Fortinet_3G移动网络安全解决方案.ppt

2.5G/3G移动网络安全解决方案,日程,移动服务的安全威胁,保护2.5GMMS>P基础构架的安全,保护3GSIP基础构架的安全,灵活的多层次移动安全平台,问题,方案,Pre-IMS,IMS,Fortinet移动运营商安全解决方案,Fortinet,移动服务的威胁进化,Pre-IMS,IMS,voice,SMS,VOIP,Media,IPTV,IM,IMS安全分析,移动服务安全风险上升,安全风险不断上升越来越多试图欺骗移动运营商及服务使用者的犯罪意图安全风险逐渐与手机操作系统无关联性,安全风险概况,当前风险级别,移动威胁的细节,时间:2007-6-15,利用MMS传播的病毒,Commwarrior.A复制自身前查询系统时间Commwarrior.B不再查询系统时间,因此更加流行Commwarrior.Q(Aug-2006)变种更加难于防范使用电话地址簿中的手机号码传播监听所有收到的MMS/SMS，并自动回复一条带有Commwarrior.Q病毒的MMS监听所有向外发送的SMS，并在SMS发送完成后自动发送一条带有Commwarrior.Q病毒的MMS给此收件人MMS中的文本内容取此手机的短信收件箱,商业间谍软件,远程话筒激活SMS记录电话拨打记录电话持续时间,移动安全威胁的分类,基于移动基础架构的2个因素：应用服务层网络基础架构：包含控制层和传输层,安全威胁来源于何处？,威胁评估,日程,移动服务的安全威胁,保护2.5GMMS>P基础构架的安全,保护3GSIP基础构架的安全,灵活的多层次移动安全平台,问题,方案,Pre-IMS,IMS,Fortinet移动运营商安全解决方案,Fortinet,多层安全平台,10/100Mbps,1Gbps,10Gbps,2.5G,FMC,3G,移动运营商需要一个灵活的多层安全平台,需要具备强有力的硬件、软件和服务,*IncludesAnti-Spyware,降低移动风险级别,多层安全平台能够使移动运营商保护其用户和服务商业模型,日程,移动服务的安全威胁,保护2.5GMMS>P基础构架的安全,保护3GSIP基础构架的安全,灵活的多层次移动安全平台,问题,方案,Pre-IMS,IMS,Fortinet移动运营商安全解决方案,Fortinet,移动MMS服务安全,保护MM1,MM7,MM3&MM4接口透明防病毒扫描确保MMS服务的完整性,MM1防病毒扫描,FortiGate可以工作在透明模式部属于WAP网关与MMSC之间多个物理接口,支持VLANHA集群,支持Active/Active和Active/Passive模式防病毒扫描和文件类型过滤基于消息内容（关键字）的过滤,MM3/MM4/MM7防病毒扫描,基于SMTP当equivalentSMTP(RFC822)域不存在时添加X-MMS头信息FortiGate设备支持透明SMTP代理MM3(Internet网关)MM4(网间通信)MM7(增值服务)FortiGate设备可以同时使用这些功能通过FortiProtect网络实时更新病毒特征库,VDOM,GGSN,SGSN,VAS,MM1(http),WAPGATEWAY,MM4(smtp),MM3(smtp),MMSCenter,MailServer,VDOM,VDOM,VDOM,MM1,MM4,MM3,VDOMOAM,OAM,MM7,VDOM,VAS,MM7(http/soap),AGW,NAP,FOREIGNOPERATOR,MMS病毒过滤实现方式,MM1安全日志和报告,SYSLOG日志从MMS消息中提取的发件人/收件人的MSISDN信息使用FortiAnalzyer产生超过300种图形报表2006-11-1708:49:29log_id=0211060000type=virussubtype=infectedpri=warningvd=rootsrc=dst=4src_int=port2dst_int=port1service=mm1status=blockedfrom=491740430400to=+4915200459450file=commw.sisvirus=SymbOS/Commwar.B-netmsg=Thefilecommw.sisisinfectedwithSymbOS/Commwar.B-net.Ref=,GPRS/GTP服务安全保护,保护Gi,Gp,Gn接口VPN,防火墙和GTPIPS确保GPRS的可用性和服务的完整性,ONNET,不良内容过滤,基于MSISDN的URL过滤，包括病毒扫描使用自动更新的分类数据库，并可进行用户自定义设置多种分类为成年人/未成年人用户提供不同的保护为网上内容重新加上头信息,MOBILENETWORK,INTERNET,用户数据库,商业内容（基于HTTP头）,根据URM分类允许或拒绝站点,URLDatabase,如何实现？,FORTIGATEAPPLIANCE,DatabaseUpdates(pull),WAPGATEWAY,GGSN,RADIUSSERVER,HTTPOPTIMISER,Off-Net,私有FortiGuard分级服务器内容分级引擎,RatingRequest,1,2,MSISDNLookup,3,PageRequest,RADIUSStartRecord,4,3,WEBSERVER,ONNET,INTERNET,URLDatabase,SGSN,WEB,CUSTOMERDATABASE,WEB,问题:Internet资源滥用,移动客户端通过移动网络访问公司EmailEmail服务器并非移动运营商网络的一部分移动运营商并不是一个ISP感染病毒的用户终端可以通过Internet传播垃圾邮件或者病毒Email感染病毒的笔记本电脑通过3G数据卡对外传播病毒缺乏防火墙策略的保护移动运营商的IP地址段被其它运营商列入黑名单所有Email均无法发送，无论它是合法的还是非法的这个移动运营商将无法继续进行Email服务!,OTHEROPERATOR,GTP防火墙,包括在Gi接口上提供防病毒和IPS保护,MOBILENETWORK,GGSN,SGSN,GGSN,INTERNET,在Gn/Gp接口上，FortiGate支持以下GTP安全特征：GTP包完整性检查、长度过滤和类型检查GSN隧道限制和频率限制GTP状态检测清除挂起的GTP隧道GTP隧道HA保护GTPIMSIprefix(最大1000)和APN(最大2000)过滤GTP序号确认GTP消息的IP碎片GGSN/SGSN重定向检测GTP嵌套包GTP流量统计和记录通过Gi防火墙，防止超额计费压缩流量过滤，防欺骗协议异常检测和保护防止会话劫持,GTP超额计费保护,使用动态IP地址有可能产生如下情形，当移动客户端A断开连接后，移动客户端B获得了A之前使用的IP地址。但是A之前的流量并未结束，仍然继续进行着数据传输，这些费用将记录到B的账单上。,MOBILENETWORK,GGSN,SGSN,INTERNET,GTPTUNNEL,MOBILESTATIONA,MOBILESTATIONB,OTHEROPERATOR,GI/GK,SERVER,当来自于A的GTP隧道被GGSN关闭，Gatekeeper协议将从Gi防火墙移除相关会话,GTP病毒保护,GTP隧道中的用户数据将被Gn/Gp防火墙扫描FortiGuard服务将动态更新病毒特征库,MOBILENETWORK,GGSN,SGSN,INTERNET,GTPTUNNEL,OTHEROPERATOR,SERVER,日程,移动服务的安全威胁,保护2.5GMMS>P基础构架的安全,保护3GSIP基础构架的安全,灵活的多层次移动安全平台,问题,方案,Pre-IMS,IMS,Fortinet移动运营商安全解决方案,Fortinet,移动SIP服务的安全,SIP安全,日程,移动服务的安全威胁,保护2.5GMMS>P基础构架的安全,保护3GSIP基础构架的安全,灵活的多层次移动安全平台,问题,方案,Pre-IMS,IMS,Fortinet移动运营商安全解决方案,Fortinet,FortiGate5000系列,模块化ATCA机框,通用的ATCA安全模块,高性能ATCA交换模块,业界领先ATCA结构安全平台高密度高性能最佳可靠性,可用性&扩展性,灵活的安全性一个模块包含完整的安全方案模块化的UTM或单一解决方案最高级别的性能,新一代安全构架10Gig网络支持分布式的安全功能集成负载均衡和集群功能,5020,5050,5140,5001,5001FA2,5002FB2,5005,5003,5208,FortinetATCA标准的价值,与第三方的协同性根据服务提供商的需求定制解决方案强大的集中管理NEBs一致性机框,WCDMABlade,AVenabledblade,FortiMailenabledblade,RoutingBlade,IMS安全解决方案,如何启用MMS保护:保护内容表,可以仅仅监控而不作阻断,可以针对文件类型进行阻挡（如.SIS文件）,客户端舒适设置（防止低速环境下的连接超时）,头信息/cookie,可添加其它前缀（如国家代码）,性能单块FG5001处理卡,MMS病毒扫描300messages/秒(64k)25ms扫描时间(平均,干净的SIS文件)250MbpsURL过滤1000transactions/秒10,000并发代理连接1,000,000用户上下文入口,EXT2,INT2,FortiGate与FortiBridge协同,INT1,EXT1,LANSWITCH,HASYNCHRONISATION,正常模式,故障保护模式,CiscoPixFirewall,标准ATCA硬件,网络层安全,应用层安全,JuniperNetScreen500,CheckPointFirewall1,Fortinet多层安全网关,Fortinet弥补了传统网络防火墙的缺点,Limited,EricssonSessionBorderController,标准ATCA硬件,网络层安全,应用层安全,AlcatelSessionBorderController,SiemensSessionBorderController,Fortinet多层安全网关,FortinetVS传统会话边界控制器,Limited,Limited,Limited,Limited,Limited,谢谢!,更多信息请访问,移动安全保护遍布整个基础构架,VoIP安全方案,Confidential,VOIP关键特性,允许网络拓扑隐藏于NAT/NAPT后方，并支持动态端口打开/关闭。基于策略的访问控制，支持源/目的地址和服务等。虚拟系统支持（VLAN和虚拟防火墙）小包加速转发，保证VOIP的性能。,提供在线的入侵防御，保护SIP不受DoS攻击.i.e.INVITE®ISTRATIONMETHODflooding.SIP协议异常检测i.e.BufferOver