深信服NGAF数据中心安全解决方案-V1.0课件.pptx

1、数据中心安全现状网络安全问题严峻互联网安全威胁报告网络病毒僵尸网络网站攻击网页篡改系统漏洞远程利用网站漏洞按名称分布情况网站漏洞按等级分布情况据统计，现在用户使用的操作系统和应用程序中，每1000行代码中就可能有45个编码漏洞调查、测试和将补丁程序部署到操作系统的过程可能需要30天，应用程序时间则更长注：数据来自http:/“漏洞一旦公布，一天之内就会出现专门的攻击程序，大多数自动化攻击都出现在消息公布的前15天内，而80%的漏洞攻击都出现在60天内。” 知名研究机构Ogren GroupIDC网站安全普遍存在APP1OS1APP2OS2APP3OS3APP4OS4VM1VM2VM3VM4传统

2、IDC安全防护模型虚拟化后的安全风险u 不同租户的物理环境相对独立u 传统硬件安全产品保护业务系统边界概念的弱化u VM上业务系统安全风险u Hypervisor引入的安全威胁u VM之间安全访问风险u 多租户间的安全风险虚拟化引入新的安全问题VM1VM2VM3VM4VM5VM6u 安全域的划分与访问控制：同域的VM5安全访问VM6；跨域的VM1是否可以访问VM4，访问业务流量是否包含安全威胁u 主机安全威胁：操作系统和数据库漏洞利用u 应用安全威胁：OWASP Top 10安全威胁u 数据安全威胁:敏感信息泄露虚机之间安全访问风险安全域1安全域2敏感信息被“盯住”恶意入侵、针对性渗透，“翻翻

3、你的老底”已知未知漏洞“突破口”黑链/僵尸网络“间谍”网络中“唐僧肉”防火墙Web应用防火墙网页防篡改统一安全网关VPNIPS选择，最纠结的地方数据中心安全现状近近5050%的安全市场的安全市场份额份额遍及各行业的广泛遍及各行业的广泛应用应用基于应用的深度检基于应用的深度检测测基于最成熟的基于最成熟的硬件平台硬件平台长长达达3030年年技术积累技术积累出类拔萃的产品出类拔萃的产品性能性能防火墙仍是首选安全产品应用场景不同出现多种防火墙设备下一代防火墙才是安全建设的最佳选择防火墙产品现状NGAF保障数据中心安全NGAF数据中心安全更好选择双向内容安全二到七层防护异常流量清洗虚拟区域划分安全风险可

4、视实时漏洞分析NGAF物理安全网关虚拟软件网关NGAF更精准的防御新型攻击ACL：安全根据包裹上的地址转发特征检测：安全检测到包裹里面一个玩具小木马内容检测：危险木马上有带有无线发射装置的针孔摄像头，实时向外发射信号NGAF深度内容检测L5-L7: 应用层L4: 传输层L3: 网络层L2: 链路层L1: 物理层访问控制问题协议异常网络层DDoSARP欺骗、广播风暴物理故障敏感信息窃取网页篡改、挂马漏洞利用攻击SQL注入、跨站脚本应用扫描探测弱密码攻击应用层DDoS蠕虫、病毒、木马非安全应用滥用业务内容Web应用架构Web服务架构操作系统TCP/IP协议栈网络接口网线NGAF二到七层安全僵尸网络

5、自动识别敏感信息外泄检测网页篡改监测黑链检测L2-L7攻击防护业务漏洞主动发现被动发掘业务漏洞NGAF全面双向防护 服务集群正常访问服务器自动学习自动建模未知攻击、非法请求 网站构架 参数类型 参数长度 NGAF自动学习建模价值l 提高黑客攻击成本l 避免安全设备被绕过l 降低运维管理成本DangerNGAF智能模块联动SandBox沙盒检测环境：危险行为进程操作文件操作网络行为注册表操作1.可疑流量上报2.沙盒执行检测深信服安全云4.云同步更新4.安全规则下发3.生成安全规则发现未知攻击，快速分发策略第一时间响应未知威胁NGAF云端沙盒联动l在线设备：数千台安全网关l未知威胁实时监测l月拦截

6、：56万安全云安全云NGAF自动化威胁情报收集平台敏感信息防泄漏常见的敏感信息防泄漏常见的敏感信息防泄漏用户信息用户信息邮箱账户信息邮箱账户信息MD5加密密码加密密码银行卡号银行卡号身份证号码身份证号码社保账号社保账号信用卡号信用卡号手机号码手机号码内部保密文件内部保密文件根据文件类型防泄密根据文件类型防泄密根据特征自定义信息合规性根据特征自定义信息合规性NGAF敏感信息防泄漏病毒查杀常见病毒查杀常见病毒查杀httpftpPop3Smtp压缩文件压缩文件NGAF自动病毒过滤访问权限控制OWASP TOP 10口令防护登录权限防护应用隐藏网站防扫描 外部攻击防护NGAF专业WEB安全防护NGAF

7、主动/被动漏洞扫描业务安全可视漏洞攻击日志+ +有效攻击NGAF业务风险直观可视NGAF安全风险简单易懂发现更多传统防火墙、IPS和WAF等多设备同时部署不能发现的安全问题NGAF更多威胁可视每周只需要跟进待处理问题开展工作即可NGAF提供了参考解决方案，不懂安全也能运维NGAF自助运维管理攻击情况漏洞情况192.168.1.243端口：80IP地址192.168.1.233443端口MS-13-10漏洞SQL注入杂乱无序，看不出重点专业，明了传统设备报表NGAF价值服务主机网站系统僵尸网络病毒木马系统漏洞信息泄露异常行为恶意连接风险程度中攻击次数2次IIS漏洞Webshell漏洞IIS漏洞攻

8、击Webshell攻击业务系统风险资产等级NGAF更大IT价值数据中心物理计算资源 在数据中心出口部署深信服万兆下一代防火墙，对所有的物理服务器进行防护，同时提供业务支撑平台的整体安全规则。 在内部业务集群中部署深信服下一代虚拟防火墙，对虚拟化架构中的业务进行安全防护。 虚拟机之间通讯都经过虚拟防火墙，所有的虚拟防火墙拥有和物理产品一样的功能。数据中心整体安全防护方案WEBAPPMAILVDI网络资源网络资源部署深信服vNGAF划定虚拟安全边界VSGVSG完善的安全体系NGAFNGAFNGAF完整的数据中心安全部署深信服NGAF在物理网络出口部署深信服下一代防火墙在物理网络出口，对数据中心网络

9、提供27层的双向可视的安全防护部署下一代虚拟防火墙在虚拟化网络中，对虚拟网络进行区域划分和访问控制，防止虚拟网络或虚拟机之间攻击威胁，实现虚拟环境下的2-7层可视化安全防护互联网某租户VDC.云平台u 为云平台中的租户提供安全服务，可以由平台统一提供vNGAF，也可以由租户自行安装在VDC内u vNGAF根据CPU核数进行授权，通过管理台进行统一授权管理云安全服务云接入服务多租户安全解决方案服务器虚拟化服务器虚拟化( (VMWARE/KVM/XEN/SANGFOR VMWARE/KVM/XEN/SANGFOR aSVaSV)第三方云管理平台第三方云管理平台( (OpenStackOpenSta

10、ck) )u 深信服深信服vNGAFvNGAF支持运行在支持运行在VMWARE/KVM/XEN/SANGFOR VMWARE/KVM/XEN/SANGFOR aSVaSV等多样的服务器等多样的服务器虚拟化平台上虚拟化平台上u 深深信服信服vNGAFvNGAF支持通过接口纳入统一云平台管理体系，如支持通过接口纳入统一云平台管理体系，如OpenStackOpenStack支持与多样的平台对接vNGAF虚拟网络安全防护n 深信服vNGAF（虚拟下一代防火墙）专为虚拟化网络安全而设计，它能以虚机的形式部署在Vmware虚拟化平台中，并完全适配vCenter和vmotion的监管，支持虚机的克隆和迁移等

11、配置和操作，实现最高的易用性n 可以精确的对hypervisor平台的L2到L7层流量分析和控制，可以解决虚拟网络中的区域隔离、边界控制、风险识别、漏洞检测、应用控制、应用安全、威胁防护等安全功能n vNGAF同样可以在虚拟网络中启用HA高可靠性部署，可以真正做到7*24*365的无间断安全防护，实现最高的可用性和可靠性vSwitch前端WEB区vNGAFETH1ETH2ETH2中间业务逻辑区后端数据库区vNGAF虚拟网络区域隔离vSwitch前端WEB区中间业务逻辑区后端数据库区VNGAF部署前部署前VNGAF部署后部署后关键业务被安全地分置在不同的安全域内，所有的通信内容受虚拟防火墙检测和

12、保护，确保所有通信都符合安全要求并且vNGAF可以完全适配Vmotion的监管，虚机克隆、迁移等配置和操作不受限制完善的安全体系MAILVDIWEBAPPvNGAF细粒度虚拟网络安全安全域安全域Hypervisor（vSwitch）可以针对虚拟机做细粒度的安全防护根据虚拟网络安全需要进行区域划分虚拟网络没有安全防护导致风险泛滥vNGAFvNGAF减轻核心流量压力传统出口安全过滤汇聚交换机A虚拟平台vswitchWEB10.1.1.0/24汇聚交换机AAPP10.1.2.0/24部署虚拟安全软件汇聚交换机A虚拟平台WEB10.1.1.0/24汇聚交换机AAPP10.1.2.0/24vswitchvswitchvNGAF缩小风险范围减少核心冲击防止虚机攻击确保应用安全清洗异常流量虚拟环境：以虚机存在，支持透明、路由等方式NGAF完整的数据中心安全物理出口：以网关部署，出口安全，整体防护传统网络虚拟网络可视智能立体双向高效完整aSVaSVNGAF品牌优势国内销售额领跑用户部委省厅级单位大型企业集团运营商金融单位知名教育单位在线运行设备接入云端设备6000台3万台用户数量最多中央政府采购目录国税总局产品集采中国电信产品集采123中国移动产品集采3高端行业认可