安全管理系统sms-中国信息安全测评中心.ppt

网络在身边，安全新体验 －华为3Com安全渗透网络 安全领域的市场发展趋势 传统的防御：在越来越多的漏洞面前，无能为力 Microsoft: 2003年共51个安全公告 Microsoft: 2004年共45个安全公告 Microsoft: 2005年到7月己发布37个安全公告 攻击范围和时间的变化 Code Red II传播 Slammer/Sapphire攻击 每8.5 秒感染范围就扩展一倍 在10分钟内感染了全球90％有漏洞的机器 客户机安全形势严峻－间谍软件/广告软件 90%以上的PC感染了间谍软件 间谍软件主要用窃取敏感数据，形成对安全的巨大威协，而且还会耗尽IT资源 下列情况会感染间谍软件 : 浏览网页 , 下载软件 , 共享文件 打开垃圾邮件 通过网络，安全威胁不断向内、向上扩散 1990年的网络安全模型 1995年的网络安全模型 1999年的网络安全模型 网络与安全汇聚趋势 IPS必须具备的第一个条件: 线内操作方式 只有在线内对流量进行处理，才能使IPS真正阻挡出现在网络上出现的攻击 IPS必须具备的第二个条件: 交换机一样的性能 IPS必须象千兆交换机一样工作　 高呑吐量　 IPS的呑吐量必须与网络中的其它网络设备的性能相匹配　 由于IPS要对每一个数据包进行检查，因此在实际的具有各种流量的网络中测试是非常重要的　 Smartbits 和 CAW 是不可能模拟出来　 低延时　 对于在多数的应用，端到端的性能与延时成反比　 加倍的延时使得完成一个任务花费二倍多的时间　　 现代网络: 局域网的延时大约200微秒　 校园网的延时大约在500微秒　 　 IPS必须具备的第三个条件: 高可靠性　 支持标准的HA　 多电源支持　 支持VRRP, spanning tree, HSRP,等. 内置HA技术 当IPS软件发生故障，内置HA会自动开起或关闭 　 Zero power HA 在没有电源支持时，IPS允许流量能正常通过　 当把IPS安装在一个独立的环境中，这就非常必要　　 IPS必须具备的第四个条件: 精确的过滤器、频繁更新　 覆盖当今的最新攻击　 覆盖老的攻击不是最有用的　 频繁更新是IPS的一个必要条件　 要有抵抗黑客哄诱骗能力　 IPS必须具有抵抗规避能力, 包括：　 IP 碎片和交迭　 TCP碎片和交迭 （TCP　fragmentation and overlap） 十六进制编码和统一的字符编码标准（Hex encoding and unicode） 变形攻击（Polymorphic attacks）等等 高度的精确性　 从不阻挡一个合法的流量 不放过一个攻击流量　 自动阻挡新的攻击　 IPS必须具备的第五个条件: 可管理性　 一次性的工作　 安装 初始化配置　 日常工作　 配置 安装新的签名　 修改过滤器设置 (“策略编写器”) 生成报表　 IPS必须具备的五个条件 线内操作方式 在呑吐量和延时方面，要有交换机似的性能　 高可靠性 通过经常性的更新，高精度的过滤器能覆盖当前的各种攻击　 IPS要有杰出的可管理性　 华为3Com UnityOne 核心属性　 UnityOne威胁防御引擎（TSE） 　 基于特定ASIC的硬件解决方案　 　 支持10,000条平行过滤器 　 微秒级的延时（215微秒） 10 专利 UnityOne对新威协的自适应性　 专门设计硬件引挚，支持多达1万条的过滤器　 基于软件解决方案扩展性差　 在过滤器设计深度和广度寻求平衡点　 UnityOne 今天已超过1600 个过滤器 每周都在增长　 数字疫苗服务紧紧跟进Sans报告的危急漏洞 　 UnityOne 控测引挚支持: 基于签名的过滤器　 基于协议异常过滤器　 基于流量异常过滤器　 基于漏洞的过滤器 大量协议解码器　 UnityOne 过滤器的方法 高可用性和基于状态网络冗余 热插拨，双电源支持 内置监控 Watchdog 计时器 安全和管理引擎 自动或手动切换到L2 交换机方式 99.999% 网络可靠性 网络状态冗余 Active-Active Active-Passive 没有 IP 地址或 MAC 地址 对路由协议透明 HSRP, VRRP, OSPF UnityOne 提供更多的入侵防御保护 应用保护– 用户和服务器提供防护 对第二层到第七层实行全部的检查 对存在的漏洞提供保护 对网络边界和内部网络提供保护 实现零时差攻击保护 不必紧急实施为危险漏洞打补丁 防止应用程序和操作系统损坏或宕机 基础设施保护– 为网络设备提供防护 对网络设备的漏洞提供保护 对出现的反常流量进行防范 自动测量流量基线 速率限制, 阻挡, 或对超过阀值的流量报警 支持