描述
深信服下一代应用防火墙符合国家相关法律法规的要求,为政府机构提供了全面的安全防护,包括对网络攻击的 检测和防御、对敏感信息的加密和保护等。该产品还具有高度的可定制性和可扩展性,能够满足政府机构不断变 化的安全需求。
日志与报表分析
提供详细的日志和报表分析功能,帮助管理员了解设备运行状态和 安全状况。
安全性强
多层次防御
采用多层次防御机制,有效防范各类网络威胁和攻击。
深度内容检测
具备深度内容检测功能,能够检测并阻止各类恶意文件和攻击行 为。
全面支持加密技术
全面支持各种加密技术,确保数据传输安全可靠。
04 适用场景
业和高流量场景的需求。
低延迟
该产品具备低延迟特性,确保网络 传输速度快,不卡顿,为用户提供 流畅的网络体验。
多核并行处理
采用多核并行处理技术,实现高效 的数据处理能力,确保防火墙运行 稳定。
易于管理和维护
直观的GUI界面
提供直观的图形用户界面,方便管理员进行配置、监控和管理。
自动更新与漏洞修复
支持自动更新和漏洞修复功能,降低维护成本和时间。
产品目标
1
提供全面的应用层安全防护,有效抵御各类网络 威胁。
2
简化网络安全架构,降低企业安全运维成本。
3
提升企业业务连续性和数据安全性。
产品特点
深度检测与防护
采用深度包检测技术,对应用层流量进行全面检测与防护,有效防御 各类网络威胁。
智能识别与控制
支持多维度的流量识别与控制,包括IP地址、域名、URL、文件类型 等,实现精细化的安全策略管理。
SANGFOR_AF_白皮书V1.0-1108
深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一一年八月目录1.概述 (3)2. 为什么需要下一代防火墙 (3)2.1网络发展的趋势使防火墙以及传统方案失效 (3)2.2替代性方案能否弥补 (4)2.2.1“打补丁式的方案” (4)2.2.2 UTM统一威胁管理 (4)3.下一代防火墙的诞生与价值 (4)3.1Gantner定义下一代防火墙 (4)3.2深信服下一代应用防火墙—NGAF (5)4.产品功能特点 (6)4.1更精细的应用层安全控制 (6)4.1.1可视化应用识别 (7)4.1.2多种用户识别方式 (7)4.1.3一体化应用访问控制策略 (8)4.1.4基于应用的流量管理 (9)4.2更全面的内容级安全防护 (10)4.2.1灰度威胁关联分析技术 (10)4.2.2基于攻击过程的服务器保护 (12)4.2.3强化的WEB安全防护 (13)4.2.4完整的终端安全保护 (14)4.3更高性能的应用层处理能力 (15)4.3.1单次解析架构 (15)4.3.2多核并行处理技术 (16)4.4更完整的安全防护方案 (16)5.关于深信服 (17)1.概述防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。
防火墙就像故宫的城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。
防火墙技术在当时被堪称完美!随着时代的变迁,故宫的城墙已黯然失色,失去了它原有的防御能力。
同样防火墙在面对网络的高速发展,应用的不断增多的时代也失去了它不可替代的地位。
自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深信服下一代防火墙NGAF方案白皮书目录一、企业级网络安全建设需要什么 (4)1.传统割裂的各种安全产品? (4)2.“雇佣兵”式的安全服务? (5)3.企业级的网络安全到底需要什么? (5)二、深信服下一代防火墙的定位 (6)1.适用于国内环境的下一代防火墙 (6)2.我们不仅交付产品,还为您持续输送安全能力 (7)三、深信服下一代防火墙为企业安全赋能 (7)1.看懂安全现状和风险 (7)1.1业务安全状况可视 (7)1.2威胁危害效果可视 (8)1.3安全事件实时通报 (9)2.持续对抗新型威胁 (10)2.1产品快速迭代应对已知威胁 (10)2.2完整的APT攻击检测链 (11)2.3云检测平台应对未知威胁 (12)3.简化安全运营 (13)3.1任务化的风险管理 (13)3.2全网安全统一管控 (14)3.3威胁情报预警与处置 (15)3.4风险评估与策略联动 (15)3.5智能联动封锁机制 (16)四、高效稳定的底层架构设计 (16)1.分离平面设计 (16)2.多核并行处理 (17)3.单次解析架构 (17)4.跳跃式扫描技术 (18)5.Sangfor Regex正则引擎 (18)6.产品性能评测报告 (19)五、深信服下一代防火墙品牌优势 (19)1.市场引领者 (19)2.专业权威的认可 (20)3.专业安全攻防团队 (21)4.产品可靠稳定 (21)六、典型场景和案例 (22)典型应用场景 (22)典型应用案例 (23)七、部分客户列表 (25)近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。
随着网络安全形势逐渐恶化,网络攻击愈加频繁,用户对自己的网络安全建设是否合规、完善并没有把握。
该如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?安全建设该如何体现价值?这些问题已成为困扰用户安全建设的关键问题。
一、企业级网络安全建设需要什么传统组合方案问题多1.传统割裂的各种安全产品?传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。
传统产品组合方案缺陷二:有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以安全存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流量进行防护,在面临新的未知攻击的情况下缺乏有效的防御措施,还是存在被绕过的风险。
2.“雇佣兵”式的安全服务?即使采购了安全设备,但是缺乏专业的安全人员来进行及时有效的安全运维也是企业在安全建设中遇到的难题。
以往只能通过安全服务商采购安全服务,我们称为”雇佣兵”式的安全服务。
虽然短期内可以快速提升安全防护效果,满足合规要求,但是安全咨询和安全服务的交付质量,严重依赖于安全服务人员的水平,一旦安全专家离开了,那安全服务的交付质量就无法得到保障。
虽然买回来一堆完备的安全设备,也会因为专业程度太高,缺乏专家水平的人员运维,让这些设备变成了摆设,用户通过自己的力量并不能够真正地掌控网络安全。
3.企业级的网络安全到底需要什么?诉求一:看不看得到安全风险?只有看到L2-L7层的攻击才能了解网络的整体安全状况,基于传统多产品的组合方案使大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。
此外,没有攻击并不意味着业务不存在漏洞,一旦漏洞被利用就为时已晚。
好的解决方案应能及时发现业务漏洞,防患于未然。
最后,即使有大量的攻击也不意味着对业务安全的威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。
看不到有效攻击的来源,就无法让客户看到网络和业务的真实安全情况。
诉求二:能不能持续抵抗新威胁?首先,面对已知威胁,需要评估现有的安全防护体系在技术层面是否存在短板,存在短板必然容易被绕过,原有安全设备就形同虚设;其次,面对新型的威胁,企业是否具备实时应对和响应的能力,能够把影响最小化;最后,更多的安全威胁是未知的,如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁,是企业安全建设更高的一个层次的需求。
诉求三:安全运营是否能够简化?面对专业的安全设备,如果采用前述”雇佣兵”式的服务,并无法持续地帮助企业用户将安全达到一种可控的状态。
要想能够脱离”雇佣兵”式的安全服务,让安全设备发挥出最大的防护价值,就必须将专业、难懂的安全配置、安全日志进行简化,并能够引导和帮助用户具备用好、管好自己的设备的能力。
二、深信服下一代防火墙的定位1.适用于国内环境的下一代防火墙全球权威的IT研究与顾问咨询公司Gartner在2009年给出了下一代防火墙的定义:下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护。
结合目前国内的互联网安全环境来看,越来越多的安全事件是由Web层面的设计漏洞被黑客利用所引发的。
据统计,国内用户上网流量与对外发布业务流量混合的比例超过50%。
作为出口安全网关的防火墙如果不具备Web应用防护能力,则存在明显的短板。
所以下一代防火墙作为一款融合型安全产品,不能缺失基于Web应用的安全防护。
作为国内下一代防火墙产品的先行者,公安部第二代防火墙标准制定的参与者,深信服一直走在前沿,在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中。
深信服下一代防火墙NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,而且在开启安全功能的情况下还保持着强劲的应用层处理性能。
2.我们不仅交付产品,还为您持续输送安全能力安全已经成为继硬件、软件、网络之后的第四大IT基础设施。
深信服除了为用户提供创新的安全产品之外,还将致力于帮助企业掌握自身网络安全。
通过创新的安全产品+自动化的安全服务不断为用户输送安全能力,帮助用户具备看懂网络安全现状的能力,持续对抗新型威胁的能力和简化安全运营的能力。
三、深信服下一代防火墙为企业安全赋能1.看懂安全现状和风险1.1业务安全状况可视NGAF提供强大的综合安全风险报表功能,能够帮助用户直观地了解到网络中存在的风险,通过从业务安全、用户安全以及漏洞分布三个维度来全方位地帮助用户了解网络当中存在的威胁。
基于业务的风险分析报表(截选)NGAF的实时漏洞分析功能,可以主动分析经过设备的业务流量中存在的风险并实时展示出来,实时监控界面可以根据服务器真实存在的漏洞数量进行排名,同时给出各业务系统风险情况的评估,并给出建议和解决方案。
1.2威胁危害效果可视深信服NGAF突破传统安全产品的设计理念,在首页内容展示上进行了创新,将设备检测到的威胁风险通过图形化的界面进行统计和展示。
用户通过首页就能一眼掌握网络的安全状况。
通过各个版块简单的点击,就能继续深入了解到更详细的受害对象列表、安全日志、攻击来源等信息,能够直观地了解到哪些业务或者用户已经被黑客入侵或控制,哪些业务存在漏洞威胁,哪些Web服务器已经被植入了黑链等等。
NGAF首页风险展示1.3安全事件实时通报深信服NGAF搭建的微信安全服务平台,能够帮助用户7*24小时监控设备的安全状态,一旦发现设备检测到安全威胁,则通过深信服后台安全专家的验证确认后推送到用户端,帮助用户及时发现和处理安全风险,同时也通过漫画的形式帮助用户更好地了解所遭受攻击的危害,并定期生成安全风险报表,让运维管理人员更加了解自身的网络安全状态。
威胁实时通报安全报表推送威胁漫画展示2.持续对抗新型威胁2.1产品快速迭代应对已知威胁完整的应用层防护体系深信服NGAF具有完备的L2-L7层一体化的安全防御体系来应对已知威胁,在Web 应用安全层面的防护能力尤为突出,如具备网站黑链检测、Webshell脚本检测、OWASP TOP10 Web攻击防护等功能。
对于不断更新的威胁,深信服NGAF通过产品的快速迭代开发来响应需求。
深信服NGAF保持每两月更新一个软件版本的速度实现对产品改进需求的快速响应。
在攻击特征库方面也保持着每两周更新一次的频率进行维护。
高危的0day漏洞当天进行规则更新和发布。
2.2完整的APT攻击检测链面对复杂、隐蔽的APT攻击,深信服NGAF深入剖析了APT攻击的五个阶段,并在每个阶段都具备相应的安全措施,让用户可以看到不同阶段检测到的APT攻击行为。
2.3云检测平台应对未知威胁NGAF与云平台联动应对未知威胁在应对未知威胁方面,深信服搭建了未知威胁云检测平台,通过6000多台部署在全球各地的深信服下一代防火墙,在获得用户授权的前提下,自动上传可疑的应用流量到未知威胁云检测平台,云平台将该部分流量放到虚拟沙盒中进行运行,通过分析异常网络行为,对流量进行判断。
若上传流量存在安全威胁,云平台将生成安全防护规则并实时下发到全球所有在线的NGAF,令其能够有效抵御各类互联网攻击。
深信服未知威胁云检测平台截止至2015年12月,深信服安全云平台累计收到接近1亿条可疑威胁流量,并分析定位出40多万条存在威胁的恶意网址,安全云平台同步生成并下发的安全防护规则累计拦截了330多万次的访问请求。
3.简化安全运营3.1任务化的风险管理深信服NGAF通过将检测到的安全风险统一汇总,为用户形成一个待处理问题清单,引导用户关注未处理的安全风险,并通过提供工具化的解决办法来帮助用户将安全风险处理掉形成运营闭环。
3.2全网安全统一管控深信服下一代防火墙还具备全网安全监测平台,可实现对分布式部署的下一代防火墙进行统一的管理和监控,建设完善,可控的安全网络。
深信服全网安全监测方案部署在各节点的NGAF为分支机构的网络提供L2-L7层完整的安全防护,有效避免分支机构因薄弱的安全建设成为入侵短板;总部核心业务区防护设备的部署,强有力地保障了各项业务高效、稳定地开展;安全管理区的全网安全监测平台通过收集各节点的流量、攻击情况,使总部运维人员可实时了解分支机构的安全风险;集中管理平台可实现全网各节点设备的统一管理和统一策略推送,真正做到管理集中化、运维自动化。
分支机构安全状况实时上报3.3威胁情报预警与处置深信服NGAF内置了威胁情报预警中心,通过深信服后台安全专家团队持续不断地搜集互联网上最新爆发流行的0day漏洞,及时地将高危漏洞的危害分析以及检测验证工具同步推送到NGAF上,运维人员不仅可以在第一时间了解到最新的0day漏洞,还能够自主扫描验证内部服务器是否存在漏洞,如果扫描出问题也可以通过一键防护功能进行应急处置,帮助用户快速地将风险降到最低。