ExtremeSentriant内网安全产品.pptVIP

主动式内部网络防护Sentriant Agenda 内网安全现状分析 內网安全设备-Sentriant?简介 内网安全技术比较 总结 计算机安全防护 安全现状 企业对于安全建制的項目: 90% 的企业使用防毒软件来保护终端设备 1 88%的企业使用郵件过滤1 70%的企业使用firewalls and VPNs 2 66%的企业使用antispam2 但显然这些并不足夠: 80% 的北美企业曾经遭受1次以上成功的攻击,这其中有30%甚至超过10次以上 3 受影响的电脑超过1亿1千5百萬台并涵盖全世界 200多个国家 3 损失金额高达2040亿至1690亿美金 3 对于生产力的影响: Server平均的 downtime: 17 小时3 损失的工时 24 天 3 矛与盾－安全威胁和安全防护 矛－攻击技术演变 RPT－快速网络传播病毒和蠕虫 (红码病毒,SQL病毒, 冲击波, 震荡波, Welchia) 拒绝服务式攻击(DoS), 分布式DoS (DDoS) Day-Zero Threats －首发型威胁(当日中毒，当日迅速传播) Day-Zero攻击的模式及应变 新的內网解决方案 Agenda 内网安全现状分析 內网安全设备-Sentriant?简介 内网安全技术比较 总结 Sentriant简介 Sentriant? 第一种真正可以部署在网络核心的安全解决方案 4个10/100/1000M检测/防护端口、1个10/100/1000M带外管理端口 非为 in-line网络设备 – 不影响网络效能或增加数据包延迟，即使设备故障亦不影响网络运作 采行为分析法则，不需要仰赖数据包特征(signatures)可有效的阻绝首发(Day-0) 攻击的威胁 独特的第二层隔离技术可自动隔离受感染的电脑，且不需要搭配任何特定厂牌的交换机 可整合Extreme’s 独步全球的 CLEAR-Flow 技术，增加数十倍侦测能力并支持10 Gigabit网络环境* 网络安全系统构成 Threat Detection-威胁检测 Sentriant 设计用于自动发现最具破坏力的安全威胁 快速网络传播的蠕虫病毒 (别名 RPTs 快速传播威胁) Sentriant 基于行为分析发现攻击 无需 signatures 特征位信息，防护未知病毒 基于RPT共性的流量异常现象 Mitigation-安全防护 Sentriant 提供多种防护措施 Active Deception 攻击源欺骗 Snaring 攻击源延迟 Cloak 二层ARP欺骗技术，透明隔离攻击源 交换机联动ACL包过滤 威胁检测机制 Hyper Detection 超级检测 基于ARP广播包分析，构建己知/空白主机对应关系 ，侦测对不存在主机的异常访问行为(如攻击前网络扫描) 监控广播数据包，无需交换机端口镜像 Threat Assessment Engine (TAE) 威胁评估 监控Unicast数据包，需配合端口镜像或ClearFlow技术 侦测/分析异常通信行为 IP/MAC地址欺骗 TCP/UDP端口扫描 协议错误 策略违反 DoS 攻击行为 威胁检测机制 - Hyper Detection Sentriant 通过802.1Q中继连接用户VLAN，侦听arp广播数据包 建立网络主机对应关系，明确真实主机和空白地址 攻击源的侦测访问涉及大量空白地址 Sentriant 记录针对空白地址的侦测访问，并产生相关告警事件记录 威胁检测机制 - TAE 基于主机间所有会话流量分析，要求端口镜像 Host Rules－主机策略 异常主机访问监控：Too many unused、Too many unprotected等 Port-based monitoring－udp/tcp端口策略 Ports across many hosts：Too many SMTP等 Ports per host ：ports scan－端口扫描 Packet－包策略 协议包合法性检查 Spoof－欺骗策略 非法IP和MAC 映射 防护措施 - Active Deception Sentriant 通过 virtual decoys 虚拟主机，代为响应非法访问请求 Sentriant可仿真各种操作系统主机(如DOS,windows95,windowsXP等） RPT攻击源无法区分真实主机与虚拟主机，尝试攻击不存在的虚拟主机，从而浪费其系统资 Sentriant记录所有针对虚拟主机的攻击行为和攻击模式 真实主机隐藏在虚拟主机产生的white noise白噪声中 防护措施 - Snaring 修改 TCP 会话建立过程中的3-way握手过程 设置 TCP window size 为zero 强制攻击源