NETGEAR PROSECURE安全解决方案.docx

netgear prosecure安全解决方案 http:/www.proshttp:/pros目录netgear prosecure 安全解决方案1关于netgear3关于prosecure及产品线3netgear安全产品3不断升级的网络威胁3netgear全面网络安全解决方案3防火墙解决方案3远程接入安全解决方案3ipsec vpn3ssl vpn3内容安全解决方案3web安全3email安全3应用程序安全3透明部署stm系列解决方案3网关部署utm系列解决方案3prosecure stm/utm系列解决方案优势3荣誉奖项3成功案例3关于netgear1996年1月，创立于美国硅谷，总部所在地2002年8月，进入中国2003年7月，nasdaq上市业务遍及全球71个国家和地区全球超过40000家var增值代理商业务涵盖运管商接入、企业网、soho三大领域企业网业务涵盖四大子品牌：交换、无线、存储、安全关于prosecure及产品线prosecure: netgear专门针对商业网络市场推出的网络安全产品线。2008年9月22日收购业界领先的安全厂商 cp secure，并推出了prosecure安全产品品牌，将为商业网络提供高性价比的集成安全解决方案。prosecure系列首先推出stm150、stm300、stm600，这是cp secure公司经营多年产品的升级，可以确保prosecure安全可靠。 在继stm产品之后，又推出全系列针对smb的utm5，utm10，utm25，utm50，utm100等产品。 netgear安全产品产品型号产品功能防火墙无线ssl vpnipsec vpn应用程序控制web安全email安全fvs318v3fvs318gfvs336gfvs338fvx538fr538gfvg318srxn3205utm5utm10utm25utm50utm100stm150stm300stm600不断升级的网络威胁网络威胁正在不断地升级进化。恶意软件已经变得更加多样化和复杂化。早期的网络威胁仅仅针对桌面电脑和有限的范围，但今天的恶意软件采用了多种技术和多层次的载体，通过email和web网页来针对公司的桌面电脑和服务器进行攻击。早期的恶意软件只能通过软盘和其它传统的方式传播，依靠用户从一个系统传播到另外一个系统。与此相反，现在的威胁充分利用了互联网提供的连接，采用多种传播技术。根据最近gartner的研究发现，在过去的2009年期间被劫持的网站增加800%。同时，来历不明的email通常将用户诱导到陷阱站点，使用户在不知觉间将个人信息泄漏给不法份子。应用程序、操作系统和浏览器插件中的漏洞为攻击者提供了快速高效的传播途径。所以，即使是普通的互联网连接也能让黑客从受感染的系统中导出证书和其它敏感数据。安全威胁的另一个重要变化是威胁背后的目的。过去的威胁是程序员为得到他们的朋友或同事的认同而开发出来的，纯粹个人玩乐的目的。但时至今日，网络威胁的大范围传播是为了寻求高额的利润而进行的犯罪。通过计算机威胁产生的这些犯罪已经形成世界性的产业链，产生的地下市场份额高达1000亿。他们由熟练的恶意软件编写者(被雇用写攻击代码的)、犯罪组织和其它在互联网上偷取敏感个人信息的人组成，并通过email列表和其它方式传播。由于犯罪市场的持续增长，使没有保护措施的商业企业的公司和用户敏感信息受到有目的的攻击，因此承受了比以往更大的风险。如门禁系统之于办公室安全，我们企业的信息系统也同样需求着一套安全可靠的解决方案来避免信息盗窃。netgear全面网络安全解决方案航空母舰之所以能够成为最强大的战略战术性兵器，完全是由于其采用了全面且多层的防御策略，并进行主动式的检测。雷达是用于检测发现任何攻击的第一道防线。当发现有威胁时，航空母舰立即展开相应的防御机制，例如地对空导弹或雷达引导式机关炮，以保护航空母舰受到攻击。这里的每一个防御都扮演各自的角色，通过他们的共同配合使得航空母舰固若金汤。正如战争中机关炮、导弹和其它的传统武器一样，netgear亦采用全面且多层的防御策略来为网络提供全面的安全保护。从基于数据包和网络连接的网络安全到基于应用程序的恶意软件防御，netgear无所不能，将所有来自互联网的恶意威胁，包括通过email和web传输病毒、间谍软件、蠕虫、木马、后门和键盘记录器等，统统进行过滤阻挡。在过去的几年中，混合型的威胁，即结合两种或两种以上攻击类型的恶意软件，已变得更加突出。it管理人员已经长期使用反病毒、反间谍软件和其它基于桌面的安全产品来抵御互联网上的威胁。虽然这些方式也许已经充分保护了计算机，但在过去几年中，威胁情况依然迅猛增长。安全专家在2000年收集到50万个恶意软件的样本，到2009年为止收集的恶意软件样本已接近2000万之多。新的威胁类型和攻击者正在不断地出现，netgear的全面性网络安全解决方案可以帮助用户防范于未然，从多个不同的角度及层面对攻击行防御。防火墙解决方案防火墙技术是最早发展的安全技术，也是应用最普遍的安全技术，随着互联网的爆炸式发展，企业对互联网的应用日益依赖，安全的问题就变得越来越来重要。防火墙的作用，可以用一句话来概括：允许符合企业安全策略的数据包进入或出去。防火墙技术发展到现在，按照发展的不同阶段，主要有如下几种：种类实现技术包过滤防火墙工作在网络层，提供基于地址（源地址和目的地址）、协议、端口（源端口和目的端口）的访问控制。应用代理防火墙工作在应用层，提供基于应用级的访问控制，有能力实现对数据包进行详细的检测，能够在服务器和客户端之间充当网关，对企业的网络系统提供更高的安全保护和严格访问控制。状态检测防火墙工作在数据链路层和网络层之间，能够监控七层的通信状态信息，动态建立连接表，跟踪和控制通过防火墙的数据流，特别是对于无连接协议（如udp）和需要动态开放端口的程序（如ftp），能够提供更加安全的保护、控制。在选择防火墙产品的时候，主要有如下几种种类实现技术软件防火墙最早的防火墙产品，发行介质以软件为主，安装在网络操作系统上，如windows nt、windows 2000、sun solaris、linux等。安全风险极大，软件防火墙的安全主要依靠操作系统来保证。而操作系统由于代码的复杂庞大，安全漏洞永远存在，所以，软件防火墙发展到现在，几乎不再单独发行，而采用联盟的方式发展，通过结合第三方硬件厂商，或自身发展，以硬件的形式发行。pc结构防火墙pc结构的防火墙虽然不再以软件介质的方式发行，但由于其实现的技术是基于pc结构，在稳定性和无故障运行时间上，都处于很大的劣势，对于采用此类防火墙的企业来说，都会给企业的整个网络带来极大的潜在安全威胁。asic硬件结构防火墙唯一得到业界承认的真正硬件防火墙，区别于以上两种防火墙，此类防火墙对于企业来说，在稳定性、自身安全保护、无故障运行时间保证、防御攻击等方面，都是不错的选择。netgear防火墙是一种整合式动态包过滤的网络安全硬件设备，采用专用的asic硬件结构，专为互联网网络安全而设计，将防火墙、vpn和动态域名支持等功能集于一体，能够很好的满足不同场合对数据安全的需求。多数的netgear防火墙集成了硬件加速的ipsec加密算法性能、低延时，可以无缝地部署到任何网络中。下图为netgear防火墙设备部署示意图远程接入安全解决方案vpn即虚拟专用网络，它是利用公用网如internet来搭建企业的私人专用网络。当需要时，vpn从公用网中独占一部分带宽，作为私有网来使用，并且采用加密的方式传输网络数据；当vpn通讯结束后，这部分带宽又还给公用网。“虚拟”的概念是相对传统私用网络搭建方式而言的，vpn不需要建设远程连接，而是通过服务提供商提供的公用网来实现广域连接。vpn的使用和维护极其简单，当企业需要将建立一个跨越互联网的企业网络时，就不再需要承受专线的高费用和复杂维护，只要通过在总公司和各分公司建立一个vpn网关，通过adsl或其他宽带接入当地isp，就可以实现总公司和各分公司之间的vpn通讯。对于移动用户或出差在外的员工，可以通过相应的vpn客户端软件，只要用户接入当地的isp，就可以建立与总公司或分公司的vpn连接。目前适用于中小企业的主流的vpn技术包括ipsec vpn技术和ssl vpn技术，ipsec vpn和ssl vpn各有优缺点。ipsec vpn提供完整的网络层连接功能，因而是实现多专用网安全连接的最佳选项；ipsec vpn多用于“网网”连接。而ssl vpn的“零客户端”架构特别适合于远程用户连接，ssl vpn用于“移动客户网”连接用户可通过任何web浏览器访问企业网web应用。ssl vpn存在一定安全风险，因为用户可运用公众internet站点接入；ipsec vpn需要软件客户端支撑，不支持公共internet站点接入，但能实现web或非web类企业应用访问。ipsec vpn下图为netgear典型的ipsec vpn连接示意图：如上图所示，公司总部和各个分支机构的通讯的属于典型的 站点站点 架构，在这种情况下面使用ipsec vpn技术是比较恰当的。在总部安装一台fvx538，不同分支根据网络规模的不同可以使用档次的vpn设备。对远程个人用户，可以安装vpn拨号软件，这样远程用户不使用硬件设备也可以实现vpn远程接入。netgear公司针对不同规模的网络，提供了种类丰富的vpn防火墙设备。用户可以根据实际情况，优化选择不同档次的vpn设备。有效的提高vpn网络的性能价格比。ssl vpnssl vpn适用于“移动客户站点（网络）”连接。ssl vpn的移动用户使用标准的浏览器，无需安装客户端程序，即可通过ssl vpn隧道接入内部网络；而ipsec vpn的移动用户需要安装专门的ipsec客户端软件。正是由于sslvpn这种“零”客户端的特点，ssl vpn用户不受上网方式限制，用户只要使用ie浏览器，就可以实现vpn的连接。十分方便用户的使用。同时对于网络管理人员来讲，ssl vpn只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而ipsec vpn需要管理通讯的每个节点，网管专业性较强。由于ssl vpn自身的特性，它更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统（如：radius、ad等）结合更加便捷。正是出于ssl vpn的这些独特优势，ssl vpn越来越被一些客户所接受。作为业界领先的vpn设备制造商美国netgear公司，在提供ipsec vpn接入技术的同时也提供了新型的ssl vpn接入设备fvs 336g、srxn3205及utm系列等设备。为用户提供更加多样的选择和全方位的vpn互联解决方案。下图为netgear公司推荐的ssl vpn解决方案示意图：如上图所示，可以将ssl vpn设备放置在网络出口（网关）的位置。如果用户已经购买了网关设备，那么也可以将ssl vpn“旁路”的接入到网络中。同样也可以提供ssl vpn的功能。 fvs336g、srxn3205、utm等产品均是netgear整合了ip sec vpnssl vpn设备。它在支持防火墙功能的同时，最大支持多路ip sec vpn和ssl vpn接入。是一款多合一的网络vpn网络防火墙。具有极高的网络适用性，拥有很高的性能价格比。netgear所有的vpn 防火墙设备都是采用web界面进行管理和配置。用户不需要记忆繁琐，苦涩的命令就可以轻松的配置安全设备。netgear所有的安全设备都通过了vpnc的测试，可以和目前所有主流的安全设备厂商（cisco，netscreen，fortigate）的设备实现vpn连接。内容安全解决方案web安全互联网的使用已经成为我们日常生活中不可缺少的一部分，确实，有很多合法的商业机构的网站。然而，也有一些网站有恶意软件和其它基于web的攻击。在所有的这些基于web的威胁中，79%的合法网站被发现已经黑客通过注入恶意应用程序而劫持，此外，流氓网站能够象合法的站点一样通过网络搜索获得大量的访问游客，还有网络钓鱼攻击和其它方法等。为了合理地使用互联网，扫描病毒，其它恶意软件，以及url过滤才能保证公司能保持合当的安全要求。web防病毒2007年里，安全专家收到了接近200万个恶意软件样本。直到2008年底，这个数字估计超过了1500万。随着新威胁类型和攻击的不断出现，基于web的威胁成为了不断增长的问题。所以，it经理们需要采用覆盖范围广泛的全面安全措施。netgear prosecure安全平台使用优秀的安全架构在不降低网络性能的前提下，来保护网络免受来自于internet的威胁破坏。如病毒、蠕虫、间谍软件、特洛伊木马、rootkits、键盘记录器等。prosecure安全平台可以基于数百万的已知威胁和未知威胁库来扫描http、https（安全http）和ftp的双向流量的内容，主动发现并阻止安全威胁进入网络。prosecure安全平台采用了netgear专利的串流扫描技术，可在数据流进入网络时便扫描。而传统的扫描技术需要等到整个完整的文件接收完才能对其进行扫描。因此stm能够高效地处理大量的数据，并且在威胁进行网络之前就在网关的位置将其阻止。prosecure安全平台采用了企业级的url过滤引擎。其包含了64个url分类，以便于对url进行指定或阻止。stm url过滤引擎通过在全球服务提供商部署的云分布的http连接器来实时对url进行分类和更新，数据库中涵盖了超过1亿条以上的url条目。netgear prosecure stm url过滤引擎可以自我适应并分类之前未知的的url条目。不像一些低效的方式，需要管理员手动逐个提交新的条目。url过滤功能不仅阻止对禁止网站的访问，也阻止对包含间谍软件网站的访问。基于云的url过滤技术据谷歌反应，web页面的增长速度为每天10亿的页面。这样几乎无限量地收集信息不仅规模越来越大，而且其也越来越复杂。传统的方法已经不能够胜任准确地，有效地分类网站。存储和处理要求已经远远超出了本地数据库能力。对于大多数中小商用网络而言，如计算资源是难以胜任的，因此，下一代url过滤将是利用云计算的url过滤服务。基于云的url过滤并不依赖于本地数据库的有限资源进行分析和检测，也不是依赖于数据库更新最新的网站分类。相反，由于数据库本身就在“云”里，它能够在云中充分利用巨大的深度和广度的数据在云进行分类，威胁检测，分析和预防进行工作。专用的分类服务器可以根据实际网络的使用和普及方式进行完整的分类工作。要获得最准确的分类，从多个专门的资源和协议获取真正准确的信息是基于云的url解决方案中至关重要的,数据挖掘的引擎必须从资源中收集数据资料,，例如web的请求，即时通讯，钓鱼邮件，垃圾邮件和恶意软件。90年代中期本地黑/白名单90年代末本地黑/白名单2000初启发式检测2009年基于云的url过滤准确性差一般差极好覆盖范围差差极好极好带宽极好差一般极好更新差差一般极好总结不可扩展，资源集中，不准确互联网的增长速度远远超过了本地数据库存储能力不能实时传送准确的结果无处理性能和存储的限制，先进的本地缓存自动学习机制url过滤技术总结netgear基于混合云分布web分析技术由两个部分组成：prosecure网关安装在公司网络边缘和netgear 基于云的url网址分类中心。设备与网址分类中心实时通信，获取最新的url网址分类。netgear网址分类中心功能广泛，几乎无限的数据库包括分为64类的数以亿计的网址。大规模的计算和存储能力，通过部署在全世界的云服务提供商，从数以百万讲的http连接器中实时处理url网址数据资源。查看http请求，恶意软件的威胁，垃圾邮件和网络钓鱼电子邮件，网络流量分配等数据将通过分布式web部署数据挖掘代理发送到netgear网址分类中心并进行处理。与纯是基于云的技术不同的是prosecure 安全网关设备的本地url网址缓存，这个本地缓存为每一个独立的网络储存约50万条最为相关的网址，这些url网址的请求被保存在本地缓存并迅速处理，这有效地确保了每个独立网络的最佳性能和最大的意义。以下是prosecure设备的http-get 请求的过程：1位于prosecure设备的分布式web分析url网址过滤引擎从本地网络发出http-get的请求。2该引擎试图从设备上的本地缓存找到正确的网址分类。 a.如果分类处理引擎找到匹配的分类，http请求将根据配置进行允许或阻止的操作；b.如果找不到，包含url网址的http请求将被发送到netgear的url网址分类中心。3netgtear url网址分类中心将返回正确的分类给设备。4http请求将根据配置上的策略允许或阻止，然后在设备的本地缓存的条目中添加上去。email安全email仍然是一个流行和广泛传播威胁的媒介。垃圾邮件，网络钓鱼攻击，和恶意附件等是一些的在企业环境引入威胁的通用方法。此外，被感染的最终用户能够发送大量的垃圾邮件而自身却无不知情。因此，在网关上检查和过滤入栈和出栈的email流量是十分重要的。入栈的邮件检测可以帮助企业积极主动地阻止email的传播威胁，包括垃圾邮件，病毒，间谍软件，钓鱼攻击，和不合适的内容等。这点至关重要，因为它提供了重要的防线，以确保威胁不到不到终端用户。出栈的邮件检测，往往被企业所忽视，这是分布式的防御的另外一个重要组成部分，因为它可以提供企业被感染的唯一特征。netgear prosecure stm系列采用了最优秀的解决方案来主动保护用户和it架构免受垃圾邮件和通过email传播的安全威胁破坏。传统的垃圾邮件过滤技术仅限于对包头内容进行搜索定位，所以对大部分新的威胁基本上不起作用。而stm系列是基于高效广泛的云分布对垃圾邮件的爆发进行实时检测和阻止。一旦邮件被定义为垃圾邮件，那么扫描器将分配给它一个特征码，并且立即生成特征文件这种方法可以高效地在邮件广泛传播前阻止邮件爆发。netgear prosecure stm垃圾邮件云分布分析体系的优势包括：高检测率可以阻止高达97%的的垃圾邮件 对所有垃圾邮件均有效包括双字节语言和基于图片的垃圾邮件 低误判错判率误判错判率低于1/1,500,000 netgear prosecure安全平台使用优秀的安全架构在不降低网络性能的前提下，来保护网络免受通过email传播的威胁破坏。如病毒、蠕虫、间谍软件、特洛伊木马、rootkits、键盘记录器等。prosecure安全平台可以基于数百万的已知威胁和未知威胁库来扫描双向流量的内容，并且主动发现和阻止未被识别的的可疑安全威胁进入网络。应用程序安全prosecure 通过对应用程序特征码的判断，可智能地识别网络中的各种应用程序代码，从而通过对应用程序的控制功能来执行公司中的网络使用政策。通过阻止使用im软件，可以保持工作效率。而通过阻止流媒体、视频程序可以为公司节约带宽。同时也可以阻止烦人的工具条被下载和嵌入到浏览器上。目前prosecure 支持的常用程序控制如下表：实时通讯多媒体点对点下载常用程序icqitunesbittorrentalexa toolbargoogltalkquicktime电驴gotomypcqqreal playergnutellaweatherbugmircrhapsodyyahoo toolbarmsn yahoo messeger透明部署stm系列解决方案netgear prosecure stm内容安全网关采用透明桥接的方式，以便在不需要改动网络原有设置或增加设置的前提下，部署到网络中的任何位置。以下是 stm 平台最常见的部署情况，取决于企业网络环境和需要保护的区域而有所不同。用户可选择其中的一种方式或者混合的部署方式。网关部署在典型的网关部署时，将一台stm 平台部署在防火墙和核心交换机之间的网关位置，用于保护进入或离开局域网的 web 和email 流量。在这种部署方式中，stm 将同时扫描 web 和 email 流量。注意： 网关位置的部署时，建议将 stm 安装在防火墙的后面，以便防火墙能够发挥对 dos 攻击等的防御功能（这些攻击一般都不是通过 web 和 email 进行攻击的）。服务器组部署采用服务器组部署时，将一台stm平台部署在网关的位置，另一台安装在服务器组前方。这种方式的部署有利于分担网络的负载，并针对通过 email 传播的恶意软件和垃圾邮件，为 email 服务器提供了双向的保护。部署在网关位置的 stm 只针对web 流量进行扫描，部署在服务器组的 stm 只对 email流量进行扫描。图 2 服务器组部署局域网分段部署采用局域网分段部署时，每个网段部署一台 stm 平台进行保护。这种部署方式一方面有利于分担了网络负担，另一方面可保护每个网段免受来自于 internet 和其它网段的 web 和 email威胁。此时，所有 stm 均对 web 和 email流量进行扫描。图 3 局域网分段部署网关部署utm系列解决方案prosecure utm系列产品，是netgear第一款专门为商用网络设计的一体化安全设备，netgear prosecure utm统一威胁管理网关系列产品在netgear的 spi防火墙和vpn技术(ipsec vpn和ssl vpn)的基础上，引入netgear专利的串流扫描技术，再融合了企业级的防病毒（anti-virus）、web内容过滤（web-filter）、反垃圾邮件（anti-spam）、 入侵检测（ips）以及应用程序控制（appliacation control）等功能。主要针对来源于互联网的安全威胁，包括恶意软件、间谍软件、蠕虫病毒、垃圾邮件、网络钓鱼攻击等攻击进行有效防范，对进出的所有流量进行扫描分析，确保所有威胁和病毒在进入网络之前就被检测和处理。如上图所示，部署在内部网络和互联网出口防火墙之间的prosecure utm平台可对进出的所有基于web和email的流量进行扫描分析,确保所有威胁和病毒在进入网络之前就被检测和处理。prosecure stm/utm系列解决方案优势产品优势说明功能全面utm设备: 防火墙+防毒墙+vpn+垃圾邮件过滤+应用程序控制stm设备: 防毒墙+垃圾邮件过滤+应用程序控制+即插即用实时保护netgear专利的串流扫描技术可高效、实时扫描web流量中的恶意软件。全面保护同时保护web和email两大应用并涵盖六大协议：http、https、ftp、smtp、pop3和imap。特征库自动升级特征库每小时自动升级。关键更新比其它厂家提前若干小时。单一的平台通过向导可在几分钟内部署在网络中的任何位置。强大的管理能力安全且直观的web管理控制台。简单的许可证只有三种许可证：web、email、维护和支持。无用户数限制。通过在网络中合理的部署netgear prosecure 安全网关设备，可以有效的提升网络的安全级别，为网络用户提供良好的保护措施。其显著的特色如下：“三位一体”的全方位网络安全保护netgear prosecure stm网络安全设备集web, email, ftp防护于一体，单一的设备就可以为用户提供全面的网络安全防护功能。它是全世界第一款同时支持web，email，ftp协议的网络安全设备。传统的安全防护网络中，用户必须分别的购买web防护设备，email防护设备，管理和调试都是很繁琐，复杂的。安全不是产品的堆砌，netgear prosecure stm安全防护设备可以在一个平台上为用户提供web，email，ftp安全防护，极大的方便用户使用及产品部署，降低了系统造价，提升了工作效率。高效，可靠的安全防护技术netgear prosecure stm网络安全设备的防病毒引擎，垃圾邮件扫描引擎分别采用世界知名的防病毒厂商-卡巴斯基防病毒引擎以及 commtouch公司的垃圾邮件扫描引擎，netgear prosecure stm防病毒特征码数据库已经达到了千万条目级别，远远的超出了同类安全厂商的产品。借助于分布于全球的病毒及垃圾邮件检测中心以及先进的“云分布”检测算法，netgear prosecure stm产品可