深信服NGAF下一代应用防火墙.

Slides:



Advertisements
Similar presentations
关于中国色情产业合法化的伦理学讨论 张雅萱 周嘉言 史翔瑞 詹智超.
Advertisements

一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
应用推广工作培训 广州市教育信息中心 ( 电教馆 ) 方昆阳.  一、教育信息化遇到什么问题?  二、什么是学习空间?  三、数字教育城是什么?  四、注册、登录等注意事项。  五、重点推介的系统  六、应用推广的评价机制。
管理科学与工程类专业 职业规划问题探讨 报告人 : 李增兵 67D103 , FTP : // 管理科学与工程学院.
组长:倪运超 小组成员:徐悦、曹吕卿、孙浩、徐圣尧.  上海的历史 上海的历史  上海的历史 上海的历史  上海的文化 —— 建筑 上海的文化 —— 建筑  上海的文化 —— 美食 上海的文化 —— 美食  香港的历史 香港的历史  香港的历史 香港的历史  香港的文化 —— 建筑 香港的文化.
一、 突出解析几何复习中的重点问题的通法通解 解析几何中的重点问题 一、 突出解析几何复习中的重点问题的通法通解 直线与圆锥曲线的位置关系 重点一.
企业产品成本核算制度(试行) 培训课件 河北涿州 2013年11月15日.
资源平台应用培训 武汉市交通学校信息化建设指导委员会.
第十三章 中国的传统科学技术 中国古代的科技曾经长期处于世界领先地位,对人类文明的进步作出过重要贡献,并形成了富有特色的科技文化。在今天,源自中国古代科技文化的中医学仍然在现实生活中发挥着积极的作用。
第八讲信息安全技术基础 教学目的与要求: 1.了解计算机病毒的概念及特征 2.掌握计算机病毒的防治 教学重点: 1. 计算机病毒的概念及特征
“营改增”税控开票软件(金税盘版)技术培训 2016年4月
Fortinet产品IDC安全解决方案.
半导体所网络概况 图书信息中心 张 棣.
104年度國立宜蘭大學新進主管研討 主計業務宣導說明
数据通信与计算机网络 第1讲 绪论 浙江万里学院 邵鹏飞.
2.4 计算机网络基础 什么是计算机网络? 计算机网络有哪些功能? 计算机网络的发展历史? 计算机网络体系结构的内容? 计算机网络如何分类?
102年實施之高中職及五專多元入學(含免試入學)之招生機制
读者与图书馆 2009年春季版 总第 15 期 山 东 交 通 学 院 图 书 馆 2009年3月.
國有土地管理與運用問題之探討 主講人: 廖 蘇 隆 中華民國100年10月17 日.
了 解 从 Internet IP 开 始.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
MIE-311 Mobile Network Security
2012级暑期放假安全教育 及宿舍搬迁工作布置会 北京化工大学理学院 辅导员:曹鼎 2013年6月6日.
汇报大纲 一、报送系统总体介绍 二、自查及检查评分报送流程 三、自查及检查方法及关键点 四、建议及注意事项.
雄伟的金字塔.
第五章 各类园林绿地的规划设计.
安全承载未来梦想 ——以太科技让校园更安心.
SECCN上网行为管理解决方案 广州鼎成信息科技有限公司.
实训十四、IE浏览器的基本应用.
第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.
北京信联云通科技有限责任公司,版权所有 NRS2 使用方法 Copyright©2011 by Octopus Link.
了 解 Internet 从 ip 开 始.
俄语字母的发音体系 阅读规则.
小学组全国总冠军.
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
2015年云南财经大学图书馆 新生入馆教育考核试题 答题指南
构建下一代校园网 迎接数字化新趋势 安全、可管理的数字化校园网方案汇报 裘栋 网络高级工程师 资深教育信息化专家.
妈妈我爱你 你总说我还不懂事 维护我像一张白纸 你眼中我永远是长不大的孩子 虽然我有好多心事 却已不愿说与你知 我曾任性地排斥你爱我的方式
开 学 第 一 课 六年级3班.
单元 6 信息检索和网络信息应用.
第二期实验室工作人员培训讲座(三) 加强规范化建设 提高仪器设备管理水平 设备处 黄久龙 2017年9月13日 徐州师范大学设备处 黄久龙.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
2018/9/18 SINFOR广域网加速产品分析 解决网络速度和带宽问题.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
华南师范大学 防火墙 华南师范大学
第5章 下载和上传Internet资源 2018/11/19.
網路服務 家庭和小型企業網路 – 第六章.
2018/11/29 内外兼修,保障业务安全 —— 腾讯安全运维实践
中央大學 電子計算機中心 . 雲端服務介紹 李靜怡 105年5月SNMG會議.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
OSI七層架構 OSI階層 負責的工作 應用層 表達層 會議層 傳輸層 網路層 資料鏈結層 實體層 將應用程式所送出的訊息轉成字元資料
第12章 远程访问、NAT技术.
E地通VPN设备部署.
欢迎各位 Nice to Meet U.
Web前端开发 第23章:网站发布 阮晓龙 / 河南中医药大学管理科学与工程学科
Network Application Programming(3rd Edition)
2018 资产管理处 采购系统简介.
第 7 章 电子政府的支撑技术.
國立新港藝術高中申請TANet新世代網路連線計畫書
業務員 傷害險通報作業 新光人壽內網-產險傷害險通報P2~P4 【個人】傷害險通報作業P5~P10 【團體】傷害險通報作業P11~P16
保變住開發要點 資料來源:台北市政府都發局.
目 录: 一、网络存储系统的登录 二、网络存储系统的基本使用 三、学生提交作业功能的使用 四、教师开放资源功能的使用.
【VA虚拟应用管理平台】专题培训 接入防火墙 陕西益和信息技术开发有限责任公司 2011年2月.
架构师成长感悟 吴隆烽
第10讲 Web服务.
王小桃 認識電子商務.
天翼云产品介绍.
第四代教育城域网解决方案 锐捷网络解决方案部 曲景洋.
天翼云3.0产品介绍及18年规划.
第 4 章 网络层.
Presentation transcript:

深信服NGAF下一代应用防火墙

1、下一代防火墙大势所趋

Web攻击事件——新浪微博病毒大范围传播 启示:类似XSS蠕虫05年就攻击过知名社交网站MySpace,这次事件可以算是samy蠕虫在新浪的翻版,但随着web2.0技术的广泛应用这种攻击的影响可能会加剧。

Web攻击事件——索尼泄密事件 单位信息安全问题不仅可能造成恶劣的政治影响、也会造成巨大的经济损失。【】索尼今年就因为泄露了客户信息造成了10几亿美元的损失。

泄密事件——北京市公积金查询网站 启示:web漏洞利用、防泄密不容忽视 其查询页面被搜索引擎抓取后,至少有数百个公积金账户的详细信息被泄漏到网上,包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。 启示:web漏洞利用、防泄密不容忽视

泄密事件——2011年末泄密事件 21日CSDN600数据库被黑,600余万用户资料泄漏 22日人人网500万用户资料遭泄密 25日天涯400万用户资料泄密 27日乌云漏洞平台称京东存在可用户权限控制不当漏洞,会导致用户资料完全泄露

篡改事件——2012年初网页篡改仍然严重 第 28 次中国互联网络发展状况统计报告 网络安全信息与动态 2012年1月 截至2011年6月底,我国域名总数为786万个。中国的网站数,即域名注册者在中国境内的网站数(包括在境内接入和境外接入)为183万个。 网络安全信息与动态 2012年1月

难道这些单位不重视安全建设吗? 威胁来自应用层! 90%投资在网络层! 传统防火墙已经失效!

管理难:多设备,多厂商、安全风险无法分析 效率低:重复解析、单点故障 现行的解决方案——“串糖葫芦”式部署 FW IPS AV WAF “串糖葫芦式”“打补丁式”建设 成本高:环境、空间、重复采购 管理难:多设备,多厂商、安全风险无法分析 效率低:重复解析、单点故障

现行的解决方案——UTM 简单的叠加 性能是最大的瓶颈 多设备叠加=多功能假集成=貌合神离 IPS策略 防病毒策略 URL策略 防火墙策略 防病毒签名 防火墙策略 URL签名 IPS解码器 防病毒解码器&代理 基于端口/协议的ID 基于端口/协议的ID 基于端口/协议的ID 基于端口/协议的ID L2/L3网络、高可用性(HA)、配置管理、报告 L2/L3网络、高可用性(HA)、配置管理、报告 L2/L3网络、高可用性(HA)、配置管理、报告 L2/L3网络、高可用性(HA)、配置管理、报告 L2/L3网络、高可用性(HA)、配置管理、报告 多设备叠加=多功能假集成=貌合神离

L2-L7层潜在的安全威胁 业务内容 网络层次越高 资产价值越大 敏感信息外泄 网页篡改、挂马 应用层DDoS SQL注入、跨站脚本 漏洞利用攻击 扫描探测 蠕虫、病毒、木马 P2P带宽滥用 风险越高 越迫切需要 被保护 Web应用架构 L5-L7: 应用层 Web服务架构 L4: 传输层 操作系统 访问控制问题 协议异常 网络层DDoS TCP/IP协议栈 2-7层,攻击的图 L3: 网络层 网络接口 ARP欺骗、广播风暴 L2: 链路层 网线 L1: 物理层 传输线路物理损坏

安全建设应该重新考虑 防应用层攻击 双向内容检测 涵盖传统安全 应用层高性能 防护应用层安全威胁为重心 重新考虑安全建设 安全不会成为网络的瓶颈 关注服务器外发内容的安全风险 融合现网环境, 与传统安全形成异构

2、产品介绍

下一代防火墙应具备的特性 NGAF是面向应用层设计,能识别用户、应用和内容,具备完整安全防护能力的高性能下一代防火墙。 防应用层攻击 双向内容检测 涵盖传统安全 应用层高性能

L2-L7层安全防护方案

NGAF特点——防应用层攻击 服务器敏感信息 NGAF 多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析

多维度的漏洞攻击防护 核心应用漏洞库:2200+ 主机操作系统漏洞,如Windows、Linux、Unix等 应用程序漏洞,如Adobe、Office、SPA、IBM Lotus等 网络操作系统漏洞,如思科IOS、Juniper JUNOS、SSL协议等 中间件漏洞,如WebShpere、WebLogic等 数据库漏洞,如SQL Server、Oracle等 浏览器漏洞:IE、FrieFox、Google Chrome等 病毒、木马、后门软件等 。。。。。。 多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护

强化的Web安全防护 应用隐藏 FTP信息隐藏 HTTP信息隐藏 口令防护 弱口令防护 暴力破解防护 权限控制 文件上传过滤 URL防护 OWASP 10大web风险 SQL注入 XSS跨站脚本 网页木马 webshell

NGAF特点——双向内容检测 扫描过程 攻击过程 破坏过程 窃取内容 用户/黑客 Web应用服务器 服务器外发内容过滤 防止端口/服务扫描 弱口令保护/防暴力破解 关键URL保护 应用信息隐藏 HTTP出错页面隐藏 HTTP(S)响应报文头隐藏 FTP信息隐藏 强化的web防护 防SQL注入攻击 防OS命令注入 XSS攻击、CSRF攻击 多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护 DOS攻击 应用层DOS攻击 CC攻击* 权限控制 可执行程序上传过滤 上行病毒木马清洗 切断webshell流量 扫描过程 攻击过程 破坏过程 用户/黑客 Web应用服务器 服务器外发内容过滤 网页防篡改:静态、动态 敏感信息防泄露:身份证号、信用卡号、财务数据等 窃取内容

事前风险分析

网页防篡改 网关型网页防篡改 爬虫技术网页缓存 模糊、精确匹配方式 特征码、文件等多种比对方式 业务审批与安全管理界面分离 短信、邮件报警

敏感信息防泄漏 常见的敏感信息防泄漏 用户信息 邮箱账户信息 MD5加密密码 银行卡号 身份证号码 社保账号 信用卡号 手机号码 内部保密文件

NGAF特点——涵盖传统安全 WAF NGAF IPS 防火墙 应用 应用层数据 网络层次越高 资产价值越大 风险越高 越迫切需要 被保护 Web应用架构 会话标识 L5-L7: 应用层 Web服务架构 HTTP请求/响应 IPS L4: 传输层 操作系统 TCP连接 TCP/IP协议栈 防火墙 L3: 网络层 IP报文 以太网报文 网络接口 L2: 链路层 L1: 物理层 二进制比特流 网线

集成式防火墙功能 如:提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。 包过滤与状态检测 路由 NAT 抗网络层攻击 IPSECVPN 如:提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。 如:某个应用占用带宽持续增高,提示管理员是否对该应用进行流量控制或者禁止。通过这种方式来发现潜在和未知的威胁。)

内置IPSEC VPN模块 市场占有率连续5年全国第一 基于国际标准的IPSec VPN

统一集中管理 可视化展现 深层次审计分析 集中管理 、 SC中心端 受控端 受控端 受控端 受控端 基于设备面板状态监控 多维度图形化监控 设备集中状态监控 深层次审计分析 高性能数据处理能力 高容量数据存储 多应用数据挖掘和分析 集中管理 多种协议方式管理

+ = NGAF特点——应用层高性能 万兆处理能力 应用层高性能 FW IPS AV 单次解析构架 实现报文一次解析和匹配 多核并行处理技术 核 1 策略层 网络层/快递路径 网络硬件I/O FW IPS AV 核 2 + = 核 n 并行 核 性能 1 2 3 n 应用层高性能 单次解析构架 实现报文一次解析和匹配 多核并行处理技术 提升应用层分析速度 全新技术构架 实现应用层万兆处理能力