构建安全可信的新网络.pptVIP

构建安全可信的下一代网络 提纲 安全威胁新挑战 木马、病毒与黑客威胁 用户行为管理挑战 带宽滥用 3D-SMP+新特性 IPv6 Ready，Security v6 Ready? ND欺骗 IPv6 ACL IPv6 防火墙 IPv6 认证与计费 现实一：2006病毒排行榜 现实二：某网络出口流量图 现实三：内网管理“四无”危机 当前安全威胁总结 安全威胁的攻击范围不断扩大 基础网络设施成为攻击的新热点 以ARP欺骗和ARP扫描为代表 安全威胁的种类不断增加 从物理层到应用层，“层”出不穷 P2P协议的广泛应用将安全威胁的定义再次扩大 安全威胁造成的危害愈演愈烈 互联网上“货币等价物”广泛流行 养马-卖马的地下病毒产业链日益成熟 安全防范的部署成本大幅度增加 入网信息点成倍增长 上网人员三“化”：低龄化、高龄化、大众化 3D-SMP+新架构浅析 下一代网络面临的威胁 防ND欺骗技术 双栈交换机实现ND表项自动绑定 ipv6 nd-security updateprotect 禁止ND自动更新：可以正常维持ND学习与老化，已学到的表项不会被相同MAC的错误信息覆盖。 ipv6 nd learning 禁止ND自动学习：不再进行ND学习，表项可以正常老化。 ipv6 nd-security convert 将已经学习到的动态ND转换为静态ND(类似于静态ARP) IPv6 ACL技术 神州数码全线交换机支持IPv6 ACL IPv6防火墙技术 双栈模式下的认证 Thanks 神州数码网络有限公司 神州数码网络有限公司 --神州数码3D-SMP+安全网络解决方案 神州数码网络公司 企业网技术总监 杨海涛 2007年10月 排名 中文名 病毒名 类型 1 熊猫烧香 Worm.Nimaya 蠕虫+木马 2 威金蠕虫 Worm.Viking 蠕虫 3 代理木马下载器 Trojan.DL.Agent 木马 4 传奇终结者 Trojan.PSW.Lmir 木马 5 征途木马 Trojan.PSW.Zhengtu 木马 6 QQ通行证 Trojan.PSW.QQPass 木马 7 威尔佐夫 Worm.Mail.Warezov 垃圾邮件 8 调用门Rootkit Rootkit.CallGate 木马 9 灰鸽子后门 Backdoor.Gpigeon 木马 10 魔兽木马 Trojan.PSW.WoWar 木马 数据来源：国家反病毒应急响应中心 蠕虫 大范围的网络扫描 大流量的病毒数据转发 大面积的主机崩溃 木马 大范围ARP欺骗 网络访问异常 用户帐号密码被盗 垃圾邮件 阻塞网络出口 邮箱溢出 合法邮件被淹没 1000M的出口，为什么上网还这么慢？ 谁把我的带宽抢走了？ 为什么我的防火墙天天死机？ BT 迅雷 QQ下载 PPlive EMule P2P技术的飞速发展，占据了大量的出口带宽，使得正常的网络业务得不到保障。 超过60％的应用P2P协议,出口带宽的峰值压力较大。 常规网络设备对P2P协议缺乏行之有效的检测和控制手段 外设连接 无章可循 非法言论 无据可查 匿名接入 无法可依 资产管理 无计可施 我们如何应对？ 3D-SMP + 安全威胁危害增加 安全威胁种类增加 安全防范成本增加 安全管理半径 + 安全管理组件 + 安全响应速度 + 安全部署智能化 + 安全威胁范围增加 “+”号的含义 神州数码3D-SMP+安全网络解决方案 中央策略管理 DCBI认证服务器 文件分发服务器日志服务器 补丁服务器数据库服务器 策略中心区 端点接入区 安全管理系统代理 802.1X接入交换机 ⑤ 综合接入区 802.1X接入交换机 ⑤ ⑥ 开放接入区 安全管理系统探测代理 ⑦ 非802.1X接入交换机 ① DCSM内网安全管理系统 边界防御区 入侵检测系统 ② ④ ③ DCBA认证计费网关DCFS流量整形网关 统一威胁管理系统 网络基础架构区 数据中心区 Internet 非可信区 DCSM是整个3D-SMP+方案的中枢系统，负责策略下发、身份审核、强制修复、日志审计以及联动调度。 入侵监测系统是联动传感器，司职探测网络中的攻击行为，发现异常立即向DCSM告警。 边界策略执行器，由DCBA和DCFS组成，主要完成用户访问外网的身份认证以及出口带宽的整形，可动态执行DCSM控制中心指令。 边界防御器，由UTM完成，12合一多功能网关，防范来自外网的病毒、垃圾邮件、黑客攻击，可动态执行DCSM控制中心指令。 端点策略执行器，由802.1X交换机组成，实现内网用户准入、ARP威胁防御、开放资源访问。可动态执行DCSM控制中心指令。 终端安全代理：客户端软件，集成主机防火墙和IDS，完成终端完整性检查、