2 17上午-深信服下一代防火墙介绍

融合安全简单有效,下一代防火墙核心驱动力,深信服集团|安全事业部,网络防火墙的价值,对互联互通的网络进行区域划分，最小化安全域，控制安全事件的影响范围。,网络区域划分,防火墙部署在区域之间，阻断区域之间的互联互通，防范跨区域安全事件的发生。,区域边界隔离,通过配置访问控制策略，灵活控制可通过边界的对象身份和权限，满足正常业务需求。,边界访问控制,纵深防御,一层防不住就多几层防御网络层面防御终端层面也防御,区域边界隔离（分区分域）,缩小影响面简化管理,深信服下一代防火墙家族,NGAF,NIPS,WAF,1、传统防火墙功能（NAT、路由、访问控制ACL、IPSecVPN、DDoS、会话控制、用户认证、流控、双机）2、NIPS功能3、WAF功能4、AV功能,1、已知漏洞监测2、异常协议及异常流量监测3、威胁情报监测4、恶意文件监测,1、OWASPTOP10攻击防护2、恶意扫描防护3、网页防篡改4、黑链检测5、勒索病毒防护6、失陷主机检测与处置,AV,IPS,WAF,FW,UTM/NGFW,WAF,方案一,方案二,事前,事中,事后,事前不清楚系统存在的风险、需要防护的短板，导致防护策略错配、漏配，缺乏有效性，买了高射炮用来打蚊子；,设备难以有效使用起来,即使全部配置用起来，也难以保障完全防护，因为如今威胁全面升级，传统的特征匹配跟不上黑客的节奏；,未知威胁难以有效防御,根因分析：防不住已成安全新常态,VMware,路由器,入侵防御,数据库,存储,中间件,系统高危漏洞48个（未防护11个）,裸奔业务系统3个（缺失防护策略）,开放了高危端口23个（无策略封堵）,未生效防护策略18条（未生效）,事前：看不清风险，防护注定缺乏针对性,2016.4.16Version1.001,2016.4.29Version2.000,2016.5.9Version2.006,2016.5.11Version2.007,2016.5.16Version3.000,2016.5.24Version3.002,2016.5.26Version3.100,2016.7.14Version4.001,2016.8.22Version5.001,重金、技术投入下，黑客攻击手段更新频繁,防火墙,IPS,WAF,防毒墙,杀毒软件,服务器,数据加密,新型威胁，能够轻易绕过所有防护设备,事中：防不住，威胁快速更新迭代导致攻防失衡,事后：发现滞后、响应迟缓，导致损失扩大,某业务系统遭受攻击，数据被加密。,人工统计所有中毒电脑，拔掉网线并一台一台协助查杀和恢复。,遗漏未发作的潜伏中毒主机，导致处置不干净、重复感染，再逐一处理。,每次新型威胁来临，以上情景一再重演,事前自动梳理资产，发现资产风险和新增资产，确保防护策略的全面、有效、准确。,事前洞悉资产风险，确保防护有效性,事中防护能力需要涵盖网络层防护能力和应用层防护能力，具备边界防护的完整功能。,事中融合防护能力，确保防护的完整性,事后能够实时监测内部异常外联行为，及时察觉并定位已入侵威胁，快速处理减少损失。,事后持续监测已入侵威胁，快速止损,需要全周期的安全防护手段,事前梳理风险，确保防护有效性,事中融合安全防护能力,事后持续监测，快速响应,目录,防火墙需求背景,产品功能,价值主张,市场地位,1,2,3,4,新一代边界安全：深信服下一代防火墙,深信服下一代防火墙NGAF系列,NEXTGENERATIONFIREWALL,下一代防火墙：融合安全,事后：检测&响应,事中：防御,事前：预知,风险预知,积极防御,持续检测,资产发现,快速响应,风险评估,策略评估,L2-7层防御,联动防御,威胁情报,失控主机检测,黑链/webshell检测,新型威胁（云沙盒）,微信告警,恢复工具,云端服务,风险可视,资产,策略有效性,保护过程可视,攻击举证,攻击链可视,保护结果可视,整体安全态势,已入侵安全事件,漏洞,弱密码,资产保护结果,代办事项,紧急事件报告,运营月报,安全运营中心,全程保护,全程可视,目录,防火墙需求背景,产品功能,价值主张,市场地位,1,2,3,4,NGAF价值主张：融合安全，简单有效,融合安全事前+事中+事后全生命周期,简单有效全程可视+简单交付,解决之道之一：融合安全,1,2,3,4,5,自动发现新增资产,评估资产风险漏洞是否配置策略,安全策略加固和有效性自检,潜伏威胁事件检测和分析,快速处置响应,业务生命周期安全运营,解决之道之一：融合安全,核心资产有效识别,实时漏洞监测分析,最佳实践策略部署,安全能力全面评估,资产梳理,存在风险,检测结果：,SQL注入,信息泄露,开放风险端口,命令执行,评估结果：,防御能力缺失,规避风险,完善防御能力,事前：风险梳理预警与规避,事中：L2-L7完整、融合防护,事中：强大的未知病毒过滤能力,基于深度神经网络提取稳定的高层特征,深信服人工智能检测引擎SAVESANGFORAI-basedVanguardEngine,基于AI的杀毒引擎-简介,BadRabbit（17年10月出现的最新勒索病毒），年后最新出现的GlobeImposter2.0勒索病毒均能使用旧模型查杀。,SAVE,深信服人工智能杀毒引擎SAVESangforAnti-VirusEngine,创新人工智能无特征技术,准确检测未知病毒,集成学习,自然语言处理,深度神经网络,SAVE引擎,传统引擎,1.固定算法,2.人工提取特征,1.人工智能算法的自我优化,3.海量样本自学习,特点,效果,未知/勒索病毒应对乏力,有效抵御未知病毒、勒索病毒,3.样本收集受限,2.特征自动提取,基于AI的杀毒引擎-优势对比,事后：事后持续监测与快速响应,解决之道之二：简单有效,全过程安全可视,资产发现风险识别策略分析,攻击链可视检测异常行为攻击举证,安全状态安全事件待办事项,高效稳定,风险的可视保护过程的可视保护结果的可视,全程可视,简单交付,优势1,优势2,优势3,一体化策略部署全过程运营中心综合风险报表,单次解析多模匹配算法软硬件双冗余架构,解决之道之二：简单有效,目录,防火墙需求背景,产品功能,价值主张,市场地位,1,2,3,4,高速增长，年复合增长超70%,2011年发布国内首台下一代防火墙4万家用户一致好评5.4万台在线稳定运行,为什么之选深信服NGAF？,国内首台下一代防火墙,11年7月,13年1月,OWASP四星认证国内最高,14年7月,第二代防火墙标准制定者,NSSLabs最高评价,14年8月,ICSA防火墙认证国内仅4家,15年5月,国内首款第二代防火墙,15年8月,Gartner技术前瞻性国内第一,16年6月,首次入围Gartner魔力象限,15年6月,14年12月,多次入围高端行业,第一品牌，专业认可度高,技术前瞻NO.1,魔力象限,为什么之选深信服NGAF？,市场格局介绍,2018年IDC统一威胁管理国内市场排名，前5分别为：网御星云、深信服、360企业安全、山石网科、华为。深信服仅以下一代防火墙一个产品占据第二名，与网御存在两个百分点的差距，但是网御主要是靠UTM产品销售额达到的16.2%的占比，也就是说如果有下一代防火墙排名的话，深信服早已是第一名。,通用竞争策略,无论和任何一家产品竞争对比，保持回归深信服下一代防火墙的价值主张-融合安全。价值主张定位的是与同类产品的差异，通过价值主张，把传统安全品类（含友商下一代防火墙）定位为事中防御。不管什么其他安全品类都存在缺乏事前预知、事后检测和响应的问题，并且割裂的防御；传统以设备堆叠为主的建设方案会产生日志碎片化、防护割裂，缺乏设备间联动等后果，无法给用户提供有价值信息；,融合安全，简单有效!,深信服下一代防火墙的核心价值,竞争分析要回归产品本身的差异化优势,下一代防火墙阵营分类,数通类厂商,数通类厂商通常基于早期提供通讯网络设备起价（路由器、交换机），防火墙产品通常具备极强的数通基因，如注重端口密度、高性能、稳定性、传统访问控制等功能。典型代表：华为和华三，迪普和锐捷,传统防火墙厂商,从90年代随着我国第一波信息化安全浪潮涌现了老牌安全公司，同时2000年之后涌现了山石网科，定位为传统防火墙厂商，其防火墙专注于传统防火墙功能，如网络适应性、访问控制协议、会话管理等基本功能。典型代表：天融信、启明星辰、绿盟科技,国外厂商,在中国的外资厂商，国外厂商采用渠道化战略，定位中高端客户，通常高度产品化，以技术路线运作项目典型代表：Fortinet（飞塔）、Checkpoint、PaloAlto,数通类厂商对比,特点分析：数通类厂商在市场上所呈现的下一代防火请，通常都是由数通产品演变过来的，传统的功能包括VPN、NAT访问控制、QOS、双机热备、网络协议支撑等，简单集成了一些传统安全模块，如IPS和杀毒、抗D等模块。,进攻手段：其最大的特点是安全能力不足，仅仅简单集成了基本安全模块，存在能力缺失，比如针对web攻击的防御模块，C&C外联检测僵尸主机的模块；同时难以跟的上安全的变化形式，比如勒索病毒、挖矿病毒以及各种基于应用层的未知威胁攻击，缺乏持续更新的能力。,防御手段：数通类通常会从非安全功能角度来进攻深信服，比如数通的下一代防火墙端口密度大、性能高、价格便宜等我们通常是按照实际需求去引导客户，防火墙通常不需要过高的端口数，性能需求通常来源于特定场景，强调安全的性价比，如果设备不能有效防御威胁，再便宜也没有市场。,传统防火墙厂商,特点分析：老牌防火墙厂商安全产品线众多，下一代防火墙通常都是从传统防火墙演变过来的，安全功能多来自于其原有安全产品功能的集成复用，比如IPS、邮件安全、杀毒等各种功能。从表面功能上看不存在缺失，安全功能应有尽有。,进攻手段：安全产品的简单集成实际上并未能够给客户带来足够的安全，需要安全厂商围绕下一代防火墙的真实要求，进行从底层到上层的功能融合，深信服底层采用单次解析并行处理的机制可以有效提升设备性能，同时上层通过融合安全框架提供事前、事中、事后的全程保护和全程可视，同时内部安全模块可有机联动抵御威胁。内部的良好机制及依托用户体验的风险可视化能力是我们的优势。,防御手段：通常传统安全厂商会认为早期的深信服只做VPN及上网行为管理，安全能力不足，这一块各位可以向客户说明深信服于2011年发布下一代防火墙，是国内最早发布下一代防火请产品的安全厂商，同时是公安部下一代防火墙行标的主要撰写单位，并已经连续4年在全球Gartner魔力象限中入围（国内连续4年的只有华为和深信服）。,互联网厂商,特点分析：互联网厂商进入企业市场通常是因为安全处在一个风口，百度做杀毒、腾讯做WAF，只有360通过资本并购网神，做下一代防火墙，360因为在广告业务无法和百度PK，而游戏业务无法与腾讯PK，因此于2014年进入企业安全市场。互联网提供的产品，其概念要大于实质，因此360所推出的下一代防火墙在概念上很丰满，但实际的安全能力却很一般,进攻手段：360的下一代防火墙主要来自于收购的网神团队，而原班人马网神在被并购之后通常所提供的售后服务会比较差，同时网神也是传统防火墙的代表，安全模块简单集成，防御效果及性能比较一般，同时无法应对现今环境中广泛的未知威胁。,防御手段：和360的竞争中，因为其产品概念大于实质，比如现在定义下一代防火墙为基于大数据的智慧防火墙，和云端实时联动并强调全球的威胁情报，360所强调的所有能力我们均具备，同时在情报检测能力上我们是通过广泛的企业市场用户做的，情报维度比360面向互联网的情报会更好的匹配企业市场。,国外厂商,特点分析：从早期的思科、juniper、checkpoint到中期的飞塔，在到现在的PaloAlto，国外厂商的特点是趋同的，均是普遍高于国内设备的价格，提供一个复杂的技术体系，无任何扩展性基于本土渠道卖产品。,