2.1互联网之痛.pptVIP

* * 中国互联网管理的号角已经吹响 互联网之父-蒂姆?伯纳斯?李 “随着互联网的发展，它已经到了必须控制和管理的时代，因为网上充满了错误的信息、虚假的信息，和非民主的力量” 2002年美国颁布了萨班斯法案－－上市公司要明白的保存行为操作纪录 2005年12月中国公安部颁布了第82号令－－要求保留60天的上网纪录 2007年1月胡锦涛总书记在政治局集体学习中强调－－切实把互联网建设好，管理好 2008年1月国家信息产业部紧急征集互联网内容管理软件 管理互联网，各国不敢忽视—《环球时报》 今天你有没有上网？ 无论你身在办公室、家里、工地、野外、大街，亦或是你正在旅途中、海边，都可以与互联网亲密接触!无论你是在工作、学习、玩游戏、炒股票，你都需要互联网! 过去互联网管理是安全的附属品 核心网络 QOS / SIG 国家政策底线 企业网入口 IPS＋病毒网关 IPS＋病毒网关 安全邮件网关 边界防御体系 我们依托运营商 我们依托边界防御 我们依托纵深防御 但： 防御技术≠ 管理技术 互联网之痛 互联网之痛越来越明显 互联网之痛 互联网之痛－带宽问题 互联网之痛－带宽问题 最近总是资料下不来，大邮件发不出，带宽太低了 带宽已经在不断的增加，但是还是感觉捉襟见肘 电信骨干网 OC-3, OC-12, OC-48, OC-192 局域网 10/100/1000/10000 T1/E1/10M/OC3 WHY SO? 不能指望接入点带宽跟上局域网的发展 Internet接入往往会成为瓶颈 ISP 互联网之痛 互联网之痛－浏览合规问题 互联网之痛－浏览合规问题 工作 学习 生活 不可避免的问题 IP ACL 屏蔽列表1 屏蔽列表2 屏蔽列表3 。。。。。 屏蔽列表？ 色情 成人 违法 赌博 毒品 暴力 病毒 犯罪技能 1 色情 成人 违法 赌博 毒品 暴力 病毒 犯罪技能 2 色情 成人 违法 赌博 毒品 暴力 病毒 犯罪技能 3 ╳ ╳ ╳ ╳ ? 网站总是封不完！ 封了一个网站，整个虚机不能访问。 管不了只好放任 做一个能自动增加明细内容的控制分类多好！ 色情 成人 违法 赌博 毒品 暴力 病毒 犯罪技能 10000 Why so? 靠个人能力，用IP方式控管网页内容不现实 开通门槛过低 站点数量庞大 站点内容复杂 互联网之痛 互联网之痛－应用合规问题 ACL 1 deny 网络游戏IP/端口 ACL 2 deny 炒股软件IP/端口 ACL 3 deny 在线视频IP/ ACL 4 deny p2p ip/端口 。。。。。 。 。新的acl 。 新的acl ACL 1001 deny ? ACL 1002 deny ? ACL 1003 deny ? ACL 1004 deny ? 一个应用可能需要几十 个ACL才能控制 网络游戏 1.0 炒股软件 1.0 在线视频 1.0 BT/迅雷/Winny 1.0 即时通讯 1.0 。 。10天后 。 又10天后 网游 19.1.1 炒股 30.2.3 P2P 5.4.2.6 视频 8.3.2.3 IM 。。。。 想管理，但是应用更新太快，靠ACL的方式总是跟不上最新的变化。 信息部门 互联网之痛－应用合规问题 Why so? 传统管理需求－简单 5元组方式进行识别 V S 被控制的应用基本不变化 靠传统ACL 5元组控管能力有限 IP/协议/端口 适合经典协议 应用层管理－复杂 无法完全依赖IP和端口 URL 频繁增减。目的地址频繁变化 很多APP 拥有自动协商IP/端口的能力 互联网之痛 互联网之痛－外发合规问题 上网人发出了一些 有悖国情的内容 安全部门从网站 提取原始的IP 发现位于某单位 上网者在访问 各种网络资源 外部定位 然后？ 互联网之痛－外发合规问题 Why so? 公网 由于IP地址资源的紧缺，一般均采用地址转换技术 公安部开始施行的《82号令》 要求记录60天以上 互联网之痛 互联网之痛－ 技术与管理的融合问题 互联网控制必须充分的个性和灵活，但是能全面协调好人、时间、内容、方式的控管现有设备无法完成 互联网之痛－W.W.W.H的问题 国家国情 国家级 企业文化 企业文化 企业文化 企业级 部门特点 部门特点 部门特点 部门特点 部门特点 部门特点 部门级 工作时间 免监控？ 下班时间 高带宽？ 上午时间 免审计？ 24小时 全审计？ 关注外发？ 需认证？ Why so? NIC Router Switch Firewall IPD VPN Cisco Juniper Huawei Nortel Checkpoint 互联网管理更关注主体 主体的个性 主体的特权 主体的工作性质 自由的工作