1 / 35

构建新一代的网络安全系统

构建新一代的网络安全系统. 友 讯 网 络( D-Link) 2005年. 摘 要.  公司简介  传统防火墙 / 网络架构面临的挑战  D-Link 新一代信息安全网络整体解决方案  D-Link 网络安全产品新纪元  成功案例分析  结语. 公司的背景. 友讯网络公司( D-Link) 友讯公司( D-Link)1986 年成立,93年进入大陆市场,是世界知名的5大网络品牌之一 国际领先的网络互联设备及解决方案提供商

cruz-lyons
Download Presentation

构建新一代的网络安全系统

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 构建新一代的网络安全系统 友 讯 网 络(D-Link) 2005年

  2. 摘 要  公司简介  传统防火墙/网络架构面临的挑战  D-Link新一代信息安全网络整体解决方案  D-Link网络安全产品新纪元  成功案例分析  结语

  3. 公司的背景 • 友讯网络公司(D-Link) • 友讯公司(D-Link)1986年成立,93年进入大陆市场,是世界知名的5大网络品牌之一 • 国际领先的网络互联设备及解决方案提供商 • 涵盖了局域网(LAN)、广域网(WAN)、无线(Wireless)、宽带(Broadband)等领域 • 2003年首先在二层交换机上实现安全理念,实现在二层交换机对病毒的防御 • 2004年率先在国内推出新一代的网络安全产品IPS,实现对网络的安全主动双向的保护 • 2005年把最新的支持对信息管理和控制的安全网关及防火墙引进到大陆,构建新一代的智能联防安全系统

  4. 分布全世界的运营据点 90个国家和地区¸100多个据点 新加坡 Thailand Malaysia 俄罗斯Belarus Kazakstan Ukraine Lithuania Turkey 英国 Austria Benelux Czech Denmark Finland France 德国 Greece Hungary Italy Norway Poland Portugal Spain 瑞典 Switzerland 美国 加拿大 Argentina 巴西 智利 Columbia Ecuador Peru 中国 台湾 日本 澳大利亚 New Zealand 埃及 印度 Iran Israel Morocco Pakistan Saudi Arabia 南非 U.A.E.

  5. 消费性网络产品–世界第一 • D-Link 市占率 - 25%, 遥遥领先

  6. 摘 要  公司简介  传统防火墙/网络架构面临的挑战  D-Link新一代信息安全网络整体解决方案  D-Link网络安全产品新纪元  成功案例分析  结语

  7. 传统防火墙/网络架构面临的挑战  传统的IDS+FW的网络结构先天就存在不足,无法满足网络安全的需要  网络安全的发展已经要求对出入网络的信息和应用进行有效的管理和监控  实现对内对外的双重防护已经是网络发展的趋势  实现FW/LAN Switch的联动防护是实现网络系统全面安全的基础  深度准确的数据检测分析、详细的数据记录及报表分析是FW/IPS的主要功能体现

  8. 传统防火墙/网络架构面临的挑战 IDS+FW的先天不足 • IDS只起到自动检测功能,无法主动防御 • IDS和FW之间的配合要接受兼容性的考验 • 大多数只对外检测防御,无法对内部网络进行有效的监测 IDS Firewall DMZ Server Farm Host based IDS IDS/IDP Edge Switches AntiVirus AntiVirus

  9. Web Surfing IM: MSN, QQ P2P: BT, Skype Spyware, Trojan W A N D M Z Firewall Port: 80 L A N H T T P 传统防火墙/网络架构面临的挑战 1、 HTTP [port:80] 流量在大多数的环境下,防火墙的规则会被设定成允许。但是在这个部分的流量当中,其实还会隐藏许多防火墙看不到的应用程序。 2、有一些FW如果起用对数据流的7层检测将会使得其性能下降,影响其正常的工作 3、IM/P2P 程序已经成为企业同事之间不可或缺的一种信息交换程序,但传统的防火墙对这些应用程序目前是无法管理的。

  10. 传统防火墙/网络架构面临的挑战 • 当网络内移动用户感染病毒/蠕虫,传统网络安全架构无法有效扼阻病毒/蠕虫传播 • 要求实现对内对外的双向监测 • 通过防火墙和交换机的联动实现对内部网络安全的保护 Firewall L3 Core Switch Server Farm 移动用户感染病毒

  11. 摘 要  公司简介  传统防火墙/网络架构面临的挑战  D-Link新一代信息安全网络整体解决方案  D-Link网络安全产品新纪元  成功案例分析  结语

  12. D-Link新一代信息安全网络整体解决方案 ————组网模式 • IPS实现主动对信息流检测及对攻击自动防御 • 信息安全网关实现对内部等应用程序的有效管理 • 新一代防火墙和智能交换机联防实现对内网的安全管理 IPS实现主动检测防御 新一代FW 信息安全网关 DMZ Server Farm 智能交换机实现安全联动 AntiVirus AntiVirus

  13. DeMaster网络架构图 D-Link新一代信息安全网络整体解决方案 ————IPS实现主动防御 WEB Server FTP Server Server Workstation Internet Router DeMaster Firewall PolicyServer 主动式入侵检测防御系统 (Intrusion Detection and Prevention System)

  14. D-Link新一代信息安全网络整体解决方案 ————IPS实现主动防御 特点:主动防御实施丢包与断联机 • IPS 具有下列防御模块 • 只记录所有攻击事件不采取防御措施 • 记录所有攻击事件并发送警告给管理员 • 记录所有攻击事件并且采取丢包与断联机,以防止攻击事件的持续进行

  15. D-Link新一代信息安全网络整体解决方案 ————IPS实现主动防御 特点:双向防御功能保护网络 • 实时有效的防护各种网络攻击 • 防止单位网络被入侵等行为 • 自动阻挡网络入侵行为 • 自动阻挡分布式拒绝服务攻击 • 自动拦阻网络病毒 • 防止内网被植入木马程序或是后门程序 • 检查过滤内部或外部人员使用Software Tunnel 如SoftEther来突破防火墙封锁 • 防止员工利用WebMail/WebPosting将机密资料利用网络外传

  16. D-Link新一代信息安全网络整体解决方案 ————IPS实现主动防御 特点:网络第七层的防御 • 特征数据库内建1,679条侦测防御政策 Misuse detection: 1638 Anomaly detection: 41 • 可侦测并防御之网络行为有: • DDOS 类的攻击74BufferOverflow 类的攻击245AccessControlS 类的攻击450 • Scan类的攻击99Trojan Horse 类的攻击74Misc 类的攻击128P2P 类的攻击28IM(Instant Messenger) 类的攻击48Virus/Worm 类的攻击408Porn 类的攻击25Web Attacks 类的攻击96SPAM 类的攻击4

  17. D-Link新一代信息安全网络整体解决方案 ————IPS实现主动防御 特点:网络安全的实时监控

  18. 中文化UI报表界面 报表系统具有亲和力 提供实时监视画面 D-Link新一代信息安全网络整体解决方案 ————IPS实现主动防御 特点:提供实时有效报表

  19. DeMaster 产品系列荣获英国NSS检测通过 NSS是入侵防御系统的最高认证机构 就像是防火墙的ICSA认证一样

  20. Web Surfing Web Surfing IM: MSN, ICQ S o l u t i o n P2P: EzPeer, Skype Spyware, Trojan W A N D M Z Firewall Port: 80 L A N P2P Web IM Trojan D-Link新一代信息安全网络整体解决方案 ——信息安全网关实现对内管理 • 在防火墙上激活第七层的内容检查能力: • 客户现有的网关设备将无法继续使用 • 导致防火墙效能严重的低落 D-Link’s S o l u t i o n • 在防火墙内部建置一台价格便宜,而且可以进行信息内容管理的设备 • 此外这台设备具备第七层的信息内容检查的能力 • 可以与所有的网关或是防火墙搭配,节省客户的采购支出 New Security Appliance: “Information Security Gateway” DFL-M510 HTTP

  21. Pattern Matching MSN Chat Send Files White Board D-Link新一代信息安全网络整体解决方案 ——信息安全网关实现对内管理 特点: IM/P2P程序按需求进行细化管理 • 客户可以根据内部的安全策略来禁止(Deny)/允许(Allow)这些无法被管理的IM/ P2P程序 • D-Link的信息内容管理设备还要能针对不同的部门或是不同的程序行为(包括文字交谈/档案传输/视讯会议)进行管理。 • 针对主机名称 / 网络群组/ 整个子网络/ 单一的网络地址,以达到全面完整与广泛性的控管 Security Policy MSN Yahoo IM ICQ Firewall eDonkey Switch Bearshare P2P Receive File Skype Subnet 1 Subnet 2 Subnet 3 10.1.2.66 Financial Division Financial Division RD Team RD Team Sales Division Sales Division

  22. D-Link新一代信息安全网络整体解决方案 ——信息安全网关实现对内管理 特点: 实时且人性化的报表界面 实时且人性化的报表/ 统计画面可以让网管人员立刻了解不同类别程序目前网络流量使用的状况,藉由右方的饼图可以看出:根据流量最大前十名应用程序 / 根据流量最大的前十名使用者。

  23. D-Link新一代信息安全网络整体解决方案 ————防火墙和交换机联动 主动式网络安全联动防御系统 • 当有任何受感染的计算机试图以恶意的流量扩散到内部网络当中 • 独立的IDS/IDP设备或是防毒网关,虽然可以阻挡这些恶意的流量,但是却无法有效避免内部计算机之间的交互感染 • 最有效的方式是:防火墙可以联动D-Link接入端的交换机进行防御,针对恶意的来源主机进行封锁与阻挡,避免内部网络瘫痪。 新一代防火墙已经具备与D-Link交换机联动的功能,以提供主动式网络安全防御系统 Set ACL to block specific MAC or IP address WAN DMZ DES-3226S DES-3250TG DES-3326S/SR (DHS-3226/3218) DES-3350SR DES-3500 series (DHS-3626) xStack series Firewall Subnet B Subnet A Subnet C Infected Host

  24. D-Link新一代信息安全网络整体解决方案 ————防火墙和交换机联动 整合性多功能防火墙 DFL-800/ 1600/ 2500 卖点介绍 n两个WAN端口以上设计,每个端口可自行定义(WAN/LAN/DMZ configurable)设计 n高端口数设计, 并支持千兆(Gigabit)接口 n支持802.1Q VLAN,以及OSPF动态路由协议 n支持120/ 320/ 600 Mbps Firewall Throughput n支持50/ 120/ 210 Mbps IPSec VPN Throughput n整合WAN线路Outbound负载均衡, 线路备援, 服务器负载均衡(Server Load Balance) n整合入侵侦测/入侵防御系统(IDS/ IDP)功能 n支持带宽管理功能(QoS, by端口号/单一IP/多个IP/网段Subnet,带宽动态互借) n支持HA (High Availability)硬件容错备援架构 n支持D-Link Zone DefenseTM功能, 搭配D-Link 交换机构建连动式防御网络安全架构

  25. 摘 要  公司简介  传统防火墙/网络架构面临的挑战  D-Link新一代信息安全网络整体解决方案  D-Link网络安全产品新纪元  成功案例分析  结语

  26. 信息安全网关 DFL-M510 整合性多功能防火墙 DFL-800 DFL-1600 DFL-2500 IPS产品 D-Link网络安全产品新纪元 全系列信息安全产品线 DeMaster3000系列(百兆接口) DeMaster5000(千兆接口)

  27. 摘 要  公司简介  传统防火墙/网络架构面临的挑战  D-Link新一代信息安全网络整体解决方案  D-Link网络安全产品新纪元  成功案例分析  结语

  28. Intranet有大约16000台PC Intranet用户在工作时间大量的使用P2P下载工具,占用出口网络带宽降低网络的可用性 时常发生内网用户发动DDoS攻击外网的情况 外网黑客时常对内网发动各种攻击 无法有效遏制Worm对网络的影响 垃圾邮件泛滥 北京市教育信息网应用案例

  29. 现在的P2P工具(BT、Emule)的工作端口具有自适应功能,防火墙的端口封锁功能已经不能满足新的要求现在的P2P工具(BT、Emule)的工作端口具有自适应功能,防火墙的端口封锁功能已经不能满足新的要求 当内网发动DDoS攻击时,对防火墙的处理能力造成很大的冲击 对一些DDoS攻击无法进行有效识别 黑客的攻击手法与技巧也层出不穷,对有些攻击方式防火墙也无能为力 传统安全设备对垃圾邮件的泛滥无能为力 网络出口带宽的利用率一直在140M左右,居高不下,影响用户对网络的有效使用 传统安全设备的局限性

  30. 设置时程,使P2P程序只能在下班时间才可使用 有效防范DDoS及Worm等攻击 双向数据检测,使外网黑客无法与内网傀儡主机建立连接,有效抑制黑客攻击的各种手段 在网络出口处出过滤掉大量无用数据,有效保证了网络带宽,安装后网络出口带宽控制在110M左右 采用DM5005后对网络的改善

  31. D-Link安全产品用户列表: • 北京教委 • 珠海电信 • 郑州通信 • 温州电信 • 福建省莆田市土地局 • 山东烟草进出口公司 • 深圳烟草进出口公司 • 辽宁烟草进出口公司 • 福建烟草进出口公司 • 新疆烟草进出口公司 • 吉林烟草进出口公司等

  32. 摘 要  公司简介  传统防火墙/网络架构面临的挑战  D-Link新一代信息安全网络整体解决方案  D-Link网络安全产品新纪元  成功案例分析  结语

  33. 结语 • 新的Peer-to-Peer 应用冲击传统网络安全架构并突显信息内容管理的重要性 • 单点的防护方式已不能完全解决日益严重的网络攻击 • 单点被动→区域联动防御 • 新一代网络安全架构除了整合多功能防火墙, 但要克服传统集中式网络安全管理的盲点, 唯有建立主动性联防机制, 才能更有效防止日新月异的网络威胁 • 信息安全除有赖于安全的网络架构, 计算机防毒, 人员训练和资安政策的落实亦是重要的课题

  34. 谢谢大家,祝工作愉快!

More Related