下一代防火墙解决方案

下一代防火墙解决方案提纲下一代防火墙市场应用情况产品技术原理典型应用场景研发技术实力下一代防火墙安全环境持续恶化250万7146个609个APT攻击1、安全风险迁移导致安全事故频发Source：Gartner敏感信息窃取网页篡改、挂马漏洞利用攻击SQL注入、跨站脚本应用扫描探测弱密码攻击应用层DDoS应用层安全风险传统产品大多在网络层失效！网络安全≠应用安全2、复杂多样的攻击导致攻击难以防护互联网安全威胁报告-2013年11月网络病毒僵尸网络网站攻击网页篡改系统漏洞远程利用250万7146个609个APT攻击传统基于特征检测手段容易绕过应用扫描系统漏洞攻击0Day漏洞木马植入身份盗用口令爆破窃取数据IPS多设备孤立检测手段无法统一分析设备叠加导致安全难以分析安全设备≠系统安全DDOSIPSWAFIDS防火墙防御系统孤立！日志难分析！SOC效果差！并且缺乏外发数据检测内部外部潜伏已久攻击防护不是100%的，外发数据才是黑客核心目标新形势下传统解决方案已经失效FWIPSAVWAF可视性差分析复杂管理困难效率低下下一代防火墙应运而生可视双向智能高效L2-7层可视、完整的威胁识别用户内容威胁应用真正的“可视”——理解网络中的应用、应用中的威胁，威胁带走的数据内容，并能简单易懂的呈现，才是真正的安全可视化！双向防护、完整安全数据内容检测L2-L7攻击防护——不仅仅需要防护外部攻击，并且要检查服务器/终端外发流量是否有风险智能联动实现有效的安全防护IPSWAFFW信息收集防御通用漏洞防御0day漏洞防御恶意流量识别敏感信息防泄漏智能联动分析全新架构实现高效的应用层处理性能NGAF融合业内顶尖技术建模技术异常检测统一关联分析内容级双向防护体系沙箱与云联动技术外发流量合规性异常检测用户行为异常检测市场应用情况整体安全产品市场份额Source:Frost&SullivananalysisNGAF市场成绩三年孕育已遥遥领先300%92%201476%2亿201120122013已成为国内下一代防火墙市场领导者功能独特性能强劲400高端客户国内首家用户好评6000案例NO.产品快人一步，引领市场12年3月12年5月12年7月12年7月第一品牌11年7月12年10月13年2月13年2月13年2月13年1月产品覆盖更多高端行业6000家用户100部委省厅级单位200大型企业集团80运营商金融单位60知名教育单位我们预计到2014年，35%的用户将会安装下一代防火墙，而60%用户新购买的防火墙将是NGFW，并且它会拥有紧密集成的入侵防护、应用可视性和控制功能。““研究副总裁GregYoung——产品技术原理下一代防火墙的核心技术数据报文基于大数据全网流量可视网络应用内容IP/端口协议合规性回包分析内容合规内容类型信息还原协议解析应用回朔流量威胁监测一、安全可视化全网流量可视化（基础）应用可视化用户可视化威胁可视化漏洞可视化有效攻击业务可视化报表呈现应用/用户可视化管理精细的应用访问控制丰富的应用识别多种的用户识别应用可视化—应用及协议识别应用及协议识别是NGAF的基础应用逃避技术：1、端口跳跃，在连接会话过程中，随机端口/协议如：oracle除1521，还需开放1200到3000的所有端口2、非标准端口，如在80端口上使用QQ、迅雷3、常用协议中的隧道，如使用P2P文件共享或IM消息客户端4、隐藏在SSL加密流量，如使用SSL443的web程序深信服应用识别技术1、应用协议检测2、应用协议破译技术3、应用签名技术4、启发式防躲避流量识别技术1500多种应用特征识别库威胁可视化—L2-7层完整的威胁识别网络层次越高

资产价值越大L5-L7:应用层L4:传输层L3:网络层L2:链路层L1:物理层风险越高

越迫切需要

被保护访问控制问题协议异常网络层DDoSARP欺骗、广播风暴传输线路物理损坏敏感信息窃取网页篡改、挂马漏洞利用攻击SQL注入、跨站脚本应用扫描探测弱密码攻击应用层DDoS蠕虫、病毒、木马非安全应用滥用业务内容Web应用架构Web服务架构操作系统TCP/IP协议栈网络接口网线威胁可视化—应用层深度内容检测技术传统防火墙L2-L4层状态检测技术NGAFL2-L7层深度内容检测技术深度包检测(DPI)技术将整个数据包作为一个整体，并对其进行特征扫描.它并不理解应用的上下文环境，因此它存在较大的误判率。传统IPS

DPI深度包检测技术NGAF深度应用内容检测技术：解析应用的各个命令，并对命令所携带内容进行扫描，检查是否带有敏感数据,威胁….特点：数据复制到应用层，全部协议剥离还原数据内容，实现深度内容检测理解http协议，发现隐藏攻击基于攻击工具、或漏洞利用的特征进行检测。基于协议交互的异常进行检测。基于内容的异常进行检测。基于病毒样本特征进行检测。攻击事件智能关联分析。网络行为自学习、流量基线自学习。检测方法报文正规化。IP重组。TCP流恢复。TCP会话状态跟踪。协议解码。基于应用层协议的状态跟踪。可信报文处理。报文处理方式威胁可视化—融合多种威胁检测方法漏洞可视化系统漏洞Web漏洞被动扫描Webshell扫描漏洞可视化—风险评估与策略联动风险评估与策略联动端口/服务/漏洞风险评估主动发现弱密码ftp、mysql、oracle、mssql、ssh、RDP等针对性策略部署，一键生成策略漏洞可视化—web漏洞检测漏洞可视化—Webshell扫描漏洞可视化—被动扫描发现业务系统漏洞有效攻击Web服务器IIS漏洞Win漏洞！IIS漏洞攻击Apache漏洞攻击！Apache漏洞攻击Linux漏洞攻击！无效攻击无效攻击无效攻击FTP漏洞攻击有效攻击！！无效攻击海量日志真实漏洞：2个有效攻击—攻击与漏洞关联可视化报表——提升安全管理效率订单系统门户网站财务系统ERP系统邮件系统可视化报表——提升安全管理效率全网流量可视化二、双向防护体系僵尸机恶意外链敏感信息外泄检测网页篡改监测L2-L7攻击防护业务漏洞主动发现被动发掘业务漏洞电磁波/天线802.11

MACTCP/IP协议栈操作系统Web服务架构Web应用架构业务内容漏洞攻击防护—以应用协议识别为基础的IPS数据流会话状态跟踪丢弃报文应用识别分析并行处理支持近千种协议内容特征分析

并行处理包括攻击特征、漏洞特征丢弃报文、隔离限流阻断、重定向、隔离等正常数据流关联分析分片重组流量分析流恢复报文正规化关联检测引擎：提升检测精度例：Apache2.2漏洞：

CVE-2011-3192

DenialOfServiceVulnerability应用识别分析：Web应用，保护对象为Apache2.2内容识别分析：数据包匹配到CVE-2011-3192的漏洞特征关联分析结果：命中，威胁级别严重，阻断！特点：简化流程，智能联动，精确度更高漏洞攻击防护—漏洞虚拟补丁漏洞虚拟补丁虚拟主机补丁（2800+）操作系统漏洞，如Windows、Linux、Unix等应用程序漏洞，如Apache、IIS等中间件漏洞，如WebShpere、WebLogic等数据库漏洞，如SQLServer、Oracle等浏览器漏洞：IE、FrieFox、GoogleChrome等……漏洞攻击防护—L3-L7DDoS防护Web攻击防护访问权限控制OWASP

TOP10口令防护登录权限防护应用隐藏网站防扫描外部攻击防护Web攻击防护应用隐藏前……应用隐藏后……应用信息隐藏应用信息隐藏http响应报头信息隐藏Web服务缺省信息隐藏ftp应用信息隐藏http协议隐藏Web攻击防护网站防扫描支持以下扫描器防护

绿盟极光扫描器AppScanNessusN-StalkerWVSNiktoHPWebInspectJskyParos安恒Dbappsecurity扫描器OWASPZAPNetsparkerBurpsuit等提供事前防护机制Web攻击防护访问权限控制［提供事前防护机制］Web攻击防护OWAPS4星认证owasptop10SQL注入XSS跨站脚本Webshell网页木马网站扫描跨站伪造请求目录遍历攻击……Web攻击防护登陆权限控制登陆权限控制针对关键URL控制权限强制短信认证登陆关键URL隐藏双向检测—敏感信息防泄漏敏感信息防泄漏常见的敏感信息防泄漏用户信息邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码内部保密文件根据文件类型防泄密根据特征自定义信息合规性双向检测—网关型网页防篡改网关型网页防篡改网关型网页防篡改爬虫技术网页缓存模糊、精确匹配方式特征码、文件等多种比对方式业务审批与安全管理界面分离短信、邮件报警防篡改实现流程第一步：抓取页面内容并缓存防篡改实现流程第二步：对比客户获取网页与缓存网页防篡改实现流程第三步：出现网页篡改，重定向连接能识别的网页篡改1、替换整个网页2、插入新链接3、替换网站图片文件4、小规模编辑网页（仅精确）5、因网站运行出错导致结构畸变事后可定义的敏感信息防泄露常见的敏感信息防泄漏用户信息邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码内部保密文件双向检测—僵尸网络检测潜藏已久的僵尸用户终端恶意URL恶意HOST主动向外连接恶意回包内容外网内网身份证号手机号数据库文件敏感信息恶意数据被控制的服务器非合规数据双向检测—僵尸网络检测国内最大僵尸网络特征库，超过26万条！三、智能安全自动建模技术异常流量检测云安全智能联动智能模块联动策略自动生成未知攻击防护智能模块联动价值提高黑客攻击成本避免安全设备被绕过降低运维管理成本WAFIPSFWDanger自动建模技术

服务集群正常访问服务器自动学习自动建模未知攻击、非法请求网站构架参数类型参数长度……策略自动生成云安全智能联动SandBox沙盒检测环境：进程创建文件系统修改注册表修改1.可疑流量上报2.沙盒执行检测云引擎4.云同步更新4.安全规则下发3.生成安全规则异常流量检测安全沙箱Web服务器沙箱检测httpget异常httppost异常Referer字段异常……跟踪回报内容：Response报文异常异常流量检测HTTP协议异常检测异常流量检测RDP协议与3389端口流量异常检测DNS协议与53端口流量异常检测

HTTP协议与80/8080端口流量异常检测

FTP协议与21端口流量异常检测

TFTP协议与69端口流量异常检测

https（SSL）与443端口流量异常检测

SMTP协议与25端口流量异常检测

POP3协议与110端口流量异常检测

IMAP协议与143端口流量异常检测

SSH协议与22端口流量异常检测

ICMP包大小流量异常检测四、更高效的应用层处理能力单次解析构架实现报文一次解析和匹配=多核并行处理技术提升应用层分析速度软件构架——分离平面设计特点：网络与应用层分离平面“0”拷贝，不影响网络层数据转发应用识别为基础数据转发效率高分离平面设计可用性保障正常数据交互内容检测平面故障硬件架构——多核并行处理架构

FWIPSAVWAFCore0FWIPSAVWAFCore1FWIPSAVWAFCore15处理模块

设备处理模块处理模块处理模块……

多核处理单元级并行处理

功能模块级并行处理核1核2核n并行核性能123nMultiCoreProcessor设备配置管理、全局信息统计流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作传统的串行扫描，数据流量大时造成网络时延增大、拥堵、丢包。多核平台实现对安全业务的无锁并行处理，既能够达到专业级的高性能，又能够适应应用层多变的特点。多核并行处理技术

应用层防火墙选型标准不同于传统防火墙1、品牌可靠2、http处理能力强3、总线计算能力强（网口扩展性、小包吞吐量）4、应用层计算能力强、扩展性强VS三星i9100HTCG3跳跃式扫描技术SangforRegex正则引擎SangforRegex正则引擎GoogleRE2PCRESangforRegex数十倍提升正则表达式是一种识别特定模式数据的方法，可以精确识别网络中的攻击。深信服设计并实现全新的SangforRegex正则引擎，把正则表达式的匹配速度提高到数十Gbps，比PCRE和Google的RE2等知名引擎快数十倍，达到业界领先水平。SangforRegex能够大幅降低CPU占用率，提高设备整机应用层吞吐，这项技术尤其适合对每秒吞吐量要求非常高的场合，如运营商，电商等。应用层性能《NSSLAB》性能测试报告可靠性设计关键部件冗余电源存储介质冗余模式主主模式主备模式内外置BYPASS网络与应用层分离设计可靠性设计—硬件Bypass

借助于掉电保护模块，可保证NGAF在透明模式下掉电时，网络依然畅通。微秒级切换时间运维管理设备运帷支持SNMP协议与标准SYSLOG日志支持WAF规则自定义安全日志支持多节点安全日志统一监控与分析支持各种安全报表导出安全检测支持应用与端口扫描支持弱密码扫描支持系统与web漏洞扫描支持webshell检测运维管理安全日志统一分析管理运维管理自定义规则运维管理报表管理支持自动订阅支持自定义web系统名称支持自定义报表内容支持报表导出[PDF]运维管理运维管理自评估应用与端口扫描弱密码扫描系统与web漏洞扫描Webshell扫描典型应用场景常见应用四大场景部门A电信联通NGAFAC/SG部门BDMZ区WEB交易系统WEB门户网站内部应用服务器OA、ERP、视频链路负载专线广域网广域网边界安全域内网办公区对外发布域数据中心安全域NGAFNGAF互联网接入域万兆核心应用服务器数据库服务器NGAF运维管理区数据中心核心SC集中管理APM运维管理服务器核心区注：连接线为示意图互联网出口—终端上网应用价值：发现有风险的用户有效应对APT攻击更高的投入产出比传统无法解决的问题利用漏洞控制终端电脑的攻击如IE极光漏洞、PDF的漏洞、OPENSSL、XP停止更新终端电脑被控制而向外连接对外发布场景应用价值：安全可视，轻松看到安全风险和漏洞简化运维，策略直接匹配保护数据，可以防止经营风险安全可视简化运维保护数据核心问题大部分客户缺乏应用防护手段无法统一分析，找问题困难无法检测服务器外发数据，数据可能被篡改或泄露数据中心场景应用价值：高效完整的安全防护简化运维，策略直接匹配可实现虚拟化安全部署来自广域网的威胁来自局域网的跳板攻击数据中心L2-7层数据中心核心问题由于性能和安全威胁的原因，大部分客户仅用传统墙进行隔离无法统一分析，找问题困难广域网场景应用价值：1、清洗广域网内的攻击和风险2、防止分支机构成为入侵总部的跳板3、统一集中部署，简化运维核心问题：广域网边界缺乏安全防护不清楚下级单位存在什么风险安全技术实力丰富的产品序列NGAFVPNADWOCAPMEasyConnSCACSIPSSAVSWAF统一管理应用性能监控Sangfor便捷安全高效链路优化应用优化数据优化带宽优化码流缓存近百种应用协议优化单边加速八级通道应用优化技术内容优化Web缓存内容权限应用可视化引擎智能URL识别应用安全技术灰度威胁分析加密流量识别安全桌面十年技术积累安全攻防团队介绍北京攻防团队[40人］通用漏洞挖掘Web安全研究前瞻性技术研究僵尸特征研究云安全平台服务安全技术支持深圳攻防团队［60人］开源系统漏洞挖掘安全技术支持安全实现框架代码安全研究自身安全性渗透安全合作联盟安全服务能力漏洞挖掘能力每月2-3次攻击特征库更新特殊安全事件单独更新已经在CNVD、乌云以及CNCERT等平台发布超过五十个原创漏洞特征发布流程严格漏洞分析、攻击分析、协议分析漏洞特征库生成蜜罐系统跟踪操作系统、数据库、浏览器、服务器、中间件、网页软件、应用软件等系统的漏洞研究”Zero-Day“漏洞与CVE、SANS、微软

分析归纳出漏洞特征和攻击特征分析归纳出应用协议的特征

生成特定格式的特征规则库对漏报、误报进行严格验证生成攻击特征库和协议库Sangfor攻防研究团队漏洞特征库生成严格的攻防验证Sangfor

测试中心漏洞特征库生成特征库上网发布Sang