360新一代智慧防火墙新边界防御解决方案

1、360 新一代智慧防火墙新边界防御处理方案第1页01020304安全观：新边界防御创新“智慧”特征技术贮备与关键优势产品系列与布署方案内容提要第2页您网络安全吗？数据起源：国家信息安全漏洞库（CNNVD），截至8月31日高危漏洞频发、突发漏洞永存，无法预知高危漏洞呈高发态势，数量逐年攀升突发漏洞无法及时修补，给攻击留下可乘之机秒分时日周月年攻陷系统数据泄露检测发觉缓解恢复99%84%85%高级威胁隐匿于内部世界上只有两类组织：一个是已被攻陷，另一类是不知道自己被攻陷绝大部分攻击在几分钟内完成侵入，随即数据泄露85%事件在数周、数月后才能被发觉运维管理难于落地WannaCry勒索蠕虫360专题态

2、势感知永恒之蓝传输态势：中国隔离网：设备多、分布广、权限分散，怎样批量升级？大企业：设备布署分散，怎样快速下发处置策略？小企业：欠缺技术能力，到底该怎样处置？第3页痛点一：高危漏洞频发、突发数据起源：国家信息安全漏洞库（CNNVD），截至8月31日高危漏洞呈高发态势，数量逐年攀升，截至8月底，CNNVD收录新漏洞近万个仅360补天漏洞响应平台就发觉超出8万个安全漏洞突发漏洞无法及时修补，给攻击留下可乘之机漏洞永存，无法预知，每一次漏洞曝出都是 突发事件第4页痛点二：高级威胁隐匿于内部秒分时日周月年攻陷系统数据泄露检测发觉缓解恢复99%84%85%绝大部分攻击在几分钟内完成侵入，随即发生数据泄露

3、85%事件在数周、数月后才被发觉（黑市交易、通报）世界上只有两类组织：一个是已被攻陷，另一类是不知道自己已被攻陷-亚历山大（前美网军司令） , ISC 数据起源： DBIR 知己知彼，才能百战不殆。没有意识到风险是最大风险-习近平 ， .4.19第5页痛点三：安全运维难于落地时间威胁预警及应急响应处置提议5.137:00360防火墙关于防范“永恒之蓝”蠕虫病毒攻击处置提议封禁无须要SMB应用、更新IPS特征5.1310:00360防火墙产品针对“永恒之蓝”勒索蠕虫防护方案 - v1.0封禁SMB、更新IPS特征操作方法5.1313:00360防火墙产品针对“永恒之蓝”勒索蠕虫防护方案 （第一次

4、更新）新增快速封禁SMB应用操作方法5.144:00360防火墙产品针对“永恒之蓝”勒索蠕虫防护方案（第二次更新）启用IPS署名特征操作方法5.1415:00360防火墙产品针对“永恒之蓝”勒索蠕虫防护方案（第三次更新）经过DNS诱导缓解发作操作方法5.1511:00360防火墙产品针对“永恒之蓝”勒索蠕虫防护方案（第四次更新）更新DNS诱导操作方法5.1612:00360防火墙产品针对“永恒之蓝”勒索蠕虫防护方案（第五次更新）确认中招主机并处置操作方法隔离网：设备多、分布广、权限分散，怎样批量升级？大企业：设备布署分散，怎样快速下发处置策略？小企业：欠缺技术能力，到底该怎样处置？WannaC

5、ry勒索蠕虫暴发.3.14 微软公布MS17-010补丁.4.14 NSA武器库泄漏.5.12 .4.15应急响应- 更新IPS.5.13 处置提议 封禁445、更新IPS、DNS诱导从 应急响应 到 连续响应，往往是“小而土”管理问题造成重大损失第6页防火墙还能防“火”吗？1994，CheckPoint，IDC状态检测防火墙Statefull Firewall统一威胁管理 UTM（多功效防火墙），Gartner下一代防火墙 NGFW移动办公用户研发部销售部DMZ市场部数据中心vNGFWvNGFW绕过失陷防护伎俩未能跟上威胁演进脚步企业网络第一道和最终一道防线IP 地址人（用户）协议&端口行为

6、（应用）报文头内容（载荷）预设规则静态匹配形态多变伎俩多样第7页网络安全是动态，不是静态Gartner : Prevention Is Futile in : Protect Information Via Pervasive Monitoring and Collective Intelligence安全能力从“防范”为主转向“快速检测和响应能力”构建安全防护从“个体或单个组织”防护，转变为“安全情报驱动”信息共享、集体协作方式预测防御监控回溯缩小受攻击面缩短停摆时间高效分析处置采取预防办法巩固“城防”体系构建“塔防”体系失陷主机检测全局威胁感知线索关联、拓展一键隔离、阻断利用情报预知新威胁

7、“免疫”Gartner: 自适应安全架构第8页“新边界防御”指导思想迈向主动防御巩固防线纵深 新边界防御消耗攻击资源迟滞入侵成功连续监测分析及时预警处置SANS Institute: The Sliding Scale of Cyber Security安全能力叠加演进：网络安全滑动标尺依赖进化第9页防火墙技术连续演进安全有效性终端安全协同全球威胁信誉库高级威胁检测实时检测&阻断环境适应性全景式集中管理高可用性基于多核高性能高级逃逸检测应用可视化应用识别用户识别内容识别状态检测防火墙第10页360智慧防火墙产品哲学应用控制、深度集成IPS高性能、全栈可视化云查杀、云过滤、联控协防NDR连续监测

8、高效分析及时处置经过应用识别能力和可视化设计，深入洞察网内流量基于应用、用户、内容对流量进行精细控制，缩减攻击入口对双向流量执行深度威胁检测，实时阻断已知威胁利用安全大数据，对绕过防护办法高级威胁实时检测、高效分析和快速处置，及时发觉、尽早处理Level 1Level 2Level 3Level 4第11页01020304安全观：新边界防御创新“智慧”特征技术贮备与关键优势产品系列与布署方案内容提要第12页智慧防火墙价值主张智慧防御智慧感知智慧管理天御云 云防 威胁情报特征署名安全预警处置策略云镜 网络威胁感知中心天御云 云镜 当地安全数据智慧管理与分析系统特征升级、策略下发、配置核查、多维分

9、析 情报高频更新应急处置推送终端联控协防感知威胁态势感知防御漏洞感知失陷资产统一状态监控统一特征升级统一策略下发第13页天 御 云智慧防御：云端协同高效防护病毒云查杀URL云过滤情报云检测应急处置推送威胁情报下发IPDNSMD5URL360 新一代智慧防火墙全要素安全数据采集终端行为网络流量设备日志资产运行DNS解析URL访问文件外发恶意样本基于人工智能数据分析样本聚类分析相同样本发觉同源样本追踪行为建模分析大数据存放计算平台低成本：开源/自主研发高性能：GPU并行计算大存放：EB级存放规模第三方样本特征威胁情报异常发觉处置提议最全样本行为库总日志数18.9万亿条天天新增380亿条全球域名信息

10、库90亿DNS解析统计天天约新增100万条+Whois信息存放占中国20%DNS解析与查询统计最大存活网址库天天查询200亿条天天处理100亿条天天拦截访问钓鱼数超出1.4亿URL全球文件样本库天天新增900万样本总样本数145亿+33.8亿+黑名单5.9亿+白名单 第14页分支机构分支机构云镜 智慧管理分析系统安全域安全域数据中心病毒、URL查杀威胁情报云检测高确定情报处置应急响应云推送天御云云端推送应急处置策略【防火墙】收到天御云威胁预警，处置提议为,是否自动处置？【管理员】：是【防火墙】：已将威胁特征下发至安全策略，但暂时未完全生效，原因是策略未调用IPS规则，是否一键调用？【管理员】：

11、点击、一键完成SMAC集中处置统一更新全网特征一键配置处置策略全网批量下发策略实时监测C&C行为，发觉失陷主机回溯失陷主机行为，确定失陷过程监控安全策略执行，检测策略疏漏图形展现攻击事件，感知全局态势云防360SRC安全预警漏洞描述威胁性质风险级别处置提议智慧防御：快速“免疫”新威胁第15页智慧防御：终端联控协防基于天擎控制端预设检验点，天擎对终端执行健康检验健康评分报送天擎控制中心天擎控制中心向智慧防火墙同时安装天擎终端列表及其健康评分天擎控制中心依据预设安全策略：低风险PC可取得更高访问权限高风险PC则将受到更为严格访问资源限制健康评分 0健康评分 100!天擎控制中心人为忽略告警！天御云

12、!天擎将外联进程对应文件特征上报至天擎控制中心天擎控制中心将文件特征同时至智慧防火墙智慧防火墙对文件特征进行“病毒云查杀”天御云反馈检测结果，智慧防火墙告警并执行阻断C&C未安装天擎主机试图外联同一C&C，智慧防火墙执行阻断协同场景一：基于终端风险访问控制协同场景二：针对恶意软件协同防御第16页发觉风险分析线索快速处置经过威胁情报检测、异常行为分析、沙箱检测等各种伎俩，发觉绕过防御办法高级威胁基于当地或云端分析系统，对威胁线索进行深入关联分析，拓展线索并回溯事件基于分析调查结果及云端推送处置提议，对失陷资产或攻击源进行一键处置，并监测处置效果数据驱动安全NDR：基于网络检测和响应NDR智慧感知

13、：基于NDR模型失陷主机检测失陷主机内部数据外部数据威胁数据行为数据传送数据流量数据域名数据URL数据黑域名黑IP黑文件终端异常威胁情报沙箱检测50余类网络行为数据安全大数据第17页智慧感知：失陷主机预警及处置第18页智慧感知：网络威胁感知中心Demo：“云镜”网络威胁感知中心第19页智慧管理分析系统策略下发威胁处置情报碰撞特征更新威胁日志流量日志会话日志NAT日志智慧管理：全景式智能集中管理SMAC全网状态集中监控威胁特征统一升级安全策略批量下发违规配置智能核查第20页智慧管理：可视化智能管理1. 多维关联应用用户/IP国家地域威胁事件网址访问策略命中2. 深入分析以任意元素为条件递进式数据

14、钻取第21页数据驱动 新边界防御 处理方案布署场景政企网络安全域边界痛点问题安全防护有效性差隐蔽威胁无从感知统一管理难于落地处理方案云端、终端协同防御全局性感知网络威胁全景式集中管理监测优势亮点高效协同情报驱动便捷运维研发部销售部市场部数据中心天御云网络威胁感知中心集中管理与分析中心巩固防线纵深迈向主动防御分支机构分支机构移动办公用户威胁特征终端健康评分应急处置策略外联程序特征病毒云查杀威胁情报推送URL云过滤情报IOC运行状态系统更新安全策略行为数据可疑文件行为数据可疑文件MD5失陷主机失陷主机风险主机第22页用户价值提升智慧防御智慧感知智慧管理新边界防御利用大数据力量和云端资源，实现“人”

15、脑力超越，建立全局性威胁感知能力利用情报、数据和协同，实现信息共享、集体协作，增强当地防御力，并建立预防能力利用准自动化处置代替人工，防止因“人”原因贻误时机，建立快速响应和处置能力提升自适应模型运转效率，连续降低平均检测时间（MTTD）和平均响应时间（MTTR）第23页01020304安全观：新边界防御创新“智慧”特征技术贮备与关键优势产品系列与布署方案内容提要第24页产品技术与安全能力贮备底层架构 - 网神第四代SecOS操作系统高性能高稳定性应用识别 - 网康多项应用层专利技术应用、用户、内容识别安全可视化交互设计安全能力 - 360安全大数据能力云查杀、云过滤、云分析威胁情报协同安全部

16、件联动360 新一代智慧防火墙SecOS 操作系统架构图 可扩展应用识别（XAI）深度包检测（DPI）深度流检测（DFI）应用行为检测Metadata检测全非编程特征库全球领先安全大数据能力稳固卓越底层架构专利应用识别技术第25页权威机构性能测试结果指标360 NSG9000新一代智慧防火墙（万兆高端）网络层吞吐量64Byte: 82.86Gbps / 256Byte: 160Gbps（线速）HTTP新建连接速率117.5万/秒HTTP吞吐量80Gbps功效全开吞吐量65.8Gbps有效检出率99.65%第26页竞争优势分析第27页第三方权威认可 连续两年中国UTM市场份额排名第三- IDC

17、, 数据起源： IDC China Quarterly Security Appliance Tracker - Q4企业级防火墙魔力象限“值得关注厂商” -Gartner , 第28页01020304安全观：新边界防御创新“智慧”特征技术贮备与关键优势产品系列与布署方案内容提要第29页NSG3000系列NSG3000-TE04P-QNSG3000-TE06P-QNSG3000-TE15P-QNSG3000-TE25P-QNSG3000-TE35P(M)-QNSG3000-TE45P(M)-QNSG5000NSG5000-TG15P(M)-QNSG5000-TG20P(M)-QNSG5000-

18、TG25P(M)-QNSG5000-TG30P(M)-QNSG5000-TG55P(M)-QNSG5000-TG65P(M)-QNSG7000系列NSG7000-TX15P(M)-QNSG7000-TX25P(M)-QNSG7000-TX35P(M)-QNSG7000-TX45P(M)-QNSG7000-TX55M-QNSG7000-TX65P(M)-QNSG9000系列NSG9000-TZ01M-QNSG9000-TZ10M-QNSG9000-TZ20M-QNSG9000-TZ30M-QNSG9000-TZ50M-Q低端系列中端系列高端系列接口：416个千兆网络层吞吐：1Gbps8Gbps

19、应用层吞吐：600Mbps4GbpsHTTP新建：3万8万/秒接口：622个千兆 / 28个万兆网络层吞吐：6Gbps22Gbps 应用层吞吐：4Gbps8GbpsHTTP新建：7万20万/秒接口：248个千兆 / 224个万兆网络层吞吐：16Gbps60Gbps 应用层吞吐：8Gbps40GbpsHTTP新建：17万52万/秒新一代智慧防火墙产品线家族中高端系列接口：464个千兆 / 232个万兆 /216个40GE网络层吞吐：60Gbps320Gbps 应用层吞吐：40Gbps150GbpsHTTP新建：80万200万/秒适用范围广 3320G，1U3U应用性能高 应用吞吐量高达150G可

20、扩展性强 全系 18个扩展槽第30页NSG3000系列NSG3000-TE15P-QNSG3000-TE25P-QNSG3000-TE35P(M)-QNSG3000-TY45P(M)-QNSG5000/7000系列NSG5000-TG20P(M)-QNSG5000-TG30P(M)-QNSG7000-TV00P(M)-QNSG7000-TV10P(M)-QNSG7000-TH10P(M)-QNSG7000-TX10P(M)-QNSG9000系列NSG9000-TZ01M-QNSG9000-TZ10M-QNSG9000-TZ20M-QNSG9000-TZ30M-QNSG9000-TZ50M-Q低

21、端系列中端系列高端系列接口：416个千兆网络层吞吐：4Gbps6Gbps 应用层吞吐：2Gbps4GbpsHTTP新建：3万8万/秒接口：632个千兆 / 28个万兆网络层吞吐：8Gbps42Gbps 应用层吞吐：5Gbps24GbpsHTTP新建：10万40万/秒接口：464个千兆 / 32个万兆/16个40GE网络层吞吐：60Gbps320Gbps 应用层吞吐：40Gbps150GbpsHTTP新建：80万200万/秒高扩展性 - 全系平台接口可扩展超高性能 - 应用吞吐量高达150G创新特征 - 基于NDR协同联动新一代智慧防火墙产品线家族第31页企业互联网边界安全处理方案客户场景企业网

22、、园区网互联网出口客户问题外部威胁危害上网安全钓鱼、恶意URL访问病毒、木马远程植入僵尸控制违规访问引发企业风险网络资源滥用违规内容访问和外发机密信息外泄受害主机无法及时发觉发觉难定位难溯源难DMZ访客接入互联网接入区部门 B部门 A选取产品360新一代智慧防火墙“天御云”安全服务订阅处理方案启用精细化、细粒度上网管控策略，并基于“天擎”联动，实现基于终端风险访问控制，降低威胁入口、屏蔽违规访问并防止资源滥用；对上网流量进行深度威胁检测，阻断病毒、木马、僵尸程序植入，以及间谍软件通信；基于外发内容审计功效，对网盘、邮件等文件外传及论坛、微博等发帖进行内容级过滤，预防机密文件外泄和敏感信息外发；

23、与天御云进行实时协同，检测内网可疑失陷主机，并利用多维关联分析特征及时研判网络风险，进而下发处置策略。优势亮点主流互联网应用精细控制海量URL分类过滤主流文件外发行为内容过滤多级通道精细管控流量1亿+恶意网址云过滤多达80亿病毒文件识别3000+漏洞利用攻击防护 僵尸（失陷）主机实时预警天御云NSGNSG第32页行业专网网络安全处理方案客户场景行业客户、多分支企业专网边界处理方案对全网流量进行深度威胁检测，并利用当地威胁情报对可疑行为进行深入分析，阻断病毒扩散、漏洞入侵，并实时预警、阻断高隐蔽性威胁，隔离安全风险；启用针对业务应用流量管理策略，合理分配带宽资源，降低链路拥塞风险。并启用内网攻击

24、防护，抑制内网攻击强度，防止网络瘫痪；布署SMAC系统，构建集配置批量下发、状态统一监控、失陷主机预警于一体集中管理分析平台。优势亮点3000+漏洞利用防护恶意软件高效查杀可疑文件深度检测针对业务带宽保障和限制全景式全网可视化监控多达1000台设备集中管理情报驱动失陷主机检测客户问题缺乏有效安全隔离内网病毒泛滥来自内部用户入侵网络阻塞引发业务中止多业务挤占带宽内网攻击造成网络瘫痪全网设备管理困难网络状态监控设备配置变更内部风险主机无法定位发觉难、定位难溯源难分支 A分支 B分支 C企业专网总部网络数据中心办公网SMAC选取产品新一代智慧防火墙智慧管理分析系统（ SMAC ）第33页数据中心出口安全处理方案客户场景企业级数据中心出口选取产品360新一代智慧防火墙“天御云”安全服务订阅处理方案启用防漏洞策略，在网络边界阻断漏洞利用攻击。经过间谍软件防护功效，双向检测间谍软件植入和信令通道，及时阻断服务器受控后恶意行为；接收“天御云”下发应急响应通告及威胁特征，并利用自动化安全策略配置检验，