深信服NGAF下一代应用防火墙
1、下一代防火墙大势所趋
Web攻击事件——新浪微博病毒大范围传播 启示:类似XSS蠕虫05年就攻击过知名社交网站MySpace,这次事件可以算是samy蠕虫在新浪的翻版,但随着web2.0技术的广泛应用这种攻击的影响可能会加剧。
Web攻击事件——索尼泄密事件 单位信息安全问题不仅可能造成恶劣的政治影响、也会造成巨大的经济损失。【】索尼今年就因为泄露了客户信息造成了10几亿美元的损失。
泄密事件——北京市公积金查询网站 启示:web漏洞利用、防泄密不容忽视 其查询页面被搜索引擎抓取后,至少有数百个公积金账户的详细信息被泄漏到网上,包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。 启示:web漏洞利用、防泄密不容忽视
泄密事件——2011年末泄密事件 21日CSDN600数据库被黑,600余万用户资料泄漏 22日人人网500万用户资料遭泄密 25日天涯400万用户资料泄密 27日乌云漏洞平台称京东存在可用户权限控制不当漏洞,会导致用户资料完全泄露
篡改事件——2012年初网页篡改仍然严重 第 28 次中国互联网络发展状况统计报告 网络安全信息与动态 2012年1月 截至2011年6月底,我国域名总数为786万个。中国的网站数,即域名注册者在中国境内的网站数(包括在境内接入和境外接入)为183万个。 网络安全信息与动态 2012年1月
难道这些单位不重视安全建设吗? 威胁来自应用层! 90%投资在网络层! 传统防火墙已经失效!
管理难:多设备,多厂商、安全风险无法分析 效率低:重复解析、单点故障 现行的解决方案——“串糖葫芦”式部署 FW IPS AV WAF “串糖葫芦式”“打补丁式”建设 成本高:环境、空间、重复采购 管理难:多设备,多厂商、安全风险无法分析 效率低:重复解析、单点故障
现行的解决方案——UTM 简单的叠加 性能是最大的瓶颈 多设备叠加=多功能假集成=貌合神离 IPS策略 防病毒策略 URL策略 防火墙策略 防病毒签名 防火墙策略 URL签名 IPS解码器 防病毒解码器&代理 基于端口/协议的ID 基于端口/协议的ID 基于端口/协议的ID 基于端口/协议的ID L2/L3网络、高可用性(HA)、配置管理、报告 L2/L3网络、高可用性(HA)、配置管理、报告 L2/L3网络、高可用性(HA)、配置管理、报告 L2/L3网络、高可用性(HA)、配置管理、报告 L2/L3网络、高可用性(HA)、配置管理、报告 多设备叠加=多功能假集成=貌合神离
L2-L7层潜在的安全威胁 业务内容 网络层次越高 资产价值越大 敏感信息外泄 网页篡改、挂马 应用层DDoS SQL注入、跨站脚本 漏洞利用攻击 扫描探测 蠕虫、病毒、木马 P2P带宽滥用 风险越高 越迫切需要 被保护 Web应用架构 L5-L7: 应用层 Web服务架构 L4: 传输层 操作系统 访问控制问题 协议异常 网络层DDoS TCP/IP协议栈 2-7层,攻击的图 L3: 网络层 网络接口 ARP欺骗、广播风暴 L2: 链路层 网线 L1: 物理层 传输线路物理损坏
安全建设应该重新考虑 防应用层攻击 双向内容检测 涵盖传统安全 应用层高性能 防护应用层安全威胁为重心 重新考虑安全建设 安全不会成为网络的瓶颈 关注服务器外发内容的安全风险 融合现网环境, 与传统安全形成异构
2、产品介绍
下一代防火墙应具备的特性 NGAF是面向应用层设计,能识别用户、应用和内容,具备完整安全防护能力的高性能下一代防火墙。 防应用层攻击 双向内容检测 涵盖传统安全 应用层高性能
L2-L7层安全防护方案
NGAF特点——防应用层攻击 服务器敏感信息 NGAF 多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
多维度的漏洞攻击防护 核心应用漏洞库:2200+ 主机操作系统漏洞,如Windows、Linux、Unix等 应用程序漏洞,如Adobe、Office、SPA、IBM Lotus等 网络操作系统漏洞,如思科IOS、Juniper JUNOS、SSL协议等 中间件漏洞,如WebShpere、WebLogic等 数据库漏洞,如SQL Server、Oracle等 浏览器漏洞:IE、FrieFox、Google Chrome等 病毒、木马、后门软件等 。。。。。。 多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护
强化的Web安全防护 应用隐藏 FTP信息隐藏 HTTP信息隐藏 口令防护 弱口令防护 暴力破解防护 权限控制 文件上传过滤 URL防护 OWASP 10大web风险 SQL注入 XSS跨站脚本 网页木马 webshell
NGAF特点——双向内容检测 扫描过程 攻击过程 破坏过程 窃取内容 用户/黑客 Web应用服务器 服务器外发内容过滤 防止端口/服务扫描 弱口令保护/防暴力破解 关键URL保护 应用信息隐藏 HTTP出错页面隐藏 HTTP(S)响应报文头隐藏 FTP信息隐藏 强化的web防护 防SQL注入攻击 防OS命令注入 XSS攻击、CSRF攻击 多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护 DOS攻击 应用层DOS攻击 CC攻击* 权限控制 可执行程序上传过滤 上行病毒木马清洗 切断webshell流量 扫描过程 攻击过程 破坏过程 用户/黑客 Web应用服务器 服务器外发内容过滤 网页防篡改:静态、动态 敏感信息防泄露:身份证号、信用卡号、财务数据等 窃取内容
事前风险分析
网页防篡改 网关型网页防篡改 爬虫技术网页缓存 模糊、精确匹配方式 特征码、文件等多种比对方式 业务审批与安全管理界面分离 短信、邮件报警
敏感信息防泄漏 常见的敏感信息防泄漏 用户信息 邮箱账户信息 MD5加密密码 银行卡号 身份证号码 社保账号 信用卡号 手机号码 内部保密文件
NGAF特点——涵盖传统安全 WAF NGAF IPS 防火墙 应用 应用层数据 网络层次越高 资产价值越大 风险越高 越迫切需要 被保护 Web应用架构 会话标识 L5-L7: 应用层 Web服务架构 HTTP请求/响应 IPS L4: 传输层 操作系统 TCP连接 TCP/IP协议栈 防火墙 L3: 网络层 IP报文 以太网报文 网络接口 L2: 链路层 L1: 物理层 二进制比特流 网线
集成式防火墙功能 如:提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。 包过滤与状态检测 路由 NAT 抗网络层攻击 IPSECVPN 如:提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。 如:某个应用占用带宽持续增高,提示管理员是否对该应用进行流量控制或者禁止。通过这种方式来发现潜在和未知的威胁。)
内置IPSEC VPN模块 市场占有率连续5年全国第一 基于国际标准的IPSec VPN
统一集中管理 可视化展现 深层次审计分析 集中管理 、 SC中心端 受控端 受控端 受控端 受控端 基于设备面板状态监控 多维度图形化监控 设备集中状态监控 深层次审计分析 高性能数据处理能力 高容量数据存储 多应用数据挖掘和分析 集中管理 多种协议方式管理
+ = NGAF特点——应用层高性能 万兆处理能力 应用层高性能 FW IPS AV 单次解析构架 实现报文一次解析和匹配 多核并行处理技术 核 1 策略层 网络层/快递路径 网络硬件I/O FW IPS AV 核 2 + = 核 n 并行 核 性能 1 2 3 n 应用层高性能 单次解析构架 实现报文一次解析和匹配 多核并行处理技术 提升应用层分析速度 全新技术构架 实现应用层万兆处理能力