深信服下一代防火墙介绍
1.传统防火墙
1.1防火墙的发展历程
1.2传统防火墙防御模式
通过防御设备划分边界,基于IP、端口和特征进行判断 以隔离为基础,基于信任原则构建安全框架 以防护为核心,基于静态特征的攻击检测
1.3传统的安全产品
现象:IT业务变得复杂(例如网银、电商、社交平台、OA),安全边界在消失 导致问题 :边界变得模糊
现象:攻击变得复杂,变得更加隐蔽 手段更加高明 1.可攻击目标越来越多 2.专业攻击工具 3.各种0Day漏洞 4.黑客高手云集 导致问题:静态的防御失效
1.3.1传统安全产品的形态
缺点: 成本高:环境、空间、重复采购 管理难:多设备,多厂商、安全风险无法分析 效率低:重复解析、单点故障
1.3.2传统的安全防护UTM
UTM存在问题 UTM: ⚫ 多次拆包,多次检测 ⚫ 应用层性能低
1.4总结:
随着IT行业的发展,传统防火墙已经无法应对新挑战 (1)缺乏认知的能力 只能看见碎片化的攻击日志 只能看见图形化的统计报表 缺乏资产/风险的视角 (2)割裂的保护手段 割裂的保护手段,难以协同配合 静态策略的防御,无法应对新威胁 难以形成动态、有效的保护
2 深信服的下一代防火墙NGAF
特点 ⚫完整的L2-7层安全架构,强悍的Web安全防护能力 ⚫ 智能的攻击行为分析,有效检测APT攻击和僵尸网络 ⚫ 基于应用的安全监测,直观呈现业务安全风险 ⚫ 先进的云安全技术,快速发现并阻断新型威胁
2.1 应对之法
(1)安全可视 安全运营应该从简单遵从到充分认知, 可视是最有效的手段
(2)持续检测 安全保护应该从被动应对到主动保护,持续检测是最有效手段
2.1.1 为什么可视是安全的基础?
看似正常的网络中,隐藏着诸多安全风险 仅仅看到IP端口特征已经无法区分是否安全。
那如何实现安全可视?
更准确的检测和防御 更高效的安全运维和风险处置 (1)有效的分析和呈现
(2)相对于传统的设备,更多要素可视
2.1.2技术:深度内容检测DPI
价值:实现更细粒度的安全可视 实现安全可视的关键要素
什么是攻击路径可视?
2.1.3检测和防御
什么是检测?
“检测能力”用于发现那些逃过防御网络的攻击,该方面的关键目标 是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中
什么是防御?
“防御能力” 是指一系列策略集、产品和服务可以用于防御攻击。 这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。 例如 FW IDS IPS AV
为什么需要加强持续检测?
OPEN SSL漏洞披露一周,仅有不到10%的用户完成了响应
可视的基础上进行持续检测
解决方法:融合安全
2.2深信服下一代防火墙系统架构
3.下一代防火墙应用场景
下一代防火墙应用场景全景架构图
3.1互联网出口终端安全场景
3.2WEB安全场景
资产发现: 基于自动化的流量识别分析,发现网络中被遗漏或新增的资产情况, 明确需要防护资产
脆弱性发现 针对发现的资产,通过本地的web 扫描、实时漏洞以及云端的云扫描 、渗透测试等功能发现这些资产的脆弱性,再针对性的配置防护策略
3.3数据中心安全场景
3.4广域网接入安全场景
1.全网安全互联,展现完整数据简化运维;总部数据集中统一管理 2.安全状态统一展示问题精准定位,安全一目了然