从邮件安全到应用安全-梭子鱼公司产品介绍.ppt

,从邮件安全到应用安全-梭子鱼2008年发展战略2008年1月,2,目录,从基础安全到应用安全国际国内网络安全发展趋势梭子鱼国际公司发展梭子鱼中国公司战略,基础安全到应用安全,4,网络层设备,路由器交换机/Hubs防火墙VPNs特点:基础设施通用型产品在网络层控制不对内容进行过滤,5,网络层设备的部署,6,你的网络环境中还有什么?,网络层设备的搭建目的是为了应用企业的应用服务是你IT建设的核心和目的:电子邮件系统WEB服务系统(ERP/CRM/供应链/协同办公等)即时通讯系统其他等应用层安全是企业安全的核心应用是企业的”关键任务”,不是设备本身需要对内容进行深度过滤需要智能化升级需要对内容培训,7,梭子鱼产品策略,防火墙,梭子鱼即时通讯防火墙,梭子鱼WEB安全网关,梭子鱼垃圾邮件防火墙,电子邮件,Web应用,即时通讯/VOIP,保护企业关键应用的安全,8,梭子鱼系列产品在您网络环境中的应用情况,国际国内网络安全趋势,10,全球网络安全市场发展趋势2003-2008年预测,数据来源:IDC,2004年7月,防火墙增长率已经下降，根据IDC分析，2006年是全球防火墙出现负增长的第一年，2004-2009年平均增长为负4.8%;增长最快的是内容安全设备/UTM市场，年增长率高达近30-50%;,防火墙/VPN,IDS/IPS,内容网络安全设备/UTM,11,安全内容管理市场2003-2008年预测,数据来源:IDC,2004年7月,Web应用安全及邮件安全是安全内容管理增长最快市场,复合增长率超过20%,基本上是病毒产品的2-3倍;中国Web应用安全及邮件安全市场仅有巨大发展空间,将迅速达到全球3%的市场份额;其中安全内容设备产品2003-2008年复合增长率最高,达到50%以上,是最有潜力的市场;,12,安全内容管理市场全球分布,数据来源:IDC,2004年7月,中国安全内容管理市场占全球市场不到2%,美国市场是中国市场20倍以上规模;2)中国发展滞后,暂时还发展不出有规模的厂商;,13,数据来源:计算机世界CCW研究,中国网络安全市场高速成长,年度复合增长率达到30%以上,预计到2010年全市场规模将达到100亿;,中国网络安全市场发展,14,数据来源:CCID,2005年7月,1)中国的内容安全设备基本上从2003年发展起来,2007年市场就达到4.3亿元;2)邮件安全设备、Web安全设备及新兴的及时通讯安全设备将迅速占据市场份额；,中国内容网络安全设备市场2003-2007年发展,15,全球反垃圾邮件市场,*Source:IDC-“WorldwideSpamSolutions2004-2008Forecast”Report,December2004,全球反垃圾邮件市场将从2003年3亿美元上升到2008年17亿美元;反垃圾邮件设备市场将从2003年5000万美元上升到2008年12亿美元,每年复合增长率高达65%;,16,发展趋势总结,应用网络安全市场是网络安全增长热点;其中邮件安全网关及Web安全市场增长最快内容安全设备成为市场增长最快部分；市场越来越希望硬件的解决方案,特别是中国市场中国发展反映了国际上2年前发展态势；国际上已经诞生了大的内容网络设备厂商,中国即将诞生这样厂商;中国网络安全整体市场持续高速发展防火墙、杀病毒增长放缓，厂商及代理的发展关键是否能够抓住新的潜在市场，取得领导地位；,梭子鱼国际公司发展,18,梭子鱼国际发展,2002年BarracudaNetworks在硅谷成立,2003年旗舰产品反垃圾邮件防火墙发布,2004年进入欧洲、日本、中国市场,2005年销售达到20,000台，位居第一,推出WEB安全、IM安全产品,06年推出负载均衡产品,2006年销售达到40,000台,年度销售1亿美元,08年计划上市,收购Netcontinuum,19,梭子鱼国际成长,20,邮件市场竞争分析,国际市场竞争产业整合，超过30家厂商缩小到10家之内；Brightmail被Symentac收购；Ironport被Cisco收购；CypherTrust被SecureComputing收购；Surfcontrol收购国内公司美讯智,Websense收购Surfcontrol;北美市场决定了产业发展：一些Vendor已经走下坡路；梭子鱼成为唯一有上市可能的邮件安全产品厂家；国内市场竞争大量厂家已经退出舞台：摩根、比威、思维等国内厂家规模偏小，持续投入能力弱；一些国际厂商在国内投入不足；,21,梭子鱼签署的知名客户(部分),电信,大型企业,石油石化,电力能源,教育,22,梭子鱼客户群,23,24,上述用户截至2006年12月底为止,25,06年获得的国际奖项,GCN编辑选择奖,S年度安全产品金奖,WindowsITPro用户选择奖,五星奖,红鲱鱼100强,Redmond杂事用户选择,Redmond杂事用户选择,推荐产品奖,渠道建设100强,渠道建设五星奖,年度产品奖,SC杂志推荐产品奖,梭子鱼中国发展战略,27,梭子鱼的区分点?,梭子鱼是一家与众不同的安全企业切实解决用户明显实际问题(垃圾邮件、WEB安全、负载均衡、邮件存储、WEB攻击）非常易于安装使用大量的免费试用让产品自己发言独到的产品设计极高的价格性能比不断的产品技术更新快速的产品线扩张积极地市场推动,28,全系列应用安全产品线,梭子鱼垃圾邮件防火墙产品线,梭子鱼负载均衡机产品线,梭子鱼WEB安全网关产品线,梭子鱼邮件存储网关产品线,梭子鱼应用防火墙产品线,梭子鱼系列产品共同特点硬件家族产品不按许可收费易于管理性价性能出众集成性高功能丰富易用,30,梭子鱼垃圾邮件防火墙,31,选择什么样的反垃圾邮件厂商,没有一种垃圾邮件技术可以100%解决垃圾邮件问题分层过滤的“鸡尾酒”疗法是唯一有效方法；梭子鱼是分层过滤的代表；多达12层过滤机制；产品的持续升级及技术不断更新；公司的可持续发展能力是选择厂家核心问题只有少数厂家才能生存发展；技术的可持续发展是产品质量的唯一保障大厂家才能支撑足够技术队伍；梭子鱼产品每15天一次内核程序升级，每天规则库更新；,梭子鱼垃圾邮件防火墙系列十二大技术、十二层过滤、五大特点,33,CONFIDENTIALFORINTERNALUSEONLY,梭子鱼垃圾邮件防火墙12层过滤,完善的保护12层防护5层连接过滤7层内容过滤其中6层通过博威特中心更新免费维护,34,CONFIDENTIALFORINTERNALUSEONLY,连接层过滤,DOS保护强健的操作系统内核用于保护网络DOS攻击速率控制如果邮件进入太快，则发出“重试”指令IP信誉分析梭子鱼信誉库(博威特中心维护)外部黑名单发件人验证协议检查SPFDNS检查虚假域检查收件人认证LDAP认证SMTP认证,35,CONFIDENTIALFORINTERNALUSEONLY,IP分析梭子鱼信誉库,梭子鱼中心维护IP地址的数据蜜罐，垃圾邮件培养，总体统计对数百万发送邮件的IP地址进行“信誉”统计所有梭子鱼垃圾邮件防火墙下载梭子鱼信誉库梭子鱼黑名单已知发送垃圾邮件的IP地址梭子鱼白名单对已知的健康的IP地址跳过扫描动态更新每15分钟发送信誉库,36,CONFIDENTIALFORINTERNALUSEONLY,邮件扫描层,需要客户介入的2层扫描策略客户定义黑、白名单贝叶斯分析基于邮件信体的语言分析梭子鱼中心操作的5层扫描病毒扫描指纹分析意图分析图象分析基于规则评分,37,CONFIDENTIALFORINTERNALUSEONLY,病毒检查,3层保护开源病毒扫描引擎专用病毒扫描引擎梭子鱼实时保护(更新)通过病毒库来更新,Attachment:postcard.exe,被阻断!X-Barracuda-Virus-Alert:INFECTED,messagecontainsvirus:Trojan.Downloader.Tibs.Gen-1),38,CONFIDENTIALFORINTERNALUSEONLY,指纹分析,梭子鱼中心维护垃圾邮件指纹数据库基于互联网上最变化多端的邮件内容通过病毒库来更新,被阻断!X-ASG-Block:FINGERPRINT(IMG6883480),From:Subject:Needmedicine?Allhere!,39,CONFIDENTIALFORINTERNALUSEONLY,意图分析URL信誉库,梭子鱼中心维护URL信誉库通过垃圾邮件规则库来更新,From:EricaHardinSubject:DietPillBreakthrough!,链接到:,被阻断!X-ASG-Block:INTENT(),40,CONFIDENTIALFORINTERNALUSEONLY,图象分析规则,梭子鱼中心维护基于图象识别引擎（OCR）的模糊逻辑规则通过垃圾邮件规则库来更新,From:ralbumSubject:byweekly,被阻断!X-Barracuda-Spam-Report:Codeversion3.1,rulesversion3.1.19617Rulebreakdownbelowptsrulenamedescription-10BET_001BODY:BETRule001,41,CONFIDENTIALFORINTERNALUSEONLY,PDF垃圾邮件阻断,两项技术PDF文件中的图象通过图象识别引擎（OCR）来阻断PDF文件的“股票报告”通过规则库引擎对文本进行萃取来阻断,被阻断!X-Barracuda-Spam-Report:Codeversion3.1,rulesversion3.1.22753Rulebreakdownbelowptsrulenamedescription-10BET_001BODY:BETRule001,42,CONFIDENTIALFORINTERNALUSEONLY,基于规则评分引擎,梭子鱼中心维护规则库来对邮件的诸多因素进行权重评分，以此来阻断各种类型的垃圾邮件使用BSF,BET规则通过垃圾邮件规则库来更新,From:vomnaspecialtyglassdiwSubject:Bethebiggestoutofallyourfriends,被阻断!X-Barracuda-Spam-Report:Codeversion3.1,rulesversion3.1.19634Rulebreakdownbelowptsrulenamedescription-2.01DATE_IN_FUTURE_03_06Date:is3to6hoursafterReceived:date0.00HTML_MESSAGEBODY:HTMLincludedinmessage1.50BSF_SC5_SA061bCustomRuleSA061b2.00BSF_SC5_SA061cCustomRuleSA061c4.00BSF_SC5_SA061dCustomRuleSA061d1.00BSF_SC5_SA061aCustomRuleSA061a,43,CONFIDENTIALFORINTERNALUSEONLY,发件人特征识别,当信誉库不再足够基于身份的信誉库如果犯罪分子能够窃取身份（比如信用卡）时，信誉库就不再足够新的垃圾邮件制造者利用身份欺骗达到下一个级别首先是欺骗然后是“僵尸主机”2007年正在出现新形式的身份欺骗必须识别发件人并预测其行为列举垃圾邮件制造者的行为独立于明显身份来研发对策,44,CONFIDENTIALFORINTERNALUSEONLY,发件人特征识别举例,高超的垃圾邮件制造者使用多种手段来自全球的新的发信者IP地址使用新的垃圾邮件发送域（Newspamdomainsincall-to-action/“Intent”）用只有细微变化的图片来避免指纹识别描述引起注意的行为是很重要的在这场与垃圾邮件的战争中，梭子鱼中心将不断研发对付这些垃圾邮件的措施,45,CONFIDENTIALFORINTERNALUSEONLY,发件人特征识别-行为举例和措施,46,CONFIDENTIALFORINTERNALUSEONLY,梭子鱼实时保护,捕获和阻断快速变化的病毒和垃圾邮件变种的机制要求:快速地探测通过变化的邮件主体而显露出来的威胁24x7的智能运行中心利用客户的反垃圾邮件解决方案来阻断垃圾邮件的机制,47,CONFIDENTIALFORINTERNALUSEONLY,配置梭子鱼垃圾邮件防火墙,开启强制实时检查选择向梭子鱼中心发送病毒或垃圾邮件样本,48,CONFIDENTIALFORINTERNALUSEONLY,梭子鱼实时保护如何工作,梭子鱼中心,蜜罐提交垃圾邮件样本,指纹和样本数据库,工程师,首先检查本地数据库然后检查梭子鱼中心阻断，延迟，或通过下一过滤层如有必要，提交“样本”,梭子鱼垃圾邮件防火墙,49,CONFIDENTIALFORINTERNALUSEONLY,零时病毒响应(ZeroDayVirus),在病毒特征码更新前实时阻断通过梭子鱼用户来发布病毒更新,HistoryofBN.ZeroHour-1063:Firsthit:2007-05-0514:11Classified:2007-05-0514:15(real-timeblocksonallsystemswithBarracudaReal-TimeProtectionEnabled)LastseenatBarracudaCentral:2007-05-0515:18(virusdefinitionsdownloadedtoallBarracudaSpamFirewalls),被阻断!X-Barracuda-Virus-Alert:INFECTED,messagecontainsvirus:BN.ZeroHour-1063,50,CONFIDENTIALFORINTERNALUSEONLY,快速的“零小时”垃圾邮件防护,星号表示实时阻断,51,CONFIDENTIALFORINTERNALUSEONLY,操作系统,梭子鱼垃圾邮件防火墙建立在一个坚毅的操作系统之上，提供最大程度的安全性和稳定性基于当今流行的开源Linux核心经得起顶尖安全专家的细查阻止企业邮件服务器接收直接来自Internet的邮件和相关的威胁,52,CONFIDENTIALFORINTERNALUSEONLY,MTA,邮件传输代理(MTA)传递邮件梭子鱼垃圾邮件防火墙的MTA使用开源和专用软件的结合体MTA能够处理大量SMTP连接和高传递流量在3.5版本中，MTA支持内建的日记功能,53,CONFIDENTIALFORINTERNALUSEONLY,集群,多个节点的集群能提高冗余功能和整体系统性能集中化的邮件日志在一个地方查看所有集群的梭子鱼垃圾邮件防火墙的邮件日志集中化管理策略和配置可在主设备上管理，然后复制到其他节点隔离故障在集群中，隔离邮件被存放在两台设备上。这样即使一台设备出现故障，用户也能够在另一台设备上查看隔离邮件。,54,梭子鱼：致力于技术不断提高,新技术不断加入零时病毒防护(ZeroDayVirus)IP信誉评分服务自动的URL地址认证电话号码认证图片认证新型复合OCR引擎垃圾邮件文本认证指纹自动生成全新的国际URL过滤工具(即将推出)核心威胁数据库-在各产品线之间共享,55,SpamFirewall100-中小企业级产品50用户处理10万封邮件SpamFirewall200-中型企业产品500用户处理50万封邮件SpamFirewall300-中大型企业级产品1000-2000用户处理100万封邮件SpamFirewall400-大型企业级产品5000用户处理200-500万封邮件SpamFirewall600-电信级产品10,000用户处理1000万封邮件SpamFirewall800-运营商级产品20,000用户每天处理2000万封邮件,针对冗余及高性能提供集群支持,梭子鱼垃圾邮件防火墙产品型号,56,梭子鱼负载均衡机,57,2007年重点推出：梭子鱼负载均衡机,极具竞争力的价格快速4-7层负载均衡提供种流量分配机制、服务器健康检查、IP保持、Cookie保持、SSL加速等功能便于安装（基于梭子鱼Web界面）整合入侵检测防御系统,58,为什么要推出负载均衡机,Internet应用发展企业应用的发展既有厂商的产品贵族化倾向高性价比产品：非奢侈的专业服务,59,负载均衡设计想法,关注于“大部分客户”需求,而非少数贵族用户;关注于如何轻松安装：大多数的负载均衡设备使用复杂，经常需要专业的咨询和几天的安装时间,CONFIDENTIALFORINTERNALUSEONLY,一步式安装简单人性化管理满足95%客户的复杂负载均衡需求,60,梭子鱼负载均衡机六大功能,流量分配:IP地址及端口流量分配服务器健康检查:及时报警及通知会话保持:IP保持及Cookie保持SSL卸载及加速:卸载SSL流量，640集成SSL加速卡集成IPS:各类攻击及实时升级高可用性能：堆叠及高可用性,61,目前有四款产品,LoadBalancer240针对于内部部署的，后台服务器数量不多的应用(不支持冗余)LoadBalancer340使用最普遍的型号，支持多大35台服务器，软件SSL卸载，高可用性支持LoadBalancer440支持高达50台服务器，软件SSL卸载，高可用性LoadBalancer640硬件SSL加速，集成千兆交换机，支持高达250台服务器,CONFIDENTIALFORINTERNALUSEONLY,62,梭子鱼WEB安全网关,63,梭子鱼web安全网关功能：解决所有web威胁,病毒防护（HTTP防毒墙）阻断病毒下载每小时升级不按许可证收费恶意程序防护（间谍软件）间谍软件网站、网页识别特征码识别行为识别间谍软件感染通知客户端间谍软件清除内容过滤URL/IP地址过滤MIME阻断模式匹配过滤网址黑白名单,带宽资源保护webCachingP2P程序管理(Skype)基于IP的带宽分配(未来版本)不当应用使用管理(流媒体、视频等)网络应用管理IM管理多媒体工具升级,64,梭子鱼web安全网关部署,65,梭子鱼web安全网关型号对比,66,梭子鱼邮件存储网关,67,什么是邮件存储网关?,存储所有邮件内发、外发、企业内部的邮件企业知识管理强大的邮件搜索功能邮件策略监测功能协助诉讼调查（LitigationHolds）和查询请求（Discoveryrequest）企业合规管理邮件存储管理,68,功能(软件和硬件),69,典型部署(配合Exchange),70,型号,71,梭子鱼应用防火墙,72,减少暴露在Internet上的应用的威胁;国际上功能最强大的应用交付控制网关;最优化架构代理(Proxy),终止(Terminate),保护(Secure),加速(Accelerate)在全球24个国家,超过225+家高端用户,WebApplicationFirewall(Secureshighvalueapplications),SecureApplicationGateway(SecuresANDimprovesapplicationavailabilityandresponsetime),NC应用防火墙,73,DatabaseServersCustomerInfoBusinessDataTransactionInfo,ConfidentialData,您业务遇到威胁,客户化的Web应用内部及第三方编程的应用程序,75%的攻击针对WEB应用(Gartner),传统防火墙不保护Web应用IPS产品不保护客户化的应用无特征码!源程序本身成为“第一道防线”是愚蠢的NetContinuum产品保护应用层面,74,Web攻击对防火墙及IDS是不可见的,防火墙,数据中心,内部网络,防火墙仅阻断网络攻击,入侵防护,80端口Web流量通过,Employees,Web应用,75,通过代理(Proxy)建起你的防线!,用户,Web应用,TCP进程代理(TCPSessionFullProxy)Net防火墙NAT,ACL,PAT进程维护(NormalizeSession)协议遵从(ProtocolCompliance)SSL加密解密HTTP信头重写URL翻译,网站隐藏,防爬行,Web地址转换AAA应用防DoSSQL/命令注入DAP(GlobalandSession)URLACLsForms及Cookie窃取REGEX保护,TCPPooling缓存,GZIP压缩SSL卸载,重新加密应用及服务器健康检查内容交换(ContentSwitching)负载均衡记录、监控、报告,终止,安全,加速,NetContinuum反向代理,76,NC应用防火墙如何工作？,用户,对应用数据录入完整检查预期数据的完整知识(CompleteKnowledgeofexpectedvalues)实时策略生成及执行,77,PROBLEMEasytodiscoveragoldmineofcluesaboutappenvironment,网站隐身,黑客,WhiskerscanningServers:MicrosoftIIS4.0Windows2000SP2FrontPage/623VulnerableURL:cgi-bin/code.php3VulnerableURL:cgi-bin/admin.php3,NetContinuum应用防火墙,网站全面隐身(WebsiteFullCloaking)无法攻击你看不见的东西,WhiskerscanningServers:COULDNOTDETERMINEServerreturnednodataVulnerableURL:Nonefound,78,防爬行功能,NetContinu