slide1
Download
Skip this Video
Download Presentation
构建安全可信的下一代网络

Loading in 2 Seconds...

play fullscreen
1 / 17

构建安全可信的下一代网络 - PowerPoint PPT Presentation


  • 158 Views
  • Uploaded on

-- 神州数码 3D-SMP + 安全网络解决方案. 构建安全可信的下一代网络. 神州数码网络公司 企业网技术总监 杨海涛 2007 年 10 月. 提纲. 安全威胁新挑战 木马、病毒与黑客威胁 用户行为管理挑战 带宽滥用 3D-SMP + 新特性 IPv6 Ready , Security v6 Ready? ND 欺骗 IPv6 ACL IPv6 防火墙 IPv6 认证与计费. 蠕虫 大范围的网络扫描 大流量的病毒数据转发 大面积的主机崩溃. 木马 大范围 ARP 欺骗 网络访问异常 用户帐号密码被盗. 垃圾邮件 阻塞网络出口

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '构建安全可信的下一代网络' - alijah


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1
--神州数码3D-SMP+安全网络解决方案

构建安全可信的下一代网络

神州数码网络公司

企业网技术总监 杨海涛

2007年10月

slide2
提纲
  • 安全威胁新挑战
    • 木马、病毒与黑客威胁
    • 用户行为管理挑战
    • 带宽滥用
  • 3D-SMP+新特性
  • IPv6 Ready,Security v6 Ready?
    • ND欺骗
    • IPv6 ACL
    • IPv6 防火墙
    • IPv6 认证与计费
slide3
蠕虫

大范围的网络扫描

大流量的病毒数据转发

大面积的主机崩溃

木马

大范围ARP欺骗

网络访问异常

用户帐号密码被盗

垃圾邮件

阻塞网络出口

邮箱溢出

合法邮件被淹没

现实一:2006病毒排行榜

数据来源:国家反病毒应急响应中心

slide4
P2P技术的飞速发展,占据了大量的出口带宽,使得正常的网络业务得不到保障。
  • 超过60%的应用P2P协议,出口带宽的峰值压力较大。
  • 常规网络设备对P2P协议缺乏行之有效的检测和控制手段
现实二:某网络出口流量图
  • 1000M的出口,为什么上网还这么慢?

EMule

BT

QQ下载

  • 谁把我的带宽抢走了?

PPlive

  • 为什么我的防火墙天天死机?

迅雷

slide5
外设连接

无章可循

非法言论

无据可查

匿名接入

无法可依

资产管理

无计可施

现实三:内网管理“四无”危机
slide6
我们如何应对?

3D-SMP

当前安全威胁总结
  • 安全威胁的攻击范围不断扩大
    • 基础网络设施成为攻击的新热点
    • 以ARP欺骗和ARP扫描为代表
  • 安全威胁的种类不断增加
    • 从物理层到应用层,“层”出不穷
    • P2P协议的广泛应用将安全威胁的定义再次扩大
  • 安全威胁造成的危害愈演愈烈
    • 互联网上“货币等价物”广泛流行
    • 养马-卖马的地下病毒产业链日益成熟
  • 安全防范的部署成本大幅度增加
    • 入网信息点成倍增长
    • 上网人员三“化”:低龄化、高龄化、大众化

+

3d smp
安全管理半径 +

安全管理组件 +

安全响应速度 +

安全部署智能化 +

3D-SMP+新架构浅析

“+”号的含义

安全威胁范围增加

安全威胁种类增加

安全威胁危害增加

安全防范成本增加

slide8
神州数码3D-SMP+安全网络解决方案

补丁服务器数据库服务器

文件分发服务器日志服务器

DCBI认证服务器

中央策略管理

Internet

边界防御器,由UTM完成,12合一多功能网关,防范来自外网的病毒、垃圾邮件、黑客攻击,可动态执行DCSM控制中心指令。

DCSM内网安全管理系统

数据中心区

策略中心区

非可信区

DCSM是整个3D-SMP+方案的中枢系统,负责策略下发、身份审核、强制修复、日志审计以及联动调度。

统一威胁管理系统

入侵监测系统是联动传感器,司职探测网络中的攻击行为,发现异常立即向DCSM告警。

边界策略执行器,由DCBA和DCFS组成,主要完成用户访问外网的身份认证以及出口带宽的整形,可动态执行DCSM控制中心指令。

入侵检测系统

网络基础架构区

DCBA认证计费网关DCFS流量整形网关

边界防御区

探测代理:特殊客户端软件,负责搜索弱安全域内(无1X交换机区域)未安装安全代理的终端,阻止其访问网络,并向DCSM控制台告警。

端点策略执行器,由802.1X交换机组成,实现内网用户准入、ARP威胁防御、开放资源访问。可动态执行DCSM控制中心指令。

终端安全代理:客户端软件,集成主机防火墙和IDS,完成终端完整性检查、资产管理、安全防御、1X supplicant功能。

非802.1X接入交换机

802.1X接入交换机

802.1X接入交换机

安全管理系统代理

安全管理系统探测代理

端点接入区

综合接入区

开放接入区

slide9
Internet

!!

内部网络

DCSM控制中心

内网主机

全局防御演示-外网边界防御

补丁服务器数据库服务器

文件分发服务器日志服务器

DCBI认证服务器

中央策略管理

Internet

已知木马、病毒、

垃圾邮件被拦截

DCSM内网安全管理系统

数据中心区

策略中心区

非可信区

统一威胁管理系统

攻击行为被IDS探测

告警,实施动态阻断。

如SQL注入、Unicode

入侵检测系统

网络基础架构区

DCBA认证计费网关DCFS流量整形网关

边界防御区

非802.1X接入交换机

不合理的应用层流量被限速或阻断,带宽得到保障

802.1X接入交换机

802.1X接入交换机

安全管理系统代理

安全管理系统探测代理

端点接入区

综合接入区

开放接入区

slide10
DCSM控制中心

内部网络

802.1x 交换机

非802.1x 交换机

全局防御演示-内网端点防御

补丁服务器数据库服务器

文件分发服务器日志服务器

DCBI认证服务器

中央策略管理

Internet

多种分发方式强制部署客户端。1x环境分发胖客户端,非1x环境分发瘦客户端。

DCSM内网安全管理系统

数据中心区

策略中心区

非可信区

统一威胁管理系统

在没有部署802.1x交换机的弱安全域,设置探测代理,捕捉没有安装客户端的终端,并进行阻断

入侵检测系统

网络基础架构区

HI检查不通过-禁止入网

未安装客户端-禁止入网

客户端集成防火墙、IDS

保护终端安全并执行安全指令、资产外设管理指令。

DCBA认证计费网关DCFS流量整形网关

边界防御区

X

X

非802.1X接入交换机

X

802.1X接入交换机

802.1X接入交换机

安全管理系统代理

安全管理系统探测代理

端点接入区

综合接入区

开放接入区

slide11
全局防御演示-地址管理与部署

补丁服务器数据库服务器

文件分发服务器日志服务器

DCBI认证服务器

中央策略管理

Internet

DCSM内网安全管理系统

数据中心区

策略中心区

非可信区

        • 地址规划和智能管理
  • 根据企业地址规模灵活划分地址池
  • 固定用户地址下发与永久绑定
  • 漫游用户地址下发与临时绑定、自动回收
  • 接入交换机端口安全策略自动绑定。
  • 客户端地址获取方式无关性

统一威胁管理系统

入侵检测系统

网络基础架构区

DCBA认证计费网关DCFS流量整形网关

边界防御区

非802.1X接入交换机

802.1X接入交换机

802.1X接入交换机

安全管理系统代理

安全管理系统探测代理

端点接入区

综合接入区

开放接入区

slide12
IPv6网是一张近乎

“全裸”的网络,黑

客可以轻易登陆

IPv6网络主机进行

攻击,甚至发动

“6to4”攻击!!!

对应于IPv4网络中

的ARP欺骗,IPv6

网络中ND欺骗将成

为广大网管深恶痛

绝的问题之一。

IPv4网络中认证与

计费已经十分成熟。

但是双栈环境下如

何实施区分计费?

用户行为如何审计?

v4v6

v4v6

v4v6

v4v6

下一代网络面临的威胁

IPv6网络

IPv4网络

双栈

双栈

双栈

ND欺骗

slide13
防ND欺骗技术
  • 双栈交换机实现ND表项自动绑定
    • ipv6 nd-security updateprotect

禁止ND自动更新:可以正常维持ND学习与老化,已学到的表项不会被相同MAC的错误信息覆盖。

    • ipv6 nd learning

禁止ND自动学习:不再进行ND学习,表项可以正常老化。

    • ipv6 nd-security convert

将已经学习到的动态ND转换为静态ND(类似于静态ARP)

ipv6 acl
IPv6 ACL技术
  • 神州数码全线交换机支持IPv6 ACL

IPv6扩展访问控制列表:

创建名为udpFlow的扩展访问列表,阻止ICMP报文通过,允许目的

地址为2001:1:2:3::1,目的端口为32的UDP报文通过

Switch(Config)#ipv6 access-list extended udpFlow

Switch(Config-Ext-Nacl-udpFlow)#ipv6 access-list 110 deny igmp any any

Switch(Config-Ext-Nacl-udpFlow)#ipv6 access-list 110 permit udp any host

2001:1:2:3::1 dPort 32

显示当前配置的IPv6访问控制列表:

Switch #show ipv6 access-lists

ipv6 access-list 500(used 1 time(s))

ipv6 access-list 500 deny any-source

ipv6 access-list 510(used 1 time(s))

ipv6 access-list 510 deny ip any-source any-destination

ipv6 access-list 510 deny tcp any-source any-destination

ipv6 access-list 520(used 1 time(s))

slide15
IPv6防火墙技术

神州数码统一威胁管理系统:IPv6状态检测、报过滤技术

slide16
双栈模式下的认证

进行包过滤检查,并记录访问日志

IPv6 UTM

IPv6

二次认证,进行计费操作,并配合netlog记录日志。

计费认证平台

双栈交换机

IPv4

可选1X认证,或自由访问

DCBA-8000W

必选1X认证,但不计费,认证通过后园区网免费访问

802.1x Switch

IPv6访问

IPv4访问

ad