IDC安全保护方案.ppt

《IDC安全保护方案.ppt》由会员分享，可在线阅读，更多相关《IDC安全保护方案.ppt（29页珍藏版）》请在三一办公上搜索。

1、March 1,2023,McAfee 电信级的安全专家,IDC 整体安全解决方案,Name,March 1,2023,Title of presentation,2,McAfee IDC 整体安全解决方案介绍,IDC 安全需求分析IDC面临的安全威胁愈来愈严重传统的来自外部的DDOS攻击依旧存在来自外部互联网络的黑客侵入行为上升为主要威胁黑客侵入并劫持IDC内部主机对外部网络发动攻击成为新的网络攻击手段普通的防病毒软件已无法阻止间谍软件，恶意病毒软件对IDC主机的侵入，IDC主机的安全防护急需加强随着虚拟化技术的发展，虚拟化环境下的IDC网络安全是一个新的课题随着IDC业务的发展，客户对ID

2、C的安全防护有了更高的要求随着3G业务的发展，作为3G数据业务主要支撑节点的IDC的安全保障标准进一步提高,March 1,2023,3,McAfee IDC 整体安全解决方案介绍,IDC安全需求的总结在网络出口处对流量攻击的防护和阻断必须是双向的、多功能的既要防止来自外部的流量攻击，同时也能阻断由内部发动的对外部的攻击在阻断双向流量攻击同时，而且还能有效地阻断黑客的侵入流量清洗设备只能够提供单向的对流量攻击的防护，无法应对IDC面临的新的威胁发展McAfee IPS 5G/10G电信级设备可以有效地阻断黑客的侵入，有效的阻断来自内、外部的流量攻击，将IDC网络安全防护提高到一个新的等级需提升

3、主机安全防护水平，McAfee 的HIPS（主机安全加固软件）可以有效地提升IDC内部主机的安全水平McAfee IPS 支持IDC虚拟化的环境下安全解决方案ePO（公共管理平台）通过统一管理，可以有效的降低安全管理投资、提高维护效率，降低总体运营成本,March 1,2023,Title of presentation,4,IDC 目前网络安全方案分析,安全防护手段单一目前采用的IDS产品只能检测发现攻击和侵入，无阻断能力“流量清洗设备”仅能防止来自外部的DDOS攻击，无法防止黑客侵入，无法阻断产生自IDC内部的对外的流量攻击IDS和流量清洗设备无法阻挡各种间谍软件的侵入（木马，蠕虫-）急需

4、电信级的IPS产品来提高IDC的防护水平实现双向非法流量阻断，防止黑客侵入，阻止网络病毒爆发提供虚拟IPS功能适应IDC内部多客户的不同安全需求高性能、高准确率、高端口密度电信级99.999%的高可靠性产品,March 1,2023,Title of presentation,5,McAfee IDC 网络安全方案优势,采用的IPSM8000设备是目前全球唯一支持10G吞吐量、拥有10G处理能力的IPS专用硬件平台ASIC+FPGA 架构高端口密度16 GE+12 10GEIPv6 保护IPSM8000/M6050是真正的电信级网络安全产品电信级高可靠性99.999%支持非对称路由模式Fail

5、-Open 技术HA 技术时延小于130us,March 1,2023,Title of presentation,6,McAfee IDC 网络安全方案优势,具有风险管理意识的入侵防护系统通过与Foundstone集成联动，具备风险感知能力具备Scan Now 功能虚拟IPS技术Vlan basedCIDR based单平台支持1000个虚拟IPS，支持增值业务的开展IPS 自学习功能可以学习网络业务模式基于虚拟IPS的DDoS防护技术可有效双向阻断非法流量,March 1,2023,Title of presentation,7,McAfee IDC 网络安全方案优势,部署方式非常灵活In

6、-Line模式部署旁路模式部署核心部署边缘部署无需改动现网结构简化运维、节约成本All in one 产品集高性能、高安全性、高端口密度于一体无需部署很多小盒子、负载均衡设备、更改网络路由进行流量清洗等保护用户网络投资降低运营成本,March 1,2023,Title of presentation,8,McAfee IDC 网络安全方案优势,电信级的 IPS设备能够阻挡已知和未知的安全威胁基于异常行为分析和特征码的防护引擎高效的 DoS/DDoS/SYN Flood 防护手段可对双向非法流量进行阻断集成主机隔离技术集成流量控制功能具有风险意识的入侵防护产品集成 ePO 可识别主机系统NSS

7、唯一获得 Multi-gigabit IPS 认证CC EAL Level 3 认证,SecurityCollaboration,InternalFirewall,Risk-AwareIPS,HostQuarantine,IntruShieldM-Series,March 1,2023,Title of presentation,9,部署模式：IDS 方式部署,用户托管区域,Internet,核心交换机,带外管理,互联网接入区域,数据中心核心区,2.5&3 G 业务区域,运维管理区域,空间租用区域,网管区域,Foundstone,Intrushield,Intrushield,Foundsto

8、ne,虚拟IDS功能监控各个子区域,March 1,2023,Title of presentation,10,部署模式：IPS方式部署,Internet,核心交换机,带外管理,互联网接入区域,数据中心核心区,网管区域,Foundstone,Intrushield,Intrushield,Foundstone,支持非对称路由模式；设备支持Fail-Open特性；,用户托管区域,2.5&3 G 业务区域,运维管理区域,空间租用区域,March 1,2023,Title of presentation,11,部署模式：IPS 区域部署,Internet,核心交换机,带外管理,互联网接入区域,数据中

9、心核心区,网管区域,Foundstone,Intrushield,Foundstone,IPS部署在用户主机区，单台设备可支持8条链路连接，设备支持HA部署模式,Intrushield,HA-Link,用户托管区域,2.5&3 G 业务区域,运维管理区域,空间租用区域,March 1,2023,Title of presentation,12,部署模式：IPS旁挂部署,用户托管区域,Internet,核心交换机,带外管理,互联网接入区域,数据中心核心区,2.5&3 G 业务区域,运维管理区域,空间租用区域,网管区域,Foundstone,Intrushield,Intrushield,Foun

10、dstone,March 1,2023,Title of presentation,13,虚拟环境下的IDC解决方案介绍,管理控制台,服务管理接口,Internet,Server Zone,Management Server,hypervisor,管理网,March 1,2023,Title of presentation,14,Host IPS for Servers,VirusScan Enterprise,EPO的全面整合，进行强大的监控与报告,反间谍软件,Linux病毒扫描企业版,离线虚拟镜像VSE版,EPO管理平台,基于 Server的入侵检测,病毒扫描企业版(VSE),March

11、1,2023,Title of presentation,15,方案优势：对虚拟化安全的广泛支持,ToPS 虚拟化套件ToPS 端点安全套件病毒扫描企业版(VSE)离线虚拟镜像VSE版反间谍软件企业版主机入侵防护SiteAdvisor 企业版网络准入控制ePolicy OrchestratorLinux 病毒扫描企业版 VirusScan 命令行扫描,网络安全平台漏洞管理器策略审计修复管理器邮件与WEB安全网关VMtrial*,*Leverages virtualization platform,March 1,2023,Title of presentation,16,McAfee IDC

12、整体安全解决方案总结,IDC安全方案中相关产品介绍IPS（防攻击/侵入网关）产品用在IDC网络出口，防止双向流量攻击，阻断黑客侵入SAV（防病毒软件）用于IDC网络的病毒防护HIPS（主机加固软件）用于主机系统安全加固(含主机防火墙）Foundstone（安全风险评估）扫描网络内部漏洞，提供风险分析和威胁趋势分析报告，提供按资产优先级的修补工单。ePO（公共管理软件）提供McAfee安全产品全面管理,March 1,2023,Title of presentation,17,McAfee IPS M-Series 技术参数,16-28 监控端口 8-12 10-GbE XFP 8-16 10/

13、100/1000 SFP 端口 10/100/1000 Base-T 管理端口 响应端口热插拔 SFP/XFP 模块 2个10-GbE HA配置端口支持冗余电源 支持异步路由模式HA会话实时同步,M-8000,M-6050,March 1,2023,Title of presentation,18,专门设计的架构 适用于投资保护,专为投资保护而设计的架构业界最先进的架构专为长时间产品生命周期而设计 考虑到持续的下一代增强连续提供高级保护抵抗当今威胁间谍软件，恶意程序,DoS,VoIP 和 加密攻击保护永不需要硬件升级下一代 DoS 和实时加密攻击防御内置Web客户端，间谍软件和VoIP保护等增

14、强的威胁防御措施IPS+内部防火墙集成,March 1,2023,Title of presentation,19,详细中文化的攻击说明信息,March 1,2023,Title of presentation,20,业界第一个具备风险识别功能的入侵防御方案,具备风险识别的入侵防御集中应对最有关联的告警和攻击，提供显著的运作效率允许导入和关联Foundstone风险评估信息实现优先级的风险管理，同时也支持开源漏洞扫描系统Nessus通过单一风险识别功能的入侵防御系统控制台，降低IT成本，并增加操作效率通过识别并阻挡带来最大威胁的攻击，实现最大化安全效果，并减少业务风险,March 1,2023

15、,Title of presentation,21,业界第一个具备风险识别功能的入侵防御方案,DMZ,Web/FTP,SMTP,Foundstone FS1000,允许客户集中精力在最有关联的告警&攻击导入和关联来自McAfee Foundstone的风险评估信息，或开源漏洞扫描系统Nessus的信息,风险识别的IPS,Linux Attack,DNS,Windows,导入&关联 Foundstone 扫描结果,Linux,IntruShield,INTERNET,Router,Router,Switch,IPS,March 1,2023,Title of presentation,22,业界

16、第一个具备风险识别功能的入侵防御方案,提供有关联,不可适用 或 未知等多个关联级别,March 1,2023,Title of presentation,23,McAfee IPS 失效开放和失效关闭,可以进行预配置，以实现失效开放和失效关闭内嵌于内部，用于快速以太网用于GE/10GE光纤连接的外部失效开放工具,March 1,2023,Title of presentation,24,McAfee IPS 高可用性,传感器通过所指定的监控端口之间的链路实现通信,March 1,2023,Title of presentation,25,McAfee IPS虚拟 IPS功能,现有的 IPS 技

17、术仅能支持单一的安全政策,结果造成许多的假警報,并迫使客户安装过多的安全传感器,Before,After,创新的虚拟 IPS 功能可以在单一传感器上针对不同网段使用不同安全策略,有效降低假警報以及部署成本,VLAN/CIDR/Interface based VIPS definition Up to 1,000 VIPS sensors per device Highly granular policy per VIPS,down to individual host/sub-net and attack,March 1,2023,Title of presentation,26,McAfee

18、 IPS的相关奖项,“IntruShield可谓是IPS中佼佼者,在效能与安全防护能力的严格评比下,以最高分获得了金牌奖项,还有整体的质量及完整的防护功能。IPS透过三种侦测技术来防御已知及未知攻击,它还保护加密型攻击的强大能力。”,“McAfees IPS的安装工作极为容易,管理操作接口也非常地友善,提供了丰富而详细的文件,具弱点式的攻击保护优易性能。整合主机型IPS的事件分析,同时还提供了通讯协议译码,加密型攻击防御以及虚拟IPS的进阶IPS安全保障”,“IPS4010已通过2Gbps的效能测试，其效能在各种负载测试几近完美，即使在超高流量下也能百分百地阻挡掉攻击。非常值得一提的是IPS4

19、010是NSS Lab测过最具稳固的架构，一般设备在处理大于该设备所能承载的流量时，大多面临瓶颈并且故障，但是IPS4010却可以正常工作。,March 1,2023,Title of presentation,27,成功案例-电信运营商IDC,国内典型用户河北联通IPS M-6050 5G(IDC Call Center)2008年8月至今运行稳定，防护效果良好国外典型用户T-Mobile29 台 IPS设备10 X M-8000(IDC)6 X M-6050(IDC)3 X I 4010(OA)10 X I 3000(OSS&BSS)2008年12月至今运行稳定，防护效果良好,成功案例-国际电信行业用户,