绿盟产品介绍简课件.ppt

绿盟科技安全产品介绍,赵志勋（广州分公司技术部)2008/4,绿盟科技介绍,公司概况,多项顶级资质,多项卓越荣耀,行业客户,中国人民银行12省采用绿盟科技产品中国农业银行6省采用了绿盟科技产品电力行业中，绿盟科技的产品已在7个省得到了应用,中国电信/网通总部和10个省采用了绿盟科技的产品和服务中国移动/联通总部和14省采用了绿盟科技的产品和服务,行业客户,银河证券、广东电视台等用户连续六年与绿盟续签安全服务诸多国内外知名企业、网站选择绿盟科技安全解决方案与服务,产品服务概览,绿盟科技安全产品,绿盟专业安全服务概览,11,入侵检测保护系统介绍,绿盟科技入侵保护解决方案,绿盟科技“冰之眼”网络入侵保护系统ICEYENIPS（IntrusionPreventionSystem）,虚拟补丁-预先、自动拦截黑客攻击，使攻击无法造成损失,流量净化-过滤恶意流量和垃圾流量，为网络加速,行为管理-实现面向应用层的网络数据内容安全防护,新一代的入侵保护系统,三大亮点,领先的漏洞预警能力,“MicrosoftthanksNSFocusforreportingthisissuetousandworkingwithustoprotectcustomers“-微软公司感谢绿盟科技与我们并肩工作,共同保护用户的网络安全,绿盟科技深入的漏洞挖掘能力，提供了远超一般安全厂商的“漏洞预警能力”，与一般厂商的“威胁预警能力”相比较，领先一步,漏洞预警,案例：MS-06-040,微软发布安全公告,Nsfocus进行漏洞分析,“魔波”蠕虫出现,蠕虫爆发！,8月8日,8月9日-11日,8月11日下午,8月12日,通知漏洞netapi漏洞发布微软发布KB921883,漏洞分析结果用于扫描器插件更新入侵检测系统规则更新,蠕虫进入”孵化期”成都分公司反映成都电信ADSL用户出现断网现象,蠕虫进入高发期全国陆续出现ADSL用户大面积断网报告CERT确认为蠕虫爆发,RatingDefinition：CriticalAvulnerabilitywhoseexploitationcouldallowthepropagationofanInternetwormwithoutuseraction.,基于对象的虚拟系统,提供基于对象的虚拟系统可以针对不同的网络环境和安全需求，不同部门和网端需求,制定不同的规则和响应方式，实现面向不同对象、实现不同策略的智能化入侵检测,虚拟系统（VIDS）,失效开放Fail-open,当出现以下情况时自动切换到直通状态，避免单点故障：软件故障硬件故障电源故障,Fail-open,三种部署模式,单级部署,主辅部署,多级部署,1,3,2,市场排名,安全审计系统介绍,面临的主要问题,内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全；企业重要业务数据库，被员工或系统维护人员篡改牟利、外泄，给企业造成巨大的经济损失；,员工随意通过网站访问、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生；员工在论坛发表敏感信息、传播非法言论，造成恶劣社会影响；,面临的主要问题,等级保护要求国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计。萨班斯法案在美国上市公司必须遵循的“萨班斯(SOX)法案”中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计。公安部82号令明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件。,绿盟科技安全审计解决之道,冰之眼安全审计系统ICEYESAS（SecurityAuditSystem）,产品功能,内容审计提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。,内容审计类型,网站访问邮件（SMTP、POP3、WEBMAIL）论坛文件上传下载(HTTP、IM等）远程终端访问（TELNET、FTP等）数据库访问（ORACLE、SQLServer等）文件共享（NETBIOS)即时通讯（IM）.,产品功能,行为审计根据设定行为审计策略，对网络应用行为进行监测，对符合行为策略的事件实时告警并记录。,行为审计类型,网站访问远程终端访问（TELNET、FTP等）数据库访问（ORACLE、SQLServer等）文件上传下载(HTTP、IM等）邮件（SMTP、POP3、WEBMAIL等）论坛即时通讯（IM)P2P下载在线视频网络游戏.,产品功能,流量审计提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。,流量审计类型,HTTPSMTPPOP3WEBMAILP2PIM.,基于对象的虚拟审计系统,基于对象的策略管理系统针对不同的网络环境和安全需求，制定不同的规则和响应方式，实现面向不同业务应用、不同部门职能、不同策略的智能化安全审计,虚拟审计系统（VAS）,三种管理模式,WEB应用防火墙介绍,Web应用安全现状,Web应用防护ROI分析,传统防火墙力不从心,产品特性,深度Web应用防护,细粒度DDoS攻击防护,工作模式,旁路监听目的：接入网络前学习网络环境、了解攻击特征,在线部署,安全网关介绍,传统安全网关问题,性能,1000Mbps二层转发,OSI分层,100MbpsIPS入侵保护,15MbpsHttp病毒,17Mbps垃圾邮件,20Mbps内容审计,网络层,应用层,数据链路层,800MbpsNAT转换,200MbpsIPSECVPN,典型传统安全网关性能数据二层可以做到线速转发应用层性能快速下降,硬件级别的ASIC逻辑和NP引擎微码很难实现复杂的应用协议处理，只能对部分算法进行加速；当今主流的ASIC、NP构架，都有一颗x86CPU应用层的安全防护基本是由X86CPU来实现，依旧延续了传统x86体系安全网关的性能不足问题,ASIC/NP不适合七层应用处理,ASIC/NP安全网关硬件构架,2019/12/15,40,可编辑,多核平台硬件构架,多核CPU,双Flash存储,内存,L2缓存,芯片控制器,高性能27层协议处理,高速无阻塞通道,I/O模块,I/O模块,I/O模块,I/O模块,转发芯片,多千兆并行数据转发,多层检测引擎协同检测,内置抗DDoS黑洞模块,2002年，中国第一家专业抗DDoS设备；业内著名的NSForceteam小组跟踪DDoS攻击最新动态；截至2007年底，保护着500Gbps的现网容量；,内置专业防病毒引擎,冰之眼安全网关,卡巴斯基（Kaspersky）防病毒库强强联合：专业网关厂商专业病毒厂商性能优异，能够查杀多达35万余种病毒病毒库全球同步更新,SSL+IPSEC双VPN系统,多VPN合一，节省投资；实现不同VPN系统的过渡；充分利用不同VPN优势；IPSEC性能高，网关接入；SSL灵活性较高，移动客户端接入,SG典型应用角色综述,远程安全评估系统介绍,漏洞造成的严重损失,病毒事件WORM,非授权访问,敏感信息窃取,拒绝服务攻击,渗透测试,来源：CSI/FBI2006调查报告,需要进行“未雨绸缪”的漏洞管理,操作系统和应用漏洞能够直接威胁数据的完整性和机密性。流行蠕虫的传播通常也依赖与严重的安全漏洞。黑客的主动攻击往往离不开对漏洞的利用。,99%ofsecuritybreachestargetknownvulnerabilitiesforwhichthereareexistingcountermeasures.CERTCoordinationCenter事实证明，99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。,信息系统越庞大，越需要对网络和系统中的漏洞进行有效管理。,首款硬件化安全评估产品，第一时间主动诊断安全漏洞并提供专业防护建议。依托专业的NSFOCUSSecurityTeam，综合运用NSIP(NSFOCUSIntelligentProfile)等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞；针对网络资产的安全漏洞进行详细分析，并采用权威的风险评估模型将风险量化，给出专业的解决方案；提供OpenVM(OpenVulnerabilityManagement)工作流程平台，形成有效的漏洞管理体系。,漏洞管理系统VulnerabilityManagementSystem漏洞评估系统VulnerabilityAssessmentSystem漏洞扫描器VulnerabilityScanner,与通常的软件扫描器相比，极光承载的硬件嵌入系统平台经过特别优化结合高效扫描引擎，扫描最高速度5IP/分钟加载全部规则、扫描同一目标系统，扫描速度为常见扫描产品3-5倍，同时误报率低于5%最大允许并发扫描50个IP地址,独立硬件设备,多角度、细粒度的统计报表，从多个视角深刻反映网络的整体安全状况，对漏洞分布、危害、漏洞TOP10、主机信息等进行了统计分析,实现流程化的漏洞管理,“五个”过程漏洞预警：获得权威漏洞信息漏洞检测：检测资产存在的漏洞风险分析：准确定位风险漏洞修复：补丁系统联动漏洞审计：确认漏洞风险“三个”思想流程化自动化开放性,部署模式,独立部署网络较为集中部署一台极光设备分权管理和使用,多级分布,独立部署,多级分布多级网络结构本地扫描数据汇总、集中管理不增添新的安全隐患,终端安全管理系统介绍,用户挑战补丁与病毒更新不及时非法外联难以控制、数据泄密攻击方法多样，内网安全难以防范移动设备接入网络无法管理软硬件资产滥用，资产安全无法保障,各种内网安全问题,数据泄密,应用软件滥用,内部网络面临各种安全威胁,移动接入,越权访问,补丁与病毒更新,非法外联,商业影响安全威胁的风险增加生产力降低helpdesk费用增加,黑客攻击,蠕虫病毒,安全体系的缺陷,防火墙入侵检测垃圾邮件网关漏洞扫描,防病毒软件？,安全体系缺陷,失衡,外网安全,内网安全,完善安全体系,防火墙入侵检测垃圾邮件网关漏洞扫描虚拟专用网,防病毒软件网络准入控制终端保护补丁分发资产管理应用监控,平衡,完善安全体系,内网安全,外网安全,产品功能,安全策略保护模型,自动发现所有网络接入行为多种发现机制：子网代理发现、网络交换发现,循环扫描系统是否遵守策略,基于主机、交换机访问控制强制,补丁自动升级病毒库自动升级,集中安全策略管理丰富策略模板定义,黑洞抗拒绝攻击系统介绍,感染主机数的国家排名,在2006年上半年，中国拥有全球最多的僵尸主机,2007国内DDoS实例,AntiDDoS防护需求,抗拒绝服务系统的需求,透明：借助运营商安全接入服务实现安全防护,实时：发生DDoS后立即启动防护，减缓攻击,易用：防护系统能够简单、便捷完成防护过程,可防护各类基于网络层、传输层及应用层的拒绝服务攻击，如SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及连接耗尽等常见的攻击行为；借助内嵌的“智能多层识别净化矩阵”，实现基于行为异常的攻击检测和过滤机制，而不依赖于传统的规则库匹配等方式；提供完备的流量检测、网络监控、设备管理、报表生成功能；支持灵活的部署方式，适用于多种复杂的网络环境；通过方案设计，可以组成具备海量攻击防御能力的系统。,抗拒绝服务系统(ADS),黑洞抗拒绝服务攻击系统型号丰富，既有面向中小企业用户开发的“攻击检测、攻击防御和监控管理”一体化产品，也可以提供适合运营商、IDC、大型企业用户应用需求的产品套件综合解决方案。,66,多路由协议支持，灵活部署灵活的流量牵引、回注技术（GRE、VRF）未来无限扩展,流量牵引旁路方式透明串联接入方式灵活选择,由简至繁多环境适应多类型设备配合,骨干及城域网核心,数据中心及大型ICP,电子商务、金融和政企网站,IDC内部客户及中小ICP,简单透明接入应用针对性防护,全类型网络适应能力,标准黑洞群：20G,10G黑洞子群,Defender4003,Defender4000,20G出口,网络异常流量分析系统介绍,专网用户关注,运营商关注,异常流量分类,异常流量分析系统(NTA),流量分析产品的部署,安全配置核查工具介绍,基线安全蓝图,设备功能要求规范规定了适用范围内设备必须满足的最低安全功能要求和推荐（可选）满足的安全功能要求。功能要求内容和具体厂家产品无关设备配置要求规范规定了适用范围内设备最低安全配置要求和推荐（可选）采用的安全配置要求规范应用设备入网：保证新设备达到功能要求工程验收：保证验收上线的设备符合配置要求日常维护：保证在网设备持续符合配置要求,设备需求,系统工作机理,检查的系统及设备路由器华为、CISCO、Juniper数据库Oracle、SQLserver、Informix操作系统Windows、Solaris、AIX、HP-UX、Linux安全设备防火墙：华为、CISCO、Juniper入