深信服NGAF下一代应用防火墙产品介绍

网页防篡改
• 网关型网页防篡改 • 爬虫技术网页缓存 • 模糊、精确匹配方式 • 特征码、文件等多种比对方式 • 业务审批与安全管理界面分离 • 短信、邮件报警
敏感信息防泄漏
• 常见的敏感信息防泄漏 – 用户信息 – 邮箱账户信息 – MD5加密密码 – 银行卡号 – 身份证号码 – 社保账号 – 信用卡号 – 手机号码 – 内部保密文件
核1
核2
+
核n
性能
并行
12 3n
万兆处理能力
=
应用层高性能
核
单次解析构架 实现报文一次解析和匹配
多核并行处理技术
全新技术构架
提升应用层分析速度 实现应用层万兆处理能力
www.sangfor.com.cn
NGAF特点——涵盖传统安全
网络层次越高 资产价值越大
L5-L7: 应用层
WAF
L4: 传输层
L3: 网络层
L2: 链路层 L1: 物理层
IPS 防火墙
NGAF
应用
应用层数据
Web应用架构
风险越高 越迫切需要
被保护
会话标识
Web服务架构 操作系统
TCP/IP协议栈 网络接口 网线
HTTP请求/响应
漏洞利用攻击 扫描探测
蠕虫、病毒、木马 P2P带宽滥用
访问控制问题 协议异常
网络层DDoS
网络接口 网线
ARP欺骗、广播风暴 传输线路物理损坏
安全建设应该重新考虑
安全不会成为网 络的瓶颈
应用层 高性能
防应用 层攻击
防护应用层安全 威胁为重心
重新考虑 安全建设
双向内 容检测
关注服务器外发 内容的安全风险
网络操作系统漏洞，如思科IOS、 Juniper JUNOS、SSL协议等
中间件漏洞，如WebShpere、 WebLogic等
数据库漏洞，如SQL Server、 Oracle等
浏览器漏洞：IE、FrieFox、 Google Chrome等
病毒、木马、后门软件等
。。。。。。
、
受控端
SC中心端
受控端
• 深层次审计分析
– 高性能数据处理能力 – 高容量数据存储 – 多应用数据挖掘和分析
• 集中管理
– 多种协议方式管理
受控端
受控端
• 可视化展现
– 基于设备面板状态监控 – 多维度图形化监控 – 设备集中状态监控
NGAF特点——应用层高性能
FW IPS AV
策略层
网络层/快递路径 网络硬件I/O
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
L2/L3网络、高可用 性（HA）、配置管理、
报告
L2/L3网络、高可用
L2/L3网络、高可用
性（LH2A/L）3网、络配、置高管可理用、性（HA）性、（配HA置）管、理配、置报管告理、
ቤተ መጻሕፍቲ ባይዱ
报告
报告
L2/L3网络、高可用 性（HA）、配置管理、
FW
IPS
AV
WAF
“串糖葫芦式”“打补丁式”建设
成本高：环境、空间、重复采购 管理难：多设备，多厂商、安全风险无法分析 效率低：重复解析、单点故障
现行的解决方案——UTM
IPS策略
防病毒策略
URL策略
IPS签名
防病毒签名
防火墙策略
URL签名
IPS解码器
防病毒解码器&代理
基于端口/协议的ID
深信服NGAF下一代应用防火墙
1、下一代防火墙大势所趋
Web攻击事件——新浪微博病毒大范围传播
启示：类似XSS蠕虫05年就攻击过知名社交网站MySpace，这次 事件可以算是samy蠕虫在新浪的翻版，但随着web2.0技术的广泛 应用这种攻击的影响可能会加剧。
Web攻击事件——索尼泄密事件
泄密事件——北京市公积金查询网站
• 防止端口/服务扫描 • 弱口令保护/防暴力破解 • 关键URL保护 • 应用信息隐藏
• HTTP出错页面隐藏 • HTTP(S)响应报文头隐藏 • FTP信息隐藏
扫描过程
• 强化的web防护 • 防SQL注入攻击 • 防OS命令注入 • XSS攻击、CSRF攻击
• 多对象漏洞利用 • 服务器漏洞攻击防护 • 终端漏洞攻击防护
报告
多设备叠加=多功能假集成=貌合神离
L2-L7层潜在的安全威胁
网络层次越高 资产价值越大 L5-L7: 应用层
L4: 传输层 L3: 网络层 L2: 链路层 L1: 物理层
业务内容 Web应用架构
Web服务架构 操作系统
TCP/IP协议栈
风险越高 越迫切需要
被保护
敏感信息外泄 网页篡改、挂马
应用层DDoS SQL注入、跨站脚本
其查询页面被搜索引擎 抓取后，至少有数百个 公积金账户的详细信息 被泄漏到网上，包括公 积金账户姓名、身份证 号、公积金余额、所在 单位等一览无遗。
• 启示：web漏洞利用、防泄密不容忽视
泄密事件——2011年末泄密事件
篡改事件——2012年初网页篡改仍然严重
第 28 次中国互联网络发展状况统计报告
攻击过程
• DOS攻击 • 应用层DOS攻击 • CC攻击* • 权限控制 • 可执行程序上传过滤 • 上行病毒木马清洗 • 切断webshell流量
破坏过程
用户/黑客
窃取内容
服务器外发内容过滤 •网页防篡改：静态、动态 •敏感信息防泄露：身份证号、 信用卡号、财务数据等
Web应用服务器
事前风险分析
融合现网环境， 与传统安全形成 异构
涵盖传 统安全
2、产品介绍
下一代防火墙应具备的特性
NGAF是面向应用层设计，能识别用户、应用和内容，具备完整 安全防护能力的高性能下一代防火墙。
• 防应用层攻击 • 双向内容检测 • 涵盖传统安全 • 应用层高性能
L2-L7层安全防护方案
NGAF特点——防应用层攻击
截至2011年6月底，我国域名总数为786万个。中国的网站数，即域名注册者在中国境 内的网站数（包括在境内接入和境外接入）为183万个。
网络安全信息与动态 2012年1月
难道这些单位不重视安全建设吗？
威胁来自应用层！ 90%投资在网络层！ 传统防火墙已经失效！
现行的解决方案——“串糖葫芦”式部署
强化的Web安全防护
• 应用隐藏 – FTP信息隐藏 – HTTP信息隐藏
• 口令防护 – 弱口令防护 – 暴力破解防护
• 权限控制 – 文件上传过滤 – URL防护
• OWASP 10大web风险 – SQL注入 – XSS跨站脚本 – 网页木马 – webshell
NGAF特点——双向内容检测
TCP连接 IP报文 以太网报文 二进制比特流
集成式防火墙功能
包过滤与 状态检测
IPSECVPN
路由
防火
墙
抗网络层
攻击
NAT
内置IPSEC VPN模块
• 市场占有率连续5年全国第一 • 基于国际标准的IPSec VPN • 国家IPSec VPN标准的核心制定者
之一，产品高安全保证
统一集中管理
服务器敏感信息
NGAF
多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
多维度的漏洞攻击防护
多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护
核心应用漏洞库：2200+
主机操作系统漏洞，如Windows、 Linux、Unix等
应用程序漏洞，如Adobe、Office、 SPA、IBM Lotus等