山石网科产品及方案介绍

1、山石网科产品及方案介绍技术创新，变革未来1综述2边界安全3内网安全4云安全5运维分析6安全服务综述产品线布局综合安全，层层防御 40110101001010101010100101010101010011010100000100101010010101001101010101001010100010101010101010010101010110101010100101010101010101001010101010110010110010010101010010010001010101010010011010101101001001010101001101001101010110山石网科网络

2、安全产品方案全景5云安全安全即服务HSA安全审计平台运维分析HSM安全管理平台 山石云景云服务平台边界安全IPS/IDS入侵防御/检测系统 E Series下一代防火墙T Series智能下一代防火墙X Series数据中心防火墙WAFWeb应用防火墙ABG应用负载网关云沙箱检测系统ADC应用交付控制器内网安全智感 BDS内网威胁感知系统智源 威胁情报分析系统智端终端威胁监测系统数据安全数据泄露防护数据库审计与防护山石网科网络安全产品方案部署6加密远程接入主机安全防护 数据中心防火墙VHSM & VHSA分支机构数据中心远程接入企业总部IPS & IDSWAFiNGFW智感NGFW & BDS

3、ABG云沙箱检测系统山石云景云服务平台HSM & HSA 智捷 移动威胁感知系统智端终端威胁监测系统ADC数据泄露防护数据库审计与防护基于攻击链立体化防御体系侦查恶意软件组装恶意软件传输执行攻陷C&C数据发现数据窃取攻陷前Pre-breach攻陷Breach攻陷后Post-breach防扫描防火墙、入侵防御、防DDOS、WAF。数据库安全DLP(终端侧/网络侧)防病毒、沙箱分析合规管理类：介质安全、非法外联、准入控制取证审计类：威胁取证、数据库审计主机安全（PC/智能终端）高级威胁检测，主机行为跟踪、大数据分析。7安全服务：漏洞扫描、渗透测试、安全加固、专家咨询服务边界安全下一代防火墙E智能下

4、一代防火墙T数据中心防火墙X云沙箱检测系统云影 入侵防御/检测系统 IPSIDSWeb应用防火墙WAF应用负载网关 ABG应用交付控制器 ADCE-Series NGFW: 下一代防火墙9加密远程接入主机安全防护 数据中心防火墙VHSM & VHSA分支机构数据中心远程接入企业总部IPS & IDSWAFiNGFW智感NGFW & BDSABG云沙箱检测系统山石云景云服务平台HSM & HSA 智捷 移动威胁感知系统智端终端威胁监测系统ADC数据泄露防护数据库审计与防护传统防火墙仅能识别端口、IP；然而，端口 应用传统防火墙无法精准识别应用及威胁，对网络安全、数据安全面临的新挑战无能为力！为什

5、么需要下一代防火墙？全业务场景多维度感知a应用用户时间国家地理威胁内容端口协议IP传统五元组除传统五元组外，能够提供包括应用、用户等更多维度业务场景感知，提供更多安全保障基于全业务场景感知，提供高性能应用安全防护和出色的用户体验精细化多维安全防御时间地理内容传统五元组端口协议IP典型应用场景13互联网出口服务器保护分支VPN互联精细高效的网络应用管控全面抵御互联网威胁灵活的访问控制策略专业WEB服务器防护极简IPSec VPN部署业务虚拟化安全防护多链路流量优化及应用引流集中部署、集中监控管理低延时、高吞吐VPN连接T-Series iNGFW: 智能下一代防火墙14加密远程接入主机安全防护

6、数据中心防火墙VHSM & VHSA分支机构数据中心远程接入企业总部IPS & IDSWAFiNGFW智感NGFW & BDSABG云沙箱检测系统山石云景云服务平台HSM & HSA 智捷 移动威胁感知系统智端终端威胁监测系统ADC数据泄露防护数据库审计与防护基于行为分析技术的智能下一代防火墙15特征过滤行为分析iNGFW下一代防火墙 NGFW智能 i+发现内网潜在风险过滤已知网络威胁构建智能安全闭环基于行为分析，发现内网潜在威胁风险可视，洞悉每一步攻击策略联动，实时减缓风险发 现可 视控 制16智能下一代防火墙的四种部署模式分析控制分析检测互联网出口互联网出口旁路检测防火墙/交换机互联网出口

7、串行防护服务器前端服务器前端旁路检测防火墙/交换机服务器前端串行防护17攻击准备攻击过程攻陷后智能安全网络攻击全周期防御侦查命令控制数据窃取网络攻击链威胁植入内网侦测内网扩散下一代防火墙威胁检测设备（沙箱）山石网科智能下一代防火墙传统防火墙18X-Series: 数据中心防火墙19加密远程接入主机安全防护 数据中心防火墙VHSM & VHSA分支机构数据中心远程接入企业总部IPS & IDSWAFiNGFW智感NGFW & BDSABG云沙箱检测系统山石云景云服务平台HSM & HSA 智捷 移动威胁感知系统智端终端威胁监测系统ADC数据泄露防护数据库审计与防护新建连接、最大并发数量、吞吐量全

8、面线性扩展 有力支撑数据中心的超大网络流量、海量网络访问全面支持高性能应用层安全性能全面线性扩展吞吐量最大680Gbps，新建连接速率480万，并发连接数2.4亿全分布式架构基于全分布式架构的高性能优势20硬件防火墙解决虚拟化东西向安全问题支持多达1000个虚拟防火墙可根据不同的业务需求动态设置每个虚拟防火墙的CPU、会话、策略、端口等资源，实现定制化部署虚拟防火墙可以实现4-7层的安全防护每个虚拟防火墙可独立配置和管理，提供逻辑独立的安全业务平面，满足不同用户的独立安全防护需求，实现精细化管理。Core Switch虚拟防火墙虚拟防火墙VSwitchOSOSOSOSOS工作主机OSVSwit

9、chVSwitchOSOSOSOSOSVSwitchVSwitch21电信级高可靠保障用户业务稳健电信级99.999%高可靠性软件可靠不间断业务升级资源动态调配模块可靠主控板卡冗余业务板卡冗余硬件可靠系统电源2+2冗余系统风扇冗余板卡可靠硬件Bypass板卡系统可靠AA/AP冗余部署22最强5U小钢炮5U16U其他友商相近性能产品X7180每U吞吐量（G/U）13Gbps/U32Gbps/UX7180136Gbps/U每台消耗电费（元/年）￥4K￥1KX7180￥3K 更小的空间占用更高的单位体积性能更低的电费开支绿色节能高可靠高性能虚拟化安全 虚拟1000台VSYS VSYS可被独立管 理和

10、分配资源 全面支持 OpenStack 5U节省机架空间 更低电量消耗，低 碳节约开支 业务板卡冗余 主控板卡冗余 风扇冗余 电源冗余 硬件Bypass 680Gbps吞吐 480万新建 2.4亿并发23山石网科双活数据中心防火墙解决方案山石网科孪生模式（Twin-mode HA）双活数据中心防火墙解决方案多台设备的高可靠组网方式控制和数据链接保障双活设备间实时同步会话和配置流量同进同出安全可视山石网科双活数据中心防火墙解决方案解决了双活数据中心场景下非对称流量的问题。此方案是业界首创，其他厂商均未支持此处理方式。24山石云影: 云沙箱检测系统25加密远程接入主机安全防护 数据中心防火墙VHS

11、M & VHSA分支机构数据中心远程接入企业总部IPS & IDSWAFiNGFW智感NGFW & BDSABG云沙箱检测系统山石云景云服务平台HSM & HSA 智捷 移动威胁感知系统智端终端威胁监测系统ADC数据泄露防护数据库审计与防护静态分析动态行为分析云端智能未知文件提交威胁特征更新文件分析报告本地检测及防御技术基于云端的沙箱检测方案通过文件行为分析发现未知威胁虚拟执行、行为捕获、行为判定APPWeb文件判定和行为分析报告从网络流量中提取文件文件行为分析引擎MailFTP网络行为进程行为注册表行为其他行为基于文件行为的沙箱检测技术是Gartner定义的网络侧高级威胁检测技术，并被主流网

12、络安全厂商广泛采用和顶级沙箱方案供应商技术合作28沙箱解决方案的领导者Lastline (NSS Labs推荐级、最优检测率)、腾讯安全（检测率位列前茅）基于全文件分析系统的下一代沙箱解决方案、有效对抗沙箱逃逸技术+腾讯应用级沙箱，模拟全面的应用级环境，应对特定应用版本的漏洞CPU级别的动态指令分析，发现文件行为内存代码分析休眠代码分析，发现恶意软件潜在的行为检测：全面的抗沙箱逃逸检测能力识别文档中的宏脚本内核级别可视化分析，可识别内核级漏洞或者Rootkit，防止沙箱逃逸WEBEMAILFILES虚拟机更深度的执行环境模拟及指令级行为分析模拟恶意软件交互以触发恶意行为检测：同时可大幅提高已知

13、威胁检测能力全病毒覆盖、接近10亿的已知威胁样本网关防病毒仅针对流行病毒、千万级病毒特征库检测：高效云沙箱智能云端多云端数据中心部署基于国家、区域智能引流到合适的云端动静结合云端10亿+恶意样本库通过MD5查询，快速返回文件判断结果及行为报告前置技术URL白名单可信文件签名验证文件行为前置分析，过滤无行为的文件检测：分秒级检测未知威胁沙箱前置过滤不是所有文件都需要沙箱深度分析，100文件中5% 可以被静态命中80% 可以被预处理过滤石雕可视才可控瓶颈不可视威胁不可视应用不可视行为不可视性能不可视有劲使不上无力监管技术趋势云基础设施缺乏安全手段协调管理复杂维护单位图省事儿云内边界模糊，内网安全域

14、严重放大且缺乏内部防范意识没有明确标准、法规要求上云前上云后挑战83云计算内部网络安全事件频发典型云内威胁1:发起端口扫描，寻找漏洞，扩散恶意代码典型云内威胁2:蠕虫病毒、恶意软件发作，宿主机计算资源耗尽，网络瘫痪。典型云内威胁3:跨站攻击，提权，篡改页面，窃取数据。 在山石网科的山石云格和山石云界客户试用活动中，共发现应用层、网络侧攻击二十余类，遍及所有客户84层层防护，从微入手: 虚拟化全方位保护NSVPCNSVPCNS山石网科全系列硬件安全产品提供整个云数据中心的基础架构的南北向网络安全监控大边界山石云界提供租户级、业务系统间的隔离与南北向网络安全防控提供NFV框架下的安全服务链能力小边

15、界山石云格提供虚机级别的东西、南北向网络安全监控面向私有云，行业云场景微边界85NFV，软件镜像只是第一步Hypervisor适配平台适配初始化配置注入自动化授权开放接口编排镜像NFV虚拟化基础ESXiKVMXenHyper-V镜像虚拟化产品启动部署这才是NFV环境适应能力OpenStackvCenterAliCloudAWSAzureSDNSR-IOV部署初始化解决IP/GW解决弱口令解决密码重置自动化授权完成自动化开通服务及业务变更高级对接统一配置风格实现高级配置业务自动化根据业务部署根据业务配置86山石云界的NFV方案87Hypervisor适配平台适配初始化配置注入自动化授权开放接口编

16、排方案1方案2方案3镜像vFW镜像+license servervFW镜像+license server+VSOM+Openstack-PluginvFW镜像+license server+Restapi+文档+模版NFVKvmESXiOpenStackvCenter内置agentLicense serverRESTAPIN/AKvmOpenStackOpenStack-PluginLicense serverRESTAPIOpenStack+VSOMKvmOpenStackTOSCA模版License serverRESTAPI开源MANO山石云界: 虚拟下一代防火墙子网1网关Interne

17、tEC2InstenceEC2InstenceEC2InstenceEC2Instence分支机构A数据中心下一代防火墙管理员虚拟下一代防火墙子网2公网私网EC2InstenceSLB流量控制VPNVPNVPNVPN云平台虚网络边界防护：VPC出口&子网间防护子网间防护替代VR（虚拟路由器）自动化部署配置注入&RestFul API租户独立管理纯软件，按需启用释放VPN网关构建混合云安全通道云办公IPSecVPN&SCVPN集成式安全防护网络应用识别&攻击防护IPS&语义分析WAF防病毒&云沙箱下一代防火墙分支机构B下一代防火墙88云界授权验证方式89公网验证服务器公有云私有云（互联网）授权管

18、理系统私有云（内网）优势：授权快速交付支持迁移、删除，重装公网方式应用场景：各公有云可连接互联网的私有云本地方式应用场景：不可连接互联网的私有云需求授权管理的私有云互联网认证本地认证“山石云格”全分布式微隔离产品vCenterorOpenStack ControllerHAvSOM云管理模块vSCM云控制模块vSSM云安全业务模块集成式防护访问控制攻击防护IPSWAF网络防病毒网络引流二层部署可旁路监听可桥接防护异构云防护VMwareOpenStack品高云分析流量应用可视数据包捕获网络性能分析vDSM云数据分析模块90“山石云格”阻断威胁的横向扩展南北向流量“山石云格”可以保护占数据中心东西

19、向流量，阻止攻击在内部横向蔓延；防止感染主机从内部向外发起攻击?东西向流量?Internet91网络和虚机的从属关系网络间的流量交互关系虚机间的流量交互关系异常和违规行为网络构架虚机密度虚机的交互关系复杂度资源分布，交互关系拓扑可视化粗看细看123异常违规管理区业务区92应用、威胁、流量看得见应用监测威胁监测流量监测93虚拟化场景安全审计94Internet分支办公室云数据中心安全域B等级2NSVPCNSVPCNS安全域A等级3NSVPCNSVPCHSAVHSAVHSA方案描述：山石云格和山石云界部署在用户云数据中心，实现虚拟主机微隔离和南北向流量防护。在云数据中心不同区域部署VHSA产品，记

20、录安全日志数据中心防火墙部署在云数据中心边界，对整个云数据中心进行防护。HSA产品旁路部署记录内网主机上网日志以及安全防护日志。价值：满足网监部门要求满足云数据中心建设安全等级保护要求帮助政府/企业网管人员更好的管理网络用户关注功能：NAT+URL+IM上下线日志IPS、AV等安全日志Session日志统计报表功能中国虚拟化安全市场的领导者1st25 Most Promising Amazon Solution Providers 2016 by APAC CIO OutlookThe Cutting Edge Cloud Security Solution for 2016 by Cyber

21、 Defense Magazine95运维分析云服务平台云景安全管理平台HSM安全审计平台HSA山石云景: 云服务平台97加密远程接入主机安全防护 数据中心防火墙VHSM & VHSA分支机构数据中心远程接入企业总部IPS & IDSWAFiNGFW智感NGFW & BDSABG云沙箱检测系统山石云景云服务平台HSM & HSA 智捷 移动威胁感知系统智端终端威胁监测系统ADC数据泄露防护数据库审计与防护山石云景 - 安全运维进入SaaS模式98实时监控设备及网络状态实时获取威胁信息及时获知告警等用户云端系统维护与升级大数据挖掘与分析统计全球威胁数据分析等山石网科山石云景用户A用户B用户C山石

22、云景带来的价值99时效0元起部署维护01st实时获知安全状态帮助快速定位问题安全可视化实时呈现免部署免维护按需使用提供大量实用基础功能免费使用收费功能按需付费多设备集中监控与告警100山石云景用户WEB方式APP方式实时多设备状态监控流量/应用/用户排名实时获知威胁事件7*24小时告警监控手机APP，随时随地轻松运维101突破地理空间和时间的局限，通过手机APP，实时监控多设备状态及流量、告警信息，便于快速做出响应：内存CPU流量趋势应用排名用户排名威胁信息告警信息等HSM/HSA: 安全管理/审计平台102102加密远程接入主机安全防护 数据中心防火墙VHSM & VHSA分支机构数据中心远程接入企业总部IPS & IDSWAFiNGFW智感NGFW & BDSABG云沙箱检测系统山石云景云服务平台HSM & HSA 智捷 移动威胁感知系统智端终端威胁监测系统ADC数据泄露防护数据库审计与防护HSM安全管理平台103策略管理安全策略导入导出，支持查重、去冗、归并等策略优化支持策略配置、会话日志审计，快速排查定位故障配置管理全网配置集中管理、编辑、下发，历史配置比较安全监控设备运行状态、网络流量趋势、VPN隧道实时监控日志审计系统操作日志、上网行为日志审计，历史数据查询备份统计报表内置30余种预定义报表模板，支持自定义报表模