Hillstone Next-Generation Firewall E-Series

Hillstone Next-Generation Firewall E-Series
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

1 2 3 4 Hillstone E-Series 개요 Hillstone E-Series 특장점
Here is the agenda for today’s presentation. We will start by showing you how our products are positioned and then we will drill down into each product family and provide more technical details. So let’s start at number one on this slide and look at our product portfolio. 3 Hillstone E-Series 주요 기능 4 Product Performance © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2006년 설립 , 50,000+ 제품 납품 17 개국에 10,000+ 고객 보유 : 금융, 통신, 교육
Silicon Valley World Class Team 실리콘 벨리 투자자 Beijing Dubai Netscreen, Cisco, Juniper, intel 출신의 능력있는 지도부 Silver Lake Partners Northern Light Venture Capital Singapore Latin America 2006년 설립 , 50,000+ 제품 납품 17 개국에 10,000+ 고객 보유 : 금융, 통신, 교육 세계적으로 600+ 직원, 60% 이상의 기술진 힐스톤네트웍스는 2006년 넷스크린, 시스코, 주니퍼, 인텔의 엔지니어들이 주축이 되어 미국 실리콘밸리에서 설립되었습니다. 17개국에서 금융, 통신, 교육 등 다양한 분야의 1만개 이상의 고객을 확보하고 있으며, 600명이상의 직원 중 60%가 엔지니어로 구성된 보안 전문회사 입니다. 연매출 5,000만달러(약 550억)

Block Rate in Static test
Labs Recommended NGFW with the Best Value! NSS Labs은 보안제품 평가 전문기관입느다. 가장 큰 특징은 실제 측정 데이터 값으로 평가한다는 점입니다. 힐스톤은 NSS Labs 테스트에서 최상의 등급인 Recommended 획득 하였으며 지표에서 볼 수 있듯이 가격대비 보안성능에서 가장 높은 위치에 자리잡고 있습니다. 실제 측정 데이터 값으로 평가하기 때문에, 보안제품 도입 시 가장 선호하는 자료입니다. 99.60% Block Rate in Static test 98.32% Block Rate in Live Test

OK, let’s move deeper into our hardware based Next Generation Firewalls. So we will look at number two on our agenda. 3 Hillstone E-Series 주요 기능 4 Product Performance © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Hillstone E-Series - 가치 제안 포트, 프로토콜 또는 회피 동작에 관계없이 어플리케이션 식별
IP 주소에 관계없이 사용자식별 위험이 높은 어플리케이션과 관련된 잠재적인 위협을 식별 및 방지 어플리케이션, 사용자 및 기능에 대한 정책 기반 제어 정책 기반 라우팅 및 대역폭 관리 또한 강력한 가치 제안이 있습니다. 응용 프로그램에서 사용하는 포트, 프로토콜 또는 회피 행동에 관계없이 응용 프로그램을 식별 할 수 있습니다. 예를 들어, 여러 인기 애플리케이션 포트 홉 - 다시 말하면 그서로 다른 포트를 사용하거나 포트가 사용중인 경우 임의의 포트로 이동합니다.

Hillstone E-Series - 가시성과 제어 ✔ ✔ ✖ Viruses Worms Spyware Trojans
중요한 어플리케이션 대역폭 우선 사용 ✔ 사용자/그룹 정책 어플리케이션 대역폭 관리 ✔ 어플리케이션의 제어는 현재 차세대 방화벽의 필수적인 기능입니다. 힐스톤 방화벽은 어플리케이션의 트래픽 사용량을 다양한 형태로 보여주며, 악성코드의 차단, 어플리케이션의 상세제어가 가능합니다. 차세대 방화벽의 기능에 대해 생각 할 때 반드시 사용자와 어플리케이션에 대한 가시성과 제어 기능을 제공되어야 합니다. 이것이 중요한 이유는 많은 어플리케이션이 악성 코드에 감염되어 있다는 것입니다. 사실, 모든 악성 코드의 약 85 %는 어플리케이션을 통해 기업에 들어갑니다. 차세대 방화벽의 작업은 이러한 어플리케이션을 검사하고 악성 코드에 감염되어있는 어플리케이션을 차단하는 것입니다 어플리케이션이 안전한 경우 다음 일을 결정 합니다. 일부 어플리케이션은 조직의 기능에 중요하며 우선 순위 대역폭을 할당 해야 합니다. 다른 어플리케이션은 허용 될 수 있지만 반드시 일상적인 비즈니스 운영에 필요하지 않습니다. 페이스북이 예입니다. 그리고, 큰 파일을 다운로드하는 데 사용되는 토런트와 같은 응용 프로그램이 있습니다. 이 어플리케이션이 일반적으로 안전하지만 중요한 대여폭을 소비하여, 대부분의 기업에서 사용을 금지합니다. 심층 패킷 검사 비인가된 어플리케이션 차단 ✖ 악성코드 차단 Viruses Worms Spyware Trojans

Hillstone E-Series - 다양한 기능, 강력한 보호 멀티레벨 QOS 제어
지능형 멀티링크 로드밸런싱 서버 로드밸런싱 지원 다양한 VPN 모드지원 특허 받은 PnP VPN 다양한 기능을 지원하고 있습니다. IPv6 골드인증(Ready Gold Logo) 이 인증은 ‘IPv6139 레디로고’ 중 최상위 인증이다 IPv6 Ready (Gold인증) 동적라우팅(OSPF, BGP, RIPv2) 정책 및 어플리케이션 별 라우팅 제어 가상 방화벽 기능 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Hillstone E-Series - 어플리케이션 트래픽 가시성 제공 어플리케이션 사용자 대역폭 세션
이 슬라이드는 응용 프로그램이 대부분의 대역폭을 소비하는 보여줍니다. 또한 각각의 애플리케이션과 세션의 수를 사용하여 사용자의 총 수를 나타낸다.

Hillstone E-Series - 어플리케이션 사용자 트래픽 트래픽 상세 사용자 어플리케이션
사용자별 사용한 트래픽 정보를 보여줍니다. 몇 번의 클릭만으로 사용자가 실행하고 대역폭이 소비되는 응용 프로그램이 무엇인지 확인할 수 있는 큰 가시성을 제공합니다. So in this view I’ve displayed all the users sorted by bandwidth consumption. And, sure enough, not only is Yan consuming the most bandwidth but he is also using a large number of applications. If I click on Yan I can then see all of the apps he is using. This is very powerful because with a few clicks I can get great visibility into what my users are doing, what applications are running and where my bandwidth is being consumed.

Hillstone E-Series - 주요 기능 (1) Network & Firewall Multi-Level QoS
동적 라우팅(OSPF, BGP, RIPv2) 정적 및 정책 라우팅 애플리케이션별 라우팅 제어 내장 DHCP, NTP, DNS 서버 및 DNS 프록시 IPv6 지원: IPv6를 통한 관리, IPv6 라우팅 프로토콜, IPv6 터널링, IPv6 로깅 및 HA 인터페이스 모드: 스니퍼, 포트 통합, 루프백, VLANS(802.1Q 및 트렁킹) L2/L3 스위칭 및 라우팅 가상 방화벽 지원 – 모델별 5~500 Virtual System 지원 Network & Firewall QoS 트래픽 형상화: 최대/보장 대역폭 터널 또는 IP/사용자 기준 보안 도메인, 인터페이스, 주소, 사용자/사용자 그룹, 서버/서버 그룹, 애플리케이션/애플리케이션 그룹, TOS, VLAN 기준 터널 할당 시간 또는 우선 순위별 대역폭 할당 또는 동일한 대역폭 공유 서비스 유형(TOS) 및 차등 서비스(DiffServ) 지원 우선 순위별 잔여 대역폭 할당 IP당 최대 동시 연결 Multi-Level QoS Let me briefly mention that our firewalls are full featured. The only thing that is extra cost is the subscription license for IPS, AV, URL filtering and QoS.

Multiple Link Load Balance
Hillstone E-Series - 주요 기능 (2) 가중 해시, 가중 최소 연결 및 가중 라운드 로빈 세션 보호, 세션 지속 및 세션 상태 모니터링 양방향 링크 로드 밸런싱 정책 기반 라우팅, ECMP 및 가중, 내장 ISP 라우팅, 동적 감지 포함 아웃바운드 링크 로드 밸런싱 SmartDNS 및 동적 감지 지원 인바운드 링크 로드 밸런싱 대역폭 및 지연 시간 기준 자동 링크 스위칭 ARP, PING 및 DNS의 링크 상태 검사 Multiple Link Load Balance IPSec H/W Acceleration - 고성능의 VPN 통신 가능 IPSec VPN, PNP VPN, Xauth SSL VPN (SCVPN) - SSL 터널 연결에 앞서 호스트 무결성 확인 및 OS 검사 수행 - 포털별 MAC 호스트 확인 - Host Binding : 고유의 Host ID를 생성하여 지정된 디바이스 및 지정된 계정으로만 로그인 가능 L2TP over IPSec VPN GRE VPN

User and Device Identity
Hillstone E-Series - 주요 기능 (3) 로컬 사용자 데이터베이스 원격 사용자 인증: TACACS+,LDAP, Radius, Active Directory 싱글사인온: Windows AD 2 Factor-Auth: 타사 지원, 물리적 및 SMS의 통합 토큰 서버 User and Device Identity 7,000개 이상의 시그니처, 프로토콜 이상 탐지, 속도 기반 탐지, 사용자 정의 시그니처 IPv4 및 IPv6 속도 기반 DoS 보호 및 TCP Syn flood에 대한 임계값 설정, TCP/UDP/SCTP 포트 검사, ICMP 스위프, TCP/UDP/SCIP/ICMP session flooding(소스/목적지) IPS 악성 웹사이트 300K 를 포함한 200만개 이상의 시그니처 플로우 기반 안티 바이러스: HTTP, SMTP, POP3, IMAP, FTP/SFTP 등의 프로토콜 Anti_Virus 64개의 카테고리로 분류된 1억 5천만개의 이상의 URL 제공 플로우 기반 웹 필터링 검사 URL, 웹 컨텐츠 및 MIME 헤더 기반 수동 정의 웹 필터링 Java Applet, ActiveX 또는 쿠키 필터링, HTTP Post 차단, 로그 검색 키워드 URL Filter Let me briefly mention that our firewalls are full featured. The only thing that is extra cost is the subscription license for IPS, AV, URL filtering and QoS.

Hillstone E-Series - 주요 기능 (4) SSL Decryption Application Control
SSL 암호화 트래픽을 위한 IPS 활성화 지원 SSL 암호화 트래픽을 위한 안티 바이러스 활성화 지원 https 암호화 트래픽을 위한 URL 필터링 지원 SSL Decryption 이름, 카테고리, 하위 카테고리, 기술 및 위험을 기준으로 3,000개 이상의 애플리케이션 필터링 각 애플리케이션에는 설명, 위험 요소, 의존도, 일반적으로 사용하는 포트, 추가 참조용 URL이 포함 차단, 세션 재설정, 모니터링, 트래픽 가시화 클라우드의 애플리케이션 식별 및 제어 위험 카테고리 및 특성을 포함하여 클라우드에서 실행되는 애플리케이션에 대한 다차원 모니터링 및 통계 제공 Application Control Active/Active, Active/Passive 독립 실행형 세션 동기화 High Availability Let me briefly mention that our firewalls are full featured. The only thing that is extra cost is the subscription license for IPS, AV, URL filtering and QoS.

Medium & Large Enterprises
Hillstone NGFW Product 80G 10 Gigabit 10 Gigabit Gigabit E6360 E6160 60G E5960 40G E5760 E5660 20G E5260 E3960 E3965 10G Gigabit E3660 E3662 8G E2800 E2860 E2300 4G E1700 2G Desktop E1100 E1600 E1606 1G SMB and Branches Medium & Large Enterprises Large Enterprises

Hillstone Inteligence Next-Generation Firewall T-Series

Hillstone T-Series 지능형 차세대 방화벽
보안 침해 감지 악성 네트워크 동작 차단 공격 원인 분석 악성 다운로드 방지 취약점 악용 방지 악성 사이트 액세스 위험한 어플리케이션 차단

내부 네트워크에 있는 위협/APT 탐지 및 제어 위협/APT에 대한 가시성 제공 계층적 위협 관리
NGFW와 다른 주요 차이점 내부 네트워크에 있는 위협/APT 탐지 및 제어 위협/APT에 대한 가시성 제공 계층적 위협 관리 행동기반으로 DDOS 탐지 및 예방 피해 최소화를 위한 자동 사고 대응

변형성 -“전파되고 분산될 때마다 자동으로 다시 코딩”
다형성 및 변형성 악성코드의 끊임없는 변화 다형성 - “외형의 변화” 변형성 -“전파되고 분산될 때마다 자동으로 다시 코딩” 위험： 시그니처 개발과 업데이트하는 시간이 더 이상 중요하지 않음. 다형성과 변형성 기술을 사용하는 악성 코드는 “패턴 매칭“(시그니처 매칭) 탐지 사용하는 소프트웨어를 회피 할 수 있음

“전문 공격의 60% 는 몇분내에 조직을 손상 시킬 수 있습니다.”– Verizon 2015 DBIR
위협은 이미 내부 네트워크에 존재 malware APTs Zero-Days BYOD Insider Theft 다형성 /변형성 악성코드는 시그니처 기반 예방 장치를 회피하고 내부 네트워크로 침입함 고급 악성코드에 사용된 회피 기술은 샌드박스가 실패하는 원인임 BYOD, USB 등 기타 장치는 쉽게 내부 네트워크에 위협을 가져옴 “전문 공격의 60% 는 몇분내에 조직을 손상 시킬 수 있습니다.”– Verizon 2015 DBIR

고급 위협(APT)은 은밀/정교/지속적임
초기 침투 정찰 & 거점 확산 데이터 탈취 According to the Ponemon Institure the average cost of a security breach is $3.79 million dollars. 60% of attackers compromise an organization within minutes Here is the most disturbing fact: According to the 2014 Verizon Data Breach Investigations report 66% of security breaches remain undiscovered for months or longer. According to Mandiant (now a FireEye company), the average breach isn’t discovered for 7 – 8 months. That is a long time for the bad guys to be inside your network, performing reconnaissance, building backdoors, infecting other computers, collecting passwords, and ultimately, stealing your confidential data. But, to make matters worse, 87% of breaches are discovered by external parties like customers, partners, and law enforcement. Or sometimes the perpetrator will alert the victim by will bragging about the attack or blackmail them. Endpoint 보안 경계 보안 침해 탐지... "최후의 보루＂ > > DAMAGE mins hours days weeks months 87% 66% 보안 침해의 는 수개월 동안 발견되지 않음 보안 침해의 외부 자/기관에 의해 발견

주요 자산보호 및 APT (진화된 지속 위협 )공격 대응
Assets Threats 경계 방어 IPS 99.6% AV URL/IP/Domain… Malware：including computer viruses, worms, trojan horses, ransomware, spyware, adware, scareware, and other malicious programs. It can take the form of executable code, scripts, active content, and other software … … APTs Zero-Days Post-Breach NGFW Engine Intelligent Engine

Abnormal Behavior Detection – 위협/APT 행동 탐지
행동 학습 & 모델링 비정상 행동 분석 위협 & 위험 식별 Abnormal Behavior Detection highlights: Identify attacks (DoS, Scan, Spam, Phishing etc.) by detecting abnormal behavior L4-L7, hundreds of dimensions in packet, session, protocol, and application 공격을 막을 수 있는 여러 기회 By kim hyoyeol Layer 4 ABD 7 type (29 매개변수) − Well-Known Service Port Scan -Scan − Connection Flood-DoS − Http Request Flood-DoS − Spam-Spam − FTP Download Flood-Attack − FTP Brute Force Attack-Attack − SSH Brute Force Attack-Attack Layer 7 ABD 3 type (22 매개변수) – HTTP DoS Attack – HTTP Scan Attack – HTTP Spider 상관 관계 분석을 통한 위험의 심각성과 확실성을 정량화 의심스럽고 관련 있는 PCAP을 포함한 위협 포렌식 적응형 머신 러닝(adaptive machine learning )에 의한 Host/server 동작 모델링 Layer 4-7, 수백 가지의 행동 차원(dimensions) 실시간 행동 모델과 규칙 행동 공조를 통해 비정상적인 차원을 식별 Hillstone Intelligent Next-Generation Firewall

위협 행동 분석 식별 기준 초과 트래픽 발생! 현재 기준 하한선 상한선
Here is an example of what an alert looks like. The gold line represents the baseline of normal network behavior. The purple line represents the upper threshold of normal traffic and the green line represents the lower threshold of normal traffic. The blue line represents actual traffic. And, as we can see here the traffic is exceeding normal parameters by a whole lot. Furthermore, it is occurring at 2 am. So, it appears that something is moving a lot of data. I would certainly block this traffic or at least slow it down so I could investigate.

Advanced Threat Detection – 위협/APT 행동 탐지
Sample Parameter 1 악성코드 행동 set 1 Sample Parameter 2 악성코드 행동 set 2 Machine Learning Clustering Modeling 알려진 악성코드 샘플 Sample Parameter 3 악성코드 행동 set 3 … … Detect Malware Variants 600K+ malware samples; daily update Additional dimensions besides HTTP URL (UA, URI) Proprietary algorithm, 96% detection rate on machine generated domains & encrypted channel identification Cloud Analytics Platform Hillstone Intelligent Next-Generation Firewall 알려지지 않은 악성코드 악성 코드 행동 학습 알려지지 않은 악성코드 행동 패턴 악성코드 변종 행동 식별 알려지지 않고, 진화된 지속 위협 (APT) 탐지

위협/ATP 인텔리젼스 제공 Policies Updated Unknown Malware
Hillstone의 모든 고객에게 정책 업데이트를 제공합니다

킬 체인 단계 초기 공격 단계 침입자는 타겟 호스트 또는 네트워크의 초기 침투를 실행합니다. 이는 소셜 미디어의 합법적 또는 다른 형태로 나타나는 웹사이트 방문, 피싱 이메일을 통해 수행 할 수 있습니다. 전송 단계 공격자가 피해자의 네트워크에 대한 액세스를 얻는 데 성공한 후, 공격자에 의해 생성된 (PE) 파일 또는 스크립트를 다운로드 및 설치 한 뒤 외부 서버와 통신 등의 구성 작업을 수행합니다. 명령 및 제어 단계 이전 단계에서 전달된 악성코드는 일반적으로 피해자의 네트워크 외부 공격자에 의해 제어되는 손상된 호스트와 원격 C&C 서버로의 접속을 시도합니다. 이 DNS 활동을 통해 수행되고 도메인 생성 알고리즘(DGA)을 사용하여 생성된 도메인 이름의 서버와 연결됩니다. 이 과정은 C&C 서버에서 추가 지침을 얻는 것이 목적입니다. 내부 정찰 단계 공격자는 피해자의 네트워크 스캔과 네트워크 구성 형태 설계, 검색 및 중요한 자산을 식별하여, 침투 작업을 위한 단계를 설정할 수 있습니다. 측면 이동 단계 이 단계에서 공격자는 피해자 네트워크 내부의 중요 자산의 관리 권한을 획득하고, 같은 권한 및 액세스 수준으로 추가 작업을 수행 할 수 있습니다. 이 작업은 데이터 유출 마지막 준비단계를 뜻합니다. 데이터 유출 단계 C&C의 마지막 단계입니다. 이 단계에서 공격자는 피해자의 네트워크 내 중요한 자산을 장악하고 액세스를 설정 및 목포 대상으로 확인합니다. 데이터는 암호화된 파일 전송을 통해 내부 네트워크에서 공격자의 서버로 전송됩니다.

Stage 1: 초기 공격 단계 침입자는 타겟 호스트 또는 네트워크의 초기 침투를 실행합니다. 이는 소셜 미디어의 합법적 또는 다른 형태로 나타나는 웹사이트 방문, 피싱 이메일을 통해 수행 할 수 있습니다

Stage 2: 전송 단계 공격자가 피해자의 네트워크에 대한 액세스를 얻는 데 성공한 후, 공격자에 의해 생성된 (PE) 파일 또는 스크립트를 다운로드 및 설치한 뒤 외부 서버와 통신 등의 구성 작업을 수행합니다.

Stage 3/4：명령제어/수익창출 이전 단계에서 전달된 악성코드는 일반적으로 피해자의 네트워크 외부 공격자에 의해 제어되는 손상된 호스트와 원격 C & C 서버로의 접속을 시도합니다. 이 DNS 활동을 통해 수행되고 도메인 생성 알고리즘(DGA)을 사용하여 생성된 도메인 이름의 서버와 연결됩니다. 이 과정은 C & C 서버에서 추가 지침을 얻는 것이 목적입니다.

Stage 5/6：내부 정찰/전파 공격자는 피해자의 네트워크 스캔과 네트워크 구성 형태 설계, 검색 및 중요한 자산을 식별하여, 침투 작업을 위한 단계를 설정할 수 있습니다.

Stage 7: 데이터 유출 C&C의 마지막 단계입니다. 이 단계에서 공격자는 피해자의 네트워크 내 중요한 자산을 장악하고 액세스를 설정 및 목포 대상으로 확인합니다. 데이터는 암호화된 파일 전송을 통해 내부 네트워크에서 공격자의 서버로 전송됩니다.

완벽한 위협/위험 가시성 Network Risk Index Threat 네트워크 위협 대시보드 :
네트워크 위험 색인, 호스트 위험 상태, 위협 근원, 위협 지도 등 • 위협 상관 관계 분석을 통한 위험한 호스트 식별 • 호스트 위험 정보 : 위험 수준, 확실성, 위치정보 등 • 멀티 보안 엔진에 의해 탐지 : IPS, AV, URL filtering, ATD 와 ABD • 상세한 위협 정보 : 심각도, 확실성, 패킷 캡처, 지식 기반 등 • kill chain 단계 지도 Host Risk Correlation Analysis Network Risk Index Threat Threat Correlation Analysis

위협 관리 – 전체 상황판 • 전체 위험 상태 • 전체 위험 수준 /위치정보 상태 • 위험 TOP 10

위협 관리 – 호스트 위협 관리 • 위협 상관 관계 분석을 통한 위험한 호스트 식별 • 호스트 단위로 위협 관리
• 호스트 위험 정보 관리 위험 수준, 확실성, 위치정보 등

위협 관리 – 킬 체인 맵핑 통한 APT 전체 가시성 제공
• 위협 이벤트를 킬 체인 단계로 도표화 • 위협 대상 IP 보여줌 • 라이프 사이클을 통한 위협 추적/관리

위협 관리 – 위협 별 관리 • 위협 상관 관계 분석을 통한 위협 단위로 호스트 관리
• 위협 상관 관계 분석을 통한 위협 단위로 호스트 관리 • 위협 정보 관리 위협 종류, 수준, 확실성, 위치정보

위협 관리 – 완화 정책 규칙 정의 작동 조건 완화 방법 사전 정의 완화 규칙 사용자 정의 완화 규칙
Log type: scan/DoS/spam… 심각도 위험성 작동 조건 • 행동 기반 완화 세션 제어 대역폭 제어 완화 방법

Forensic Tools 제공을 통한 정확한 위협/APT 확인 및 대응
공격에 대한 설명 공격의 위험성 공격의 지리적 위치 신뢰 수준 공격을 허용한 방화벽 정책 PCAP 파일 IP 주소와 관련된 사전 행동 공격의 이전 사용이력 킬 체인 단계 공격에 대한 근원 URL 사고 대응팀은 잠재적인 위협을 분석하고 개선을 위한 행동 방침 을 권장할 책임이 있음 보고서의 가장 중요한 요소는 정 확성임. 모든 위협 자료는 정확하 고 최신이어야 함.

Behavioral Intelligence Engines
행동 지능으로 네트워크 보안을 자동화 Behavioral Intelligence Engines 알려지지 않은 위협 비정상 행동 위험 목록화 대화형 포렌식 상황인식 자동 완화 Taking it a step further we use statistical clustering to compare zero-day exploits with known malware behavior. A confidence level is derived based on how close the unknown malware behavior is to a known malware sample. The closer the behavior the higher the confidence that the unknown malware is a variant of a known exploit. We also continuously monitor the network to detect anomalous activity. With regard to visualization we provide a network risk index that is computed across all endpoints and is based upon the severity and frequency of attacks. Forensic tools provide packet captures, attack description, criticality, confidence level and the firewall policy that allowed the attack. With regard to enforcement, we provide a variety of tools that can automatically block or limit the bandwidth or the number of sessions that can be created until forensic analysis can be completed. 탐지 고급 위협 발견 외부 내부 가시화 이해력 향상 네트워크 위험 근본 원인 분석 강화 동적 완화 대역폭 조정 활성 정책 변경

감염 후 탐지 까지 걸리는 시간 단축 Hillstone 가치 제안 다양한 탐지 및 보호 메커니즘과 클라우드 시스템
포괄적인 가시성 보안 상관 관계 분석 및 Kill Chain 가시성 OK, let’s switch gears and look at Hillstone’s Value Proposition. First, we do not use a sandbox, which as we have seen, can be easily defeated. And second, we do not select code segments for analysis. We use post breach detection to look for suspicious activity in all targeted hosts. But here is the main value-proposition. We shorten the time between compromise and detection to minutes or even seconds. We do this through our proprietary Statistical Clustering technology, which we will discuss in a minute. Second, we provide multiple opportunities to stop the attack through our Network Behavioral Analysis. This technology is especially useful for victims that have been infected outside the protections of the enterprise. Third, we provide extensive Forensic Analysis so that you can determine the root cause of the attack. And finally, since we are a firewall, we provide the ability to fix the problem that allowed the attack to go through the firewall. This is an important because Gartner claims that 95% of data center breaches are caused by misconfigured firewalls. 공격의 근본 원인 확인 다양한 포렌식 및 분석 손실 최소화 정책 집행 및 완화 템플릿

Use Case: DDoS 방어 고객 정보: E-Commence Corp.,는 미국 상장사이며, 3천만 이상의 고객에게 300만 종류의 제품을 판매하고 있습니다. 다양한 DDoS 공격에 년 10회 이상 서비스를 중단 했습니다. DDoS 공격으로 인해 손실 된 연간 수입은 대략 12억원입니다. 왜 기존 솔루션은 실패 했는가? 현대 DDoS 공격은 합법적인 응용프로그램의 프로토콜 및 서비스를 사용하여 더 잘 회피하며 더 파괴적이며, 식별하고 차단하기가 어렵습니 다. IPS/FW 과 같은 전통적인 솔루션은 정상적인 사용자 까지 서비스를 차단하는 패킷 차단 이나 속도 제한 방법을 사용합니다. 왜 Hillstone iNGFW 솔루션이 효과가 있습니까? Hillstone iNGFW ABD engine은 공격자의 IP를 모델링 하고 비정상적인 IP의 동작 식별을 통해 기존 솔루션에 서는 무시되었던 응용프로그램의 Dos/DDoS 공격을 탐지 할 수 있습니다. ABD engine은 L4-L7의 수백가지의 차원을 추적하며, 6 타 입과 50개 이상의 Dos 행동을 식별합니다. Hillstone iNGFW은 사전 정의된 템플릿을 사용하 여 탐지된 DDoS 공격을 완화 시킬 수 있습니다.

Use Case: Spider/Crawler 탐지
고객 정보 : 21,000 이상의 교육분야 고객과 43개국에서 5000만 사용자를 보유한 대규모 온라인 출반과 지식 관리 플랫폼입니다. 지속적인 spider/crawler 공격은 엄청난 경제적 손실을 입히고 서버의 자원을 고갈 시켰습니다. 2015년에 30억건 이상의 웹사이트 방문과 20억건 이상의 전체 다운로드. 왜 기존 솔루션은 실패 했는가? IPS/Firewall/AV 은 spider/crawler의 서버 접 속과 다운로드를 탐지 할 수 없습니다. 전용 anti-spider/crawler 장비는 고가이며, spider의 완화 및 차단 기능이 없습니다. 또한 전용 장비는 새로운 spider와 변종 spider 의 일부를 탐지 할 수 없습니다. 왜 Hillstone iNGFW 솔루션이 효과가 있습니까? Hillstone iNGFW는 ABD 기능 활성하여 인라 인 구성을 하였습니다. 내장된 spider 행동 모델과 파라미터 비교를 사용하여 ABD 엔진은 비정상적인 행동을 나 타내는 각각의 IP 를 탐지 합니다. 관리자는 첫 탐지에 경고를 받고, 위협을 완화하기 위해 구성 정책을 변경 할 수 있 습니다.

Hillstone DataCenter Firewall X-Series

Data Center 과제 확장성 관리 용이성 Security as a Service 성능 복잡성 보안 More traffic
More users More servers 복잡성 분산, 가상화, 클라우드 데이터 센터 소프트웨어 정의 네트워크(SDN) BYOD 보안 인프라 발전에 보안을 적용(가상화, 클라우드, SDN/NFV) 진화하는 위협 환경에 빠른대응 확장성 관리 용이성 Lets start the discussion by looking at the challenges of a modern data center. The first challenge faced by administrators is that they must respond to growing performance requirements. As data centers continue to evolve there are going to be more users, more traffic, more servers and more applications. Administrators need a firewall that can scale to meet growing performance requirements. The second challenge of a data center is the increase in complexity. As data centers evolve they are moving from discrete physical servers to virtualized servers, and cloud and hybrid cloud environments. Networks are also moving from physical devices to software define networks where network functionality is virtualized. And users are accessing data center resources from anywhere in the world on an ever changing array of mobile devices that they personally own. This environment obviously requires a great deal of Management Agility. But it also calls for a great deal of security agility as security solutions must not only protect an evolving infrastructure but they must respond to a rapidly evolving threat environment. This requires that security be delivered as a service - where and when it is needed. Security as a Service

Hillstone Data Center Firewall X7180
고성능: 360 Gbps throughput,120 million concurrent sessions,2.4 million new sessions/s Ports: 144 ports in GB，36 ports in 10GB 예비 : 시스템 레벨 에서 메일 레벨까지 실제 링크 전력 소비 per Gb：21.7W/G 고성능 , 고 신리성, 저전력 요구사항 NAT444 Multiple IPv6 transition technology Enhanced NAT 우수한 NAT/IPv6 전송 기술 가상 방화벽 최대 1000대 지원 가상 방화벽의 자원을 동적 구성 독립된 가상 방화벽 관리 가상 방화벽 대상 고객 공급사업자, 대기업 및 공공기관 배포 시나리오 Carrier MAN and Mobile 공급자 IDC、공공기관 클라우드 데이터 센터 Internet Exit The X7180 is a very high performance firewall in a small form-factor that is designed for large enterprises, carriers (such as Verizon, AT&T and Sprint) and government agencies. It is ideally suited to be an edge device in data center.

Carrier 급 높은 신뢰성 Device Level X7180 Module Level System Level
AA/AP 구성 강화된 HA Device Level X7180 메인 제어 모듈 이중화 서비스 모듈 이중화 서비스 모듈 오류 자동 복구 Bypass Module 지원 2+2 이중 Power 공급 FANs 이중화 So it easy to see that the X7180 has lots of redundancy. It has two sets of dual power supplies, dual fans, dual control modules, dual service modules, and failover capability that give it outstanding reliability. Module Level System Level 99.999%의 공급자 신뢰성 제공

낮은 에너지 소비 5U 16U 15U Hillstone Vender A Vender B 72G/U $6328 32G/U
From a form factor perspective it has very high performance per rack unit. And from an energy consumption point of view it is much less costly to operate. 처리량/U（G/U） 13G/U 32G/U 72G/U 기기당 전기 비용（USD/$） $6328 $1613 $4715

진화된 가상 방화벽 X7180 Virtual Firewall VSwitch VSwitch VSwitch 가상화 보호
가상 방화벽 최대 1000대 지원 다른 서비스 요구 사항에 따라 각각의 가상 방화벽을 동적으로 구성 및 사용 자 정의 배포 가능(CPU/Session/ Polic y/port etc) 각각의 가상 방화벽은 독립적인 논리 보안 서비스부를 제공하며, 정교한 관리 와 다양한 사용자들의 요구사항에 부응 할 수 있도록 독립적으로 구성되고 관 리할 수 있습니다. Vsys Vsys Another important feature is that it supports up to 1000 virtual firewalls. Each firewall can be individually configured and managed. And each firewall is guaranteed a minimum level of performance. However, if excess capacity is available it can be dynamically allocated to other firewalls on an as needed basis. This is an ideal solution for multi-tenant environments. OS OS OS OS OS 耳机系统 OS VSwitch VSwitch VSwitch

X7180 이 필요한 곳은? 높은 트래픽 볼륨과 높은 동시 세션이 필요한 데이터 센터 게이트웨이 또는 대기업 인터넷 게이트웨이 : 대표 고객: 대학 데이터 센터 X7180 supports 40Gbps+400k HTTP new sessions/second by 1IOM+1SSM 데이터 센서간의 초고속 VPN 터널 대표 고객: 여러 데이터 센터을 운영하는 인터넷 서비스 공급자가 X7180 support 18Gbps IPsec throughput by 1IOM+1SSM 초고속 성능 Network-Address-Translation 대표 고객 : 서비스 공급자 또는 2차 ISPs Full NAT 기능, 초고속 로그 솔루션 X7180 support 22Gbps Goodput when we enable CG-NAT and NAT-LOG by 1IOM+1SSM Multi-tenants 지원 및 클라우드 보안 요구사항 대표 고객: MSSP X7180 가상방화벽 최대 1000 지원 LTE 모바일과 IP 네트워크 사이의 보안 격리 So who needs an X7180? Well just about anyone that needs a gateway from their data center or enterprise network to the internet. It also appeals to customers who require high-speed VPN tunnels between multiple data centers. And because it has great support for multiple tenants MSSPs will find this firewall very attractive.

감사합니다! OK, we have finally come to the end of the presentation. I hope you learned a few things about Hillstone’s product portfolio and I hope it was a good use of your time. Thank you. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Hillstone Next-Generation Firewall E-Series

Similar presentations

Presentation on theme: "Hillstone Next-Generation Firewall E-Series"— Presentation transcript:

Similar presentations

About project

지원

로그인

Auth with social network:

Hillstone Next-Generation Firewall E-Series

Similar presentations

Presentation on theme: "Hillstone Next-Generation Firewall E-Series"— Presentation transcript:

Similar presentations

About project

지원