--
This presentation is the property of its rightful owner.
Sponsored Links
1 / 17

构建安全可信的下一代网络 PowerPoint PPT Presentation


  • 112 Views
  • Uploaded on
  • Presentation posted in: General

-- 神州数码 3D-SMP + 安全网络解决方案. 构建安全可信的下一代网络. 神州数码网络公司 企业网技术总监 杨海涛 2007 年 10 月. 提纲. 安全威胁新挑战 木马、病毒与黑客威胁 用户行为管理挑战 带宽滥用 3D-SMP + 新特性 IPv6 Ready , Security v6 Ready? ND 欺骗 IPv6 ACL IPv6 防火墙 IPv6 认证与计费. 蠕虫 大范围的网络扫描 大流量的病毒数据转发 大面积的主机崩溃. 木马 大范围 ARP 欺骗 网络访问异常 用户帐号密码被盗. 垃圾邮件 阻塞网络出口

Download Presentation

构建安全可信的下一代网络

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


4203713

--神州数码3D-SMP+安全网络解决方案

构建安全可信的下一代网络

神州数码网络公司

企业网技术总监 杨海涛

2007年10月


4203713

提纲

  • 安全威胁新挑战

    • 木马、病毒与黑客威胁

    • 用户行为管理挑战

    • 带宽滥用

  • 3D-SMP+新特性

  • IPv6 Ready,Security v6 Ready?

    • ND欺骗

    • IPv6 ACL

    • IPv6 防火墙

    • IPv6 认证与计费


4203713

蠕虫

大范围的网络扫描

大流量的病毒数据转发

大面积的主机崩溃

木马

大范围ARP欺骗

网络访问异常

用户帐号密码被盗

垃圾邮件

阻塞网络出口

邮箱溢出

合法邮件被淹没

现实一:2006病毒排行榜

数据来源:国家反病毒应急响应中心


4203713

  • P2P技术的飞速发展,占据了大量的出口带宽,使得正常的网络业务得不到保障。

  • 超过60%的应用P2P协议,出口带宽的峰值压力较大。

  • 常规网络设备对P2P协议缺乏行之有效的检测和控制手段

现实二:某网络出口流量图

  • 1000M的出口,为什么上网还这么慢?

EMule

BT

QQ下载

  • 谁把我的带宽抢走了?

PPlive

  • 为什么我的防火墙天天死机?

迅雷


4203713

外设连接

无章可循

非法言论

无据可查

匿名接入

无法可依

资产管理

无计可施

现实三:内网管理“四无”危机


4203713

我们如何应对?

3D-SMP

当前安全威胁总结

  • 安全威胁的攻击范围不断扩大

    • 基础网络设施成为攻击的新热点

    • 以ARP欺骗和ARP扫描为代表

  • 安全威胁的种类不断增加

    • 从物理层到应用层,“层”出不穷

    • P2P协议的广泛应用将安全威胁的定义再次扩大

  • 安全威胁造成的危害愈演愈烈

    • 互联网上“货币等价物”广泛流行

    • 养马-卖马的地下病毒产业链日益成熟

  • 安全防范的部署成本大幅度增加

    • 入网信息点成倍增长

    • 上网人员三“化”:低龄化、高龄化、大众化

+


3d smp

安全管理半径 +

安全管理组件 +

安全响应速度 +

安全部署智能化 +

3D-SMP+新架构浅析

“+”号的含义

安全威胁范围增加

安全威胁种类增加

安全威胁危害增加

安全防范成本增加


4203713

神州数码3D-SMP+安全网络解决方案

补丁服务器数据库服务器

文件分发服务器日志服务器

DCBI认证服务器

中央策略管理

Internet

边界防御器,由UTM完成,12合一多功能网关,防范来自外网的病毒、垃圾邮件、黑客攻击,可动态执行DCSM控制中心指令。

DCSM内网安全管理系统

数据中心区

策略中心区

非可信区

DCSM是整个3D-SMP+方案的中枢系统,负责策略下发、身份审核、强制修复、日志审计以及联动调度。

统一威胁管理系统

入侵监测系统是联动传感器,司职探测网络中的攻击行为,发现异常立即向DCSM告警。

边界策略执行器,由DCBA和DCFS组成,主要完成用户访问外网的身份认证以及出口带宽的整形,可动态执行DCSM控制中心指令。

入侵检测系统

网络基础架构区

DCBA认证计费网关DCFS流量整形网关

边界防御区

探测代理:特殊客户端软件,负责搜索弱安全域内(无1X交换机区域)未安装安全代理的终端,阻止其访问网络,并向DCSM控制台告警。

端点策略执行器,由802.1X交换机组成,实现内网用户准入、ARP威胁防御、开放资源访问。可动态执行DCSM控制中心指令。

终端安全代理:客户端软件,集成主机防火墙和IDS,完成终端完整性检查、资产管理、安全防御、1X supplicant功能。

非802.1X接入交换机

802.1X接入交换机

802.1X接入交换机

安全管理系统代理

安全管理系统探测代理

端点接入区

综合接入区

开放接入区


4203713

Internet

!!

内部网络

DCSM控制中心

内网主机

全局防御演示-外网边界防御

补丁服务器数据库服务器

文件分发服务器日志服务器

DCBI认证服务器

中央策略管理

Internet

已知木马、病毒、

垃圾邮件被拦截

DCSM内网安全管理系统

数据中心区

策略中心区

非可信区

统一威胁管理系统

攻击行为被IDS探测

告警,实施动态阻断。

如SQL注入、Unicode

入侵检测系统

网络基础架构区

DCBA认证计费网关DCFS流量整形网关

边界防御区

非802.1X接入交换机

不合理的应用层流量被限速或阻断,带宽得到保障

802.1X接入交换机

802.1X接入交换机

安全管理系统代理

安全管理系统探测代理

端点接入区

综合接入区

开放接入区


4203713

DCSM控制中心

内部网络

802.1x 交换机

非802.1x 交换机

全局防御演示-内网端点防御

补丁服务器数据库服务器

文件分发服务器日志服务器

DCBI认证服务器

中央策略管理

Internet

多种分发方式强制部署客户端。1x环境分发胖客户端,非1x环境分发瘦客户端。

DCSM内网安全管理系统

数据中心区

策略中心区

非可信区

统一威胁管理系统

在没有部署802.1x交换机的弱安全域,设置探测代理,捕捉没有安装客户端的终端,并进行阻断

入侵检测系统

网络基础架构区

HI检查不通过-禁止入网

未安装客户端-禁止入网

客户端集成防火墙、IDS

保护终端安全并执行安全指令、资产外设管理指令。

DCBA认证计费网关DCFS流量整形网关

边界防御区

X

X

非802.1X接入交换机

X

802.1X接入交换机

802.1X接入交换机

安全管理系统代理

安全管理系统探测代理

端点接入区

综合接入区

开放接入区


4203713

全局防御演示-地址管理与部署

补丁服务器数据库服务器

文件分发服务器日志服务器

DCBI认证服务器

中央策略管理

Internet

DCSM内网安全管理系统

数据中心区

策略中心区

非可信区

  • 地址规划和智能管理

  • 根据企业地址规模灵活划分地址池

  • 固定用户地址下发与永久绑定

  • 漫游用户地址下发与临时绑定、自动回收

  • 接入交换机端口安全策略自动绑定。

  • 客户端地址获取方式无关性

  • 统一威胁管理系统

    入侵检测系统

    网络基础架构区

    DCBA认证计费网关DCFS流量整形网关

    边界防御区

    非802.1X接入交换机

    802.1X接入交换机

    802.1X接入交换机

    安全管理系统代理

    安全管理系统探测代理

    端点接入区

    综合接入区

    开放接入区


    4203713

    IPv6网是一张近乎

    “全裸”的网络,黑

    客可以轻易登陆

    IPv6网络主机进行

    攻击,甚至发动

    “6to4”攻击!!!

    对应于IPv4网络中

    的ARP欺骗,IPv6

    网络中ND欺骗将成

    为广大网管深恶痛

    绝的问题之一。

    IPv4网络中认证与

    计费已经十分成熟。

    但是双栈环境下如

    何实施区分计费?

    用户行为如何审计?

    v4v6

    v4v6

    v4v6

    v4v6

    下一代网络面临的威胁

    IPv6网络

    IPv4网络

    双栈

    双栈

    双栈

    ND欺骗


    4203713

    防ND欺骗技术

    • 双栈交换机实现ND表项自动绑定

      • ipv6 nd-security updateprotect

        禁止ND自动更新:可以正常维持ND学习与老化,已学到的表项不会被相同MAC的错误信息覆盖。

      • ipv6 nd learning

        禁止ND自动学习:不再进行ND学习,表项可以正常老化。

      • ipv6 nd-security convert

        将已经学习到的动态ND转换为静态ND(类似于静态ARP)


    Ipv6 acl

    IPv6 ACL技术

    • 神州数码全线交换机支持IPv6 ACL

    IPv6扩展访问控制列表:

    创建名为udpFlow的扩展访问列表,阻止ICMP报文通过,允许目的

    地址为2001:1:2:3::1,目的端口为32的UDP报文通过

    Switch(Config)#ipv6 access-list extended udpFlow

    Switch(Config-Ext-Nacl-udpFlow)#ipv6 access-list 110 deny igmp any any

    Switch(Config-Ext-Nacl-udpFlow)#ipv6 access-list 110 permit udp any host

    2001:1:2:3::1 dPort 32

    显示当前配置的IPv6访问控制列表:

    Switch #show ipv6 access-lists

    ipv6 access-list 500(used 1 time(s))

    ipv6 access-list 500 deny any-source

    ipv6 access-list 510(used 1 time(s))

    ipv6 access-list 510 deny ip any-source any-destination

    ipv6 access-list 510 deny tcp any-source any-destination

    ipv6 access-list 520(used 1 time(s))


    4203713

    IPv6防火墙技术

    神州数码统一威胁管理系统:IPv6状态检测、报过滤技术


    4203713

    双栈模式下的认证

    进行包过滤检查,并记录访问日志

    IPv6 UTM

    IPv6

    二次认证,进行计费操作,并配合netlog记录日志。

    计费认证平台

    双栈交换机

    IPv4

    可选1X认证,或自由访问

    DCBA-8000W

    必选1X认证,但不计费,认证通过后园区网免费访问

    802.1x Switch

    IPv6访问

    IPv4访问


    Thanks

    Thanks


  • Login