手机热点安全技术

热点安全技术分析

——防火墙架构、UTM架构技术介绍——

DPI技术分析——IT内控、安全管理2023/1/7目录防火墙架构、UTM架构技术介绍DPI技术分析IT内控与安全管理Page2网络安全需求的演变安全威胁正由单纯的网络层向应用与数据/业务层演进；网关设备正朝着“路由＋交换＋无线＋安全”相互融合方向发展；网络安全设备需要处理的业务类型和对数据包文的还原能力越来越强，对处理性能需求在成倍的提高。物理层应用层数据/业务传输层网络层链路层会话/表示层2000200419962008DoSDDoS网络蠕虫冲击波文件病毒BotNet钓鱼网络病毒威胁管理（FW/VPN）威胁管理(IDS)2000年前2000-20042004-20082008-2010威胁管理(IPS)内容安全（终端防病毒）安全管理（基础网管）安全管理（SOC）威胁管理(Anti-DDoS)内容安全（反垃圾邮件）安全管理（单点登录）安全管理（SIEM）威胁管理

(NGFW)内容安全

(UTM)内容安全（URL过滤）内容安全（消息安全）内容安全（Web安全）内容安全（数据库安全）安全服务（MSS）安全服务（咨询、评估）安全服务（应用安全评估）安全服务（IP信誉评估）安全服务（IP信誉评估）融合一体化交换路由无线ADSL安全Page3网络带宽发展演变早期网络应用较少，带宽需求低随着网络应用的丰富，带宽需求越来越高云计算语音、图片以及视频开始得到应用网络为我们带来了丰富的应用和便捷的通讯方式，极大提高了沟通效率，随着更多网络应用的实现，对网络传输带宽的需求也必将大幅度增长。下一代的网络应用对带宽提出了更高的要求多媒体应用兴起早期应用以文本为主Page4中国Internet迅猛发展CNNIC中国互联网络信息中心数据截至2007年底，中国国际出口带宽由2001年的3G飞速增长到接近400G，平均不到12个月翻一翻，超过传统的摩尔定律(Ｇbps)Page5防火墙发展历程NP＋专用安全平台ASIC+专用安全平台CPU+专用安全平台X86+通用操作系统第一代第二代第三代第四代十兆性能.安全性差.已淘汰百兆性能.无提升空间.小型网络千兆性能.灵活性差.逐渐淘汰千兆性能.灵活性中.中型网络技术进步防火墙系统架构随着网络和技术的发展而发展，在性能、灵活性之间徘徊；随着网络经济时代的来临，面临新的抉择；第四代第五代：?????如何应对新的挑战？Page6各种硬件架构对比分析随着安全业务越来越复杂,在应用层处理性能,网络层处理性能,可扩展性,灵活性等方面具有综合优势的”多核”架构成为未来发展趋势X86ASICNP处理器多核处理器优势软硬件架构开放，产业链完善可灵活满足4－7层复杂业务处理需求定制，性能高功耗低可靠性高有一定灵活性性能高、功耗低可靠性高性能高（多核并行处理）功耗低、可靠性高可灵活满足4－7层复杂业务处理需求劣势小包性能低网络协议处理能力差；功耗大，系统噪音大，可靠性较低无法满足高层应用灵活性要求对于4－7层的复杂应用处理能力有限对于IT应用等业务无法支持技术门槛较高Page7防火墙硬件架构比较ASIC低灵活高性能高成本高可靠X86高灵活低性能低可靠中成本灵活性性能较灵活高性能中成本高可靠NP高灵活高性能中成本高可靠Multi-CorePage8采用多核架构的独特优势运算速度每18个月翻番网络带宽每12个月翻番新的网络应用层出不穷网络带宽增长快于运算速度增长全球能源消耗量：1973－2005年扩大68％节能减排战略挑战多核的优势软件灵活性高高性能单位功耗低硬件加速引擎加密需求、内容处理快速增长Page9“万兆”性能能应对之策分布式多核处处理整机总容量集中式多核处处理集中式单核处处理处理平台集中式多核架架构可满足10G以下的处理性性能要求,对于处理流量量在万兆以上上的节点则显显得力不从心心,而分布式架构可担此重任!1G10G100GPage10ATCA平台简介ATCA（AdvancedTelecommunicationsComputeArchitecture）是由由PICMG组织及100多个电信信与IT著名名厂商参与制制定，面向电电信级网络市市场需求制定定的开放标准准。ATCA为电信产业业提供一套开开放的标准硬硬件平台，让让电信设备制制造商能将其其技术资源从从开发专利型型硬件，改为为快速研发新新一代的应用用与服务。使得在统一、、开放的电信级IT网网络架构下下全面面支持持X86、嵌入入式处处理器器、NP、多核核处理理器等等当前前主流流处理理器平平台变变为现现实。。Page11华为安安全网网关产产品系系列Eudemon200Eudemon100EEudemon500Eudemon1000小型企企业、、远程程办公公中小型型企业业华为电电信级级硬件件防火火墙，，从桌桌面型型到千千兆高高端型型设备备，以以卓越越的性性能和和先进进的安安全体体系架架构为为您的的网络络提供供强大大的安安全保保障！！Eudemon300Eudemon200S大中型型企业业USG3040USG3030USG50Eudemon8080Eudemon8040全球权权威的的安全全产品品测试试机构构USG5320USG9100中型企企业大型企企业/数据中中心USG5330USG5350USG5360USG2110USG2130USG2200USG9300Page12NIP网络入入侵检检测系系统强大的的入侵侵检测测能力力，可可识别别千余余种入入侵行行为，，及时时感知知安全全隐患患；详尽的的网络络监控控能力力,提供邮邮件、、通讯讯、文文件传传输、、服务务器状状态监监控，，防止止信息息外泄泄；丰富的的流量量统计计功能能，准准确掌掌握网网络运运行情情况和和安全全状态态；强大的的协作作联动动能力力，可可同防防火墙墙、路路由器器等设设备进进行联联动，，抵抗抗非法法攻击击，净净化网网络环环境；；精准的的攻击击识别别能力力，采采用IP重组组、、TCP流优优化化等等技技术术，，提提高高了了检检测测效效率率及及其其准准确确度度，，确确保保低低误误、、漏漏报报率率。。InternetDMZ内部部网网ERP文件件共共享享WebE-mailNIP引擎擎WEB监控控邮件件监监控控MSN监控控文件件传传输输监监控控会话话监监控控服务务器器监监控控外部部网网入侵侵检检测测NIP控制台Page13Sensor1Sensor2检测引擎管理控制台防火墙交换机交换机InternetDMZIntranet支持真正的虚虚拟引擎技术术Page14网络入侵检测测与防御解决决方案②通知防火墙墙联动LAN防火墙ALERT！③终止入侵①检测到攻击击，报警记录日志，，审计取证IDS交换机流量镜像服务器Page15出口路由器核心交换机服务器接入交交换机移动办公汇聚交换机汇聚交换机汇聚交换机服务器区办公区网络1下级单位……防火墙SACGSACG防火墙防火墙防火墙NIPSecospaceTSMAntivirus防火墙VPNVPNNIP服务器区边界安全：防火墙及VPN内网安全：SACG及网络入侵检检测系统服务器区安全全：安全网关及网网络入侵检测测系统终端安全：Secospace及防病毒网络优化：：防火墙融合合路由器网络优化：：刀片服务器器整合网络络基础设施施办公区网络络2办公区网络络3整体安全解解决方案Page16中国联通GSM-WCDMA分组网安安全项目攻击流量：：正常流量：：PS域SGSNGGSNPDN网络无线网络漫游网络网管网络BGMS2MS1USG9000隔离PS域和PDN网络移动终端在在PS内不直接通通信，而是是通过防火火墙进行通通信，避免免蠕虫爆发发避免针对网网元的攻击击节省带宽资资源抵御来自Internet的各种攻击击Page17挑战3G数据业务将将是电信大大量拓展的的业务；作为互联网网和PS域出口需要要高性能、、高可靠的的安全网关关设备监控控；方案案在PS出口口部部署署USG9000高端端设设备备；；双机机热热备备并并通通过过透透明明模模式式直直路路部部署署；；对于于流流经经业业务务进进行行安安全全隔隔离离和和监监控控；；价值高可靠：：分布式式处理、、关键器器件冗余余，业界界最先进进可靠设设计；高性能：：提供最最大80G防护性能能，能够够应对各各种安全全威胁；；高扩展：：基于知知识库管管理架构构，可以以实时更更新各种种防御算算法和技技术；中国电电信CDMA网网络业业务运运营安安全项项目Page18辽宁电力安安全防护项项目万兆光纤以太网路由器服务器区省电力内网网国网USG5350USG5350内网区营销服务器器ERP服务器USG9110USG9110USG9110USG9110路由器路由器路由器通信信道区区USG5350USG5350路由器路由器沈阳市电电力内内网服务器区内网区营销服务器器ERP服务器铁岭市电力内网本溪市电力内网辽阳市电力内网阜新市电力内网营口市电力内网朝阳市电力内网抚顺市电力内网葫芦岛市电力内网USG5350USG5350路由器路由器大连市电电力内内网服务器区内网区营销服务务器ERP服务器丹东市电力内网盘锦市电力内网锦州市电力内网鞍山市电力内网Page19目录防火墙架架构、UTM架构技术术介绍DPI技技术分析析IT内控控与安全管理理Page20网络流量量怎么了了？企业管理理的困惑惑员工在工工作时间间内的在在线视频频、聊天天等行为为，降低低企业工工作效率率，并带带来安全全上的隐隐患公司业务务的开展展无法得得到足够够的带宽宽保障上网行为为无法管管理Page21网络流量量怎么了了？运营商的的苦恼新应用对对网络的的冲击管道化现现象严重重无法针对对不同类类型的流流量如何何进行分分类计费费策略？？网络宽带带设备的的不断升升级，依依然无法法跟上网网络应用用“多样样化”带带来的带带宽需求求Page22P2P耗耗尽带宽宽P2P流行应用用日益广广泛运营商网网络中P2P流量超过过60%，高峰时时期超过过80%P2P流量保持持高速增增长趋势势宽带资源源无法满满足“黑洞””一般的P2P流量吞噬，用户的的正常业业务和其其他应用用受到严严重影响响。0500,0001,000,0001,500,0002,000,0002,500,0003,000,0003,500,0004,000,0004,500,0005,000,0005,500,0006,000,0006,500,0007,000,0007,500,0008,000,0008,500,0009,000,0009,500,00010,000,00010,500,0000500,0001,000,0001,500,0002,000,0002,500,0003,000,0003,500,0004,000,0004,500,0005,000,0005,500,0006,000,0006,500,0007,000,0007,500,0008,000,0008,500,0009,000,0009,500,00010,000,00010,500,000Page23互联网业业务流量量监控数据来源：CNCERT—2009年年中国互联网网网络安全报报告P2P下载/即时聊天/网络多媒体网页浏览/代理服务器/网络多媒体Page24VoIP带来来的冲击VoIP应用给运营商商带来挑战原理：利用互互联网从ＰＣＣ到ＰＣ传送送文件或实时时电话语音。。私有协议，更更高效的语音音编码算法无需专门服务务器，无需管管理庞大的用用户，数据传传输依托互联联网全球用户数超超过3.7亿，同时在线人人数超过10,000,000.其SkypeOut付费服务高速速增长，而运运营商语音业业务ARPU值则持续降低低Page25HTTP承载载了太多传统网页浏览览新趋势我们如何区分分和控制HTTP流量？下载类-断点续传传统统P2P下载网络存储流媒体Page26传统方法无法法满足现网流流量分析传统方法无法法准确识别出出网络流量中中的应用协议议类型五元组数据流基于物理端口口、IP层和TCP/UDP层了解流量状状态基于TCP/UDP的端口识别应应用协议基于IP的流量统计以五元组的形形式提供数据据流的信息，，用于分析用用户的行为典型：Netflow、NetStream等技术端口误用与重重用无法分辨业务务类型Page27网络流量的““X光片”网络流量数据据对运营商及及行业客户的的网络规划、、运维等具有有重要作用。。谁是网络应用用流量分析的的幕后英雄？？Page28改变格局的利利器——DPISource:YankeeGroup,2007*5representingthemostimportantapplicationofDPIDPI准确感知流量量中的应用，，是保证网络络可用性、可可测量性和可可管理性的必必备技术手段段！DeepPacketInspectionPage29“知”“识””就是力量--KnowledgeisPowerDeepPacketInspectionDPI的定义通过对对报报文文的的应应用用层层数数据据进进行行内内容容检检测测，，分分析析报报文文或或流流在在IP和UDP/TCP层以以上上及及各各种种隧隧道道内内部部的的应应用用类类型型。。DeepPacketInspectionDPI的价值值流量识识别流量管管理内容计计费内容安安全DeepPackageInspectionADSL用户VoIPHTTPP2PInternetPage30DPI-Module对对网络络流量量的分分析BT、Emule、迅雷雷、DC、PPLive……Skype、MSNQQGoogleTalk等音视视频聊聊天…联众、QQ游戏、传传奇、魔魔兽世界界…123P2PVOIPGameDPI-Module未知网络络流量……P2PVOIPGamePage31DPI-Module产品形形态DPI-Module流量解析引擎模块协议识别知识库知识库升级模块CBB引擎知识库安全扩展知识库恶意代码库僵尸网络库Page32DPI-Module业务流流程流量解析析引擎负负责加载载协议特特征知识识库，对对输入的的7层数据进进行识别别，输出出识别出出的各类类协议或或应用的的类型。。Page33DPI-Module流量解解析引擎擎通过模式匹匹配算法法，根据据已知协协议的内内容特征征，对网网络报文文的应用用层内容容进行匹匹配检索索单包匹配、、多包匹匹配、多多流匹配配特征检测测对通讯控制制通道和和数据传传输通道道分开的的应用协协议，将将多个通通道流量量进行协协同检测测对于某些业业务类型型已经判判定的流流量，可可以通过过三元组组对与同同一主机机端口进进行通讯讯的不同同流量进进行关联联判断关联识别别通过分析各各种应用用的连接接数、单单IP的连接模模式、上上下行流流量的比比例、数数据包发发送频率率等指标标来区分分应用类类型行为检测深度业业务检检测Page34流量解析引引擎基于特征匹匹配应用协协议识别基于关联的的协议识别别自定义协议议规则检查查自定义协议议规则添加加、删除、、激活查询自定义义协议规则则信息保存自定义义规则到文文件知识库加载载知识库在线线更新知识库升级级热切换…某类协议的的识别开关关数据包数检检测阈值自定义协议议默认优先先级支持根据协协议进行参参数配置关联表老化化时间系统的准确确率门限特定协议关关联识别开开关日志信息配配置和输出出告警信息配配置和输出出支持调试接接口…配置管管理日志告告警Page35流量解析引引擎的优势势产品应用已应用7个产品线功能、性能能全部达标标满足产品生生命周期内内技术支持持服务应用简便常用API约20个API总数不超过过100个详尽的函数数说明文档档Demo开发指南可移植性-操作系统支持Linux支持VxWorks支持RMIOS支持Windows可移植性-硬件平台支持x86x86-64MIPSPowerPCPage36协议识别知知识库精确协议检检测支持协议700+主流应用协协议全覆盖盖支持热门加密P2P协议快速响应定定制化需求求20092010201160010001300+支持协议数量>96%热门协议识识别精度Page37协议识别知知识库升级级协议更新每2周刷新热门门协议，及及时跟踪需需求变化定制更新接受客户指指定的协议议，快速完完成协议解解析在线更新通过云安全全服务升级级网站，自自动远程更更新知识库库Page38DPI-Module特性之HTTP承载流量细细分1234流媒体51网络存储81网络邮箱24PeerCasting40HTTP细分Page39DPI-Module特性之加密P2P流量检测每个会话用用单独的密密钥固定端口动态端口协议加密封堵端口特征过滤P2P软件运营商MSE/PE加密技术Diffie-Hellman密钥交换协协议RC4加密算法BitTorrenteMuleThunder99%99%96%97%98%98%华为DPI-Module未加密加密Page40DPI-Module特性之Skype流量检测Skype流量精确识识别SkypeOut>99%SkypeVoIP>92%P2P架构+SuperNode256位AES加密+RSA生成密钥多种反跟踪踪+反破解技术术客户端自适适应网络环环境，动态态使用UDPorTCPorHTTPorHTTPS协议与外部部通信。Page41DPI-Module特性之蠕虫检测精确蠕虫检检测技术特征识别行为识别蠕虫爆发环环境仿真Page42DPI-Module特性之僵尸网络检检测可检测僵尸尸网络数目目：200+0100200300400500600北京重庆福建广东广西贵州海南河北黑龙江河南香港湖北湖南江苏江西吉林辽宁澳门内蒙古山东上海山西陕西四川天津新疆浙江其他523精确地理定定位，便于于消除风险险丰富的报表表，为摧毁毁僵尸网络络提供更多多信息全面覆盖主主流的僵尸尸网络Page43DPI-Module助力SIG成为为明星产品品内部网Internet镜像链路SIGSSPSPSSRS/SAS/DB控制链路DPI-Module通过应用DPI-Module，SIG可以对网络络流量进行行深度检测测，识别出出每条流所所属的应用用协议。判断是否是是网络攻击击、网络病病毒、垃圾圾邮件并发发出告警；；收集、存储储用户上网网的流量信信息、时长长、次数以以及使用的的应用类型型；通过深度的的分析挖掘掘为客户提提供高层的的决策支持持等。SIG=ServiceInspectionGateway业务监控网网关Page44DPI-Module最具具价值的应应用领域DPI-Module能力应用领领域网络可视化业务优化带宽管理安全防护Page45网络可视化化IPTrafficADSL用户Internet企业用户移动用户WAP/MMSHTTP/FTPRTSP/RTP/RTCPP2P应用分析用户分析用户分类管管理用户带宽占占用分析用户流量趋趋势分析用户网络应应用分析流量流向分分析流量流向趋趋势分析链路/链路组流量量流向分析析AS域/IP域流量流向分分析会话分析了解网络流流量构成为精细化运运营提供数据支撑了解网络资资源使用为带宽管理理提高数据据支撑了解用户网网络使用情情况为个性化差差异服务数数据支撑网络可视化化业务优化带宽管理安全防护Page46带宽管理基于时间的带宽管理P2P/Video/voice/Games其他应用9:0023:00带宽用户A其他用户用户B基于用户的带宽管理带宽基于应用的带宽管理P2P/Video/voice/Games其他应用带宽网络可视化化业务优化带宽管理安全防护应用场景:P2P流量占用了了现网中的的大部分带带宽，关键键业务受到到影响。实现方法:针对P2P流量、P2P应用的不同同种类、不不同时段进进行控制。。带来的好处处:提高高带带宽宽使使用用率率，，缓缓解解扩扩容容压压力力，，保保证证关关键键业业务务的的用用户户体体验验。。PCRFSIG9800Page47QoS管理新的业务务需要更更高的带带宽质量量保证视频会议议、语音音等新应应用需要要保证高高带宽，，低时延延和抖动动在数据包包转发过过程中提提供更好好的网络络服务，，比如:降低丢包包率避免网络络拥塞调节网络络流量设置数据据包的优优先级网络可视视化业务优化化安全防护护出队列顺顺序中优先级普通优先级高优先级低优先级入队列顺顺序带宽管理理Page48差异化服服务场景景-差异的接接入带宽宽用户C用户B用户AMailIMWEBWEB+Mail+IM受限P2P应用OnlineGamesWEB+Mail+IM无限制P2P应用姓名：用用户A带宽：512K业务类型型：基础础服务允许业务种种类：WEB+Mail+IM姓名：用户户B带宽：1M业务类型：：增强服务务允许许业业务务种种类类：：基础础服服务务+P2P(繁忙忙时时段段<100Kb/s)姓名名：：用用户户C带宽宽：：2M业务务类类型型：：高高级级服服务务允许业务种类类：基础服务+P2P(无限制)+OnlineGamesSIG9800网络可视化业务优化带宽管理安全防护PCRF(RM9000)Page49基于应用的计计费模式-按时间/流量计费按时间计费:在用户上线的的时刻开始计计费，到用户户下线的时刻刻停止计费，，按照在线的的时间长短根根据预先设定定的费率进行行计费。按流量计费:按照用户使用用网络所发生生的流量，按按照不同协议议或应用所设设定的不同费费率进行计费费。P2PdownloadingOnlineGameOnlineVideo$0.8/Min00:00am9:00am18:00pm12:00am$0.2/Min$0.5/MinP2PdownloadingWAP/MMSAccessOnlineGameOtherServicesOnlineVideo网络可视化业务优化带宽管理安全防护ConnectDisconnectWAP/MMSAccessOtherServicesP2PTrafficFee1Time:1:00am—9:00am$0.02/min2Time:9:00am—18:00pm$0.05/min3Time:18:00pm—1:00am$0.08/min4UnrestrictedTime$80/MonthP2P业务包按时间间计费举例：：Page50功能:将垃圾邮件发发送者、感染染蠕虫和僵尸尸网络的用户户的访问重定定向到提醒页页面带来的好处:在用户的网络络出现安全威威胁时提醒用用户以避免遭遭受攻击.提升用户的满满意度告警&建议:垃圾邮件蠕虫病毒僵尸网络个性化业务体体验-安全状况提醒醒(AoS)网络可视化业务优化带宽管理安全防护InternetSIG9800告警页面SGSN/GGSN无线接入BRASDSLAMPage51安全防护-为什么要防护护DDoS攻击僵尸电脑僵尸电脑攻击者企业网络IDC/专线用户普通用户网络可视化业务优化带宽管理安全防护普通用户拥塞停止服务特点：专业的检测和和防护：通通过动态基线线技术动态的的学习被防护护对象的流量量模型，结合合独有的指纹纹识别技术,有效、快速检检测和防范各各种小流量和和应用层的DDOS攻击。带来的好处：：为IDC和企业用户提提供DDOS防护的增值服服务，获取收收益。减缓攻击流量量对网络带宽宽造成的压力力。Page52Internet安全提醒:通过告警页面面提醒垃圾邮邮件发送者清清除木马和僵僵尸报表:SIG9800将疑似的垃圾圾邮件发送着着汇总形成报报表异常检测:SIG9800通过用户异常常行为分析及及时判断由于于中僵尸和木木马而大量外外发邮件的用用户安全状态提醒醒异常检测疑似流量选择择网络可视化业务优化带宽管理安全防护安全防护-垃圾邮件检测测和控制特点：记录邮件信息息便于日后取取证控制手段：限限制SMTPSession、限制邮件数数量、限制SMTP带宽、阻断SMTPSession带来来的的好好处处：：防止止大大量量外外发发垃垃圾圾邮邮件件的的IP地址址被被加加入入RBL有损损名名誉誉通过过安安全全提提醒醒，，提提高高用用户户满满意意度度Page53专业的抗抗DDoS攻击解决决方案监测及分分析中心心控制及清清洗中心心智能安全全管理中中心Internet负载均衡衡服务器区区1攻击流量量通过互互联网直直达目标标：目标标被攻瘫瘫、链路路拥塞;2通过流量镜镜像或分光光，对全部部网络流量量进行实时时检测分析析;3识别攻击源源、被攻击击的目标以以及攻击特特征，上报报结果;4根据预先配配置的策略略，向清洗洗中心通告告攻击源、、目标、攻攻击特征；；5通过BGP发布主机路路由，把攻攻击流引到到清洗中心心清洗。6对清洗后的的流量进行行回注：策略路由，，MPLSVPN方式，GRE方式；7上报攻击流流量清洗结结果，以及及各种攻击击日志。Page54监测中心清洗中心管理中心GDC攻击流量正常流量分析数据安全策略Internet流量镜像或或分光路由策略抗DDoS攻击解决方方案简化版版Page55安全防护-蠕虫/僵尸网络防防护蠕虫防护特特点：基于特征和和基于行为为的检测方方式基于链路、、用户的控控制手段僵尸网络防防护特点：：基于特征的的检测，区区分控制者者和感染者者基于大客户户和公众客客户的控制制手段带来的好处处：保护网络中中用户不受受蠕虫和僵僵尸网络的的危害，提提高用户满满意度减少网络中中恶意流量量对链路带带宽的占用用，提高带带宽使用率率网络可视化化业务优化带宽管理安全防护特征库在线线升级告警&建议:蠕虫病毒僵尸网络Page56DPI-Module全球应应用分布全球管理流流量10000G+3G

TelecomPage57目录防火墙架构构、UTM架构技术介介绍DPI技术术分析IT内控与安全管理Page58ProtectionResponsePolicyDetectionRecoverySA:Secospace代理SS:Secospace服务器SACG:安全接入控制网关SA企业内网认证后域1认证后域2LocalBranch核心网络SACGVPNGateway认证前域第三方防病毒服务器认证后域3企业外网PartnerInternetSS服务器源自华为最最佳信息安安全实践的的终端安全全解决方案案安全策略检查安全接入控制行为监控补丁修复资产管理软件分发文档安全通过安全接接入控制、、策略检查查、加固、、审计、授授权加密等等手段为企企业提供全全面内网终终端安全和和文档安全全管理解决决方案Page59Secospace终端安全管管理解决方方案…终端防护主机防火墙防病毒联动接入控制安全接入控制制网关交换机+802.1x安全策略管理理安全策略检查查员工行为管理理资产管理补丁管理Secospace终端安全管理理实现企业内内网信息安全全一体化解决决方案，有效降低企业业IＴ实施复杂度度，使IT性能最大化软件分发Page60阻止非授权用户隔离修复不安全用户华为Secospace终端安全管理理解决方案授权访问实时监控用户户行为安全策略身份认证行为监控管理维护安全检查授权访问审计取证隔离修复敏感资源核心资源一般资源修复区Page61Page62允许接入申请接入网络络安全检查修复开放权限拒绝接入通知修复身份认证SACGSASRSSC/SM安全接入控制制流程场景1:某非授权用户户企图接入网网络.场景2:不安全终端完完成修复后接接入网络.场景景3:合法法用用户户接接入入网网络络.FailFailPassPassPassPass802.1XSwitch接入入主主体体强制制设设备备策略略判判断断修复复Page62用户户管管理理用户户漫漫游游异地地授授权权Web客户户端端登登陆陆日日志志文件件操操作作日日志志强大大的的动动态态加加解解密密技技术术实时时文文档档权权限限控控制制组策策略略与与权权限限模模板板用户户管管理理文档档权权限限管管理理日志志审审计计Secospace文档档安安全全管管理理通通过过实实时时权权限限控控制制，，提提供供安安全全授授权权下下的的机机密密信信息息共共享享，，使使信信息息所所有有者者能能够够定定义义信信息息的的访访问问者者、、访访问问方方式式和和时时间间等等，，并并记记录录文文档档操操作作日日志志，，助助力力企企业业构构建建安安全全可可控控的的文文档档安安全全管管理理平平台台Secospace文档安全管管理系统（DSM,DocumentSecurityManagement）Secospace文档安全管管理Page63SecospaceDSM工作流程程向外分发信息1、信息保护用户加密文件文件权限信息上传12、安全验证用户操作认证密钥和权限信息存入DS23、信息分发通过Internet,邮件附件，ftp下载，其他存储设备34、信息访问接收用户认证暂时获取密钥和权限授权离线操作，可缓存密钥4身份验证失败无法下载权限信息禁止外部用户访问无访问身份及访问权限DSM服务务器器DSM客户户端端DSM客户户端端外部部用用户户有效解决：主动泄密黑客窃密意外丢失Page64文档档管管理理———实时时权权限限控控制制用户户组组D用户户组组C用户户B用户户A权限限只读读修改改分发发打印印离线线使使用用√√√√√√√√√√√————————基于于用用户户组组完善善的的权权限限管管理理，，保保证证合合适适的的人人在在合合法法授授权权下下，，使使用用合合适适的的文文档档，，主主动动防防止止各各种种信信息息泄泄密密行行为为。。除除了了只只读读、、修修改改等等，，还还可可控控制制：：权限有效期限限制，可自动动使内容过期期，无论文档档在何处周期性时间控控制，指定每每天固定时间间段内才能访访问，增加了了访问控制可可灵活度打印/只读次数设置置，严格控制制文档访问和和打印次数，，提供更高安安全性完善的权限管管理AdobeReader6.0，7.0，8.0Microsoft2003(SP3orlater),XP(SP1),2007JPG,GIF支持丰富的文文档格式，满满足企业各类类商业信息安安全共享和保保密需求复制完全控制√√√——————Page65SecospaceLogAudit日志审计系统统ServerRouterSwitchIDS/IPSFirewallAuditCenterconsole审计中心控制台SASSLTCPSNMPTRAPSYSLOGSYSLOGSYSLOGOPSECLogCollectorAgent日志采集器日志采集代理理FirewallAgent日志采集代代理LogCollector日志采集器器AuditCenter审计中心Console控制台Page66日志审计-主要功能日志采集日志处理日志存储与与查询日志统计日志审计审计事件响响应日志报表丰富的报表表海量日志存存储、查询询日志统计与与审计审计事件响响应日志采集、、处理SecospaceLA日志审计Page67SecospaceLogAudit日志采集功功能操作系统日志采集

Solaris系统

AIX系统

HP-UX系统

SUSE-Linux系统

Windows2000/XP/2003常用软件日志采集

Oracle数据库

MSSQLServer数据库

Sybase数据库

Apache服务器

IIS服务器

NortonAnti-Virus网络设备日志采集防火墙日志(如HUAWEIEUDEMON,CISCOPIX、

NETSCREEN)IDS日志(如ISSREALSECURE)

路由器日志(如CISCO7206)

交换机日志(如HUAWEIS3526)日志审计系系统通过在在服务器安安装代理来来采集日志志，并且通通过日志采采集器收集集各种网络络设备的日日志。Page68网络和安全全管理总体体要求降低运维成本集中策略管理高可靠性VPN管理快速故障定位实时性能监控日志管理Page69►拓扑管理————————————————————————————丰富的视图图类型拓扑自动发发现►性能管理————————————————————————————实时性能管管理性能统计►安全策略集集中配置————————————————————————————►日志管理————————————————————————————Syslog、SNMP、Flow►故障管理————————————————————————————告警浏览告警统计告警确认和和同步告警屏蔽、、远程通知知告警转储、、相关性规规则VSM主要要特性►VPN管理————————————————————————————L2TPVPN管理，IPSecVPN管理►网元管理————————————————————————————系统管理，，设备管理理，单板管管理，接口口管理路由交换设设备►系统管理————————————————————————————日志管理、、访问协议议参数设置置、用户管管理安全策略、、虚拟防火火墙、攻击击防范、内内嵌防火墙墙web页面Page70SecowayeLog日志管理系系统SecowayeLog日志管理系系统（简简称eLog）：提供对华为为安全设备备和网络设设备日志进进行采集、、分类、归归并、分析析、转储、、查询、监监控、告警警、报表管管理，帮助助网络管理理员高效地地从海量安安全数据中中提取和挖挖掘关键安安全事件，，提高对恶恶意侵袭的的监控和防防范能力。。eLog系统构成：：RouterSwitchEudemon防火墙LogServerconsole日志服务器控制台SYSLOG/NATSYSLOGSYSLOG/NATLogCollector日志采集器SYSLOGUSG安全网关

LogCollector

日志采集器

LogServer

日志服务器

Console控制台Page71实时的设备备和网络流流量监控流量分析与与监控DDoS主机排行P2P流量分析DDoS流量分析接口流量分析流量实时统计基础流量分析应用流量分析P2P用户排行P2PCLASSPage72IP骨干网总部大楼MPLSVPNMPLSVPN供电公司超高压公司司MPLSVPNSACGSACGSCSCSM网络管理SCSASA…SRSSACGSASACGSACGSxxxxSxxxxARxxxxS3952PSA：Secospace代理SRS:安全修复服服务器SACG：安全接入入控制网关关SM：Secospace管理器SC：Secospace控制器华北电网IT内控解解决方案Page73兴业银行全全国内网安安全解决方方案深圳…上海…SRS核心资源服服务器…Eudemon300内部网络SPSLDAP认证后域认证前域Eudemon300AD域服务器分支机构…SASASASASASASA…Eudemon300SPS:Secospace安全策略服服务器SRS:Secospace修复服务器器SA:Secospace代理SACG:Secospace接入控制网网关SACGSACGSACG防病毒服务务器补丁服务务器InternetEudemon300Eudemon300Page74Page752022/12/299、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Thursday,December29,202210、雨中黄叶树树，灯下白头头人。。13:38:1313:38:1313:3812/29/20221:38:13PM11、以我独沈沈久，愧君君相见频。。。12月-2213:38:1313:38Dec-2229-Dec-2212、故故人人江江海海别别，，几几度度