华讯安全边界解决方案.ppt

企业网络的边界在哪里？ Internet? Intranet? Different security level? What about VPN or clients access? 边界的威胁 如何加固边界？ Questions： What assets do I care? Where is the threat ? Which part is most vulnerable ? 防火墙的主要功能 面临新的威胁？ 防火墙无法读懂内容 利用服务器漏洞进行应用层攻击 防火墙无法阻止内部发起的连接 用户下载带有病毒的文件 钓鱼网站、恶意网站侵害 中木马的用户主动对攻击者连接 防火墙能识别的攻击行为有限 网络 安全 融合 防火墙是边界安全防护的关键环节， 安全的边界应该是－－ 完整的边界安全解决方案 区分安全区域 用‘好’防火墙 开启防火墙防护特性 常见攻击的防护 SYN cookies URPF反向路径查询 TCP序列随机化 限制会话连接数和半连接数 日志管理和安全监控 用‘好的’防火墙 性能稳定 连接数和新建连接数能充分满足需要 应用识别能力 UTM? IPS Anti-X Anti-spam URL filtering VPN concentrator IPS联动防火墙 应用层的威胁 员工上网的internet流量缺乏保护 基于web的应用越来越多，而web server的漏洞层出不穷 应用层的攻击是将来的趋势 面向应用的防护 互联网网关设备 分析HTTP/FTP/EMAIL流量 识别病毒、流氓软件、恶意代码、垃圾邮件等 Web应用防火墙 防止SQL注入、跨站脚本攻击等、跨站请求伪造、缓存溢流攻击等 一般还能提供访问加速、SSL代理等功能 DDoS攻击的常用技术和分类 SYN flooding 依赖于TCP连接的建立方式发送大量的握手请求---SYN包，使服务器没有资源处理正常的握手请求。 UDP flooding 发送大量的UDP包到某个端口， 如果是个正常的UDP应用端口，则可能干扰正常应用，如果是没有正常应用，服务器要回送ICMP，则消耗了服务器的处理资源，而且很容易阻塞上行链路的带宽。 Smurf： 采用‘反射’技术。向多个目标发送ICMP请求，源地址改为攻击目标的地址，这样大量的ICMP回送到攻击目标。 Tear drop： 也叫碎片攻击，发出的包是经过fragement的，而这些碎片的位移是相互重叠的，这种畸形数据包会造成目标主机不知道如何处理。 对网络架构的保护, 保证业务提供的连续性 Clean pipe 操作流程 保护IDC数据主机中心 华讯边界安全解决方案 华讯边界安全解决方案 BusinessPartnerAccess 企业网络 internet 远程分支机构 数据中心 管理网段 内部局域网 大规模DDoS攻击 应用层的攻击越来越多 多种攻击方式混合 蠕虫的扩散 Vulnerability Treat Asset 阻挡外部的攻击 包过滤 Firewall should do what they are meant to! 地址转换 Inbound Threats Outbound Threats 防火墙 防火墙 网络 + 安全 边界安全 网络安全 != 防火墙是边界安全防护重要的环节但非唯一 网络安全应从整体出发考虑 BUSINESS PROCESSES APPLICATIONS AND SERVICES NETWORKED INFRASTRUCTURE 不同的行业，不同的边界，引发不同的需求和相关的解决方案 智能化的边界防护体系 对未知和变化的攻击的适应 层次化、纵深化防护 各个部分协同工作 HIERARCHICAL INTEGRATED DIFFERENTIATE INTELLIGENT ADAPTIVE Internet流量过滤 入侵检测 访问控制 DDoS防护 网络安全区域规划  应用安全防护 Intranet Internet ASA 5500 Series Firewall Technology Cisco PIX IPS Technology Cisco IPS Content Security Trend Micro VPN Technology Cisco VPN 3000 Network Intelligence Cisco Network Services App Inspection, Use Enforcement, Web Control Application Security Malware/Content Defense, Anomaly Detection IPS Content Security Services Tr