20070622_天清汉马USG系列_主打胶片_V

安全变得 简单 ， 从天清汉马开始 北京启明星辰信息技术有限公司 安全变得简单，从天清汉马开始 天清汉马 2007年 6月 安全变得 简单 ， 从天清汉马开始 网关安全复杂之惑 天清汉马简单之美 简单是怎样炼成的 天清汉马功能特性 提纲 安全变得 简单 ， 从天清汉马开始 攻击对象的迁移使网关安全更加重要 攻击行为已经不再仅仅以电脑主机为攻击对象，网络资源也成为主要的攻击目标，这使得网关安全更加重要。 时间 单个 个局域网 单个 个局域网 单个局域网 单个 域网络 多个局域网 单个局域网 单个 击对象 1980S 1990S 2000S 安全变得 简单 ， 从天清汉马开始 独立部署 独立部署防不全、糖葫芦部署成本高 能够针对部分威胁或攻击进行防范，无法全面应对威胁攻击、非法活动、网络资源滥用。 能够较全面的对威胁进行防范，但存在成本高、协调性差、管理分散、性能受限等问题。 糖葫芦部署 蠕虫病毒 违法信息 非授权访问 火墙 病毒网关 蠕虫病毒 违法信息 非授权访问 安全变得 简单 ， 从天清汉马开始 网关安全之惑 “复杂”集于一身 面对复杂的威胁，如何选择和部署安全网关，如何进行安全策略实施，如何进行管理维护，都困扰着用户，“复杂”已经成为实现网关安全的最大困惑 威胁愈加复杂 选择部署复杂 管理维护复杂 策略实施复杂 蠕虫病毒 违法信息 非授权访问 火墙 入侵防御 蠕虫病毒 违法信息 非授权访问 ？ 区网 网管 网管员 网管员现场定位 置防火墙交换机 安全策略服务器 员数据库 火墙 路由器 全变得 简单 ， 从天清汉马开始 网关安全之道“简单”成为关键 复杂的威胁、复杂的部署、复杂的策略和复杂的维护，复杂让用户不知所措，让用户有“剪不断、理还乱”的感觉。 没有病毒侵扰，没有邮件投诉，一首歌，一杯茶，这该是安全的理想境界，于是，“简单”成为解决之道。 简单是一种趋势，过于复杂会失去存在意义 ，繁到终处方成简； 简单是一种态度，是把复杂留给自己，把简单留给用户的超然； 简单是一种积累，痛苦的“复杂”只有厚积薄发后才能变为喜悦的“简单” ； 简单是一种境界，是用户怡然自得、心无担忧的境界； 安全变得 简单 ， 从天清汉马开始 实现简单的必经之路 提高应用层检测精度 功能协同配合 功能与性能平衡 “对症下药”的关键和难点是准确判断病情；网关安全的难点在于精确检测； 性能性能功能功能性能性能功能功能重功能、轻性能 设备性能不足 重性能、轻功能 安全能力欠缺 这是全面防御和安全策略实施的基础，是 1+1 2不等式成立的关键 防病毒入侵检测防火墙安全变得 简单 ， 从天清汉马开始 网关安全复杂之惑 天清汉马简单之美 简单是怎样炼成的 天清汉马功能特性 提纲 安全变得 简单 ， 从天清汉马开始 选择部署简单 选择简单 。 不需考虑成本和功能的矛盾，根据需求选择软件使用许可； 部署简单 。 只需部署一个硬件平台；对网络环境影响小； 免重新规划；省心又省力； 功能增加简单 。 增加新的高级安全功能，只需购买使用 原有网络没有任何影响，简单至极； V W 全变得 简单 ， 从天清汉马开始 防御威胁简单 检测威胁简单 ：动静结合，基于原理的检测方法和基于特征的检测方法并存，轻松实现全面、精确的检测； 控制威胁简单 ：根据检测结果和既定策略实现全自动精确控制； 防御威胁简单 对于威胁的检测简单化处理和控制简单化处理，使防御威胁变得非常简单，用户安全无忧。 安全变得 简单 ， 从天清汉马开始 策略实施简单 简单 统一策略实施模板 任何策略的实施，一个页面、一套模板，人性化的提示、简单的操作，让原本烦琐的策略实施工作变的轻松自如。 安全变得 简单 ， 从天清汉马开始 管理维护简单 界面定位快捷化 到任何配置界面最多按键三次 配置操作简单化 任一策略配置在两个界面内完成 安全策略模板化 所有安全服务配置在一个模版上完成 关键业务自动化 自动升级、自动报警、自动报表 安全监控方便化 定制化报表、图形化展示 集中管理统一化 基于组的集中管理、一次配置整体生效 安全变得 简单 ， 从天清汉马开始 网关安全复杂之惑 天清汉马简单之美 简单是怎样炼成的 天清汉马功能特性 提纲 安全变得 简单 ， 从天清汉马开始 实现简单的关键与基石 一体化是天清汉马实现简单的关键，包含设计一体化、部署一体化、防御一体化、管理一体化。 “简单”是安全的外在表现形式，而技术上的积累和创新是成就“简单”的基石。 设计一体化 部署一体化 防御一体化 管理一体化 一体化是实现简单的关键 技术积累与创新是实现简单的基石 安全变得 简单 ， 从天清汉马开始 基石 1需求导向的产品开发过程 正是需求导向的产品开发过程，使“简单”的需求浮出水面，并使“简单”成为天清汉马 采用贴近用户需求的先界面、后产品的开发模式 。 这种开发模式所需资源投入大、周期长，但是开发出的产品与用户需求藕合度最高。 采用“用户深度参与”开发模式。 产品立项之前，启明星辰历时三个月，在全国 9个省 20个城市，对 120余个用户样本进行了详尽的当面调研，用户样本覆盖政府、教育、金融、电力等 8大行业； 产品管理界面开发过程中，组织网管员 30余名进行提议，获得有效建议 800多条，采纳 200多条； 安全变得 简单 ， 从天清汉马开始 基石 2十年深厚积累 第一， “积极防御技术实验室”（ 国内建立最早、最健全的攻防研究、事件分析团队 第一，信息安全博士后工作站在启明星辰 包括研究精确识别各类攻击的原始算法 第一，被授权察看微软源代码的信息安全厂家 第一，获得国内各种安全事件信息 第一，中国入侵检测、专业安全服务市场占有率第一 更多第一， 全变得 简单 ， 从天清汉马开始 基石 3国际领先的软件技术架构 报文预处理 流分类 为分析引擎 模式匹配引擎 内容过滤处理引擎 防病毒处理引擎 防垃圾邮件处理引擎 流量整形 报文重组 行为知识库 统一特征库 管理中心 数据中心 天清汉马采用“检测与控制相分离，引擎特征相统一”的一体化设计思想和方式，软件架构处于国际领先水平。 安全变得 简单 ， 从天清汉马开始 威胁阻断 协议指纹库 络报文 法报文 协议指纹识别 协议验证 协议分析 协议验证规则库 协议分析库 普通的协议识别方法只能准确到网络层，启明星辰专利技术的高效率协议自识别方法保障应用层协议识别准确率高达 95以上。 基石 4协议自识别让应用层协议识别更准确 专利编号： 专利名称：一种自动协议识别方法及系统 安全变得 简单 ， 从天清汉马开始 基石 5基于行为分析的合法性检查技术 威胁样本库 正常样本库 行为提取 权重 n阀值 N? 疑似威胁 疑似正常 是否威胁 ? 是否正常 ? 权重调整 权重调整 是 否 否 是 是 否 行为验证流程 五万条样本数据 百万次循环 止进程 终止服务 删除文件 修改图标 修改注册表 自动下载文件 频繁读写硬盘 强行关闭系统 阀值 1 权重 权重 权重 例 行为验证 威胁阀值 :1 为权重 行为权重 1：为权重 2： 行为权重 n：束 结束 威胁阀值 行为权重 1 行为权重 2 行为权重 n 准确的行为知识库 针对未知威胁与攻击做到精确检测与有效控制。 安全变得 简单 ， 从天清汉马开始 基石 6综合分析引擎技术 分析处理引擎数据分析流程包 包报文预处理应用协议重组模式匹配结果重组还原报文包 包包包 包包报文预处理报文预处理应用协议重组应用协议重组模式匹配模式匹配结果重组结果重组还原报文还原报文包包 包包包包 包包消耗系统资源25 消耗系统资源50 消耗系统资源 25 将各功能分析引擎归一化，以使关键性能消耗单元最小化，保证整体性能提升最大化。 安全变得 简单 ， 从天清汉马开始 基石 7特征库设计一体化 特征格式化 一体化设计保证整体性能提高超过 40 一体化设计实现了特征库的统一，通过对病毒特征库、入侵特征库、内容过滤特征库、垃圾邮件特征库进行格式化和归并处理形成 采用标签方式进行标识，极大的提高了多功能协同运作的运行效率。 安全变得 简单 ， 从天清汉马开始 基石 8优化的匹配算法为性能加速 O ( N ) O ( 线性匹配 树型匹配 规则数 时间 线性匹配 随着规则数的增大，树型匹配的消耗时间的增长速度远远低于线性匹配 查找子串（模式） 正文 : .模式 : 动 比较 树型匹配 快速模式集合匹配 型匹配（ 高比较效率，并且采用多种优化技术实现 快速集合匹配 专利编号： 专利名称：一种自适应多模式匹配方法及系统 匹配效率与库大小无关，与文本大小无关。 安全变得 简单 ， 从天清汉马开始 基石 9可追查性检查 可追查性检查从 靠对邮件的来源进行追查来判断是否为垃圾邮件的技术。该项技术是当前国内外最先进的垃圾邮件分析技术。可以有效识别 95%以上的垃圾邮件。 发送邮件服务器 接收邮件服务器 天清汉马 域名溯源 域名地址 邮件接收者 邮件发送者 可追查性检查的基本理念： 可以溯源的邮件为正常邮件，反之，不可溯源的邮件为垃圾邮件 域名解析地址与发送服务器地址一致 专利编号： 200410008824X 专利名称：防垃圾邮件的实现方法 安全变得 简单 ， 从天清汉马开始 基石 10基于知识库的防 通过不间断的学习过程，规划出一套数学模型（知识库） ,用以在超大流量攻击到达时迅速检测出异常的流量。 通过归纳产生有效性概率条件，超大流量时有效性概率较高的连接优先建立，概率较低的连接予以丢弃。 数据包 超过阀值？ N 成功率超过阀值？ 计算丢弃概率 丢弃概率超过阀值？ 丢弃连接 计算 识库 计算连接成功率 N Y Y Y N 支持攻击类型： 过创新技术准确应对超大规模的 安全变得 简单 ， 从天清汉马开始 网关安全复杂之惑 天清汉马简单之美 简单是怎样炼成的 天清汉马功能特性 提纲 安全变得 简单 ， 从天清汉马开始 非法应用蠕虫传播网络攻击完全阻断 正常业务顺利放行 网络滥用异常流量、障网络更清新、业务更流畅。 多样化的控制手段让业务更流畅 安全变得 简单 ， 从天清汉马开始 安全无忧的坚固防御体系 专业的产品研发团队，十年积累 启明星辰 检测技术的积累 状态检测技术 应用还原重组技术 协议自识别技术 漏洞机理分析技术 网络异常分析技术 行为关联分析技术 启发式分析技术 事件统计合并技术 用户自定义特征 漏洞机理分析技术 精确抵御黑客攻击、蠕虫、木马、后门 网络异常分析技术 全面防止拒绝服务攻击 应用还原重组技术 抑制间谍软件、灰色软件、网络钓鱼的泛滥 业界最完善的攻击特征库 50多类，超过 2000多的黑客攻击特征 应用层协议自识别技术 封堵网络滥用 络安全博士后工作站 安全变得 简单 ， 从天清汉马开始 流防毒技术对爆发过程实施严格控制 网关防病毒不是为了替代主机防病毒软件，两者关注重点不同。 主机防病毒软件关注对主机资源的防护 网关防病毒关注病毒爆发的过程控制，是对网络资源的防护 天清汉马 基于流模式： 蠕虫、恶意脚本、部分木马和文件病毒；总计 2， 5000； 全面扫描模式： 件感染病毒，宏病毒，脚本病毒，蠕虫，木马，恶意软件（灰色软件），用户可以选择启用哪些病毒库；总计 100，000； 安全变得 简单 ， 从天清汉马开始 用户可以在任何 安全丰富的 单位总部 分支机构 远程办公 合作单位 丰富的手段 活的部署 善的安全保障 3务质量保障 Q/全变得 简单 ， 从天清汉马开始 全面控制 M 网游 阻断、限速 基于时间阻断 完全阻断 检测并控制 00种 检测并控制 00种 安全变得 简单 ， 从天清汉马开始 多种手段全面防御垃圾邮件 可追查性检查 数量控制 病毒扫描 实时黑名单 黑白名单 关键字过滤 专利技术： 保证接收的邮件都是可以追查到来源的，对于不能追查来源的邮件一律判定为垃圾邮件 全变得 简单 ， 从天清汉马开始 所有功能开启时，性能下降最少 一体化设计的 简单技术叠加 与简单技术叠加的 体化设计的天清汉马产品能够更好的保障设备的整体可用性能。 100%为防火墙功能处理性能 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% V+W W+V 安全变得 简单 ， 从天清汉马开始 流量自学习 异常流量 目 的 排 名源 排 名数据统计 数据分析 控制手段 多个伪造源 多个 一个 网络扫描 /蠕虫爆发 连接数猛增 阻断 限速 拆连接 最实用的流量监控手段 据流量 带宽使用摘要 应用的带宽分布 带宽使用实时统计 安全变得 简单 ， 从天清汉马开始 定位快捷操作简单 到任何配置界面最多按键三次，任一策略配置在两个界面内完成 。 配置安全策略 新建安全策略 新建地址对象 配置完成 安全变得 简单 ， 从天清汉马开始 预定义安全策略模板 预定义安全策略模板 金融行业安全策略模板 政府行业安全策略模板 企业用户安全策略模板 教育行业安全策略模板 所有安全服务策略配置在一个模板上完成。 安全变得 简单 ， 从天清汉马开始 关键业务自动完成 部 单 ， 从天清汉马开始 图形化监控、定制化报表 设备状态监控 报表定制输出 安全类型统计 统计 设备连接数统计 定制化报表文件 安全变得 简