绿盟产品介绍(简)

绿盟科技安全产品介绍赵志勋（广州分公司技术部)2008/411公司简介2产品服务概览3入侵检测保护系统介绍4安全审计系统介绍5WEB应用防火墙介绍6安全网关介绍8安全终端管理系统介绍9黑洞抗拒绝攻击系统介绍10网络异常流量分析系统介绍11安全配置核查系统介绍7远程安全评估系统介绍绿盟科技介绍公司概况ISO27001认证英国西海岸实验室认证国家二级安全服务资质CVE认证证书国家一级应急处理服务资质EAL3认证多项顶级资质08移动运营商最佳安全服务奖

北京奥运信息安全保障双冠王国家级应急服务支撑单位全国信息安全标委会工作组成员

08电力行业优秀解决方案奖03-08年最佳安全服务品牌NIPS入选国家级863火炬计划多项卓越荣耀行业客户电信银行政府机关电力中国人民银行12省采用绿盟科技产品中国农业银行6省采用了绿盟科技产品电力行业中，绿盟科技的产品已在7个省得到了应用中国电信/网通总部和10个省采用了绿盟科技的产品和服务中国移动/联通总部和14省采用了绿盟科技的产品和服务行业客户证券新闻企业网站银河证券、广东电视台等用户连续六年与绿盟续签安全服务诸多国内外知名企业、网站选择绿盟科技安全解决方案与服务产品服务概览绿盟科技安全产品极光远程安全评估系统AURORARemoteSecurityAssessmentSystem冰之眼网络入侵检测/防护系统ICEYENetworkIntrusionDetection/PreventionSystem冰之眼安全审计/内容管理系统ICEYESecurityAudit/ContentManagementSystem冰之眼安全网关ICEYESecurityGateway（FW/UTM）冰之眼WEB应用防火墙ICEYEWebApplicationFirewall黑洞抗拒绝服务攻击系统COLLAPSARAnti-DoSSystem黑洞网络流量分析系统NTANetworkTrafficAnalysisSystem矩阵终端安全管理系统MATRIXPOINTEndpointSecuritySystem绿盟专业安全服务概览11安全咨询服务

SCS风险评估网络安全评估

系统安全评估

数据库安全评估应用安全评估

渗透测试

代码审计安全策略流程审计合规咨询等级保护咨询SOX缺陷修补

体系设计安全域划分与安全策略ISMS建设

认证辅导ISO27001认证辅导

可管理安全服务MSS

预警Alert防护Protect监控Monitor响应Response事件管理

(EM)Tend安全事件通告应急预案制定与演练行业安全事件监控紧急事件响应处理

现场值守特别支持脆弱性管理

(VM)Tend安全漏洞通告全面漏洞评估

安全加固

补丁管理委托扫描新兴安全漏洞研究威胁管理

(TM)Tend安全威胁通告安全策略调整异常流量监控与分析

安全监控新兴攻击技术研究合规管理

(CM)Tend

合规基线咨询报表分析

日志智能分析

产品安装务务PDS产品安装服务产品培训服务

产品服务包

X-TendDoS照料

[DDoS]TendDDoS预警服务全面策略调整服务异常流量监控与分析服务紧急事件响应处理服务DDoS技术研讨安全基线咨询服务日志智能分析服务现场值守特别支持服务

新兴攻击技术研究服务入侵保护

[IP]Tend威胁通告服务安全策略调整服务委托安全监控服务紧急事件响应处理服务威胁技术研讨

委托日志分析服务现场值守特别支持服务

新兴攻击技术研究服务漏洞管理

[VM]Tend漏洞通告服务全面漏洞评估服务委托扫描服务紧急事件响应处理服务漏洞技术研讨补丁管理服务委托报表分析服务新兴安全漏洞研究服务

安全加固服务

客户端照料

[Client]Tend漏洞通告服务安全基线咨询服务委托日志分析服务紧急事件响应处理服务威胁通告服务

客户支持服务CSS技术咨询

软件支持

硬件支持产品通告

产品巡检软件模块升级

软件版本升级

硬件型号升级快递上门

先行替换培训服务TS初级培训中级培训

高级培训定制培训入侵检测保护系统介绍绿盟科技入侵保护解决方案绿盟科技“冰之眼”网络入侵保护系统ICEYENIPS（IntrusionPreventionSystem）虚拟补丁---预先、自动拦截黑客攻击，使攻击无法造成损失流量净化---过滤恶意流量和垃圾流量，为网络加速行为管理---实现面向应用层的网络数据内容安全防护新一代的入侵保护系统三大亮点领先的漏洞预警能力“MicrosoftthanksNSFocusforreportingthisissuetousandworkingwithustoprotectcustomers“-微软公司感谢绿盟科技与我们并肩工作,共同保护用户的网络安全绿盟科技深入的漏洞挖掘能力，提供了远超一般安全厂商的“漏洞预警能力”，与一般厂商的“威胁预警能力”相比较，领先一步漏洞预警案例：MS-06-040微软发布安全公告Nsfocus进行漏洞分析“魔波”蠕虫出现蠕虫爆发！！！8月8日8月9日-11日8月11日下午8月12日通知漏洞netapi漏洞发布微软发布KB921883漏洞分析结果用于扫描器插件更新入侵检测系统规则更新蠕虫进入”孵化期”成都分公司反映成都电信ADSL用户出现断网现象蠕虫进入高发期全国陆续出现ADSL用户大面积断网报告CERT确认为蠕虫爆发RatingDefinition：CriticalAvulnerabilitywhoseexploitationcouldallowthepropagationofanInternetwormwithoutuseraction.基于对象的虚拟系统提供基于对象的虚拟系统可以针对不同的网络环境和安全需求，不同部门和网端需求,制定不同的规则和响应方式，实现面向不同对象、实现不同策略的智能化入侵检测虚拟系统（VIDS）失效开放Fail-open当出现以下情况时自动切换到直通状态，避免单点故障：软件故障硬件故障电源故障Fail-open三种部署模式单级部署主辅部署多级部署132市场排名安全审计系统介绍

面临的主要问题内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全；企业重要业务数据库，被员工或系统维护人员篡改牟利、外泄，给企业造成巨大的经济损失；员工随意通过网站访问、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生；员工在论坛发表敏感信息、传播非法言论，造成恶劣社会影响；

面临的主要问题等级保护要求国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计。萨班斯法案在美国上市公司必须遵循的“萨班斯(SOX)法案”中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计。公安部82号令

明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件。绿盟科技安全审计解决之道冰之眼安全审计系统ICEYESAS（SecurityAuditSystem）产品功能内容审计提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。

内容审计类型

网站访问邮件（SMTP、POP3、WEBMAIL）论坛文件上传下载(HTTP、IM等）远程终端访问（TELNET、FTP等）数据库访问（ORACLE、SQLServer等）文件共享（NETBIOS)即时通讯（IM）......产品功能行为审计

根据设定行为审计策略，对网络应用行为进行监测，对符合行为策略的事件实时告警并记录。

行为审计类型

网站访问远程终端访问（TELNET、FTP等）数据库访问（ORACLE、SQLServer等）文件上传下载(HTTP、IM等）邮件（SMTP、POP3、WEBMAIL等）论坛即时通讯（IM)P2P下载在线视频网络游戏......产品功能流量审计提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。

流量审计类型

HTTPSMTPPOP3WEBMAILP2PIM......基于对象的虚拟审计系统基于对象的策略管理系统

针对不同的网络环境和安全需求，制定不同的规则和响应方式，实现面向不同业务应用、不同部门职能、不同策略的智能化安全审计虚拟审计系统（VAS）三种管理模式WEB应用防火墙介绍Web应用安全现状Web应用防护ROI分析传统防火墙力不从心产品特性深度Web应用防护细粒度DDoS攻击防护工作模式旁路监听目的：接入网络前学习网络环境、了解攻击特征在线部署安全网关介绍传统安全网关问题性能1000Mbps二层转发OSI分层100MbpsIPS入侵保护15MbpsHttp病毒17Mbps垃圾邮件20Mbps内容审计网络层应用层数据链路层800MbpsNAT转换200MbpsIPSECVPN典型传统安全网关性能数据二层可以做到线速转发应用层性能快速下降硬件级别的ASIC逻辑和NP引擎微码很难实现复杂的应用协议处理，只能对部分算法进行加速；当今主流的ASIC、NP构架，都有一颗x86CPU应用层的安全防护基本是由X86CPU来实现，依旧延续了传统x86体系安全网关的性能不足问题操作系统安全应用I/OX86CPURAMASIC/NPASIC/NP不适合七层应用处理ASIC/NP安全网关硬件构架多核平台硬件构架多核CPU双Flash存储内存L2缓存芯片控制器高性能2－7层协议处理高速无阻塞通道I/O模块I/O模块I/O模块I/O模块转发芯片多千兆并行数据转发多层检测引擎协同检测多层检测引擎BT限流病毒处理非法URL过滤基本访问控制文件传输控制QQ拦截SI状态检测技术NIPR智能协议识别NICR智能内容识别内置抗DDoS黑洞模块反欺骗协议栈行为模式分析特定应用防护用户行为模式分析动态指纹识别带宽控制Dos攻击正常流量2002年，中国第一家专业抗DDoS设备；业内著名的NSForceteam小组跟踪DDoS攻击最新动态；截至2007年底，保护着>500Gbps的现网容量；内置专业防病毒引擎冰之眼安全网关卡巴斯基（Kaspersky）防病毒库强强联合：专业网关厂商＋专业病毒厂商性能优异，能够查杀多达35万余种病毒病毒库全球同步更新＋SSL+IPSEC双VPN系统多VPN合一，节省投资；实现不同VPN系统的过渡；充分利用不同VPN优势；IPSEC性能高，网关接入；SSL灵活性较高，移动客户端接入SG典型应用角色综述家属区企业网络中心冰之眼SG冰之眼SG冰之眼SG冰之眼SGISP1ISP2办公区生产区远程SSLVPN客户端远程IPSECVPN客户端角色1：防火墙+入侵保护角色2：VPN网关角色3：病毒网关角色4：上网行为管理角色5：邮件网关角色6：异常流量管理冰之眼SG在某大型企业典型部署远程安全评估系统介绍漏洞造成的严重损失病毒事件WORM非授权访问敏感信息窃取拒绝服务攻击渗透测试来源：CSI/FBI2006调查报告需要进行“未雨绸缪”的漏洞管理操作系统和应用漏洞能够直接威胁数据的完整性和机密性。流行蠕虫的传播通常也依赖与严重的安全漏洞。黑客的主动攻击往往离不开对漏洞的利用。99%ofsecuritybreachestargetknownvulnerabilitiesforwhichthereareexistingcountermeasures.—CERTCoordinationCenter

事实证明，99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。信息系统越庞大，越需要对网络和系统中的漏洞进行有效管理。首款硬件化安全评估产品，第一时间主动诊断安全漏洞并提供专业防护建议。依托专业的NSFOCUSSecurityTeam，综合运用NSIP(NSFOCUSIntelligentProfile)等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞；针对网络资产的安全漏洞进行详细分析，并采用权威的风险评估模型将风险量化，给出专业的解决方案；提供OpenVM(OpenVulnerabilityManagement)工作流程平台，形成有效的漏洞管理体系。漏洞管理系统VulnerabilityManagementSystem漏洞评估系统VulnerabilityAssessmentSystem漏洞扫描器VulnerabilityScanner与通常的软件扫描器相比，极光承载的硬件嵌入系统平台经过特别优化结合高效扫描引擎，扫描最高速度5IP/分钟加载全部规则、扫描同一目标系统，扫描速度为常见扫描产品3-5倍，同时误报率低于5%最大允许并发扫描50个IP地址独立硬件设备多角度、细粒度的统计报表，从多个视角深刻反映网络的整体安全状况，对漏洞分布、危害、漏洞TOP10、主机信息等进行了统计分析实现流程化的漏洞管理“五个”过程漏洞预警：获得权威漏洞信息漏洞检测：检测资产存在的漏洞风险分析：准确定位风险漏洞修复：补丁系统联动漏洞审计：确认漏洞风险“三个”思想流程化自动化开放性漏洞修复漏洞审计风险分析漏洞预警漏洞检测漏洞管理部署模式独立部署网络较为集中部署一台极光设备分权管理和使用多级分布独立部署多级分布多级网络结构本地扫描数据汇总、集中管理不增添新的安全隐患终端安全管理系统介绍用户挑战补丁与病毒更新不及时非法外联难以控制、数据泄密攻击方法多样，内网安全难以防范移动设备接入网络无法管理软硬件资产滥用，资产安全无法保障……各种内网安全问题数据泄密应用软件滥用内部网络面临各种安全威胁移动接入越权访问补丁与病毒更新非法外联商业影响安全威胁的风险增加生产力降低helpdesk费用增加黑客攻击蠕虫病毒安全体系的缺陷防火墙入侵检测垃圾邮件网关漏洞扫描……防病毒软件？安全体系缺陷失衡外网安全

内网安全

完善安全体系防火墙入侵检测垃圾邮件网关漏洞扫描虚拟专用网……防病毒软件网络准入控制终端保护补丁分发资产管理应用监控……平衡完善安全体系内网安全外网安全产品功能安全策略保护模型自动发现所有网络接入行为多种发现机制：子网代理发现、网络交换发现循环扫描系统是否遵守策略基于主机、交换机访问控制强制补丁自动升级病毒库自动升级集中安全策略管理丰富策略模板定义黑洞抗拒绝攻击系统介绍感染主机数的国家排名在2006年上半年，中国拥有全球最多的僵尸主机2007国内DDoS实例被攻击用户流量大小及影响某运营商国家骨干网10～20G南方某市电信城域网/IDC5～6G西南某市电信城域网/IDC8G华东某省电信骨干网10G某市移动骨干网900M国内知名搜索引擎搜索业务瘫痪30分钟全球知名门户中国网站1-2G国内知名门户网站IM业务<1G某知名域名服务商<2GAnti－DDoS防护需求抗拒绝服务系统的需求透明性透明：借助运营商安全接入服务实现安全防护实时：发生DDoS后立即启动防护，减缓攻击易用：防护系统能够简单、便捷完成防护过程实时性易用性可防护各类基于网络层、传输层及应用层的拒绝服务攻击，如SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及连接耗尽等常见的攻击行为；借助内嵌的“智能多层识别净化矩阵”，实现基于行为异常的攻击检测和过滤机制，而不依赖于传统的规则库匹配等方式；提供完备的流量检测、网络监控、设备管理、报表生成功能；支持灵活的部署方式，适用于多种复杂的网络环境；通过方案设计，可以组成具备海量攻击防御能力的系统。抗拒绝服务系统(ADS)黑洞抗拒绝服务攻击系统型号丰富，既有面向中小企业用户开发的“攻击检测、攻击防御和监控管理”一体化产品，也可以提供适合运营商、IDC、大型企业用户应用需求的产品套件综合解决方案。65多路由协议支持，灵活部署灵活的流量牵引、回注技术（GRE、VRF）未来无限扩展流量牵引旁路方式透明串联接入方式灵活选择由简至繁多环境适应多类型设备配合骨干及城域网核心数据中心及大型ICP电子商务、金融和政企网站IDC内部客户及中小ICP简单透明接入应用针对性防护全类型网络适应能力Internet攻击检测攻击告警分流流量BGP通告正常流量流量注入②①③④⑤黑洞Probe检测设备Defender标准黑洞群：20G10G黑洞子群Defender4003Defender400020G出口10G链路千兆链路千兆管理链路网络异常流量分析系统介绍专网用户关注运营商关注网络层DDoSP2P下载蠕虫传播应用层DDoS用户自定义控制层攻击二层攻击异常流量分类异常流量分析系统(NTA)先进的基线生成算法NTA系统采用了两种不同的基线算法，一种是周期性基线，用来检验其变化趋势中明显带有周期性的流量指；另一种是移动窗口基线，用来检测非周期变化的流量指标。丰富的异常检测算法NTA系统提供了多达17大类50余种检测指标，每一种检测指标都对应一种检测算法，能够全部覆盖骨干网上的各种异常流量的检测。利用这些检测算法，能够被准确检测到的网络异常流量包括以下７大类包括：DDoS攻击,蠕虫事件,网络误用,流量超常,协议比例异常,流量分布异常,P2P流量灵活高效的检测NTA系统的计算引擎采用框架加插件模式，这样就在结构上保证了