信息安全管理第3章3.5安全防护技术

3.5安全防护技术,3.5.1网络防护技术1.防火墙2.VPN3.入侵检测/入侵防御4.安全网关3.5.2终端防护技术1.云安全管理2.桌面安全管理,防火墙,防火墙,防火墙是位于两个信任程度不同的网络之间(如企业内部网络和因特网之间)的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。,防火墙,目的：作为不同网络或网络安全域之间信息的唯一出入口，目的是根据企业的安全策略控制（允许、拒绝、监测、记录）出入网络的信息流，且本身具有较强的抗攻击能力。防火墙是提供信息安全服务，实现网络和信息安全的基础设施。,防火墙,防火墙firewall是一个位于计算机和它所连接的网络之间的硬件或软件,防火墙的功能,集中管理。因特网防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户(如黑客、网络破坏者等)进人内部网络；禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。因特网防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。访问控制。防火墙是在两个网络通信时执行一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。,访问控制,11010110,Accesslistto,Accessnattoanypass,Accesstoblock,Accessdefaultpass,规则匹配成功,防火墙的功能,内容控制。内容控制实质还是关键字过滤，内容过滤的速度取决于关键字模式的查找速度。内容过滤的关键就在于发现异常模式而切断连接，至于连接的切断模式也有各种方式，最好是能让用户知道是为什么被切断的。日志。网络管理员可以记录所有通过防火墙的重要信息。流量控制。流量控制是几乎任何防火墙都具备的功能，但各种防火墙的流量控制的实现各种各样，能实现的控制能力也各有千秋。可以从流量限制、流量保障、QoS三方面评价防火墙的流量控制能力。,防火墙的功能,防火墙能为管理人员提供对下列问题的答案：什么人在使用网络?他们什么时间，使用了什么网络资源?他们连接了什么站点?他们在网上做什么?谁要上网,但是没有成功?,防火墙执行标准,GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18336-2001信息技术安全性评估准则GB/T17900-1999网络代理服务器的安全技术要求GB/T18018-1999路由器安全技术要求这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。,桌面型防火墙,普通百兆防火墙,防火墙+VPN,高端百兆防火墙,高端千兆防火墙,通过在安全边界部署防火墙，可以实比VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力，实现边界防护。,高端电信级千兆防火墙,天融信防火墙产品系列线,按形态分类,软件防火墙,硬件防火墙,保护整个网络,按保护对象分类,网络防火墙,保护单台主机,单机防火墙,防火墙的分类,单机防火墙&网络防火墙,1、保护单台主机2、安全策略分散3、安全功能简单4、普通用户维护5、安全隐患较大6、策略设置灵活,单机防火墙,网络防火墙,1、保护整个网络2、安全策略集中3、安全功能复杂多样4、专业管理员维护5、安全隐患小6、策略设置复杂,防火墙分类,软件防火墙&硬件防火墙,硬件防火墙,1、硬件+软件，不用准备额外的OS平台2、安全性完全取决于专用的OS3、网络适应性强(支持多种接入模式)4、稳定性较高5、升级、更新不太灵活,1、仅获得Firewall软件，需要额外的OS平台2、安全性依赖低层的OS3、网络适应性弱4、稳定性高5、软件分发、升级比较方便,软件防火墙,防火墙分类,防火墙的类型,1、包过滤防火墙2、状态检测防火墙3、应用代理防火墙,防火墙分类,包过滤防火墙,数据包过滤(PacketFiltering)技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表(AccessControlList，ACL)包过滤防火墙分为静态包过滤、动态包过滤防火墙包检查器并不是检查数据包的所有内容，只检查报头（IP、TCP头部），通常只检查下列几项：IP源地址IP目标地址TCP或UDP的源端口号TCP或UDP的目的端口号协议类型ICMP消息类型TCP报头中的ACK位TCP的序列号、确认号IP校验和,包过滤防火墙,应用层,表达层,会话层,传输层,网络层,链路层,物理层,网络层,链路层,物理层,应用层,表达层,会话层,传输层,网络层,链路层,物理层,包过滤防火墙的工作原理,应用层,TCP层,IP层,数据链路层,数据链路层,IP层,TCP层,应用层,1011111110001011010010100011100,1011111110001011010010100011100,11010010,11010010,TCP,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,11010010,只检查报头,1、简单包过滤防火墙不检查数据区2、简单包过滤防火墙不建立连接状态表3、前后报文无关4、应用层控制很弱,包过滤防火墙,优点逻辑简单对网络性能的影响较小，有较强的透明性开销较小，设备便宜缺点无法对数据包的内容进行过滤审核在传输层或则是网络层上检测数据，不能在更高一层检测数据，比如能禁止和通过一个向内的HTTP请求，但不能判断这个请求是非法的还是合法的。防止欺骗攻击很难，特别是容易受到IP欺骗攻击所有可能用到的端口(尤其是1024的端口)都必需放开,增加了被攻击的可能性在复杂的网络中很难管理通常来说包过滤技术是防火墙技术中最低的,状态检测防火墙,由动态包过滤防火墙演变而来，工作在传输层，使用各种状态表（statetables）来追踪活跃的TCP会话，它能够根据连接状态信息动态地建立和维持一个连接状态表，并且把这个连接状态表用于后续报文的处理。状态检测技术一般的检查点有：检查数据包是否是一个已经建立并且正在使用的通信流的一部分。如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。在检测完毕后，防火墙会根据路由转发数据包，并且会在连接表中为此次对话创建或者更新一个连接项防火墙通常对TCP包中被设置的FIN位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。,状态检测防火墙,应用层,表达层,会话层,传输层,网络层,链路层,物理层,应用层,表达层,会话层,传输层,网络层,链路层,物理层,应用层,表达层,会话层,传输层,网络层,链路层,物理层,抽取各层的状态信息建立动态状态表,状态检测防火墙的工作原理,应用层,TCP层,IP层,数据链路层,数据链路层,IP层,TCP层,应用层,1011111110001011010010100011100,1011111110001011010010100011100,11010010,11010010,TCP,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,11010010,只检查报头,1、不检查数据区2、建立连接状态表3、前后报文相关4、应用层控制很弱,建立连接状态表,状态检测防火墙,优点更高的安全性高效性应用范围广缺点不能对应用层数据进行控制不能产生高层日志配置复杂,应用代理防火墙,应用代理（ApplicationProxy）也称为应用层网关（ApplicationGateway）工作在应用层，其核心是代理进程每一种应用对应一个代理进程，实现监视和控制应用层通信流自适应代理防火墙：在每个连接通信的开始仍然需要在应用层接受检测，而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理,应用代理防火墙,应用层,表达层,会话层,传输层,网络层,链路层,物理层,应用层,表达层,会话层,传输层,网络层,链路层,物理层,应用层,表达层,会话层,传输层,网络层,链路层,物理层,HTTP,FTP,SMTP,应用代理防火墙的工作原理,应用层,TCP层,IP层,数据链路层,数据链路层,IP层,TCP层,应用层,1011111110001011010010100011100,1011111110001011010010100011100,11010010,11010010,TCP,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,11010010,只检查数据,1、不检查IP、TCP报头2、不建立连接状态表3、网络层保护较弱,防火墙简介,优点可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强代理完全控制会话，可以提供很详细的日志和安全审计功能可以隐藏内部网的IP地址，保护内部主机免受外部主机的进攻可以集成认证机制缺点最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件分析困难，实现困难每一种应用服务必须设计一个代理软件模块进行安全控制，并且应用升级时，一半代理服务程序也要升级影响用户网络速度（命令解释）不能防止SYN攻击,复合型防火墙,复合型防火墙是指综合了状态检测与应用代理的新一代的防火墙对整个报文进行访问控制和处理，具体检测内容由策略决定，如果策略是包过滤策略，则对TCP、IP报头进行检测，如果策略是应用代理策略，则对用户数据进行检测,应用层,TCP层,IP层,数据链路层,IP,101010101,TCP,ETH,101010101,应用层,TCP层,IP层,数据链路层,101010101,检查整个报文内容,101001001001010010000011100111101111,0010010010100100000111001111011110,建立连接状态表,1、可以检查整个数据包内容2、根据需要建立连接状态表3、网络层保护强4、应用层控制细5、会话控制较弱,复合型防火墙的工作原理,复合型防火墙,优点可以检查整个数据包的内容根据需要建立连接状态表网络层保护强应用层控制细缺点会话控制较弱,windows7防火墙的设置,windows7防火墙的设置,windows7防火墙的设置,windows7防火墙的设置,windows7防火墙的设置,360防火墙（安全防护中心）设置,1.打开360安全卫士，进入首页，点击“安全防护中心”，进入防火墙设置界面,360防火墙（安全防护中心）设置,2.在防护墙设置中心点击“安全设置按钮”,360防火墙（安全防护中心）设置,3.网页安全防护,360防火墙（安全防护中心）设置,4.网络安全防护,360防火墙（安全防护中心）设置,5.聊天安全防护,360防火墙（安全防护中心）设置,6.主动防御服务,360防火墙（安全防护中心）设置,7.恢复默认值,防火墙的局限性,不能防备计算机病毒；限制有用的网络服务；不能防范不经过防火墙的攻击；对于来自网络内部的攻击无能为力；不能解决进入防火墙的数据带来的所有安全问题；不能防备新的网络安全问题。,VPN,VPN概述,VPN即虚拟专有网络（VirtualPrivateNetwork）。它不是真正的物理线路，但能够实现专有网络功能。VPN利用隧道加密技术，在公用网络上建立专用的数据通信网络，使企事业单位任何两个授权端点连接。它排除了传统专网所需要的费时费钱的端对端的物理链接，而是利用某种公众网的物理链路资源，动态组成，用户实现使用不花钱的专网的效果。用户只需购买VPN设备和软件产品，向企业所在地的网络服务提供商支付一定的Internet接入费用，节约了租用专线的费用，同时对于不同地域的客户联系还能起到大大节省长途电话费的作用。,总公司（北京）,分公司（沈阳）,分公司（上海）,VPN技术产生的背景,信息在传输中可能泄密,数据被黑客窃听,总部,分支机构,移动用户林诗音,黑客,我的密码是CAF,我的密码是CAF,VPN的需求之一：数据机密性保护,移动用户李寻欢,Internet,VPN技术产生的背景,信息在传输中可能失真,总部,分支机构,移动用户小龙女,黑客,同意2000元成交,VPN的需求之二：数据完整性保护,移动用户杨过,Internet,黑客篡改数据,同意5000元成交,VPN技术产生的背景,信息的来源可能伪造的,总部,分支机构,黑客,交易服务器,VPN的需求之三：数据源发性保护,移动用户余则成,Internet,谁是真的余则成？,我是余则成，请求交易,“我是余则成”，请求交易,VPN技术产生的背景,信息传输的成本可能很高,移动用户西门吹雪,PSTN,PSTN,长途拨号：010-163,市话拨号：163,上海的拨号服务器,沈阳,北京的拨号服务器,10010010101010,长途拨号，成本太高？,VPN的需求之四：降低远程传输成本,Internet,VPN技术产生的背景,长途拨号，成本太高？,数据在公网上传输随时都面临安全性问题信息在传输中可能泄密信息在传输中可能失真信息的来源可能被伪造信息传输的成本可能很高（相对于专线）,VPN技术产生的背景,VPN是虚拟专用网络，是企业网在因特网等公共网络上的延伸VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网提供高安全、低价位的因特网接入解决方案,VPN技术产生的背景,远程访问虚拟网（AccessVPN）企业内部虚拟网（IntranetVPN）企业扩展虚拟网（ExtranetVPN）,VPN接入类型,远程访问,VPN接入类型,IntranetVPN,远程访问虚拟网（AccessVPN）：对于出差流动员工、远程办公人员和远程小办公室，AccessVPN通过公用网络与企业内部网络建立私有的网络连接。在AccessVPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道（Tunnel）连接来传输私有网络数据。,远程访问,VPN接入类型,AccessVPN,AccessVPN,企业内部虚拟网（IntranetVPN）：,VPN接入类型,IntranetVPN通过公用网络进行企业各个分布点互联,企业扩展虚拟网（ExtranetVPN）：,VPN接入类型,ExtranetVPN是指利用VPN将企业网延伸至合作伙伴与客户,11001110010100010100101010010001001001000001000000,11001110010100010100101010010001001001000001000000,明文,加密,解密,明文,保证数据在传输途中不被窃取,发起方,接受方,VPN功能-数据机密性保护,发起方,接受方,1001000101010010100001000000110110001010,10001010,1001000101010010100001000000110110001010,Hash,Hash,10001010,1001000101010010100001000000110110001010,是否一样？,防止数据被篡改,VPN功能-数据完整性保护,快男,超女,假冒的“超女”,假冒VPN,Internet,101011011110100110010100,验证签名，证实数据来源,私钥签名,VPN功能-数据源身份认证,AH协议头,ESP协议头,SA建立之初，序列号初始化为0，使用该SA传递的第一个数据包序列号为1，序列号不允许重复，因此每个SA所能传递的最大IP报文数为2321，当序列号达到最大时，就需要建立一个新的SA，使用新的密钥。,VPN功能-重放攻击保护,缩略语与专业名词,PPTP（Point-to-PointTunnelingProtocol）-点到点隧道协议L2F（LevelTwoForwarding）Protocol-第二层转发协议L2TP（LayerTwoTunnelingProtocol）-第二层隧道协议IPSec（IPSecurity）-Internet协议安全性AH(AuthenticationHeader)-认证头ESP(EncapsulatedSecurityPayload)-封装安全载荷SSL(SecureSocketsLayer）-安全套接层,深信服,深信服防火墙,深信服IPSecVPN,深信服SSLVPN,深信服人才招聘,深信服人才招聘,深信服人才招聘,深信服人才招聘,白帽子,白帽子，描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。这样，系统将可以在被其他人（例如黑帽子）利用之前来修补漏洞。,入侵检测,04/04/0710:18,什么是入侵检测系统为什么需要入侵检测入侵检测系统的作用入侵检测系统的分类入侵检测系统的发展趋势,入侵检测系统概述,04/04/0710:18,什么是入侵检测系统,对信息系统的非授权访问及（或）未经许可在信息系统中进行操作,入侵Intrusion,入侵检测IntrusionDetection,对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程,入侵检测系统（IDS）,用于辅助进行入侵检测或者独立进行入侵检测的自动化工具,04/04/0710:18,边界防御的局限,攻击工具唾手可得入侵教程随处可见,内部网的攻击占总的攻击事件的70%以上没有监测的内部网是内部人员的“自由王国”,入侵行为日益严重,内部的非法访问,防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止Internet上下载被病毒感染的程序,为什么需要入侵检测,04/04/0710:18,假如说防火墙是一幢大楼的门锁，那么入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能防止大楼内部个别人员的不良企图，并且一旦小偷绕过门锁进入大楼，门锁就没有任何作用了。网络系统中的入侵检测系统恰恰类似于大楼内的实时监视和报警装置，在安全监测中是十分必要的，它被视为防火墙之后的第二道安全闸门。,为什么需要入侵检测,04/04/0710:18,如：穿透防火墙的攻击,client,为什么需要入侵检测,04/04/0710:18,监控室=控制中心,监控前门和保安,监控屋内人员,监控后门,监控楼外,入侵检测系统的作用,04/04/0710:18,监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪,入侵检测系统的作用,04/04/0710:18,基于主机的入侵检测系统（HIDS）基于网络的入侵检测系统（NIDS）,入侵检测系统的分类,04/04/0710:18,定义运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理特点安装于被保护的主机中系统日志系统调用文件完整性检查主要分析主机内部活动占用一定的系统资源,HIDS,04/04/0710:18,分析处理,结果,HIDS,04/04/0710:18,(1)精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况(3)HIDS能够检测到NIDS无法检测的攻击(4)HIDS适用加密的和交换的环境。(5)不需要额外的硬件设备。,HIDS的优势,04/04/0710:18,(1)HIDS对被保护主机的影响。(2)HIDS的安全性受到宿主操作系统的限制。(3)HIDS的数据源受到审计系统限制。(4)被木马化的系统内核能够骗过HIDS。(5)维护/升级不方便。,HIDS的劣势,04/04/0710:18,定义通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机对提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。特点安装在被保护的网段（通常是共享网络）中混杂模式监听分析网段中所有的数据包实时检测和响应,NIDS,04/04/0710:18,0101010101010101,收集,0101010101010101010101010101010101010,分析处理,结果,NIDS,04/04/0710:18,(1)实时分析网络数据，检测网络系统的非法行为；(2)网络IDS系统单独架设，不占用其它计算机系统的任何资源；(3)网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；(4)它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；(5)通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担,NIDS的优势,04/04/0710:18,(1)不适合交换环境和高速环境(2)不能处理加密数据(3)资源及处理能力局限(4)系统相关的脆弱性,NIDS的劣势,04/04/0710:18,事件产生器（Eventgenerators）事件分析器（Eventanalyzers）响应单元（Responseunits）事件数据库（Eventdatabases）,CommonIntrusionDetectionFrame组件,CIDF组件,04/04/0710:18,CIDF组件,04/04/0710:18,学术界智能化检测算法数据挖掘产业界应用层入侵检测的研究入侵检测系统的标准化工作宽带高速网络的实时入侵检测系统入侵追踪、起诉的支持IDSIPS,入侵检测系统发展趋势,入侵防御,入侵防御系统,最早的入侵防御产品就是在入侵检测产品的基础上改造而成IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。入侵防御系统(IntrusionPreventionSystem，IPS)就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。,IDS定义：IntrusionDetectionSystem，入侵检测系统IDS的两个关键特征：实现应用层威胁识别，提供对网络数据的“监视”功能旁路部署，与防火墙配合实现安全防范IPS定义：IntrusionPreventionSystem，入侵防御系统IPS的两个关键特征：深入七层的数据流攻击特征检测（可检测蠕虫、基于Web的攻击、利用漏洞的攻击、网页篡改、木马、病毒、P2P滥用、DoS/DDoS等）在线部署，实时阻断攻击,IPS与IDS,由于IDS与生俱来的缺陷，IPS必将全面取代IDS。,IPS与IDS,入侵防御系统IPS,入侵检测系统IDS,IDS,IPS,IPS与IDS产品对比图示,反客为主，被动防御变为主动防御，效果显著，轻松解决安全问题,范围扩大，不仅关注外部的黑客，也关注内部的员工应用,深层安全，攻击、病毒、木马界限趋于模糊，已经融为一体，需要综合防护,IDS向IPS发展成为必然！,IPS是当前应用安全发展趋势,高可靠性在线部署无故障,管理功能安全策略攻击事件管理等,业务功能入侵检测和防护病毒防护带宽管理,IPS基本功能,业务功能：入侵检测和防护,检测方法,基于攻击工具、或漏洞利用的特征进行检测。基于协议交互的异常进行检测。基于流量统计的异常进行检测。其他检测方法：各种事件智能关联分析、主动扫描检测、网络行为自学习、流量基线自学习、模糊检测、蜜罐法、抽样检测、反向认证。,报文处理方式,报文正规化。IP重组。TCP流恢复。TCP会话状态跟踪。协议解码。基于应用层协议的状态跟踪专有硬件加速。可信报文处理。加密报文处理。,威胁的识别和检测是IPS最基本功能，目标：零漏报、零误报、检测未知网络攻击和未知网络滥用,业务功能：DDoS防御能力,DNS/SMTP/WWW,多种机制综合实现DDoS攻击防御通过SynCookie机制防范SynFlood攻击。通过限制单个源地址的每秒连接数来防范CPSFlood攻击。通过流量阈值模型、反向认证等方式来防范UDPFlood、ICMPFlood、HTTPGetFlood、DNSFlood等DDoS攻击通过特征检测防范常用DDoS攻击工具,业务功能：针对Web应用的安全防范,防范利用Web应用的OS、Web服务、PHP/ASP、数据库等软件系统漏洞的攻击防范利用Web页面程序数据库查询漏洞的SQL注入攻击防范利用Web页面程序HTML输入漏洞的XSS攻击防范对Web网站的大流量DDoS攻击,业务功能：防病毒功能,HTTP,FTP,WebBrowsing,内部网络,DPtechIPS,防火墙,防病毒功能：支持对HTTP、FTP、SMTP和POP3协议识别，并对协议的负载进行病毒检测提供专业的病毒样本特征和及时升级服务提供允许、阻断、重定向等灵活的防病毒策略，满足各种用户的需要,P2P,IM,网游,完全阻断,精确检测和控制BT、电驴、QQ、MSN、PPLive等近百种P2P/IM应用可针对网络游戏、炒股软件等应用进行精确识别和控制提供丰富的控制手段，满足管理的个性化需求,业务功能：检测并限制网络滥用,IPS特征库,安全团队持续对安全攻防和安全热点的跟踪研究。以较高的频率根据研究结果定期开发出IPS特征库。IPS特征库发布制度和自动分发机制。定期发布相关的安全公告。兼容权威漏洞库。,其他IPS相关的服务,IPS部署管理服务，以使用户在特定的网络环境中获得最佳的设备功能和性能。IPS产品相关的认证培训。风险评估、安全咨询、与IPS相关的安全解决方案。应急响应、追踪攻击源。,如何保障对最新威胁的防护，是IPS产品的核心竞争力目标：防范零日攻击或未知攻击、切实帮用户解决问题,业务功能：持续的升级服务能力,管理功能：策略和事件管理,安全策略管理,出厂缺省安全策略。安全策略定制。逻辑IPS单元的定义。安全策略下发到特定的逻辑IPS单元。特征规则的详细描述。特征库的手动、自动升级机制特征规则分类方式。自定义特征规则。典型安全策略模板。,攻击事件管理,攻击事件的存储策略。攻击事件查询。攻击事件备份、导出等。攻击事件与特征规则的关联攻击事件统计分析、图形化报表。内置报表类型。自定义报表类型。报表导出格式。报表的自动化定时生成。,IPS最终使用，需要产品易用性和可审计性强目标：安全策略定制简单、攻击事件呈现直观,热插拨，双电源支持支持二层回退功能,内置的高可用性（二层回退）,借助于掉电保护模块，可保证IPS掉电时，网络依然畅通。内置掉电保护模块（内置优势：微秒级切换时间）,掉电保护模块PFC（PowerFreeConnector),检测引擎,正常模式,检测引擎,二层交换模式,PFC主机,网络流量,USB供电,DPtechIPS,交换机,交换机,高可靠性：二层回退和掉电保护,研发,财经,市场,DMZ区,SMTP,POP3,WEB,ERP,OA,CRM,数据中心,IPS部署在Internet边界，放在防火墙后面，可以抵御来自Internet的针对DMZ区服务器的应用层攻击来自Internet的DDoS攻击,IPS部署在数据中心：抵御来自内网攻击，保护核心服务器和核心数据提供虚拟软件补丁服务，保证服务器最大正常运行时间,IPS部署在内部局域网段之间，可以抑制内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播抵御内网攻击,分支机构,分支机构,分支机构,IPS部署在广域网边界：抵御来自分支机构攻击保护广域网线路带宽,IPS部署在外网Internet边界，放在防火墙前面，可以保护防火墙等网络基础设施对Internet出口带宽进行精细控制，防止带宽滥用,IPSAnywhere,IPS组网的理论模型：企业网,安全网关,上网为何常常如蜗牛般缓慢？谁在疯狂下载/上传资料，导致抱怨连连？网络为什么经常掉线？上班时间聊天、游戏等行为如何管控？如何防止重要资料通过邮件、上网、P2P、IM等行为导致泄密？如何保证关键业务在网络高峰期不中断？企业规模越来越大，Internet成了最大的病毒源。企业网络管理员如不能对网络牢牢可控，危险可能会在某一天爆发。,客户在使用互联网可能遇到的问题,1、安全网关是一款集防火墙、VPN、流量控制，上网过滤、防病毒等功能于一身的网络安全服务产品。2、通过在用户侧部署集成了防火墙、VPN、防病毒、流量控制，上网过滤、防病毒等功能的多功能安全网关设备，以及集中的企业上网安全管理中心，组成用户与互联网连接的安全边界，对进出安全边界的用户信息流进行安全检测、过滤和必要的审计，可在很大程度上确保互联网和企业网之间的网络安全，全面保护企业的网络系统及信息资源，并规范员工的上网行为。,安全网关,安全网关的特点,1）采用远程管理方式，利用统一的后台管理平台对放在客户网络边界的网关设备进行远程维护和管理。2）使用范围广，所有运营商的互联网专线用户均可使用。3）解决对信息安全防护需求迫切、资金投入有限、专业人员缺乏的客户群体，以租用方式为用户提供安全增值服务，实现以较低成本获得全面防御。4）功能模块化、部署简便、配置灵活。,上网审计,网络保护,安全路由攻击防护内网防护防病毒IPSEC/SSLVPN,访问控制上网过滤泄密防范流量管理P2P/IM控制,安全事件报表互联网使用汇总员工上网汇总上网详情审计,安全网关的功能,AAA,内网,外网,登录,-,基于用户的访问控制,异地移动办公,安全网关,企业内部网络,Internet,安全网关1-中小企业应用（一）,Q1、上网速度为什么非常慢，BT下载占用了大量的带宽。A:安全网关的流量控制功能可以根据用户需求，调整带宽，确保关键业务稳定运行。Q2、网络经常掉线，找网通，查线路正常，网络里有ARP病毒。A：安全网关的内网防护功能有效的解决了ARP等病毒对网络的攻击，确保网络不掉线。Q3、员工经常在上班时间做一些和工作无关的事情，如何管控。A：安全网关的IM的控制，URL过滤，能够有效的屏蔽主流的即时通信工具（比如QQ，微信等)，网络游戏(QQ游戏等），使员工在上班时间专著于工作。,安全网关1-中小企业应用（二）,Q4、企业需要更简单实用的VPN。A:安全网关的VPN组件能够使移动用户安全便捷的接入企业内部网络，轻轻松松实现移动办公。Q5、企业对Internet的越来越依赖，相应带来安全的后患，病毒入侵如果管理？A:安全网关的防病毒组件能够有效的将互联网病毒挡在企业外部，保证了网络的安全。,安全网关1-中小企业应用（三）,云安全,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到服务器端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。,有人的地方就有江湖，有网络的地方就有安全问题。,桌面安全管理,桌面安全管理（又称终端安全管理）是为企业级用户提供全面高效的计算机设备管理手段，监控企业内IT环境的变化，保障计算机设备正常运行，大幅度降低维护成本，帮助企业用户管理好计算机设备。,传统PC与桌面云,传统PC桌面管理面临的困境,信息安全,维护效率,终端故障需要现场维护，时间长、效率低桌面标准化管理困难硬件型号、软件版本多种多样，管理维护不堪重负,终端的安全防护、管理运维耗费大量资源，占用管理人员大量时间，效果仍然不尽人意！,资源固化,硬件标准化配置，无法满足用户个性化需求；硬件配置无法灵活升级；硬件资源固化，空闲时无法复用，资源利用率低下,数据在终端本地存储各种端口难以管控使用者行为难以约束电脑失窃导致数据丢失和信息泄露,PC使用成本远比我们看到的高,采购、安装、部署，2