McAfee IntruShield ——Network Intrusion Prevention System (IPS)

1. McAfee IntruShield——Network Intrusion Prevention System (IPS) “Multi-Gigabit IPS”您抵御攻击的第一道防线 时刻保护您的网络及业务安全！

2. 议题 • McAfee IntruShield 功能及特点 • IntruShield Multi-Gigabit IPS硬件架构及处理性能 • McAfee IntruShield典型部署及成功案例

3. McAfee IntruShield功能及特点

4. 零日攻击Zero-day Attacks 加密的攻击 Cisco 路由器/交换机 漏洞 Worms 蠕虫 僵尸网络 Bot Zombie 我们的网络面临着什么？ INTERNET 恶意间谍程序服务器 VoIP Server Web Server 交换机 • 传统安全产品不能保护现在的攻击行为；如传统的防火墙无法防御Bots 用户桌面电脑 – 存在漏洞的Web客户端程序 数据库 • “漏洞窗口期”带来长期潜在的危险 服务器

5. 安全威胁的演变 • 黑客攻击的次数呈现快速增长； • 随着系统和应用程序的不断复杂，攻击手段多样化； • 互联网上可以方便的找到各类黑客攻击工具； • 大量病毒和恶意程序的传播结合了黑客攻击行为； • 攻击的范围越来越广泛； • 攻击产生的流量也越来越大； • 黑客攻击不再只是针对服务器，任何的运算终端都面临着黑客攻击行为； • 安全威胁在不断整合，必须从整体上控制安全风险。

6. McAfee IntruShield——专为进化中的威胁环境而设计 2004-2006年 逐步浮现 2004年以前 进化中的威胁 • Worms 蠕虫 • DoS/DDoS 拒绝服务 • 服务器攻击 • Spyware 间谍软件 • Web 客户端攻击 • 基于 VoIP 的漏洞 • 复杂的 DoS 攻击 • P2P • 初级基础架构漏洞 • 未知的 • 迅速的 • 大量繁殖的 • 加密的攻击 • VoIP 攻击 • 分布式 Botnet 攻击 • 高级的 Botnet DoS/DDoS攻击 • 基于 Spyware 的 Root kits • 进化中的基础架构攻击 进化中的 IntruShield • 内置 Spyware 间谍软件防护 • 内置 恶意软件 防护 • VoIP 漏洞防护 • 新一代 DoS/DDoS防御 • 积极主动的抵御各类攻击 • 基础架构防护 • 流量控制 • IPv6保护 • 利用风险识别的IPS优先阻挡攻击 • 大流量处理设备的发展 • 已知攻击防护 • Zero-day 零日保护 • DoS 防护

7. 网络入侵防御系统（IPS）的发展趋势 发展趋势 需求 • 准确区分安全威胁的等级和紧迫性 • 更全面的威胁防护手段 • 风险预知能力 整合性 • 需要10G的处理性能 • 更快的响应速度 • 更高的可用性 高处理性能 • 降低管理成本 • 快速实现防护 • 内置的专家系统 更低的TCO

8. McAfee IntruShield • 专门设计的硬件架构 • IntruShield 使用专用硬件平台,保证极高的处理性能 • 可靠性 – 唯一的可动部件是风扇，并提供多种高可靠性部署 • 结果是空前的速度和无数据包丢失 • 检测方法 • 特征检测 – 基于状态分析，检测和防御各类已知攻击 • 异常检测 – 协议异常、行为异常、统计异常，针对各类未知攻击 • DoS/DDoS 检测 – 全面准确地DoS/DDoS攻击防御 • 产品部署 • 采用串联（ In-line）： 阻挡各类安全威胁 • 失效开放设置 (Fail-open)：确保数据线路的可靠性

9. 覆盖全球100多个国家的威胁防御研究机构 更快的威胁防御机制和响应速度 通过集成ePO，实现同系统防护手段的整合 结合MNAC，构建完善的动态网络接入控制系统 结合FoundStone，形成具有风险感知能力的IPS防御体系 McAfee IntruShield – IPS市场的领导者 强大的安全威胁防御能力 • 针对系统和网络的全面威胁防御解决方案 • 全面防御已知威胁、未知威胁及DoS/DDoS攻击 • 保护接入网络的每一个终端 整合的安全管理架构 强大的知识系统，优秀的威胁管控能力 IntruShield独特的10 Gigabit 硬件平台 • 专门为10 Gigabit网络开发的专用架构 • 提供业内最大的检测端口密度

10. 覆盖全球100多个国家的威胁防御研究机构 更快的威胁防御机制和响应速度 通过集成ePO，实现同系统防护手段的整合 结合MNAC，构建完善的动态网络接入控制系统 结合FoundStone，形成具有风险感知能力的IPS防御体系 McAfee IntruShield 强大的安全威胁防御能力 • 针对系统和网络的全面威胁防御解决方案 • 全面防御已知威胁、未知威胁及DoS/DDoS攻击 • 保护接入网络的每一个终端 整合的安全管理架构 强大的知识系统，优秀的威胁管控能力 IntruShield独特的10 Gigabit 硬件平台 • 专门为10 Gigabit网络开发的专用架构 • 提供业内最大的检测端口密度

11. 创新的特征检测 • 内置超过3600个攻击特征 • 在完成超过106种协议的完全解码后，进行多字符，多模式上下文匹配 • 用户自定义特征可用于自定义检测策略 • 实时特征更新确保得到永远最新的防护 • 覆盖全球的攻击特征分析团队，确保您永远获得最大程度的保护

12. 全面的异常检测 • 全面的异常检测 • 统计，协议和应用异常检测 • 认识到异常并不等于是攻击 • 检测所有的异常并区分那些属于真正攻击的异常行为 • 认识到异常检测和特征检测起互补作用 • 异常检测模块已集成进入IntruShield架构 • 深层协议分析为异常检测模块提供了准确性

13. 以前 Customer Server Malicious Client 现如今 Customer Web browsers or Desktops Malicious Server Malicious Client Customer Server 内置高级恶意程序防护功能 攻击是从恶意客户端发送至服务器目标 新一代攻击范例 攻击是从恶意服务器发送至Web客户端目标 Spyware, Adware, Malware IntruShield 提供从恶意服务器至Web客户端的全面防护

14. 趋势 / 需求 • 提供内置 间谍软件，恶意程序 和 VoIP 保护 • 保护应对精深的 DoS 和加密攻击 广泛的攻击防御 智能的DoS/DDoS 防御功能 下一代 DoS 防御 • 业界最先进的 DoS 防御技术提供全面的，实时的保护，应对甚至于最精深的DoS攻击 • 多层阀值，基于定义文件(profile-based) 和SYN cookie 技术提供高度细化的 DoS, DDoS 和 SYN Flood 攻击防护 • 当进行目标虚拟攻击和虚拟勒索防护时，确保所有关键系统的可用性 • 专利的自学习定义和密码 SYN cookie 技术提供实时保护，无需牺牲性能

15. 智能的DoS/DDoS 防御功能 Desktop Desktop IntruShield™ Switch Desktop IntruShield 提供即时的， 实时保护应对DoS/DDoS 和 SYN Flood 攻击—无需 “学习模式” Desktop

16. IntruShield™ INTERNET 虚假的 SSL 安全 • SSL 是一种流行的安全技术选择 早期的 IDS/IPS 无法看见加密的攻击 • SSL 在加密敏感信息的同时……连同机灵攻击的攻击也一同加密了 Firewall IntruShield Manager Switch Remote Desktops 端到端的加密 SSL 会话 eCommerce Server

17. ? Step 1 将Web服务器或SSL终端加密的私钥导入IntruShield管理服务器 Drop Y Step 2 IntruShield 管理服务器用传感器的公钥地这些私钥进行加密 INTERNET Step 3 传感器在启动时收到加密的私钥 Step 4 传感器将SSL密钥保存在内在中，检查SSL流量中的攻击 实时加密攻击保护 DMZ Web Server Router IntruShield™ Firewall Switch Web Servers C Finance IntruShield 可解密并检查 SSL 流量中一系列的攻击 IntruShield Manager Database Server

18. 传统防火墙定义了网络边界 1 IntruShield 提供 IPS + 防火墙的整合 2 启动突破性的虚拟内部防火墙 3 虚拟内部防火墙提供更多层的内部保护，使企业级策略得以执行 4 领先的虚拟内部防火墙 INTERNET Switch User Desktops Database Mail Server

19. 实用的流量控制功能 全面实用的流量控制功能： • 基于协议、端口或者应用 • 调整带宽，拒绝非法应用 • 更好的控制非标准协议 (P2P/IM)等 • 优先确保关键的业务流量 现有带宽 Web - 30% P2P – 25% IM -15% Email- 30%

20. 安全威胁结果汇总 • 精确地测定安全威胁状态的独特能力： • 成功 Successful • 未成功 Unsuccessful • 已阻挡 Blocked • 可疑的 Suspicious • 未知状态 Unknown status

21. 实时保护您的核心业务 • 极大的降低总体投入和系统宕机时间 • 保护您的数据安全和基础架构 • 符合各项安全策略 保护系统安全 • 主动防护存在漏洞各类系统 • 使您免受 zero-day 攻击 • 带有系统感知能力的IPS体系（和ePO整合） • 同主机入侵保护系统的整合 保护网络安全 • 高达10-Gigabit 的处理性能 • IPv6 网络协议的全面防护 • 实用的流量控制功能 • 全面的网络架构保护 IntruShield全面的安全威胁防御能力全面保护网络的每一个区域 灵活的策略配置和调整 • 具有风险感知能力的IPS系统（和FoundStone整合） • 基于行为的终端接入控制（和MNAC系统整合） • 内置的主机隔离区域 • 各类内置入侵防护策略模版 • 强大的自定义策略 IntruShield

22. 覆盖全球100多个国家的威胁防御研究机构 更快的威胁防御机制和响应速度 通过集成ePO，实现同系统防护手段的整合 结合MNAC，构建完善的动态网络接入控制系统 结合FoundStone，形成具有风险感知能力的IPS防御体系 McAfee IntruShield 强大的安全威胁防御能力 • 针对系统和网络的全面威胁防御解决方案 • 全面防御已知威胁、未知威胁及DoS/DDoS攻击 • 保护接入网络的每一个终端 整合的安全管理架构 强大的知识系统，优秀的威胁管控能力 IntruShield独特的10 Gigabit 硬件平台 • 专门为10 Gigabit网络开发的专用架构 • 提供业内最大的检测端口密度

23. McAfee IntruShield McAfee IntruShield McAfee IntruShield McAfee ToPS Enterprise McAfee Foundstone McAfee ePO IntruShield全面的整合性能 通过和网络及系统产品的整合带来更大价值！ 同 ePO的整合 • 更快的保护响应时间，第一时间了解被攻击系统的状态信息：包括主机特征、系统防御产品状态以及近期的病毒爆发事件 同 McAfee NAC的整合 • 基于行为的主机隔离功能，和MNAC系统实现完美整合，实现对不可管理计算机的主机隔离 System-Aware IPS 同Foundstone的整合 • 带有风险感知能力的IPS系统，可以根绝内网漏洞状况，有目的的抵御攻击行为，同时可以调用FoundStone系统，主动完成风险评估 Risk-AwareIPS Dynamic NAC

24. IntruShield 与 ePO 集成极大地提高了运营效率 包含 ePO 主机数据的 系统感知 IPS • 右键单击即可获得实时防病毒警报“主机详细信息” • 提供主机名称、用户名、OS、补丁级别、MAC 地址、上次扫描日期以及其他防护策略 • 前十位 HIPS / AV / Spyware 事件 系统感知 IPS 优势 • “信息密集型”—可视性、高效性和相关性 • 利用客户的 ePO 投资进行安全风险管理协作 • 更快的获得保护

25. INTERNET IntruShield™ 业界第一个具备风险识别功能的入侵防御解决方案 企业部署环境 Windows Switch IPS Router Router Linux Attack DMZ Linux 导入 & 关联 Foundstone 扫描结果 Foundstone FS1000 Web/FTP SMTP DNS • 允许客户集中精力在最有关联的告警 & 攻击 • 导入和关联来自McAfee Foundstone的风险评估信息，或开源漏洞扫描系统Nessus的信息 风险识别的IPS

26. Foundstone 与 IntruShield网络入侵防护集成工作 为实时风险识别IPS功能提供保障 实时风险识别 IPS功能 • 自动导入Foundstone的扫描报告 • “立即扫描” 功能自动调用Foundstone按需扫描，实时关联风险状况 实时风险识别 IPS 的优势 • 集中精力处理关键事件 • 自动，准确的进行关联 • 实时更新每个特定主机的漏洞信息 • 有效利用Foundstone及IntruShield的投资

27. 未遵从规章制度的 遵从规章制度的 IntruShield 与 McAfee NAC 集成持续确保设备的安全性（进入网络后的控制） 公司网络 1 4 McAfee PolicyEnforcer 远程工作者 5 隔离网络 Quarantine Network 3 2 IntruShield Sensor 3 4 5 1 2 评估 执行 补救 定义 检测 受管理的： MNAC 开始自我强制执行和自我修补 未受管理的： IS 将主机隔离 IS 向 MPE 发出不同严重等级的警报，并附带建议 通知管理员将该主机设置为遵从策略的状态 IS Sensor 检测试图进入网络的 “恶意的主机” 定义系统遵从策略

28. 覆盖全球100多个国家的威胁防御研究机构 更快的威胁防御机制和响应速度 通过集成ePO，实现同系统防护手段的整合 结合MNAC，构建完善的动态网络接入控制系统 结合FoundStone，形成具有风险感知能力的IPS防御体系 McAfee IntruShield – IPS市场的领导者 强大的安全威胁防御能力 • 针对系统和网络的全面威胁防御解决方案 • 全面防御已知威胁、未知威胁及DoS/DDoS攻击 • 保护接入网络的每一个终端 整合的安全管理架构 强大的知识系统，优秀的威胁管控能力 IntruShield独特的10 Gigabit 硬件平台 • 专门为10 Gigabit网络开发的专用架构 • 提供业内最大的检测端口密度

29. 覆盖全球的研究机构 • 遍布全球的安全威胁研究机构 • 第一时间对黑客攻击实现有效防御 • 在中国上海和香港设立研究小组，侧重对大陆地区安全威胁的分析

30. 4 VULNERABILITIES 5 THREATS 6 RISK 7 PROTECTION 8 ENFORCEMENT 快速的威胁响应 谁来帮您节约时间和金钱？ Timeline 传统的分析时间 有效实现保护的周期

31. 4 VULNERABILITIES 5 THREATS 6 RISK 7 PROTECTION 8 ENFORCEMENT 5 THREATS 6 RISK 8 ENFORCEMENT 4 VULNERABILITIES 7 PROTECTION 快速的威胁响应 Timeline 更短的分析周期 • 风险感知 • 系统整合 • NAC整合 • 更大更好的威胁分析团队 更快实现保护 • 优秀的定制策略 • 第一时间确定风险所在 • 极佳的处理性能 Typical Time-to-Confidence Typical Time-to-Protection 更短的分析周期 更快实现保护

32. 覆盖全球100多个国家的威胁防御研究机构 更快的威胁防御机制和响应速度 通过集成ePO，实现同系统防护手段的整合 结合MNAC，构建完善的动态网络接入控制系统 结合FoundStone，形成具有风险感知能力的IPS防御体系 McAfee IntruShield – IPS市场的领导者 强大的安全威胁防御能力 • 针对系统和网络的全面威胁防御解决方案 • 全面防御已知威胁、未知威胁及DoS/DDoS攻击 • 保护接入网络的每一个终端 整合的安全管理架构 强大的知识系统，优秀的威胁管控能力 IntruShield独特的10 Gigabit 硬件平台 • 专门为10 Gigabit网络开发的专用架构 • 提供业内最大的检测端口密度

33. IntruShield 10GigE 平台 • 10 Gigabit 处理性能 • 高端口密度的检测设备 • 高可靠性的网络设备 • 适用于运营商级别的网络环境 IntruShield 10GigE 平台（16个检测端口，高密度硬件平台） 有效保护下一代 10 Gigabit 网络和IPv6网络!

34. IntruShield IPS硬件架构及处理性能

35. 技术独特的Asic芯片 • McAfee参与设计的Asic技术 • 全面提升协议分析处理速度 • 由多块Asic组成的处理芯片组，确保了IntruShield硬件平台的极高处理性能 • Asic架构也能够确保IntruShield具有很长的产品使用周期

36. FPGA芯片 • FPGA芯片具有灵活可靠的特点 • 可以根据软件要求改变运算逻辑 • 可以快速稳定的进行协议分析策略的变更，并添加新的检测协议 • 在Asic架构确保检测速度的情况下，为IntruShield提供无以伦比的灵活性

37. 灵活的软件管理系统 • 内置先进的软件管理系统 • 可存储超过100000条报警信息 • 灵活快速的应用检测和防护策略 • 确保硬件实时升级更新

38. IntruShield逻辑处理架构

39. 业内最大的处理能力和灵活的型号配置 M-8050 10Gbps M-6050 5 Gbps I-4010 I-4000 2 Gbps I-3000 处理性能 1Gbps I-2700 600Mbps I-1400 • 高达10G的处理能力 • 高端口密度 • 高可靠性 200Mbps I-1200 100Mbps 型号系列

40. McAfee IntruShield端口配置

41. McAfee IntruShield典型部署及成功案例

42. Internet 可扩展的多级保护 • 横跨企业核心，边界到分公司，提供可伸缩的保护 • 以引人注目的价格/性能比提供从100M到10G的带宽 Unmanaged/Unmanageable e.g. SCADA Controller Manufacturing (A) VoIP I-2700 I-4010 10Gig Backbone ERP CRM Engineering (B) Sales (C) DMZ M-8050 Core Internal Perimeter Virtual IPS D Administration

43. IntruShield体系架构 INTRUSHIELD UPDATE SERVER ADMIN WEB BROWSER SSL SSL MANAGER SECURE CHANNELS SENSOR

44. 部署的灵活性 • 通过基于状态的自动故障恢复 (fail-over) 提供高可用性支持 • 负载共享模式 (Active-Active) 及 热备份模式(Active-Passive) 适合任何网络拓扑

45. Router Router IntruShield™ Switch Switch C C B B A A IntruShield 虚拟入侵防御系统 (Virtual IPS ) Before After 典型的IPS只能支持一个传感器一个策略，这将导致过多的误报，或过多的传感器部署 创新的 虚拟IPS 功能能在一个传感器上实行多个安全策略—可为保护各个特定环境而定义—减少总体拥有成本 • VLAN / CIDR / 基于端口的 VIPS 定义 • 最高可达 每设备 1,000 VIPS 传感器 • 针对每个VIPS，及独立主机/子网的攻击高度细化策略定义

46. Fail-Open功能确保设备硬件故障或掉电时网络自动切换到直通状态Fail-Open功能确保设备硬件故障或掉电时网络自动切换到直通状态

47. 网络核心或者数据核心的双机热备

48. IntruShield Security Manager—友好的用户接口 At-a-Glance Dashboard Easy-to-Use Interface Centralized, at-a-glance threat & system monitoring and control Clean, simple &, intuitive User interface User-Friendly Set-Up Wizard Simple 3-Minute Sensor Installation Real-Time Alert Manager 3-click navigation to highly actionable alert & attack information

49. IntruShield 中心管理平台 (ICC) • 不同物理部署位置的统一管理； • 策略的集中创建、控制、管理和分发； • 超大数量的Sensor容量 (1000台)； • 极高的可靠性和策略部署性能； • 全局掌控，同时满足不同国家的管理需求； • Single sign-on 并提供自动策略同步。 ICC ISM ISM ISM

50. Sensor Sensor Sensor 灾难恢复 管理控制台 主选 ISM • ISM和传感器之间自动协商 • 当主设备失效时，提供灾难恢复 • 失效时从主设备上恢复关键配置数据 INTERNET 备选 ISM 配置 & 策略传输 多网段大范围部署