Radware网络安全解决方案标准模板.ppt

,radware网络安全解决方案,radware 中国,radware 的整体解决方案,我们提供的解决方案:,agenda,网络安全隐患分析 网络安全解决方案的挑战 radware安全解决方案探讨 radware成功案例,average annual dos cost : $100,000,安全威胁带来的损失,近年的网络攻击行为,source:2003 csi/fbi computer crime and security survey,网络病毒、攻击来势汹汹,中心站点,虚拟专用网络,防毒墙,dos 防护,入侵防御,传统防病毒产品,漏洞评估,nimda病毒,红色代码病毒,slammer病毒,msblaster.a病毒,welchia病毒,安全管理.,ddos/syn flood,ddos/teardrop,ddos/udp bomb,为什么攻击日渐增多？,the challenge,现在黑客要发动一个攻击比以往任何时候都简单方便！,黑客攻击网络的步骤及方法,scanning(网络扫描) 通过扫描判断你是谁 发起进攻 intrusion(强行入侵) ddos(拒绝服务),anti-scanning(抵御网络扫描),能否防范scanning, 是衡量网络安全解决方案的重要指标!,黑客攻击网络的步骤及方法,anti-scanning(网络扫描) 通过扫描判断你是谁 发起进攻 intrusion(强行入侵) ddos(拒绝服务),intrusion(强行入侵)的特点,仅通过少量的数据包就可以对应用服务造成重大伤害 如病毒,蠕虫,cgi有害代码等等,intrusion(强行入侵),http:/www.sos.state.mi.us/cgi-bin/phf/?qalias=x%0als%20-al,intrusion(强行入侵),http:/www.sos.state.mi.us/cgi-bin/phf/?qalias=x%0als%20-al * 在目标主机根目录上运行 ls al * 如果是 rm ?,intrusion(强行入侵),能否防范intrusion, 是衡量网络安全解决方案的重要指标!,ddos(拒绝服务)的特点,通过大量的非法数据包耗尽应用服务或网络资源 如syn flood, udp bomb等等,ddos: syn flood,internet,tcp syn : 80 sip: spoofed, 10.x.x.x or null dip: ,ip: :80,memory resource allocated for the session,syn flood ddos: 耗尽服务资源,ddos: udp flooding,network,,with echo service on (udp port 7),with echo service on (udp port 7),echo: “launch the attack”,,udp flood ddos: 耗尽网络带宽资源,anti-ddos(抵御拒绝服务),能否防范ddos, 是衡量网络安全解决方案的重要指标!,agenda,网络安全隐患分析 网络安全解决方案的挑战 radware安全解决方案探讨 radware成功案例,现有网络安全设备,目前已在网络中部署的安全工具可谓种类繁多： 防火墙 ids （入侵检测系统） 防病毒系统 url 过滤系统,网络安全设备部署情况,网络应用隐患web,web 应用/分布式应用已广为普及 大多数攻击（蠕虫、病毒、dos）都是通过80 端口进行的 基于状态检测的防火墙技术已无能为力,来源：network world， 2003 年 8 月,防火墙的技术缺陷,server 1,server 3,server 2,hacker,“由于防火墙仅查看报头信息，因此它们根据数据包内容来拦截攻击的能力有限” “但是，新的蠕虫和网络攻击可以通过 80 端口连接（有时会伪装成 http 或 s-http 的格式）来越过防火墙。” “除了简单的状态协议过滤外，防火墙还必须提供更为广泛的入侵检测功能，否则它会面临淘汰的命运。” “我们相信防火墙仍是应用防护和 web 防护方面的产品，但它们的销售方式却不是这样。”,gartner 对防火墙的评价,gartner 企业防火墙幻方图， 1h03 (2003 年 6 月 19 日),ids技术缺陷,lan,fireproof,access routers,fireproof,switch,ids,firewalls,attack,市场对网络安全的要求,网络安全解决方案中需要具有对数据包进行“深入包分析”的能力并且在应用层阻止攻击,以上千兆的性能实时抵挡intrusion及ddos,并具有高可靠性及扩展性,servers,anti-spam,ids,firewall,anti-virus,url filter,overload,failure,不可避免的单点故障 窜接多种安全网关导致网络性能下降 扩展性非常不理想,安全网关(防毒,url过滤)的缺陷,lan,url filter,anti-spam,ids,anti-virus,备份协议过分依赖厂家, 没有行业标准 几乎没有可扩展性 管理非常复杂,firewall,anti-spam,url filter,anti-virus,安全网关(防毒,url过滤)的缺陷,agenda,网络安全隐患分析 网络安全解决方案的挑战 radware安全解决方案探讨 radware成功案例,radware安全解决方案探讨,网络第一道防线- defense pro 网络安全防护优化- cid,defensepro 业界最快的ips，可隔离、拦截和预防攻击，从而实现即时、高性能的应用安全,网络第一道防线defense pro,defensepro 的产品理念,defencpro的设计理念,变事后防御为事前防御 技术保证 组织保证 快速更新 更新对比 在线更新 高性能，3g吞吐 cpu np stringmatch asic 实施简便 智能cable， 第一次安装向导 安全后备 带宽管理，流量控制,x矿务局网络系统拓扑,应用服务器 负载均衡,radware 应用智能交换机,网络中心系统,防火墙 安全系统,防火墙负载均衡,网通,应用系统服务器群,链路负载均衡,铁通,企业用户,核心交换机,x矿骨干环网,radware 应用安全交换机,defensepro,defensepro,楼层交换机,功能和优点,透明串联连接方式,users,路由器,服务器,交换机,lan,数千兆位速度的应用安全保护，可防范入侵、病毒和蠕虫 实时防范拒绝服务攻击和拦截 syn flood 攻击 协议异常性检测 全面监视和隔离攻击 简单的串联式安装,防火墙,defensepro,多网段防护-全网防护,全网的安全性防护,users,路由器,服务器,l2/3 交换机,第 1 层,第 2 层,第 3 层,defensepro,实时保护所有的局域网单元和应用 清理所有的入站/出站流量 将攻击隔离起来，防止影响分布式关键应用 没有修补上的管理,x矿务局网络系统拓扑,应用服务器 负载均衡,radware 应用智能交换机,网络中心系统,防火墙 安全系统,防火墙负载均衡,网通,应用系统服务器群,链路负载均衡,铁通,企业用户,核心交换机,x矿骨干环网,radware 应用安全交换机,defensepro,defensepro,楼层交换机,defensepro 主要功能,最全面的入侵防范功能,双向扫描, 带有状态的深入数据包逐包检测和入侵防范, 为服务器、应用和用户提供多达1500多种攻击的保护: - 病毒 - 蠕虫 - 木马攻击 - 端口扫描 - 异常协议,radware预置攻击防护分类,可自定义特征码,目的端口号,协议类型,字节匹配长度,backdoor攻击特征,防止给予ssl的入侵攻击,http,https,ssl tunnel can be used to evade ips scanning defensepro with ct100 provides an out-of-path solution for ssl based traffic inspection,dos/ddos攻击示例,被攻击主机,internet,通过基准性监视来检测流量方面的异常和高级的取样方法 使用 syn-cookie 对 syn flood 进行高级防范 在不影响合法流量转发的情况下，最多可拦截100 万个 syn 的攻击（相当于 500mbps 的攻击流量） 动态的流量控制可以确保关键任务应用的连续性（即使在遭受攻击的情况下） 以数千兆位的速度检测和拦截拒绝服务攻击,防范拒绝服务攻击dos/ddos,dos 盾实例,radware,激活,数据采样,用户资源,attack name threshold syn flood 100,attack name status syn flood active,休眠列表,激活列表,attack name threshold,到达阀值,mydoom-c 防护策略1-传播防护,mydoom-c 防护策略2-dos防护,defensepro syn flood 防护,syn cookies,syn cookies tcp state diagram,for additional protection, radwares syn cookie implementation waits until the first data packet is received before creating a connection table entry,defensepro 带宽管理和流量控制,流量控制,“增加更多的带宽可能只会提高对非关键应用的响应速度，而不能为最需要带宽的应用提供保证” “流量管理：优化企业网络，实现最大化的业务价值”，yankee group，2003 年 10 月 动态的流量控制可以确保关键任务应用的连续性（即使在遭受攻击的情况下） 端到端的带宽管理和服务质量（qos）保证了服务水平协议并且提高了应用性能,bandwidth management,通过不间断的攻击监视网络2-7层的威胁：提供完全可见的攻击类型和受影响的资源 攻击隔离：动态地控制带宽防止攻击扩散到服务器、应用和用户那里,最完全的攻击监视和隔离,crm,攻击,citrix,email,email,识别p2p-特征分析,支持的p2p类型： bittorrent edonkey gnutella kazaa winmx winny defensepro bandwidth management can identify & control these applications by limiting upstream/downstream flow and bandwidth per user,p2p流量管理,bwm identifies applications, classifies traffic, isolates attacks, & accelerates application performance p2p traffic can be limited or blocked, critical applications bandwidth can be guaranteed,email,registration,tuition,defensepro 产品架构,defensepro 整体架构,4层安全交换架构 & string match engine ,带来 1000 x的加速模式和策略匹配,network processor,network processor,network processor,network processor,cpu,cpu,44 gb asic,44 gb asic,10ge,7x1ge,16 fast ethernet ports,3gbps硬件安全交换架构,stringmatch engine,线速数据传输和连接,3 gbps转发流量 和拦截syn cookie,会话管理,最多8个并行处理的 stringmatch asics,stringmatch engine,安全加速器，旨在提供高性能的数据包 深入检查 专用的 mpc 7457 risc 处理器 最多支持 8 个用来搜索字符串的 asic 并行模式的搜索最多可达 256,000 个 固定模式的搜索速度最高可达 16 千兆位 根据攻击数据库进行完整检测，同时也提供 了完全的吞吐能力,模式搜索的速度 最高可达 16 千兆位 并行模式的搜索 最多可达 256,000 个,产品定位,defensepro 产品线,defensepro-3000 hq / core network / data centers defensepro 1000 hq / core network / data centers defensepro 200 corporate gw defensepro-100 branch/ regional offices cpe for mssp,产品定位,regional office,branch office,web, email, crm erp,headquarters,defensepro- 3000/1000,lan,lan,defensepro-3000,defensepro-200/100,defensepro-100,defensepro 的人性化管理,ease of use - 1st time wizard,cwis 1.60,radware 统一化的 管理,radware 可以通过以下方式管理: snmp v2, snmp v3,telnet, ssh, web, ssl 管理 通过物理端口和radius 认证进行安全访问,集中化的安全管理,connect & protect 表设置所有的安全攻击服务: intrusions, dos, syn floods, anomalies & anti-scanning,统一的安全报告,特性 优点,攻击开始时间/结束时间 源 ip 地址和目标 ip 地址 严重性居于前 10 位的攻击 各个物理端口上的攻击 将数据导出到外部数据库 当前的和以前的攻击报告,直观的统计报告,attack log attack reports dashboard,geographical map displays top sources according to country of origin,安全更新服务,安全更新服务 (sus),为用户提供在线自动的攻击特征库的更新,自动更新,radware首先报告的攻击,sample of emergency updates that radware was the first to issue: ms jpeg vulnerability, september 29, 2004 mydoom-s, august 16, 2004 bagle-aq, august 10, 2004 mydoom-m, july 26, 2004 bagle-ag, july 21, 2004 bagle-ab, july 16, 2004 agobot, may 17, 2004 sasser, may 3, 2004,mydoom自动更新,mydoom a mydoom b mydoom c radware* 26- jan-04 28-jan-04 8-feb-04 netscreen 26- jan-04 28-jan-04 12-feb-04 tipping point 27- jan-04 30-jan-04 no information iss 26- jan-04 no information no information network associate 26- jan-04 28-jan-04 12-feb-04 checkpoint 27- jan-04 29-jan-04 10-feb-04,device,radware 网站,configware insite,自动更新攻击特征,configware insite 会定期检查 radware 的网站，以了解是否有新的攻击特征 一旦提供了新的攻击特征，用户就会立即得到通知,攻击特征的自动更新/手动更新,defense-pro 设备管理,defense-pro 解决方案总结,defensepro：隔离、拦截和预防,基于硬件的体系架构以3千兆位的速度防范入侵和 cpu+np+asic+sme 简单易用“smart cable” 全面监视和攻击隔离 防范入侵和dos/ddos 攻击 流量控制 安全报告功能与快速更新,radware安全解决方案探讨,网络第一道防线- defense pro 网络安全防护优化- cid,xx省电信radware cid解决方案,门户web server1,mailserver1,mailserver2,nokia fw cluster,active wsd,backup-wsd,dmz,门户web server2,e-mail filter,intranet,internet,e-mail filter,cisco 6509-1,cisco 6509-2,clients,radware cid-1,radware cid-2,content inspection director,cid 提供了容错、高吞吐 & 可扩展的防病毒扫描、url 过滤 & 反垃圾邮件服务，并且将运营商的内容安全托管业务统一起来。,servers,anti-spam,ids,firewall,anti-virus,url filter,overload,failure,不可避免的单点故障 窜接多种安全网关导致网络性能下降 扩展性非常不理想,安全网关(防毒,url过滤)的缺陷,基于交换的安全架构,firewall,anti-spam,url filter,anti-virus,anti-spam,firewall,ids,ids,lan,url filter,anti-virus,提升整体安全系统的可用性,anti-virus farms,anti-spam farms,cid,url filtering farms,可信、不可信数据区分,anti-virus farms,anti-spam farms,cid,url filtering farms,直通,文件类型: image rm avi mp3,500% 检测提速,mcafee,aladdin,content filter,基于用户的策略管理实例,学生,教师,基于用户的策略管理实例,学生,mcafee,教师,aladdin,content filter,透明布署任何内容过滤工具 - 一站式体系的厂家无关性 - 完全定制的内容检查服务 - 无缝扩展新的安全设备而不用担心设备之间的兼容性,无缝的第三方安全设备集成,radware content security partners,agenda,网络安全隐患分析 网络安全解决方案的挑战 radware安全解决方案探讨 radware成功案例,wan,防火墙,核心路由器,internet,mail server,erp server,ic card server,business server,办公区用户,核心交换机,xx石油公司,服务器群组,wan,防火墙,核心路由器,internet,mail server,erp server,ic card server,business server,办公区用户,核心交换机,服务器群组,xx石油公司,wan,防火墙,defense pro 1,核心路由器,internet,defense pro 2,mail server,erp server,ic card server,business server,办公区用户,核心交换机,服务器群组,xx石油公司,方案描述： 保护intranet 保护防火墙 核心交换机 保护服务器 包括办公用户,x矿务局网络系统拓扑,应用服务器 负载均衡,radware 应用智能交换机,网络中心系统,防火墙 安全系统,防火墙负载均衡,网通,应用系统服务器群,链路负载均衡,铁通,企业用户,核心