可信终端系统介绍.pptVIP

天霸网络安全工作室（） 天霸网络安全工作室 天霸网络安全工作室 可信终端系统介绍 作者：胡林 现行局域网面临的挑战 自局域网的技术诞生之日起，他已给我们带来了极大的便利，尤其是企事业单位内部，他已成为一种必需的基础性建设。 在局域网内部，各个主机之间几乎可以任意的通信，在早期，这种较大的自由度受到人们的追捧。但随着人们对网络安全、信息安全等的认识。这种建网的弊端日渐显露 1，通信明文传输。各个主机的通信是以明文的形式传输的，利用以太网sniffer功能，第三者很容易窃听到通信内容。其后果不言而喻，既不能保证通信的隐私，也为网络攻击提供了便利。 2，为病毒蔓延传播提供了方便，前几次的蠕虫病毒肆虐的情景，相信大家一定记忆犹新。 3，接入控制问题，目前以太网的接入问题还没有一个很好的办法加以控制，即任意一台主机只要接上局域网即可与网络上的主机进行通信。这种接入方式非常不便于管理，给内部的信息安全带来一定的隐患。 4，庞大的网络规模对网络安全和信息安全是一个挑战。应该有一种方案能够对较大的网络进行分而治之。 基本功能 以太网物理层数据多向加密 主机接入局域网授权管理 基于MAC地址的主机分组管理 分布式的安全分析 以太网物理层数据多向加密 主机接入局域网授权管理 主机分组管 分布式的安全分析 每个终端本身具有防火墙功能、流量分类统计、抗DDOS功能。 认证服务器将定时收集每个终端的流量统计结果，进行全局的分析。 对每个终端进行防火墙策略的配置 对每个终端进行资源策略的配置 可信终端的意义 保护重点网络设备群不被既有的和未来的网络病毒侵害，形成安全区。 禁止没有认证的台式机、笔记本等网络终端接入本地局域网。 杜绝任何形式的侦听，保护个人和企业的隐私。 根据企业的实际情况，对终端进行分组，防止员工访问与自己工作无关的主机,防止企业敏感信息的传播和泄漏。 对信息流程从技术进行控制 分布式防火墙，确保整个网络的安全。 保护区 利用一台认证服务器，可以在局域网内构造多个保护区，只有在保护区内的主机才能直接互访，从而大大降低网络攻击、病毒传播、蠕虫扩散、通信窃听等风险。 同时在一个局域网内也可存在多个认证服务器，以增加应用的机动性和灵活性，各个服务器相互之间是可见的，且互不干扰。比如：A,B,C三个同事可以在A的主机上安装一台认证服务器，建立自己的保护区，进行通信加密，而企业也有自己的保护区。 安全性能对比 主机限制 普通主机：没有任何限制 防火墙：只有防火墙允许的主机才能访问 保护区：只有在保护区内的主机才能访问 存在的安全问题 普通主机：依靠系统自身的安全 防火墙：依靠防火墙得到的安全配置，存在ip地址，mac地址的欺骗 保护区：的安全认证体系 配置难度 普通主机：无 防火墙：需要专业人员 保护区：无配置 安全性能对比(续) 反扫描 普通主机：无 防火墙：依靠具体的防火墙，一般不支持 保护区：禁止任何形式的扫描 反信息搜索 普通主机：无 防火墙：至少可以监听通信数据包 保护区：通信加密(物理层) 通信效率 普通主机：高 防火墙：依靠具体的产品而定，一般损失30%左右 保护区：损失20%左右 安全接入 限制网络病毒的传播 禁止通信监听 对信息流程进行控制 终端隔离 全局网络安全分析 产品化问题 该产品并没有出售过，建议在内网上做一些测试。 文档方面基本文档已有，需要稍作美化即可，其他的宣传材料，需要根据市场的需要，来近一步的完善。 谢谢 Thank you * * 2005-7-18 应用层 协议层/传输层 物理层 终端驱动 应用层 协议层/传输层 物理层 终端驱动 天霸终端驱动，对数据进行加密 在以太网上的数据被加密 天霸终端驱动，对数据进行解密 网桥(双网卡的pc) 连接控制一个或多个 非windows系统 非Windows 系统 天霸认证服务器 局域网重要服务器(DNS、代理服务器等 ) 被接受的终端 被接受的终端 被接受的终端 不被接受的终端 不被接受的终端 不被接受的终端 局域网安全区,将确保防止敏感信息的泄漏、抵御各种类型的网络病毒的传播 天霸网桥(双网卡的pc) 天霸认证服务器 局域网重要服务器(DNS、代理服务器等 ) C组主机 B组主机 A组主机 B组主机 A组主机 A组主机 C组主机 非windows系统重要服务器，同时属于A、B、C三组 A组 B组 C组 天霸认证服务器 被接受的终端 被接受的终端 被接受的终端 被接受的终端 被接受的终端 不被接受的终端 主机虽然可以插上网线，但只怕永远也无法访问我们的局域网 天霸网桥(双网卡的pc) 天霸认证服务器 局域网重要服务器(DNS、代理服务器等 ) C组主机 B组主机 A组主机 B组主机 A组主机 A组主机 C组主机 非windows系统重要服务器 A