定位于外联网络边界
实现应用级访问控制
型号覆中小企业至电信级
? 天清汉马USG的产品定位
– 为外联边界提供应用级安全访问控制，过滤网络病毒、网络入侵、 非法应用、非授权访问、恶意流量等；
– 解决企业级VPN接入服务、终端准入控制服务； – USG产品系列型号，满足100M～4G边界处理性能，能适应小企业
级到电信级应用；
– 提供事件库持续的升级服务；
未来发展：性能提升，跨界组合
天清WIPS(NDP)产品定位－WEB业务防御
定位于WEB服务器前端 精确阻断SQL注入/跨站攻击 覆盖百兆、千兆应用环境
Internet
WEB 服务器
NDP2000 NDP1000 NDP200 NDP100
? 天清WIPS(天清IPS NDP系列)产品定位
天清NIPS定位－弥补防火墙防御能力
定位于防火墙网关前端 弥补防火墙入侵防御不足 覆盖百兆、千兆应用环境
Internet
天清 NIPS 防火墙
办公网络
? 天清NIPS定位
– 部署于防火墙外联接口的前端，弥补以防火墙、安全路由器等作为边界网 关时入侵防御能力的不足，同事降低原有网关信息过滤的压力；
– 对网络入侵提供阻断和过滤能力， – 提供应用级访问控制，降低原有防火墙访问控制方面压力； – 提供事件库持续的升级服务；
– 部署于WEB服务器前，精确阻断SQL注入、跨站脚本等基于WEB语法构建 的入侵行为，降低WEB网站语法漏洞被利用的风险；
– 为入侵过程提供告警，提供入侵事件的分析依据，并实时阻断 – 天清IPS产品性能，可以覆盖100M～1000M环境下的WEB服务器前端。 – 提供事件库持续的升级服务； 未来发展：扩展DDOS\XPATH\SHELLCODE
产品管理中心
引领安全趋势的产品家族
泰合平台 强 化 风 安全工具类 险 管 理
应用监管类
ZSOC 4ASOC ASOC TSOC MSOC
泰合 安全管理平台
软件版
便携版
硬件版
天镜 脆弱性评估系统
CA300 CA500 CA2300 CA2800 天玥 合规性审计系统
CCE-BM CCE-AC CCE-DM CCE-MS CCE-TM 天珣 内网安全管理系统
强
NS100 NS200
NS500
NS1500 NS2200 NS2800 天阗 入侵检测系统
化 威胁管理类
风
NDP100 NDP200 NDP800 NDP1000 NDP2000 天清 入侵防御系统
险
控 安全网关类 USG-300B USG-600 USG-800 USG-2000C USG-3600C 天清汉马 统一安全网关 制
低端
高端
安全产品怎么定位？
不安全因素－分而治之
可确定
不可确定
可定义
不可定义
可定义
不可定义
控制
管理
合规
止损
以默认可信为出发点
以默认不可信为出发点
基于纵深防御，看安全产品应用定位
边界域－控制 WAG
WEB 服务器
IDS
N-IPS
Internet
USG
互联域－管理
安星 天镜
IDS
办公网络
天珣
核心计算域－止损
部署目标
? 强化风险控制 ? 降低风险 ? 进一步优化风险
控制环境
部署目标决定了IPS、IDS各自的定位
IDS与IPS的区别
IPS是深层防御、IDS是全面检测
检测与监控设施 可以有可疑行为
需要人工分析 入侵检测IDS
监
控 平
漏洞扫描
台
审计系统
要求精确
防护与控制设施
对人工分析无要求
入侵防御IPS
防火墙
接入控制
部署目标
? 强化风险管理能力 ? 及时了解安全状况 ? 为改善风险控制环境提
供决策依据
P.D.R 一个都不能少
服务器扫描
天玥II
关键业务系统
生产网络
安全域控制器 高端USG＋天珣
天珣
支撑域－合规
UTM、IPS的区别
IPS市场需求划分与产品应对
网络入侵保护
天清汉马USG覆盖
聚焦 网络 入侵保护需求
服务器入侵保护
B/S服务器
C/S服务器
天清IPS覆盖 保护需求不突出
聚焦 基于WEB业务 入侵保护需求
天清汉马USG定位－全面访问控制