接入层交换机检测.PPT

校园网建设思考方式的转变 校园网建设思考方式的转变 网络主要安全问题 网络攻击手段的融合 缺陷不可避免 攻击不可避免 网络安全体系 传统校园网设计思路的局限 港湾网络整体校园网安全系统 整体网络管理 智能策略平台 网络安全问题分析 整体网络防御 外网安全防护 内网安全防护 内网安全防护 内网安全防护 内网安全防护 北京科技职业学院 * 校园网安全 现在需要 被动响应 自动，主动响应 过去 分立式 集成的多层防御 产品支持 系统级服务 从无到有 校园办公网 宿舍网 互联网出口 网络业务 业务驱动 可运营 可用 可管理 安全 易维护 准确灵活计费 有效的业务支撑 随意 规范 分散建设 集中考虑 网络连通 业务应用 一体化的综合业务 像企业ERP网络一样运作 * Based on recent statistics form CSI/FBI and ICSA 危害性最大的攻击手段都是基于网络的！ 安全问题已经成为网络建设中关注的焦点问题 新一代恶意代码（蠕虫、木马） 2002 2004 操作系统版本 年代 程序规模 Windows 3.l 1992 300万行代码 Windows NT 1992 400万行代码 Windows 95 1995 500万行代码 Windows NT4.0 1996 1650万行代码 Windows 98 1998 1800万行代码 Windows 2000 2000 3500万-5000万行代码 年份 报告的漏洞数 1995 171 1996 345 1997 311 1998 262 1999 419 2000 1090 2001 2437 2002，1Q-2Q 2148 总数 7181 CERT的安全漏洞统计 系统的庞大和复杂造就了缺陷的不可避免 攻击工具体系化 网络整体防御 威胁主动隔离 统一安全策略管理 提供对用户接入、数据传输与业务管理的端到端的分级安全防御 网络及后台设备管理设备联动实现对威胁的快速和最小区域的隔离，保护业务主体安全 业务的安全 实时威胁检测 网络与安全设备分工协作，实现分布化的威胁实时检测能力，有效检测未知攻击 高性能网络规划 校园网 网络管理系统 宿舍区认证计费系统 安全管理系统 各自为战没有统一的协调导致多种需求难以满足 UniWorks+兰信AAA系统 Esay Touch/Hammer View: 网络管理 Harbour NetFlow Manager: 数据监控、流量分析 Harbour Syslog Manager: 日志和告警 Harbour Security Manager: 安全管理 集中审计工具 用户上网日志 NAT日志 DHCP日志 NetFlow数据 SNMP网络管理 特征事件 …… 集中网络设备与安全设备的数据，提供对整网的全面安全、用户管理视图等视图，确保网络应用。 安全策略库 X0 of Y0 in T0 ＝ S0 在T0时间内Y0事件发生了X0次 实时监控 安全触发 NetFlow数据 动作触发 规则匹配 实现对未知网络攻击/网络滥用行为的及时阻断 假冒某人 身份上网 发起攻击 中毒后大量的 不断变换地址 的垃圾流量 病毒 黑客攻击 中毒后大量 的广播流量 内部安全空洞 发现应用层攻击无能为力 防病毒 中毒后大量 的攻击其他 用户的流量 对应用层攻击和病毒传入 无能为力 IDS 1、接入层交换机检测： 端口流量统计 流量异常控制 用户访问控制 提供对链路层的威胁检测 Internet 服务器集群 2、汇聚与核心交换/路由设备检测： 通过Netflow检测网络层异常 内置IDS-Sensor模块提供应用层攻击的检测 3、内置防火墙检测： 提供对网络及关键资源的应用层攻击避免与检测 网络设备分工协作，实现对威胁的实时检测与快速隔离 ? ? ? ? 4、AIO防火墙/IDS/防毒墙一体化产品，大幅度提高外网安全保障能力 5、NAT日志与上网记录系统保障事后追查能力的提供 AAA 防病毒服务器 安全管理服务器 网络设备安全协同 AIO外网安全设备，保证切断外网不安全因 素 同时满足防火墙/IDS/防毒墙需求 三者在设备内部实现联动，确保隔离网络安全事件因素 一次拆包三次分析，充分提高效率 网络出口的快速路由表收敛 NAT翻译 保证流量畅通 防止真实IP暴露在外面 网络攻击 应用攻击 病毒攻击 防 火 墙 I D S 防 毒 墙 NP处理模块 防 火 墙 I D S 防 毒 墙 15元组绑定 绑定用户MAC/IP等元素，防止引病毒导致的变换攻击 入网即认证 避免非法用户发起攻击