深信服渠道售前培訓(xùn)課程

深信服渠道售前培訓(xùn)課程提綱1、產(chǎn)品介紹2.應(yīng)用場景及主推3、目標(biāo)客戶4、銷售引導(dǎo)思路5、競爭優(yōu)勢(shì)6、產(chǎn)品選型1、產(chǎn)品介紹Web攻擊事件——新浪微博病毒大范圍傳播啟示：類似XSS蠕蟲05年就攻擊過知名社交網(wǎng)站MySpace，這次事件可以算是samy蠕蟲在新浪的翻版，但隨著web2.0技術(shù)的廣泛應(yīng)用這種攻擊的影響可能會(huì)加劇。Web攻擊事件——索尼泄密事件其查詢頁面被搜索引擎抓取后，至少有數(shù)百個(gè)公積金賬戶的詳細(xì)信息被泄漏到網(wǎng)上，包括公積金賬戶姓名、身份證號(hào)、公積金余額、所在單位等一覽無遺。泄密事件——北京市公積金查詢網(wǎng)站啟示：web漏洞利用、防泄密不容忽視泄密事件——2011年末泄密事件篡改事件——2012年初網(wǎng)頁篡改仍然嚴(yán)重截至2011年6月底，我國域名總數(shù)為786萬個(gè)。中國的網(wǎng)站數(shù)，即域名注冊(cè)者在中國境內(nèi)的網(wǎng)站數(shù)（包括在境內(nèi)接入和境外接入）為183萬個(gè)。第28次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告網(wǎng)絡(luò)安全信息與動(dòng)態(tài)2012年1月難道這些單位不重視安全建設(shè)嗎？威脅來自應(yīng)用層！90%投資在網(wǎng)絡(luò)層！傳統(tǒng)防火墻已經(jīng)失效！現(xiàn)行的解決方案——“串糖葫蘆”式部署FWIPSAVWAF“串糖葫蘆式”“打補(bǔ)丁式”建設(shè)成本高：環(huán)境、空間、重復(fù)采購管理難：多設(shè)備，多廠商、安全風(fēng)險(xiǎn)無法分析效率低：重復(fù)解析、單點(diǎn)故障現(xiàn)行的解決方案——UTM基于端口/協(xié)議的IDL2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報(bào)告基于端口/協(xié)議的IDURL簽名L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報(bào)告URL策略基于端口/協(xié)議的IDIPS簽名L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報(bào)告IPS策略基于端口/協(xié)議的ID防病毒簽名L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報(bào)告防病毒策略防火墻策略IPS解碼器防病毒解碼器&代理多設(shè)備疊加=多功能假集成=貌合神離L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報(bào)告簡單的疊加性能是最大的瓶頸網(wǎng)絡(luò)層次越高

資產(chǎn)價(jià)值越大L5-L7:應(yīng)用層L4:傳輸層L3:網(wǎng)絡(luò)層L2:鏈路層L1:物理層風(fēng)險(xiǎn)越高

越迫切需要

被保護(hù)訪問控制問題協(xié)議異常網(wǎng)絡(luò)層DDoSARP欺騙、廣播風(fēng)暴傳輸線路物理損壞L2-L7層潛在的安全威脅敏感信息外泄網(wǎng)頁篡改、掛馬應(yīng)用層DDoSSQL注入、跨站腳本漏洞利用攻擊掃描探測蠕蟲、病毒、木馬P2P帶寬濫用業(yè)務(wù)內(nèi)容Web應(yīng)用架構(gòu)Web服務(wù)架構(gòu)操作系統(tǒng)TCP/IP協(xié)議棧網(wǎng)絡(luò)接口網(wǎng)線安全建設(shè)應(yīng)該重新考慮重新考慮安全建設(shè)防應(yīng)用層攻擊雙向內(nèi)容檢測涵蓋傳統(tǒng)安全應(yīng)用層高性能防護(hù)應(yīng)用層安全威脅為重心關(guān)注服務(wù)器外發(fā)內(nèi)容的安全風(fēng)險(xiǎn)融合現(xiàn)網(wǎng)環(huán)境，

與傳統(tǒng)安全形成異構(gòu)安全不會(huì)成為網(wǎng)絡(luò)的瓶頸深信服下一代防火墻NGAF是什么？防應(yīng)用層攻擊雙向內(nèi)容檢測涵蓋傳統(tǒng)安全應(yīng)用層高性能模塊智能聯(lián)動(dòng)NGAF是面向應(yīng)用層設(shè)計(jì)，能識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力的高性能下一代防火墻。深信服下一代防火墻NGAF是什么？NGAF是新一代安全產(chǎn)品，可替代FW、IPS、AV、WAF、UTM、網(wǎng)頁防篡改等安全產(chǎn)品，可提供完整L2-L7安全防御功能。是創(chuàng)新產(chǎn)品具有獨(dú)特的雙向內(nèi)容檢測技術(shù)，可防止黑客繞過設(shè)備進(jìn)行篡改、信息泄漏。智能的融合安全產(chǎn)品，可實(shí)現(xiàn)各模塊智能聯(lián)動(dòng)。并且涵蓋傳統(tǒng)安全功能，在多功能模塊開啟后應(yīng)用層性能不會(huì)下降。如何介紹NGAF？一句話介紹AF下一代防火墻，提供整體應(yīng)用層安全防護(hù)，同時(shí)涵蓋傳統(tǒng)安全功能，能夠完全代替?zhèn)鹘y(tǒng)防火墻，IPS，UTM和WAF產(chǎn)品。下一代：【應(yīng)用和用戶身份識(shí)別、策略管理更方便、深度內(nèi)容檢測】整體安全：【FW+IPS+WAF】目前國內(nèi)還沒有一家能夠提供融合FW、IPS和WAF功能并實(shí)現(xiàn)聯(lián)動(dòng)的安全廠商，深信服是第一家。發(fā)燒友級(jí)的組合音響集成的豪華家庭影院VSNGAF特點(diǎn)—防應(yīng)用層攻擊多維度應(yīng)用層攻擊防護(hù)“識(shí)別—防護(hù)”的攻擊防護(hù)深入內(nèi)容的內(nèi)容解析NGAF特點(diǎn)—雙向內(nèi)容檢測用戶/黑客Web應(yīng)用服務(wù)器保護(hù)核心資產(chǎn)價(jià)值入侵攻擊敏感信息網(wǎng)頁篡改保護(hù)社會(huì)公眾形象規(guī)避法律法規(guī)風(fēng)險(xiǎn)NGAF特點(diǎn)—智能模塊聯(lián)動(dòng)價(jià)值提高黑客攻擊成本避免安全設(shè)備被繞過降低運(yùn)維管理成本NGAF特點(diǎn)—涵蓋傳統(tǒng)安全NGAF特點(diǎn)—應(yīng)用層高性能單次解析構(gòu)架實(shí)現(xiàn)報(bào)文一次解析和匹配核1核2核n并行核性能123n策略層網(wǎng)絡(luò)層/快遞路徑網(wǎng)絡(luò)硬件I/OFWIPSAV+=應(yīng)用層高性能萬兆處理能力多核并行處理技術(shù)提升應(yīng)用層分析速度全新技術(shù)構(gòu)架實(shí)現(xiàn)應(yīng)用層萬兆處理能力主要功能模塊賣點(diǎn)產(chǎn)品功能模塊解決什么問題給客戶帶來什么價(jià)值防火墻模塊IP端口訪問控制、NAT實(shí)現(xiàn)安全域劃分，保證內(nèi)網(wǎng)地址安全I(xiàn)PS模塊網(wǎng)絡(luò)協(xié)議漏洞、系統(tǒng)漏洞、應(yīng)用程序漏洞攻擊防護(hù)在系統(tǒng)、網(wǎng)絡(luò)層面防止黑客入侵服務(wù)器、終端WAF模塊防止基于web應(yīng)用程序的攻擊在web應(yīng)用程序?qū)用娣乐购诳凸魒eb服務(wù)器AV模塊防病毒、木馬、蠕蟲攻擊保證外網(wǎng)毒馬蠕不擴(kuò)散到內(nèi)網(wǎng)敏感信息防泄漏防止繞過安全體系造成的信息泄漏如“拖庫”、“暴庫”的問題即使被攻擊也不會(huì)造成大規(guī)模信息泄漏網(wǎng)頁防篡改防止繞過安全體系造成的網(wǎng)站篡改、掛馬、盜鏈等防止頁面被非法篡改2、應(yīng)用場景及主推方案四大場景部門A電信聯(lián)通NGAFAC/SG部門BDMZ區(qū)WEB交易系統(tǒng)WEB門戶網(wǎng)站內(nèi)部應(yīng)用服務(wù)器OA、ERP、視頻鏈路負(fù)載專線廣域網(wǎng)廣域網(wǎng)邊界安全域內(nèi)網(wǎng)辦公區(qū)對(duì)外發(fā)布域數(shù)據(jù)中心安全域NGAFNGAF互聯(lián)網(wǎng)接入域萬兆核心應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器NGAF運(yùn)維管理區(qū)數(shù)據(jù)中心核心SC集中管理APM運(yùn)維管理服務(wù)器核心區(qū)注：連接線為示意圖四大場景、九大解決方案互聯(lián)網(wǎng)出口互聯(lián)網(wǎng)出口一體化安全防護(hù)對(duì)外發(fā)布網(wǎng)站一站式安全防護(hù)網(wǎng)頁篡改防護(hù)對(duì)外發(fā)布業(yè)務(wù)系統(tǒng)敏感信息防泄漏數(shù)據(jù)中心數(shù)據(jù)中心安全防護(hù)業(yè)務(wù)系統(tǒng)應(yīng)用安全加固數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)敏感信息防泄漏廣域網(wǎng)廣域網(wǎng)安全組網(wǎng)及流量清洗廣域網(wǎng)邊界安全防護(hù)互聯(lián)網(wǎng)出口場景安全需求：單向訪問，內(nèi)網(wǎng)地址隱藏帶寬有限，實(shí)現(xiàn)靈活流控多線路跨運(yùn)營商，如何選擇最優(yōu)路徑防御來自互聯(lián)網(wǎng)的威脅，如DOS/DDOS等保護(hù)終端上網(wǎng)安全，防止遭受病毒、木馬、蠕蟲的攻擊推廣思路：先幫客戶進(jìn)行整體安全風(fēng)險(xiǎn)的分析；然后幫助客戶對(duì)比分析解決這些問題的幾個(gè)方案優(yōu)劣勢(shì)；常見方案應(yīng)用范圍防護(hù)效果投資成本維護(hù)成本用戶體驗(yàn)FW普遍（過去）差，僅做安全隔離,無法應(yīng)對(duì)新的針對(duì)終端的應(yīng)用攻擊；低低，單臺(tái)設(shè)備維護(hù)良好，網(wǎng)絡(luò)層包轉(zhuǎn)發(fā)率高FW+IPS/IDS廣泛良好，可抵御部分應(yīng)用層威脅中，中，少量設(shè)備維護(hù)一般，IPS性能延時(shí)瓶頸FW+IPS+AV+WAF極少最優(yōu)高高，多設(shè)備需專業(yè)人員維護(hù)差，多設(shè)備延時(shí)明顯UTM普遍良好，可抵御部分應(yīng)用層威脅低中，單臺(tái)設(shè)備多模塊維護(hù)一般，多功能開啟性能較低下一代防火墻新的選擇最優(yōu)低低，單設(shè)備智能維護(hù)良好，應(yīng)用層高性能電信聯(lián)通NGAFAC/SG鏈路負(fù)載互聯(lián)網(wǎng)接入域互聯(lián)網(wǎng)出口場景行業(yè)需求重點(diǎn)目標(biāo)行業(yè)需求描述標(biāo)桿建設(shè)情況電子政務(wù)外網(wǎng)原有傳統(tǒng)墻的萬兆升級(jí)和應(yīng)用安全加固；大連市政府教育城域網(wǎng)原有傳統(tǒng)墻的萬兆升級(jí)和應(yīng)用安全加固；北京順義教育局高校原有傳統(tǒng)墻的萬兆升級(jí)和應(yīng)用安全加固；湘潭大學(xué)衛(wèi)生等保建設(shè)要求在該區(qū)域進(jìn)行入侵防護(hù)；重慶衛(wèi)生局三甲醫(yī)院等保建設(shè)要求在該區(qū)域進(jìn)行入侵防護(hù)；綿陽市中醫(yī)院法院天平工程二期安全體系建設(shè)，按照等保要求來進(jìn)行，需要在互聯(lián)網(wǎng)出口部署安全隔離和防入侵安全設(shè)備。大連市中級(jí)人民法院央企沖A計(jì)劃，每年都會(huì)對(duì)央企做IT測評(píng);了解到大部分公司傳統(tǒng)防火墻的使用年限均超過4年，存在傳統(tǒng)防火墻替換需求。招商局大企業(yè)集團(tuán)對(duì)原有的傳統(tǒng)防火墻進(jìn)行應(yīng)用層安全加固，形成更完整的防護(hù)體系東風(fēng)汽車，頂新國際省屬國資委下屬企業(yè)原有傳統(tǒng)防火墻的替換，同時(shí)引導(dǎo)進(jìn)行應(yīng)用層安全加固；重慶機(jī)電控股集團(tuán)中小企業(yè)互聯(lián)網(wǎng)出口整體安全防護(hù)；中國化學(xué)工程互聯(lián)網(wǎng)出口一體化互聯(lián)網(wǎng)出口一體化安全防護(hù)為化學(xué)工程集團(tuán)提供網(wǎng)絡(luò)安全、應(yīng)用管控、應(yīng)用安全防護(hù)三大功能為辦公區(qū)上網(wǎng)終端和服務(wù)器區(qū)對(duì)外發(fā)布業(yè)務(wù)打造互聯(lián)網(wǎng)出口一體化安全防護(hù)部署一臺(tái)下一代防火墻為用戶實(shí)現(xiàn)簡化組網(wǎng)、簡化運(yùn)維、最優(yōu)投資的價(jià)值大連市電子政務(wù)外網(wǎng)建設(shè)互聯(lián)網(wǎng)出口一體化安全防護(hù)為110余家委辦局和指數(shù)機(jī)關(guān)單位電子政務(wù)外網(wǎng)接入提供統(tǒng)一互聯(lián)網(wǎng)接入部署于大連市政府電子政務(wù)外網(wǎng)統(tǒng)一出口安全為“中國大連”一個(gè)中心網(wǎng)站70多子網(wǎng)站的安全保駕護(hù)航順義教育信息中心城域網(wǎng)安全建設(shè)互聯(lián)網(wǎng)出口一體化安全防護(hù)為115所中小學(xué)幼兒園、86個(gè)培訓(xùn)機(jī)構(gòu)訪問教學(xué)資源、互聯(lián)網(wǎng)資源提供安全防護(hù)開啟應(yīng)用流控策略實(shí)現(xiàn)有限帶寬合理利用為中心業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)應(yīng)用安全加固，且完全滿足等保三級(jí)的要求廣西質(zhì)監(jiān)打造金質(zhì)工程互聯(lián)網(wǎng)出口一體化安全防護(hù)替換原有防火墻為來自14各地市分局和76個(gè)縣鄉(xiāng)地區(qū)的業(yè)務(wù)訪問提供L2-7層的安全防護(hù)開啟服務(wù)器防護(hù)模塊，防止黑客對(duì)web系統(tǒng)的應(yīng)用層攻擊實(shí)現(xiàn)雙向內(nèi)容檢測，實(shí)現(xiàn)網(wǎng)頁防篡改，保證web業(yè)務(wù)安全穩(wěn)定運(yùn)行對(duì)外發(fā)布場景安全需求：業(yè)務(wù)面向互聯(lián)網(wǎng)，存在大量Web攻擊服務(wù)器安全風(fēng)險(xiǎn)，操作系統(tǒng)、應(yīng)用程序漏洞穩(wěn)定性要求高，防止拒絕服務(wù)攻擊網(wǎng)站形象保護(hù)，防止網(wǎng)頁篡改數(shù)據(jù)內(nèi)容保護(hù)，防止敏感信息外傳推廣思路：先幫客戶進(jìn)行整體安全風(fēng)險(xiǎn)的分析；必要時(shí)可以進(jìn)行安全滲透然后幫助客戶對(duì)比分析解決這些問題的幾個(gè)方案優(yōu)劣勢(shì)；常見方案應(yīng)用范圍防護(hù)效果投資成本維護(hù)成本用戶體驗(yàn)FW+IPS/IDS較少較差，web攻擊防御效果差中中，基本安全設(shè)備維護(hù)一般，IPS性能延時(shí)瓶頸UTM極少差，無法抵御web攻擊低中，單臺(tái)設(shè)備多模塊維護(hù)差，多功能開啟性能低FW+WAF廣泛一般，無法抵御底層漏洞攻擊中高，WAF維護(hù)比較困難一般，WAF性能并不理想FW+網(wǎng)頁防篡改廣泛一般，被動(dòng)防御中中一般，防篡改軟件消耗服務(wù)器性能FW+IPS+WAF+網(wǎng)頁防篡改普遍最優(yōu)極高高，需專業(yè)人員維護(hù)且涉及多部門差，延時(shí)較大IPS、WAF性能較低下一代防火墻新的選擇最優(yōu)低低，單設(shè)備智能維護(hù)良好，應(yīng)用層高性能DMZ區(qū)WEB交易系統(tǒng)WEB門戶網(wǎng)站對(duì)外發(fā)布域NGAF對(duì)外發(fā)布業(yè)務(wù)行業(yè)需求重點(diǎn)目標(biāo)行業(yè)需求描述標(biāo)桿建設(shè)情況政府信息中心各級(jí)政府的門戶網(wǎng)站和需要共享的內(nèi)容都有放到了信息中心，同時(shí)政府信息中心建設(shè)都比較早，對(duì)數(shù)據(jù)中心的防護(hù)不夠全面，存在對(duì)外發(fā)布的服務(wù)器系統(tǒng)安全防護(hù)的需求；杭州蕭山區(qū)政府信息中心海洋、海事隨著釣魚島事件的升溫，各級(jí)海事部門的網(wǎng)站受到了境外黑客的攻擊，需要對(duì)web服務(wù)器和郵件服務(wù)器做安全加固，包括了海洋局、海事局等，要求其通過二級(jí)等保國家海洋局南通海洋環(huán)境監(jiān)測中心國土天地圖系統(tǒng)；招拍掛系統(tǒng)；均是直接放在互聯(lián)網(wǎng)上的業(yè)務(wù)系統(tǒng)，需要進(jìn)行嚴(yán)格的安全防護(hù)和核心數(shù)據(jù)保護(hù)；待建財(cái)政財(cái)政廳門戶網(wǎng)站、省采網(wǎng)站、會(huì)計(jì)人員執(zhí)業(yè)資格考試網(wǎng)站三大業(yè)務(wù)系統(tǒng)應(yīng)用安全加固和敏感數(shù)據(jù)防泄密；四川省財(cái)政廳地稅金稅工程三期，納稅服務(wù)平臺(tái)安全防護(hù)待建海關(guān)電子口岸屬于十二五規(guī)劃建設(shè)內(nèi)容，需要進(jìn)行配套的安全防護(hù)；南方電子口岸法院天平工程二期要做等保，需要對(duì)法院的官網(wǎng)進(jìn)行安全加固；最高人民法院傳媒去年的18大以及13年的兩會(huì)期間，網(wǎng)監(jiān)均會(huì)加大對(duì)輿論制造單位的網(wǎng)站安全監(jiān)控，需要進(jìn)行網(wǎng)站的安全加固；新華社/山東省電視臺(tái)電子商務(wù)對(duì)電商平臺(tái)進(jìn)行安全防護(hù)，防止攻擊和信息泄密；待建【1號(hào)店】物流物流企業(yè)的門戶網(wǎng)站涉及到各種客戶的個(gè)人信息，需要進(jìn)行攻擊防御和數(shù)據(jù)保護(hù)；待建【韻達(dá)】保險(xiǎn)網(wǎng)銷系統(tǒng)直接對(duì)互聯(lián)網(wǎng)開放，網(wǎng)站中涉及到各種客戶的個(gè)人信息，需要進(jìn)行攻擊防御和數(shù)據(jù)保護(hù)；中國出口信用保險(xiǎn)農(nóng)信、城商行針對(duì)網(wǎng)銀進(jìn)行應(yīng)用層安全加固和敏感信息防泄漏保護(hù)；招商銀行四川省財(cái)政廳互聯(lián)網(wǎng)出口安全加固對(duì)外發(fā)布一站式網(wǎng)站安全防護(hù)彌補(bǔ)安全檢查中互聯(lián)網(wǎng)出口存在的DDOS、防篡改、服務(wù)器漏洞檢測與防范等問題實(shí)現(xiàn)對(duì)外發(fā)布和用戶區(qū)互聯(lián)網(wǎng)出口一體化安全加固，實(shí)現(xiàn)投資回報(bào)最大化與上網(wǎng)行為管理形成“內(nèi)到外”安全審計(jì)和“外到內(nèi)”的安全防護(hù)完整的互聯(lián)網(wǎng)出口安全解決方案步步高智能手機(jī)對(duì)外業(yè)務(wù)一站式安全對(duì)外發(fā)布平臺(tái)一站式安全防護(hù)為步步高提供對(duì)外發(fā)布業(yè)務(wù)互聯(lián)網(wǎng)一站式安全解決方案雙機(jī)部署于核心交換前，將WEB門戶網(wǎng)站服務(wù)器進(jìn)行有效的管控與安全防護(hù)出口僅部署一臺(tái)下一代防火墻為智能平臺(tái)提供L2-7層安全防護(hù)簡化組網(wǎng)簡化運(yùn)維南光集團(tuán)網(wǎng)頁防篡改網(wǎng)頁篡改防護(hù)為南光集團(tuán)門戶網(wǎng)站提供web攻擊防護(hù)功能防止網(wǎng)站受到攻擊提供事后補(bǔ)償防護(hù)手段，即使黑客繞過安全防御體系修改了網(wǎng)站內(nèi)容，其修改的內(nèi)容也不會(huì)發(fā)布到最終用戶處避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟(jì)損失等問題，保護(hù)網(wǎng)站的完整性。NGAF：網(wǎng)頁防篡改網(wǎng)站服務(wù)器ISP1ISP2內(nèi)網(wǎng)系統(tǒng)網(wǎng)站服務(wù)器生命人壽網(wǎng)頁防篡改網(wǎng)站網(wǎng)頁防篡改開啟漏洞防護(hù)、web攻擊防護(hù)功能為生命人壽網(wǎng)站提供完整的網(wǎng)站安全防護(hù)功能事后網(wǎng)頁防篡改，防止黑客繞過防御體系篡改網(wǎng)頁發(fā)布至用戶處通過實(shí)時(shí)的短信報(bào)警，可及時(shí)發(fā)現(xiàn)安全問題幫助客戶應(yīng)急響應(yīng)NGAF：網(wǎng)頁防篡改內(nèi)網(wǎng)DMZ區(qū)生命人壽網(wǎng)站服務(wù)器區(qū)防火墻核心交換網(wǎng)銀區(qū)服務(wù)器數(shù)據(jù)防泄漏NGAFNGAF內(nèi)網(wǎng)DMZ區(qū)招商銀行網(wǎng)銀服務(wù)器區(qū)FW/IPS/WAFFW/IPS/WAF對(duì)外發(fā)布業(yè)務(wù)系統(tǒng)敏感信息防泄漏完善了招行信用卡中心用戶信息防泄漏的安全解決方案可針對(duì)-response、FTP、SMTP、ping報(bào)進(jìn)行檢測并報(bào)警可對(duì)網(wǎng)銀區(qū)服務(wù)器主動(dòng)Get請(qǐng)求告警、主動(dòng)DNS、Post請(qǐng)求進(jìn)行安全防護(hù)針對(duì)網(wǎng)銀區(qū)外發(fā)數(shù)據(jù)進(jìn)行雙向合規(guī)性驗(yàn)證，防止含有機(jī)密信息的對(duì)外數(shù)據(jù)外發(fā)數(shù)據(jù)中心場景安全需求：數(shù)據(jù)、應(yīng)用大集中，安全域需隔離可用性要求高，萬兆環(huán)境訪問權(quán)限要求高，控制非法訪問業(yè)務(wù)類型多樣，數(shù)據(jù)庫系統(tǒng)多數(shù)據(jù)內(nèi)容敏感，泄密風(fēng)險(xiǎn)需防范推廣思路：先幫客戶進(jìn)行整體安全風(fēng)險(xiǎn)的分析；必要時(shí)可以進(jìn)行安全滲透然后幫助客戶對(duì)比分析解決這些問題的幾個(gè)方案優(yōu)劣勢(shì)；常見方案應(yīng)用范圍防護(hù)效果投資成本維護(hù)成本用戶體驗(yàn)傳統(tǒng)防火墻普遍差，僅做安全隔離低低，單臺(tái)設(shè)備維護(hù)良好，網(wǎng)絡(luò)層包轉(zhuǎn)發(fā)率高FW+IPS/IDS廣泛良好，可抵御部分應(yīng)用層威脅中，中，少量設(shè)備維護(hù)一般，IPS性能延時(shí)瓶頸FW+IPS+AV+WAF較少最優(yōu)高高，多設(shè)備需專業(yè)人員維護(hù)差，多設(shè)備延時(shí)明顯UTM極少良好，可抵御部分應(yīng)用層威脅低中，單臺(tái)設(shè)備多模塊維護(hù)差，多功能開啟性能較低下一代防火墻新的選擇最優(yōu)低低，單設(shè)備智能維護(hù)良好，應(yīng)用層高性能內(nèi)部應(yīng)用服務(wù)器OA、ERP、視頻數(shù)據(jù)中心安全域NGAF應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器數(shù)據(jù)中心核心數(shù)據(jù)中心場景行業(yè)需求重點(diǎn)目標(biāo)行業(yè)需求描述標(biāo)桿建設(shè)情況國保維穩(wěn)平臺(tái)2期，肯定會(huì)做安全，主推應(yīng)用安全加固，吉林國保已經(jīng)成單吉林國保三甲醫(yī)院響應(yīng)三甲醫(yī)院等保要求，針對(duì)his等數(shù)據(jù)中心內(nèi)系統(tǒng)采用邊界隔離、應(yīng)用安全加固設(shè)備（惡意代碼檢測、入侵檢測、網(wǎng)頁防篡改）等綿陽市中醫(yī)院衛(wèi)生區(qū)域衛(wèi)生平臺(tái)、社區(qū)衛(wèi)生醫(yī)療平臺(tái)，橫向縱向接入數(shù)據(jù)中心邊界需要對(duì)接入流量實(shí)現(xiàn)應(yīng)用安全過濾安徽衛(wèi)生綜合管理平臺(tái)政府信息中心部分大的政府信息中心將各委辦單位網(wǎng)站、業(yè)務(wù)系統(tǒng)等各自數(shù)據(jù)中心進(jìn)行統(tǒng)一部署，形成云平臺(tái)朝陽云平臺(tái)（待建）地稅金稅工程三期，納稅服務(wù)平臺(tái)安全防護(hù)待建央企多數(shù)央企數(shù)據(jù)中心僅采用傳統(tǒng)防火墻實(shí)現(xiàn)區(qū)域隔離，了解央企數(shù)據(jù)中心安全設(shè)備構(gòu)成，引導(dǎo)數(shù)據(jù)中心需要應(yīng)用安全加固實(shí)現(xiàn)FW替換或者與FW異構(gòu)的方案。招商局、國美集團(tuán)、中國建筑集團(tuán)大企業(yè)集團(tuán)大企業(yè)數(shù)據(jù)中心安全建設(shè)，核心OA、EAR等系統(tǒng)應(yīng)用安全加固?hào)|風(fēng)汽車、比亞迪汽車、步步高銀行響應(yīng)等級(jí)保護(hù)要求，數(shù)據(jù)中心實(shí)現(xiàn)區(qū)域隔離福建農(nóng)信社運(yùn)營商運(yùn)營商建設(shè)云平臺(tái)對(duì)政府企事業(yè)單位的網(wǎng)站實(shí)現(xiàn)統(tǒng)一托管，減少各單位IT建設(shè)及運(yùn)維成本湛江移動(dòng)招商局?jǐn)?shù)據(jù)中心整體安全防護(hù)數(shù)據(jù)中心安全防護(hù)通過VPN模塊實(shí)現(xiàn)總部與項(xiàng)目公司安全組網(wǎng)并對(duì)VPN隧道內(nèi)的威脅進(jìn)行流量清洗實(shí)現(xiàn)項(xiàng)目公司對(duì)總部資源的訪問控制與安全隔離實(shí)現(xiàn)總部、蛇口、香港、重慶數(shù)據(jù)中心的L2-7層安全防護(hù)，防止漏洞攻擊、注入攻擊、惡意插件等威脅共11臺(tái)萬兆NGAF實(shí)現(xiàn)招商局下屬招商地產(chǎn)、證券等業(yè)務(wù)系統(tǒng)整體遷移的統(tǒng)一部署、統(tǒng)一管理中國建筑等保3級(jí)數(shù)據(jù)中心改造數(shù)據(jù)中心安全防護(hù)滿足云數(shù)據(jù)中心郵件系統(tǒng)、辦公系統(tǒng)、財(cái)務(wù)系統(tǒng)、人力資源系統(tǒng)等3級(jí)等保要求采用一臺(tái)設(shè)備替換FW+IPS+WAF+防篡改解決方案為中國建筑降低了投入成本總共部署了8臺(tái)NGAF分別開啟ips、waf、防篡改滿足業(yè)務(wù)系統(tǒng)L2-7層防護(hù)要求數(shù)據(jù)中心交換服務(wù)器群三服務(wù)器群二服務(wù)器群一NGAFNGAF核心交換UAP云數(shù)據(jù)中心應(yīng)用安全防護(hù)數(shù)據(jù)中心安全防護(hù)實(shí)現(xiàn)雙向過濾檢測的功能，對(duì)WEB威脅實(shí)施攔截或放行防護(hù)常用WEB攻擊，如SQL注入攻擊、XSS跨站攻擊、CSRF攻擊、網(wǎng)頁掛馬攻擊、webshell上傳攻擊、命令行注入攻擊、緩沖區(qū)溢出攻擊、黑鏈植入攻擊。防護(hù)底層操作系統(tǒng)、中間件及數(shù)據(jù)庫漏洞攻擊；國美集團(tuán)Sap系統(tǒng)安全加固業(yè)務(wù)系統(tǒng)應(yīng)用安全加固為SAP服務(wù)器提供應(yīng)用層安全防護(hù)功能，有效彌補(bǔ)傳統(tǒng)防火墻在應(yīng)用層防護(hù)的不足；為SAP服務(wù)器提供漏洞防護(hù)功能，針對(duì)服務(wù)器提供入侵防護(hù)功能；與CISCOASA防火墻形成異構(gòu)，共同為SAP服務(wù)器提供防護(hù)。最高人民法院防泄漏服務(wù)器集群內(nèi)網(wǎng)終端服務(wù)器區(qū)內(nèi)網(wǎng)用戶區(qū)Web服務(wù)器DMZ區(qū)核心交換防火墻NGAF數(shù)據(jù)中心敏感數(shù)據(jù)防泄漏為服務(wù)器區(qū)提供L2-L7層整體的安全防護(hù)，有效的保障服務(wù)器區(qū)安全，彌補(bǔ)原有安全設(shè)備缺乏應(yīng)用層攻擊防護(hù)的短板；為服務(wù)器區(qū)業(yè)務(wù)系統(tǒng)提供敏感信息防泄露的功能，保障數(shù)據(jù)交互過程中如檔案、卷宗等敏感數(shù)據(jù)被非法竊取；與出口處防火墻形成異構(gòu)，共同保障服務(wù)器區(qū)業(yè)務(wù)系統(tǒng)安全。廣域網(wǎng)場景安全需求：

接入環(huán)境復(fù)雜，部分用戶存在安全組網(wǎng)要求

流量復(fù)雜，病毒木馬易泛濫人員復(fù)雜，需要精確訪問控制設(shè)備數(shù)量繁多，需要集中管理數(shù)據(jù)內(nèi)容保護(hù)，防止敏感信息越界傳播推廣思路：先幫客戶進(jìn)行整體安全風(fēng)險(xiǎn)的分析；必要時(shí)可以進(jìn)行安全滲透然后幫助客戶對(duì)比分析解決這些問題的幾個(gè)方案優(yōu)劣勢(shì)；常見方案應(yīng)用范圍防護(hù)效果投資成本維護(hù)成本用戶體驗(yàn)VPN廣泛差，無法防御任何內(nèi)部威脅擴(kuò)散低低，基本安全設(shè)備維護(hù)差，經(jīng)常會(huì)出現(xiàn)搶帶寬的問題FW（含VPN模塊）廣泛差，僅能實(shí)現(xiàn)訪問控制和部分Dos攻擊防御低低，單臺(tái)設(shè)備多模塊維護(hù)差，QOS機(jī)制并不能解決用戶體驗(yàn)問題FW+IPS普遍一般，可限制威脅在廣域網(wǎng)中擴(kuò)散，但各種WEB攻擊無法有效防護(hù)，無法在邊界進(jìn)行敏感數(shù)據(jù)過濾；高高，多設(shè)備多廠商難以統(tǒng)一管理差，可通過IPS實(shí)現(xiàn)部分流控，但多設(shè)備容易造成網(wǎng)絡(luò)延時(shí)FW+IPS+WAF極少優(yōu)，可抵御L2-7層大量攻擊極高高，需專業(yè)人員維護(hù)且涉及多部門差，延時(shí)較大IPS、WAF性能較低；UTM普遍一般，無法抵御主流B/S業(yè)務(wù)安全威脅低中，單設(shè)備多模塊維護(hù)中，通過流量控制可提高用戶體驗(yàn)，但開啟多功能使得網(wǎng)絡(luò)效率下降下一代防火墻開始普及最優(yōu)低低，單設(shè)備智能維護(hù)良好，應(yīng)用層高性能專線廣域網(wǎng)廣域網(wǎng)邊界安全域NGAF廣域網(wǎng)場景行業(yè)需求重點(diǎn)目標(biāo)行業(yè)需求描述標(biāo)桿建設(shè)情況技偵技偵安全體系建設(shè)，方案明確要求對(duì)省市兩級(jí)技偵專網(wǎng)邊界進(jìn)行安全隔離和攻擊防護(hù)；待建法院天平工程二期安全體系建設(shè)，需要對(duì)法院專網(wǎng)各級(jí)邊界進(jìn)行防入侵和惡意代碼過濾；大連市中級(jí)人民法院衛(wèi)生區(qū)域衛(wèi)生平臺(tái)、社區(qū)衛(wèi)生醫(yī)療平臺(tái)實(shí)現(xiàn)縱向的安全組網(wǎng)待建鐵路局鐵路系統(tǒng)目前正在對(duì)原有的計(jì)算機(jī)資源進(jìn)行重新整合，其中就包括06、07年購買過的傳統(tǒng)防火墻的更新替換。另外，新的鐵路線建設(shè)方案中均會(huì)有大量防火墻需求【每個(gè)站點(diǎn)需要部署一臺(tái)防火墻】。昆明鐵路局華潤電力分支公司廣域網(wǎng)安全廣域網(wǎng)安全組網(wǎng)及流量清洗實(shí)現(xiàn)集團(tuán)到項(xiàng)目公司安全組網(wǎng)，解決了廣域網(wǎng)病毒木馬快速擴(kuò)散的問題通過集中管理平臺(tái)實(shí)現(xiàn)多臺(tái)NGAF統(tǒng)一集中管理簡化運(yùn)維共部署25臺(tái)上百萬的NGAF降低了原FW+IPS+WAF+VPN多設(shè)備組合方案近4倍的投入成本，同時(shí)取得更緊密、更智能的防護(hù)效果鐵路專網(wǎng)邊界安全防護(hù)廣域網(wǎng)邊界安全防護(hù)安全加固：通過IPS和WAF模塊，在兩個(gè)中心節(jié)點(diǎn)和各級(jí)站點(diǎn)之間構(gòu)建應(yīng)用安全防護(hù)體系；風(fēng)險(xiǎn)可視化管理：對(duì)服務(wù)器進(jìn)行風(fēng)險(xiǎn)掃描，根據(jù)應(yīng)用漏洞制定安全防護(hù)策略，同時(shí)對(duì)于攻擊日志提供各種關(guān)聯(lián)分析報(bào)表，方便對(duì)攻擊情況進(jìn)行事后追蹤。威脅過濾：通過雙向內(nèi)容檢測技術(shù)，對(duì)專網(wǎng)中的危險(xiǎn)流量和敏感信息進(jìn)行過濾。海關(guān)總署廣域網(wǎng)安全接入國務(wù)院新聞辦海關(guān)總署NGAF內(nèi)網(wǎng)終端內(nèi)網(wǎng)終端服務(wù)器集群服務(wù)器集群廣域網(wǎng)邊界安全防護(hù)可對(duì)國務(wù)院新聞辦接入到海關(guān)總署的廣域網(wǎng)專線進(jìn)行有效的邏輯隔離及惡意流量清洗，保障廣域網(wǎng)專線內(nèi)流量安全；在廣域網(wǎng)邊界進(jìn)行有效的訪問控制，可限定合法人員人有權(quán)接入到總署專網(wǎng)中來，可防止越權(quán)訪問；部署于總署與新聞辦的專線出口，可為總署內(nèi)網(wǎng)提供完整應(yīng)用層的安全防護(hù)，從而有效的保障內(nèi)部應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行。3、目標(biāo)客戶聽到什么消息意味著目標(biāo)客戶出現(xiàn)部署了防火墻，卻仍然發(fā)生病毒、蠕蟲、、SQL注入等各類安全事故；部署了防火墻，IPS，卻仍然發(fā)生網(wǎng)頁被篡改，網(wǎng)站或者內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)被攻擊的事件；重要服務(wù)器和核心業(yè)務(wù)數(shù)據(jù)需要重點(diǎn)做安全防護(hù)，避免病毒、黑客攻擊等安全事件帶來的損失；擁有大量的網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、服務(wù)器和員工主機(jī)，但只部署了傳統(tǒng)防火墻一種安全設(shè)備；聽到以下消息目標(biāo)客戶出現(xiàn)

1、客戶的防火墻使用已經(jīng)超過4年了；

2、客戶的業(yè)務(wù)系統(tǒng)或者帶寬準(zhǔn)備擴(kuò)容，原有的安全設(shè)備性能有瓶頸；

3、客戶準(zhǔn)備購買UTM，IPS，WAF或FW；

4、客戶準(zhǔn)備做網(wǎng)絡(luò)改造或業(yè)務(wù)系統(tǒng)的建設(shè)；

5、客戶準(zhǔn)備要做等保；政府電子政務(wù)網(wǎng)站防惡意篡改防敏感信息泄漏防惡意攻擊數(shù)據(jù)中心/DMZ區(qū)滿足等級(jí)保護(hù)建設(shè)要求——入侵防御與惡意代碼過濾提供虛擬補(bǔ)丁，保護(hù)核心業(yè)務(wù)持續(xù)、正常運(yùn)轉(zhuǎn)對(duì)區(qū)域內(nèi)部不同業(yè)務(wù)系統(tǒng)進(jìn)行安全隔離AF重點(diǎn)目標(biāo)市場-1AF重點(diǎn)目標(biāo)市場-2政府互聯(lián)網(wǎng)出口邊界安全隔離，保護(hù)內(nèi)網(wǎng)終端、路由交換等基礎(chǔ)設(shè)施以及服務(wù)器的安全，抵御Internet的、木馬、病毒等攻擊廣域網(wǎng)邊界邊界安全隔離，防御來自組織廣域網(wǎng)內(nèi)部的攻擊，保護(hù)核心資產(chǎn)和數(shù)據(jù)，隔離和控制內(nèi)部安全威脅。重點(diǎn)關(guān)注行業(yè)提醒：衛(wèi)生、水利、氣象、海事、藥監(jiān)、檔案、國土AF重點(diǎn)目標(biāo)市場-3企業(yè)互聯(lián)網(wǎng)出口病毒爆發(fā)，造成電腦、網(wǎng)絡(luò)癱瘓，郵件收不了，網(wǎng)頁打不開；員工電腦中了木馬，企業(yè)機(jī)密資料被竊??；公安上門調(diào)查，某網(wǎng)站遭受攻擊，攻擊來源就在企業(yè)局域網(wǎng)中；網(wǎng)站網(wǎng)頁被篡改，交易、用戶數(shù)據(jù)泄露，引發(fā)客戶信任危機(jī)；客戶登錄不上企業(yè)網(wǎng)站，頁面打不開，影響交易；重點(diǎn)關(guān)注細(xì)分行業(yè)提醒：建筑、交通物流、能源、科技、汽車AF重點(diǎn)目標(biāo)市場-4教育網(wǎng)站高校招生網(wǎng)上錄取查詢頁面被惡意篡改，實(shí)施詐騙，給考生及家長帶來經(jīng)濟(jì)損失，也影響了學(xué)校的聲譽(yù)；教育考試中心考試報(bào)名與成績查詢系統(tǒng)被黑客入侵，進(jìn)行考生個(gè)人信息的非法篡改和竊取，實(shí)現(xiàn)牟利；托管于各市/區(qū)縣教育城域網(wǎng)出口的中小學(xué)學(xué)校網(wǎng)站成為黑客的養(yǎng)馬場、僵尸網(wǎng)絡(luò)的小分部，嚴(yán)重影響學(xué)校形象，也給其他單位和個(gè)人帶來安全隱患；互聯(lián)網(wǎng)出口內(nèi)網(wǎng)終端異常流量清洗【過濾病毒、木馬】4、銷售引導(dǎo)思路新銷售工具需求挖掘：SANGFOR_NGAF_銷售話術(shù)SANGFOR_AF_產(chǎn)品解決方案賣點(diǎn)V1.0Web掃描工具IBMAppscan宣傳引導(dǎo)資料：下一代防火墻NGAF市場分析報(bào)告（new）下一代防火墻攻防視頻Ipad電子雜志認(rèn)可材料深信服NGAF技術(shù)交流匯報(bào)V2.0（全）深信服下一代防火墻測評(píng)報(bào)告-網(wǎng)絡(luò)世界（new）OWASP測評(píng)報(bào)告（new）高端案例集（new）分場景與傳統(tǒng)解決方案優(yōu)劣勢(shì)對(duì)比（new）競爭工具競爭分析工具V1.0需求挖掘話術(shù)問1：貴單位目前部署了哪些安全設(shè)備？什么品牌？（了解目前的安全現(xiàn)狀，明確是否有應(yīng)用層安全的引導(dǎo)）問2：這些安全設(shè)備都部署在哪里？主要用途是什么？（了解有哪些場景可以切入，明確應(yīng)用場景）問3：這些安全設(shè)備使用了多長時(shí)間了？使用情況如何？（了解是否有替換機(jī)會(huì)）問4：目前有哪些業(yè)務(wù)系統(tǒng)？今年是否有新的系統(tǒng)上線？（了解原有系統(tǒng)是否有加固的可能）基于業(yè)務(wù)場景參考話術(shù)一、S1：貴單位安全通常是怎么建設(shè)的？是不是按照互聯(lián)網(wǎng)出口、對(duì)外發(fā)布、數(shù)據(jù)中心、廣域網(wǎng)區(qū)域分開建設(shè)的？

客戶：是的，我們主要?jiǎng)澐至嘶ヂ?lián)網(wǎng)出口、DMZ（對(duì)外發(fā)布）、內(nèi)網(wǎng)數(shù)據(jù)中心二、S2：您最關(guān)注哪個(gè)區(qū)域的安全建設(shè)？

客戶：（數(shù)據(jù)中心\對(duì)外發(fā)布\廣域網(wǎng)\互聯(lián)網(wǎng)出口）（見后頁，分場景挖掘商機(jī)）三、引入測試或評(píng)估的步驟 S1：有攻擊并不一定產(chǎn)生后果，一旦產(chǎn)生后果那肯定就是安全事故了。您可以使用下一代防火墻測試一下觀察一下或許會(huì)發(fā)現(xiàn)一些安全問題。 S2：我可以請(qǐng)我們的安全專家針對(duì)現(xiàn)有的網(wǎng)絡(luò)環(huán)境分析一下，網(wǎng)站也可以評(píng)估一下看看那有哪些安全風(fēng)險(xiǎn)。（1）數(shù)據(jù)中心S3：那貴單位的數(shù)據(jù)中心都有哪些業(yè)務(wù)？

客戶：ERP系統(tǒng)、OA辦公系統(tǒng)、網(wǎng)站集群和數(shù)據(jù)庫集群 S4：都是核心的業(yè)務(wù)啊，數(shù)據(jù)中心的安全確實(shí)很重要，尤其是數(shù)據(jù)安全。那貴單位用了哪些安全防護(hù)的措施呢？

客戶：主要用防火墻將數(shù)據(jù)中心劃分成不同安全域，數(shù)據(jù)中心出口旁掛了一臺(tái)XX的IDS。 S4：還是用了不少安全設(shè)備的，但數(shù)據(jù)中心這么重要的區(qū)域還是不夠的，數(shù)據(jù)中心應(yīng)該提供L2-L7層的安全防護(hù)，尤其是應(yīng)用層。而數(shù)據(jù)中心的核心在于數(shù)據(jù)，數(shù)據(jù)安全（服務(wù)器外發(fā)數(shù)據(jù)）是否合規(guī)也是數(shù)據(jù)中心安全建設(shè)需要考慮的地方。

客戶：我們也考慮了更多的應(yīng)用層安全建設(shè)，但數(shù)據(jù)中心放應(yīng)用層的安全設(shè)備怕影響業(yè)務(wù)啊。 S4：是的，很多應(yīng)用層安全設(shè)備遇到大并發(fā)、高吞吐就頂不住了。不過也正是因?yàn)槿绱怂晕覀儾磐瞥隽讼乱淮阑饓@款產(chǎn)品。滿足數(shù)據(jù)中心L2-L7層安全防護(hù)的同時(shí)通過單次解析引擎和多核并行處理技術(shù)提升應(yīng)用層性能，同時(shí)還可以檢查數(shù)據(jù)中心外發(fā)數(shù)據(jù)是否合規(guī)，防止類似像CSDN、人人網(wǎng)、公積金等信息泄露事件的發(fā)生。（2）對(duì)外發(fā)布S3：那貴單位的對(duì)外發(fā)布都有哪些業(yè)務(wù)？

客戶：網(wǎng)站、交易平臺(tái)、網(wǎng)上納稅…… S4：這些業(yè)務(wù)系統(tǒng)主要是B/S的吧？

客戶：嗯，基本上都是B/S構(gòu)架的。 S5：這些業(yè)務(wù)系統(tǒng)安全建設(shè)主要是關(guān)注篡改掛馬，以及最近比較頻繁的信息泄露問題吧？像sony、公積金、政府網(wǎng)站篡改等信息泄露事件還是造成了不小的影響。咱這邊有沒有部署什么安全設(shè)備？

客戶：用了防火墻和入侵防御系統(tǒng)，今年會(huì)采購waf。 S6：哦，那主要還是為了防御像web攻擊等外部的攻擊，服務(wù)器外發(fā)的數(shù)據(jù)沒有經(jīng)過合規(guī)性檢測，用新型的攻擊還是可以造成信息竊取和頁面篡改的。

客戶：那有什么好的解決辦法？ S6：可以通過下一代防火墻的解決方案解決，不僅能防護(hù)web層面、應(yīng)用層面、系統(tǒng)層面的攻擊，還可以對(duì)服務(wù)器外發(fā)數(shù)據(jù)的合規(guī)性做檢測，實(shí)現(xiàn)雙向內(nèi)容檢測的解決方案。（3）廣域網(wǎng) S4：貴單位分支機(jī)構(gòu)是通過VPN還是專線接進(jìn)來的？

客戶：專線、VPN S5：分支機(jī)構(gòu)應(yīng)該沒有專人進(jìn)行安全維護(hù)吧？

客戶：是的，都是通過總部這邊統(tǒng)一維護(hù)的 S6：這樣的話分支機(jī)構(gòu)一旦受到攻擊很可能將威脅快速的擴(kuò)散到總部或者其他分支機(jī)構(gòu)，這種問題一旦出現(xiàn)對(duì)廣域網(wǎng)影響應(yīng)該不小哦。咱有沒有針對(duì)這類問題采用相應(yīng)的解決方案呢？

客戶：只用了VPN和防火墻（或?qū)＞€） S7：恩，防火墻做了安全域的隔離，VPN可實(shí)現(xiàn)數(shù)據(jù)加密還是有一定效果。但是應(yīng)用層的威脅防火墻過濾不了，并且VPN僅僅是進(jìn)行加密，一旦有威脅還是可以通過VPN隧道擴(kuò)散的。如果不進(jìn)行防護(hù)有可能分支機(jī)構(gòu)成為跳板、或者分支機(jī)構(gòu)被控制發(fā)攻擊包，都可能影響其他廣域網(wǎng)分支機(jī)構(gòu)的正常使用，得進(jìn)行隧道內(nèi)的流量清洗防止威脅擴(kuò)散比較穩(wěn)妥。（4）互聯(lián)網(wǎng)出口 S4：互聯(lián)網(wǎng)出口有沒有DMZ區(qū)發(fā)布網(wǎng)站之類的對(duì)外業(yè)務(wù)呢？

客戶：有，網(wǎng)站是跟互聯(lián)網(wǎng)統(tǒng)一出口的 S5：那貴單位有沒有做什么相應(yīng)的防護(hù)措施呢？

客戶：我們部署了防火墻和上網(wǎng)行為管理 S6：那還是投入了不少了，但對(duì)于終端上網(wǎng)和DMZ網(wǎng)站的安全還是不夠的?；ヂ?lián)網(wǎng)出口終端安全威脅主要分為外部攻擊（比如外部病毒木馬或者漏洞攻擊對(duì)終端的威脅）還有被控制之后向外內(nèi)網(wǎng)發(fā)起的惡意攻擊或者造成終端的資料泄露，這些安全問題還是比較嚴(yán)重的。所以終端上網(wǎng)安全最好能對(duì)雙向的流量進(jìn)行安全檢測。而DMZ網(wǎng)站呢，主要防止web攻擊，防火墻和UTM類得產(chǎn)品都是無法滿足的。

下一代防火墻在互聯(lián)網(wǎng)出口使用是最完整的一體化安全防護(hù)，防護(hù)了L2-7層的攻擊，實(shí)現(xiàn)了雙向安全檢測，同時(shí)還可以保障DMZ區(qū)安全，是性價(jià)比最高、維護(hù)最簡易、防護(hù)效果的真正一體化解決方案。5、競爭優(yōu)勢(shì)13年核心推廣方向以“下一代防火墻”的名義替換傳統(tǒng)安全產(chǎn)品UTMWAFFW+IPS+VPN防Web攻擊ACL、NAT、DOSFW主要競爭產(chǎn)品：FWIPSUTMWAFNGFWNGFWIPS主要競爭產(chǎn)品漏洞防護(hù)應(yīng)用識(shí)別AC下一代防火墻與傳統(tǒng)安全設(shè)備有什么區(qū)別？

——傳統(tǒng)防火墻

傳統(tǒng)防火墻：無法防御應(yīng)用層攻擊NGAF：解決運(yùn)行在網(wǎng)絡(luò)傳統(tǒng)防火墻對(duì)應(yīng)用層協(xié)議識(shí)別、控制及防護(hù)防護(hù)的不足！傳統(tǒng)防火墻包過濾網(wǎng)絡(luò)層面深信服下一代防火墻深度內(nèi)容檢測網(wǎng)絡(luò)系統(tǒng)應(yīng)用數(shù)據(jù)L5-L7:應(yīng)用層L4:傳輸層L3:網(wǎng)絡(luò)層L2:鏈路層L1:物理層業(yè)務(wù)內(nèi)容應(yīng)用架構(gòu)服務(wù)架構(gòu)操作系統(tǒng)TCP/IP協(xié)議棧網(wǎng)絡(luò)接口網(wǎng)線L7以上:數(shù)據(jù)層面網(wǎng)絡(luò)層DDoS協(xié)議異常訪問控制問題ARP欺騙、廣播風(fēng)暴傳輸線路物理損壞SQL注入、跨站腳本W(wǎng)ebshell權(quán)限應(yīng)用掃描探測應(yīng)用層DDoS非安全應(yīng)用濫用蠕蟲、病毒、木馬漏洞利用攻擊信息竊取網(wǎng)頁篡改、掛馬弱密碼攻擊傳統(tǒng)防火墻競爭策略競爭策略以功能全面性為優(yōu)勢(shì)競爭，結(jié)合客戶使用場景針對(duì)性引導(dǎo)功能全面的優(yōu)勢(shì)以功能聯(lián)動(dòng)引導(dǎo)與組合方案的差異化優(yōu)勢(shì)以安全防護(hù)效果進(jìn)行引導(dǎo)，通過簡單工具進(jìn)行功能優(yōu)勢(shì)應(yīng)用層攻擊防護(hù)能力（漏洞防護(hù)、web攻擊防護(hù)、病毒木馬蠕蟲）雙向內(nèi)容檢測的優(yōu)勢(shì)（具備網(wǎng)頁防篡改、信息防泄漏）8元組ACL與應(yīng)用流控的優(yōu)勢(shì)能實(shí)現(xiàn)模塊間智能聯(lián)動(dòng)傳統(tǒng)防火墻競爭案例數(shù)據(jù)中心傳統(tǒng)防火墻采購策反背景：某企業(yè)數(shù)據(jù)中心預(yù)采購防火墻實(shí)現(xiàn)數(shù)據(jù)中心區(qū)域隔離原始需求：為承載內(nèi)網(wǎng)研發(fā)系統(tǒng)及服務(wù)器、承載視頻測試系統(tǒng)以及互聯(lián)網(wǎng)網(wǎng)站的數(shù)據(jù)中心采購傳統(tǒng)墻隔離涉密與對(duì)外系統(tǒng)，要求性能達(dá)標(biāo)、穩(wěn)定可靠策反思路：數(shù)據(jù)中心需要應(yīng)用層安全防護(hù)，傳統(tǒng)防火墻無法抵御應(yīng)用層攻擊、組合方案影響性能，延時(shí)過高，下一代防火墻是最佳選擇。質(zhì)疑：1、下一代防火墻與傳統(tǒng)墻有什么區(qū)別？；2、多部署有沒有影響？；3、穩(wěn)定性如何？案例部署情況策反效果：將juniper1U級(jí)別小千兆防火墻設(shè)備替換為我司6000系列高端數(shù)據(jù)中心下一代防火墻下一代防火墻與傳統(tǒng)安全設(shè)備有什么區(qū)別？

——入侵防御系統(tǒng)IPS：應(yīng)用安全防護(hù)體系不完善，缺乏獨(dú)立web攻擊特征庫，對(duì)WEB攻擊防護(hù)效果不佳；NGAF：解決定位于保護(hù)系統(tǒng)層面的入侵防御系統(tǒng)對(duì)應(yīng)用層攻擊防護(hù)不足，及應(yīng)用層攻擊漏判誤判的問題！深信服下一代防火墻深度內(nèi)容檢測網(wǎng)絡(luò)系統(tǒng)應(yīng)用數(shù)據(jù)L5-L7:應(yīng)用層L4:傳輸層L3:網(wǎng)絡(luò)層L2:鏈路層L1:物理層業(yè)務(wù)內(nèi)容應(yīng)用架構(gòu)服務(wù)架構(gòu)操作系統(tǒng)TCP/IP協(xié)議棧網(wǎng)絡(luò)接口網(wǎng)線L7以上:數(shù)據(jù)層面網(wǎng)絡(luò)層DDoS協(xié)議異常訪問控制問題ARP欺騙、廣播風(fēng)暴傳輸線路物理損壞SQL注入、跨站腳本W(wǎng)ebshell權(quán)限應(yīng)用掃描探測應(yīng)用層DDoS非安全應(yīng)用濫用蠕蟲、病毒、木馬漏洞利用攻擊信息竊取網(wǎng)頁篡改、掛馬弱密碼攻擊入侵防御系統(tǒng)深度數(shù)據(jù)包與協(xié)議檢測網(wǎng)絡(luò)+系統(tǒng)層面入侵防御競爭策略競爭策略NGAF替換IPS專業(yè)性無差距2800+2000+特征庫；2、CVE；2、微軟MAPP；3、專業(yè)攻防團(tuán)隊(duì)實(shí)時(shí)更新；4、案例廣泛（2000+用戶；4000+在線設(shè)備；200+高端客戶案例）

NGAF比IPS防護(hù)效果更佳以下一代防火墻應(yīng)用層防護(hù)全面性體現(xiàn)競爭優(yōu)勢(shì)（以WAF功能打IPS）四大特征庫：漏洞2800+、web攻擊2000+、應(yīng)用2000+、敏感信息以下一代防火墻雙向內(nèi)容檢測能力（信息防泄漏、防篡改、應(yīng)用信息隱藏）打擊IPS解決不了未知攻擊產(chǎn)生的后果以安全防護(hù)效果進(jìn)行引導(dǎo)，通過web攻擊工具體現(xiàn)防護(hù)效果同等性能產(chǎn)品防護(hù)效果更好，價(jià)格更優(yōu)功能優(yōu)勢(shì)Web攻擊防護(hù)，尤其是各類逃逸攻擊（注入逃逸、編碼逃逸）的防護(hù)雙向內(nèi)容檢測，信息防泄漏、防篡改、應(yīng)用信息隱藏、客戶端外發(fā)異常流量檢測（新版本）能實(shí)現(xiàn)模塊間智能聯(lián)動(dòng)（應(yīng)用層模塊與FW聯(lián)動(dòng)，評(píng)估與策略生成聯(lián)動(dòng)）應(yīng)用控制種類更多（IPS通常只涵蓋P2P）下一代防火墻與傳統(tǒng)安全設(shè)備有什么區(qū)別？

——Web應(yīng)用防火墻WAF：處理性能不足，缺乏底層漏洞攻擊特征庫，缺乏基于敏感業(yè)務(wù)內(nèi)容的保護(hù)機(jī)制，無法對(duì)WEB業(yè)務(wù)進(jìn)行整體安全防護(hù)NGAF：解決定位于防護(hù)Web攻擊的Web應(yīng)用防火墻無法給網(wǎng)站提供全面的應(yīng)用安全防護(hù)，僅針對(duì)攻擊本身無法檢測服務(wù)器外發(fā)流量合規(guī)性的問題！深信服下一代防火墻深度內(nèi)容檢測網(wǎng)絡(luò)系統(tǒng)應(yīng)用數(shù)據(jù)L5-L7:應(yīng)用層L4:傳輸層L3:網(wǎng)絡(luò)層L2:鏈路層L1:物理層業(yè)務(wù)內(nèi)容Web應(yīng)用架構(gòu)Web服務(wù)架構(gòu)操作系統(tǒng)TCP/IP協(xié)議棧網(wǎng)絡(luò)接口網(wǎng)線L7以上:數(shù)據(jù)層面網(wǎng)絡(luò)層DDoS協(xié)議異常訪問控制問題ARP欺騙、廣播風(fēng)暴傳輸線路物理損壞SQL注入、跨站腳本W(wǎng)ebshell權(quán)限應(yīng)用掃描探測應(yīng)用層DDoS非安全應(yīng)用濫用蠕蟲、病毒、木馬漏洞利用攻擊信息竊取網(wǎng)頁篡改、掛馬弱密碼攻擊Web應(yīng)用防火墻http檢測Web應(yīng)用層面Web應(yīng)用防火墻競爭策略競爭策略NGAF替換WAF專業(yè)性無差距2000+特征+主動(dòng)（自動(dòng)建模白名單）防護(hù)方式業(yè)內(nèi)領(lǐng)先；2、專業(yè)測評(píng)OWASP4.5星；3、專業(yè)攻防團(tuán)隊(duì)實(shí)時(shí)更新；4、案例廣泛（2000+用戶；4000+在線設(shè)備；200+高端客戶案例）網(wǎng)站安全需要關(guān)注底層到數(shù)據(jù)層面而非僅僅web應(yīng)用層，NGAF更適合以NGAF網(wǎng)站防護(hù)全面性體現(xiàn)競爭優(yōu)勢(shì)（以IPS功能打WAF）NGAF更適合網(wǎng)站安全，覆蓋網(wǎng)站安全：系統(tǒng)底層漏洞（IPS）、發(fā)布軟件漏洞（IPS）、數(shù)據(jù)庫中間件漏洞（IPS）、web應(yīng)用漏洞（WAF）以及數(shù)據(jù)泄漏風(fēng)險(xiǎn)（獨(dú)家）和篡改防護(hù)（防篡改軟件）NGAF比waf性能要高，價(jià)格更便宜以安全防護(hù)效果進(jìn)行引導(dǎo)測試，通過自制IPS攻擊工具、blade工具體現(xiàn)防護(hù)效果功能優(yōu)勢(shì)三大特征庫保護(hù)網(wǎng)站安全：漏洞2800+、web攻擊2000+、敏感信息（OWASP4星）敏感信息防泄漏功能，業(yè)內(nèi)熱點(diǎn)，業(yè)界獨(dú)家自動(dòng)建模技術(shù)，自動(dòng)生成策略。國內(nèi)廠商配置復(fù)雜，國外廠商價(jià)格昂貴能實(shí)現(xiàn)模塊間智能聯(lián)動(dòng)（應(yīng)用層模塊與FW聯(lián)動(dòng)，評(píng)估與策略生成聯(lián)動(dòng)）Web應(yīng)用防火墻策反案例XX市教育局項(xiàng)目亮點(diǎn)：通過與安恒WAF對(duì)比測試，不但WAF功能得到認(rèn)可，而且系統(tǒng)漏洞、應(yīng)用漏洞等IPS差異化功能也得到了充分體現(xiàn)，獲得了用戶認(rèn)可。項(xiàng)目背景：XX教育局新建網(wǎng)站上線，由于考慮到網(wǎng)站為第三方開發(fā)可能存在大量可利用漏洞，同時(shí)為了響應(yīng)政策性要求，特規(guī)劃了對(duì)網(wǎng)站進(jìn)行安全加固。在waf廠商的宣傳和引導(dǎo)下，使得客戶對(duì)于網(wǎng)站防護(hù)第一反應(yīng)就是采購waf產(chǎn)品。因此選取了該區(qū)域著名的專業(yè)waf廠商規(guī)劃該項(xiàng)目。測試驗(yàn)證：“發(fā)現(xiàn)SQL注入的代碼”——SQL注入是web攻擊手段之一，該類攻擊可通過使用簡單的SQL語句形成，簡單易懂，無技術(shù)門檻“XSS攻擊也存在！”——網(wǎng)上泛濫的web攻擊工具的提供，使得實(shí)現(xiàn)跨站腳本攻擊攻擊也變得輕而易舉“IIS發(fā)布服務(wù)器漏洞攻擊”——waf無法防范的漏洞攻擊也是入侵web系統(tǒng)的常用手段“終端IE瀏覽器攻擊”——終端瀏覽器跳板攻擊是“曲線救國”的攻擊方法下一代防火墻與傳統(tǒng)安全設(shè)備有什么區(qū)別？

——UTM統(tǒng)一威脅管理基于端口/協(xié)議的IDL2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報(bào)告基于端口/協(xié)議的IDURL簽名L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報(bào)告URL策略基于端口/協(xié)議的IDIPS簽名L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報(bào)告IPS策略基于端口/協(xié)議的ID防病毒簽名L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報(bào)告防病毒策略防火墻策略IPS解碼器防病毒解碼器&代理L2/L3網(wǎng)絡(luò)、高可用性（HA）、配置管理、報(bào)告UTM：缺乏WEB攻擊防護(hù)功能，多功能開啟性能差，各模塊缺乏聯(lián)動(dòng)；NGAF：解決面向中小型企業(yè)一體化的UTM統(tǒng)一威脅管理系統(tǒng)多功能模塊開啟后性能下降以及應(yīng)用層防護(hù)能力不足的問題。統(tǒng)一威脅管理UTM競爭策略競爭策略以NGAF功能更全面打擊UTM六大特征庫保障更完整安全（漏洞2800+、應(yīng)用2000+、病毒庫10萬、web攻擊2000+、URL+惡意網(wǎng)址10萬、敏感信息），UTM特征少、特征不專業(yè)、更新維護(hù)慢UTM缺乏應(yīng)用層防護(hù)能力，NGAF更適合出口、數(shù)據(jù)中心一體化（web攻擊、信息防泄漏、防篡改、敏感信息防泄漏）UTM模塊割裂無聯(lián)動(dòng)，NGAF模塊智能聯(lián)動(dòng)（模塊間、策略生成）防御未知、簡化運(yùn)維比UTM更優(yōu)的多功能開啟性能模塊堆疊導(dǎo)致應(yīng)用層性能下降（開啟IPS性能、開啟流控性能）通過流控、IPS性能測試引導(dǎo)應(yīng)用層性能以安全防護(hù)效果進(jìn)行引導(dǎo)測試，通過web攻擊工具、自制IPS攻擊工具、blade工具體現(xiàn)防護(hù)效果NGAF比UTM性價(jià)比要高，可應(yīng)用出口+DMZ一體化，可數(shù)據(jù)中心應(yīng)用高性能場景一體化等功能優(yōu)勢(shì)六大特征庫更完整安全：（漏洞2