Sonicwall 차세대방화벽 February 27, 2017
차세대방화벽 이란 (가트너 정의) 기존 게이트웨이 구간에서 방화벽 기능을 기본으로 함 침임방지시스템(IPS) 안티 바이러스 안티 스팸 등 통합위협관리(UTM) 솔루션의 기능에 특정 애플리케이션 인지 및 제어기능까지 갖춘 확장된 개념의 방화벽 이 용어는 2009년 가트너 발표로 보안업계에서 통용되기 시작했습니다.
Sonicwall 솔루션 & 차세대방화벽 Next Generation Firewall Application 인지 & 제어 바이러스월 방화벽 안티 스파이웨어 IPS 안티 스팸 VPN/ SSL VPN Clean wireless 콘텐츠 필터링
SonicWALL 차세대 방화벽 Control 제어 Identify 정의 Categorize 분류 사용자별/그룹별 혼재된 Application 대부분 Port 80(web) 사용자별/그룹별 Policy(정책) 중요 Apps: 대역폭 보장 허용 Apps: 대역폭 관리 Re-Assembly Free Deep Packet Inspection 특허기술 불허 Apps: 차단 Cloud-based Extra-Firewall Intelligence 정책의 가시화된 모니터링 및 Reports
차세대 방화벽 핵심기술 (Deep Packet Inspection) 실시간과 지연에 민감한 어플리케이션들 및 트래픽에 대한 정밀검사 Re-Assembly Free Inspection (RFDPI) Technology: 파일 사이즈 및 세션수 제한 없슴 패킷 도착 순서에 관계 없이 처리 메모리에 데이터 복사 없이 트래픽상의 파일 및 컨텐츠 검사 Benefit: 지연 감소 – 실시간 스캐닝이 우수함 메모리 용량 부족에 의한 파일 크기 및 세션 제한이 없음. 미국특허 7,310,815 - A method and apparatus for data stream analysis and blocking. 기존 아키텍처 차세대 아키텍처 5 5
차세대 방화벽 핵심기술 (다중코어) 96 Core CPU 입력되는 네트워크 트래픽은 할당된 보안 멀티 코어 프로세서에 의해서 부하가 분산됨 기존 아키텍처 차세대 아키텍처 96 Core CPU 6 6
“ Web 2.0 확산 에 따름 수많은 Application ” “Web 2.0, 3.0, 4.0 …. X.0” 7 7 7
“SNS/ Blogs 사용이 Email을 앞섬” World-wide use of the Internet by Category Rank Online Category Reach 1 Search Engines 85.9% 2 General Interest Portals 85.2% 3 Software Manufacturers 73.4% 4 Social Networks/Blogs 66.8% 5 Email 65.1% Source: A Nielsen report on Social Networking’s Global Footprint – March 2009 8
25%의 트래픽은 업무와 관계 없슴 “불필요한 트래픽 증가” 웹 서핑 트위터, Facebook 파일 다운로드 인스턴트 메세지 비디오 스트리밍 오디오 스트리밍 게임 개인 이메일 25%의 트래픽은 업무와 관계 없슴 Burst Media Survey, 2008 대역폭 비용 증가 생산성
안전하게 보이는 Application Adobe PDF Reader Adobe Download Manager 숨겨져 있는 악성 애플리케이션 http://www.zdnet.com/blog/security/another-day-another-adobe-pdf-reader-security-hole/7693 http://glanceworld.com/the-worst-security-flaw-in-adobe-download-manager.html
소셜네트워크에 잠재 하는 Malware 설정: Facebook (소녀시대) 유혹: “videos” 링크 Facebook profiles: 소녀시대 설정: Facebook (소녀시대) 유혹: “videos” 링크 공격: Download of “codec” required to view video 감염: Codec 이 실제 Malware 임 결과: 시스템 감염
소셜네트워킹 = 비즈니스 네트워킹 소셜 네트워킹 비즈니스 네트워킹 VS. 비디오 뉴스 음악 동향 업데이트 사진 이벤트/ 행사 채팅 뉴스 동향 업데이트 이벤트/ 행사 직원관리 채팅 친구 가십(Gossip) 이야기Stories 일정관리 보고서 파트너 관리 거래/ 사업
기존 보안 장비 한계 이러한 정보를 찾아내는데 시간 낭비가 아닌지? QlikView (Business) QuakeLive Emphasize that hunting for ports for these applications is a waste of time for the administrator. Runescape http://www.outpostfirewall.com/forum/archive/index.php/t-5179.html QlikView (Business) QuakeLive Skype 80, 443, 4747 80, 5222, 27960-27999 443, ??? Live Meeting DropBox RuneScape 80, 8057, 443, 5061, 6891-6901 17500/TCP,17500/UDP 43594, 43595, 8010 이러한 정보를 찾아내는데 시간 낭비가 아닌지? 13 Copyright 2010 SonicWALL Inc. All Right Reserved. 13
Application 보호 및 통제 Control 제어 Identify 정의 (App 3,800개) Categorize 분류 (포트/ 프로토콜 기준이 아님) Categorize 분류 Application 기준 Application 카테고리 기준 Destination 기준 사용자 또는 그룹 기준 Control 제어 허용 차단 대역폭 우선 할당 혼재돤 Application 대부분 80 포트(web) 비즈니스 관련 (대역폭 할당) 모니터, 실행, 대처 허용 수준 Application (사용대역 제한) 차단 수준 Application (차단 및 사용 제한 )
SuperMassive E10000 Series 차세대 방화벽 플랫폼
차세대방화벽 Supermassive 특장점 및 주요 성능 주요 스펙 및 성능 Application Intelligence & Control (3,500 이상의 Application) 트래픽 관리 및 가시화(Visualization) 강력한 IPS / 안티멀웨어(Anti-Malware) 암호화된 트래픽 (SSL Traffic) 실시간 분석 현장 업그레이드 (Field Upgrade) 고가용성 (High Availability): A/P, A/A, StateSync, 클러스터링(Clustering) FTP 업로드 차단, 웹메일, SMTP, POS 통제 시그니처 자동 업데이트 Application, 사용자, 그룹별, 시간 기준 사용대역폭 제어 6x10GE SFP+ and16x1GE SFP 96 개 멀티 코어 Processor Cores 40 Gbps 방화벽 30 Gbps Application Control 30 Gbps IPS 10 Gbps Anti-Malware for 4+ Million unique threats 384 개 까지 코아 (Cores) 확장 멀티클러스터링 (방화벽 160Gbps 까지 확장)
차세대 방화벽 vs. IPS/기존방화벽/WAF/ QoS 장비 특징 Application Firewall -3,500 개 이상 정의된 Application 과 주기적 업데이트 및 Application 추가 Multi Gigabit 스캐닝으로 지연 없는 모든 트래픽 스캐닝 Application 에 관계 없이 사용자/ 그룹 /Application 기준으로 제어, 위협요소 스캔, 트래픽 차단등 Software Code 일원화와 단일 장비로 관리의 단순화 및 전력 비용 절감 기존 방화벽 - IP 주소, Port 정책 설정 IPS (침입방지시스템) “Threat” 및 “Attack” 만 Block (100 개 미만 시그니쳐) Application Traffic 불가시성 (P2P & IM 상태 파악 불가능) 제한된 트래픽 모니터링 Negative Policy Web Application Firewall (웹방화벽) HTTP/ HTTPS Method를 이용한 웹서버 공격 방어 (클라이언트와 웹서버 간의 보안) 많은 트래픽 유발 URL Filtering -HTTP/ HTTPS Proxy 에 만 한정 (URL Filtering Data Base 와 한정된 수의 프로토콜 Decoding -QoS, 트래픽 우선 순위, 대역제어 불가 -반드시 방화벽 장비와 함께 사용 요망 QoS -바이러스, 침입공격, 악성코드 유입 Block 불가 (보안장비가 아님) Application Block 불가 (Yutube 를 Block 할 수 있지만 Video Viewing 제어는 불가) 대역 제한 및 보호만 가능 (Block 불가)
대쉬보드 ->리얼타임 모니터
대쉬보드->App Flow 모니터 (Apps Table View)
대쉬보드->App Flow 모니터 (Apps Pie Chart View)
차세대 리포트 Near real-time Granular drill down New look and feel Flexible and Granular near real-time reporting Drill down capabilities UTM Reports look-and-feel Reports Consolidation Near real-time Granular drill down New look and feel Copyright 2011, SonicWALL Inc. All Rights Reserved.
Application 트래픽 분석 Trouble shooting, forensics, app usage reports for customers Copyright 2011, SonicWALL Inc. All Rights Reserved.
사용자 기준 리포트 Web sites visited Client VPN sessions Applications used Bandwidth usage Copyright 2011, SonicWALL Inc. All Rights Reserved.
대쉬보드 Overview Copyright 2011, SonicWALL Inc. All Rights Reserved.
네트워크 구성도 (Network Maps) Copyright 2011, SonicWALL Inc. All Rights Reserved.
상세 트래픽 분석 Copyright 2011, SonicWALL Inc. All Rights Reserved.
실시간 Application Visualization CONFIDENTIAL All Rights Reserved 27
Application 별 트래픽
사용자별 대역폭 점유율 현황
Application 그룹별 Object 생성 IM Streaming 30 CONFIDENTIAL All Rights Reserved
불필요 Application 차단 31 CONFIDENTIAL All Rights Reserved
NetFlow/IPFIX 를 이용한 확장된 리포트 URL Rating Location Application Intrusion Virus Spyware Services Flow Table VPN Tunnel Users URLs Log Interface Statistics Core Utilization Memory Utilization VOIP SPAM Connected Device CONFIDENTIAL All Rights Reserved 32
Top app : WAN 대역 점유 Interest to trace further on “Youtube” 33
Top 사용자 : “Youtube” 34
SonicWALL 제품군 차세대방화벽기능 동일한 Software code 기반 동일한 아키텍처 다양한 성능 600Mbps 업계 최고 성능 차세대방화벽 SuperMassive™ 차세대방화벽기능 동일한 Software code 기반 동일한 아키텍처 다양한 성능 NSA E8510 NSA E8500 NSA E7500 NSA E6500 NSA E 5500 NSA 4500 NSA 3500 NSA 2400 NSA 250M NSA 220 TZ 210 TZ 200 업계 최저 가격 차세대방화벽 TZ 100 600Mbps 100Mbps 1.5Gbps 5Gbps 40Gbps
SonicWALL 차세대방화벽 제품군 SuperMassive™ E10000 Series E-Class NSA Series TZ Series 데이타쎈타, 통신사업자 E10100 E10200 E10400 E10800 엔터프라이즈 NSA E8510 NSA E8500 NSA E7500 NSA E6500 NSA E5500 중소 규모 기업 NSA 4500 NSA 3500 NSA 2400MX NSA 2400 NSA 250M Series NSA 220 Series 지사 및 소호(SOHO) TZ 210 Series TZ 200 Series TZ 100 Series
Sonicwall 보안 서비스- 통신사업자 (ISP) 인터넷 _보안 결합 서비스 TZ200/ NSA240 인터넷 _보안 결합 서비스 TZ200/ NSA240 Canon IT Solutions Total Service Provider 인터넷 _보안 결합 서비스 TZ200/ NSA240 인터넷 _보안 결합 서비스 NSA240/ NAS2400/ NSA3500
관공서 및 대학교 레퍼런스 (2011년도)
차세대방화벽 추천 제품 맵 (NSS Labs ) CONFIDENTIAL All Rights Reserved
Thank you.