《网络安全技术与实践》第2篇边界安全.pptVIP

《网络安全技术与实践》课件 制作人：蒋亚军; 项目二 入侵防护系统 IPS ;【项目背景】;【需求分析】;【预备知识】;入侵防护系统;IPS的现状;IPS的产品背景;2.DoS/DDoS仍是很大的威胁 根据调查，每天平均侦测到6,110个事件 Arbor的研究指出，DoS/DDoS占网络安全事件的65%，其中主要还是TCP SYN/UDP Flooding 应用层CC攻击;3.来自内部网络的威胁 Instant Message在线聊天软件 P2P共享软件 虚拟隧道软件 在线网络游戏;降低工作效率 文件传输，引发泄密风险 散布恶意程序;P2P在耗尽带宽;6.穿透防火墙对外连机 ;IPS产品的客户价值;;IPS的种类;IPS的种类;IPS的种类; IPS主要功能与特性; IPS主要功能与特性;IPS主要功能与特性;IPS主要功能与特性;2. 典型IPS产品的功能;2. 典型IPS产品的功能;2. 联想网御IPS主要功能;分类;分类;5. 联想网御IPS核心技术;;;5.5.联想网御IPS产品优势;2.USE统一安全引擎 基于协议异常、???话状态和七层应用行为进行检测 内置2300多条特征规则，支持自定义特征 支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等各种协议的分析;;DNS/SMTP/WWW;5.全面的P2P管控 基于软件行为、数据内容，而不是端口识别应用 可检测加密型或非加密型P2P 支持100余种常用P2P软件 带宽限流可精准到1Kbps;6.细粒度的IM管控 基于软件行为、数据内容，而不是基于端口号识别应用 可检测加密型或非加密型IM应用 支持10种以上常用IM软件，包括Web IM 可对登陆、文字聊天、文件传输、实时语音、实时视频等进行分项管理;7.精准的带宽管理 针对VLAN、源/目的IP地址、应用协议端口、七层应用软件（如P2P、FTP、PPlive、PPStream等） 支持进行网络传输带宽和网络传输总量两种限制方式 针对P2P应用的带宽限流，可精准到1Kbps ;8.丰富的工作模式 支持IPS、IDS、IPS监视、IDS监视、Forward等工作模式 支持Mirror模式;9.自定义检测方向 针对性检测 节省系统资源;;11.方便、实用的报表 预设事件报表、内建报表、随选报表、定期报表四类报表;12.灵活的管理 基于JAVA的B/S管理架构 支持在线、脱机两种方式对特征库、管理软件、设备操作系统实现升级 支持实时通过LEMS、邮件、syslog进行报警 SSH、Console管理IPS设备;;14.全面的产品资质;项目/规格;1.上网行为管理 部署在内网出口 上网行为管理 IM即时消息软件 Web-IM P2P软件 虚拟隧道 在线游戏 反动软件;2.内外兼顾 部署在网络出口 防范外网攻击 上网行为管理;3.多路防护 多路IPS 每路设置不同的策略 带宽限流;5.7. 竞争分析;2.联想相对绿盟的优势 联想的产品线丰富，接口数量多，类型丰富，其中950IPS最多支持4路IPS或9路IDS。具体信息可参考产品线及产品规格对比表。 联想支持，绿盟不支持的功能 虚拟隧道软件的检测 自由门、无界、花园等反动类软件的检测 “端口Mirror”功能 “IP Spoofing”功能 “Link Fault Pass Through”功能 “自定义检测方向” 绿盟产品不如我们做的好的功能 联想的产品对P2P的支持更全面，检测准确，且支持P2P限流，特别是迅雷，绿盟支持的不好，可以引导用户进行测试。 我们的产品可以对IM软件的登陆、文字聊天、文件传输、语音聊天、视频聊天进行分项检测，并支持对Web-IM的检测，比绿盟产品要全面，可以引导用户进行测试。;绿盟强调其产品具有CVE证书. CVE兼容性证书是与产品相关的，绿盟的IDS和风险评估软件具有CVE证书，IPS产品并没有CVE证书。 绿盟强调其产品支持路由和NAT功能. 绿盟IPS支持路由和NAT功能的原因有以下两点： （1）绿盟没有防火墙产品。绿盟不是专业的路由器和防火墙厂商，想想其路由和NAT功能能做好吗？绿盟为了争取一些防火墙的项目，所以在IPS产品中加入了路由和NAT功能。而业内主流产品TP等主流IPS厂商均不在IPS产品中集成路由和NAT功能，这已经成为业内默认的产品标准。 （2）路由/NAT功能与硬件Bypass功能之间是矛盾的。客户购买IPS产品时都要求支持硬件Bypass功能，这就要求每路IPS接口之间工作在透明模式下。如使用路由或NAT功能，则硬件Bypass就会不起作用，当设备出现问题时，直接导致断网。 注：硬件bypass功能解决了在IPS主机掉电、硬件故障、操作系统故障时，实现每路I