安全产品培训资料

安全产品培训资料2008年华三HSE培训教材日期：200803密级：秘密杭州华三通信技术有限公司学习目的学习完本课程，您应该能够：1、掌握安全产品的基本原理2、掌握H3C全系列安全产品的规格、主要卖点3、掌握H3C安全产品的主要应用场合，典型案例4、掌握H3C8大解决方案及典型应用n第一章安全产品基础理论n第二章全系列产品综述n第三章SecPath防火墙/VPN产品系列n第四章SecPathIPS产品系列n第五章H3C应用控制与优化产品系列n第六章H3CSecCenter管理中心n第七章行业解决方案n第八章运营商解决方案目录什么是防火墙？n防火墙：保护网络周边安全的关键设备，可以保护一个“信任”网络免受“非信任”网络的攻击，但是同时还必须允许两个网络之间可以进行合法（符合安全策略）的通信。n基本功能：网络隔离和访问控制防火墙交换机受信区域不受信区域DMZ区ü受信区域－DMZ区，可以访问POP3和SMTP服务üDMZ－受信区域，不可访问任何服务ü不受信区域－DMZ区，可以访问POP3和SMTP服务üDMZ－不受信区域，可以访问任何服务不受信区域和受信区域之间不能互访？中心节点Site-to-Site分支机构Extranet合作伙伴接入点DSLCable移动用户SOHO用户VPNInternetVPN即虚拟专用网：通过组合数据封装和加密技术，实现私有数据通过公共网络平台进行安全传输，从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接，或者提供移动用户安全的通过公共网络平台接入内网。VPN协议包括：L2TPVPN、GREVPN、IPSecVPN、MPLSVPN、SSLVPN等多种协议模式，其中IPSec和SSLVPN为主要应用协议，某些情况下需要组合多种协议。的安全防御设备，IPS是L7层上进行防御的“防火墙”IPS是“深度检测防火墙”，是“内置了IDS功能”的防火墙。防火墙只能解决20％的安全威胁问题，而IPS可以解决80％的安全问题3.IPS－主动入侵防御系统:TransportLayerL3:NetworkLayerL2:LnkLayerL1:Phy.LayerRouterTraditionalFirewallTCP/IPStackNICOSesWebServersWebApplicationFrameworksApplications风险越高越迫切需要被保护ApplicationDataSessionIDHTTPRequest/RespondTCPConnectionIPPacketEthernetPacketBitonWireIPS:深度业务感知什么是蠕虫？定义：计算机蠕虫是指通过计算机网络传播的病毒，泛滥时可以导致网络阻塞甚至瘫痪。特点：传播快、传播广、危害高蠕虫的危害性、系统漏洞蠕虫蠕虫的主要危害：•网络拥挤某知名三大蠕虫病毒一齐爆发，蚕食25%网络带宽•DoS（DenialofService）攻击由于DoS攻击，联众网络瘫痪攻击长达一个月。•经济损失巨大联众网络瘫痪攻击长达一个月，经济损失达上百万。•蠕虫的分类系统漏洞型、群发邮件型、共享型、寄生型、混合型系统漏洞蠕虫：利用系统漏洞主动感染传播•红色代码(CodeRed)：MS01-033，微软索引服务器缓冲区溢出漏洞，TCP80•冲击波(Blaster)MS03-026，RPCDCOM服务漏洞，TCP135139等•震荡波(Sasser)：MS04-011，LSASS本地安全认证子系统服务漏洞，TCP445等•SQLSLAMMER：MS02-039，SQL服务器漏洞，UDP1434间谍软件定义：谍软件驻留在计算机的系统中，收集有关用户操作习惯的信息，并将这些信息通过互联网悄无声息地发送给软件的发布者，由于这一过程是在用户不知情的情况下进行，因此具有此类双重功能的软件通常被称作SpyWare（间谍软件）。类型n浏览器劫持IE工具条和弹出窗口nWinsock劫持n中间人代理危害n占用大量硬盘和CPU资源n造成计算机计算缓慢、死机n修改IE设置、安装工具条，很难修改回去n安装后门、病毒和向外泄漏信息n个人信息和密码、上网习惯、EMAIL联系人地址等等n不断向外连接和弹出广告窗口，耗费了大量的网络带宽带宽滥用•“带宽滥用”是指对于企业网络来说，非业务数据流（如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击）消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪。•据研究机构Cachelogic调查，如今P2P占了全球网络流量的一半以上02040608010012014016018020013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00Mbps(AverageperHour)OracleE-mailHTTPP2PRateLimitKazaaeDonkeyWinMX(DenialofService，拒绝服务)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。nDDoS(DistributedDenialofService，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。DoS攻击是导致去年损失最为惨重的计算机犯罪事件，其带来的损失是其它各类攻击造成损失总和的两倍有余。”—2004年CSI/FBI计算机犯罪及安全调查。网上黑客每周发起的DoS攻击超过了4000次DoS/DDoS的危害n服务器宕机，业务中断n大面积断网，网络瘫痪系统漏洞型——网络层网络层漏洞典型：PingofDeath：根据TCP/IP的规范，一个包的长度最大为64K。当一个主机收到了长度大于64K字节的包时，会造成主机的宕机。特点：种类繁多，一击致命，攻击方式生命周期短防范：防火墙匹配攻击特征，升级系统。应用层漏洞典型：•MS04-29：当RPC运行时库处理特制的消息时，存在一个信息泄露和拒绝漏洞•MS05-45：网络连接管理器中的漏洞可能允许拒绝服务特点：层出不穷一击致命，防火墙无法防御。防范：及时打补丁•利用数字疫苗技术•IPS进行精确阻断n第一章安全产品基础理论n第二章全系列产品综述n第三章SecPath防火墙/VPN产品系列n第四章SecPathIPS产品系列n第五章H3C应用控制与优化产品系列n第六章H3CSecCenter管理中心n第七章行业解决方案n第八章运营商解决方案目录防火墙/VPNF5000-A5F1000-AF1000-SF100-EF100-CV100-EF100-A-SIF1000-EV1000-AF100-SF100-AV100-SF1000-CF100-MT200IPST5000-S3ACG8800-S3IAG2000-AIAG5000-A5T200-MT200-An第一章安全产品基础理论n第二章全系列产品综述n第三章SecPath防火墙/VPN产品系列n第四章SecPathIPS产品系列n第五章H3C应用控制与优化产品系列n第六章H3CSecCenter管理中心n第七章行业解决方案n第八章运营商解决方案目录ü产品命名：H3CSecPathF100-Cü市场定位：桌面型防火墙，SOHO、小企业或分支机构的安全接入设备ü处理性能：吞吐量10Mbps，并发连接5万，每秒新增连接500，VPN加密性能5Mbps，ü接口数量：1X10MWAN+4XFELANü产品特点：n提供网络安全保障和防护功能n支持丰富的VPN业务特性n全面细粒度的QoS保证n智能、高效、动态和图形化的管理ü产品命名：H3CSecPathF100-Sü市场定位：入门型百兆防火墙，作为SOHO、小企业的出口防火墙设备ü处理性能：吞吐量80Mbps，并发连接25万，每秒新增连接1000，VPN加密性能30Mbpsü接口数量：4XFEWANü产品特点：n提供网络安全保障和防护功能n支持丰富的VPN业务特性n全面细粒度的QoS保证n智能、高效、动态和图形化的管理ü产品命名：H3CSecPathF100-Mü市场定位：标准型百兆防火墙，作为中小企业的出口防火墙设备，或中型企业的内部防火墙设备ü处理性能：吞吐量150Mbps，并发连接40万，每秒新增连接3000，VPN加密性能10/60Mbps（软/硬件）ü接口数量：3XFEWAN；一个MIM扩展槽位，可选接口模块包括2FE/4FE/IPSec加密卡ü产品特点：n提供网络安全保障和防护功能n支持丰富的VPN业务特性n全面细粒度的QoS保证n智能、高效、动态和图形化的管理SecPathF100-Mü产品命名：H3CSecPathF100-Aü市场定位：标准型百兆防火墙，作为中小企业的出口防火墙设备，或中型企业的内部防火墙设备ü处理性能：吞吐量200Mbps，并发连接50万，每秒新增连接3000，VPN加密性能10/60Mbps（软/硬件）ü接口数量：3XFEWAN+4FELAN；一个MIM扩展槽位，可选接口模块包括2FE/4FE/IPSec加密卡ü产品特点：n提供网络安全保障和防护功能n支持丰富的VPN业务特性n全面细粒度的QoS保证n智能、高效、动态和图形化的管理SecPathF100-Aü产品命名：H3CSecPathF100-A-SIü市场定位：标准型百兆防火墙，作为中小企业的出口防火墙设备，或中型企业的内部防火墙设备ü处理性能：吞吐量185Mbps，并发连接50万，每秒新增连接3000，VPN加密性能10/60Mbps（软/硬件）ü接口数量：2XFEWAN+4FELAN；一个MIM扩展槽位，可选接口模块包括2FE/4FE/IPSec加密卡ü产品特点：n提供网络安全保障和防护功能n支持丰富的VPN业务特性n全面细粒度的QoS保证n智能、高效、动态和图形化的管理ü产品命名：H3CSecPathF100-Eü市场定位：增强型百兆防火墙，作为中小企业的出口防火墙设备，或中型企业的内部防火墙ü处理性能：吞吐量400Mbps，并发连接50万，每秒新增连接1万，VPN加密性能200Mbpsü接口数量：4XFEWAN；一个MIM扩展槽位，可选接口模块包括2FE/4FE/1GE(光/电)/2GE(光/电)ü产品特点：n提供网络安全保障和防护功能n支持丰富的VPN业务特性n电信级设备高可靠性n全面细粒度的