深信服NGAF下一代应用防火墙1、下一代防火墙大势所趋Web攻击事件——新浪微博病毒大范围传播启示:类似XSS蠕虫05年就攻击过知名社交网站MySpace,这次事件可以算是samy蠕虫在新浪的翻版,但随着web2.0技术的广泛应用这种攻击的影响可能会加剧。Web攻击事件——索尼泄密事件其查询页面被搜索引擎抓取后,至少有数百个公积金账户的详细信息被泄漏到网上,包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。泄密事件——北京市公积金查询网站•启示:web漏洞利用、防泄密不容忽视泄密事件——2011年末泄密事件篡改事件——2012年初网页篡改仍然严重截至2011年6月底,我国域名总数为786万个。中国的网站数,即域名注册者在中国境内的网站数(包括在境内接入和境外接入)为183万个。第28次中国互联网络发展状况统计报告网络安全信息与动态2012年1月难道这些单位不重视安全建设吗?威胁来自应用层!90%投资在网络层!传统防火墙已经失效!现行的解决方案——“串糖葫芦”式部署FWIPSAVWAF“串糖葫芦式”“打补丁式”建设成本高:环境、空间、重复采购管理难:多设备,多厂商、安全风险无法分析效率低:重复解析、单点故障现行的解决方案——UTM基于端口/协议的ID基于端口/协议的IDL2/L3网络、高可用性(HA)、配置管理、报告L2/L3网络、高可用性(HA)、配置管理、报告基于端口/协议的ID基于端口/协议的IDURL签名URL签名L2/L3网络、高可用性(HA)、配置管理、报告L2/L3网络、高可用性(HA)、配置管理、报告URL策略URL策略基于端口/协议的ID基于端口/协议的IDIPS签名IPS签名L2/L3网络、高可用性(HA)、配置管理、报告L2/L3网络、高可用性(HA)、配置管理、报告IPS策略IPS策略基于端口/协议的ID基于端口/协议的ID防病毒签名防病毒签名L2/L3网络、高可用性(HA)、配置管理、报告L2/L3网络、高可用性(HA)、配置管理、报告防病毒策略防病毒策略防火墙策略防火墙策略IPS解码器IPS解码器防病毒解码器&代理防病毒解码器&代理多设备叠加=多功能假集成=貌合神离L2/L3网络、高可用性(HA)、配置管理、报告L2/L3网络、高可用性(HA)、配置管理、报告简单的叠加性能是最大的瓶颈网络层次越高资产价值越大L5-L7:应用层L4:传输层L3:网络层L2:链路层L1:物理层风险越高越迫切需要被保护访问控制问题协议异常网络层DDoSARP欺骗、广播风暴传输线路物理损坏L2-L7层潜在的安全威胁敏感信息外泄网页篡改、挂马应用层DDoSSQL注入、跨站脚本漏洞利用攻击扫描探测蠕虫、病毒、木马P2P带宽滥用业务内容Web应用架构Web服务架构操作系统TCP/IP协议栈网络接口网线安全建设应该重新考虑重新考虑安全建设防应用层攻击双向内容检测涵盖传统安全应用层高性能防护应用层安全威胁为重心关注服务器外发内容的安全风险融合现网环境,与传统安全形成异构安全不会成为网络的瓶颈2、产品介绍下一代防火墙应具备的特性•防应用层攻击•双向内容检测•涵盖传统安全•应用层高性能NGAF是面向应用层设计,能识别用户、应用和内容,具备完整安全防护能力的高性能下一代防火墙。L2-L7层安全防护方案NGAF特点——防应用层攻击服务器敏感信息NGAF多维度应用层攻击防护“识别—防护”的攻击防护深入内容的内容解析多维度的漏洞攻击防护核心应用漏洞库:2200+主机操作系统漏洞,如Windows、Linux、Unix等应用程序漏洞,如Adobe、Office、SPA、IBMLotus等网络操作系统漏洞,如思科IOS、JuniperJUNOS、SSL协议等中间件漏洞,如WebShpere、WebLogic等数据库漏洞,如SQLServer、Oracle等浏览器漏洞:IE、FrieFox、GoogleChrome等病毒、木马、后门软件等。。。。。。多对象漏洞利用服务器漏洞攻击防护终端漏洞攻击防护强化的Web安全防护•应用隐藏–FTP信息隐藏–HTTP信息隐藏•口令防护–弱口令防护–暴力破解防护•权限控制–文件上传过滤–URL防护•OWASP10大web风险–SQL注入–XSS跨站脚本–网页木马–webshell服务器外发内容过滤•网页防篡改:静态、动态•敏感信息防泄露:身份证号、信用卡号、财务数据等NGAF特点——双向内容检测•防止端口/服务扫描•弱口令保护/防暴力破解•关...
