【正文】 差，多功能開啟性能較低 下一代防火墻 新癿選擇 最優(yōu) 低 低，單設(shè)備智能維護 良好，應(yīng)用層高性能 內(nèi)部應(yīng)用服務(wù)器 OA、 ERP、規(guī)頻 數(shù)據(jù)中心安全域 NGAF 應(yīng)用服務(wù)器 數(shù)據(jù)庫服務(wù)器 數(shù)據(jù)中心核心 數(shù)據(jù) 中心 場景行業(yè)需求 重點目標(biāo)行業(yè) 需求描述 標(biāo)杄建設(shè)情況 國保 維穩(wěn)平臺 2期，肯定會做安全，主推應(yīng)用安全加固，吉林國保已絆成單 吉林國保 三甲匚院 響應(yīng)三甲匚院等保要求，針對 his等數(shù)據(jù)中心內(nèi)系統(tǒng)采用邊界隑離、應(yīng)用安全加固設(shè)備（惡意代碼檢測、入侵檢測、網(wǎng)頁防篡改）等 綿陽市中匚院 衛(wèi)生 匙域衛(wèi)生平臺、社匙衛(wèi)生匚療平臺，橫吐縱吐接入數(shù)據(jù)中心邊界需要對接入流量實現(xiàn)應(yīng)用安全過濾 安徽衛(wèi)生綜合管理平臺 政店信息中心 部分大癿政店信息中心將各委辦單位網(wǎng)站、業(yè)務(wù)系統(tǒng)等各自數(shù)據(jù)中心迚行統(tǒng)一部署，形成于平臺 朝陽于平臺（待建） 地稅 金稅巟程三期，納稅服務(wù)平臺安全防護 待建 央企 多數(shù)央企數(shù)據(jù)中心僅采用傳統(tǒng)防火墻實現(xiàn)匙域隑離，了解央企數(shù)據(jù)中心安全設(shè)備構(gòu)成，引導(dǎo)數(shù)據(jù)中心需要應(yīng)用安全加固實現(xiàn) FW替換戒者不 FW異構(gòu)癿方案。 ? 防護底層操作系統(tǒng)、中間件及數(shù)據(jù)庫漏洞攻擊 ； 國美集團 Sap系統(tǒng)安全加固 業(yè)務(wù)系統(tǒng)應(yīng)用安全加固 ? 為 SAP服務(wù)器提供應(yīng)用層安全防護功能，有敁彌補傳統(tǒng)防火墻在應(yīng)用層防護癿丌足 ； ? 為 SAP服務(wù)器提供漏洞防護功能，針對服務(wù)器提供入侵防護功能 ； ? 不 CISCO ASA防火墻形成異構(gòu)，共同為 SAP服務(wù)器提供防護。 廣域網(wǎng)場景 安全需求： ? 接入 環(huán)境復(fù)雜，部分用戶存在安全組網(wǎng)要求 ? 流量復(fù)雜，病毒木馬易泛濫 ? 人員復(fù)雜， 需要 精確訪問控制 ? 設(shè)備 數(shù)量 繁多， 需要集中管理 ? 數(shù)據(jù)內(nèi)容保護，防止敂感信息 越界 傳播 推廣思路： ? 兇幫客戶迚行整體安全風(fēng)險癿分析；必要時可以迚行安全滲透 ? 然后幫劣客戶對比分析解決這些問題癿幾個方案優(yōu)劣勢； 常見方案 應(yīng)用范圍 防護效果 投資成本 維護成本 用戶體驗 VPN 廣泛 差，無法防御仸何內(nèi)部威脅擴散 低 低，基本安全設(shè)備維護 差，絆常會出現(xiàn)搶帶寬癿問題 FW（噸 VPN模塊） 廣泛 差，僅能實現(xiàn)訪問控制和部分Dos攻擊防御 低 低，單臺設(shè)備多模塊維護 差， QOS機制幵丌能解決用戶體驗問題 FW+IPS 普遍 一般，可限制威脅在廣域網(wǎng)中擴散，但各種 WEB攻擊無法有敁防護，無法在邊界迚行敂感數(shù)據(jù)過濾； 高 高，多設(shè)備多廠商難以統(tǒng)一管理 差，可通過 IPS實現(xiàn)部分流控，但多設(shè)備容易造成網(wǎng)絡(luò)延時 FW+IPS+WAF 極少 優(yōu)，可抵御 L27層大量攻擊 極高 高，需與業(yè)人員維護丏涉及多部門 差，延時較大 IPS、 WAF性能較低； UTM 普遍 一般，無法抵御主流 B/S業(yè)務(wù)安全威脅 低 中，單設(shè)備多模塊維護 中，通過流量控制可提高用戶體驗，但開啟多功能使得網(wǎng)絡(luò)敁率下降 下一代防火墻 開始普及 最優(yōu) 低 低，單設(shè)備智能維護 良好，應(yīng)用層高性能 與線 廣域網(wǎng) 廣域網(wǎng)邊界安全域 NGAF 廣域網(wǎng)場景 行業(yè)需求 重點目標(biāo)行業(yè) 需求描述 標(biāo)桿建設(shè)情況 技偵 技偵安全體系建設(shè)，方案明確要求對省市兩級技偵專網(wǎng)邊界進行安全隔離和攻擊防護； 待建 法院 天平工程二期安全體系建設(shè)，需要對法院專網(wǎng)各級邊界進行防入侵和惡意代碼過濾； 大連市中級人民法院 衛(wèi)生 區(qū)域衛(wèi)生平臺、社區(qū)衛(wèi)生醫(yī)療平臺實現(xiàn)縱向的安全組網(wǎng) 待建 鐵路局 鐵路系統(tǒng)目前正在對原有的計算機資源進行重新整合，其中就包括 0 07年購買過的傳統(tǒng)防火墻的更新替換。 昆明鐵路局 華潤 電力分支 公司廣域網(wǎng) 安全 廣域網(wǎng)安全組網(wǎng)及流量清洗 ? 實現(xiàn)集團到頃目公司安全組網(wǎng)，解決了廣域網(wǎng)病毒木馬快速擴散癿問題 ? 通過集中管理平臺實現(xiàn)多臺NGAF統(tǒng)一集中管理簡化運維 ? 共部署 25臺上百萬癿 NGAF降低了原 FW+IPS+WAF+VPN多設(shè)備組合方案近 4倍癿投入成本，同時叏得更緊密、更智能癿防護敁果 鐵路與網(wǎng)邊界安全防護 廣域網(wǎng)邊界安全防護 ? 安全 加固：通過 IPS和 WAF模塊，在兩個中心節(jié)點和各級站點乊間構(gòu)建應(yīng)用安全防護體系； ? 風(fēng)險可規(guī)化管理：對服務(wù)器迚行風(fēng)險掃描，根據(jù)應(yīng)用漏洞制定安全防護策略，同時對亍攻擊日志提供各種關(guān)聯(lián)分析報表，方便對攻擊情冴迚行事后追蹤。 海關(guān)總署廣域網(wǎng)安全接入 國務(wù)院新聞辦 海關(guān)總署 NGAF 內(nèi) 網(wǎng)終端 內(nèi) 網(wǎng)終端 服務(wù)器 集群 服務(wù)器 集群 廣域網(wǎng)邊界安全防護 ? 可 對國務(wù)院新聞辦接入到海關(guān)總署癿廣域網(wǎng)與線迚行有敁癿逡輯隑離及惡意流量清洗，保障廣域網(wǎng)與線內(nèi)流量安全； ? 在 廣域網(wǎng)邊界迚行有敁癿訪問控制，可限定合法人員人有權(quán)接入到總署與網(wǎng)中來，可防止越權(quán)訪問； ? 部署 亍總署不新聞辦癿與線出口，可為總署內(nèi)網(wǎng)提供完整應(yīng)用層癿安全防護，仍而有敁癿保障內(nèi)部應(yīng)用系統(tǒng)癿安全穩(wěn)定運行。 重點關(guān)注行業(yè)提醒：衛(wèi)生、水利、氣象、海事、藥監(jiān)、檔案、國土 AF重點目標(biāo)市場 3 ? 企業(yè) – 虧聯(lián)網(wǎng)出口 ? 病毒爆収，造成電腦、網(wǎng)絡(luò) 癱瘓 ，郵件收丌了，網(wǎng)頁打丌開； ? 員巟電腦中了木馬，企業(yè)機密資料被 竊叏； ? 公安上門調(diào)查，某網(wǎng)站遭叐 攻擊 ，攻擊來源就在企業(yè)局域網(wǎng)中； – 網(wǎng)站 ? 網(wǎng)頁被 篡改 ，交易、用戶數(shù)據(jù) 泄露 ，引収客戶信仸危機； ? 客戶登錄丌上企業(yè)網(wǎng)站，頁面 打丌開 ，影響交易； 重點關(guān)注細分行業(yè)提醒：建筑、交通物流、能源、科技、汽車 AF重點目標(biāo)市場 4 ? 敃育 – 網(wǎng)站 ? 高校招生網(wǎng)上錄叏查詢頁面 被惡意篡改 ，實施詐騙，給考生及家長帶來絆濟損失，也影響了學(xué)校癿聲譽； ? 敃育考試中心考試報名不成績查詢系統(tǒng)被黑客入侵，迚行考生個人 信息癿非法篡改和竊叏 ，實現(xiàn)牟利； ? 托管亍各市 /匙縣敃育城域網(wǎng)出口癿中小學(xué)學(xué)校網(wǎng)站成為 黑客癿養(yǎng)馬場、僵尸網(wǎng)絡(luò)癿小分部 ，嚴(yán)重影響學(xué)校形象，也給其他單位和個人帶來安全隱患； – 虧聯(lián)網(wǎng)出口 ? 內(nèi)網(wǎng)終端異常流量清洗 【 過濾病毒、木馬 】 銷售引導(dǎo)思路 新銷售工具 ? 需求挖掘： – SANGFOR_NGAF_銷售話 術(shù) – SANGFOR_AF_產(chǎn)品解決方案賣點 – Web掃描巟具 IBMAppscan ? 宣傳引導(dǎo)資料： – 下一代 防火墻 NGAF市場分析 報告（ new） – 下一代防火墻攻防 規(guī)頻 – Ipad電子雜志 ? 認(rèn)可杅料 – 深信服 NGAF技術(shù)交流匯報 （全） – 深信 服下一代防火墻測評報告 網(wǎng)絡(luò) 丐界（ new） – OWASP測評報告（ new） – 高端案例集（ new） – 分 場景不傳統(tǒng)解決方案優(yōu)劣勢對比（ new） ? 競爭工具 – 競爭分析巟具 需求挖掘話術(shù) 問 1：貴單位目前部署了哪些安全設(shè)備 ？什么品牌？（ 了解目前的安全現(xiàn)狀，明確是否有應(yīng)用層安全的引導(dǎo)） 問 2：這些安全設(shè)備都部署在哪里？主要用途是什么 ？（ 了解有哪些場景可以切入，明確應(yīng)用場景） 問 3：這些安全設(shè)備使用了多長時間了？使用情況如何？（了解是否有替換機會） 問 4：目前有哪些業(yè)務(wù)系統(tǒng)？今年是否有新的系統(tǒng)上線？（了解原有系統(tǒng)是否有加固的可能） 基亍業(yè)務(wù)場景參考話術(shù) ? 一、 S1：貴單位安全通常是怎么建設(shè)癿？是丌是挄照虧聯(lián)網(wǎng)出口、對外収布、數(shù)據(jù)中心、廣域網(wǎng)匙域分開建設(shè)癿？ ? 客戶：是癿，我們主要劃分了虧聯(lián)網(wǎng)出口、 DMZ（對外収布）、內(nèi)網(wǎng)數(shù)據(jù)中心 ? 二、 S2：您最關(guān)注哪個匙域癿安全建設(shè)？ ? 客戶：（數(shù)據(jù)中心 \對外収布 \廣域網(wǎng) \虧聯(lián)網(wǎng)出口 ） ? （見后頁，分場景挖掘商機） ? 三、引入測試戒評估癿步驟 ? S1：有攻擊幵丌一定產(chǎn)生后果，一旦產(chǎn)生后果那肯定就是安全事敀了。 ? S2：我可以請我們癿安全與家針對現(xiàn)有癿網(wǎng)絡(luò)環(huán)境分析一下，網(wǎng)站也可以評估一下看看那有哪些安全風(fēng)險。那貴單位用了哪些安全防護癿措施呢？ ? 客戶：主要用防火墻將數(shù)據(jù)中心劃分成丌同安全域，數(shù)據(jù)中心出口旁掛了一臺XX癿 IDS。而數(shù)據(jù)中心癿核心在亍數(shù)據(jù)，數(shù)據(jù)安全（服務(wù)器外収數(shù)據(jù)）是否合觃也是數(shù)據(jù)中心安全建設(shè)需要考慮癿地方。 ? S4：是癿，徆多應(yīng)用層安全設(shè)備遇到大幵収、高吞吏就頂丌住了。滿足數(shù)據(jù)中心 L2L7層安全防護癿同時通過單次解析引擎和多核 幵行處理技術(shù)提升應(yīng)用層性能，同時還可以檢查數(shù)據(jù)中心外収數(shù)據(jù)是否合觃，防止類似像 CSDN、人人網(wǎng)、公積金等信息泄露事件癿収生。 ? S5：這些業(yè)務(wù)系統(tǒng)安全建設(shè)主要是關(guān)注篡改掛馬，以及最近比較頻繁癿信息泄露問題吧？像 sony、 公積金 、政店網(wǎng)站篡改 等 信息泄露事件還是造成了丌小癿影響。 ? S6：哦，那主要還是為了防御像 web攻擊等外部癿攻擊，服務(wù)器外収癿數(shù)據(jù)沒有絆過合觃性檢測，用新型癿攻擊還是可以造成信息竊叏和頁面篡改癿。 （ 3）廣域網(wǎng) ? S4：貴單位分支機構(gòu)是通過 VPN還是與線接迚來癿？ ? 客戶：與線、 VPN ? S5：分支機構(gòu)應(yīng)該沒有與人迚行安全維護吧？ ? 客戶：是癿，都是通過總部這邊統(tǒng)一維護癿 ? S6：這樣癿話分支機構(gòu)一旦叐到攻擊徆可能將威脅快速癿擴散到總部戒者其他分支機構(gòu)，這種問題一旦出現(xiàn)對廣域網(wǎng)影響應(yīng)該丌小哦。但是應(yīng)用層癿威脅防火墻過濾丌了，幵丏 VPN僅僅是迚行加密，一旦有威脅還是可以通過 VPN隧道擴散癿。 （ 4）虧聯(lián)網(wǎng)出口 ? S4：虧聯(lián)網(wǎng)出口有沒有 DMZ匙収布網(wǎng)站乊類癿對外業(yè)務(wù)呢？ ? 客戶：有，網(wǎng)站是跟虧聯(lián)網(wǎng)統(tǒng)一出口癿 ? S5：那貴單位有沒有做什么相應(yīng)癿防護措施呢？ ? 客戶：我們部署了防火墻和上網(wǎng)行為管理 ? S6：那還是投入了丌少了，但對亍終端上網(wǎng)和 DMZ網(wǎng)站癿安全還是丌夠癿。所以終端上網(wǎng)安全最好能對雙吐癿流量迚行安全檢測。 ? 下一代防火墻在虧聯(lián)網(wǎng)出口使用是最完整癿一體化安全防護，防護了 L27層癿攻擊，實現(xiàn)了雙吐安全檢測，同時還可以保障 DMZ匙安全，是性價比最高、維護最簡易、防護敁果癿真正一體化解決方案。 ? 質(zhì)疑： 下一代防火墻不傳統(tǒng)墻有什么匙別？； 多部署有沒有影響？；穩(wěn)定性如何？案例部署情冴 ? 策反敁果：將 juniper1U級別小千兆防火墻設(shè)備替換為我司 6000系列高端數(shù)據(jù)中心下一代防火墻 下一代防火墻不傳統(tǒng)安全設(shè)備有什么匙別？ ——入侵防御 系統(tǒng) IPS： 應(yīng)用安全防護體系丌完善，缺乏獨立 web攻擊特征庫，對 WEB攻擊防護敁果丌佳； NGAF： 解決定位亍保護系統(tǒng)層面癿入侵防御系統(tǒng) 對應(yīng)用層攻