构建安全可信的下一代网络

1. --神州数码3D-SMP+安全网络解决方案 构建安全可信的下一代网络 神州数码网络公司 企业网技术总监 杨海涛 2007年10月

2. 提纲 • 安全威胁新挑战 • 木马、病毒与黑客威胁 • 用户行为管理挑战 • 带宽滥用 • 3D-SMP+新特性 • IPv6 Ready，Security v6 Ready? • ND欺骗 • IPv6 ACL • IPv6 防火墙 • IPv6 认证与计费

3. 蠕虫 大范围的网络扫描 大流量的病毒数据转发 大面积的主机崩溃 木马 大范围ARP欺骗 网络访问异常 用户帐号密码被盗 垃圾邮件 阻塞网络出口 邮箱溢出 合法邮件被淹没 现实一：2006病毒排行榜 数据来源：国家反病毒应急响应中心

4. P2P技术的飞速发展，占据了大量的出口带宽，使得正常的网络业务得不到保障。P2P技术的飞速发展，占据了大量的出口带宽，使得正常的网络业务得不到保障。 • 超过60％的应用P2P协议,出口带宽的峰值压力较大。 • 常规网络设备对P2P协议缺乏行之有效的检测和控制手段 现实二：某网络出口流量图 • 1000M的出口，为什么上网还这么慢？ EMule BT QQ下载 • 谁把我的带宽抢走了？ PPlive • 为什么我的防火墙天天死机？ 迅雷

5. 外设连接 无章可循 非法言论 无据可查 匿名接入 无法可依 资产管理 无计可施 现实三：内网管理“四无”危机

6. 我们如何应对？ 3D-SMP 当前安全威胁总结 • 安全威胁的攻击范围不断扩大 • 基础网络设施成为攻击的新热点 • 以ARP欺骗和ARP扫描为代表 • 安全威胁的种类不断增加 • 从物理层到应用层，“层”出不穷 • P2P协议的广泛应用将安全威胁的定义再次扩大 • 安全威胁造成的危害愈演愈烈 • 互联网上“货币等价物”广泛流行 • 养马-卖马的地下病毒产业链日益成熟 • 安全防范的部署成本大幅度增加 • 入网信息点成倍增长 • 上网人员三“化”：低龄化、高龄化、大众化 +

7. 安全管理半径 + 安全管理组件 + 安全响应速度 + 安全部署智能化 + 3D-SMP+新架构浅析 “+”号的含义 安全威胁范围增加 安全威胁种类增加 安全威胁危害增加 安全防范成本增加

8. 神州数码3D-SMP+安全网络解决方案 补丁服务器数据库服务器 文件分发服务器日志服务器 DCBI认证服务器 中央策略管理 Internet 边界防御器，由UTM完成，12合一多功能网关，防范来自外网的病毒、垃圾邮件、黑客攻击，可动态执行DCSM控制中心指令。 ① DCSM内网安全管理系统 数据中心区 策略中心区 非可信区 DCSM是整个3D-SMP+方案的中枢系统，负责策略下发、身份审核、强制修复、日志审计以及联动调度。 ④ 统一威胁管理系统 入侵监测系统是联动传感器，司职探测网络中的攻击行为，发现异常立即向DCSM告警。 边界策略执行器，由DCBA和DCFS组成，主要完成用户访问外网的身份认证以及出口带宽的整形，可动态执行DCSM控制中心指令。 ② 入侵检测系统 网络基础架构区 ③ DCBA认证计费网关DCFS流量整形网关 边界防御区 探测代理：特殊客户端软件，负责搜索弱安全域内(无1X交换机区域)未安装安全代理的终端，阻止其访问网络，并向DCSM控制台告警。 端点策略执行器，由802.1X交换机组成，实现内网用户准入、ARP威胁防御、开放资源访问。可动态执行DCSM控制中心指令。 终端安全代理：客户端软件，集成主机防火墙和IDS，完成终端完整性检查、资产管理、安全防御、1X supplicant功能。 非802.1X接入交换机 ⑤ ⑤ 802.1X接入交换机 802.1X接入交换机 ⑥ 安全管理系统代理 ⑦ 安全管理系统探测代理 端点接入区 综合接入区 开放接入区

9. Internet !! 内部网络 DCSM控制中心 内网主机 全局防御演示-外网边界防御 补丁服务器数据库服务器 文件分发服务器日志服务器 DCBI认证服务器 中央策略管理 Internet 已知木马、病毒、 垃圾邮件被拦截 ① DCSM内网安全管理系统 数据中心区 策略中心区 非可信区 ④ 统一威胁管理系统 攻击行为被IDS探测 告警，实施动态阻断。 如SQL注入、Unicode ② 入侵检测系统 网络基础架构区 ③ DCBA认证计费网关DCFS流量整形网关 边界防御区 非802.1X接入交换机 ⑤ ⑤ 不合理的应用层流量被限速或阻断，带宽得到保障 802.1X接入交换机 802.1X接入交换机 ⑥ 安全管理系统代理 ⑦ 安全管理系统探测代理 端点接入区 综合接入区 开放接入区

10. DCSM控制中心 内部网络 802.1x 交换机 非802.1x 交换机 全局防御演示-内网端点防御 补丁服务器数据库服务器 文件分发服务器日志服务器 DCBI认证服务器 中央策略管理 Internet 多种分发方式强制部署客户端。1x环境分发胖客户端，非1x环境分发瘦客户端。 ① DCSM内网安全管理系统 数据中心区 策略中心区 非可信区 ④ 统一威胁管理系统 在没有部署802.1x交换机的弱安全域，设置探测代理，捕捉没有安装客户端的终端，并进行阻断 ② 入侵检测系统 网络基础架构区 HI检查不通过-禁止入网 未安装客户端-禁止入网 客户端集成防火墙、IDS 保护终端安全并执行安全指令、资产外设管理指令。 ③ DCBA认证计费网关DCFS流量整形网关 边界防御区 X X 非802.1X接入交换机 X ⑤ ⑤ 802.1X接入交换机 802.1X接入交换机 ⑥ 安全管理系统代理 ⑦ 安全管理系统探测代理 端点接入区 综合接入区 开放接入区

11. 全局防御演示-地址管理与部署 补丁服务器数据库服务器 文件分发服务器日志服务器 DCBI认证服务器 中央策略管理 Internet ① DCSM内网安全管理系统 数据中心区 策略中心区 非可信区 • 地址规划和智能管理 • 根据企业地址规模灵活划分地址池 • 固定用户地址下发与永久绑定 • 漫游用户地址下发与临时绑定、自动回收 • 接入交换机端口安全策略自动绑定。 • 客户端地址获取方式无关性 ④ 统一威胁管理系统 ② 入侵检测系统 网络基础架构区 ③ DCBA认证计费网关DCFS流量整形网关 边界防御区 非802.1X接入交换机 ⑤ ⑤ 802.1X接入交换机 802.1X接入交换机 ⑥ 安全管理系统代理 ⑦ 安全管理系统探测代理 端点接入区 综合接入区 开放接入区

12. IPv6网是一张近乎 “全裸”的网络，黑 客可以轻易登陆 IPv6网络主机进行 攻击，甚至发动 “6to4”攻击！！！ 对应于IPv4网络中 的ARP欺骗，IPv6 网络中ND欺骗将成 为广大网管深恶痛 绝的问题之一。 IPv4网络中认证与 计费已经十分成熟。 但是双栈环境下如 何实施区分计费？ 用户行为如何审计？ v4v6 v4v6 v4v6 v4v6 下一代网络面临的威胁 IPv6网络 IPv4网络 双栈 双栈 双栈 ND欺骗

13. 防ND欺骗技术 • 双栈交换机实现ND表项自动绑定 • ipv6 nd-security updateprotect 禁止ND自动更新：可以正常维持ND学习与老化，已学到的表项不会被相同MAC的错误信息覆盖。 • ipv6 nd learning 禁止ND自动学习：不再进行ND学习，表项可以正常老化。 • ipv6 nd-security convert 将已经学习到的动态ND转换为静态ND(类似于静态ARP)

14. IPv6 ACL技术 • 神州数码全线交换机支持IPv6 ACL IPv6扩展访问控制列表： 创建名为udpFlow的扩展访问列表，阻止ICMP报文通过，允许目的 地址为2001:1:2:3::1,目的端口为32的UDP报文通过 Switch(Config)#ipv6 access-list extended udpFlow Switch(Config-Ext-Nacl-udpFlow)#ipv6 access-list 110 deny igmp any any Switch(Config-Ext-Nacl-udpFlow)#ipv6 access-list 110 permit udp any host 2001:1:2:3::1 dPort 32 显示当前配置的IPv6访问控制列表： Switch #show ipv6 access-lists ipv6 access-list 500(used 1 time(s)) ipv6 access-list 500 deny any-source ipv6 access-list 510(used 1 time(s)) ipv6 access-list 510 deny ip any-source any-destination ipv6 access-list 510 deny tcp any-source any-destination ipv6 access-list 520(used 1 time(s))

15. IPv6防火墙技术 神州数码统一威胁管理系统：IPv6状态检测、报过滤技术

16. 双栈模式下的认证 进行包过滤检查，并记录访问日志 IPv6 UTM IPv6 二次认证，进行计费操作，并配合netlog记录日志。 计费认证平台 双栈交换机 IPv4 可选1X认证，或自由访问 DCBA-8000W 必选1X认证，但不计费，认证通过后园区网免费访问 802.1x Switch IPv6访问 IPv4访问

17. Thanks