Radware网络安全解决方案标准模板.ppt

《Radware网络安全解决方案标准模板.ppt》由会员分享，可在线阅读，更多相关《Radware网络安全解决方案标准模板.ppt（109页珍藏版）》请在三一办公上搜索。

1、,Radware网络安全解决方案,RADWARE 中国,Radware 的整体解决方案,我们提供的解决方案:,Agenda,网络安全隐患分析网络安全解决方案的挑战Radware安全解决方案探讨Radware成功案例,Average annual DoS cost:$100,000,安全威胁带来的损失,近年的网络攻击行为,Source:2003 CSI/FBI Computer Crime and Security Survey,网络病毒、攻击来势汹汹,中心站点,虚拟专用网络,防毒墙,DOS 防护,入侵防御,传统防病毒产品,漏洞评估,Nimda病毒,红色代码病毒,Slammer病毒,MSBlas

2、ter.A病毒,Welchia病毒,安全管理.,DDOS/SYN Flood,DDOS/Teardrop,DDOS/UDP Bomb,为什么攻击日渐增多？,The challenge,现在黑客要发动一个攻击比以往任何时候都简单方便！,黑客攻击网络的步骤及方法,Scanning(网络扫描)通过扫描判断你是谁发起进攻Intrusion(强行入侵)DDOS(拒绝服务),Anti-Scanning(抵御网络扫描),能否防范Scanning,是衡量网络安全解决方案的重要指标!,黑客攻击网络的步骤及方法,Anti-Scanning(网络扫描)通过扫描判断你是谁发起进攻Intrusion(强行入侵)DDOS

3、(拒绝服务),Intrusion(强行入侵)的特点,仅通过少量的数据包就可以对应用服务造成重大伤害如病毒,蠕虫,CGI有害代码等等,Intrusion(强行入侵),http:/www.sos.state.mi.us/cgi-bin/phf/?Qalias=x%0als%20-al,Intrusion(强行入侵),http:/www.sos.state.mi.us/cgi-bin/phf/?Qalias=x%0als%20-al*在目标主机根目录上运行 ls al*如果是 rm?,Intrusion(强行入侵),能否防范Intrusion,是衡量网络安全解决方案的重要指标!,DDOS(拒绝服务)

4、的特点,通过大量的非法数据包耗尽应用服务或网络资源如SYN Flood,UDP Bomb等等,DDOS:SYN Flood,Internet,TCP SYN:80SIP:Spoofed,10.X.X.X or NullDIP:211.1.1.2,IP:211.1.1.2:80,Memory resource allocated for the session,SYN Flood DDOS:耗尽服务资源,DDOS:UDP Flooding,Network,61.1.1.1,With ECHO Service ON(UDP Port 7),With ECHO Service ON(UDP Port

5、 7),Echo:“Launch The Attack”,61.1.1.2,UDP Flood DDOS:耗尽网络带宽资源,Anti-DDOS(抵御拒绝服务),能否防范DDOS,是衡量网络安全解决方案的重要指标!,Agenda,网络安全隐患分析网络安全解决方案的挑战Radware安全解决方案探讨Radware成功案例,现有网络安全设备,目前已在网络中部署的安全工具可谓种类繁多：防火墙 IDS（入侵检测系统）防病毒系统 URL 过滤系统,网络安全设备部署情况,网络应用隐患WEB,Web 应用/分布式应用已广为普及 大多数攻击（蠕虫、病毒、DoS）都是通过80 端口进行的 基于状态检测的防火墙技术

6、已无能为力,来源：Network World，2003 年 8 月,防火墙的技术缺陷,Server 1,Server 3,Server 2,Hacker,“由于防火墙仅查看报头信息，因此它们根据数据包内容来拦截攻击的能力有限”“但是，新的蠕虫和网络攻击可以通过 80 端口连接（有时会伪装成 HTTP 或 S-HTTP 的格式）来越过防火墙。”“除了简单的状态协议过滤外，防火墙还必须提供更为广泛的入侵检测功能，否则它会面临淘汰的命运。”“我们相信防火墙仍是应用防护和 Web 防护方面的产品，但它们的销售方式却不是这样。”,Gartner 对防火墙的评价,Gartner 企业防火墙幻方图，1H03

7、(2003 年 6 月 19 日),IDS技术缺陷,LAN,FireProof,Access Routers,FireProof,Switch,IDS,Firewalls,Attack,市场对网络安全的要求,网络安全解决方案中需要具有对数据包进行“深入包分析”的能力并且在应用层阻止攻击,以上千兆的性能实时抵挡Intrusion及DDOS,并具有高可靠性及扩展性,servers,Anti-Spam,IDS,FireWall,Anti-Virus,URL Filter,Overload,Failure,不可避免的单点故障窜接多种安全网关导致网络性能下降扩展性非常不理想,安全网关(防毒,URL过滤)

8、的缺陷,LAN,URL Filter,Anti-Spam,IDS,Anti-Virus,备份协议过分依赖厂家,没有行业标准几乎没有可扩展性管理非常复杂,Firewall,Anti-Spam,URL Filter,Anti-Virus,安全网关(防毒,URL过滤)的缺陷,Agenda,网络安全隐患分析网络安全解决方案的挑战Radware安全解决方案探讨Radware成功案例,Radware安全解决方案探讨,网络第一道防线-Defense Pro网络安全防护优化-CID,DefensePro 业界最快的IPS，可隔离、拦截和预防攻击，从而实现即时、高性能的应用安全,网络第一道防线Defense P

9、ro,DefensePro的产品理念,DefencPro的设计理念,变事后防御为事前防御技术保证组织保证快速更新更新对比在线更新高性能，3G吞吐CPUNPStringMatchASIC实施简便 智能cable，第一次安装向导安全后备 带宽管理，流量控制,X矿务局网络系统拓扑,应用服务器负载均衡,RADWARE 应用智能交换机,网络中心系统,防火墙安全系统,防火墙负载均衡,网通,应用系统服务器群,链路负载均衡,铁通,企业用户,核心交换机,X矿骨干环网,RADWARE 应用安全交换机,DefensePro,DefensePro,楼层交换机,功能和优点,透明串联连接方式,Users,路由器,服务器,

10、交换机,LAN,数千兆位速度的应用安全保护，可防范入侵、病毒和蠕虫实时防范拒绝服务攻击和拦截 Syn flood 攻击协议异常性检测全面监视和隔离攻击简单的串联式安装,防火墙,DefensePro,多网段防护-全网防护,全网的安全性防护,Users,路由器,服务器,L2/3 交换机,第 1 层,第 2 层,第 3 层,DefensePro,实时保护所有的局域网单元和应用清理所有的入站/出站流量将攻击隔离起来，防止影响分布式关键应用没有修补上的管理,X矿务局网络系统拓扑,应用服务器负载均衡,RADWARE 应用智能交换机,网络中心系统,防火墙安全系统,防火墙负载均衡,网通,应用系统服务器群,链路

11、负载均衡,铁通,企业用户,核心交换机,X矿骨干环网,RADWARE 应用安全交换机,DefensePro,DefensePro,楼层交换机,DefensePro主要功能,最全面的入侵防范功能,双向扫描,带有状态的深入数据包逐包检测和入侵防范,为服务器、应用和用户提供多达1500多种攻击的保护:-病毒-蠕虫-木马攻击-端口扫描-异常协议,Radware预置攻击防护分类,可自定义特征码,目的端口号,协议类型,字节匹配长度,Backdoor攻击特征,防止给予SSL的入侵攻击,HTTP,HTTPS,SSL tunnel can be used to evade IPS scanningDefenseP

12、ro with CT100 provides an out-of-path solution for SSL based traffic inspection,DOS/DDOS攻击示例,被攻击主机,Internet,通过基准性监视来检测流量方面的异常和高级的取样方法使用 Syn-cookie 对 Syn flood 进行高级防范在不影响合法流量转发的情况下，最多可拦截100 万个 Syn 的攻击（相当于 500Mbps 的攻击流量）动态的流量控制可以确保关键任务应用的连续性（即使在遭受攻击的情况下）以数千兆位的速度检测和拦截拒绝服务攻击,防范拒绝服务攻击DOS/DDOS,DoS 盾实例,Rad

13、ware,激活,数据采样,用户资源,Attack Name ThresholdSyn Flood 100,Attack Name StatusSyn Flood Active,休眠列表,激活列表,Attack Name Threshold,到达阀值,Mydoom-C 防护策略1-传播防护,Mydoom-C 防护策略2-DOS防护,DefensePro SYN Flood 防护,SYN Cookies,SYN Cookies TCP State Diagram,For additional protection,Radwares SYN Cookie implementation waits u

14、ntil the first data packet is received before creating a connection table entry,DefensePro带宽管理和流量控制,流量控制,“增加更多的带宽可能只会提高对非关键应用的响应速度，而不能为最需要带宽的应用提供保证”“流量管理：优化企业网络，实现最大化的业务价值”，Yankee Group，2003 年 10 月 动态的流量控制可以确保关键任务应用的连续性（即使在遭受攻击的情况下）端到端的带宽管理和服务质量（QoS）保证了服务水平协议并且提高了应用性能,BANDWIDTHMANAGEMENT,通过不间断的攻击监视网

15、络2-7层的威胁：提供完全可见的攻击类型和受影响的资源攻击隔离：动态地控制带宽防止攻击扩散到服务器、应用和用户那里,最完全的攻击监视和隔离,CRM,攻击,Citrix,eMail,eMail,识别P2P-特征分析,支持的P2P类型：bittorrentEdonkeyGnutellaKazaaWinmx WinnyDefensePro Bandwidth Management can identify&control these applications by limiting upstream/downstream flow and bandwidth per user,P2P流量管理,BWM

16、 identifies applications,classifies traffic,isolates attacks,&accelerates application performanceP2P traffic can be limited or blocked,critical applications bandwidth can be guaranteed,eMail,Registration,Tuition,DefensePro产品架构,DefensePro 整体架构,4层安全交换架构&String Match Engine,带来 1000 X的加速模式和策略匹配,Network

17、Processor,Network Processor,Network Processor,Network Processor,CPU,CPU,44 GB ASIC,44 GB ASIC,10GE,7X1GE,16 Fast Ethernet Ports,3Gbps硬件安全交换架构,StringMatch Engine,线速数据传输和连接,3 Gbps转发流量和拦截Syn Cookie,会话管理,最多8个并行处理的 StringMatch ASICS,StringMatch Engine,安全加速器，旨在提供高性能的数据包深入检查专用的 MPC 7457 RISC 处理器 最多支持 8 个用来

18、搜索字符串的 ASIC并行模式的搜索最多可达 256,000 个固定模式的搜索速度最高可达 16 千兆位根据攻击数据库进行完整检测，同时也提供了完全的吞吐能力,模式搜索的速度最高可达 16 千兆位并行模式的搜索最多可达 256,000 个,产品定位,DefensePro 产品线,DefensePro-3000HQ/Core Network/Data CentersDefensePro 1000HQ/Core Network/Data CentersDefensePro 200Corporate GWDefensePro-100Branch/regional officesCPE for MSS

19、P,产品定位,REGIONAL OFFICE,BRANCH OFFICE,Web,Email,CRM ERP,HEADQUARTERS,DefensePro-3000/1000,LAN,LAN,DefensePro-3000,DefensePro-200/100,DefensePro-100,DefensePro的人性化管理,Ease of use-1st Time Wizard,CWIS 1.60,Radware 统一化的 管理,Radware 可以通过以下方式管理:SNMP V2,SNMP V3,Telnet,SSH,Web,SSL 管理通过物理端口和RADIUS 认证进行安全访问,集中化

20、的安全管理,Connect&Protect 表设置所有的安全攻击服务:Intrusions,DoS,SYN Floods,Anomalies&Anti-Scanning,统一的安全报告,特性优点,攻击开始时间/结束时间 源 IP 地址和目标 IP 地址严重性居于前 10 位的攻击各个物理端口上的攻击将数据导出到外部数据库当前的和以前的攻击报告,直观的统计报告,Attack LogAttack ReportsDashboard,Geographical map displays Top Sources according to country of origin,安全更新服务,安全更新服务(SU

21、S),为用户提供在线自动的攻击特征库的更新,自动更新,Radware首先报告的攻击,Sample of Emergency updates that Radware was the first to issue:MS JPEG Vulnerability,September 29,2004Mydoom-S,August 16,2004Bagle-AQ,August 10,2004Mydoom-M,July 26,2004Bagle-AG,July 21,2004 Bagle-AB,July 16,2004AgoBot,May 17,2004Sasser,May 3,2004,MyDoom自动更

22、新,MyDoom A MyDoom B MyDoom CRadware*26-Jan-04 28-Jan-04 8-Feb-04Netscreen 26-Jan-04 28-Jan-04 12-Feb-04Tipping Point 27-Jan-04 30-Jan-04 No InformationISS 26-Jan-04 No Information No InformationNetwork Associate 26-Jan-04 28-Jan-04 12-Feb-04Checkpoint 27-Jan-04 29-Jan-04 10-Feb-04,Device,Radware 网站,

23、Configware Insite,自动更新攻击特征,Configware Insite 会定期检查 Radware 的网站，以了解是否有新的攻击特征一旦提供了新的攻击特征，用户就会立即得到通知,攻击特征的自动更新/手动更新,Defense-Pro 设备管理,Defense-Pro解决方案总结,DefensePro：隔离、拦截和预防,基于硬件的体系架构以3千兆位的速度防范入侵和 CPU+NP+ASIC+SME简单易用“Smart Cable”全面监视和攻击隔离防范入侵和DoS/DDOS 攻击流量控制安全报告功能与快速更新,Radware安全解决方案探讨,网络第一道防线-Defense Pro网

24、络安全防护优化-CID,XX省电信Radware CID解决方案,门户Web Server1,Mailserver1,Mailserver2,Nokia FW Cluster,Active WSD,Backup-WSD,DMZ,门户Web Server2,E-Mail Filter,Intranet,Internet,E-Mail Filter,Cisco 6509-1,Cisco 6509-2,Clients,Radware CID-1,Radware CID-2,Content Inspection Director,CID 提供了容错、高吞吐&可扩展的防病毒扫描、URL 过滤&反垃圾邮件

25、服务，并且将运营商的内容安全托管业务统一起来。,servers,Anti-Spam,IDS,FireWall,Anti-Virus,URL Filter,Overload,Failure,不可避免的单点故障窜接多种安全网关导致网络性能下降扩展性非常不理想,安全网关(防毒,URL过滤)的缺陷,基于交换的安全架构,Firewall,Anti-Spam,URL Filter,Anti-Virus,Anti-Spam,Firewall,IDS,IDS,LAN,URL Filter,Anti-Virus,提升整体安全系统的可用性,Anti-Virus Farms,Anti-Spam Farms,CID,

26、URL Filtering Farms,可信、不可信数据区分,Anti-Virus Farms,Anti-Spam Farms,CID,URL Filtering Farms,直通,文件类型:image rm avi mp3,500%检测提速,McAfee,Aladdin,ContentFilter,基于用户的策略管理实例,学生,教师,基于用户的策略管理实例,学生,McAfee,教师,Aladdin,ContentFilter,透明布署任何内容过滤工具-一站式体系的厂家无关性-完全定制的内容检查服务-无缝扩展新的安全设备而不用担心设备之间的兼容性,无缝的第三方安全设备集成,Radware Co

27、ntent Security Partners,Agenda,网络安全隐患分析网络安全解决方案的挑战Radware安全解决方案探讨Radware成功案例,WAN,防火墙,核心路由器,Internet,Mail Server,ERP Server,IC Card Server,business Server,办公区用户,核心交换机,XX石油公司,服务器群组,WAN,防火墙,核心路由器,Internet,Mail Server,ERP Server,IC Card Server,business Server,办公区用户,核心交换机,服务器群组,XX石油公司,WAN,防火墙,Defense Pro

28、 1,核心路由器,Internet,Defense Pro 2,Mail Server,ERP Server,IC Card Server,business Server,办公区用户,核心交换机,服务器群组,XX石油公司,方案描述：保护intranet保护防火墙 核心交换机保护服务器包括办公用户,X矿务局网络系统拓扑,应用服务器负载均衡,RADWARE 应用智能交换机,网络中心系统,防火墙安全系统,防火墙负载均衡,网通,应用系统服务器群,链路负载均衡,铁通,企业用户,核心交换机,X矿骨干环网,RADWARE 应用安全交换机,DefensePro,DefensePro,楼层交换机,XX汽车制造,

29、某大型游戏网站,Defense-Pro,Firewall,服务器组,E解決方案,LAN,Radware,接入路由器,防火墙,Radware,交換機,Dos Shield 检测到Dos攻击,IDS,即時阻止！,IDS,Firewall,某省移动通信公司IDC,韩国SK电信解决方案,网络流量分析结果,过滤攻击时使平均数据流量下降了170Mbps,XX省电信Radware CID解决方案,门户Web Server1,Mailserver1,Mailserver2,Nokia FW Cluster,Active WSD,Backup-WSD,DMZ,门户Web Server2,E-Mail Filte

30、r,Intranet,Internet,E-Mail Filter,Cisco 6509-1,Cisco 6509-2,Clients,Radware CID-1,Radware CID-2,Kwangun 校园网,Outbreak of wormsDoS/SYN AttacksHigh bandwidth consumption by P2PApplication level attacks,XX高校,Deployment 108 LinkProof Branch+SynApps2 DefensePro+SME,FTTB,LinkProof Branch,Schools,DefensePro,XX钢铁制造企业,Web,Server,Director,L,N,K,1,0,0,WSD-B,CID-A,1,4,3,2,AV/Spam,FARM,1,2,5,邮件服务器域名B,邮件服务器域名A,6509-A,6509-B,Web,Server,Director,L,N,K,1,0,0,WSD-A,XX电信邮件系统,提问？解答！,梁世鹏13801286800 S 北京市东方广场C2-901讲课内容目前可以提供下载，保留一周：http:/,