SWG技术特点和应用场景分析

1Q&A赛门铁克的优势部署架构赛门铁克网络安全网关功能介绍互联网信息安全现况与趋势议程123452互联网信息安全现况与趋势32008年恶意代码数量呈爆炸性增长4恶意URL链接的爆发恶意代码被发现于:前100位站点的60%75%的合法网站谷歌搜索结果的1%Web应用程序=3/4都包括容易利用的漏洞目前所有新的恶意代码中都包括Web组件部分只有不到15%的企业拥有网络安全网关设备用于防护这些威胁和风险5攻击发展趋势向职业化发展趋于自动化，简单化更快速的利用漏洞攻击把恶意代码作为一种“服务”运行广阔的市场针对特定目标持久稳定的攻击阴险的利用“社交工程学”6网页式攻击(Web-BasedAttack)流程1.攻击者入侵合法网站2.使用者访问遭入侵的网站4.恶意服务器利用漏洞安装恶意代码3.使用者被重导至恶意服务器7Copyright©2009SymantecCorporation.Allrightsreserved.地下经济活动获利模式网络钓鱼网站僵尸网络地下经济体系受到危害的使用者8互联网安全防护市场的快速转变URL过滤多功能安全防护网关(防病毒-防恶意代码+URL+应用程序控制…)互联网安全防护市场从单点防护产品转变为集成化、平台防护体系9总结：应该如何进行网络安全防护？攻击方式趋势已窃取机密信息和僵尸网络为主要目的的威胁方式，从而获得经济效益我们需要全面的网络安全防护事前预防防止最终用户误访问带有恶意代码的目标网站防止最终用户滥用网络应用程序事中防御防止最终用户感染各种恶意代码，包括病毒、间谍软件、黑客工具等事后纠正发现内部可能存在的僵尸网络感染与扩散行为，并且进行阻截10赛门铁克网络安全网关功能介绍11新的威胁需要新的安全防护网关现有的解决方案是孤立的、不完善的防火墙与代理服务器URL过滤端点安全防护套件IDS和IPS系统全面的网络安全防护网关需求强制实施企业的上网合规策略恶意代码过滤URL过滤和报告Web应用程序控制主动防护：僵尸网络监测与阻截12什么是SymantecWebGateway提供基于互联网的深入检测和全面的防护

SWG提供的防护覆盖所有互联网端口和协议，并且提供多层次的深入保护高性能

在不影响最终用户正常使用的情况下提供高性能保障13检测防护修复SWG硬件型号SWG-8450SWG-8490Dell平台R200R710用户数1,00010,000吞吐率100Mbps1Gbps设备高度1u2u网口12专用管理接口YesYes冗余电源NoYes冗余硬盘RAID0RAID514WebGateway的构架策略引擎报告引擎高速数据流扫描引擎防间谍软件快速的数据流检测高性能吞吐(超过1Gbps)零延时(在线模式<2微秒)多功能处理多层检测网络数据包、URLs/IPs,、文件、

传送内容、应用程序、网络行为分析检测所有端口和协议(出站/入站)模块化便于与新的检测技术进行集成即插即用的平台15应用程序控制敏感信息防泄露防病毒僵尸网络监测URL过滤多层次、立体化的恶意代码防护能力针对互联网目标的三层恶意代码防护恶意的web域名(http)恶意的IP域名(基于IP传输的任何数据和协议)基于恶意代码分类的内容过滤技术(恶意代码,网络钓鱼等等)实时的恶意内容扫描恶意代码扫描

采用赛门铁克全球领先的防病毒引擎两方面的终端感染监测(赛门铁克专利技术)网络指纹识别技术活动恶意代码感染监测行为检测模式僵尸网络监测16Web网关URL过滤支持多种URL内容过滤数据库62个URL类别，超过1亿站点实时集成LDAP,活动目录,域控制器全面的web报告和告警基于用户、客户端、部门、企业等等基于web站点、种类、时间等等保存自定义报告、计划生成报告，并可以针对高优先级时间设置报警通过SNMP,Syslog,电子邮件和FTP进行导出灵活的策略控制以任何标准来创建策略控制策略执行的次序策略执行的时间17Web网关应用程序控制深入检查所有常用互联网程序的网络流量采用基于签名的技术支持超过100种应用程序和协议即时通讯,P2P,数据库应用,远程访问,VoIP等等…FTP,电子邮件传输协议,网络协议等等监控/控制应用程序的使用阻截/监控/允许

所有的应用程序种类(即时通讯,P2P等等)阻截/监控/允许

特定的应用程序(Yahoo,MSN等等)确保即时通讯的安全扫描接受的文件能够允许聊天，同时阻止下载行为制定基于身份验证的策略用户,组(OU或

部门),IP,子网18保护WEB2.0文件传输传统的Web下载或上传方式HTTP：人为或者自动下载FTP：FTP或FTPoverHTTP控制即时通讯的下载渠道阻止P2P下载19感染的客户端检测恶意代码的感染安装软件(在用户不干预的情况下进行)具有‘回拨’组件感染恶意代码的机器需要利用他们的“回拨”组件以特定的行为进行数据传送SWG利用这种特定的行为特征创建‘网络指纹’来检测和阻截僵尸网络行为20SWG独有的僵尸网络监测检查所有进出网络的流量检测典型的僵尸网络流量模式命令与控制通信IP扫描发送垃圾邮件多种行为检测技术来判断僵尸网络单一的行为模式匹配属于“疑似”，不采取措施阻截激活的僵尸网络休眠的僵尸网络被标记为“Inactive”21阶段二–僵尸网络激活

和扩散宿主扫描网络宿主发现感染机器并且开始尝试控制IP扫描,文件传输,发送垃圾邮件僵尸网络的生命周期和SWG的防护技术阶段一–初始感染木马下载社会工程学(诱骗,绑定下载,网络钓鱼等)可能通过多种渠道进行感染阶段三–僵尸网络休眠

等待下次命令等待下一次命令周期激活周期之间的时间间隔可能有数个月之久行为分析网络指纹技术C&C主机IP列表赛门铁克防病毒技术恶意目标站点列表

全球智能检测网络应用程序控制僵尸网络别标记为‘Inactive被监控到的休眠僵尸网络主机会被阻截SWG的防护技术22策略配置灵活的策略配置，可以基于如下条件:子网IP范围VLANID各种LDAP的属性（与WindowsLDAP目录集成）通过创建策略模板来简化策略的制定23Windows2003活动目录集成与Windows2003活动目录集成可以实现:识别最终用户登录能够创建基于LDAP的组策略通过使用两种方式实现最终用户登录识别NTLM验证无需安装任何客户端可能需要最终用户的配置一些兼容性的需求DCInterface在所有DC上安装代理应用程序最终用户无需安装任何程序适合较小一些的应用环境24完善的报告功能全面的报告选项仪表盘–量化所有的已知威胁执行摘要灵活的报告流程执行计划报告生成和导出选项优势实时洞察性能状况判断恶意代码趋势追踪潜在的恶意代码攻击行为25报警针对监控的事件进行报警感染,攻击,数据泄露系统故障服务的运行或停止,磁盘空间不足等报警方式Email,Syslog,SNMPTrap26赛门铁克网络安全网关部署架构27SWG的购买与运行模式两种软件许可购买选项SymantecWebGateway4.5基本产品(必须购买，SPS企业版包括此许可)SymantecWebGateway4.5URLFilterAdd-On两种运行模式WebGateway扫描/过滤/阻截流量记录日志策略管理集中管理搜集来自多个WebGateway中的日志数据为多个WebGateway进行策略管理28WebGateway部署选项在线部署(监控或者阻截)端口扫描/Tap(监控或者阻截)29监听功能所有端口及协议恶意代码,URLs,应用程序,僵尸网络阻断功能所有端口及协议恶意代码,URLs,应用程序,僵尸网络恶意内容下载下载：HTTP,FTP,IM部署模式(I)─Inline30ProxynotRequired监听功能所有端口及协议恶意代码,URLs,应用程序,僵尸网络阻断功能URLs,HTTP,TCP部署模式(II)─Span/Tap31部署模式(III)─Inlinew/Proxy监听功能所有端口及协议恶意代码,URLs,应用程序,僵尸网络阻断功能所有端口及协议恶意代码,URLs,应用程序,僵尸网络恶意内容下载下载：HTTP,FTP,IM32赛门铁克的优势33赛门铁克全球智能检测网络遍布超过70个国家的管理设备超过一亿两千万的威胁/病毒提交系统分布在超过200个国家的40,000+的探测器>10,000安全专家漏洞数据库欺诈:垃圾邮件&Phishing蜜罐网络数据库中包括25,000+漏洞

超过200万的探针网络账户超过8000个i地址的虚拟网络系统来自于8000个厂商的超过55,000+种技术捕捉过去未见得威胁和攻击模式每天统计超过10亿封电子邮件基于地域的服务器和僵尸网络处理能力每天超过2B事件日志每年生成超过100,000安全报警事件每天超过200,000的代码提交34VB100认证赛门铁克：

唯一一家连续通过45次VB100测试的公司35Copyright©2009SymantecCorporation.Allrightsres