下一代防火墙AF
- 企业级网络安全建设需要什么
- 传统割裂的各种安全产品?
传统组合方案问题多
传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。
传统产品组合方案缺陷二:有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以安全存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流量进行防护,在面临新的未知攻击的情况下缺乏有效的防御措施,还是存在被绕过的风险。
传统产品组织方案缺陷三: 无论安全建设采用的是传统的安全产品叠加方案还是采用UTM/NGFW+WAF的整合类产品解决方案,都是聚焦于如何保护资产在事中攻击过程中不被入侵成功,但是并不具备对于资产的事前风险预知和事后检测响应的能力,从业务风险的生命周期来看,仅仅具备事中的防护是不完整的。
- 企业级的网络安全需要什么?
诉求一:看不看得到安全风险?
只有看到L2-L7层的攻击才能了解网络的整体安全状况,基于传统多产品的组合方案使大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。此外,没有攻击并不意味着业务不存在漏洞,一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞,防患于未然。最后,即使有大量的攻击也不意味着对业务安全的威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的来源,就无法让客户看到网络和业务的真实安全情况。
诉求二:能不能持续抵抗新威胁?
首先,面对已知威胁,需要评估现有的安全防护体系在技术层面是否存在短板,存在短板必然容易被绕过,原有安全设备就形同虚设;其次,面对新型的威胁,企业是否具备实时应对和响应的能力,能够把影响最小化;最后,更多的安全威胁是未知的,如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁,是企业安全建设更高的一个层次的需求。
诉求三:安全运营是否能够简化?
面对专业的安全设备,如果采用前述r”雇佣兵”式的服务,并无法持续地帮助企业用户将安全达到一种可控的状态。要想能够脱离”雇佣兵”式的安全服务,让安全设备发挥出最大的防护价值,就必须将专业、难懂的安全配置、安全日志进行简化,并能够引导和帮助用户具备用好、管好自己的设备的能力。
- 深信服下一代防火墙的价值主张
融合安全,简单有效
融合不是单纯的功能叠加,而是依照业务开展过程中会遇到的各类风险,所提供的对应安全技术手段的融合,能够为业务提供全流程的保护,融合安全包括从事前的资产风险发现,策略有效性检测,到事中所应具备的各类安全防御手段以及事后的持续检测和快速响应机制。
- 深信服下一代防火墙为企业安全赋能
- 看懂安全现状和风险
- 业务安全状况可视
NGAF提供强大的综合安全风险报表功能,能够帮助用户直观地了解到网络中存在的风险,通过从业务安全、用户安全以及漏洞分布三个维度来全方位地帮助用户了解网络当中存在的威胁。
基于业务的风险分析报表(截选)
NGAF的实时漏洞分析功能,可以主动分析经过设备的业务流量中存在的风险并实时展示出来,实时监控界面可以根据服务器真实存在的漏洞数量进行排名,同时给出各业务系统风险情况的评估,并给出建议和解决方案。
- 威胁危害效果可视
深信服NGAF突破传统安全产品的设计理念,在首页内容展示上进行了创新,将设备检测到的威胁风险通过图形化的界面进行统计和展示。用户通过首页就能一眼掌握网络的安全状况。通过各个版块简单的点击,就能继续深入了解到更详细的受害对象列表、安全日志、攻击来源等信息,能够直观地了解到哪些业务或者用户已经被黑客入侵或控制,哪些业务存在漏洞威胁,哪些Web服务器已经被植入了黑链等等。
NGAF首页风险展示
- 安全事件实时通报
深信服NGAF搭建的微信安全服务平台,能够帮助用户7*24小时监控设备的安全状态,一旦发现设备检测到安全威胁,则通过深信服后台安全专家的验证确认后推送到用户端,帮助用户及时发现和处理安全风险,同时也通过漫画的形式帮助用户更好地了解所遭受攻击的危害,并定期生成安全风险报表,让运维管理人员更加了解自身的网络安全状态。
威胁实时通报 安全报表推送 威胁漫画展示
- 持续对抗新型威胁
- 产品快速迭代应对已知威胁
完整的应用层防护体系
深信服NGAF具有完备的L2-L7层一体化的安全防御体系来应对已知威胁,在Web应用安全层面的防护能力尤为突出,如具备网站黑链检测、Webshell脚本检测、OWASP TOP10 Web攻击防护等功能。对于不断更新的威胁,深信服NGAF通过产品的快速迭代开发来响应需求。深信服NGAF保持每两月更新一个软件版本的速度实现对产品改进需求的快速响应。
在攻击特征库方面也保持着每两周更新一次的频率进行维护。高危的0day漏洞当天进行规则更新和发布。
- 完整的APT攻击检测链
面对复杂、隐蔽的APT攻击,深信服NGAF深入剖析了APT攻击的五个阶段,并在每个阶段都具备相应的安全措施,让用户可以看到不同阶段检测到的APT攻击行为,并可对威胁进行攻击举证;
- Web风险全面防御
越来越多的web风险持续威胁着企业的关键业务,深信服基于此构建了下一代WAF防御体系,通过采用人工智能技术对合法流量进行精准识别,快速通行,有效提升设备的处理性能;
通过深度分析业务系统,将业务系统的解析能力全面移植到现有的WAF设备中,实现业务智能适配,有效抵御web风险,通过基于漏洞原理的深度防御,对现存的web风险精准识别;
2.4 业务失陷风险持续检测
面对企业重要资产的失陷风险,从而影响企业内部的核心业务,深信服专家团队全面分析了失陷主机的失陷全过程,从各个维度对失陷主机进行安全的防护,基于人工智能技术,有效识别恶意行为,生成恶意行为检测模型,对非法的行为实现快速响应;
2.5 安全云脑持续应对未知威胁
在应对未知威胁方面,深信服在云端搭建了智能大脑,安全云脑通过构建全球样本采集点并通过厂商安全情报的交换,丰富的数据来源,扩充自身的数据生态;基于领先的技术架构,对海量的数据进行汇聚、分析、挖掘,通过人工智能构建众多引擎,如僵尸网络引擎、恶意链接引擎,恶意文件检测引擎等,不断的对高危、热点威胁进行深度检测与分析,并通过攻防、安全专家不断的优化云端架构和算法引擎;
通过安全云脑不断突破防火墙的防护边界,同时可以对全球热点事件进行极速响应;
NGAF与云端大脑联动应对未知威胁
深信服未知威胁云检测平台
截止至2017年12月,深信服安全云平台累计收到接近2亿条可疑威胁流量,并分析定位出100多万条存在威胁的恶意网址,安全云平台同步生成并下发的安全防护规则累计拦截了600多万次的访问请求。
2.6 业界领先的风险防御体系
深信服下一代安全防护体系通过业界领先的架构,构建云端、边界协同联动,全面风险管控的能力,以防火墙为建设主体,通过云端不断增强防火墙的安全能力,同时可以联动终端,持续防御未知威胁、高级威胁;
- 简化安全运营
- 任务化的风险管理
深信服NGAF通过将检测到的安全风险统一汇总,为用户形成一个待处理问题清单,引导用户关注未处理的安全风险,并通过提供工具化的解决办法来帮助用户将安全风险处理掉形成运营闭环。
- 威胁情报预警与处置
深信服NGAF内置了威胁情报预警中心,通过深信服后台安全专家团队持续不断地搜集互联网上最新爆发流行的0day漏洞,及时地将高危漏洞的危害分析以及检测验证工具同步推送到NGAF上,运维人员不仅可以在第一时间了解到最新的0day漏洞,还能够自主扫描验证内部服务器是否存在漏洞,如果扫描出问题也可以通过一键防护功能进行应急处置,帮助用户快速地将风险降到最低。
- 风险评估与策略联动
深信服NGAF基于时间周期的安全防护设计,提供事前风险评估及策略联动功能。风险评估功能分为系统漏洞扫描和Web弱点扫描两部分:
系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应安全风险的安全防护策略。
Web弱点扫描通过内置的二十多类Web攻击特征,可以帮助用户快速定位出Web应用的漏洞,并提供相关漏洞的严重等级、漏洞详情以及建议的修复方案等,协助用户快速解决内网Web应用存在的风险。
- 智能联动封锁机制
深信服NGAF智能主动防御技术可在内部各个模块之间形成智能的联动策略,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断该IP/用户。智能防护体系的建立可有效地防止工具型、自动化的黑客攻击,提高攻击成本。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。
- 高效稳定的底层架构设计
- 分离平面设计
深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离,在底层以应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发,从而实现高效、可靠的数据报文处理。
分离平面设计
- 多核并行处理
NGAF的设计不仅采用了多核的硬件架构,在计算指令设计上还采用了先进的无锁并行处理技术,能够实现多流水线同时处理,成倍提升系统吞吐量,在多核系统下性能表现十分优异,是真正的多核并行处理架构。
多核并行处理技术
- 单次解析架构
NGAF采用单次解析构架实现报文的一次解析一次匹配,有效提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离,将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析和统一检测,减少冗余的数据包封装,实现高性能的数据处理。
单次解析架构
- 跳跃式扫描技术
NGAF利用多年积累的应用识别技术,在内核驱动层面通过私有协议将所有经过NGAF的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时,设备会找到对应的应用威胁特征,通过使用跳跃式扫描技术跳过无关的应用威胁检测特征,减少无效扫描,提升扫描效率。比如:流量被识别为HTTP流量,那么FTP sever-u的相关漏洞攻击特征便不会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率。
- Sangfor Regex正则引擎
正则表达式是一种识别特定模式数据的方法,它可以精确识别网络中的攻击。经深信服安全专家研究发现,业界已有的正则表达式匹配方法的速度一般比较慢,制约了下一代防火墙整机速度的提高。为此,深信服设计并实现了全新的Sangfor Regex正则引擎,将正则表达式的匹配速度提高到数十Gbps,比PCRE和Google的RE2等知名引擎快数十倍,达到业界领先水平。
NGAF的Sangfor Regex大幅降低了CPU占用率,有效提高了NGAF的整机吞吐,从而能够更高速地处理客户的业务数据,该项技术尤其适用于对每秒吞吐量要求特别高的场景,如运营商、电商等。
- 深信服下一代防火墙品牌优势
- 市场引领者
2011年7月,深信服率先推出国内第一台下一代防火墙NGAF,自产品发布后,国内追随者不断,且赢得了众多用户的信任,年销量平均增长率超过50%。
截止至2015年末,NGAF在全国的用户累计超过20000家,在线稳定运行的设备超过40000台,用户覆盖各行各业,其中包括120多家部委省厅级单位、100多家运营商和金融单位、120多家知名教育单位、250多家大型企业和国资委下属央企集团,用户数量遥遥领先。
据咨询机构IDC的分析报告显示,2014年深信服下一代防火墙NGAF在中国集成防火墙市场排名第3,占有10.9%的市场份额,是唯一凭借下一代防火墙一款产品参与排名的厂商。咨询机构Frost&Sullivan评价到:深信服凭借优质的下一代防火墙产品,奠定了其在中国防火墙市场的领导地位。
- 专业权威的认可
国内最先获得NSS Labs“推荐”评价
早在2013年,深信服就将NGAF送往位于美国的全球最知名的独立安全研究和评测机构NSS Labs进行Web安全防护功能评测,在业界专业的WAF测试规范下,成功通过所有的攻击逃逸测试、产品稳定性和可靠性测试,其中,送测设备的每秒新建连接数达到76,616CPS,为送测的6家厂商中的最高数值。深信服下一代防火墙NGAF最终获得NSS Labs “Recommended”推荐评价。
国内最早获得NSS Labs“推荐”评价的下一代防火墙产品
国内OWASP测试综合平分最高
深信服下一代防火墙NGAF在OWASP授权机构的25项测评项中获得19项“五星”满分评分,综合四星(国内最高为4星)。
受邀参与公安部第二代防火墙标准制定。
2013年3月,深信服凭借多年的安全技术实力积累和对安全防护的独到见解,受到公安部第三研究所(信息安全行业规范编制单位)的邀请,参与国内第二代防火墙标准(GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》)的制定,并成为主要起草单位。目前该标准已于2014年7月24日正式发布,9月1日已开始实施。
此外,深信服还是微软MAPP计划合作会员、中国反网络病毒联盟成员,安全技术实力得到了广大权威机构的认可。
深信服NGAF获得多方权威机构认可
- 专业安全团队
深信服在应用层领域有着10年以上的技术积累,背后离不开一个不断成长壮大的安全团队来支撑。深信服目前具备一个约500人规模的专业安全团队,从事安全产品研发、安全服务工具开发、威胁样本分析、应急响应、安全咨询服务等工作;并且还设立了深信服安全攻防实验室,专门负责国内外安全前瞻性技术研究和安全漏洞挖掘。2015全年挖掘近30个原创高危漏洞;多次发布针对重大网络安全事件预警与分析,如IIS漏洞、juniper漏洞等;
每月发布安全月报并提交至安全主管部门,如CNCERT、网络安全保卫局、CNVD等。全年共发现安全漏洞95个,涉及客户网站13348个,发现钓鱼网站3305余个,发现篡改网站2571余个。2015年总共提交了近20篇专利,其中一篇美国专利已经授权通过。
深信服专家团队还参与了多项国家级网络安全保障支撑工作:如国家“九三大阅兵”活动,参与完成威胁预警、安全监控值守、安全演练等工作;国家“互联网网络安全威胁治理行动”活动,支撑威胁通报17期,治理钓鱼网站1500余个,通报被篡改网站100余个。“首都网络安全日”活动,为网络安全重点保障单位等。
- 产品可靠稳定
为保证设备具有良好的稳定性,NGAF出厂前都会经过7轮软硬件高吞吐、低温高温等恶劣环境的严格测试,并通过第三方机构的专业产品检测。目前,深信服下一代防火墙产品已无故障工作超过8万小时,具备高可靠的稳定性。
NGAF稳定性的第三方评测报告
- 典型场景和案例
典型应用场景
典型应用场景
对外发布场景
部署在网银、网上报税、网上营业厅、电子商务等系统出口,防止黑客入侵,保护关键业务和客户隐私信息,避免损害单位形象,造成经济损失。
数据中心场景
部署在单位内部的财务、ERP、OA等服务器前面,精细控制访问权限,防止非法访问,防止企业机密信息被窃取,保障核心业务获取必要的带宽资源。
广域网边界场景
部署在专网边界,过滤应用层威胁流量,防止病毒、木马等威胁在分支机构间横向传播,影响业务开展;广域网VPN组网,形成全网安全监测解决方案;
互联网出口场景
部署在互联网出口,针对各种终端提供漏洞防护,病毒/木马等恶意软件过滤,僵尸网络检测,对外DoS攻击检测,高性能应用管控与流量优化,提供一体化的安全防护。
- 部分客户列表
国家部委/省厅 |
应用场景 |
运营商用户 |
应用场景 |
国家信息中心 |
数据中心 |
中国电信集团 |
DMZ区 |
国土资源部 |
数据中心 |
中国移动四川省分公司 |
互联网出口 |
公安部 |
数据中心 |
中国联通福建省分公司 |
互联网出口 |
交通运输部 |
互联网出口 |
中国移动广东省分公司 |
互联网出口 |
外交部 |
互联网出口 |
中国联通黑龙江省分公司 |
互联网出口 |
海关总署 |
DMZ区 |
中国电信河北省分公司 |
互联网出口+DMZ区 |
工信部 |
数据中心 |
中国电信吉林省分公司 |
互联网出口 |
卫生部 |
数据中心 |
中国移动安徽省分公司 |
DMZ区 |
环保部 |
数据中心 |
中国联通江苏省分公司 |
互联网出口+DMZ区 |
农业部 |
DMZ区 |
中国联通青海省分公司 |
互联网出口 |
国资委 |
数据中心 |
中国联通湖北省分公司 |
互联网出口+DMZ区 |
国家统计局 |
DMZ区 |
中国移动陕西省分公司 |
互联网出口+DMZ区 |
最高人民法院 |
数据中心 |
中国电信云南省分公司 |
互联网出口+DMZ区 |
企业用户 |
应用场景 |
金融用户 |
应用场景 |
水利水电第十六工程局 |
互联网出口 |
招商银行股份有限公司 |
数据中心 |
波司登集团 |
广域网分支 |
申银万国证券股份有限公司 |
数据中心 |
国美电器集团 |
数据中心 |
兴业银行河北省分行 |
数据中心 |
东风汽车集团 |
互联网出口 |
中国保险监督管理委员会 |
数据中心 |
中国南车集团 |
互联网业务区 |
中国邮政储蓄银行浙江省分行 |
数据中心 |
中国建筑第二工程局 |
互联网出口 |
中国邮政储蓄银行安徽省分行 |
数据中心 |
中国航空国际技术有限公司 |
专线出口 |
华润深国投信托有限公司 |
互联网业务区 |
中国黄金集团 |
互联网业务区 |
华泰证券有限责任公司 |
互联网出口 |
中铁六局集团有限公司 |
互联网出口 |
光大证券股份有限公司 |
互联网出口 |
招商局集团有限公司 |
互联网业务区 |
西部证券股份有限公司 |
数据中心 |
教育用户 |
应用场景 |
教育用户 |
应用场景 |
北京海淀教育信息中心 |
互联网业务区 |
顺义教育信息中心 |
数据中心 |
广东教育厅 |
互联网业务区 |
福建闽侯教育局 |
互联网出口 |
上海虹口教育信息中心 |
互联网业务区 |
上海教育考试院 |
互联网业务区 |
复旦大学 |
互联网业务区 |
杭州电子科技大学 |
互联网出口 |
上海政法大学 |
互联网出口 |
华中农业大学 |
互联网出口 |
湖南农业大学 |
互联网出口 |
哈尔滨理工大学 |
互联网业务区 |
|
|
|
|