传统防火墙厂商
从90年代随着我国第一波信息化 安全浪潮涌现了老牌安全公司， 同时2000年之后涌现了山石网科， 定位为传统防火墙厂商，其防火 墙专注于传统防火墙功能，如网 络适应性、访问控制协议、会话 管理等基本功能。 典型代表：天融信、启明星辰、 绿盟科技
国外厂商
在中国的外资厂商，国外厂商采 用渠道化战略，定位中高端客户， 通常高度产品化，以技术路线运 作项目 典型代表：Fortinet（飞塔）、 Checkpoint、Palo Alto
集成 学习
深度神
SAVE
经网络
深信服人工智能杀毒引擎SAVE
Sangfor Anti-Virus Engine
自然语 言处理
创新人工智能无特征技术 准确检测未知病毒
Bad Rabbit（17年10月出现的最新勒索 病毒），年后最新出现的 GlobeImposter 2.0 勒索病毒均能使用旧模型查杀。
解决之道之二：简单有效
全程可视
风险的可视 保护过程的可视 保护结果的可视
优势1
简单交付
一体化策略部署 全过程运营中心 综合风险报表
优势 2
高效稳定
单次解析 多模匹配算法 软硬件双冗余架构
优势 3
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
为什么之选深信服NGAF？
高速增长，年复合增长超70% 2011年发布国内首台下一代防火墙 4万家用户一致好评 5.4万台在线稳定运行
简单有效
全程可视+简单交付
解决之道之一：融合安全
事前 预知
事中 防御
事后 检测／响应
解决之道之一：融合安全
潜伏威胁事件检测 和分析 4
安全策略加固和有效 性自检
3 2
评估资产风险漏洞 是否配置策略
快速处置响应
5
1
业务生命周期 安全运营
自动发现新增资产
事前：风险梳理预警与规避
1
核心资产 有效识别
➢ 安全状态 ➢ 安全事件 ➢ 待办事项
安全状态怎样？ 保护的效果怎样？ 下一步做什么？
全过程 安全可视
①对风险的认知
哪些资产要保护？ ➢ 资产发现
哪里不安全？
➢ 风险识别
当前是否有策略？ ➢ 策略分析
②对保护过程的认知
谁在攻击我？ 是否被绕过？ 是否真实存在？
➢ 攻击链可视 ➢ 检测异常行为 ➢ 攻击举证
防御手段： 通常传统安全厂商会认为早期的深信服只做VPN及上网行为管理，安全能力不足，这一块各位可以向客户说明 深信服于2011年发布下一代防火墙，是国内最早发布下一代防火请产品的安全厂商，同时是公安部下一代防火墙 行标的主要撰写单位，并已经连续4年在全球Gartner魔力象限中入围（国内连续4年的只有华为和深信服）。
网络信息系统
产品信息系统
研发信息 系统
法务系统
财务信息系统
审计系统
…
2
实时漏洞 监测分析
检测结果： SQL 注入 开放风险端口 命令执行 信息泄露
……
资产梳理
存在风险
3
安全能力 全面评估
评估结果： 具备防御能力 未关闭端口传输 具备防御能力 全局放通（错配） 存在系统漏洞
防御能力缺失
持续分析
4
最佳实践 策略部署
数通类厂商对比
特点分析： 数通类厂商在市场上所呈现的下一代防火请，通常都是由数通产品演变过来的，传统的功能包括VPN、NAT 访问控制、QOS、双机热备、网络协议支撑等，简单集成了一些传统安全模块，如IPS和杀毒、抗D等模块。
进攻手段： 其最大的特点是安全能力不足，仅仅简单集成了基本安全模块，存在能力缺失，比如针对web攻击的防御模块， C&C外联检测僵尸主机的模块；同时难以跟的上安全的变化形式，比如勒索病毒、挖矿病毒以及各种基于应用 层的未知威胁攻击，缺乏持续更新的能力。
基于AI的杀毒引擎-优势对比
传统引擎
特点
1. 固定算法 2. 人工提取特征 3. 样本收集受限
效果
未知/勒索病毒应对乏力
SAVE引擎
1. 人工智能算法的自我优化 2. 特征自动提取 3. 海量样本自学习
✓ 有效抵御未知病毒、勒索病毒
事后：事后持续监测与快速响应
解决之道之二：简单有效
③对保护结果的认知
防御手段： 数通类通常会从非安全功能角度来进攻深信服，比如数通的下一代防火墙端口密度大、性能高、价格便宜等 我们通常是按照实际需求去引导客户，防火墙通常不需要过高的端口数，性能需求通常来源于特定场景，强调 安全的性价比，如果设备不能有效防御威胁，再便宜也没有市场。
传统防火墙厂商
特点分析： 老牌防火墙厂商安全产品线众多，下一代防火墙通常都是从传统防火墙演变过来的，安全功能多来自于其原有安全 产品功能的集成复用，比如IPS、邮件安全、杀毒等各种功能。从表面功能上看不存在缺失，安全功能应有尽有。
方案二
设备难以有效使用起来
事前不清楚系统存在的风险、需要防护的短 板，导致防护策略错配、漏配，缺乏有效性， 买了高射炮用来打蚊子；
事前
未知威胁难以有效防御
即使全部配置用起来，也难以保障完全防护， 因为如今威胁全面升级，传统的特征匹配跟
有哪些资产？ 有哪些漏洞？ 是否有策略？
不上黑客的节奏；
缺乏风险预知能力
事后持续监测已入侵威胁，快速止损
事后能够实时监测内部异常外联行为，及时 察觉并定位已入侵威胁，快速处理减少损失。
事后
持续监测，快速响应
事前
梳理风险，确保防护有效性
事中
融合安全防护能力
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
新一代边界安全：深信服下一代防火墙
深信服下一代防火墙 NGAF 系列
通用竞争策略
无论和任何一家产品竞争对比，保持回归深信服下一代防火墙的价值主张-融合安全。价值主张定位 的是与同类产品的差异，通过价值主张，把传统安全品类（含友商下一代防火墙）定位为事中防御。
➢ 不管什么其他安全品类都存在缺乏事前预知、事后检测和响应的问题，并且割裂的防御； ➢ 传统以设备堆叠为主的建设方案会产生日志碎片化、防护割裂，缺乏设备间联动等后果，无法给用户提供有价值信息；
5小时
综合分析操作系 统日志、防火墙 日志、交换机日 志，定位源头和 修补缺口。
每次新型威胁来临，以上情景一再重演
需要全周期的安全防护手段
事前洞悉资产风险，确保防护有效性
事前自动梳理资产，发现资产风险和新增资 产，确保防护策略的全面、有效、准确。
事中融合防护能力，确保防护的完整性
事中防护能力需要涵盖网络层防护能力和应 用层防护能力，具备边界防护的完整功能。
纵深防御
一层防不住 就多几层防御 网络层面防御 终端层面也防御
区域边界隔离 （分区分域）
缩小影响面 简化管理
深信服下一代防火墙家族
1、传统防火墙功能（ NAT、 路由、访问控制ACL、IPSec VPN、DDoS、会话控制、用 户认证、流控、双机） 2、NIPS功能 3、WAF功能 4、AV功能
融合安全 简单有效
深信服集团|安全事业部
网络防火墙的价值
网络区域划分
对互联互通的网络进行区域划分，最小化安 全域，控制安全事件的影响范围。
区域边界隔离
防火墙部署在区域之间，阻断区域之间的互 联互通，防范跨区域安全事件的发生。
边界访问控制
通过配置访问控制策略，灵活控制可通过边 界的对象身份和权限，满足正常业务需求。
规避风险
一键关闭
一键防御 一键防御
完善防御能力
事中：L2-L7完整、融合防护
下一代L2-7层双向边界防御体系
网络层安全
抗拒绝服务攻击
应用层安全
信息泄露防护
流量会话管理
Web攻击防护
包过滤
策略路由
Webshell防护
黑链防护
VPN
僵尸网络防护
恶意代码防护
IP/MAC绑定
入侵防御
NAT
应用内容的访问控制
进攻手段： 安全产品的简单集成实际上并未能够给客户带来足够的安全，需要安全厂商围绕下一代防火墙的真实要求，进行 从底层到上层的功能融合，深信服底层采用单次解析并行处理的机制可以有效提升设备性能，同时上层通过融合 安全框架提供事前、事中、事后的全程保护和全程可视，同时内部安全模块可有机联动抵御威胁。内部的良好机制 及依托用户体验的风险可视化能力是我们的优势。
2016.5.16 Version 3.000
2016.5.26 Version 3.100
2016.8.22 Version 5.001
重金、技术投入下，黑客攻击手段更新频繁
新型威胁，能够轻易绕过所有防护设备
防火墙
IPS
WAF
防毒墙
杀毒软件
服务器
数据加密
事后：发现滞后、响应迟缓，导致损失扩大
上午7点
15年8月 国内第一 国内首款
第二代防火墙
15年5月 Gartner魔力象限
ICSA防火墙认证
国内仅4家
市场格局介绍
2018年IDC统一威胁管理国内市场排名，前5分别为：网御 星云、深信服、360企业安全、山石网科、华为。
深信服仅以下一代防火墙一个产品占据第二名，与网御存 在两个百分点的差距，但是网御主要是靠UTM产品销售额 达到的16.2%的占比，也就是说如果有下一代防火墙排名 的话，深信服早已是第一名。
事前 预知
事中 防御
事后 检测／响应
融合安全，简单有效!!!
深信服下一代防火墙的核心价值
竞争分析要回归产品本身的差异化优势 基于融合安全框架提供全面的风险可视化能力
L2-L7层的深度防御全程保护用户业务安全