2013深信服渠道售前培訓課程AF.pptx

1、深信服渠道售前培訓課程-AF,AF產(chǎn)品部,提綱 1、產(chǎn)品介紹 2. 應(yīng)用場景及主推方案 3、目標客戶 4、銷售引導思路 5、競爭優(yōu)勢 6、產(chǎn)品選型,1、產(chǎn)品介紹,Web攻擊事件新浪微博病毒大范圍傳播,啟示：類似XSS蠕蟲05年就攻擊過知名社交網(wǎng)站MySpace，這次事件可以算是samy蠕蟲在新浪的翻版，但隨著web2.0技術(shù)的廣泛應(yīng)用這種攻擊的影響可能會加劇。,Web攻擊事件索尼泄密事件,其查詢頁面被搜索引擎抓取后，至少有數(shù)百個公積金賬戶的詳細信息被泄漏到網(wǎng)上，包括公積金賬戶姓名、身份證號、公積金余額、所在單位等一覽無遺。,泄密事件北京市公積金查詢網(wǎng)站,啟示：web漏洞利用、防泄密不容忽視,泄

2、密事件2011年末泄密事件,篡改事件2012年初網(wǎng)頁篡改仍然嚴重,截至2011年6月底，我國域名總數(shù)為786萬個。中國的網(wǎng)站數(shù)，即域名注冊者在中國境內(nèi)的網(wǎng)站數(shù)（包括在境內(nèi)接入和境外接入）為183萬個。,第 28 次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告,網(wǎng)絡(luò)安全信息與動態(tài) 2012年1月,難道這些單位不重視安全建設(shè)嗎？,威脅來自應(yīng)用層！ 90%投資在網(wǎng)絡(luò)層！ 傳統(tǒng)防火墻已經(jīng)失效！,現(xiàn)行的解決方案“串糖葫蘆”式部署,FW,IPS,AV,WAF,“串糖葫蘆式”“打補丁式”建設(shè),成本高：環(huán)境、空間、重復采購 管理難：多設(shè)備，多廠商、安全風險無法分析 效率低：重復解析、單點故障,現(xiàn)行的解決方案UTM,基于端口/

3、協(xié)議的ID,L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報告,基于端口/協(xié)議的ID,URL簽名,L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報告,URL策略,基于端口/協(xié)議的ID,IPS簽名,L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報告,IPS策略,基于端口/協(xié)議的ID,防病毒簽名,L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報告,防病毒策略,防火墻策略,IPS解碼器,防病毒解碼器&代理,多設(shè)備疊加=多功能假集成=貌合神離,簡單的疊加 性能是最大的瓶頸,網(wǎng)絡(luò)層次越高資產(chǎn)價值越大,L5-L7: 應(yīng)用層,L4: 傳輸層,L3: 網(wǎng)絡(luò)層,L2: 鏈路層,L1: 物理層,風險越高越迫切需要被保護,

4、訪問控制問題 協(xié)議異常 網(wǎng)絡(luò)層DDoS,ARP欺騙、廣播風暴,傳輸線路物理損壞,L2-L7層潛在的安全威脅,敏感信息外泄 網(wǎng)頁篡改、掛馬 應(yīng)用層DDoS SQL注入、跨站腳本 漏洞利用攻擊 掃描探測 蠕蟲、病毒、木馬 P2P帶寬濫用,業(yè)務(wù)內(nèi)容,Web應(yīng)用架構(gòu),Web服務(wù)架構(gòu),操作系統(tǒng),TCP/IP協(xié)議棧,網(wǎng)絡(luò)接口,網(wǎng)線,安全建設(shè)應(yīng)該重新考慮,防護應(yīng)用層安全威脅為重心,關(guān)注服務(wù)器外發(fā)內(nèi)容的安全風險,融合現(xiàn)網(wǎng)環(huán)境，與傳統(tǒng)安全形成異構(gòu),安全不會成為網(wǎng)絡(luò)的瓶頸,深信服下一代防火墻NGAF是什么？,防應(yīng)用層攻擊 雙向內(nèi)容檢測 涵蓋傳統(tǒng)安全 應(yīng)用層高性能 模塊智能聯(lián)動,NGAF是面向應(yīng)用層設(shè)計，能識別用戶

5、、應(yīng)用和內(nèi)容，具備完整安全防護能力的高性能下一代防火墻。,深信服下一代防火墻NGAF是什么？,NGAF是新一代安全產(chǎn)品，可替代FW、IPS、AV、WAF、UTM、網(wǎng)頁防篡改等安全產(chǎn)品，可提供完整L2-L7安全防御功能。 是創(chuàng)新產(chǎn)品具有獨特的雙向內(nèi)容檢測技術(shù)，可防止黑客繞過設(shè)備進行篡改、信息泄漏。 智能的融合安全產(chǎn)品，可實現(xiàn)各模塊智能聯(lián)動。 并且涵蓋傳統(tǒng)安全功能，在多功能模塊開啟后應(yīng)用層性能不會下降。,如何介紹NGAF？,一句話介紹AF 下一代防火墻，提供整體應(yīng)用層安全防護，同時涵蓋傳統(tǒng)安全功能，能夠完全代替?zhèn)鹘y(tǒng)防火墻，IPS，UTM和WAF產(chǎn)品。 下一代： 【應(yīng)用和用戶身份識別、策略管理更方便

6、、深度內(nèi)容檢測】 整體安全：【FW+IPS+WAF】目前國內(nèi)還沒有一家能夠提供融合FW、IPS和WAF功能并實現(xiàn)聯(lián)動的安全廠商，深信服是第一家。,VS,NGAF特點防應(yīng)用層攻擊,多維度應(yīng)用層攻擊防護 “識別防護”的攻擊防護 深入內(nèi)容的內(nèi)容解析,NGAF特點雙向內(nèi)容檢測,用戶/黑客,保護核心資產(chǎn)價值,入侵攻擊,敏感信息網(wǎng)頁篡改,保護社會公眾形象,規(guī)避法律法規(guī)風險,NGAF特點智能模塊聯(lián)動,價值 提高黑客攻擊成本 避免安全設(shè)備被繞過 降低運維管理成本,NGAF特點涵蓋傳統(tǒng)安全,NGAF特點應(yīng)用層高性能,單次解析構(gòu)架 實現(xiàn)報文一次解析和匹配,核 1,核 2,核 n,并行,+,=,應(yīng)用層高性能,萬兆處

7、理能力,多核并行處理技術(shù) 提升應(yīng)用層分析速度,全新技術(shù)構(gòu)架 實現(xiàn)應(yīng)用層萬兆處理能力,主要功能模塊賣點,2、應(yīng)用場景及主推方案,四大場景,電信,聯(lián)通,NGAF,AC/SG,鏈路負載,專線 廣域網(wǎng),廣域網(wǎng)邊界安全域,內(nèi)網(wǎng)辦公區(qū),對外發(fā)布域,數(shù)據(jù)中心安全域,NGAF,NGAF,互聯(lián)網(wǎng)接入域,萬兆核心,NGAF,運維管理區(qū),數(shù)據(jù)中心核心,SC集中管理,APM,運維管理服務(wù)器,核心區(qū),注：連接線為示意圖,四大場景、九大解決方案,互聯(lián)網(wǎng)出口場景,安全需求： 單向訪問，內(nèi)網(wǎng)地址隱藏 帶寬有限，實現(xiàn)靈活流控 多線路跨運營商，如何選擇最優(yōu)路徑 防御來自互聯(lián)網(wǎng)的威脅，如DOS/DDOS等 保護終端上網(wǎng)安全，防止遭

8、受病毒、木馬、蠕蟲的攻擊,推廣思路： 先幫客戶進行整體安全風險的分析； 然后幫助客戶對比分析解決這些問題的幾個方案優(yōu)劣勢；,互聯(lián)網(wǎng)出口場景行業(yè)需求,中國化學工程互聯(lián)網(wǎng)出口一體化,互聯(lián)網(wǎng)出口一體化安全防護 為化學工程集團提供網(wǎng)絡(luò)安全、應(yīng)用管控、應(yīng)用安全防護三大功能 為辦公區(qū)上網(wǎng)終端和服務(wù)器區(qū)對外發(fā)布業(yè)務(wù)打造互聯(lián)網(wǎng)出口一體化安全防護 部署一臺下一代防火墻為用戶實現(xiàn)簡化組網(wǎng)、簡化運維、最優(yōu)投資的價值,大連市電子政務(wù)外網(wǎng)建設(shè),互聯(lián)網(wǎng)出口一體化安全防護 為110余家委辦局和指數(shù)機關(guān)單位電子政務(wù)外網(wǎng)接入提供統(tǒng)一互聯(lián)網(wǎng)接入 部署于大連市政府電子政務(wù)外網(wǎng)統(tǒng)一出口安全 為“中國大連”一個中心網(wǎng)站70多子網(wǎng)站的安

9、全保駕護航,順義教育信息中心城域網(wǎng)安全建設(shè),互聯(lián)網(wǎng)出口一體化安全防護 為115所中小學幼兒園、86個培訓機構(gòu)訪問教學資源、互聯(lián)網(wǎng)資源提供安全防護 開啟應(yīng)用流控策略實現(xiàn)有限帶寬合理利用 為中心業(yè)務(wù)系統(tǒng)實現(xiàn)應(yīng)用安全加固，且完全滿足等保三級的要求,廣西質(zhì)監(jiān)打造金質(zhì)工程,互聯(lián)網(wǎng)出口一體化安全防護 替換原有防火墻為來自14各地市分局和76個縣鄉(xiāng)地區(qū)的業(yè)務(wù)訪問提供L2-7層的安全防護 開啟服務(wù)器防護模塊，防止黑客對web系統(tǒng)的應(yīng)用層攻擊 實現(xiàn)雙向內(nèi)容檢測，實現(xiàn)網(wǎng)頁防篡改，保證web業(yè)務(wù)安全穩(wěn)定運行,對外發(fā)布場景,安全需求： 業(yè)務(wù)面向互聯(lián)網(wǎng)，存在大量Web攻擊 服務(wù)器安全風險，操作系統(tǒng)、應(yīng)用程序漏洞 穩(wěn)定性

10、要求高，防止拒絕服務(wù)攻擊 網(wǎng)站形象保護，防止網(wǎng)頁篡改 數(shù)據(jù)內(nèi)容保護，防止敏感信息外傳,推廣思路： 先幫客戶進行整體安全風險的分析；必要時可以進行安全滲透 然后幫助客戶對比分析解決這些問題的幾個方案優(yōu)劣勢；,對外發(fā)布業(yè)務(wù)行業(yè)需求,四川省財政廳互聯(lián)網(wǎng)出口安全加固,對外發(fā)布一站式網(wǎng)站安全防護 彌補安全檢查中互聯(lián)網(wǎng)出口存在的DDOS、防篡改、服務(wù)器漏洞檢測與防范等問題 實現(xiàn)對外發(fā)布和用戶區(qū)互聯(lián)網(wǎng)出口一體化安全加固，實現(xiàn)投資回報最大化 與上網(wǎng)行為管理形成“內(nèi)到外”安全審計和“外到內(nèi)”的安全防護完整的互聯(lián)網(wǎng)出口安全解決方案,步步高智能手機對外業(yè)務(wù)一站式安全,對外發(fā)布平臺一站式安全防護 為步步高提供對外發(fā)布

11、業(yè)務(wù)互聯(lián)網(wǎng)一站式安全解決方案 雙機部署于核心交換前，將WEB門戶網(wǎng)站服務(wù)器進行有效的管控與安全防護 出口僅部署一臺下一代防火墻為智能平臺提供L2-7層安全防護簡化組網(wǎng)簡化運維,南光集團網(wǎng)頁防篡改,網(wǎng)頁篡改防護 為南光集團門戶網(wǎng)站提供web攻擊防護功能防止網(wǎng)站受到攻擊 提供事后補償防護手段，即使黑客繞過安全防御體系修改了網(wǎng)站內(nèi)容，其修改的內(nèi)容也不會發(fā)布到最終用戶處 避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟損失等問題，保護網(wǎng)站的完整性。,生命人壽網(wǎng)頁防篡改,網(wǎng)站網(wǎng)頁防篡改 開啟漏洞防護、web攻擊防護功能為生命人壽網(wǎng)站提供完整的網(wǎng)站安全防護功能 事后網(wǎng)頁防篡改，防止黑客繞過防御體系篡改網(wǎng)

12、頁發(fā)布至用戶處 通過實時的短信報警，可及時發(fā)現(xiàn)安全問題幫助客戶應(yīng)急響應(yīng),NGAF： 網(wǎng)頁防篡改,內(nèi)網(wǎng),生命人壽網(wǎng)站服務(wù)器區(qū),防火墻,核心交換,網(wǎng)銀區(qū)服務(wù)器數(shù)據(jù)防泄漏,NGAF,NGAF,內(nèi)網(wǎng),招商銀行網(wǎng)銀服務(wù)器區(qū),FW/IPS/WAF,FW/IPS/WAF,對外發(fā)布業(yè)務(wù)系統(tǒng)敏感信息防泄漏 完善了招行信用卡中心用戶信息防泄漏的安全解決方案 可針對http-response、FTP、SMTP、ping報進行檢測并報警 可對網(wǎng)銀區(qū)服務(wù)器主動Get請求告警、主動DNS、Post請求進行安全防護 針對網(wǎng)銀區(qū)外發(fā)數(shù)據(jù)進行雙向合規(guī)性驗證，防止含有機密信息的對外數(shù)據(jù)外發(fā),數(shù)據(jù)中心場景,安全需求： 數(shù)據(jù)、應(yīng)用大

13、集中，安全域需隔離 可用性要求高，萬兆環(huán)境 訪問權(quán)限要求高，控制非法訪問 業(yè)務(wù)類型多樣，數(shù)據(jù)庫系統(tǒng)多 數(shù)據(jù)內(nèi)容敏感，泄密風險需防范,推廣思路： 先幫客戶進行整體安全風險的分析；必要時可以進行安全滲透 然后幫助客戶對比分析解決這些問題的幾個方案優(yōu)劣勢；,數(shù)據(jù)中心場景行業(yè)需求,招商局數(shù)據(jù)中心整體安全防護,數(shù)據(jù)中心安全防護 通過VPN模塊實現(xiàn)總部與項目公司安全組網(wǎng)并對VPN隧道內(nèi)的威脅進行流量清洗 實現(xiàn)項目公司對總部資源的訪問控制與安全隔離 實現(xiàn)總部、蛇口、香港、重慶數(shù)據(jù)中心的L2-7層安全防護，防止漏洞攻擊、注入攻擊、惡意插件等威脅 共11臺萬兆NGAF實現(xiàn)招商局下屬招商地產(chǎn)、證券等業(yè)務(wù)系統(tǒng)整體遷

14、移的統(tǒng)一部署、統(tǒng)一管理,中國建筑等保3級數(shù)據(jù)中心改造,數(shù)據(jù)中心安全防護 滿足云數(shù)據(jù)中心郵件系統(tǒng)、辦公系統(tǒng)、財務(wù)系統(tǒng)、人力資源系統(tǒng)等3級等保要求 采用一臺設(shè)備替換FW+IPS+WAF+防篡改解決方案為中國建筑降低了投入成本 總共部署了8臺NGAF分別開啟ips、waf、防篡改滿足業(yè)務(wù)系統(tǒng)L2-7層防護要求,UAP云數(shù)據(jù)中心應(yīng)用安全防護,數(shù)據(jù)中心安全防護 實現(xiàn)雙向過濾檢測的功能，對WEB威脅實施攔截或放行 防護常用WEB攻擊，如SQL注入攻擊、XSS跨站攻擊、CSRF攻擊、網(wǎng)頁掛馬攻擊、webshell上傳攻擊、命令行注入攻擊、緩沖區(qū)溢出攻擊、黑鏈植入攻擊。 防護底層操作系統(tǒng)、中間件及數(shù)據(jù)庫漏洞攻

15、擊；,國美集團Sap系統(tǒng)安全加固,業(yè)務(wù)系統(tǒng)應(yīng)用安全加固 為SAP服務(wù)器提供應(yīng)用層安全防護功能，有效彌補傳統(tǒng)防火墻在應(yīng)用層防護的不足； 為SAP服務(wù)器提供漏洞防護功能，針對服務(wù)器提供入侵防護功能； 與CISCO ASA防火墻形成異構(gòu)，共同為SAP服務(wù)器提供防護。,最高人民法院防泄漏,服務(wù)器區(qū),內(nèi)網(wǎng)用戶區(qū),DMZ區(qū),核心交換,防火墻,NGAF,數(shù)據(jù)中心敏感數(shù)據(jù)防泄漏 為服務(wù)器區(qū)提供L2-L7層整體的安全防護，有效的保障服務(wù)器區(qū)安全，彌補原有安全設(shè)備缺乏應(yīng)用層攻擊防護的短板； 為服務(wù)器區(qū)業(yè)務(wù)系統(tǒng)提供敏感信息防泄露的功能，保障數(shù)據(jù)交互過程中如檔案、卷宗等敏感數(shù)據(jù)被非法竊?。?與出口處防火墻形成異構(gòu)，共

16、同保障服務(wù)器區(qū)業(yè)務(wù)系統(tǒng)安全。,廣域網(wǎng)場景,安全需求： 接入環(huán)境復雜，部分用戶存在安全組網(wǎng)要求 流量復雜，病毒木馬易泛濫 人員復雜，需要精確訪問控制 設(shè)備數(shù)量繁多，需要集中管理 數(shù)據(jù)內(nèi)容保護，防止敏感信息越界傳播,推廣思路： 先幫客戶進行整體安全風險的分析；必要時可以進行安全滲透 然后幫助客戶對比分析解決這些問題的幾個方案優(yōu)劣勢；,廣域網(wǎng)場景行業(yè)需求,華潤電力分支公司廣域網(wǎng)安全,廣域網(wǎng)安全組網(wǎng)及流量清洗 實現(xiàn)集團到項目公司安全組網(wǎng)，解決了廣域網(wǎng)病毒木馬快速擴散的問題 通過集中管理平臺實現(xiàn)多臺NGAF統(tǒng)一集中管理簡化運維 共部署25臺上百萬的NGAF降低了原FW+IPS+WAF+VPN多設(shè)備組合方

17、案近4倍的投入成本，同時取得更緊密、更智能的防護效果,鐵路專網(wǎng)邊界安全防護,廣域網(wǎng)邊界安全防護 安全加固：通過IPS和WAF模塊，在兩個中心節(jié)點和各級站點之間構(gòu)建應(yīng)用安全防護體系； 風險可視化管理：對服務(wù)器進行風險掃描，根據(jù)應(yīng)用漏洞制定安全防護策略，同時對于攻擊日志提供各種關(guān)聯(lián)分析報表，方便對攻擊情況進行事后追蹤。 威脅過濾：通過雙向內(nèi)容檢測技術(shù)，對專網(wǎng)中的危險流量和敏感信息進行過濾。,海關(guān)總署廣域網(wǎng)安全接入,國務(wù)院新聞辦,海關(guān)總署,NGAF,廣域網(wǎng)邊界安全防護 可對國務(wù)院新聞辦接入到海關(guān)總署的廣域網(wǎng)專線進行有效的邏輯隔離及惡意流量清洗，保障廣域網(wǎng)專線內(nèi)流量安全； 在廣域網(wǎng)邊界進行有效的訪問控

18、制，可限定合法人員人有權(quán)接入到總署專網(wǎng)中來，可防止越權(quán)訪問； 部署于總署與新聞辦的專線出口，可為總署內(nèi)網(wǎng)提供完整應(yīng)用層的安全防護，從而有效的保障內(nèi)部應(yīng)用系統(tǒng)的安全穩(wěn)定運行。,3、目標客戶,聽到什么消息意味著目標客戶出現(xiàn),部署了防火墻，卻仍然發(fā)生病毒、蠕蟲、D.o.S、SQL注入等各類安全事故； 部署了防火墻，IPS，卻仍然發(fā)生網(wǎng)頁被篡改，網(wǎng)站或者內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)被攻擊的事件； 重要服務(wù)器和核心業(yè)務(wù)數(shù)據(jù)需要重點做安全防護，避免病毒、黑客攻擊等安全事件帶來的損失； 擁有大量的網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、服務(wù)器和員工主機，但只部署了傳統(tǒng)防火墻一種安全設(shè)備；,聽到以下消息目標客戶出現(xiàn),1、客戶的防火墻使用已經(jīng)超過

19、4年了； 2、客戶的業(yè)務(wù)系統(tǒng)或者帶寬準備擴容，原有的安全設(shè)備性能有瓶頸； 3、客戶準備購買UTM，IPS，WAF或FW； 4、客戶準備做網(wǎng)絡(luò)改造或業(yè)務(wù)系統(tǒng)的建設(shè)； 5、客戶準備要做等保；,政府 電子政務(wù)網(wǎng)站 防惡意篡改 防敏感信息泄漏 防惡意攻擊 數(shù)據(jù)中心/DMZ區(qū) 滿足等級保護建設(shè)要求入侵防御與惡意代碼過濾 提供虛擬補丁，保護核心業(yè)務(wù)持續(xù)、正常運轉(zhuǎn) 對區(qū)域內(nèi)部不同業(yè)務(wù)系統(tǒng)進行安全隔離,AF重點目標市場-1,AF重點目標市場-2,政府 互聯(lián)網(wǎng)出口 邊界安全隔離，保護內(nèi)網(wǎng)終端、路由交換等基礎(chǔ)設(shè)施以及服務(wù)器的安全，抵御Internet的D.o.S、木馬、病毒等攻擊 廣域網(wǎng)邊界 邊界安全隔離，防御來

20、自組織廣域網(wǎng)內(nèi)部的攻擊，保護核心資產(chǎn)和數(shù)據(jù)，隔離和控制內(nèi)部安全威脅。,重點關(guān)注行業(yè)提醒：衛(wèi)生、水利、氣象、海事、藥監(jiān)、檔案、國土,AF重點目標市場-3,企業(yè) 互聯(lián)網(wǎng)出口 病毒爆發(fā)，造成電腦、網(wǎng)絡(luò)癱瘓，郵件收不了，網(wǎng)頁打不開； 員工電腦中了木馬，企業(yè)機密資料被竊??； 公安上門調(diào)查，某網(wǎng)站遭受攻擊，攻擊來源就在企業(yè)局域網(wǎng)中； 網(wǎng)站 網(wǎng)頁被篡改，交易、用戶數(shù)據(jù)泄露，引發(fā)客戶信任危機； 客戶登錄不上企業(yè)網(wǎng)站，頁面打不開，影響交易；,重點關(guān)注細分行業(yè)提醒：建筑、交通物流、能源、科技、汽車,AF重點目標市場-4,教育 網(wǎng)站 高校招生網(wǎng)上錄取查詢頁面被惡意篡改，實施詐騙，給考生及家長帶來經(jīng)濟損失，也影響了學

21、校的聲譽； 教育考試中心考試報名與成績查詢系統(tǒng)被黑客入侵，進行考生個人信息的非法篡改和竊取，實現(xiàn)牟利； 托管于各市/區(qū)縣教育城域網(wǎng)出口的中小學學校網(wǎng)站成為黑客的養(yǎng)馬場、僵尸網(wǎng)絡(luò)的小分部，嚴重影響學校形象，也給其他單位和個人帶來安全隱患； 互聯(lián)網(wǎng)出口 內(nèi)網(wǎng)終端異常流量清洗【過濾病毒、木馬】,4、銷售引導思路,新銷售工具,需求挖掘： SANGFOR_NGAF_銷售話術(shù) SANGFOR_AF_產(chǎn)品解決方案賣點V1.0 Web掃描工具IBMAppscan 宣傳引導資料： 下一代防火墻NGAF市場分析報告（new） 下一代防火墻攻防視頻 Ipad電子雜志 認可材料 深信服NGAF技術(shù)交流匯報V2.0（全

22、） 深信服下一代防火墻測評報告-網(wǎng)絡(luò)世界（new） OWASP測評報告（new） 高端案例集（new） 分場景與傳統(tǒng)解決方案優(yōu)劣勢對比（new） 競爭工具 競爭分析工具V1.0,需求挖掘話術(shù),問1：貴單位目前部署了哪些安全設(shè)備？什么品牌？（了解目前的安全現(xiàn)狀，明確是否有應(yīng)用層安全的引導）,問2：這些安全設(shè)備都部署在哪里？主要用途是什么？（了解有哪些場景可以切入，明確應(yīng)用場景）,問3：這些安全設(shè)備使用了多長時間了？使用情況如何？（了解是否有替換機會）,問4：目前有哪些業(yè)務(wù)系統(tǒng)？今年是否有新的系統(tǒng)上線？（了解原有系統(tǒng)是否有加固的可能）,基于業(yè)務(wù)場景參考話術(shù),一、S1：貴單位安全通常是怎么建設(shè)的？是

23、不是按照互聯(lián)網(wǎng)出口、對外發(fā)布、數(shù)據(jù)中心、廣域網(wǎng)區(qū)域分開建設(shè)的？ 客戶：是的，我們主要劃分了互聯(lián)網(wǎng)出口、DMZ（對外發(fā)布）、內(nèi)網(wǎng)數(shù)據(jù)中心 二、S2：您最關(guān)注哪個區(qū)域的安全建設(shè)？ 客戶：（數(shù)據(jù)中心對外發(fā)布廣域網(wǎng)互聯(lián)網(wǎng)出口） （見后頁，分場景挖掘商機） 三、引入測試或評估的步驟 S1：有攻擊并不一定產(chǎn)生后果，一旦產(chǎn)生后果那肯定就是安全事故了。您可以使用下一代防火墻測試一下觀察一下或許會發(fā)現(xiàn)一些安全問題。 S2：我可以請我們的安全專家針對現(xiàn)有的網(wǎng)絡(luò)環(huán)境分析一下，網(wǎng)站也可以評估一下看看那有哪些安全風險。,（1）數(shù)據(jù)中心,S3：那貴單位的數(shù)據(jù)中心都有哪些業(yè)務(wù)？ 客戶：ERP系統(tǒng)、OA辦公系統(tǒng)、網(wǎng)站集群和數(shù)

24、據(jù)庫集群 S4：都是核心的業(yè)務(wù)啊，數(shù)據(jù)中心的安全確實很重要，尤其是數(shù)據(jù)安全。那貴單位用了哪些安全防護的措施呢？ 客戶：主要用防火墻將數(shù)據(jù)中心劃分成不同安全域，數(shù)據(jù)中心出口旁掛了一臺XX的IDS。 S4：還是用了不少安全設(shè)備的，但數(shù)據(jù)中心這么重要的區(qū)域還是不夠的，數(shù)據(jù)中心應(yīng)該提供L2-L7層的安全防護，尤其是應(yīng)用層。而數(shù)據(jù)中心的核心在于數(shù)據(jù)，數(shù)據(jù)安全（服務(wù)器外發(fā)數(shù)據(jù)）是否合規(guī)也是數(shù)據(jù)中心安全建設(shè)需要考慮的地方。 客戶：我們也考慮了更多的應(yīng)用層安全建設(shè)，但數(shù)據(jù)中心放應(yīng)用層的安全設(shè)備怕影響業(yè)務(wù)啊。 S4：是的，很多應(yīng)用層安全設(shè)備遇到大并發(fā)、高吞吐就頂不住了。不過也正是因為如此所以我們才推出了下一代防

25、火墻這款產(chǎn)品。滿足數(shù)據(jù)中心L2-L7層安全防護的同時通過單次解析引擎和多核并行處理技術(shù)提升應(yīng)用層性能，同時還可以檢查數(shù)據(jù)中心外發(fā)數(shù)據(jù)是否合規(guī)，防止類似像CSDN、人人網(wǎng)、公積金等信息泄露事件的發(fā)生。,（2）對外發(fā)布,S3：那貴單位的對外發(fā)布都有哪些業(yè)務(wù)？ 客戶：網(wǎng)站、交易平臺、網(wǎng)上納稅 S4：這些業(yè)務(wù)系統(tǒng)主要是B/S的吧？ 客戶：嗯，基本上都是B/S構(gòu)架的。 S5：這些業(yè)務(wù)系統(tǒng)安全建設(shè)主要是關(guān)注篡改掛馬，以及最近比較頻繁的信息泄露問題吧？像sony、公積金、政府網(wǎng)站篡改等信息泄露事件還是造成了不小的影響。咱這邊有沒有部署什么安全設(shè)備？ 客戶：用了防火墻和入侵防御系統(tǒng)，今年會采購waf。 S6：

26、哦，那主要還是為了防御像web攻擊等外部的攻擊，服務(wù)器外發(fā)的數(shù)據(jù)沒有經(jīng)過合規(guī)性檢測，用新型的攻擊還是可以造成信息竊取和頁面篡改的。 客戶：那有什么好的解決辦法？ S6：可以通過下一代防火墻的解決方案解決，不僅能防護web層面、應(yīng)用層面、系統(tǒng)層面的攻擊，還可以對服務(wù)器外發(fā)數(shù)據(jù)的合規(guī)性做檢測，實現(xiàn)雙向內(nèi)容檢測的解決方案。,（3）廣域網(wǎng),S4：貴單位分支機構(gòu)是通過VPN還是專線接進來的？ 客戶：專線、VPN S5：分支機構(gòu)應(yīng)該沒有專人進行安全維護吧？ 客戶：是的，都是通過總部這邊統(tǒng)一維護的 S6：這樣的話分支機構(gòu)一旦受到攻擊很可能將威脅快速的擴散到總部或者其他分支機構(gòu)，這種問題一旦出現(xiàn)對廣域網(wǎng)影響應(yīng)

27、該不小哦。咱有沒有針對這類問題采用相應(yīng)的解決方案呢？ 客戶：只用了VPN和防火墻（或?qū)＞€） S7：恩，防火墻做了安全域的隔離，VPN可實現(xiàn)數(shù)據(jù)加密還是有一定效果。但是應(yīng)用層的威脅防火墻過濾不了，并且VPN僅僅是進行加密，一旦有威脅還是可以通過VPN隧道擴散的。如果不進行防護有可能分支機構(gòu)成為跳板、或者分支機構(gòu)被控制發(fā)攻擊包，都可能影響其他廣域網(wǎng)分支機構(gòu)的正常使用，得進行隧道內(nèi)的流量清洗防止威脅擴散比較穩(wěn)妥。,（4）互聯(lián)網(wǎng)出口,S4：互聯(lián)網(wǎng)出口有沒有DMZ區(qū)發(fā)布網(wǎng)站之類的對外業(yè)務(wù)呢？ 客戶：有，網(wǎng)站是跟互聯(lián)網(wǎng)統(tǒng)一出口的 S5：那貴單位有沒有做什么相應(yīng)的防護措施呢？ 客戶：我們部署了防火墻和上網(wǎng)行

28、為管理 S6：那還是投入了不少了，但對于終端上網(wǎng)和DMZ網(wǎng)站的安全還是不夠的?；ヂ?lián)網(wǎng)出口終端安全威脅主要分為外部攻擊（比如外部病毒木馬或者漏洞攻擊對終端的威脅）還有被控制之后向外內(nèi)網(wǎng)發(fā)起的惡意攻擊或者造成終端的資料泄露，這些安全問題還是比較嚴重的。所以終端上網(wǎng)安全最好能對雙向的流量進行安全檢測。而DMZ網(wǎng)站呢，主要防止web攻擊，防火墻和UTM類得產(chǎn)品都是無法滿足的。 下一代防火墻在互聯(lián)網(wǎng)出口使用是最完整的一體化安全防護，防護了L2-7層的攻擊，實現(xiàn)了雙向安全檢測，同時還可以保障DMZ區(qū)安全，是性價比最高、維護最簡易、防護效果的真正一體化解決方案。,5、競爭優(yōu)勢,13年核心推廣方向,以“下一代

29、防火墻”的名義 替換傳統(tǒng)安全產(chǎn)品,WAF,FW+IPS+VPN,防Web攻擊,ACL、NAT、DOS,主要競爭產(chǎn)品： FW IPS UTM WAF NGFW,NGFW,主要競爭產(chǎn)品,漏洞防護,應(yīng)用識別,AC,下一代防火墻與傳統(tǒng)安全設(shè)備有什么區(qū)別？傳統(tǒng)防火墻,傳統(tǒng)防火墻：無法防御應(yīng)用層攻擊 NGAF：解決運行在網(wǎng)絡(luò)傳統(tǒng)防火墻對應(yīng)用層協(xié)議識別、控制及防護防護的不足！,傳統(tǒng)防火墻競爭策略,競爭策略 以功能全面性為優(yōu)勢競爭，結(jié)合客戶使用場景針對性引導功能全面的優(yōu)勢 以功能聯(lián)動引導與組合方案的差異化優(yōu)勢 以安全防護效果進行引導，通過簡單工具進行 功能優(yōu)勢 應(yīng)用層攻擊防護能力（漏洞防護、web攻擊防護、病

30、毒木馬蠕蟲） 雙向內(nèi)容檢測的優(yōu)勢（具備網(wǎng)頁防篡改、信息防泄漏） 8元組ACL與應(yīng)用流控的優(yōu)勢 能實現(xiàn)模塊間智能聯(lián)動,傳統(tǒng)防火墻競爭案例,數(shù)據(jù)中心傳統(tǒng)防火墻采購策反 背景：某企業(yè)數(shù)據(jù)中心預(yù)采購防火墻實現(xiàn)數(shù)據(jù)中心區(qū)域隔離 原始需求：為承載內(nèi)網(wǎng)研發(fā)系統(tǒng)及服務(wù)器、承載視頻測試系統(tǒng)以及互聯(lián)網(wǎng)網(wǎng)站的數(shù)據(jù)中心采購傳統(tǒng)墻隔離涉密與對外系統(tǒng)，要求性能達標、穩(wěn)定可靠 策反思路：數(shù)據(jù)中心需要應(yīng)用層安全防護，傳統(tǒng)防火墻無法抵御應(yīng)用層攻擊、組合方案影響性能，延時過高，下一代防火墻是最佳選擇。 質(zhì)疑：1、下一代防火墻與傳統(tǒng)墻有什么區(qū)別？；2、多部署有沒有影響？；3、穩(wěn)定性如何？案例部署情況 策反效果：將juniper1U

31、級別小千兆防火墻設(shè)備替換為我司6000系列高端數(shù)據(jù)中心下一代防火墻,下一代防火墻與傳統(tǒng)安全設(shè)備有什么區(qū)別？入侵防御系統(tǒng),IPS：應(yīng)用安全防護體系不完善，缺乏獨立web攻擊特征庫，對WEB攻擊防護效果不佳； NGAF：解決定位于保護系統(tǒng)層面的入侵防御系統(tǒng) 對應(yīng)用層攻擊防護不足，及應(yīng)用層攻擊漏判誤判的問題！,入侵防御競爭策略,競爭策略 NGAF替換IPS專業(yè)性無差距 2800+2000+特征庫；2、CVE；2、微軟MAPP；3、專業(yè)攻防團隊實時更新；4、案例廣泛（2000+用戶；4000+在線設(shè)備；200+高端客戶案例） NGAF比IPS防護效果更佳 以下一代防火墻應(yīng)用層防護全面性體現(xiàn)競爭優(yōu)勢（以

32、WAF功能打IPS）四大特征庫：漏洞2800+、web攻擊2000+、應(yīng)用2000+、敏感信息 以下一代防火墻雙向內(nèi)容檢測能力（信息防泄漏、防篡改、應(yīng)用信息隱藏）打擊IPS解決不了未知攻擊產(chǎn)生的后果 以安全防護效果進行引導，通過web攻擊工具體現(xiàn)防護效果 同等性能產(chǎn)品防護效果更好，價格更優(yōu) 功能優(yōu)勢 Web攻擊防護，尤其是各類逃逸攻擊（注入逃逸、編碼逃逸）的防護 雙向內(nèi)容檢測，信息防泄漏、防篡改、應(yīng)用信息隱藏、客戶端外發(fā)異常流量檢測（新版本） 能實現(xiàn)模塊間智能聯(lián)動（應(yīng)用層模塊與FW聯(lián)動，評估與策略生成聯(lián)動） 應(yīng)用控制種類更多（IPS通常只涵蓋P2P）,下一代防火墻與傳統(tǒng)安全設(shè)備有什么區(qū)別？We

33、b應(yīng)用防火墻,WAF：處理性能不足，缺乏底層漏洞攻擊特征庫，缺乏基于敏感業(yè)務(wù)內(nèi)容的保護機制，無法對WEB業(yè)務(wù)進行整體安全防護 NGAF：解決定位于防護Web攻擊的Web應(yīng)用防火墻 無法給網(wǎng)站提供全面的應(yīng)用安全防護，僅針對攻擊本身無法檢測服務(wù)器外發(fā)流量合規(guī)性的問題！,Web應(yīng)用防火墻競爭策略,競爭策略 NGAF替換WAF專業(yè)性無差距 2000+特征+主動（自動建模白名單）防護方式業(yè)內(nèi)領(lǐng)先；2、專業(yè)測評OWASP綜合4星；3、專業(yè)攻防團隊實時更新；4、案例廣泛（2000+用戶；4000+在線設(shè)備；200+高端客戶案例） 網(wǎng)站安全需要關(guān)注底層到數(shù)據(jù)層面而非僅僅web應(yīng)用層，NGAF更適合 以NGAF

34、網(wǎng)站防護全面性體現(xiàn)競爭優(yōu)勢（以IPS功能打WAF） NGAF更適合網(wǎng)站安全，覆蓋網(wǎng)站安全：系統(tǒng)底層漏洞（IPS）、發(fā)布軟件漏洞（IPS）、數(shù)據(jù)庫中間件漏洞（IPS）、web應(yīng)用漏洞（WAF）以及數(shù)據(jù)泄漏風險（獨家）和篡改防護（防篡改軟件） NGAF比waf性能要高，價格更便宜 以安全防護效果進行引導測試，通過自制IPS攻擊工具、blade工具體現(xiàn)防護效果 功能優(yōu)勢 三大特征庫保護網(wǎng)站安全：漏洞2800+、web攻擊2000+、敏感信息（OWASP綜合4星） 敏感信息防泄漏功能，業(yè)內(nèi)熱點，業(yè)界獨家 自動建模技術(shù)，自動生成策略。國內(nèi)廠商配置復雜，國外廠商價格昂貴 能實現(xiàn)模塊間智能聯(lián)動（應(yīng)用層模塊與

35、FW聯(lián)動，評估與策略生成聯(lián)動）,Web應(yīng)用防火墻策反案例,XX市教育局 項目亮點：通過與安恒WAF對比測試，不但WAF功能得到認可，而且系統(tǒng)漏洞、應(yīng)用漏洞等IPS差異化功能也得到了充分體現(xiàn)，獲得了用戶認可。 項目背景：XX教育局新建網(wǎng)站上線，由于考慮到網(wǎng)站為第三方開發(fā)可能存在大量可利用漏洞，同時為了響應(yīng)政策性要求，特規(guī)劃了對網(wǎng)站進行安全加固。在waf廠商的宣傳和引導下，使得客戶對于網(wǎng)站防護第一反應(yīng)就是采購waf產(chǎn)品。因此選取了該區(qū)域著名的專業(yè)waf廠商規(guī)劃該項目。 測試驗證： “發(fā)現(xiàn)SQL注入的代碼”SQL注入是web攻擊手段之一，該類攻擊可通過使用簡單的SQL語句形成，簡單易懂，無技術(shù)門檻

36、“XSS攻擊也存在！”網(wǎng)上泛濫的web攻擊工具的提供，使得實現(xiàn)跨站腳本攻擊攻擊也變得輕而易舉 “IIS發(fā)布服務(wù)器漏洞攻擊”waf無法防范的漏洞攻擊也是入侵web系統(tǒng)的常用手段 “終端IE瀏覽器攻擊”終端瀏覽器跳板攻擊是“曲線救國”的攻擊方法,下一代防火墻與傳統(tǒng)安全設(shè)備有什么區(qū)別？UTM統(tǒng)一威脅管理,UTM：缺乏WEB攻擊防護功能，多功能開啟性能差，各模塊缺乏聯(lián)動； NGAF：解決面向中小型企業(yè)一體化的UTM統(tǒng)一威脅管理系統(tǒng) 多功能模塊開啟后性能下降以及應(yīng)用層防護能力不足的問題。,統(tǒng)一威脅管理UTM競爭策略,競爭策略 以NGAF功能更全面打擊UTM 六大特征庫保障更完整安全（漏洞2800+、應(yīng)用

37、2000+、病毒庫10萬、web攻擊2000+、URL+惡意網(wǎng)址10萬、敏感信息），UTM特征少、特征不專業(yè)、更新維護慢 UTM缺乏應(yīng)用層防護能力，NGAF更適合出口、數(shù)據(jù)中心一體化（web攻擊、信息防泄漏、防篡改、敏感信息防泄漏） UTM模塊割裂無聯(lián)動，NGAF模塊智能聯(lián)動（模塊間、策略生成）防御未知、簡化運維 比UTM更優(yōu)的多功能開啟性能 模塊堆疊導致應(yīng)用層性能下降（開啟IPS性能、開啟流控性能） 通過流控、IPS性能測試引導應(yīng)用層性能 以安全防護效果進行引導測試，通過web攻擊工具、自制IPS攻擊工具、blade工具體現(xiàn)防護效果 NGAF比UTM性價比要高，可應(yīng)用出口+DMZ一體化，可數(shù)

38、據(jù)中心應(yīng)用高性能場景一體化等 功能優(yōu)勢 六大特征庫更完整安全：（漏洞2800+、應(yīng)用2000+、病毒庫10萬、web攻擊2000+、URL+惡意網(wǎng)址10萬、敏感信息） Web攻擊模塊（web攻擊防護、敏感信息、防篡改、應(yīng)用信息隱藏、自動建模（新） 客戶端外發(fā)異常流量檢測（new） 能實現(xiàn)模塊間智能聯(lián)動（應(yīng)用層模塊與FW聯(lián)動，評估與策略生成聯(lián)動）,統(tǒng)一威脅管理UTM策反案例,某部委客戶 項目亮點：與網(wǎng)神UTM對測測試效果好，L2-L7層的日志都有。而網(wǎng)神UTM缺乏web攻擊防護，漏洞攻擊沒有日志，使我司比網(wǎng)神高很多的價格賣出。 項目背景：客戶上防火墻前有攻擊，導致經(jīng)常網(wǎng)絡(luò)癱瘓，需緊急采購新的防火墻。 客戶引導：utm防護不全面（缺乏對B/S防護）、應(yīng)用層性能低、其他差異化 實際應(yīng)用：出口一體化網(wǎng)關(guān)，對外發(fā)布+終端上網(wǎng)統(tǒng)一出口。在對外發(fā)布數(shù)據(jù)中心中，部署有大量的B/S業(yè)務(wù)的服務(wù)器，其中包括其門戶網(wǎng)站、內(nèi)部OA辦公系統(tǒng)、ERP系統(tǒng)、郵件