Firewall nowej generacji

Transkrypt

1 Firewall nowej generacji Informacje o produkcie Firewall nowej generacji SANGFOR został zaprojektowany z myślą o kontroli, zapobieganiu włamaniom i bezpieczeństwu sieci, zapewnia niesamowicie szczegółowy wgląd w użytkowników, aplikację i zawartość. SANGFOR NGFW zapewnia kompletną ochronę od warstwy 2 do 7, z prędkością kilku gigabitów, związanych lub nie, w odróżnieniu od tradycyjnych firewalli, co czyni go idealnym wyborem dla dostawców usług, firm, usługodawców finansowych i sektora publicznego. Ataki sieciowe stają się dzisiaj coraz bardziej wyrafinowane. Tradycyjne firewalle nie są skuteczne w radzeniu sobie z bieżącymi i nowymi zagrożeniami. Jako platform bezpieczeństwa sieci, SANGFOR NGFW egzekwuje dwukierunkową politykę bezpieczeństawa wobec użytkowników,, adresów URL, pól danych i treści. W odróżnieniu od przestarzałej polityki opartej na portach i protokołach, podejście SANGFOR NGFW pozwala organizacjom IT lepiej bronić się przed coraz bardziej wyrafinowanymi zagrożeniami sieciowymi w celu dokładnej i efektywnej identyfikacji i blokowania niewłaściwego użycia. SANGFOR NGFW jest zaprojektowany tak, aby kompleksowo bronić przed atakami w warstwach od 2 do 7 z naciskiem na warstwę. Rosnąca liczba ataków w warstwie staje się coraz większym problemem i powoduje na całym świecie poważne wycieki informacji i szkody strukturalne. Wysoce skalowalna i dająca się łatwo rozbudować architektura sprzętowa i programowa SANGFOR zapewnia wysoką wydajność przetwarzania w warstwie. Wykorzystując swą innowacyjną technologię jednoprzebiegowej analizy algorytmów i wielordzeniowego przetwarzania równoległego SANGFOR NGFW zapewnia przepustowość 10G z opóźnieniem liczonym w mikrosekundach podczas pracy w wielofunkcyjnym trybie ochrony.

2 Definicja firewalla nowej generacji Cechy firewalla nowej generacji zostały zdefiniowane przez firmę Gartner na podstawie wymagań klientów, głębokiego zrozumienia branży zabezpieczeń i wizji trendów rynku zabezpieczeń. Z ponad 10 latami doświadczenia w dziedzinie innowacji technologicznych, zgromadzoną wiedzą i doświadczeniem zdobytym podczas obsługi naszych klientów w branży bezpieczeństwa sieciowego, SANGFOR uważa, że NGFW powinien charakteryzować się następującymi cechami: Ochrona przed atakami w warstwie Ponieważ 75% wszystkich ataków czy zagrożeń wybiera za cel warstwę, firewall nowej generacji powinien mieć możliwość pełnego podglądu stosu, powinien być w stanie identyfikować i weryfikować protokoły i zawartość warstwy, powinien zapewniać kompleksowe rozwiązanie chroniące przed zagrożeniami sieciowymi, zwłaszcza w warstwie. Tradycyjne urządzenia zabezpieczające nie radzą sobie z zagrożeniami w warstwie z powodu ich skupienia na warstwie sieciowej. Dwukierunkowa kontrola zawartości W odróżnieniu od tradycyjnych firewalli, które skupiają sie głównie na zagrożeniach z zewnątrz, NGFW konsoliduje zabezpieczenia z funkcją dwukierunkowej kontroli zawartości. Wychodzące dane wysyłane przez serwer również są monitorowane. Pozwala to na wykrycie i powstrzymanie przed wyciekiem ważnych informacji, ingerencją w strony internetowe i innymi zagrożeniami. Tradycyjne możliwości Firewalla Chociaż dominujące stały się zagrożenia w warstwie, nie należy lekceważyć tradycyjnych zagrożeń w warstwie sieciowej, ponieważ dalej mogą one spowodować poważne szkody. NGFW zapewnia tradycyjne funkcje ochrony, takie jak: Stateful FW, IPS, i VPN, aby zapewnić naszym klientom wyższy zwrot z inwestycji i obniżyć całkowity koszt posiadania w długim okresie czasu. Wysoka wydajność warstwy W odróżnieniu od tradycyjnych urządzeń UTM, których wydajność znacząco spada w trybie wielofunkcyjnym, kompleksowe podejście SANGFOR zapewnia przepustowość 10G z niskim opóźnieniem na poziomie mikrosekund podczas pracy w trybie wielofunkcyjnym. Uwierzytalnianie tysięcy Ochrona przed atakami OS, DDOS Ulepszona ochrona sieciowa Kontrola z pamięcią stanu Ochrona przed atakami SQL IPS oparte na aplikacjach Ochrona przed atakami CC Filtrowanie trojanów i złośliwego Ochrona przed atakami w warstwie Tradycyjne możliwości ochrony Kontrola dostępu Zintegrowany IPsec VPN Router & NAT oprogramowania Algorytm jednoprzebiegowej analizy Ochrona przed wyciekiem danych Filtrowanie nieznanych URL Ukrywanie informacji o aplikacjach Ochrona przed zmianami stron internetowych Dwukierunkowa kontrola zawartości Wysoka wydajność warstwy Wielordzeniowe przetwarzanie równoległe Przepustowość 10G Stabilna praca Małe opóźnienie

3 Ochrona przed atakami w warstwie L7 i wyżej: Warstwa danych IL5-L7: warstwa Zawartość biznesowa Sieciowa atchitektura Architektura usług sieciowych System operacyjny Wysokie ryzyko, wymaga większej ochrony Wyciek cennych informacji Ingerencja w strony internetowe Luka w zabezpieczeniach Iniekcja SQL Skrypty krzyżowe Skanowanie /serwerów Ataki na słabe hasła DDoS warstwy Wirusy, Robaki, Trojany L4: warstwa transportowa L3: warstwa sieciowa Stos protokołów TCP/IP Kontrola dostępu, Anomalie protokołowe, DDoS warstwy sieciowej L2: warstwa łącza Interfejs sieci Oszustwa ARP, sztorm rozgłoszeniowy L1: warstwa fizyczna Kabel sieciowy Uszkodzenia fizyczne Ulepszona ochrona przed atakiem sieciowym Dzięki połączeniu statycznego sprawdzania poprawności i reguły filtrowania z dynamiczną inteligencją wobec ataków hakerów, kompleksowe podejście SANGFOR NGFW doskonale sprawdza się w ochronie przeciwko 10 głównymi zagrożeniami bezpieczeństwa (wg OWASP), jak i przed zwykłymi atakim sieciowymi. System WEB całkowicie chroni przed iniekcją SQL, skryptami krzyżowymi XSS, fałszerstwem zapytań pomiędzy lokacjami, złośliwym oprogramowaniem, trojanami i innymi zagrożeniami. Oparty na dogłębny system ochrony przed włamaniami Wykorzystując unikalny mechanizm wykrywania sześciu zagrożeń SANGFOR (wykrywanie ataków opartych na podpisach, ataków specjalnych, analiza korelacyjna, wykrywanie nienormalnego ruchu plików, nienormalnych protokołów, głęboka analiza treści), NGFW pozwala organizacjom IT na konsolidację systemów bezpieczeństwa oraz identyfikację ataków i naruszeń bezpieczeństwa wysokiego ryzyka, takich jak: przepełnianie bufora, atak na miejsca wrażliwe, nienormalne protokoły, robaki, trojany, programy typu tylne drzwi, atak programów DOS/DDOS, skanowanie, spyware i inne rodzaje zagrożeń. Kompleksowe wykrywanie wirusów SANGFOR NGFW pozwala organizacjom IT na wykrywanie wirusów pochodzących z dobrze znanych protokołów (HTTP / FTP / SMTP / POP3) i głęboko ukrytych w spakowanych plikach (ZIP / RAR / GZIP), aby zagwarantować szybke i precyzjne kontrdziałanie. Dzięki wykorzystaniu bardzo efektywnej technologi skanowania strumieniowego, SANGFOR NGFW zapewnia niezwykłą wydajność w warstwie, co znacząco odróżnia go od metod tradycyjnych, które często stają się wąskim gardłem całej sieci. Ochrona przed atakami DOS/DDOS Nieprawidłowy przepływ danych i ataki DOS/DDOS są wykrywane i filtrowane przez NGFW SANGFOR, co zapewnia bezpieczeństwo i stabilność serwera. NGFW SANGFOR zapewnia ochronę przeciwko atakom DOS/DDOS od warstwy 2 do 7, oraz zapewnia blokadę wszystkich ataków DOS opartych na pakietach danych i protokołach, IP, TCP i HTTP. Baza danych aktualizowana przez wyspecjalizowany zespół badań i rozwoju Kompleksowa baza danych podpisów SANGFOR NGFW zawierająca ponad 3000 luk, wirusów / trojnów / złośliwego oprogramowania, oraz ponad 2000 zagrożeń sieciowych, zapewnia organizacjom IT niesamowitą zdolność do ochrony przed zagrożeniami w różnych warstwach. Baza danych SANGFOR współpracuje z MAPP (Microsof Active Protections Program), posiada certyfikat zgodności z CVE (Common Vulnerabilities and Exposures). SANGFOR zapewnia najwyższą jakość produktów i usług.

4 Tradycyjne możliwości Firewalla Pełne możliwości Firewalla Elastyczne sposoby wdrażania Klienci mogą migrować z tradycyjnych zapór do SANGFOR NGFW bez jakiegokolwiek narażania funkcjonowania sieci, takich jak ACL, NAT, router, VLAN. Te funkcje są w pełni obsługiwane przez NGFW. Bezproblemowe wdrożenie i gładkie zarządzanie już od pierwszego dnia. SANGFOR NGFW obsługuje kilka trybów wdrażania, takich jak bramka, most, obejście, wirtualny i hybrydowy kabel oraz przyśpieszanie wielu połączeń i funkcja asymetrycznego routingu, co zapewnia dobrą adaptacje do złożonych środowisk sieciowych. Zintegrowana funkcja IPsec VPN Wykorzystując zintegrowaną funkcję IPsec VPN SANGFOR, można zbudować bezpieczniejszą i efektywniejszą sieć szerokiego zasięgu, o wyższym wsółczynniku ROI. Inteligentna, międzymodułowa strategia ochrony Inteligentna, międzymodułowa strategia ochrony może zostać wygenerowana automatycznie przez aktywną technologię ochronną. Dla przykładu, Firewall może wygenerować nową regułę firewalla, aby blokować konkretne IP jeżeli niebezpieczne dane czy ataki są wykrywane przez inne moduły jako pochodzące z tego adresu. Dobrze sprawdza się to przeciwko automatycznym atakom czy narzędziom i zapewnia bezpieczeństwo systemu przy łatwej konserwacji i zarządzaniu. Inteligentny system ochrony bezpieczeństwa sieci Zabezpieczenia dostępu Bezpieczeństwo sieci Bezpieczeństwo Bezpieczeństwo biznesowe Trasa Sieć ACL Kontrola dostępu Zwiększone bezpieczeństwo sieci IPS oparty na aplikacjach Ochrona SQL Anty atak CC Informacje poufne Autoryzacja użytkownika Filtrowanie przepływu Anty wirus, Anty trojan ADS strony internetowej Integracja domeny AD BM oparte na aplikacjach DOS/DDOS warstwy Przesyłanie danych Web shell Filtrowanie URL Złośliwe wtyczki Algorytm jednokrotnej analizy Strategia powiązania Skanowanie portów/serwerów Skanowanie słabych haseł Ocena ryzyka serwerów Raport bezpieczeństwa serwera / terminala Raport statyczny przepływu/ lokacji/ Alarm SMS/ Analiza i audyt bezpieczeństwa

5 Dwukierunkowa kontrola zawartości Proces skanowania Zapobiega skanowaniu portów/serwerów Zapobiega skanowaniu słabych punktów Ochrona słabych haseł Ochrona przed atakami siłowymi Ochrona rdzenia URL Ochrona struktur stron przed skanowaniem Ochrona przed Web Crawlerami Sieciowy serwer Filtrowanie wychodzącej zawartości serwera Ochrona stron internetowych: Statyczna, Dynamiczna ochrona przed wyciekiem ważnych informacji: ID Karty, Numer karty kredytowej, dane finansowe... Proces ataku Proces niszczenia Zwiększona ochrona sieci - Ochrona przed iniekcją SQL - Ochrona przed iniekcją polecenia OS - Atak XSS, atak CSRF na podstawie IPS - Ochrona luk w zabezpieczeniach serwera - Ochrona podstawowych luk w systemie Atak DOS Atak DOS w warstwie Atak CC Kontrola władzy Filtrowanie przesyłania plików Exe Filtrowanie przesyłania wirusów / trojanów Zapobieganie przepływu danych webshell Użytkownicy Hakerzy Technologia głębokiego wykrywania zawartości NGAF: analizuje każdą komendę i skanuje zawartość w poszukiwaniu ważnych informacji, zagrożeń Cechy: - Dane są kopiowane do warstwy - Przywraca zawartość danych i realizuje głęboką detekcje zawartości - Rozumie protokół HTTP, chroni przed ukrytymi atakami Ochrona stron internetowych przed manipulacją Ochrona stron internetowych przed manipulacją, jest podfunkcją NGFW, stosującą podejście późniejszego wyrównywania do ochrony strony internetowej. Oznacza to, że nawet jeśli haker obejdzie system bezpieczeństwa i naruszy stronę internetową, jej zmodyfikowana wersja nie zostanie dostarczona do użytkowników końcowych. Dzięki tej metodzie, zniszczenia i straty finansowe zostają zmniejszone do minimum. W miedzyczasie powiadomiony zostanie administrator dzięki usłudze alarmów NGFW, co pozwoli mu jak najszybciej zająć się tą sprawą. Co więcej, NGFW zapewnia funkcję przekierowywania, która skieruje użytkowników końcowych do serwera zapasowego, dzięki czemu zostanie zachowana ciągłość operacji biznesowych. W porównaniu do tradycyjnego podejścia polegającego na instalacji oprogramowania zapobiegającego manipulacji stronami internetowymi, rozwiązanie SANGFOR NGFW jest bardziej przyjazne użytkownikowi i łatwiejsze w utrzymaniu, nie wymaga żadnych wtyczek i nie wpływa w żaden sposób na wydajność serwera. Definiowalna przez użytkownika ochrona przed utratą ważnych danych SANGFOR NGFW może chronic ważne dane, wskazane przez użytkownika, przed wyciekiem. SANGFOR NGFW może zidentyfikować ważne dane, zablokować i powiadomić użytkownika różnymi sposobami (sms, ...), zapewniając kompletną ochronę takim danym jak informacje o użytkownikach / kontach / kluczach kodowych MD5 / kartach bankowych / numerach ID / rachunkach ubezpieczeń społecznych / kartach kredytowych / numerach telefonów komórkowych. Protokół i ukrywanie treści Automatyczne odpowiedzi od stron internetowych, FTP, maili czy innych serwerów, które mogą okazać się przydatne dla hakerów przy przeprowadzaniu ataku, mogą zostać ukrete przez NGFW. Na przykład ukryje błąd strony HTTP i informacje FTP. Zwiększona ochrona uwierzytelniania użytkownika podczas logowania NGFW jest elastyczne i pozwala przypisywać różne poziomy priorytetów bezpieczeństwa różnym stronom i usługom zdefiniowanym przez użytkownika. Podczas kożystania ze stron i usług o wysokim priorytecie, egzekwowane są surowe zasady uwierzytelniania, takie jak token SMS, lub inne dwu czynnikowe uwierzytelnianie. Oznacza to, że hakerzy nie uzyskają dostępu do ważnych danych czy stron, nawet jezeli zdobędą hasło i nazwę użytkownika.

6 Wysoka wydajność warstwy wydajność warstwa zasad warstwa sieci sprzęt sieciowy wej./wyj. przetwarzanie równoległe Wielordzeniowe przetwarzanie równoległe Zaawansowana architektura sprzętowa przetwarzająca dane równolegle w wielu rdzeniach, pozwala na wysoko wydajne przetwarzanie danych w warstwie, dzięki czemu znacznie przewyższa tradycyjną architekturę NP czy ASIC. Co więcej, odblokowana technologia przetwarzania równoległego jest implementowana do procesu przetwarzania danych, tworząc pradziwe wielordzeniowe przetwarzanie równoległe i znacząco zwiększając wydajność systemu. Algorytm jednoprzebiegowej analizy W przeciwieństwie do UTM, NGFW znacznie zwiększa wydajność przetwarzania danych w warstwie, dzięki zawansowanemu algorytmowi jednoprzebiegowej analizy. Liczne zagrożenia są wykrywane podczas jednokrotnej analizy bez ciągłego rozpakowywania i pakowania wiadomości, jak dzieje się to w UTM. Rozrzucona technologia skanowania Wykorzystując nagromadzone przez lata technologię uwierzytelniania, wszystkie pakiety przechodzące przez NGFW zostaną oznaczone własnym protokołem SANGFOR opdczas procesu przetwarzania ich w rdzeniu. Dzięki temu protokołowi zagrożenia mogą być identyfikowane bardziej dokładnie i wydajniej podczas procesu wykrywania zawartości. Na przykład, luka związana z serwerem FTP, która istnieje w przepływie danych HTTP, nie może zagrozić serwerom. Jest to wskazówka do optymalizacji algorytmu i zwiększenia wydajności.

7 Scenariusze Strefa dostępu internetu Całość zabezpieczeń dostępu do internet. Strefa DMZ Kompleksowa ochrona strony internetowej. Ochrona strony przed manipulacją Ochrona ważnych danych biznesowych przed wyciekiem. Strefa bezpieczeństwa centrum danych Całość zabezpieczeń dostępu do internetu. Wzmocnienia zabezpieczeń dla rdzenia systemu. Ochrona informacji poufnych przed wyciekiem. Strefa bezpieczeństwa brzegowego WAN Filtrowanie przepływu danych WAN. Ochrona bezpieczeństwa brzegowego WAN.

8 Założona w roku 2000, firma SANGFOR postawiła sobie za cel tworzenie wysoko wydajnych, niezawodnych i bezpiecznych urządzeń sieciowych, które pozwolą na szybki rozwój naszych klientów, przy jednczesnym obniżeniu wskaźnika całkowitego kosztu posiadania (TCO). Wyłączny Dystrybutor Sangfor Technologies w Polsce: IT FORCE SP. z o.o. ul. Fredry 2, Kraków, tel