1、构建新一代的网络安全系统,友 讯 网 络(,D-Link),公司简介,传统防火墙,/,网络架构面临的挑战,D-Link,新一代信息安全网络整体解决方案,D-Link,网络安全产品新纪元,成功案例分析,结语,摘 要,友讯,网络公司(,D-Link),友讯公司(,D-Link)1986,年成立,93年进入大陆市场,是世界知名的5大网络品牌之一,国,际,领先的网络互联设备及解决方案提供商,涵盖了局域网(,LAN)、,广域网(,WAN)、,无线(,Wireless)、,宽带(,Broadband),等领域,2003年首先在二层交换机上实现安全理念,实现在二层交换机对病毒的防御,2004年率先在国
2、内推出新一代的网络安全产品,IPS,,实现对网络的安全主动双向的保护,2005年把最新的支持对信息管理和控制的安全网关及防火墙引进到大陆,构建新一代的智能联防安全系统,公司的背景,分布全世界的运营据点,英国,Austria,Benelux,Czech,Denmark,Finland,France,德国,Greece,Hungary,Italy,Norway,Poland,Portugal,Spain,瑞典,Switzerland,中国,台湾,日本,澳大利亚,New Zealand,新加坡,Thailand,Malaysia,俄罗斯,Belarus,Kazakstan,Ukraine,Lithu
3、ania,Turkey,美国,加拿大,Argentina,巴西,智利,Columbia,Ecuador,Peru,埃及,印度,Iran,Israel,Morocco,Pakistan,Saudi Arabia,南非,U.A.E.,90,个国家,和地区,100,多个据点,消费性网络产品,世界第一,D-Link,市占率,-2,5,%,遥遥领先,公司简介,传统防火墙,/,网络架构面临的挑战,D-Link,新一代信息安全网络整体解决方案,D-Link,网络安全产品新纪元,成功案例分析,结语,摘 要,传统防火墙/网络架构面临的挑战,传统的,IDS+FW,的网络结构先天就存在不足,无法满足网络安全的需要,
4、网络安全的发展已经要求对出入网络的信息和应用进行有效的管理和监控,实现对内对外的双重防护已经是网络发展的趋势,实现,FW/LAN Switch,的联动防护是实现网络系统全面安全的基础,深度准确的数据检测分析、详细的数据记录及报表分析是,FW/IPS,的主要功能体现,Firewal,l,IDS,IDS/IDP,AntiVirus,AntiVirus,Host based IDS,IDS,只起到自动检测功能,无法主动防御,IDS,和,FW,之间的配合要接受兼容性的考验,大多数只对外检测防御,无法对内部网络进行有效的监测,DMZ Server Farm,Edge Switches,IDS+FW,的先
5、天不足,传统防火墙/网络架构面临的挑战,Firewall,L A N,D M Z,W A N,Web Surfing,IM:MSN,QQ,P2P:BT,Skype,Spyware,Trojan,Port:80,H,T,T,P,1、,HTTP port:80,流量在大多数的环境下,防火墙的规则会被设定成允许。但是在这个部分的流量当中,其实还会隐藏许多防火墙看不到的应用程序。,2、,有一些,FW,如果起用对数据流的7层检测将会使得其性能下降,影响其正常的工作,3、IM/P2P,程序已经成为企业同事之间不可或缺的一种信息交换程序,但传统的防火墙对这些应用程序目前是无法管理的。,传统防火墙/网络架构面
6、临的挑战,Firewall,当网络内移动用户感染病毒,/,蠕虫,,,传统网络安全架构无法有效扼阻病毒,/,蠕虫传播,要求实现对内对外的双向监测,通过防火墙和交换机的联动实现对内部网络安全的保护,L3 Core Switch,Server Farm,传统防火墙/网络架构面临的挑战,移动用户感染病毒,公司简介,传统防火墙,/,网络架构面临的挑战,D-Link,新一代信息安全网络整体解决方案,D-Link,网络安全产品新纪元,成功案例分析,结语,摘 要,AntiVirus,AntiVirus,DMZ Server Farm,智能交换机实现安全联动,D-Link,新一代信息安全网络整体解决方案,组网模
7、式,IPS,实现主动检测防御,信息安全网关,新一代,FW,IPS,实现主动对信息流检测及对攻击自动防御,信息安全网关实现对内部等应用程序的有效管理,新一代防火墙和智能交换机联防实现对内网的安全管理,D-Link,新一代信息安全网络整体解决方案,IPS,实现主动防御,DeMaster,网络架构图,Internet,Router,DeMaster,Firewall,PolicyServer,Server,Workstation,FTP Server,WEB Server,主动,式,入侵检测防御系统,(,Intrusion Detection and Prevention System),IPS,具
8、有下列防御模块,只记录所有攻击事件不采取防御措施,记录所有攻击事件并发送警告给管理员,记录所有攻击事件并且采取丢包与断联机,以防止攻击事件的持续进行,特点:主动防御实施丢包与断联机,D-Link,新一代信息安全网络整体解决方案,IPS,实现主动防御,实时有效的防护各种网络攻击,防止,单位网络被入侵等行为,自动阻挡网络入侵行为,自动阻挡分布式拒绝服务攻击,自动拦阻网络病毒,防止内网被植入木马程序或是后门程序,检查过滤内部或外部人员使用,Software Tunnel,如,SoftEther,来突破防火墙封锁,防止员工利用,WebMail,/,WebPosting,将机密资料利用网络外传,特点:双
9、向防御功能,保护网络,D-Link,新一代信息安全网络整体解决方案,IPS,实现主动防御,D-Link,新一代信息安全网络整体解决方案,IPS,实现主动防御,特点:网络第七层的防御,特征数据库内建1,679条侦测防御政策,Misuse detection:1638 Anomaly detection:41,可侦测并防御之网络行为有:,DDOS,类的攻击74,BufferOverflow,类的攻击245,AccessControlS,类的攻击450,Scan,类的攻击99,Trojan Horse,类的攻击74,Misc,类的攻击128,P2P,类的攻击28,IM(Instant Messeng
10、er),类的攻击48,Virus/Worm,类的攻击408,Porn,类的攻击25,Web Attacks,类的攻击96,SPAM,类的攻击4,D-Link,新一代信息安全网络整体解决方案,IPS,实现主动防御,特点:,网络安全的实时监控,中文化,UI,报表界面,报表系统具有亲和力,提供实时监视画面,特点:提供实时有效报表,D-Link,新一代信息安全网络整体解决方案,IPS,实现主动防御,DeMaster,产品系列荣获英国,NSS,检测通过,NSS,是入侵防御系统的最高认证机构,就像是防火墙的,ICSA,认证一样,Firewall,L A N,D M Z,W A N,Web Surfing,
11、IM:MSN,ICQ,P2P:,EzPeer,Skype,Spyware,Trojan,Port:80,P2P,IM,Trojan,Web,HTTP,在防火墙内部建置一台价格便宜,而且可以进行信息内容管理的设备,此外这台设备具备第七层的信息内容检查的能力,可以与所有的网关或是防火墙搭配,节省客户的采购支出,D-Links S o l u t i o n,New Security Appliance:,“Information Security Gateway”,DFL-M510,S o l u t i o n,在防火墙上激活第七层的内容检查能力:,客户现有的网关设备将无法继续使用,导致防火墙效
12、能严重的低落,Web Surfing,D-Link,新一代信息安全网络整体解决方案,信息安全网关实现对内管理,RD Team,Financial Division,Sales Division,客户可以根据内部的安全策,略,来禁止,(,Deny)/,允许,(,Allow),这些无法被管理的,IM/P2P,程序,D-Link,的信息内容管理设备还要能针对不同的部门或是不同的程序行为,(,包括文字交谈,/,档案传输,/,视讯会议,),进行管理。,针对主机名称,/,网络群组,/,整个子网络,/,单一的网络地址,以达到全面完整与广泛性的控管,Security Policy,IM,P2P,MSN,Yah
13、oo,eDonkey,ICQ,Bearshare,Skype,Switch,Firewall,Pattern Matching,Subnet 1,Subnet 2,Subnet 3,特点,:,IM/P2P,程序按需求进行细化管理,D-Link,新一代信息安全网络整体解决方案,信息安全网关实现对内管理,RD Team,Financial Division,Sales Division,10.1.2.66,Send Files,MSN,Chat,White Board,Receive File,实时且人性化的报表,/,统计画面,可以让网管人员立刻了解不同类别程序目前网络流量使用的状况,藉由右方的饼
14、图可以看出:根据流量最大前十名应用程序,/,根据流量最大的前十名使用者。,特点,:,实时且人性化的报表,界,面,D-Link,新一代信息安全网络整体解决方案,信息安全网关实现对内管理,DMZ,Subnet A,主动式网络安全联动防御系统,WAN,Subnet B,Subnet C,Firewall,Infected Host,当有任何受感染的计算机试图以恶意的流量扩散到内部网络当中,独立的,IDS/IDP,设备或是防毒网关,虽然可以阻挡这些恶意的流量,但是却无法有效避免内部计算机之间的交互感染,最有效的方式是:防火墙可以联动,D-Link,接,入,端的交换机进行防御,针对恶意的来源主机进行封锁
15、与阻挡,避免内部网络瘫痪。,Set ACL to block specific,MAC or IP address,新一代防火墙已经具备与,D-Link,交换机联动的功能,以提供主动式网络安全防御系统,DES-3226S,DES-3250TG,DES-3326S/SR,(DHS-3226/3218),DES-3350SR,DES-3500 series,(DHS-3626),xStack,series,D-Link,新一代信息安全网络整体解决方案,防火墙和交换机联动,整合性多功能防火墙,DFL-800/1600/2500,卖点介绍,n,两个,WAN,端口,以上设计,,每个端口可自行定义,(,W
16、AN/LAN/DMZ configurable),设计,n,高端口数设计,并支持千兆,(,Gigabit),接口,n,支持,802.1,Q VLAN,以及,OSPF,动态路由协议,n,支持,120/320/600,Mbps Firewall Throughput,n,支持,50/120/210,Mbps,IPSec,VPN Throughput,n,整合,WAN,线路,Outbound,负载均衡,线路备援,服务器负载均衡,(,Server Load Balance),n,整合入侵侦测,/,入侵防御系统,(,IDS/IDP),功能,n,支持带宽管理功能,(,QoS,by,端口号,/,单一,IP/
17、多个,IP/,网段,Subnet,带宽动态互借,),n,支持,HA(High Availability),硬件容错备援架构,n,支持,D-Link Zone Defense,TM,功能,搭配,D-Link,交换机构建连动式防御网络安全架构,D-Link,新一代信息安全网络整体解决方案,防火墙和交换机联动,公司简介,传统防火墙,/,网络架构面临的挑战,D-Link,新一代信息安全网络整体解决方案,D-Link,网络安全产品新纪元,成功案例分析,结语,摘 要,信息安全网关,整合性多功能防火墙,IPS,产品,DFL-M510,DFL-800 DFL-1600 DFL-2500,全系列信息安全产品线
18、D-Link,网络安全产品新纪元,DeMaster3000,系列(百兆接口),DeMaster5000,(,千兆接口),公司简介,传统防火墙,/,网络架构面临的挑战,D-Link,新一代信息安全网络整体解决方案,D-Link,网络安全产品新纪元,成功案例分析,结语,摘 要,北京市教育信息网应用案例,Intranet,有大约16000台,PC,Intranet,用户在工作时间大量的使用,P2P,下载工具,占用出口网络带宽降低网络的可用性,时常发生内网用户发动,DDoS,攻击外网的情况,外网黑客时常对内网发动各种攻击,无法有效遏制,Worm,对网络的影响,垃圾邮件泛滥,传统安全设备的局限性,现在
19、的,P2P,工具(,BT、Emule,),的工作端口具有自适应功能,防火墙的端口封锁功能已经不能满足新的要求,当内网发动,DDoS,攻击时,对防火墙的处理能力造成很大的冲击,对一些,DDoS,攻击无法进行有效识别,黑客的攻击手法与技巧也层出不穷,对有些攻击方式防火墙也无能为力,传统安全设备对垃圾邮件的泛滥无能为力,网络出口带宽的利用率一直在140,M,左右,居高不下,影响用户对网络的有效使用,采用,DM5005,后对网络的改善,设置时程,使,P2P,程序只能在下班时间才可使用,有效防范,DDoS,及,Worm,等攻击,双向数据检测,使外网黑客无法与内网傀儡主机建立连接,有效抑制黑客攻击的各种手
20、段,在网络出口处出过滤掉大量无用数据,有效保证了网络带宽,安装后网络出口带宽控制在110,M,左右,D-Link,安全产品用户列表:,北京教委,珠海电信,郑州通信,温州电信,福建省莆田市土地局,山东烟草进出口公司,深圳烟草进出口公司,辽宁烟草进出口公司,福建烟草进出口公司,新疆烟草进出口公司,吉林烟草进出口公司等,公司简介,传统防火墙,/,网络架构面临的挑战,D-Link,新一代信息安全网络整体解决方案,D-Link,网络安全产品新纪元,成功案例分析,结语,摘 要,结语,新的,Peer-to-Peer,应用冲击传统网络安全架构并突显信息内容管理的重要性,单点的防护方式已不能完全解决日益严重的网络攻击,单点被动,区域联动防御,新一代网络安全架构除了整合多功能防火墙,但要克服传统集中式网络安全管理的盲点,唯有建立主动性联防机制,才能更有效防止日新月异的网络威胁,信息安全除有赖于安全的网络架构,计算机防毒,人员训练和资安政策的落实亦是重要的课题,谢谢大家,祝工作愉快!,






