XXXX深信服渠道售前培训课程AF_XXXX03

深信服渠道售前培训课程-AF——AF产品部提纲1、产品介绍2.应用场景及主推方案3、目标客户4、销售引导思路5、竞争优势6、产品选型1、产品介绍Web攻击事件——新浪微博病毒大范围传播启示：类似XSS蠕虫05年就攻击过知名社交网站MySpace，这次事件可以算是samy蠕虫在新浪的翻版，但随着web2.0技术的广泛应用这种攻击的影响可能会加剧。Web攻击事件——索尼泄密事件其查询页面被搜索引擎抓取后，至少有数百个公积金账户的详细信息被泄漏到网上，包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。泄密事件——北京市公积金查询网站•启示：web漏洞利用、防泄密不容忽视泄密事件——2011年末泄密事件篡改事件——2012年初网页篡改仍然严重截至2011年6月底，我国域名总数为786万个。中国的网站数，即域名注册者在中国境内的网站数（包括在境内接入和境外接入）为183万个。第28次中国互联网络发展状况统计报告网络安全信息与动态2012年1月难道这些单位不重视安全建设吗？威胁来自应用层！90%投资在网络层！传统防火墙已经失效！现行的解决方案——“串糖葫芦”式部署FWIPSAVWAF“串糖葫芦式”“打补丁式”建设成本高：环境、空间、重复采购管理难：多设备，多厂商、安全风险无法分析效率低：重复解析、单点故障现行的解决方案——UTM基于端口/协议的IDL2/L3网络、高可用性（HA）、配置管理、报告基于端口/协议的IDURL签名L2/L3网络、高可用性（HA）、配置管理、报告URL策略基于端口/协议的IDIPS签名L2/L3网络、高可用性（HA）、配置管理、报告IPS策略基于端口/协议的ID防病毒签名L2/L3网络、高可用性（HA）、配置管理、报告防病毒策略防火墙策略IPS解码器防病毒解码器&代理多设备叠加=多功能假集成=貌合神离L2/L3网络、高可用性（HA）、配置管理、报告网络层次越高资产价值越大L5-L7:应用层L4:传输层L3:网络层L2:链路层L1:物理层风险越高越迫切需要被保护访问控制问题协议异常网络层DDoSARP欺骗、广播风暴传输线路物理损坏L2-L7层潜在的安全威胁敏感信息外泄网页篡改、挂马应用层DDoSSQL注入、跨站脚本漏洞利用攻击扫描探测蠕虫、病毒、木马P2P带宽滥用业务内容Web应用架构Web服务架构操作系统TCP/IP协议栈网络接口网线安全建设应该重新考虑重新考虑安全建设防应用层攻击双向内容检测涵盖传统安全应用层高性能防护应用层安全威胁为重心关注服务器外发内容的安全风险融合现网环境，与传统安全形成异构安全不会成为网络的瓶颈深信服下一代防火墙NGAF是什么？•防应用层攻击•双向内容检测•涵盖传统安全•应用层高性能•模块智能联动NGAF是面向应用层设计，能识别用户、应用和内容，具备完整安全防护能力的高性能下一代防火墙。深信服下一代防火墙NGAF是什么？•NGAF是新一代安全产品，可替代FW、IPS、AV、WAF、UTM、网页防篡改等安全产品，可提供完整L2-L7安全防御功能。•是创新产品具有独特的双向内容检测技术，可防止黑客绕过设备进行篡改、信息泄漏。•智能的融合安全产品，可实现各模块智能联动。•并且涵盖传统安全功能，在多功能模块开启后应用层性能不会下降。如何介绍NGAF？•一句话介绍AF–下一代防火墙，提供整体应用层安全防护，同时涵盖传统安全功能，能够完全代替传统防火墙，IPS，UTM和WAF产品。•下一代：【应用和用户身份识别、策略管理更方便、深度内容检测】•整体安全：【FW+IPS+WAF】目前国内还没有一家能够提供融合FW、IPS和WAF功能并实现联动的安全厂商，深信服是第一家。发烧友级的组合音响集成的豪华家庭影院VSNGAF特点—防应用层攻击多维度应用层攻击防护“识别—防护”的攻击防护深入内容的内容解析NGAF特点—双向内容检测用户/黑客Web应用服务器保护核心资产价值入侵攻击敏感信息网页篡改保护社会公众形象规避法律法规风险NGAF特点—智能模块联动价值提高黑客攻击成本避免安全设备被绕过降低运维管理成本NGAF特点—涵盖传统安全NGAF特点—应用层高性能单次解析构架实现报文一次解析和匹配核1核2核n并行核性能123n策略层网络层/快递路径网络硬件I/OFWIPSAV+=应用层高性能万兆处理能力多核并行处理技术提升应用层分析速度全新技术构架实现应用层万兆处理能力主要功能模块卖点产品功能模块解决什么问题给客户带来什么价值防火墙模块IP端口访问控制、NAT实现安全域划分，保证内网地址安全IPS模块网络协议漏洞、系统漏洞、应用程序漏洞攻击防护在系统、网络层面防止黑客入侵服务器、终端WAF模块防止基于web应用程序的攻击在web应用程序层面防止黑客攻击web服务器AV模块防病毒、木马、蠕虫攻击保证外网毒马蠕不扩散到内网敏感信息防泄漏防止绕过安全体系造成的信息泄漏如“拖库”、“暴库”的问题即使被攻击也不会造成大规模信息泄漏网页防篡改防止绕过安全体系造成的网站篡改、挂马、盗链等防止页面被非法篡改2、应用场景及主推方案四大场景部门A电信联通NGAFAC/SG部门BDMZ区WEB交易系统WEB门户网站内部应用服务器OA、ERP、视频链路负载专线广域网广域网边界安全域内网办公区对外发布域数据中心安全域NGAFNGAF互联网接入域万兆核心应用服务器数据库服务器NGAF运维管理区数据中心核心SC集中管理APM运维管理服务器核心区注：连接线为示意图四大场景、九大解决方案•互联网出口一体化安全防护互联网出口•网站一站式安全防护•网页篡改防护•对外发布业务系统敏感信息防泄漏对外发布•数据中心安全防护•业务系统应用安全加固•数据中心业务系统敏感信息防泄漏数据中心•广域网安全组网及流量清洗•广域网边界安全防护广域网互联网出口场景安全需求：单向访问，内网地址隐藏带宽有限，实现灵活流控多线路跨运营商，如何选择最优路径防御来自互联网的威胁，如DOS/DDOS等保护终端上网安全，防止遭受病毒、木马、蠕虫的攻击推广思路：先帮客户进行整体安全风险的分析；然后帮助客户对比分析解决这些问题的几个方案优劣势；常见方案应用范围防护效果投资成本维护成本用户体验FW普遍（过去）差，仅做安全隔离,无法应对新的针对终端的应用攻击；低低，单台设备维护良好，网络层包转发率高FW+IPS/IDS广泛良好，可抵御部分应用层威胁中，中，少量设备维护一般，IPS性能延时瓶颈FW+IPS+AV+WAF极少最优高高，多设备需专业人员维护差，多设备延时明显UTM普遍良好，可抵御部分应用层威胁低中，单台设备多模块维护一般，多功能开启性能较低下一代防火墙新的选择最优低低，单设备智能维护良好，应用层高性能电信联通NGAFAC/SG链路负载互联网接入域互联网出口场景行业需求重点目标行业需求描述标杆建设情况电子政务外网原有传统墙的万兆升级和应用安全加固；大连市政府教育城域网原有传统墙的万兆升级和应用安全加固；北京顺义教育局高校原有传统墙的万兆升级和应用安全加固；湘潭大学卫生等保建设要求在该区域进行入侵防护；重庆卫生局三甲医院等保建设要求在该区域进行入侵防护；绵阳市中医院法院天平工程二期安全体系建设，按照等保要求来进行，需要在互联网出口部署安全隔离和防入侵安全设备。大连市中级人民法院央企冲A计划，每年都会对央企做IT测评;了解到大部分公司传统防火墙的使用年限均超过4年，存在传统防火墙替换需求。招商局大企业集团对原有的传统防火墙进行应用层安全加固，形成更完整的防护体系东风汽车，顶新国际省属国资委下属企业原有传统防火墙的替换，同时引导进行应用层安全加固；重庆机电控股集团中小企业互联网出口整体安全防护；中国化学工程互联网出口一体化互联网出口一体化安全防护为化学工程集团提供网络安全、应用管控、应用安全防护三大功能为办公区上网终端和服务器区对外发布业务打造互联网出口一体化安全防护部署一台下一代防火墙为用户实现简化组网、简化运维、最优投资的价值大连市电子政务外网建设互联网出口一体化安全防护为110余家委办局和指数机关单位电子政务外网接入提供统一互联网接入部署于大连市政府电子政务外网统一出口安全为“中国大连”一个中心网站70多子网站的安全保驾护航顺义教育信息中心城域网安全建设互联网出口一体化安全防护为115所中小学幼儿园、86个培训机构访问教学资源、互联网资源提供安全防护开启应用流控策略实现有限带宽合理利用为中心业务系统实现应用安全加固，且完全满足等保三级的要求广西质监打造金质工程互联网出口一体化安全防护替换原有防火墙为来自14各地市分局和76个县乡地区的业务访问提供L2-7层的安全防护开启服务器防护模块，防止黑客对web系统的应用层攻击实现双向内容检测，实现网页防篡改，保证web业务安全稳定运行对外发布场景安全需求：业务面向互联网，存在大量Web攻击服务器安全风险，操作系统、应用程序漏洞稳定性要求高，防止拒绝服务攻击网站形象保护，防止网页篡改数据内容保护，防止敏感信息外传推广思路：先帮客户进行整体安全风险的分析；必要时可以进行安全渗透然后帮助客户对比分析解决这些问题的几个方案优劣势；常见方案应用范围防护效果投资成本维护成本用户体验FW+IPS/IDS较少较差，web攻击防御效果差中中，基本安全设备维护一般，IPS性能延时瓶颈UTM极少差，无法抵御web攻击低中，单台设备多模块维护差，多功能开启性能低FW+WAF广泛一般，无法抵御底层漏洞攻击中高，WAF维护比较困难一般，WAF性能并不理想FW+网页防篡改广泛一般，被动防御中中一般，防篡改软件消耗服务器性能FW+IPS+WAF+网页防篡改普遍最优极高高，需专业人员维护且涉及多部门差，延时较大IPS、WAF性能较低下一代防火墙新的选择最优低低，单设备智能维护良好，应用层高性能DMZ区WEB交易系统WEB门户网站对外发布域NGAF对外发布业务行业需求重点目标行业需求描述标杆建设情况政府信息中心各级政府的门户网站和需要共享的内容都有放到了信息中心，同时政府信息中心建设都比较早，对数据中心的防护不够全面，存在对外发布的服务器系统安全防护的需求；杭州萧山区政府信息中心海洋、海事随着钓鱼岛事件的升温，各级海事部门的网站受到了境外黑客的攻击，需要对web服务器和邮件服务器做安全加固，包括了海洋局、海事局等，要求其通过二级等保国家海洋局南通海洋环境监测中心国土天地图系统；招拍挂系统；均是直接放在互联网上的业务系统，需要进行严格的安全防护和核心数据保护；待建财政财政厅门户网站、省采网站、会计人员执业资格考试网站三大业务系统应用安全加固和敏感数据防泄密；四川省财政厅地税金税工程三期，纳税服务平台安全防护待建海关电子口岸属于十二五规划建设内容，需要进行配套的安全防护；南方电子口岸法院天平工程二期要做等保，需要对法院的官网进行安全加固；最高人民法院传媒去年的18大以及13年的两会期间，网监均会加大对舆论制造单位的网站安全监控，需要进行网站的安全加固；新华社/山东省电视台电子商务对电商平台进行安全防护，防止攻击和信息泄密；待建【1号店】物流物流企业的门户网站涉及到各种客户的个人信息，需要进行攻击防御和数据保护；待建【韵达】保险网销系统直接对互联网开放，网站中涉及到各种客户的个人信息，需要进行攻击防御和数据保护；中国出口信用保险农信、城商行针对网银进行应用层安全加固和敏感信息防泄漏保护；招商银行四川省财政厅互联网出口安全加固对外发布一站式网站安全防护弥补安全检查中互联网出口存在的DDOS、防篡改、服务器漏洞检测与防范等问题实现对外发布和用户区互联网出口一体化安全加固，实现投资回报最大化与上网行为管理形成“内到外”安全审计和“外到内”的安全防护完整的互联网出口安全解决方案步步高智能手机对外业务一站式安全对外发布平台一站式安全防护为步步高提供对外发布业务互联网一站式安全解决方案双机部署于核心交换前，将WEB门户网站服务器进行有效的管控与安全防护出口仅部署一台下一代防火墙为智能平台