Anchiva政府行业网络信息安全解决方案香港瑞恩信息科技有限公司0769-21680186-888Jack.Wu2010.12需求分析Anchvia解决方案Anchiva信息安全网关优势介绍AnchivaWAF优势介绍1423议程议程3政府网络特点政府网络特点分内部专网和内部公网通常政府网络分内部专网和内部公网,内部专网主要存储政府机密文档,其与内部公网之间多数采用物理隔离设备进行隔离,仅开通有限的权限与内部公网进行数据的通信,而内部公网通过有限的出口(开通HTTP、SMTP、POP3、FTP)接入Internet,进行网上电子政务、网上审批等业务的办理,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用。政府门户网站(gov.cn)是政府开展电子政务建设的重要组成部分,作为政府面向社会的窗口,发布政务信息,如政务新闻、领导分工、机构设置、人事任免、政策法规、政府会议、政府采购及财政投资等;提供网上办公及在线审批,极大方便了企业和个人;同时,公众可通过“参政议政”、“在线投诉”等栏目,与政府部门互动。4政府网络信息安全需求政府网络信息安全需求------功能需求功能需求信息的滥用与传播,不允许重要信息被非法传输到Internet政府对外网站被篡改、挂马等严重影响政府形象。病毒危害内部办公网络,致使办公数据的损害。后门、间谍等对内部网络主机的侵入,不仅盗取政府信息,还可能是政府办公主机成为Botnet中的成员。遭受病毒、后门、木马、间谍等感染的主机,可以利用任何开放的网络应用资源自动非法发送信息,例如利用QQ、MSN等在用户不知情的情况下,大量外发政府网络资料。因此对QQ、MSN等的过滤与控管,也是政府在信息安全方面一个关注的点。5政府网络信息安全需求政府网络信息安全需求------法规满足性需求法规满足性需求符合公安部82号令,互联网网络安全和信息安全的要求:7.1:防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;7.2:记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;8.3:记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。9.1:在公共信息服务中发现、停止传输违法信息,并保留相关记录9.2:提供新闻、出版以及电子公告等服务的,能够记录并留存发布的信息内容及发布时间;9.3:开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;9.4:开办电子公告服务的,具有用户注册信息和发布信息审计功能;9.5:开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。10.1:记录并留存用户注册信息;10.2:在公共信息服务中发现、停止传输违法信息,并保留相关记录;13:互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。6需求分析Anchiva解决方案Anchiva信息安全网关优势介绍AnchivaWAF优势介绍1423议程议程7AnchivaAnchiva政府网络信息安全解决方案一政府网络信息安全解决方案一InternetAnchivaS系列内部公网内部专网隔离网闸WebserversFTPserversmailservers数据库serversWebserversAnchivaA系列8一、保障Internet应用安全性与可靠性:过滤来自公网的病毒、木马、后门、间谍等恶意软件,应对病毒、木马、间谍软件、僵尸网络等危害。检测阻断间谍软件信息回传,防止机密信息被窃取。定位内部网络僵尸主机。对QQ、MSM等进行控管,控制信息的传播途径。高性价比:支持多链路同时双向防护满足82号令要求AnchivaAnchiva方案一价值方案一价值9二、防止通过网络传播、滥发敏感信息:对论坛、Blog等发帖正文、上传附件名及文本附件进行关键字过滤与阻断对论坛、Blog等发贴正文及附件进行审计支持web访问内容及搜索引擎关键字过滤,防止浏览敏感信息对Webmail正文、附件名及文本附件进行关键字过滤与阻断对webmail正文、附件进行审计。对SMTP邮件主题、正文、附件名进行关键字过滤与阻断。对SMTP、POP3邮件的主题、正文、附件的审计对IM(MSN、Yahoo)聊天内容进行审计满足82号令要求AnchivaAnchiva方案一价值方案一价值10三、保护政府web服务器:免受SQL注入攻击、XSS脚本攻击、缓冲区溢出攻击、命令行注入等攻击,防止网站篡改、被挂马、传播恶意软件等。即可针对web服务器群设置默认统一的防护规则,也可针对不同web服务器的特定防护需求定制专门的防护规则支持关键字过滤,防止敏感信息的上传发布。提供服务器访问日志供审计查看。满足82号令的要求AnchivaAnchiva方案一价值方案一价值11AnchivaAnchiva政府网络信息安全解决方案二政府网络信息安全解决方案二InternetAnchivaA系列AnchivaS系列内部公网内部专网隔离网闸WebserversFTPserversmailservers数据库serversWebservers监控链路一监控链路二监控链路三监控链路四12AnchivaAnchiva方案二价值方案二价值Anchiva信息安全网关旁路部署,监视所有网络报文及常用应用协议:即可以监控到通过特定漏洞传播的蠕虫,又可以监控到通过常用网络应用,例如利用邮件、网页、FTP等传播的蠕虫、病毒、木马、间谍软件、后门等。监视定位内部僵尸主机。监视ARP攻击行为。提供全网威胁监控综合报告,指导网络运维。AnchviaWAF旁路部署监视针对web服务器的攻击行为及企图。监视针对数据库服务器的攻击行为及企图(2010,Q2)。提供攻击监控报告,指导网络运维。提供web服务器访问日志,供审计查询。Anchvia网关产品高性价比支持多链路同时监控13需求分析Anchiva解决方案Anchiva信息安全网关优势介绍AnchivaWAF优势介绍1423议程议程14AnchivaAnchiva信息安全网关优势介绍信息安全网关优势介绍优势一:多引擎并行过滤,保证在最低误报的前提下提高检测率MaliciousSite过滤引擎InboundandOutboundtraffic流量分类引擎HTTP、HTTPStraffic深度内容检测(DCI)与malware特征匹配过滤引擎HeuristicEngine未知可疑文件AnchivaRapidRX威胁处理中心ASDN升级网络15AnchivaAnchiva信息安全网关优势介绍信息安全网关优势介绍内核层应用层CPU1CPU2CPU3CPU4Anchiva并行多核控制器Anchiva并行多核控制器数据包TcpstackTcpstackproxyContentInspectionEngineTcpstackTcpstackproxyContentInspectionEngineTcpstackTcpstackproxyContentInspectionEngineTcpstackTcpstackproxyContentInspectionEngineASIC加速引擎网卡网卡Eth0Eth1Eth2Eth3均衡的包转发优化一:完全并行的文件还原优化二:扫描匹配硬件加速卡优化三:优势二:多重优化的高性能16AnchivaAnchiva信息安全网关优势介绍信息安全网关优势介绍扫描运算器特征库特征库优势三:ASIC加速引擎17▪AnchivaWeb安全网关通过了ICSA病毒检测认证,证明了其100%覆盖流行病毒的监测能力。▪在ICSA进行的所有月度测试中,Anchivaweb安全网关至今为止全部通过。AnchivaAnchiva信息安全网关优势介绍信息安全网关优势介绍优势四:ICSAanti-virus认证web安全网关18AnchivaAnchiva信息安全网关优势介绍信息安全网关优势介绍优势五:高性能的关键字过滤网关提供告警页面支持谐音字,别字,空格、*等特殊符号,支持GB2312、UTF8、BIG5。例如:发轮功,法论共,法轮*功,发*论*功19需求分析Anchiva解决方案Anchiva信息安全网关优势介绍AnchivaWAF优势介绍1423议程议程20AnchivaWAFAnchivaWAF优势介绍优势介绍优势一:防护精度高–双向实时扫描检测–深度解码扫描引擎–多重检测规则HTTP请求URL(GET参数)HTTPHEAD(Cookie)表单(POST)AnchivaWAF攻击IP黑名单查询数据解码预处理攻击策略匹配用户许可规则网站挂马检测Web服务系统上传病毒扫描21AnchivaWAFAnchivaWAF优势介绍优势介绍优势一:防护精度高–深度解码扫描引擎•区别于简单的字符串过滤,是在进行各种解码基础上进行攻击检测•检测URL参数、web表单输入、HTTPheader等web交互信息,在进行解码的基础上,对攻击的形式逻辑进行判断过滤为什么需要解码扫描引擎?1、攻击常常通过加密或其它非正常编码进行处理。2、精确辨别正常web访问与恶意攻击。22深度解码扫描引擎深度解码扫描引擎XSS脚本攻击防御示例下面是一个带有跨站脚本参数的URL:=title&keyword=%27%2F%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%27%C8%E7%B9%FB%C4%E3%BF%B4%B5%BD%C1%CB%D5%E2%CC%F5%CF%FB%CF%A2,%B1%ED%CA%BE%D5%E2%B8%F6%D2%B3%C3%E6%B4%E6%D4%DAXSS%B9%A5%BB%F7%C2%A9%B6%B4%27%29%3C%2F%73%63%72%69%70%74%3E解码扫描判断XSS的逻辑特征:=title&keyword='/scriptalert('如果你看到了这条消息,表示这个页面存在XSS攻击漏洞')/script23深度解码扫描引擎深度解码扫描引擎SQL注入攻击解码防御示例解码扫描判断SQL注入的逻辑特征::806UnionSelectTop11,2,3,4,password,username,7,8,9,10,11,12,13,14,15Fromusers24AnchivaWAFAnchivaWAF优势介绍优势介绍内核层应用层CPU1CPU2CPU3CPU4Anchiva并行多核控制器Anchiva并行多核控制器数据包TcpstackTcpstackproxyContentInspectionEngineTcpstackTcpstackproxyContentInspectionEngineTcpstackTcpstackproxyContentInspectionEngineTcpstackTcpstackproxyContentInspectionEngine网卡网卡Eth0Eth1Eth2Eth3均衡的包转发优化一:完全并行的文件还原优化二:优势二:高性能web应用防护架构25AnchivaWAFAnchivaWAF优势介绍优势介绍优势三:部署简单、管理方便即插即用–透明接入,不影响现有网络架构–无需改动web应用服务架构管理、维护方便–WebUI管理–内置多种攻击防御模型根据web交互内容定位攻击,与服务器本身并无关联轻松实现对web站点的默认防护可根据不同的站点防护需求,制定不同的防护规则–内置多种malware检测规则–内置各类高级攻击防御关键字列表-----不增加管理员负担,轻松实现web系统防护26Anc