当前位置:文档之家 › 下一代防火墙解决方案-互联网Web业务自适应安全方案

下一代防火墙解决方案-互联网Web业务自适应安全方案

  • 格式:docx
  • 大小:508.68 KB
  • 文档页数:12

下载文档原格式

  / 12

合集下载

深信服下一代防火墙APT攻击防范首选利器

深信服下一代防火墙APT攻击防范首选利器

下一代防火墙- APT攻击防护首选利器一认识APT攻击互联网攻击与防御技术一直以来都是此消彼长,交替前行,根据CNCERT/CC 2012中国互联网网络安全报告分析,一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁,这就是大家热谈的APT攻击。

APT 全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。

这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。

APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。

二APT攻击特征(1)、攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩;(2)、攻击者也经常采用邮件方式攻击受害者,这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招;(3)、网站往往是一个企业或组织的对外门户,很多企业或组织对网站缺乏良好的安全防护,对攻击者而言,网站如同攻击过程中的桥头堡,是攻击者渗透进内网的重要捷径;(4)、一旦企业或组织的内网终端或者门户网站感染恶意程序,成为僵尸网络主机,将频繁进行内网隐私数据信息嗅探;(5)、通过已感染主机做反弹跳板,黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听,从而获取攻击目标登陆权限;(6)、目前绝大多数安全防护设备【传统网络层防火墙、IPS等等】只能做到从外到内的单向危险流量检测和防护,从内到外主动发起的数据传输缺乏有效的检测和防范机制,给APT攻击者开通了一条灰色的数据运输通道。

攻击者通过控制攻击目标,源源不断地从受害企业和组织获取数据信息。

从上述APT攻击特征进行分析,不难发现APT攻击已经不再是传统认识观念中的单一网络攻击行为,针对APT攻击,采取多款安全产品串行堆叠的传统做法已经无法有效应对,市场迫切需要新一种新的防御方案。

深信服下一代防火墙互联网出口解决方案ppt课件

深信服下一代防火墙互联网出口解决方案ppt课件
限流
阻断、重定向、隔离等
正常数据流
关联分析
分片重组
流量分析
流恢复
报文正规化
关联检测引擎:提升检测精度例:Apache 2.2 漏洞: CVE-2011-3192 Denial Of Service Vulnerability应用识别分析: Web应用,保护对象为 Apache 2.2内容识别分析: 数据包匹配到CVE-2011-3192的漏洞特征关联分析结果: 命中,威胁级别严重,阻断!
敏感信息防泄漏
常见的敏感信息防泄漏用户信息邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码内部保密文件根据文件类型防泄密根据特征自定义信息合规性
病毒/URL过滤
病毒查杀
常见病毒查杀httpftpPop3Smtp压缩文件……
网站分类过滤70个大类含非法及不良分类恶意网站过滤数千万个网站……
安全云
自动化威胁情报收集平台
IPS保护
虚拟主机补丁(4000+)操作系统漏洞,如Windows、Linux、Unix等应用程序漏洞,如Apache、IIS等中间件漏洞,如WebShpere、WebLogic等数据库漏洞,如SQL Server、Oracle等浏览器漏洞:IE、FrieFox、Google Chrome等……
自动学习建模
正常访问服务器
自动学习自动建模
未知攻击、非法请求
网站构架参数类型参数长度……
多维行为分析
1、多维行为分类2、分类威胁阈值3、阈值循环微调4、汇总基线比较
自动关联分析
数据流
会话状态跟踪
丢弃报文
应用识别分析并行处理支持近千种协议
内容特征分析 并行处理包括攻击特征、漏洞特征
丢弃报文、隔离

天融信NGFW系列防火墙-猎豹(万兆)产品说明

天融信NGFW系列防火墙-猎豹(万兆)产品说明
精细的应用识别与控制 ...............................................................................................3 全面保障 WEB 应用安全 ............................................................................................4 双引擎病毒检测 ...........................................................................................................4 强大的攻击检测能力 ...................................................................................................4 一体化智能过滤引擎 ...................................................................................................5 高效转发平台 ........................................................................................................................ 5 TOS 安全系统平台.......................................................................................................5 TopTURBO 数据层高速处理.......................................................................................6 TopASIC 芯片级安全防护 ...........................................................................................7 多层级冗余化 ........................................................................................................................ 8 物理级冗余 ...................................................................................................................9 系统级冗余 ...................................................................................................................9 方案级冗余 ...................................................................................................................9 全方位可视化 ...................................................................................................................... 10 节点可视 .....................................................................................................................10 全网可视 .....................................................................................................................10 安全技术融合 ...................................................................................................................... 10 全面防御 .....................................................................................................................10 虚拟化接入技术 .........................................................................................................11 4 产品功能.....................................................................................................................................13 基础功能 .............................................................................................................................. 13 负载均衡 .............................................................................................................................. 14 流量管理 .............................................................................................................................. 15 反垃圾邮件 .......................................................................................................................... 15 攻击防护 .............................................................................................................................. 15 病毒防御 .............................................................................................................................. 15 上网行为管理 ...................................................................................................................... 16 远程接入 .............................................................................................................................. 16 5 产品规格......................................................................................................................................17 6 产品资质......................................................................................................................................18 7 典型应用......................................................................................................................................19 云数据中心 .......................................................................................................................... 19 企业互联网边界 .................................................................................................................. 20 高校多出口环境 .................................................................................................................. 21

深信服下一代防火墙介绍

深信服下一代防火墙介绍

传统防火墙厂商
从90年代随着我国第一波信息化 安全浪潮涌现了老牌安全公司, 同时2000年之后涌现了山石网科, 定位为传统防火墙厂商,其防火 墙专注于传统防火墙功能,如网 络适应性、访问控制协议、会话 管理等基本功能。 典型代表:天融信、启明星辰、 绿盟科技
国外厂商
在中国的外资厂商,国外厂商采 用渠道化战略,定位中高端客户, 通常高度产品化,以技术路线运 作项目 典型代表:Fortinet(飞塔)、 Checkpoint、Palo Alto
集成 学习
深度神
SAVE
经网络
深信服人工智能杀毒引擎SAVE
Sangfor Anti-Virus Engine
自然语 言处理
创新人工智能无特征技术 准确检测未知病毒
Bad Rabbit(17年10月出现的最新勒索 病毒),年后最新出现的 GlobeImposter 2.0 勒索病毒均能使用旧模型查杀。
解决之道之二:简单有效
全程可视
风险的可视 保护过程的可视 保护结果的可视
优势1
简单交付
一体化策略部署 全过程运营中心 综合风险报表
优势 2
高效稳定
单次解析 多模匹配算法 软硬件双冗余架构
优势 3
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
为什么之选深信服NGAF?
高速增长,年复合增长超70% 2011年发布国内首台下一代防火墙 4万家用户一致好评 5.4万台在线稳定运行
简单有效
全程可视+简单交付
解决之道之一:融合安全
事前 预知
事中 防御
事后 检测/响应
解决之道之一:融合安全
潜伏威胁事件检测 和分析 4
安全策略加固和有效 性自检

防火墙解决方案

防火墙解决方案

防火墙解决方案防火墙解决方案:保护网络安全的利器随着信息时代的发展,网络的重要性越来越凸显出来。

然而,网络的便利性与普及性也给网络安全带来了诸多挑战。

黑客入侵、病毒攻击、信息泄露等威胁不断涌现,给个人用户和企业带来了巨大的损失。

在这样的背景下,防火墙作为一种保护网络安全的利器,得到了广泛的应用和重视。

防火墙是网络安全体系中的关键组成部分,它通过在网络与外界之间建立一道“防火墙”,阻止不明访问、恶意攻击和病毒传播等威胁,有效保护着网络与终端设备的安全。

而为了解决不同网络环境和需求的差异,人们根据不同的情况提出了多种防火墙解决方案。

首先,基于硬件的防火墙解决方案是目前使用最广泛的一种。

这种解决方案通过硬件设备来实现防火墙功能。

硬件防火墙通常以网络设备的形式存在,如路由器、交换机等。

它们具备先进的硬件处理能力和丰富的安全策略,能够对网络流量进行快速、准确的分析和处理,迅速识别和封杀威胁。

此外,硬件防火墙还可以进行流量控制、用户认证、VPN等功能的实现,为网络提供全方位的保护。

其次,基于软件的防火墙解决方案也是常见的一种选择。

这种方案通过软件技术来实现防火墙功能,无需额外的硬件设备。

软件防火墙通常以应用程序或操作系统的形式存在,通过对网络流量进行深度扫描和检测,发现和阻止潜在的威胁。

软件防火墙具有灵活性和可定制性较强的特点,用户可以根据自身需求进行安装和配置,满足不同网络环境和应用场景的需求。

除了硬件和软件防火墙,还有一种比较新颖的解决方案,即云防火墙。

云防火墙是基于云计算技术的一种新型防火墙模型。

它利用云计算平台的资源和弹性特性,提供了一种高度可扩展和灵活的防护方案。

云防火墙通过移至云端的方式,集中管理和分析网络流量,实现对网络安全事件的实时响应和处理。

云防火墙不仅可以极大地降低用户部署和维护成本,还可以提供更强大的分析能力和威胁情报,为用户提供更加全面和高效的保护。

除了上述的几种解决方案外,还有一些创新型的防火墙解决方案正在逐渐兴起。

ASA全系列产品简介

ASA全系列产品简介

ASA——下一代防火墙Cisco ASA 5500系列自适应安全设备产品简介Cisco® ASA 5500 系列自适应安全设备是思科专门设计的解决方案,将最高的安全性和出色VPN服务与创新的可扩展服务架构有机地结合在一起。

作为思科自防御网络的核心组件,Cisco ASA 5500系列能够提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供灵活的VPN连接。

思科强大的多功能网络安全设备系列不但能为保护家庭办公室、分支机构、中小企业和大型企业网络提供广泛而深入的安全功能,还能降低实现这种新安全性相关的总体部署和运营成本及复杂性。

Cisco ASA 5500 系列在一个平台中有力地提供了多种已经获得市场验证的技术,无论从运营角度还是从经济角度看,都能够为多个地点部署各种安全服务。

利用其多功能安全组件,企业几乎不需要作任何两难选择,也不会面临任何风险,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本。

Cisco ASA 5500系列包含全面的服务,通过为中小企业和大型企业定制的产品版本,能满足各种部署环境的特定需求。

这些版本为各地点提供了相应的服务,从而达到出色的保护效果。

每个版本都综合了一套Cisco ASA 5500系列的重点服务(如防火墙、IPSec和SSL VPN、IPS,以及Anti-X服务),以符合企业网络中特定环境的需要。

通过确保满足每个地点的安全需求,网络整体安全性也得到了提升。

图1. Cisco ASA 5500系列自适应安全设备Cisco ASA 5500 系列能够通过以下关键组件帮助企业更有效地管理网络并提供出色的投资保护:经过市场验证的安全与VPN功能- 全特性、高性能的防火墙,入侵防御系统(IPS), Anti-X和IPSec/SSL VPN 技术提供了强大的应用安全性、基于用户和应用的访问控制、蠕虫与病毒防御、恶意软件防护、内容过滤以及远程用户/站点连接。

防火墙更新实施方案

防火墙更新实施方案一、背景介绍。

随着网络攻击手段的不断升级和演变,企业面临的网络安全威胁日益严峻。

作为网络安全的重要组成部分,防火墙在防范网络攻击、保护企业信息安全方面发挥着至关重要的作用。

然而,随着网络环境的不断变化,传统的防火墙已经不能满足企业对网络安全的需求,因此,对防火墙进行及时更新和升级显得尤为重要。

二、更新的必要性。

1. 适应新的安全威胁。

随着网络安全威胁的不断演变,传统的防火墙可能无法有效应对新型的网络攻击手段,因此,更新防火墙可以使其具备更强的防御能力,提高网络安全防护水平。

2. 支持新的业务需求。

企业的业务需求不断变化,可能需要新增一些新的网络服务或应用,传统的防火墙可能无法满足新业务的安全需求,因此,更新防火墙可以使其支持新的业务需求,保障业务的安全运行。

3. 弥补旧版本的漏洞。

随着时间的推移,旧版本的防火墙可能会出现一些安全漏洞,这些漏洞可能会被黑客利用进行攻击,因此,更新防火墙可以及时修补这些漏洞,提高网络的安全性。

三、更新实施方案。

1. 确定更新时间。

在更新防火墙之前,需要提前确定更新的时间,选择一个对业务影响较小的时间段进行更新,以减少对业务的影响。

2. 制定更新计划。

在更新防火墙之前,需要制定详细的更新计划,包括更新的步骤、所需的人力物力资源、更新后的测试和验证等内容,确保更新过程有条不紊地进行。

3. 备份数据。

在更新防火墙之前,需要对重要数据进行备份,以防更新过程中发生意外导致数据丢失,确保数据安全。

4. 更新防火墙设备。

根据更新计划,对防火墙设备进行更新,包括更新防火墙软件、固件等内容,确保更新的及时性和完整性。

5. 测试和验证。

更新防火墙后,需要进行测试和验证,确保更新后的防火墙能够正常工作,不会影响业务的正常运行。

6. 完善文档记录。

更新防火墙后,需要完善更新的文档记录,包括更新的时间、更新的内容、测试和验证的结果等内容,以便日后的管理和维护。

四、总结。

防火墙作为网络安全的重要组成部分,对其定期更新和升级是保障企业网络安全的重要举措。

下一代防火墙产品知识介绍

威胁检测系列
➢ 恶意代码发现 ➢ 蜜罐系统 ➢ 底层硬件威胁检查 ➢ 网络边界完整性检查
工控安全系列
➢ 工控防火墙 ➢ 工控入侵检测/工控业
务检测 ➢ 工控漏扫/工控安全运
维平台 ➢ 工控终端控制/工控无
线安全 ➢…
传统上,防火墙的安全能力包括:
• 基于IP五元组的访问控制策略 • 基于静态特征匹配的应用层安全防护 • 对网络行为和部分明文数据记录日志 • 策略配置和威胁处理依赖管理员技术能力 • 单纯防火墙形态可支撑数G的业务流量
➢ 终端管理 ➢ 终端防泄密 ➢ 景云网络防病毒 ➢ 移动设备管理 ➢ 数据安全(文档加密)
泰合系列
➢ 安全管理平台(SOC) ➢ 业务支撑平台(BSM) ➢ 综合日志审计(SA) ➢ 网络行为分析(NBA) ➢ 应用性能管理(APM) ➢ 4A平台 ➢ 弱口令核查系统 ➢ 漏洞管理平台
合众系列
➢ 视频安全交换系统 ➢ 光盘物理摆渡系统 ➢ 电子文档访问控制 ➢ 分布式数据库系统 ➢ 大数据基础平台 ➢ 数据集成系统 ➢ 请求服务系统 ➢ 集中监控管理系统
平面(安全业务处理) 动态分配不同平面的CPU资源,无分流瓶颈或业务瓶颈 开启全部安全特性,64字节小包吞吐量可达100G bps
T系列NGFW有效提升您的下一代安全能力
基础
高性能架构
基于第三代多核并行化架构, 提供高达160G的吞吐能力和 超万兆实网性能。
核心价值
安全控制能力
基于七元组、多维度的安全 控制能力,涵盖访问控制、 会话控制、行为控制和流量 控制
Internet
可疑文件发送至APT检测引擎
分析样本 提取特征
– T系列下一代防火墙支持与启明星辰天清APT形成安全解决方案,为客户提供面向0DAY/APT攻击的 纵深防护体系。

SANGFOR深信服下一代防火墙介绍(AF-1120AF-1210)

SANGFOR深信服下⼀代防⽕墙介绍(AF-1120AF-1210)国内下⼀代防⽕墙第⼀品牌深信服下⼀代防⽕墙(Next-Generation Application Firewall)NGAF是⾯向应⽤层设计,能够精确识别⽤户、应⽤和内容,具备完整安全防护能⼒,能够全⾯替代传统防⽕墙,并具有强劲应⽤层处理能⼒的全新⽹络安全设备。

NGAF解决了传统安全设备在应⽤识别、访问控制、内容安全防护等⽅⾯的不⾜,同时开启所有功能后性能不会⼤幅下降。

区别于传统的⽹络层防⽕墙,NGAF具备L2-L7层的协议的理解能⼒。

不仅能够实现⽹络层访问控制的功能,且能够对应⽤进⾏识别、控制、防护,解决了传统防⽕墙应⽤层控制和防护能⼒不⾜的问题。

区别于传统DPI技术的⼊侵防御系统,深信服NGAF具备深⼊应⽤内容的威胁分析能⼒,具备双向的内容检测能⼒为⽤户提供完整的应⽤层安全防护功能。

同样都能防护web攻击,与web应⽤防⽕墙关注web应⽤程序安全的设计理念不同,深信服下⼀代防⽕墙NGAF关注web系统在对外发布的过程中各个层⾯的安全问题,为对外发布系统打造坚实的防御体系。

关键指标(产品参数可能有改动,以深信服公司公告为准)功能参数项⽬具体功能部署⽅式⽀持⽹关、⽹桥、旁路和混杂模式;实时监控实时提供CPU、内存、磁盘占⽤率、会话数、在线⽤户数、⽹络接⼝的鞥设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发⽣事件、源IP、⽬的IP、攻击类型以及攻击的URL等;提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理;⽹络适应性⽀持静态路由、RIP v1/2、OSPF、策略路由;⽀持ARP、域名解析、DHCP中继、DHCP 服务器、DHCP客户端等IP服务;包过滤与状态检测提供静态的包过滤和动态包过滤功能;⽀持的应⽤层报⽂过滤,包括:应⽤层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP;NAT地址转换⽀持多个内部地址映射到同⼀个公⽹地址、多个内部地址映射到多个公⽹地址、内部地址到公⽹地址⼀⼀映射、源地址和⽬的地址同时转换、外部⽹络主机访问内部服务器、⽀持DNS 映射功能;可配置⽀持地址转换的有效时间;⽀持多种NAT ALG,包括DNS、FTP、H.323、SIP等抗攻击特性可防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood等多种DOS/DDOS攻击IPSEC VPN ⽀持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且⽀持扩展国密办SCB2等其他加密算法⽀持MD5及SHA-1验证算法;⽀持各种NAT⽹络环境下的VPN组⽹;⽀持第三⽅标准IPSec VPN进⾏对接;*总部与分⽀有多条线路,可在线路间⼀⼀进⾏IPSecVPN 隧道建⽴,并设置主隧道及备份隧道,对主隧道可进⾏带宽叠加、按包或会话进⾏流量平均分配,主隧道断开备份隧道⾃动启⽤,保证IPSecVPN 连接不中断;可为每⼀分⽀单独设置不同的多线路策略;单臂部署下同样⽀持多线路策略;应⽤访问控制策略⽀持应⽤2000种以上的应⽤动作的应⽤识别;⽀持应⽤更新版本后的主动识别和控制的应⽤智能识别;提供基于应⽤识别类型、⽤户名、接⼝、安全域、IP地址、端⼝、时间进⾏应⽤访问控制列表的制定;⼆层协议⽀持802.3、AX25、802.2等多种⼆层协议过滤威胁检测⽀持基于特征匹配、协议异常检测、智能应⽤识别等⽅式针对已知威胁进⾏检测;⽀持基于威胁关联分析的检测机制,针对未知威胁进⾏分析检测;IPS⼊侵防护(选配)微软“MAPP”计划会员,漏洞特征库: 2800+并获得CVE“兼容性认证证书”,能够⾃动或者⼿动升级;防护类型包括蠕⾍/⽊马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利⽤漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;防护对象分为保护服务器和保护客户端两⼤类,便于策略部署;漏洞详细信息显⽰:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容;⽀持⾃动拦截、记录⽇志、上传灰度威胁到“云端”服务器防护(选配)⽀持web攻击特征数量1000+;⽀持Web⽹站隐藏,包括HTTP响应报⽂头出错页⾯的过滤,web响应报⽂头可⾃定义;⽀持FTP服务应⽤信息隐藏包括:服务器信息、软件版本信息等;⽀持OWASP定义10⼤web安全威胁,保护服务器免受基于Web应⽤的攻击,如SQL注⼊防护、XSS攻击防护、CSRF攻击防护、⽀持根据⽹站登录路径保护⼝令暴⼒破解;⽀持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护;可严格控制上传⽂件类型,检查⽂件头的特征码防⽌有安全隐患的⽂件上传⾄服务器,并⽀持结合病毒防护、插件过滤等功能检查⽂件安全性;⽀持指定URL的⿊名单、加⼊排除URL⽬录,ftp弱⼝令防护、telnet 弱⼝令防护等功能;敏感信息防泄漏内置常见敏感信息的特征,且可⾃定义敏感信息特征,如⽤户名、密码、邮箱、⾝份证信息、MD5密码等,可⾃定义具有特殊特征的敏感信息;⽀持正常访问http连接中⾮法敏感信息的外泄操作;⽀持数据库⽂件敏感信息检测,防⽌数据库⽂件被“拖库”、“暴库”;风险评估⽀持服务器、客户端的漏洞风险评估功能,⽀持对⽬标IP进⾏端⼝、服务扫描;⽀持ftp、mysql、oracle、mssql、ssh、RDP、⽹上邻居NetBIOS、VNC等多种应⽤的弱⼝令评估与扫描;风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,⾃动⽣成策略;⽹页篡改防护⽹关型⽹页防篡改,⽆需在服务器中安装任何插件;⽀持⽂件⽐对、特征码⽐对、⽹站元素、数字指纹⽐对多种⽐对⽅式,保证⽹站安全;全⾯保护⽹站的静态⽹页和动态⽹页,⽀持⽹页的⾃动发布、篡改检测、应⽤保护、警告和⾃动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的⽹页被访问的可能性及任何使⽤Web⽅式对后台数据库的篡改;⽀持各级页⾯模糊框架匹配、精确匹配的⽅式适⽤不同的⽹页类型;⽀持提供管理员业务操作界⾯与⽹管管理界⾯分离功能,⽅便业务⼈员更新⽹站内容;⽀持通过替换、重定向等技术⼿段,防护篡改页⾯;⽹站维护管理员必须通过短信认证才可进⾏⽹站更新业务操作(选配);⽀持短信报警、邮件报警、控制台报警等多种篡改报警⽅式;病毒防护(选配)⽀持基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进⾏查杀;能实时查杀⼤量⽂件型、⽹络型和混合型等各类病毒;并采⽤新⼀代虚拟脱壳和⾏为判断技术,准确查杀各种变种病毒、未知病毒;内置10万条以上的病毒库,并且可以⾃动或者⼿动升级;检测到病毒后⽀持记录⽇志、阻断连接;Web安全防护对⽤户web⾏为进⾏过滤,保护⽤户免受攻击;⽀持只过滤HTTP GET、HTTP POST、HTTPS 等应⽤⾏为;并进⾏阻断和记录⽇志;⽀持针对上传、下载等操作进⾏⽂件过滤;⽀持⾃定义⽂件类型进⾏过滤;⽀持基于时间表的策略制定;⽀持的处理动作包括:阻断和记录⽇志;⽀持基于签名证书的ActiveX过滤;⽀持添加⽩名单和合法⽹站列表;⽀持基于应⽤类型的ActiveX过滤,如视频、在线杀毒、娱乐等;⽀持基于操作类型的脚本过滤,如注册表读写、⽂件读写、变形脚本、威胁对象调⽤、恶意图⽚等;流量管理⽀持同时连接多条外⽹线路,且⽀持多线路复⽤和智能选路技术;⽀持将多条外⽹线路虚拟映射到设备上,实现对多线路的分别流控;⽀持基于应⽤类型、⽹站类型、⽂件类型的带宽划分与分配;⽀持时间和IP的带宽划分与分配;⽤户管理⽀持基于⽤户名/密码、单点登陆以及基于IP地址、MAC地址、计算机名的识别等多种认证⽅式;⽀持AD域结合、Proxy、POP3、web 表单等多种单点登陆⽅式,简化⽤户操作;*可强制指定⽤户、指定IP段的⽤户必须使⽤单点登录;⽀持添加到指定本地组、临时账号和不允许新⽤户认证等新⽤户认证策略;⽀持强制AD域认证,指定⽤户必须⽤AD域账户登录操作系统,否则禁⽌上⽹;认证成功的⽤户⽀持页⾯跳转,包括最近请求页⾯、管理员制定URL、注销页⾯等;⽀持CSV格式⽂件导⼊、扫描导⼊和从外部LDAP服务器上导⼊等账户导⼊⽅式;⽤户分组⽀持树形结构,⽀持⽗组、⼦组、组内套组等组织结构;⽹关管理⽀持SSL加密WEB⽅式管理设备;⽀持邮件、短信(可扩展)等告警⽅式,可提供管理员登陆、病毒、IPS、web攻击以及⽇志存储空间不⾜等告警设置;提供图形化排障⼯具,便于管理员排查策略错误等故障;提供路由、⽹桥、旁路等部署模式的配置引导,提供保护服务器、保护内⽹⽤户上⽹安全、保证内⽹⽤户上⽹带宽、保证遭到攻击及时提醒和保留证据等⽹关应⽤场景的配置引导,简化管理员配置;⽇志管理与报表提供端⼝、服务、漏洞、弱密码等安全风险评估报表;提供DOS攻击、web防护、IPS、病毒、web威胁、⽹站访问、应⽤控制、⽤户登录、系统操作等多种安全⽇志查询;提供可定义时间内安全趋势分析报表;⽀持⾃定义统计指定IP/⽤户组/⽤户/应⽤在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;⽀持将统计/趋势等报表⾃动发送到指定邮箱;⽀持导出安全统计/趋势等报表,包括⽹页、PDF等格式;。

明御安全网关(下一代防火墙)VPN解决方案-180802_修正版

明御®安全网关下一代防火墙VPN解决方案杭州安恒信息技术股份有限公司二〇二二年四月VPN技术是在公共的互联网上建立一条点到点的安全专用的虚拟网络,其本身具有的安全传输、快速连接、高性价比等特性促使了其快速的发展,目前互联网中已经得到了广泛的应用,大部分企业也都离不开VPN技术。

随着用户网络规模越来越大,上千个网络节点已经稀疏平常,企业数据迁移至云环境带来的数据传输安全保密性需求,同时用户业务对网络质量的要求也越来越高,导致网络维护人员的压力倍增,而传统VPN网络的复杂维护就是其中压力之一。

传统VPN建设瓶颈:1、网络配置复杂,设备上线对技术水平要求较高;2、大量设备链路维护复杂,需求变更带来巨大工作量;3、部分业务近乎苛刻的网络连续性需求无法满足;4、多链路出口无法智能选路、冗余备份;5、偏远地区网络互连需求;安恒信息明御安全网关VPN组网方案设计:整个方案架构技术上打破传统VPN易用性和稳定性上的难点,通过集中管理平台统一管理下发配置,实现分支机构零配置上线,业务调整可动态实现感兴趣流的收敛;智能选路保证在多链路出口情况下选择最优隧道路径,HA切换情况下实现隧道内业务零中断;极大的降低了运维人员工作量和稳定性压力。

方案主要特点:简单易用降低难度VPN整个配置只需在一个页面三步配置,隧道即可自动建立并互联互通,网络或业务调整时只需一步,设备间即可自动宣告网段,无需人工干预,真正实现网络间的动态自适应,极大的减轻维护人员的压力和工作量;集控极速开局通过集中管理平台无需专业人员上门安装,只需在平台预先注册配置,整个上线过程无需实时操作,即可自动下发配置、升级版本和特征库,实现VPN快速零配置上线。

多出口隧道备份智能选路中心端设备可配置首选线路、备份线路和负载方式等多种选路策略,根据出口的不同运营商下发不同选路策略给相应分支机构,保持来回路径一致避免跨运营商延迟的问题发生。

HA切换业务零中断在稳定性要求苛刻的网络场景下,VPN独创的主备切换零丢包技术,可真正实现TCP 业务不中断,让管理员高枕无忧,此产品功能业界领先。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

互联网Web业务自适应安全方案目录互联网Web业务自适应安全方案 (1)一、应用背景 (3)二、需求分析 (3)三、深信服解决之道 (5)3.1 OWASP十大web攻击防护 (6)3.2系统/应用漏洞攻击防护 (7)3.3威胁情报预警与处置 (8)3.4专业的网页防篡改 (8)3.5高效精准的黑链检测 (9)3.6多维敏感信息防泄漏 (9)3.7 智能化CC攻击防护 (10)3.8 可视化网站风险展示 (10)3.9自助化快速安全运维 (11)一、应用背景随着电子商务、Web2.0、互联网+等一系列创新的产品和理念的发展,基于Web环境的互联网应用越来越广泛,门户网站、办公应用、在线考试、网上银行、网络购物、网络游戏、在线视频等很多互联网应用都架设在Web平台上。

国家互联网应急中心统计显示,当前互联网上WEB业务应用流量占比非常高。

Web业务的迅速发展也引起黑客的强烈关注,紧随而来的就是Web安全威胁的凸显,黑客利用网站操作系统和服务程序漏洞,很容易获得Web服务器的控制权限,实现篡改网页内容、窃取重要数据、植入恶意代码、发起拒绝服务等各种恶意目的,使得网站建设方和访问者受到侵害。

这也使得越来越多的用户关注应用层的安全问题,对网站安全的关注度也持续提升。

二、需求分析国家互联网应急中心(CNCERT/CC)《2014中国互联网网络安全报告》显示“我国网站安全问题非常严峻,2014年我国境内被篡改网站数量为137334个,较2013年大幅增长53.8%;2014年,监测到仿冒我国境内网站的钓鱼页面99409个,涉及IP地址6844个,其中89.4%的IP地址位于境外;2014年,监测到境内40186个网站被植入后门,其中政府网站有1529个”。

严重的网站安全问题进一步引发网站用户信息和数据的泄露等问题。

2014年,国内先后发生用户开房信息泄露、12306用户信息泄露、团购网站账户信息泄露、社保账户信息泄露等多种安全事件,给互联网用户的合法权益和互联网安全造成严重威胁。

网站作为对外展示的窗口和业务服务平台,往往承载着有价值的数据信息,同时也容易成为入侵渗透机构内部网络的跳板,因此成为非法攻击者最为关注的对象之一。

目前网站业务面临的主要安全问题如下:1、网页篡改问题网页篡改是指攻击者利用web应用程序漏洞将正常的网站页面替换为攻击者提供的网页/文字/图片等内容。

一般来说网页的篡改对计算机系统本身不会产生直接的影响,但对于门户网站、电子商务等需要与用户通过网站进行沟通的应用而言,不仅会导致信息误导或服务中断造成经济损失,还会对组织机构的形象和信誉带来严重的损害。

2、网页挂马问题网页挂马也是利用web攻击造成的一种网页篡改的安全问题,相对而言这种问题会比较隐蔽,但本质上这种方式也破坏了网页的完整性,用户访问挂马网页就会把木马病毒带入自己的电脑。

网页挂马会导致网站的最终用户成为受害者,网站建设方也会因此带来经济信誉损失,还可能因为是攻击者潜在的帮凶问题而承担相应的法律责任。

3、网站黑链问题黑链一般在网站页面看不见,却能被搜索引擎计算权重的外链,往往是由黑客恶意植入到网站后台。

我国的黑链问题比较严重,CNCERT报告显示2014年我国有超过10万网站被植入黑链。

黑链的危害也非常多:被挂黑链的网站一般都已经被黑客获取了Webshell权限,因此很容易被黑客进行其他恶意攻击;网站建设方往往对黑链毫不知情,无偿帮别人挂链接,成为非法利益的免费广告牌;网站被挂黑链会降低自身的搜索排名,被搜索引擎发现后还会被降权或者从关键词排名中剔除,非常不利于网站的推广。

4、漏洞安全问题网站区域往往部署有大量业务服务器,这些业务服务器的底层和业务应用系统会不断产生安全漏洞,给了入侵者可乘之机。

黑客能够利用这些漏洞发起对网站的各种攻击,比如利用Apache 漏洞、IIS漏洞、后门漏洞、操作系统漏洞、ftp 漏洞、数据库漏洞等,实现对网站Webshell权限获取、敏感信息监控/窃取/篡改等目的。

因此需要有效的方法来实时识别并防护漏洞安全。

5、敏感信息泄漏问题这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。

这对于电子商务而言是致命的打击,可产生巨大的经济损失。

6、无法响应正常服务的问题CC(ChallengeCollapsar)攻击是WEB网站最常遇到的安全问题,攻击者借助代理服务器生成指向受害网站的合法请求,实现DDOS和自身伪装。

CC攻击通过模拟多个用户对网站进行访问,使得网站服务器充斥大量要求回复的信息,严重消耗网络系统资源,导致网站系统瘫痪,无法响应正常的服务请求。

三、深信服解决之道深信服提供了全面的网站安全解决方案,通过在线部署一台深信服下一代防火墙NGAF,实现从攻击各个源头上帮助用户防护网站各类网络/应用层安全威胁,一站式智能化解决网站安全问题。

深信服下一代防火墙提供了二到七层双向内容检测技术,不仅能实时发现扫描、入侵、漏洞、破坏等安全问题,还能有效解决攻击被绕过后产生的网页篡改、挂马、黑链、敏感信息泄露等问题,实现网站系统的事前、事中、事后全面双向安全防护。

3.1 OWASP十大web攻击防护深信服下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。

(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

3.2系统/应用漏洞攻击防护深信服下一代防火墙NGAF提供了实时漏洞发现功能,可以对经过设备的流量进行实时漏洞风险分析,且不会给网络产生额外的流量。

实时漏洞检测功能能够发现底层软件漏洞、业务发布软件漏洞、Web应用风险漏洞、插件漏洞、Web 不安全配置、弱口令等多种安全缺陷。

对于检测到的漏洞信息,NGAF还能提供详细的漏洞说明,如漏洞类型,数量,描述,危害说明等信息。

深信服还创新性的将实时漏洞检测和入侵攻击行为进行结合,从海量的攻击日志中快速识别出真正对网站业务应用有危害的“有效攻击”,从而大大减少安全运维的工作,让IT人员将更多的精力放在有效威胁的防护上面。

深信服下一代防火墙NGAF提供基于操作系统和应用程序的漏洞攻击防护,防止攻击者利用操作系统(如windows sever2003/2007、linux、unix)及发布软件漏洞(如,IIS、Apache等)对网站进行系统提权、系统破坏、信息窃取等攻击。

通过深信服攻防团队自主漏洞研究、成为微软“MAPP”计划会员、加入CVE 漏洞共享平台、CNVD合作单位等方式及时更新漏洞特征信息,实时检测和防护漏洞安全问题,保障网站不受漏洞攻击,同时防止“0day”漏洞攻击的产生。

3.3威胁情报预警与处置为了更好地帮助用户解决网站系统高危0Day漏洞问题,深信服专门研发设立了威胁情报预警与处置中心,并在深信服下一代防火墙NGAF上集成了威胁情报预警与处置功能。

该中心立足于深信服云安全中心,能够及时收集最受业界关注的热点安全事件,在事件爆发后的48小时内提供完整的0Day漏洞检测和防护方案,并第一时间将方案推送到全球在线的深信服NGAF设备上。

当发生重大网络安全事件时,用户无需再为每台服务器进行漏洞验证和补丁升级,深信服NGAF可自动对被保护对象进行扫描检测,并对扫描发现的威胁提供一键防护功能,用户只需按动一键防护按钮,设备即可自动生成针对所有被发现的威胁的防护策略。

深信服威胁情报预警与处置中心的主要工作流程包含:热点事件搜集、信息推送、漏洞扫描,以及一键防护。

其中,热点事件搜集和信息推送主要通过深信服云平台完成;漏洞扫描以及一键防护主要通过全球各地部署的深信服NGAF设备执行。

3.4专业的网页防篡改深信服提供了专业的网页防篡改功能,通过在Web服务器上面安装深信服防篡改客户端软件,同时在NGAF上配置相应的防篡改策略,实现防篡改客户端软件和NGAF的智能联动,避免了网站被恶意篡改。

任何人员想要更新网站内容,都需要通过NGAF登录后台管理系统,NGAF会首先拦截此登录请求,再重定向至二次认证页面,同时会把登录验证码发送到NGAF提前配置的认证邮箱,在完成二次认证确认无误后,才能登录到网站后台系统,客户端防篡改软件会和NGAF联动共享认证信息,若认证通过,则同步开放后台写权限。

任何未经NGAF和客户端软件联动确认的修改行为,都会被客户端软件拒绝,并记录行为日志,上报到NGAF。

深信服NGAF和防篡改软件的配套使用,可以从根本上防止网站恶意篡改行为的发生。

3.5高效精准的黑链检测深信服下一代防火墙NGAF创新性的推出了黑链检测功能,NGAF采用了多种黑链检测机制,如对黑链类型和链接内容的分类匹配等,这些手段有效保障了黑链检测的精准度。

只要被挂黑链的页面被用户访问,设备就能准确检测出黑链的位置和类型,并通知管理员及时进行确认和针对性修复。

市场上常见的黑链检测工具,需要管理员手动检查,并查看网站源代码,方便性较差。

这类方法需要定期进行检测,否则即使清除了网站中的黑链,日后还可能被再次挂上。

使用深信服NGAF黑链检测方案,网站管理员不必再投入大量的时间和精力定期对网站进行黑链检测。

3.6多维敏感信息防泄漏深信服下一代防火墙NGAF提供了多种维度的敏感信息防泄漏功能,基于深信服深度内容检测功能,NGAF能够实时检测并阻断网站源代码、用户帐号信息、重要配置文件、邮箱账户信息、MD5加密密码、银行卡号、身份证号码、社保账户、手机号码等多种敏感信息的泄漏行为,同步记录泄漏事件信息,并通过邮件等方式报警。

此外,深信服NGAF还提供了自定义敏感信息功能,用户可以通过正则表达式定义敏感信息防护内容。

此外,NGAF还提供了应用协议内容隐藏功能。

NGAF可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行有效的隐藏,如:HTTP 出错页面隐藏、响应报头隐藏、FTP信息隐藏等。

该功能可有效防止黑客利用服务器返回信息进行针对性的攻击。

3.7 智能化CC攻击防护深信服下一代防火墙NGAF提供了智能化CC攻击防护功能,能够自动识别针对网站业务的CC攻击行为,并通过限制网站服务的访问IP等方式避免CC攻击的产生。

NGAF内置了自主研发的DOS攻击算法,可防护基于数据包的DOS 攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,确保了网站平台的可用性及连续性。