构建新一代的网络安全系统

构建新一代的网络安全系统友讯网络（D-Link）2005年公司简介传统防火墙/网络架构面临的挑战D-Link新一代信息安全网络整体解决方案D-Link网络安全产品新纪元成功案例分析结语摘要※友讯网络公司（D-Link）友讯公司(D-Link)1986年成立，93年进入大陆市场，是世界知名的5大网络品牌之一国际领先的网络互联设备及解决方案提供商涵盖了局域网（LAN）、广域网（WAN）、无线（Wireless）、宽带（Broadband）等领域2003年首先在二层交换机上实现安全理念，实现在二层交换机对病毒的防御2004年率先在国内推出新一代的网络安全产品IPS，实现对网络的安全主动双向的保护2005年把最新的支持对信息管理和控制的安全网关及防火墙引进到大陆，构建新一代的智能联防安全系统公司的背景分布全世界的运营据点英国AustriaBeneluxCzechDenmarkFinlandFrance德国GreeceHungaryItalyNorwayPolandPortugalSpain瑞典Switzerland中国台湾日本澳大利亚NewZealand新加坡ThailandMalaysia俄罗斯BelarusKazakstanUkraineLithuaniaTurkey美国加拿大Argentina巴西智利ColumbiaEcuadorPeru埃及印度IranIsraelMoroccoPakistanSaudiArabia南非U.A.E.90个国家和地区¸100多个据点消费性网络产品–世界第一D-Link市占率-25%,遥遥领先公司简介传统防火墙/网络架构面临的挑战D-Link新一代信息安全网络整体解决方案D-Link网络安全产品新纪元成功案例分析结语摘要传统防火墙/网络架构面临的挑战传统的IDS+FW的网络结构先天就存在不足，无法满足网络安全的需要网络安全的发展已经要求对出入网络的信息和应用进行有效的管理和监控实现对内对外的双重防护已经是网络发展的趋势实现FW/LANSwitch的联动防护是实现网络系统全面安全的基础深度准确的数据检测分析、详细的数据记录及报表分析是FW/IPS的主要功能体现FirewallIDSIDS/IDPAntiVirusAntiVirusHostbasedIDSIDS只起到自动检测功能，无法主动防御IDS和FW之间的配合要接受兼容性的考验大多数只对外检测防御，无法对内部网络进行有效的监测DMZServerFarmEdgeSwitchesIDS+FW的先天不足传统防火墙/网络架构面临的挑战FirewallHTTP1、HTTP[port:80]流量在大多数的环境下，防火墙的规则会被设定成允许。但是在这个部分的流量当中，其实还会隐藏许多防火墙看不到的应用程序。2、有一些FW如果起用对数据流的7层检测将会使得其性能下降，影响其正常的工作3、IM/P2P程序已经成为企业同事之间不可或缺的一种信息交换程序，但传统的防火墙对这些应用程序目前是无法管理的。传统防火墙/网络架构面临的挑战Firewall当网络内移动用户感染病毒/蠕虫，传统网络安全架构无法有效扼阻病毒/蠕虫传播要求实现对内对外的双向监测通过防火墙和交换机的联动实现对内部网络安全的保护L3CoreSwitchServerFarm传统防火墙/网络架构面临的挑战移动用户感染病毒公司简介传统防火墙/网络架构面临的挑战D-Link新一代信息安全网络整体解决方案D-Link网络安全产品新纪元成功案例分析结语摘要AntiVirusAntiVirusDMZServerFarm智能交换机实现安全联动D-Link新一代信息安全网络整体解决方案————组网模式IPS实现主动检测防御信息安全网关新一代FWIPS实现主动对信息流检测及对攻击自动防御信息安全网关实现对内部等应用程序的有效管理新一代防火墙和智能交换机联防实现对内网的安全管理D-Link新一代信息安全网络整体解决方案————IPS实现主动防御DeMaster网络架构图InternetRouterDeMasterFirewallPolicyServerServerWorkstationFTPServerWEBServer主动式入侵检测防御系统(IntrusionDetectionandPreventionSystem)IPS具有下列防御模块•只记录所有攻击事件不采取防御措施•记录所有攻击事件并发送警告给管理员•记录所有攻击事件并且采取丢包与断联机,以防止攻击事件的持续进行特点：主动防御实施丢包与断联机D-Link新一代信息安全网络整体解决方案————IPS实现主动防御实时有效的防护各种网络攻击防止单位网络被入侵等行为自动阻挡网络入侵行为自动阻挡分布式拒绝服务攻击自动拦阻网络病毒防止内网被植入木马程序或是后门程序检查过滤内部或外部人员使用SoftwareTunnel如SoftEther来突破防火墙封锁防止员工利用WebMail/WebPosting将机密资料利用网络外传特点：双向防御功能保护网络D-Link新一代信息安全网络整体解决方案————IPS实现主动防御D-Link新一代信息安全网络整体解决方案————IPS实现主动防御特点：网络第七层的防御•特征数据库内建1,679条侦测防御政策Misusedetection:1638Anomalydetection:41•可侦测并防御之网络行为有：DDOS类的攻击74BufferOverflow类的攻击245AccessControlS类的攻击450Scan类的攻击99TrojanHorse类的攻击74Misc类的攻击128P2P类的攻击28IM(InstantMessenger)类的攻击48Virus/Worm类的攻击408Porn类的攻击25WebAttacks类的攻击96SPAM类的攻击4D-Link新一代信息安全网络整体解决方案————IPS实现主动防御特点：网络安全的实时监控中文化UI报表界面报表系统具有亲和力提供实时监视画面特点：提供实时有效报表D-Link新一代信息安全网络整体解决方案————IPS实现主动防御DeMaster产品系列荣获英国NSS检测通过NSS是入侵防御系统的最高认证机构就像是防火墙的ICSA认证一样FirewallHTTP在防火墙内部建置一台价格便宜，而且可以进行信息内容管理的设备此外这台设备具备第七层的信息内容检查的能力可以与所有的网关或是防火墙搭配，节省客户的采购支出D-Link’sSolutionNewSecurityAppliance:“InformationSecurityGateway”DFL-M510Solution在防火墙上激活第七层的内容检查能力：客户现有的网关设备将无法继续使用导致防火墙效能严重的低落D-Link新一代信息安全网络整体解决方案——信息安全网关实现对内管理RDTeamFinancialDivisionSalesDivision•客户可以根据内部的安全策略来禁止(Deny)/允许(Allow)这些无法被管理的IM/P2P程序•D-Link的信息内容管理设备还要能针对不同的部门或是不同的程序行为(包括文字交谈/档案传输/视讯会议)进行管理。•针对主机名称/网络群组/整个子网络/单一的网络地址，以达到全面完整与广泛性的控管SecurityPolicyIMP2PMSNYahooeDonkeyICQBearshareSkypeSwitchFirewallPatternMatchingSubnet1Subnet2Subnet3特点:IM/P2P程序按需求进行细化管理D-Link新一代信息安全网络整体解决方案——信息安全网关实现对内管理RDTeamFinancialDivisionSalesDivision10.1.2.66SendFilesMSNChatWhiteBoardReceiveFile实时且人性化的报表/统计画面可以让网管人员立刻了解不同类别程序目前网络流量使用的状况，藉由右方的饼图可以看出：根据流量最大前十名应用程序/根据流量最大的前十名使用者。特点:实时且人性化的报表界面D-Link新一代信息安全网络整体解决方案——信息安全网关实现对内管理主动式网络安全联动防御系统WANFirewallInfectedHost当有任何受感染的计算机试图以恶意的流量扩散到内部网络当中独立的IDS/IDP设备或是防毒网关，虽然可以阻挡这些恶意的流量，但是却无法有效避免内部计算机之间的交互感染最有效的方式是：防火墙可以联动D-Link接入端的交换机进行防御，针对恶意的来源主机进行封锁与阻挡，避免内部网络瘫痪。SetACLtoblockspecificMACorIPaddress新一代防火墙已经具备与D-Link交换机联动的功能，以提供主动式网络安全防御系统DES-3226SDES-3250TGDES-3326S/SR(DHS-3226/3218)DES-3350SRDES-3500series(DHS-3626)xStackseriesD-Link新一代信息安全网络整体解决方案————防火墙和交换机联动整合性多功能防火墙DFL-800/1600/2500卖点介绍n两个WAN端口以上设计，每个端口可自行定义(WAN/LAN/DMZconfigurable)设计n高端口数设计,并支持千兆(Gigabit)接口n支持802.1QVLAN,以及OSPF动态路由协议n支持120/320/600MbpsFirewallThroughputn支持50/120/210MbpsIPSecVPNThroughputn整合WAN线路Outbound负载均衡,线路备援,服务器负载均衡(ServerLoadBalance)n整合入侵侦测/入侵防御系统(IDS/IDP)功能n支持带宽管理功能(QoS,by端口号/单一IP/多个IP/网段Subnet,带宽动态互借)n支持HA(HighAvailability)硬件容错备援架构n支持D-LinkZoneDefenseTM功能,搭配D-Link交换机构建连动式防御网络安全架构D-Link新一代信息安全网络整体解决方案————防火墙和交换机联动公司简介传统防火墙/网络架构面临的挑战D-Link新一代信息安全网络整体解决方案D-Link网络安全产品新纪元成功案例分析结语摘要信息安全网关整合性多功能防火墙IPS产品DFL-M510DFL-800DFL-1600DFL-2500全系列信息安全产品线D-Link网络安全产品新纪元DeMaster3000系列（百兆接口）DeMaster5000（千兆接口）公司简介传统防火墙/网络架构面临的挑战D-Link新一代信息安全网络整体解决方案D-Link网络安全产品新纪元成功案例分析结语摘要北京市教育信息网应用案例•Intranet有大约16000台PC•Intranet用户在工作时间大量的使用P2P下载工具，占用出口网络带宽降低网络的可用性•时常发生内网用户发动DDoS攻击外网的情况•外网黑客时常对内网发动各种攻击•无法有效遏制Worm对网络的影响•垃圾邮件泛滥传统安全设备的局限性•现在的P2P工具（BT、Emule）的工作端口具有自适应功能，防火墙的端口封锁功能已经不能满足新的要求•当内网发动DDoS攻击时，对防火墙的处理能力造成很大的冲击•对一些DDoS攻击无法进行有效识别•黑客的攻击手法与技巧也层出不穷，对有些攻击方式防火墙也无能为力•传统安全设备对垃圾邮件的泛滥无能为力•网络出口带宽的利用率一直在140M左右，居高不下，影响用户对网络的有效使用采用DM5005后对网络的改善•设置时程，使P2P程序只能在下班时间才可使用•有效防范DDoS及Worm等攻击•双向数据检测，使外网黑客无法与内网傀儡主机建立连接，有效抑制黑客攻击的各种手段•在网络出口处出过滤掉大量无用数据，有效保证了网络带宽，安装后网络出口带宽控制在110M左右D-