深信服下一代防火墙介绍

融合安全简单有效下一代防火墙核心驱动力深信服集团|安全事业部网络防火墙的价值对互联互通的网络进行区域划分，最小化安全域，控制安全事件的影响范围。网络区域划分防火墙部署在区域之间，阻断区域之间的互联互通，防范跨区域安全事件的发生。区域边界隔离通过配置访问控制策略，灵活控制可通过边界的对象身份和权限，满足正常业务需求。边界访问控制纵深防御一层防不住就多几层防御网络层面防御终端层面也防御区域边界隔离（分区分域）缩小影响面简化管理深信服下一代防火墙家族NGAFNIPSWAF1、传统防火墙功能（NAT、路由、访问控制ACL、IPSecVPN、DDoS、会话控制、用户认证、流控、双机）2、NIPS功能3、WAF功能4、AV功能1、已知漏洞监测2、异常协议及异常流量监测3、威胁情报监测4、恶意文件监测1、OWASP

TOP10攻击防护2、恶意扫描防护3、网页防篡改4、黑链检测5、勒索病毒防护6、失陷主机检测与处置AVIPSWAFFWUTM/NGFWWAF方案一方案二事前事中事后是否有新漏洞？绕过能否检测？能否快速响应？缺乏检测和响应有哪些资产？有哪些漏洞？是否有策略？缺乏风险预知能力事前不清楚系统存在的风险、需要防护的短板，导致防护策略错配、漏配，缺乏有效性，买了高射炮用来打蚊子；设备难以有效使用起来即使全部配置用起来，也难以保障完全防护，因为如今威胁全面升级，传统的特征匹配跟不上黑客的节奏；未知威胁难以有效防御根因分析：防不住已成安全新常态数据库系统防火墙服务器交换机办公电脑……VMware路由器入侵防御数据库存储中间件系统高危漏洞48个（未防护11个）裸奔业务系统3个（缺失防护策略）开放了高危端口23个（无策略封堵）未生效防护策略18条（未生效）事前：看不清风险，防护注定缺乏针对性2016.4.16Version1.0012016.4.29Version2.0002016.5.9Version2.0062016.5.11Version2.0072016.5.16Version3.0002016.5.24Version3.0022016.5.26Version3.1002016.7.14Version4.0012016.8.22Version5.001重金、技术投入下，黑客攻击手段更新频繁防火墙IPSWAF防毒墙杀毒软件服务器数据加密新型威胁，能够轻易绕过所有防护设备事中：防不住，威胁快速更新迭代导致攻防失衡事后：发现滞后、响应迟缓，导致损失扩大1小时病毒自动扫描并大范围横向传播，多个员工反映电脑异常。2小时3小时2小时全面修复漏洞、排查端口、修改密码、恢复数据、更新策略。上午7点5小时综合分析操作系统日志、防火墙日志、交换机日志，定位源头和修补缺口。某业务系统遭受攻击，数据被加密。人工统计所有中毒电脑，拔掉网线并一台一台协助查杀和恢复。遗漏未发作的潜伏中毒主机，导致处置不干净、重复感染，再逐一处理。每次新型威胁来临，以上情景一再重演事前自动梳理资产，发现资产风险和新增资产，确保防护策略的全面、有效、准确。事前洞悉资产风险，确保防护有效性事中防护能力需要涵盖网络层防护能力和应用层防护能力，具备边界防护的完整功能。事中融合防护能力，确保防护的完整性事后能够实时监测内部异常外联行为，及时察觉并定位已入侵威胁，快速处理减少损失。事后持续监测已入侵威胁，快速止损需要全周期的安全防护手段事前梳理风险，确保防护有效性事中融合安全防护能力事后持续监测，快速响应目录防火墙需求背景产品功能价值主张市场地位1234新一代边界安全：深信服下一代防火墙深信服下一代防火墙NGAF系列NEXTGENERATIONFIREWALL下一代防火墙：融合安全事后：检测&响应事中：防御事前：预知风险预知积极防御持续检测资产发现快速响应风险评估策略评估L2-7层防御联动防御威胁情报失控主机检测黑链/webshell检测新型威胁（云沙盒）微信告警恢复工具云端服务风险可视资产策略有效性保护过程可视攻击举证攻击链可视保护结果可视整体安全态势已入侵安全事件漏洞弱密码资产保护结果代办事项紧急事件报告运营月报安全运营中心全程保护全程可视目录防火墙需求背景产品功能价值主张市场地位1234NGAF价值主张：融合安全，简单有效融合安全事前+事中+事后全生命周期简单有效全程可视+简单交付解决之道之一：融合安全事前事中事后预知防御检测／响应12345自动发现新增资产评估资产风险漏洞是否配置策略安全策略加固和有效性自检潜伏威胁事件检测和分析快速处置响应业务生命周期安全运营解决之道之一：融合安全核心资产有效识别实时漏洞监测分析最佳实践策略部署安全能力全面评估网络信息系统财务信息系统产品信息系统研发信息系统法务系统审计系统…资产梳理存在风险检测结果：12SQL注入信息泄露开放风险端口命令执行……34具备防御能力具备防御能力未关闭端口传输全局放通（错配）存在系统漏洞评估结果：防御能力缺失规避风险一键关闭一键防御一键防御完善防御能力持续分析

事前：风险梳理预警与规避下一代L2-7层双向边界防御体系应用层安全网络层安全Web攻击防护应用内容的访问控制基于应用访问控制策略路由NATIP/MAC绑定包过滤状态检测流量会话管理抗拒绝服务攻击基于用户的访问控制入侵防御恶意代码防护信息泄露防护僵尸网络防护边界控制协议过滤稳定可靠集中管控日志联动安全联动【模块间智能联动、云安全联动、策略智能联动】Webshell防护黑链防护VPN事中：L2-L7完整、融合防护事中：强大的未知病毒过滤能力时间序列分析二类分类多类分类聚类离群点检测深度学习AutoEncoder行为分类家族识别特征分类代码异常恶意流量语义分析动态行为识别基于深度神经网络提取稳定的高层特征深信服人工智能检测引擎SAVESANGFOR

AI-based

Vanguard

Engine底层特征高层特征ContemporaryColorsTopqualitydesign字节特征0xa21d函数特征Func()语义特征“加密特征”基于AI的杀毒引擎-简介Bad

Rabbit（17年10月出现的最新勒索病毒），年后最新出现的GlobeImposter2.0勒索病毒均能使用旧模型查杀。SAVE深信服人工智能杀毒引擎SAVESangfor

Anti-Virus

Engine创新人工智能无特征技术准确检测未知病毒集成学习自然语言处理深度神经网络SAVE引擎传统引擎1.固定算法2.人工提取特征1.人工智能算法的自我优化3.海量样本自学习特点效果未知/勒索病毒应对乏力有效抵御未知病毒、勒索病毒3.样本收集受限2.特征自动提取基于AI的杀毒引擎-优势对比事后：事后持续监测与快速响应解决之道之二：简单有效安全状态怎样？保护的效果怎样？下一步做什么？③对保护结果的认知哪些资产要保护？哪里不安全？当前是否有策略？①对风险的认知谁在攻击我？是否被绕过？是否真实存在？②对保护过程的认知全过程安全可视资产发现风险识别策略分析攻击链可视检测异常行为攻击举证安全状态安全事件待办事项高效稳定风险的可视保护过程的可视保护结果的可视全程可视简单交付优势1优势

2优势

3一体化策略部署全过程运营中心综合风险报表单次解析多模匹配算法软硬件双冗余架构解决之道之二：简单有效目录防火墙需求背景产品功能价值主张市场地位1234高速增长，年复合增长超70%2011年发布国内首台下一代防火墙4万家用户一致好评5.4万台在线稳定运行为什么之选深信服NGAF？国内首台下一代防火墙11年7月13年1月OWASP四星认证国内最高14年7月《第二代防火墙》标准制定者NSSLabs最高评价14年8月ICSA防火墙认证国内仅4家15年5月国内首款第二代防火墙15年8月Gartner技术前瞻性国内第一16年6月首次入围Gartner魔力象限15年6月14年12月多次入围高端行业第一品牌，专业认可度高技术前瞻NO.1魔力象限为什么之选深信服NGAF？市场格局介绍2018年IDC统一威胁管理国内市场排名，前5分别为：网御星云、深信服、360企业安全、山石网科、华为。深信服仅以下一代防火墙一个产品占据第二名，与网御存在两个百分点的差距，但是网御主要是靠UTM产品销售额达到的16.2%的占比，也就是说如果有下一代防火墙排名的话，深信服早已是第一名。通用竞争策略

无论和任何一家产品竞争对比，保持回归深信服下一代防火墙的价值主张-融合安全。价值主张定位的是与同类产品的差异，通过价值主张，把传统安全品类（含友商下一代防火墙）定位为事中防御。不管什么其他安全品类都存在缺乏事前预知、事后检测和响应的问题，并且割裂的防御；传统以设备堆叠为主的建设方案会产生日志碎片化、防护割裂，缺乏设备间联动等后果，无法给用户提供有价值信息；事前事中事后预知防御检测／响应融合安全，简单有效!!!深信服下一代防火墙的核心价值竞争分析要回归产品本身的差异化优势基于融合安全框架提供全面的风险可视化能力L2-L7层的深度防御全程保护用户业务安全结合AI智能算法及云端实时联动抵御未知威胁下一代防火墙阵营分类数通类厂商数通类厂商通常基于早期提供通讯网络设备起价（路由器、交换机），防火墙产品通常具备极强的数通基因，如注重端口密度、高性能、稳定性、传统访问控制等功能。典型代表：华为和华三，迪普和锐捷传统防火墙厂商从90年代随着我国第一波信息化安全浪潮涌现了老牌安全公司，同时2000年之后涌现了山石网科，定位为传统防火墙厂商，其防火墙专注于传统防火墙功能，如网络适应性、访问控制协议、会话管理等基本功能。典型代表：天融信、启明星辰、绿盟科技国外厂商在中国的外资厂商，国外厂商采用渠道化战略，定位中高端客户，通常高度产品化，以技术路线运作项目典型代表：Fortinet（飞塔）、Checkpoint、PaloAlto数通类厂商对比特点分析：数通类厂商在市场上所呈现的下一代防火请，通常都是由数通产品演变过来的，传统的功能包括VPN、NAT访问控制、QOS、双机热备、网络协议支撑等，简单集成了一些传统安全模块，如IPS和杀毒、抗D等模块。进攻手段：其最大的特点是安全能力不足，仅仅简单集成了基本安全模块，存在能力缺失，比如针对web攻击的防御模块，C&C外联检测僵尸主机的模块；同时难以跟的上安全的变化形式，比如勒索病毒、挖矿病毒以及各种基于应用层的未知威胁攻击，缺乏持续更新的能力。防御手段：数通类通常会从非安全功能角度来进攻深信服，比如数通的下一代防火墙端口密度大、性能高、价格便宜等我们通常是按照实际需求去引导客户，防火墙通常不需要过高的端口数，性能需求通常来源于特定场景，强调安全的性价比，如果设备不能有效防御威胁，再便宜也没有市场。传统防火墙厂商特点分析：老牌防火墙厂商安全产品线众多，下一代防火墙通常都是从传统防火墙演变过来的，安全功能多来自于其原有安全产品功能的集成复用，比如IPS、邮件安全、杀毒等各种功能。从表面功能上看不存在缺失，安全功能应有尽有。进攻手段：安全产品的简单集成实际上并未能够给客户带来足够的安全，需要安全厂商围绕下一代防火墙的真实要求，进行从底层到上层的功能融合，深信服底层采用单次解析并行处理的机制可以有效提升设备性能，同时上层通过融合安全框架提供事前、事中、事后的全程保护和全程可视，同时内部安全模块可有机联动抵御威胁。内部的良好机制及依托用户体验的风险可视化能力是我们的优势。防御手段：通常传统安全厂商会认为早期的深信服只做VPN及上网行为管理，安全能力不足，这一块各位可以向客户说明深信服于2011年发布下一代防火墙，是国内最早发布下一代防火请产品的安全厂商，同时是公安部下一代防火墙行标的主要撰写单位，并已经连续4年在全球Gartner魔力象限中入围（国内连续4年的只有华为和深信服）。互联网厂商特点分析：互联网厂商进入企业市场通常是因为安全处在一个风口，百度做杀毒、腾讯做WAF，只有360通过资本并购网神，做下一代防火墙，360因为在广告业务无法和百度PK，而游戏业务无法与腾讯PK，因此于2014年进入企业安全市场。互联网提供的产品，其概念要大于实质，因此360所推出的下一代防火墙在概念上很丰满，但实际的安全能力却很