IDP-售前培训-Juniper IDP 解决方案.ppt

Juniper IDP 解决方案 防火墙是网络的第一层安全防线 IDS 是网络的第二层安全防线吗? IDP--预防在线攻击 IDS/IPS市场分析 Juniper-IDP入侵检测与防护 一台单一的安全设备 入侵检测与监控 提供旁路检测和在线检测 提供取证分析与调查 提供攻击阻止的能力 在线主动阻止攻击 核心功能 提高检测准确性，减少漏报和误报 多种检测方式 在线模式防止攻击绕行 检测并阻止攻击 多种响应机制 允许用户定义如何响应各种攻击 简单管理，企业应用 基于策略的细粒度控制 可集中的管理各种操作，如特征升级等。 Juniper-IDP 的部署方式 Sniffer方式部署 作为IDS用：交换机SPAN，Hub，TAP 在线Active方式部署 路由方式 ARP-PROXY方式 透明方式 网桥方式 Juniper-IDP 的高可用性部署 集群架构 主备方式的集群 依靠第三方设备的多主方式部署 维持Session的同步 集成的BYPASS模块 监听应用服务和电源状态 自动搭接网络， 消除单点故障，保证正常服务。 Juniper-IDP 的优势 最高的攻击检测率和覆盖率 8种攻击检测手段 4000多种攻击特征码 最快的响应速度 每日攻击特征更新 对微软的漏洞当日响应 最方便实用的管理 NSM统一管理Juniper安全设备 安装简单，循环调查 自动的升级，策略执行，报告生成 Juniper IDP 可以准确检测到攻击 … 检测机制: 状态签名 检测机制: 协议异常 检测机制: 后门 检测机制：流量异常 检测机制: 网络蜜罐 检测机制: 泛洪攻击 针对SYN FLOOD攻击 RELAY模式: IDP作为中间人，代替服务器与客户端进行握手 PASSIVE模式： 不参与三次握手，定义一个计时器来监视连接的建立情况，如果三次握手时间过长，则中断服务器连接。 Layer 7 IPS vs Layer 4 IPS 的概念 Juniper-IDP 对攻击的响应 在线的阻断攻击 丢弃恶意数据包 阻断连接 阻挡IP TCP RESET 其他的响应方式 报警 日志 Diffserv标记 EMAIL，SNMP TRAP 启动自定义程序 Juniper 解决安全的方法 现实中的安全响应举例－200年5月 对微软漏洞的响应 现实中的安全响应举例–2006年6月 现实中的安全响应举例–2006年7月 Juniper-IDP 3层的体系结构 简单管理 集中管理 可分布式的访问所有的管理、日志和事件信息。 灵活的三层体系架构 细粒度控制 通过策略设定什么样的流量需要检测，需要检测什么样的攻击，怎样响应。 IDP Scheduler 自动的攻击特征升级 自动的报告生成 自动的策略执行 完整的循环调查 获取尽可能多的相关信息 在同一个视图中看到扩展的攻击信息 日志和分析、过滤，关联信息的视图 引起报警的相关策略的视图 获得具体的分析 钻研、观察会话的信息，数据包的内容 从一个控制界面管理事件 改变策略来应对新的威胁 完成工作流任务 详尽的日志信息 丰富的报表显示 透明的安全性 攻击签名全部公开 可以修改或者定制签名 提供图形化界面 定制混和签名 例如： 如果 FTP username是“anonymous”FTP Get file name is “earnings”，则该混和签名匹配 ESP: 增强对网络流量现状的了解 Enterprise Security Profiler (ESP) 收集和储存网络和应用流量信息 提供对网络层和应用层的分析视图 方便分析攻击的各个阶段 ESP 告诉您 … 服务器的名称和地址 方便过滤非法使用网络的应用：– Kazaa, P2P, IM 方便对补丁和漏洞的管理 了解网络扫描的源头 确定是否有攻击进行 攻击目标 找出攻击源并实施策略屏蔽攻击 IDP 产品线 Juniper-IDP 能够做到。。。 检测并阻断拒绝服务攻击 检测并且阻挡针对多种应用服务器和主机的攻击 检测并且阻挡网络病毒和蠕虫的传输 检测并且阻挡P2P的网络流量 网络邻居共享 BT下载 QQ,MSN 对P2P流量限流 检测并且阻挡后门程序、Spyware的流量 检测自定义的违规行为 完全完成IDS系统的功能 市场领导地位 Juniper IDP: 2005年度最佳IPS 2005年IPS 国际市场的领先者 - Infonetics Research ‘编辑选择奖’ – Network Computing: ‘The Great IPS Test’ ‘最佳多功能设备’ – Network Computing (Well-Connected) ‘最佳 IPS设备’ – Network Computing (W