华为赛门铁克售前工程师培训教材－安全产品.ppt

华为赛门铁克售前工程师培训教材安全产品,课程目标,掌握安全系列产品的功能和特性熟悉产品竞争手段了解产品应用,Secospace安全产品体系,安全服务,UTM（FW+IPS+AV）,IDS/IPS,NIP200,网络与内容安全,USG2000,安全路由网关,USG2000HSR/BSR,USG5000,USG9000,NIP1000,能力中心,僵尸网络特征库,应用协议分类库(DPI),病毒/恶意代码特征库,垃圾邮件库,URL分类库,入侵/漏洞特征库,服务中心,安全应急响应,在线升级平台,信誉评估中心,安全管理中心,安全管理服务,安全咨询,安全软件,IT内控,安全管理,VPNManager,VSMunifiedmanagement,Logauditing,eLog,DocumentsecurityMgmt,DSM,EndpointsecurityMgmt,TSM,SSLVPN,检测设备,2000users,Anti-DDoS,USG5000HSR/BSR,百兆,千兆,百兆,千兆,万兆,清洗设备,管理中心,百兆,千兆,ADG-I,SVN3000,ADG-D,ATIC,安全产品售前培训,课程目录,华赛安全理念,1,5,销售指导,4,安全产品应用场景及解决方案,安全产品介绍,3,华赛安全能力中心介绍,2,安全能力中心概览,全球动态蜜网系统,在全球多个国家建有蜜罐系统，形成覆盖全球的蜜网实时捕获蠕虫、病毒等恶意代码样本分析黑客攻击手法与后门工具统计全球DDOS攻击特征与数据,200万次探测攻击/月,22.5G恶意流量/月,2万恶意样本采集/月,7500次成功攻击/月,恶意网址库,Web安全检测保证企业安全上网准实时检测全自动化后台分析全球恶意网页全面拦截大大减少组织被感染恶意软件的机率,监测国内域名9,000,000个,刷新周期2天,DPI，深入分析网络流量,DeepPacketInspection,什么是DPI通过对报文的应用层数据进行内容检测，分析报文或流在IP和UDP/TCP层以上及各种隧道内部的网络应用类型。,DeepPacketInspection,DPI能够做什么流量识别流量管理内容计费内容安全,DeepPackageInspection,VoIP,HTTP,P2P,Internet,深度解析流量，增强网络控制力,精确协议检测支持协议600+主流应用协议全覆盖支持热门加密P2P协议快速响应定制化需求,96%,热门协议识别精度,持续的升级服务网络,Page10,系统漏洞库SystemVulnerabilities,防火墙,IDS/IPS,其他设备,安全网关,Secospace,攻击知识库AttackSignatureKnowledge,安全知识库SecurityKnowledge,安全服务升级网站,安全能力中心,全球网络威胁跟踪系统,实时主动升级安全能力库持续更新,DPI知识库DPIKnowledge,URL分类库URLCategorybase,业务监控网关,安全产品售前培训,课程目录,华赛安全理念,1,5,销售指导,4,安全产品应用场景及解决方案,安全产品介绍,3,华赛安全能力中心介绍,2,USG产品系列,1,10,20,100,Gbps,5,USG9300,USG9100,USG5300,USG5100,USG2200,USG2100,USG2100BSR/HSR,USG5100BSR/HSR,USG2200BSR/HSR,华赛电信级硬件，提供从桌面型到万兆高端设备，以卓越的性能和先进的安全体系架构为您的网络提供强大的安全保障！,华赛防火墙充分继承了华为高端路由器的高可靠设计优势，将电信级运行环境和大型行业环境的经验移植到安全产品。,USG系列安全网关电信级硬件平台,关键器件冗余设计软件在线热补丁；支持光口、电口互斥备份；接口模块和风扇模块支持热插拔，可现场更换；支持Bypass卡功能，保证断电、down机、升级等异常情况下业务直通，不受影响；,USG9000-产品概述,产品定位：运营商、大型企业高端万兆安全网关应用场景：大型企业万兆网络安全大型IDC安全防护大型ISPAnti-DDoS关键性能：最高性能160Gbps/最大并发6400万/每秒新建连接400万硬件规格：最大支持24个扩展槽位，最大支持24万兆+192千兆产品特点：采用分布式架构，提供业界最高性能、最佳可靠性和最优扩展性，彻底解决安全设备带来的网络瓶颈问题,USG9110,USG9120,USG9310,USG9320,USG9000-硬件介绍,硬件特点：真正分布式架构-性能、并发、新建各关键规格随业务板数量线性递增完全模块化-管理引擎、交换矩阵、接口模块、业务处理模块各自独立配置灵活-产品配置（性能/接口）按需配置，降低用户整体TCO全冗余：支持包括主控板在内的冗余配置，提供与万兆网络相匹配的高可靠性硬件介绍：机架式机箱双交换主控槽位最大12业务模块槽位+12接口模块槽位接口模块以太：2X10G+16GE、24XGE、8XGE等POS：1X10G、4X2.5G等业务模块采用2-4颗多核处理芯片，提供业界最佳的处理性能,USG9000前面板,USG9000背面板,主控交换模块,业务模块,接口模块,USG9000-产品特点,领先的“多核分布式”架构突破传统性能瓶颈，提供业界最佳性能高能低耗、绿色安全单G功耗20W，低于业界平均水平23倍按需配置，有效降低用户TCO颠覆固定CPU和I/O搭配，选择权交给用户最佳的VPN性能适应海量业务加密传输要求开放标准平台迅速应对安全变化，有效满足用户需求,US9000系列产品引领万兆高端安全网关，提供业界最优性能和可靠性，有效保障金融数据中心、大型WEB网站、政府和行业纵向网络、运营商高速网络等高端应用的网络安全,传统产品,USG9000,FW吞吐量Gbps,每秒新建连接万条,90%的精准识别率具有强大的安全能力中心支撑，3，000万URL分类特征库以及实时9，000，000域名监控，支持多种语言查询，识别率高达90%，业界领先,USG2000-产品概述,产品定位：中小企业安全网关应用场景：中小型企业网络边界防护分支机构VPN接入三、四级政务网防护关键性能：最高性能1Gbps/最大并120万/每秒新建连接2.3万硬件规格：最大支持4MIC+2FIC，最大支持端口4GE+10FE+2E1/CE1/SA产品特点：USG2000系列产品是业界首款集路由、交换、安全、无线（WiFi、3G接入）于一体的安全网关。,USG2200,USG2000系列安全网关,USG2130/2130-W,USG2220,USG2110,USG2160/2160-W,USG2210,USG2230,USG2250,USG2000-硬件介绍,硬件特点：ALLINONE设备：USG2000系列产品是业界首款集路由、交换、安全、无线（WiFi、3G接入）于一体的安全网关。机房变成小盒子，降低企业总成本TCO。丰富接口：USG2000系列产品除了提供固定接口外，还可通过MIC扩展插槽选配1*FE、1*E1/CE1、5*FE、1*ADSL2+、SA、3G等接口；通过FIC扩展插槽，选配1*GE、2*E1/CE1接口卡，支持板卡业界最全。硬件模块:接口模块MIC-1E1/1CE1/1ADSL2+/1FE/5FE/1SAFIC-2E1/2CE1/1GE,MIC-1E1,MIC-1CE1,MIC-1ADSL2+,MIC-5FE,MIC-WiFi,FIC-2FE/2FEC,SSLVPN产品,SVN3000-产品概述,产品定位：运营商、企业安全接入网关。应用场景：企业用户安全远程接入运营商、企业内部设备的远程安全维护IDC、云计算中心的按需安全接入关键性能：2000并发用户数、128虚拟安全网关硬件规格：3*GE光电互斥口，1Console口支持硬件加密卡产品特点：细粒度的访问控制，丰富的认证方式，接入前的终端安全检查，提供端到端的安全访问控制。支持双机热备和集群，保障业务连续性并提升性能。,SVN3000,Soho办公,移动办公,技术人员远程维护,员工在公共场所,合作伙伴,出差员工,资源,SVN3000功能概述,功能简述Web代理文件共享端口转发网络扩展IPSec隧道多种认证方式虚拟网关技术细粒度访问控制丰富路由特性(RIP/OSPF/BGP)VLAN组网双机热备双电源供电完善的日志、审计功能SNMP/SSH/Telnet/CLI管理优秀的中英文WebUI管理国家密码局认证的SSLVPN产品,ERP,文件服务器,Web,E-mail,网络扩展IPSecVPN,文件共享,端口转发,Web代理,Web访问,文件访问,Notes、Telnet等TCP应用,其他复杂业务,SVN3000,IPSecVPN,SSLVPN,SVN3000-产品特点,SSL/IPSEC一体化网关统一的访问控制策略、用户、资源、设备管理采用同时支持SSL和IPSEC高速硬件加密引擎，大幅提升性能端到端的安全保护接入前的终端安全检查和身份验证，传输流量的强加密，访问资源的细粒度权限控制领先的虚拟网关技术支持128个虚拟网关，实现业务的完全隔离，并为每个虚拟网关提供独立的Portal和管理电信级的高可靠性电信级硬件平台，支持关键器件冗余和热插拔支持双机热备和集群，保障业务的连续性,SVN3000应用场景,入侵检测系统,NIP-产品概述,产品定位：IDC、大中型企业入侵检测产品应用场景：企业千兆/百兆网络的入侵检测和行为审计IDC千兆/百兆安全防护的入侵检测关键性能：NIP200：性能200M，并发250KNIP1000:性能1G，并发1M硬件规格：NIP200:3*GE电口NIP1000：2*GE电口+2*GE光口产品特点：特有应用层加速引擎和专业高效的算法相结合，提供高速高效精准检测独特的虚拟引擎技术，实现“一机多用”，有效节省客户投资专业的安全攻防实验室，不断跟踪世界最新的网络攻防技术，确保技术领先性,NIP200,NIP1000,安全管理软件,终端安全管理系统（TSM）-产品概述,产品定位：企业终端安全一体化解决方案应用场景：终端安全接入，安全策略管理；员工行为审计，移动设备管理；资产管理，软件分发，补丁管理等；关键性能：支持目前主流Windows操作系统，包括XP/2000/Vista/win7；单服务器最大并发20000用户；,产品特点：采用分布式架构，提供业界最高性能、最佳可靠性和最优扩展性，彻底解决安全设备带来的网络瓶颈问题,终端安全管理系统（TSM）-主要功能,文档安全管理系统（DSM）-产品概述,产品定位：企业文档安全解决方案应用场景：防止内部人员非授权使用文档；防止文档以外流失后造成信息泄漏；针对文档使用的审计。关键性能：单台服务器最大支持20000用户，并发200用户、服务器吞吐量达2000用户/分钟；支持目前主流的文档类型WordPPTExclePDFJPG；支持只读、修改、复制、分发、打印（可控次数）完全控制、离线使用等权限；,产品特点：应用层与驱动层结合的动态加解密过程，实时的权限管理，集中密钥管理，全面的日志审计能力，集中分布等灵活的部署方式；高可靠，高性能、可扩展的架构设计为用户提供一个统一强大的文档安全管理平台。,文档安全管理系统（DSM）-权限管理,用户组D,用户组C,用户B,用户A,权限,只读,修改,分发,打印,离线使用,基于用户组,完善的权限管理，保证合适的人在合法授权下，使用合适的文档，主动防止各种信息泄密行为。提供三个文件权限级别：只读编辑：可附加打印、复制、分发和离线完全控制：可还原文档,完善的权限管理,AdobeReader6.0，7.0，8.0,MSOffice2003(SP3orlater),2007,支持丰富的文档格式，满足企业各类商业信息安全共享和保密需求,复制,完全控制,其他权限控制：权限有效期限制，可自动使内容过期，无论文档在何处周期性时间控制，指定每天固定时间段内才能访问打印/只读次数设置，严格控制文档访问和打印次数,eLog-产品概述,产品定位：国内、海外运营商市场和行业市场的日志管理和安全审计应用场景：事后追踪、调查取证数据库、操作系统安全审计全网日志统一管理关键性能：Syslog日志均值8000EPS，峰值9500EPS二进制日志均值25万EPS，峰值30万EPS采集方式：Syslog、SNMPtrap、OPSec、WMI、FTP、SFTP、JDBC；无代理日志采集产品特点：采用B/S架构，支持集中式、分布式部署，日志采集方式丰富多样，提供业界最丰富的设备支持；提供业界最快速需求响应、最佳可用性、最高可靠性、最大存储容量和多维度海量报表，彻底满足企业日志管理和安全审计需求。,日志服务器,日志采集器,控制台,行为审计探针,eLog-产品功能,NAT日志管理防火墙、路由器、BRAS设备NAT日志解析源IP、源端口、目的IP、目的端口、协议类型网络流量审计结合UTM设备，对基础流量、应用流量、接口流量、P2P流量等以报表形式清晰直观展现对入侵防御、邮件过滤、病毒检测、URL审计、即时消息、阻挡服务进行多维度统计，以报表的形式生动丰富展现给客户,数据库、操作系统审计通过旁路部署行为审计探针对数据库进行审计通过收集系统日志，对OS进行审计支持对FTP/Telnet/Http应用层协议的解析、行为监控、还原通过行为审计探针完成,全网资源日志统一管理平台网络设备、安全设备、主机、web服务器、应用系统丰富多样的告警管理多种告警方式邮件、短信、告警箱、声光告警告警监控、告警报表统计,VSM-产品概述,产品定位：主要定位在国内、海外行业网销售，配套所有安全产品，提供完整的解决方案;在运营商作为U2000组件共同部署应用场景：交换机、路由器、安全产品统一管理TMN标准框架：业务管理层网络管理层网元管理层通信方式：SNMP、SFTP、SSH产品特点：采用C/S架构，提供带内组网、带外组网方式，支持对Eudemon/USG/SIG全系列安全设备和主流网络设备的拓扑管理、网元管理、性能管理、集中策略配置管理、故障管理、VPN管理等功能。直观展现网络架构，帮助管理员快速定位网络故障，提升管理能力，提高工作效率，降低维护成本，为用户提供一个对全网设备高效管理的平台。,管理服务器,采集服务器,控制台,VSM-产品功能,拓扑管理拓扑自动发现丰富的视图类型物理图、IP视图故障告警管理告警浏览、告警统计、告警确认和同步、告警屏蔽、告警远程通知、告警转储性能管理性能采集指标CPU、内存、电压、温度、接口in/out、IP报文、snmp报文、Trap报文性能趋势分析724小时监控、性能分析报告网元管理系统管理、设备面板管理、单板管理、接口管理策略集中配置管理安全策略：提供TCP、UDP、ICMP等服务；支持单台设备和设备组的策略下发虚拟防火墙、攻击防范：对SYNFLOOD、UDPFLOOD、ICMPFLOOD攻击防范功能支持VPN管理端到端业务（IPSec）、远程接入业务（L2TP）北向接口管理SNMP接口、CORBA接口、FTP接口,安全产品售前培训,课程目录,华赛安全理念,1,5,销售指导,4,安全产品应用场景及解决方案,安全产品介绍,3,华赛安全能力中心介绍,2,FW/VPN/UTM典型应用,应用场景,1,中小型企业接入,USG2200,运营商运维中心,Internet,FE,E1,ADSL,3G上行,USG2200,USG2100,USG2130,