混合性网络安全威胁和深度安全抵御 [康亮].pdf

混合性网络安全威胁和深度安全抵御趋势一：网络边界的消失移动办公的普及90%以上的计算机会感染了间谍软件、广告软件、木马和病毒等恶意软件后果：重要数据丢失，机器被远程控制，病毒和蠕虫在内网恣意传播漏洞数漏洞数 x 系统数系统数=不可完成的任务不可完成的任务1995-2004年网络安全漏洞发现情况统计（CERT/CC）050010001500200025003000350040004500报告数171345311262417109024374129378426831995199619971998199920002001200220032004(Q1-Q3)趋势二：威胁和应用息息相关SQL Slammer案例：每8.5 秒感染范围就扩展一倍在10分钟内感染了全球90有漏洞的机器趋势三：威胁涌现和传播速度越来越快趋势四：越来越多的威胁变成利益驱动技术驱动isdomoney利益驱动某ICP受到DDoS攻击威胁 2005年11月1日英国人Devid Levi因为“网络钓鱼”被判刑4年利用ebay骗取$355,000 间谍软件/广告软件背后大量的利益空间趋势五：攻击变的越来越简单应用层威胁层出不穷混合性网络安全威胁蠕虫/病毒DoS/DDoS间谍软件网络钓鱼带宽滥用垃圾邮件蠕虫特点：利用系统设计漏洞主动感染传播红色代码(CodeRed)：MS01-033，微软索引服务器缓冲区溢出漏洞，TCP 80SQL SLAMMER：MS02-039，SQL服务器漏洞，UDP 1434冲击波(Blaster)MS03-026，RPC DCOM服务漏洞，TCP 135 139等等震荡波(Sasser)：MS04-011，LSASS本地安全认证子系统服务漏洞，TCP 445等ZotobMS05-39，windows PnP服务漏洞，TCP 445间谍软件定义：间谍软件驻留在计算机的系统中，收集有关用户操作习惯的信息，并将这些信息通过互联网悄无声息地发送给软件的发布者，由于这一过程是在用户不知情的情况下进行，因此具有此类双重功能的软件通常被称作SpyWare（间谍软件）。带宽滥用P2P什么是P2P？P2P，全称叫做Peer-to-Peer，即对等互联网络技术（点对点网络技术），它让用户可以直接连接到其它用户的计算机，进行文件共享与交换。P2P的典型应用BT、eMule、eDonkey、PoP文件共享传输IM即使通讯软件DDoS攻击受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸军团网络钓鱼钓鱼者钓鱼者Victim Web Server受害用户受害用户发送钓鱼邮件受害者点击钓鱼发送钓鱼邮件受害者点击钓鱼URL钓鱼网站被浏览受害者发送机密信息钓鱼网站被浏览受害者发送机密信息入侵主机，安装钓鱼网站和入侵主机，安装钓鱼网站和垃圾邮件箱垃圾邮件箱Mail Drop Service信息被发送到另外一个邮箱信息被发送到另外一个邮箱钓鱼者索取信息钓鱼者索取信息高级钓鱼话题利用XSS漏洞跨站脚本漏洞（Cross Site Script）允许在一个合法的站点上插入非法的脚本恶意的脚本在客户机上被执行，而这个客户机信任该站点客户机上的信息被恶意脚本获得，包括用户login的名字，cookie等等特别具有欺骗性，用户看到的界面是“合法的站点”，包括URL、数字证书等等，但是由于服务器的漏洞，导致客户机上机密信息被盗取Tomorrows NetworkTomorrows NetworkTraveling EmployeeDay ExtenderEmployee Using a Wireless HotspotEmployee PDA UserTraveling EmployeeDay ExtenderEmployee Using a Wireless HotspotEmployee PDA UserInternal UsersInternal UsersCustomer or Supplier Behind a FirewallCustomer or Supplier Behind a FirewallEmployee at a KioskEmployee at a KioskVoIP Users今天的网络问题和机会接入接入 移动办公移动办公 有线或者无线有线或者无线 便携机使网络边界消失便携机使网络边界消失 接入端点的安全接入端点的安全攻击攻击 无处不在的攻击无处不在的攻击 直接的或者间接的直接的或者间接的 道高一尺，魔高一丈道高一尺，魔高一丈痛苦痛苦 CIO CIO 无法解决这些需求无法解决这些需求 CFO CFO 无法承担不断升级的费用无法承担不断升级的费用 CEO CEO 无法承担网络中断带来的业务无法承担网络中断带来的业务中断的风险中断的风险需求需求应用级性能管理和可视性应用级性能管理和可视性需求需求广泛统一的接入控制和审计广泛统一的接入控制和审计需求需求主动持续的有效保障主动持续的有效保障应用应用 向IP基础设施融合向IP基础设施融合 关键应用和非关键应用抢夺带宽关键应用和非关键应用抢夺带宽 IM、P2P、VoIP将占据大量带宽IM、P2P、VoIP将占据大量带宽机会点机会点 CIO CIO 简单、自动简单、自动 CFO CFO 最佳性价比最佳性价比 CEO CEO 业务保障业务保障www.huawei-安全渗透网络网络的发展演变网络的发展演变Megabits10s of gigabits10s of mbps100s of mbpsGigabits安全发展演变安全发展演变包过滤软件防火墙包过滤软件防火墙路由器路由器ACLs以太网以太网HubsbridgeSwitchesHW RoutersMulti-layer SwitchesLoad balancers软件软件IPSIDSASIC硬件防火墙硬件防火墙安全渗透网络安全渗透网络网络本身内置安全机制，实现端到端的安全网络本身内置安全机制，实现端到端的安全SoftwareRouters连接平面连接平面L2 AccessSwitchesL3SwitchesL3 CoreSwitchesL2 AccessSwitchesL3SwitchesL3 CoreSwitches控制平面控制平面安全可控的网络安全可控的网络智能网络控制应用控制攻击控制接入控制智能网络控制智能网络控制安全可控网络的含义攻击控制攻击控制 攻击攻击 DDoSDDoS 漏洞：蠕虫、DoS漏洞：蠕虫、DoS 恶意代码：病毒、木马、后面恶意代码：病毒、木马、后面 异常操作识别和防护异常操作识别和防护 数据偷窃和毁坏数据偷窃和毁坏 基于策略的访问控制基于策略的访问控制攻击控制攻击控制 攻击攻击 DDoSDDoS 漏洞：蠕虫、DoS漏洞：蠕虫、DoS 恶意代码：病毒、木马、后面恶意代码：病毒、木马、后面 异常操作识别和防护异常操作识别和防护 数据偷窃和毁坏数据偷窃和毁坏 基于策略的访问控制基于策略的访问控制应用控制应用控制 自动业务识别和QoS控制:自动业务识别和QoS控制:关键业务:SAP,Oracle,Backup关键业务:SAP,Oracle,Backup实时业务:VoIP,Video实时业务:VoIP,Video最快传送：Web Browsing最快传送：Web Browsing低优先级:P2P低优先级:P2P 流量可视流量可视 应用性能监控和警告应用性能监控和警告应用控制应用控制 自动业务识别和QoS控制:自动业务识别和QoS控制:关键业务:SAP,Oracle,Backup关键业务:SAP,Oracle,Backup实时业务:VoIP,Video实时业务:VoIP,Video最快传送：Web Browsing最快传送：Web Browsing低优先级:P2P低优先级:P2P 流量可视流量可视 应用性能监控和警告应用性能监控和警告接入控制接入控制 基于网络的用户接入基于网络的用户接入 人:每个用户的访问认证和审计人:每个用户的访问认证和审计 物:接入设备的安全状态检查物:接入设备的安全状态检查 权:基于用户身份的资源授权权:基于用户身份的资源授权 免疫免疫 隔离感染的设备隔离感染的设备 自动客户端修复自动客户端修复 防火墙/VPN防火墙/VPN 身份管理身份管理接入控制接入控制 基于网络的用户接入基于网络的用户接入 人:每个用户的访问认证和审计人:每个用户的访问认证和审计 物:接入设备的安全状态检查物:接入设备的安全状态检查 权:基于用户身份的资源授权权:基于用户身份的资源授权 免疫免疫 隔离感染的设备隔离感染的设备 自动客户端修复自动客户端修复 防火墙/VPN防火墙/VPN 身份管理身份管理统一管理、配置、监控和集成统一管理、配置、监控和集成融合的IP网络融合的IP网络目前的进展-TSE 威胁抑制引擎基于特定NP+ASIC+FPGA的硬件解决方案支持10,000条平行过滤器微秒级的延时（150微秒）10 专利流状态表流状态表Multi-flow Analysis 基线基线 异常流量检测异常流量检测IP 碎片重组碎片重组TCP流重组流重组第七层的数据包流进行检查第七层的数据包流进行检查 并行处理并行处理 正则表达式匹配正则表达式匹配 协议解码协议解码流量整形流量整形数据流分类和标识数据流分类和标识数据包丢弃和重定向数据包丢弃和重定向报警和通知报警和通知标准化标准化n可编程过滤器可编程过滤器1 2 3BuildingBuildingL2L2接入层接入层交换机交换机L3分布层L3分布层交换机交换机BuildingBuilding核心核心ExtraExtranetnetInternetInternetDMZDMZ边界边界路由器路由器防火墙防火墙接入控制数据中心r数据中心r4 个检查要素4 个检查要素 设备 认证 健康情况 用户 认证 访问权限 部署简单 部署 审计BuildingBuildingL2L2接入层接入层交换机交换机L3分布层L3分布层交换机交换机BuildingBuilding核心核心ExtraExtranetnetInternetInternetDMZDMZ边界边界路由器路由器防火墙防火墙攻击控制数据中心r数据中心r 基于网络基于网络 在线部署在线部署 高精确度高精确度 实时实时 综合威胁抵御综合威胁抵御 自适应自适应 客户化客户化超过三年时间的财富100强部署历史超过三年时间的财富100强部署历史BuildingBuildingL2L2接入层接入层交换机交换机L3分布层L3分布层交换机交换机BuildingBuilding核心核心ExtraExtranetnetInternetInternetDMZDMZ边界边界路由器路由器防火墙防火墙应用控制数据中心r数据中心r QoS 限流限流 可视化和监控可视化和监控 审计和符合审计和符合 性能性能 丢包 延时 WAN 优化优化 压缩 TCP Window 管理 其他存在安全风险的空隙存在安全风险的空隙新的安全需求远远超过了新的安全需求远远超过了IT的能力的能力新的漏洞增加越来越快留给打补丁的时间越来越短移动设备带来的蠕虫,e-mail 攻击无赖式的应用“窃取”大量的IT资源传统的网终安全工具不能充分地应对当今的安全挑战传统的网终安全工具不能充分地应对当今的安全挑战网络周边的防火墙存在太多的漏洞（如 允许80端口）,而且不能放置于网络核心充分理解补丁几乎是一件不可能的事并不是所有的终端都在IT管理员的控制之下安全风险呈指距数级增长时间时间,业务的增长业务的增长安全需求安全需求IT Security CapacityIT 的安全支持能力的安全支持能力安全渗透网络填补安全风险空隙提高网络性能实现系统正常运行时间最大化免除紧急的补丁安装即插即用的操作方式不需要参数的调谐安全需求安全需求确保业务连续性，同时降低安全操作费用确保业务连续性，同时降低安全操作费用运行时间性能不需在紧急的漏洞修复即插即用运行时间性能不需在紧急的漏洞修复即插即用IT Security CapacityIT 的安全支持能力的安全支持能力时间时间,业务的增长业务的增长华为华为3Com技术有限公司技术有限公司www.huawei-