Stonesoft解决方案.运营商.ppt

信息安全 永不间断 梅毅 2020年4月1日星期三 Stonesoft的解决方案能给您带来什么永不间断 业务持续性保障 整体网络安全 安全中心 如何给客户设计整体解决方案的原则CaseStudy 议程 NASDQOMX上市公司 NASDAQOMX SFT1V 90年就开始进入网络安全市场领域超过140人的两个大型研发中心 分别位于法国和芬兰服务区域涵盖美洲 欧洲和亚洲几个主要区域 同时都部署了相关人员 包括销售和技术 是一家正真能实现全球化服务的公司 为什么选择StoneGate解决方案 公司背景 所有产品都是自主研发 包括防火墙 IPS SSLVPN以及SMC 安全管理平台 的版本都是R D开发 后期通过专门的测试部门测试 再到用户使用 研发部门不停的针对版本的BUG修复 完善产品的功能 满足不同用户的需求 依靠产品管理部门和VAG 漏洞分析组织 来负责产品的技术问题 确保产品在用户环境使用中不会出现任何产品自身的问题 研发的人员分别来自Cisco Juniper IBM 也有来自F Secure Microsoft的安全漏洞以及安全威胁分析的专家 中国的技术顾问分部在北 上 广3个主要区域 各地区还有技术支持中心 以及代理商的技术工程师 为什么选择StoneGate解决方案 技术实力 StoneGate有完整的整体解决方案 包括边界 核心服务器群 客户终端 远程接入以及虚拟安全 将来根据网络安全发展的态势 我们有新的Roadmap来适应不断发展的需求 防火墙功能强大 进入中国3年至今 我们大部分客户评价防火墙值得信赖 IPS进入市场比较晚 但目前已经迎头赶上大有厚积薄发之势 SSLVPN是一个纯SSL的设备 已经成功进入到证券 金融和外企这些领域 虚拟安全是被VMWARE认证的5星级的合作伙伴之一 SMC被证明是StoneGate解决方案中必不可少的一个管理平台 为什么选择StoneGate解决方案 产品优势 永不间断 业务持续性保障1 2 全冗余网络设计 永不间断 Why 包括 多ISP出口负载均衡多路VPN负载均衡Cluster集群技术QOS流量管理对服务器高可用支持永不间断的管理中心物理网络和虚拟网络永不间断整个网络安全架构的永不间断 永不间断 业务持续性保障2 2 Stonesoft网络高可用特性 Always onConnectivity 防火墙集群高可用 安全网关的集群和负载均衡 NodeA 212 20 1 0 192 168 1 0 NodeB NodeC NodeD Control 10 42 1 0 对于用户完全透明维护操作和系统升级不需要中断流量的运转集群很容易扩展防火墙的处理能力不需要第三方的解决方案每个集群组最多可支持256台防火墙设备 多链路的负载均衡技术 串联的IPS系列集群 增大串联IPS检测能力提供网络流量检测的HA功能对于IPS设备有更好的TCO将来 10G网络 管理服务器高可用 最多5台备份服务器需要特别的license所有的服务器有不同的IP地址数据在主服务器和备份服务器中同步 管理服务器的备份 日志服务器高可用 最多5台备份服务器不需要额外license 和正常的日志服务器的一起工作没有数据复制 日志服务器也能高可用 Stonesoft整体网络安全1 2 Stonesoft全面统一安全平台 StoneGate安全信息流的重点 Stonesoft整体网络安全2 2 Stonesoft同时保证两个 世界 的安全 整体安全架构完全部署在虚拟环境内虚拟环境内实现真正可见性高效数据交互转发人性化方案设计 降低部署带来的额外风险实现不同安全区域划分 提供基于不同角色管理灵活的应用架构支持 提供强大的应用审计工具最大限度的支持虚拟化 实现节能 绿色IT 对虚拟主机迁移性的支持 VirtualizationwithStonesoft StonesoftVirtualAppliance保证核心业务虚拟化安全 Stonesoft虚拟化安全解决方案 PowerfulYetSimple Stonesoft安全中心1 3 集中统一管理极低的管理 维护费用高扩展性实时把控安全架构第一时间响应任何的事件和警报审计 实时或历史日志报告 SMC StoneGateManagementCenter Stonesoft安全中心2 3 第三方设备监控第三方设备Syslog收集 ThirdPartyDevices StoneGate产品线 StoneGateManagementCenterStoneGateFW VPNStoneGateIPSStoneGateSSLVPNStoneGateVirtualizationSecurity StoneGateFW VPN设备 FW 500022interfacesFW4GbpsVPN500Mbps FW 10206interfacesFW500MbpsVPN200Mbps FW 3004interfacesFW100MbpsVPN50Mbps FW 10508interfacesFW1GbpsVPN200Mbps FW 510018interfacesFW10GbpsVPN800Mbps FW 12008interfacesFW2GbpsVPN400Mbps StoneGateIPS设备 IPS 20002bypassinterfaces2standardinterfaces600Mbps IPS 4002bypassinterfaces2standardinterfaces100Mbps IPS 60008bypassinterfaces2standardinterfaces2000Mbps IPS 61008 16bypassinterfaces2standardinterfaces4000Mbps IPS 6100G1210Gbypassinterfaces2standardinterfaces4000Mbps StoneGateSSLVPN设备 SSL 6000forthousandsofusers SSL 2000forhundredsofusers StoneGateIPS 分布式部署感应器和分析器 透明的访问控制 多个IPS串联方式的集群 多种检测技术相结合 StoneGateIPS 保护应用系统和操作系统的漏洞不被攻击服务器的漏洞客户端的漏洞保护服务不被DOS攻击内网透明的访问控制控制流量被允许去工作站或者内部网络服务器对于内部网络提供一个安全的监控什么流量被允许通过网络 什么应用在耗费公司网络带宽吗 这种应用被公司的政策所允许吗 StoneGateIPS检测技术 检测技术协议校验特征码匹配DoS检测扫描检测多种特征码关联透明访问控制 Layer 2Firewall 网络流量监控 统计 压缩 感应器检测技术 协议校验大多数常用的完整协议代码的检测以太网 IPv4 TCP UDP ICMP HTTP SMTP DNS SSH FTP NBT SMB MSRPC SIPIPS逃避保护在检查和发送数据包之前强制IP碎片整理MSRPC碎片整理检查特征码检测上下文关联的指纹特征特殊的协议指纹像 bootp ldap mysql oracle pop3 wins x11普通的指纹匹配任何TCPorUDP流量扫描检测活跃的主机和端口扫描DoS检测基于比率的DoS非比率DoS 有效的入侵防御技术 分析器检测技术 事件关联从攻击企图中区别成功的攻击 事件压缩 事件计数 事件匹配 复杂的攻击次序检测 IPS透明访问控制 任何以太网协议的访问控制ARP CDP Spanning tree NetBIOS IPX IPv6 etc StatefullaccesscontrolforIPnetworktraffic 内网的分层防护 自动下载更新动态库和刷新策略安全的测试最新的更新内容利用被动的终止动作动态更新每一周发布一次或者无论何时有需要的话自动下载新的引擎升级包 自动更新和升级 自动安全的更新和通知 远程升级 安全的引擎远程升级安全的TLS连接和件校验老的引擎版本运转直到新的版本已经好的了 可以定时来升级 通过管理客户端一步升级 黑名单 通过IPS自动的基于恶意流量的检测手动的通过管理管理员从日志或者连接监控在引擎上监控活跃的黑名单条目访问控制的白名单部分 Analyzer IDS InlineIPS InlineIPS Firewall VPNengine Firewall Engine VPN Gateway Blacklistrequest ManagementServer Wormdetected 1 Blacklistrequest 2 2 InlineIPS 统一的黑名单和白名单管理 感应器部署模式1 3 IDS部署感应器被动的监控网络流量响应 TCPreset Blacklist从HUB或者交换机的SPAN mirror端口捕获流量支持VLAN 802 1q 流量检测 感应器部署模式2 3 InlineIPS部署感应器引擎串联在网络流量路径上用终止的动作有能力保护网络攻击作为一个智能的设备在网络组件之间运作支持VLAN 802 1q 流量保护 SensorDeployment3 3 混合部署感应同时运行在IDS模式和串联的IPS模式中感应器可以有个多个接口去捕获流量和串联运转 串联的IPS系列集群 增大串联IPS检测能力提供网络流量检测的HA功能对于IPS设备有更好的TCO将来 10G网络 IDS集群 集中的检测大的内网网段内网的冗余用于要求高的带宽和低延时需要的网络 扩充IDS的高可用性 01April2020 运营商解决方案设计思路 Stonesoft解决方案设计原则1 5 无懈可击的网络安全流量解决方案为业务增长提供稳固 可靠的安全保障 通过业界最可靠的防攻击 防欺骗安全引擎 独有的深层检测技术 详尽的安全策略 用户验证等技术为网络数据流通 资源共享 各类在线业务提供完美保护 同时为业务的进一步扩展提供安全服务 防止恶意流量 来自包括合作伙伴 额外的 互联网等等防止受到互联网上的病毒 蠕虫 特洛伊木马等各种方式的攻击防止通过应用软件 操作系统及网络协议等的自身安全漏洞发起各种服务攻击防止利用地址欺骗等方式登陆银行内部网路进行破坏或窃取 篡改信息防止各种恶意Java JavaScript脚本 ActiveX插件每个网段 每个网络出口 及内部服务器进行严密的隔离 访问控制StoneGateIPS设备对关键应用进行实时监控保护 安全保障 Stonesoft解决方案设计原则2 5 StoneGate通过一系列的针对防火墙集群 ISP多链路 服务器集群开发的负载均衡技术 彻底保证网络的高可用性 满足对网络可用性的极端要求 确保系统关键业务的可靠性 稳定性 安全性永远在线功能 确保企业为用户提供全年不间断的网络服务极大提高服务对象对企业网络服务的满意度降低网络安全流量管理的运营成本对于系统维护以及升级等操作 可以做到不会影响系统对业外务运行简单容易的ISP多路接入 永不间断的业务保障 Stonesoft解决方案设计原则3 5 通过强大的中央管理系统 StoneGate系统管理中心 SMC 可以完全掌控全球网络可触及范围内的StoneGate产品 针对金融业 业务分散的特点 集中管理网络安全 由此大大减低网络安全管理的时间和人力成本 同时避免管理分散 产品种类分散不便管理等网络安全管理问题 StoneGate管理中心 SMC 可管理所有物理环境和虚拟环境下的StoneGate防火墙 虚拟专用网产品 StoneGateIPS 入侵检测及分析 产品以及SSLVPN产品 高效集中的管理系统 集成技术领先的IPSecVPN和SSLVPN服务 使用StoneGate的Multi LinkVPN技术 可以协助运营商在全球范围的开展 并保证数据的安全性 VPN连接的高可用性 将您和世界紧紧相连 使用StoneGate的SSLVPN技术 帮助实现安全多样化的应用访问 完全基于不同应用进行分类 无论何时何地何种设备均可安全自如访问 简单易用的连接在任何的网络方式 UMTS WLAN etc 对于所有需要的应用均可做单点登陆 提供安全审计 终端设备检查 全面丰富的管理平台和报表统计 业界唯一实现6A的解决方案 Stonesoft解决方案设计原则4 5 Stonesoft解决方案设计原则5 5 完全支持VMsafe和VMotion 虚拟环境真正实现完全可见性 提供强大的审计功能包括区分角色的管理 极其容易的部署不同区域网络 最大限度的支撑不同应用架构 和虚拟化目的相统一 真正实现降低成本 绿色IT VMwareCertified 运营商解决方案 Yourname 2020年4月1日星期三 高可用 高性能 StoneGate内置了荣获大奖的采用了负载平衡技术的StoneBeat每个集群组最多可支持16个节点 同一策略下可同时支持16个集群组不需要第三方完全实现集群内各节点透明切换 负载均衡StoneGateIPS串联集群满足运营商对高可用要求内置的Multi link技术保证运营商对业务持续性要求同样具备高可用特性的集中统一管理平台 保证随时掌控整个网络安全架构 MobileSecurityforCarriers 永不间断 安全均衡 高扩展 高安全 整体网络安全解决方案保证运营商对高扩展性的要求集中统一管理 随时扩展FW IPS SSLVPN组件 满足现有业务增长和新业务需求StoneGate具备的集群能力极其容易的添加或替换新节点通过集中管理平台 实现整个安全架构的联动 在任何节点同时对恶意流量进行有效防护StoneGate虚拟安全组件 硬件安全组件同时保护整个物理网络和虚拟网络 MobileSecurityforCarriers 灵活的安全策略设置地址转换 NAT 防火墙集群 Cluster IPS集群全冗余 透明切换 无缝扩展 零宕机维护保证永不间断的业务系统 基本业务系统 MobileSecurityforCarriers 透明添加新防火墙节点 不影响原有业务运行 IPS集群适应业务增长 安全架构实现永不间断 SMC最大限度降低部署费用和业务增长带来的管理费用 业务系统增长 MobileSecurityforCarriers 完全独立的防火墙集群适应不断出现的新业务系统 负载均衡的IPS集群支撑新业务系统 集中统一管理平台SMC最大限度的保证零管理费用增长 新业