新员工行业知识培训

网络及安全厂商市场分析,内容安排,厂商介绍产品介绍交换机产品路由器产品防火墙、UTM产品IPS、IDS产品流量控制、上网行为管理,厂商介绍,网络厂商思科、华为、中兴、H3C、锐捷、神码等服务器、存储厂商IBM、HP、SUN、浪潮、曙光、联想安全厂商juniper、绿盟、天融信、联想网御、山石网科负载均衡F5、Redware等上网行为管理深信服、网康流控厂商：ALLOT、网康、D-LINK、华三、深信服、QQSG,产品介绍-交换机,全球交换机市场情况,全球以太网交换机市场整体规模呈现增长态势全球市场以太网交换机同比去年增加了10%左右千兆、万兆以太网交换机逐渐成为市场的主流三层交换机侵入路由器市场Cisco全球市场占72的市场份额,产品介绍-交换机,以太网交换机市场增长更快，03年到现在增长近1倍2008年预计140亿人民币市场份额行业应用成为中国以太网交换机市场最主要的拉动因素千兆、万兆以太网交换机取代百兆交换机，逐渐成为市场的主流，保护客户长期投资市场商机无限,交换机市场情况,产品介绍-交换机,当前战国时期，诸侯纷争中高端交换机主要是cisco和华为等低端市场竞争激烈2007年市场份额,交换机市场情况,产品介绍-交换机,H3C视角：交换机厂商行业竞争,产品介绍-交换机,各厂商优势,思科丰富的产品线良好的口碑H3C丰富的产品线廉价的产品,产品介绍-路由器,07年全球路由交换市场123亿美金Cisco、Juniper在高端路由器市场占据94%，目前此两家公司仍占据市场垄断地位，其技术实力、客户认可度无人能敌,全球高端路由器市场份额,中高端企业路由市场情况,全球路由器市场发展,产品介绍-路由器,路由器市场发展,中国市场07年销售量较06年上涨60%，销售额增长32%，预计08年达到132亿。高端市场Cisco/华为/Juniper占据70%中低端国内厂商依靠价格优势占据主导地位迈普在金融行业有中低端路由器市场份额较大,产品介绍-防火墙,当前网络安全趋势,2007年度50%的企业对广域网带宽进行了扩容，越来越多的员工在办公室以外工作网络安全状况进一步复杂化2005年56%的企业遭受了一次来自企业内部的安全攻击事件65%的企业遭受了一次来自企业外部的安全攻击事件CSI/FBI2005年度调查报告企业需要管理越来越多的网络设备，导致网络安全策略的实现更加复杂基于应用层的攻击行为越来越普遍用于网络安全的投资将进一步增长,WiFi,DMZ,InternalsecurityContentprotectionLimitedITstaff,BandwidthusageDirectInternetRemotemgmt,2007年度安全市场细分,企业路由器产品$43亿,来源:InfonecticsResearch2007,入侵检测与防御产品$7.237亿,SSLVPN产品$3.853亿,集成安全功能的路由器产品$13亿,防火墙产品$37亿,防火墙已成为承载网络安全功能的基础平台,防火墙架构演进,Softwarebasedfirewall(1994CheckPointFirewall-1),Softwarebasedrouter(1987CiscoAGS),ASICbasedfirewall(1999NetscreenNS-1000),Workstation+routingdaemon,Workstation+software(1991DECSEAL),ASICbasedrouter(1998JuniperM40),“就像广泛应用于企业和服务提供商骨干网上的基于ASIC结构的路由器/交换机竞争一样，安全领域同样存在软件和硬件产品之间的竞争。任何关注高性能网络安全的经理们都应当备加关注于此。”ByKevinTollyTollyResearch/TheTollyGroup总裁,防火墙功能演进路线,路由器集成包过滤功能,1989,1994,第一台商用软件防火墙DECSEAL发布,防火墙上集成用户认证功能,防火墙集成NAT功能,防火墙集成IPsecVPN,防火墙集成虚拟系统,1991,1993,1999,2002,防火墙集成UTM功能,2002,防火墙设备已逐渐成为承载网络安全功能的基础平台！,防火墙应用场景,大型企业核心网,区域中心,中小企业或分支办事处互联网出口,中型企业,防火墙性能指标,防火墙性能的指标主要有以下几点：吞吐量其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整TCP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度很慢，在用户量较大的情况下非常容易造成防火墙处理能力急剧下降并发连接数目由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。,防火墙性能指标,Dos攻击防范功能包括对ICMPFlood、UDPFlood、SYNFlood、分片攻击等Dos攻击方式进行检测，丢弃攻击报文，保护网络内部的主机不受侵害。防止常见网络层攻击行为防火墙一般应该支持对IP地址欺骗、WinNuke、Land攻击、TearDrop等常见的网络攻击行为，主动发现丢弃报文。针对畸形报文的防范通过一些畸形报文，如果超大的ICMP报文，非法的分片报文，TCP标志混乱的报文等，可能会对网络造成比较验证的危害，防火墙应该可以识别出这些报文。针对ICMP重定向、不可达等具有安全隐患的报文应该具有过滤、关闭的能力。,防火墙性能指标,地址转换：由于防火墙的位置处于边界，因此一般防火墙都提供地址转换特性。为了保证地址转换的良好工作，地址转换特性还需要支持丰富的ALG特性ACL规则设定：通过ACL设定防火墙的各种访问规则状态过滤：支持对各种常用协议进行状态过滤QoS：防火墙应该具有QoS业务支持能力,防火墙市场情况,网络安全建设首选的产品低端市场和技术的准入门槛低生产厂家众多竞争激烈，产品同质化严重价格越来越低利润越来越薄。,防火墙的厂家情况,国外：思科：早期收购的PIX防火墙，基于X86平台，现在其基础上推出了ASA系列UTM产品。特点：针对企业级网络规模，有良好的市场口碑和品牌影响力。Juniper：是最早推出高端防火墙的厂家之一，其针对运营商及大型企业的ISG/NS5000系列。早期收购的Netscreen硬件防火墙平台，目前发展为SSG系列多业务安全网关产品。国内：天融信：国内进入防火墙市场较早的公司，其优势行业在政府。目前安全产品线涵盖防火墙、VPN、UTM、入侵检测和防御、安全隔离和信息交换系统、安全审计和管理平台。安全产品线较为丰富，其自主研发的ASIC、多核防火墙平台有一定技术含量。目前产品有银河万兆防火墙、猎豹千兆防火墙等H3C：早期的防火墙基于华为成熟技术。其优势是网络产品线丰富，方案整合能力强，安全产品市场份额随着网络产品迅速扩大。山石网科：早期的Netscreen创业团队，目前产品主要为硬件UTM平台，在此基础上整合了防火墙、上网行为、流控、病毒防护等功能。,UTM统一威胁管理,UTM设备集成了FW（防火墙）+VPN（虚拟专用网）+IPS（入侵防护）+AV（网关防毒）的功能与一体，适合于中小企业对于网络的安全需要多，同时又没有多少预算的客户。目前的市场发展也比较成熟，市场上常见到的产品品牌有启明星辰、山石网科等品牌。虽然UTM集成了多种功能，但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模，UTM产品分为不同的级别。也就是说，如果用户需要同时开启多项功能，则需要配置性能比较高、功能比较丰富的产品。,UTM统一威胁管理,UTM重要特点：1.建一个更高，更强，更可靠的墙，除了传统的访问控制之外，防火墙还应该对防垃圾邮件，拒绝服务，黑客攻击等这样的一些外部的威胁起到综检测网络全协议层防御。真正的安全不能只停留在底层，我们需要构成治理的效果，能实现七层协议保护，而不仅仅局限与二到四层。2.要有高检测技术来降低误报。作为一个串联接入的网关设备，一旦误报过高，对拥护来说是一个灾难性的后果，IPS就是一个典型例子。采用高技术门槛的分类检测技术可以大幅度降低误报率，因此，针对不同的攻击，应采取不同的检测技术有效整合可以显著降低误报率。3.要有高可靠，高性能的硬件平台支撑。对于UTM时代的防火墙，在保障网络安全的同时，也不能成为网络应用的瓶颈，防火墙/UTM必须以高性能，高可靠性的专用芯片及专用硬件平台为支撑，以避免UTM设备在复杂的环境下其可靠性和性能不佳带来的对用户核心业务正常运行的威胁。,UTM统一威胁管理,启明星辰USG产品,产品介绍-入侵检测/防御,如何才能更好的防御,超过70%攻击在应用层产生服务漏洞攻击、SQL注入等,70%,L7（应用层）,L2-L4（网络层）,攻击层次越来越高超过70%的应用层攻击防火墙无法拦截,防火墙与IDS联动没有标准协议，有滞后现象，非最优方案,位于旁路的IDS，虽然能有效检测和告警入侵事件，但无法阻断无连接攻击,检测到攻击,攻击,将连接阻断,检测到攻击,攻击,阻断策略（私有协议）,三种方式、逐渐进步，但都未达到最优,产品介绍-入侵检测/防御,缺乏深层分析或在线部署，都无法真正实现深层防御,Y,在线部署,旁路部署,低层分析,深层分析,IDS,FW,N,N,Y,在线部署,深层分析,IPS,入侵威胁,IPS是深层防御的最优方案,无连接攻击,深层攻击,产品介绍-入侵检测/防御,部署目标强化风险管理能力及时了解安全状况为改善风险控制环境提供决策依据,部署目标强化风险控制降低风险进一步优化风险控制环境,检测与监控设施,防护与控制设施,审计系统,漏洞扫描,入侵检测IDS,监控平台,接入控制,防火墙,入侵防御IPS,P.D.R一个都不能少,部署目标决定了IPS、IDS各自的发展方向,产品介绍-入侵检测/防御,只需要IPS、不需要IDS只关注风险控制，不关注检测与监控，风险管理要求不高（低风险机构/行业）,LAN,LAN,需要IDS、也需要IPS关注风险管理与风险控制，通过风险管理不断完善风险控制措施（高风险机构/行业）,只需要IDS、不需要IPS只关注风险管理的检测与监控，监督风险控制的改进状况（监管机构/部门）,产品介绍-入侵检测/防御,IDS、IPS产品市场份额,$M,CAGR(04-08),IPS(ourstrength):40%,IDS:-7%,IDS/IPSTAM:17%,产品介绍-入侵检测/防御,应用案例:保护DMZ,JuniperNetScreen-IDP感应器能够保护位于DMZ区内，需要对外提供访问的关键服务器(e-mail服务器,Web服务器等.).,DMZSwitch,DMZ,特点IDP从流入DMZ区的数据流检测攻击，并能够主动丢弃这些攻击数据包，在这些攻击数据包到达服务器之前，有效阻止对服务器的攻击.有能力防范负面的PR并且防止保密信息的泄漏.减少针对攻击的调查和响应.,LANSwitch,LAN,LAN,DMZ,产品介绍-入侵检测/防御,应用案例:保护核心资源,IDP能够被部署在内部各个网段之间，用来保护这些免受来自公司内部的攻击.,特点机构可以确保内部关键任务网段的安全，如财务、人事、工程开发等.保护这些网段不受外部和内部的攻击.是JuniperNetScreen防火墙保护部门网段安全的补充.主动抵御攻击，消除了攻击所造成的影响.,HRLAN,HRLAN,OtherLANs,LANSwitch,产品介绍-入侵检测/防御,应用案例:控制内部用户访问,部署在防火墙之后，内部网络到达防火墙之前监控用户访问流量检测发自内部用户的攻击控制用户的访问行为控制及时短信（MSN，Yahoo），允许聊天，不允许发送文件控制P2P软件（BT，eDonkey）,不同部门的用户,产品介绍-入侵检测/防御,厂商情况：,传统的网络厂商如H3C、思科、juniper等都有相应的产品线，专业安全厂商如天融信、绿盟、启明等公司更是推动了其入侵防御的发展。目前的网络正在由千兆向万兆发展，因此如何在万兆大流量下进行入侵检测和防护是安全检测设备的技术难题。IPS、IDS产品部署在网络中，其性能好坏取决于检测的精度和检测的速度，目前大部分产品都是基于特征码的，因此厂商的攻击特征库更新情况也决定了产品的好坏。,产品介绍-流控、上网行为,现今网络面临的问题：,产品介绍-流控、上网行为,帮助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。,什么是上网行为管理,上网行为管理，管什么,上网行为：用户使用终端设备访问互联网应用的复杂行为上网行为管理的基本要素：用户、终端和应用管理的手段包括：封堵、流控、审计,上网行为管理流程,帮助识别是基础，无法识别就无法管控：识别用户、终端、应用以精准的用户识别、终端识别和应用识别为基础，通过封堵、流控、审计等管理手段，实现对员工上网行为的管理,产品介绍-流控、上网行为,快速增加和更新的海量互联网内容互联网URL地址数十亿条、每天更新近百万，静态URL库如何管理？应用加密化和版本泛滥化Skype聊天、加密P2P行为、版本泛滥的P2P工具，如何应对？互联网应用持续变化非21端口的FTP、非80端口的网页访问、非25端口的Email发送等互联网带宽快速提升组织出口带宽越来越大，高性能的解决方案成为首选海量日志的存储和快速检索公安部82号令要求行为日志存储60天；网络违规事件后如何快速搜索相关行为日志,上网行为管理面临的问题,产品介绍-流控、上网行为,上网行为管理厂商情况,目前在这一市场，客户已经充分认识到了上网行为管理的价值，深信服和网康经过两年的精耕细作，在市场上份额较大。其他厂家也如雨后春笋，迅速起来。,产品介绍-流控、上网行为,什么是流控设备？部署在网络边界对网络流量进行检测、监控、控制的网络设备，主要采用DPI（深度包检测技术）和IPQOS（服务质量）技术来进行基于应用的识别控制和基于IP/IP组的控制。有什么作用？通过有效的流量管理和控制，提高带宽的使用的频率。主要是针对目前网络P2P、IM和网络游戏占用网络关键资源（网络带宽）而关键业务如EMAIL、OA、ERP等得不到保障的一种控制手段，在不升级网络出口带宽的情况下保障关键业务先行。如何衡量产品好坏？好的产品除了能够做到