绿盟产品介绍(简)PPT学习课件.ppt

1、 2007 绿盟科技绿盟科技安全产品介绍绿盟科技安全产品介绍赵志勋（广州分公司技术部)2008/411公司简介公司简介2产品服务概览产品服务概览3入侵检测保护系统介绍入侵检测保护系统介绍4安全审计系统介绍安全审计系统介绍5WEB应用防火墙介绍应用防火墙介绍6安全网关介绍安全网关介绍8安全终端管理系统介绍安全终端管理系统介绍9黑洞抗拒绝攻击系统介绍黑洞抗拒绝攻击系统介绍10网络异常流量分析系统介绍网络异常流量分析系统介绍11安全配置核查系统介绍安全配置核查系统介绍7远程安全评估系统介绍远程安全评估系统介绍2绿盟科技介绍3绿盟科技是国内最早从事网络安全业务的企业之一，成立于2000年4月，现有员工

2、超过570人。总部位于北京，在全国设有7个分公司，近30个分支机构，为客户提供及时、有效的本地化服务。组织结构每年复合增长超过50%，远高于行业和同行增长率。业绩增长公司概况ISO27001认证英国西海岸实验室认证国家二级安全服务资质CVE认证证书国家一级应急处理服务资质EAL3认证多项顶级资质08移动运营商最佳移动运营商最佳安全服务奖安全服务奖 北京奥运信息安全保障双冠王国家级应急服务支撑单位全国信息安全标全国信息安全标委会工作组成员委会工作组成员 08电力行业优秀解决方案奖03-08年最佳安全服务品牌NIPS入选国家级863火炬计划多项卓越荣耀行业客户电信银行政府机关电力n 中国人民银行1

3、2省采用绿盟科技产品n 中国农业银行6省采用了绿盟科技产品n 电力行业中，绿盟科技的产品已在7个省得到了应用n 中国电信/网通总部和10个省采用了绿盟科技的产品和服务n 中国移动/联通总部和14省采用了绿盟科技的产品和服务行业客户证券新闻企业网站n 银河证券、广东电视台等用户连续六年与绿盟续签安全服务n 诸多国内外知名企业、网站选择绿盟科技安全解决方案与服务 产品服务概览9绿盟科技安全产品极光 远程安全评估系统 AURORA Remote Security Assessment System冰之眼 网络入侵 检测/防护 系统ICEYE Network Intrusion Detection/P

4、revention System冰之眼 安全审计/内容管理 系统ICEYE Security Audit/Content Management System冰之眼 安全网关ICEYE Security Gateway（FW/UTM）冰之眼 WEB应用防火墙ICEYE Web Application Firewall黑洞 抗拒绝服务攻击系统COLLAPSAR Anti-DoS System黑洞 网络流量分析系统NTA Network Traffic Analysis System矩阵 终端安全管理系统MATRIXPOINT Endpoint Security System绿盟专业安全服务概览11

5、安全咨询服务安全咨询服务SCS风险评估风险评估网络安全评估系统安全评估数据库安全评估应用安全评估渗透测试代码审计安全策略流程审计合规咨询合规咨询等级保护咨询SOX 缺陷修补体系设计体系设计安全域划分与安全策略ISMS 建设认证辅导认证辅导ISO 27001 认证辅导可管理安全服务可管理安全服务 MSS预警预警 Alert防护防护 Protect监控监控 Monitor响应响应 Response事件管理事件管理(EM)Tend安全事件通告应急预案制定与演练行业安全事件监控紧急事件响应处理现场值守特别支持脆弱性管理脆弱性管理(VM)Tend安全漏洞通告全面漏洞评估安全加固补丁管理委托扫描新兴安全漏

6、洞研究威胁管理威胁管理(TM)Tend安全威胁通告安全策略调整异常流量监控与分析安全监控新兴攻击技术研究合规管理合规管理(CM)Tend合规基线咨询报表分析日志智能分析产品安装务务产品安装务务 PDS产品安装服务产品培训服务产品服务包产品服务包X-TendDoS 照料照料DDoS TendDDoS 预警服务全面策略调整服务 异常流量监控与分析服务 紧急事件响应处理服务 DDoS 技术研讨安全基线咨询服务 日志智能分析服务 现场值守特别支持服务 新兴攻击技术研究服务 入侵保护入侵保护IP Tend威胁通告服务 安全策略调整服务 委托安全监控服务 紧急事件响应处理服务 威胁技术研讨委托日志分析服务

7、 现场值守特别支持服务 新兴攻击技术研究服务 漏洞管理漏洞管理VM Tend漏洞通告服务 全面漏洞评估服务 委托扫描服务 紧急事件响应处理服务 漏洞技术研讨补丁管理服务 委托报表分析服务 新兴安全漏洞研究服务 安全加固服务 客户端照料客户端照料Client Tend漏洞通告服务 安全基线咨询服务 委托日志分析服务 紧急事件响应处理服务威胁通告服务客户支持服务客户支持服务 CSS技术咨询软件支持硬件支持产品通告产品巡检软件模块升级软件版本升级硬件型号升级快递上门先行替换培训服务培训服务 TS初级培训中级培训高级培训定制培训11入侵检测保护系统介绍12绿盟科技入侵保护解决方案绿盟科技“冰之眼”网络

8、入侵保护系统ICEYE NIPS（Intrusion Prevention System）虚拟补丁-预先、自动拦截黑客攻击，使攻击无法造成损失 流量净化-过滤恶意流量和垃圾流量，为网络加速 行为管理-实现面向应用层的网络数据内容安全防护 新一代的入侵保护系统新一代的入侵保护系统三大亮点三大亮点13领先的漏洞预警能力“Microsoft thanks NSFocus for reporting this issue to us and working with us to protect customers“-微软公司感谢绿盟科技与我们并肩工作,共同保护用户的网络安全绿盟科技深入的漏洞挖掘能力，

9、提供了远超一般安全厂商的“漏洞预警能力”，与一般厂商的“威胁预警能力”相比较，领先一步漏洞预警漏洞预警14案例：MS-06-040l微软发布安全公告NsfocusNsfocus进进行行漏漏洞洞分析分析“魔波魔波”蠕虫出现蠕虫出现蠕虫爆发！蠕虫爆发！8月8日8月9日-11日8月11日下午8月12日通知漏洞lnetapi漏洞发布l微软发布KB921883漏洞分析结果用于l扫描器插件更新l入侵检测系统规则更新蠕虫进入”孵化期”l成都分公司反映成都电信ADSL用户出现断网现象蠕虫进入高发期l全国陆续出现ADSL用户大面积断网报告lCERT确认为蠕虫爆发Rating Definition：Critica

10、lA vulnerability whose exploitation could allow the propagation of an Internet worm without user action.15基于对象的虚拟系统提供基于对象的虚拟系统 可以针对不同的网络环境和安全需求，不同部门和网端需求,制定不同的规则和响应方式，实现面向不同对象、实现不同策略的智能化入侵检测虚拟系统（虚拟系统（VIDS）16失效开放Fail-open当出现以下情况时自动切换到直通状态，避免单点故障：软件故障硬件故障电源故障Fail-open17三种部署模式单级部署单级部署主辅部署主辅部署多级部署多级部署13

11、218市场排名19安全审计系统介绍20面临的主要问题内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全；企业重要业务数据库，被员工或系统维护人员篡改牟利、外泄，给企业造成巨大的经济损失；员工随意通过网站访问、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生；员工在论坛发表敏感信息、传播非法言论，造成恶劣社会影响；21面临的主要问题等级保护要求 国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计。萨班斯法案 在美国上市公司必须遵循的“萨班斯(SOX)法案”中

12、要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计。公安部82号令 明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件。22绿盟科技安全审计解决之道冰之眼安全审计系统冰之眼安全审计系统ICEYE SAS（Security Audit System）23产品功能内容审计 提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。内容审计类型内容审计类型 网站访问邮件（SMTP、POP3、WEBMAIL）论坛文件上传下载(HTTP、IM等）远程终端访问（TELNET、FTP等）数据库访问（ORAC

13、LE、SQL Server等）文件共享（NETBIOS)即时通讯（IM）.24产品功能行为审计 根据设定行为审计策略，对网络应用行为进行监测，对符合行为策略的事件实时告警并记录。行为审计类型行为审计类型 网站访问远程终端访问（TELNET、FTP等）数据库访问（ORACLE、SQL Server等）文件上传下载(HTTP、IM等）邮件（SMTP、POP3、WEBMAIL等）论坛即时通讯（IM)P2P下载在线视频网络游戏.25产品功能流量审计 提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。流量审计类型流量审计类型 HTTP

14、SMTPPOP3WEBMAILP2PIM.26基于对象的虚拟审计系统基于对象的策略管理系统 针对不同的网络环境和安全需求，制定不同的规则和响应方式，实现面向不同业务应用、不同部门职能、不同策略的智能化安全审计 虚拟审计系统虚拟审计系统（VAS）27三种管理模式28WEB应用防火墙介绍29CNCERT/CC：2007 年上半年，国内被篡改网站总数达到28367 个，比去年全年增加了近16%。网页篡改2007年4月至5月，国内某著名游戏商遭受分布式拒绝服务攻击，初步估算其经济损失达到3500万元人民币。（Source:CNCERTCC2007年上半年网络安全工作报告）DDoS攻击SANS Top-

15、20 Internet Security Attack Targets中，Web Applications的安全漏洞名列前茅。Web应用安全漏洞Web应用安全现状30降低重要无形资产损失风险（e.g.声誉、政治影响）政府/企业网站减少损失、降低安全风险（e.g.交易量下降、广告损失、品牌损失、网站恢复的代价）互联网企业保证业务可用性，增强与高ARPU值的大客户的粘度Web应用防护可作为一种增值服务，给IDC带来了新的利益增长点，也增强了其行业竞争能力IDCWeb应用防护ROI分析31传统的防火墙作为访问控制设备，主要基于IP报文进行检测。检测机制机制难以以满足足应用用层防防护需求需求某些防火墙

16、，具备一定程度的应用层防御能力，局限于最初产品的定位以及对Web应用攻击的研究深度不够，只能提供有限的Web应用防护，难以解决当前众多的Web应用安全问题。Web应用攻用攻击研究深度不研究深度不够传统防火墙力不从心32产品特性33先进的多层防护体系，针对不同种类的Web应用攻击采用不同的算法（例如特征检测、行为模式分析等）进行识别对于不符合RFC标准的畸形包，采用协议异常检测技术，进行识别和过滤基于关联分析技术，识别各类变形或混合类Web应用攻击核心检测技术蠕虫、黑客攻击、SQL注入、跨站脚本、网页盗链网页篡改（通过对SQL注入的有效防护，进行事前防御）防护类型主动响应（丢弃数据包、丢弃连接会

17、话）被动响应（TCP Killer、安全中心显示、日志数据库记录、snmp trap）攻击响应深度Web应用防护34细粒度DDoS攻击防护SYN Flood、UDP Flood、ICMP Flood、HTTP Get Flood常见DDoS攻击防护基于智能关联分析技术对CC攻击进行检测、防护CC防护针对传奇游戏的攻击防护，如常见的假人攻击、创建帐号攻击、数据库攻击等网游防护35工作模式旁路监听目的：接入网络前学习网络环境、了解攻击特征在线部署36安全网关介绍37传统安全网关问题性能1000Mbps二层转发OSI分层100MbpsIPS入侵保护15MbpsHttp病毒17Mbps垃圾邮件20Mb

18、ps内容审计网络层应用层数据链路层800MbpsNAT转换200MbpsIPSEC VPN典型传统安全网关性能数据二层可以做到线速转发应用层性能快速下降38硬件级别的ASIC逻辑和NP引擎微码很难实现复杂的应用协议处理，只能对部分算法进行加速；当今主流的ASIC、NP构架，都有一颗x86 CPU应用层的安全防护基本是由X86 CPU来实现，依旧延续了传统x86体系安全网关的性能不足问题操作系统安全应用I/OX86CPURAMASIC/NPASIC/NP不适合七层应用处理ASIC/NP安全网关硬件构架39多核平台硬件构架多核CPU双Flash存储内存L2缓存芯片控制器高性能27层协议处理高速无阻

19、塞通道I/O模块I/O模块I/O模块I/O模块转发芯片多千兆并行数据转发40多层检测引擎协同检测多层检测引擎BT限流病毒处理非法URL过滤基本访问控制文件传输控制QQ拦截SI 状态检测技术NIPR 智能协议识别NICR 智能内容识别41内置抗DDoS黑洞模块反欺骗协议栈行为模式分析特定应用防护用户行为模式分析动态指纹识别带宽控制Dos 攻击正常流量2002年，中国第一家专业抗DDoS设备；业内著名的NSForce team小组跟踪DDoS攻击最新动态；截至2007年底，保护着500Gbps的现网容量；42内置专业防病毒引擎冰之眼安全网关卡巴斯基（Kaspersky）防病毒库强强联合：专业网关厂

20、商专业病毒厂商性能优异，能够查杀多达35万余种病毒病毒库全球同步更新43SSL+IPSEC双VPN系统l多VPN合一，节省投资；l实现不同VPN系统的过渡；l充分利用不同VPN优势；IPSEC性能高，网关接入；SSL 灵活性较高，移动客户端接入44SG典型应用角色综述家属区企业网络中心冰之眼SG冰之眼SG冰之眼SG冰之眼SGISP1ISP2办公区生产区远程SSL VPN客户端远程IPSEC VPN客户端角色1：防火墙+入侵保护角色2：VPN网关角色3：病毒网关角色4：上网行为管理角色5：邮件网关角色6：异常流量管理冰之眼SG在某大型企业典型部署45远程安全评估系统介绍46漏洞造成的严重损失病毒

21、事件WORM 非授权访问敏感信息窃取拒绝服务攻击渗透测试来源：CSI/FBI 2006调查报告47需要进行“未雨绸缪”的漏洞管理操作系统和应用漏洞能够直接威胁数据的完整性和机密性。流行蠕虫的传播通常也依赖与严重的安全漏洞。黑客的主动攻击往往离不开对漏洞的利用。99%of security breaches target known vulnerabilities for which there are existing countermeasures.CERT Coordination Center 事实证明，99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。信息系统越庞大，越需要

22、对网络和系统中的漏洞进行有效管理。信息系统越庞大，越需要对网络和系统中的漏洞进行有效管理。48首款硬件化安全评估产品，第一时间主动诊断安全漏洞并提供专业防护建议。依托专业的NSFOCUS Security Team，综合运用NSIP(NSFOCUS Intelligent Profile)等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞；针对网络资产的安全漏洞进行详细分析，并采用权威的风险评估模型将风险量化，给出专业的解决方案；提供Open VM(Open Vulnerability Management)工作流程平台，形成有效的漏洞管理体系。漏洞管理系统Vulnerabili

23、ty Management System漏洞评估系统Vulnerability Assessment System漏洞扫描器Vulnerability Scanner 49与通常的软件扫描器相比，极光承载的硬件嵌入系统平台经过特别优化结合高效扫描引擎，扫描最高速度 5 IP/分钟加载全部规则、扫描同一目标系统，扫描速度为常见扫描产品3-5倍，同时误报率低于5%最大允许并发扫描50个IP地址独立硬件设备50多角度、细粒度的统计报表，从多个视角深刻反映网络的整体安全状况，对漏洞分布、危害、漏洞TOP10、主机信息等进行了统计分析51实现流程化的漏洞管理“五个”过程漏洞预警：获得权威漏洞信息漏洞检测

24、：检测资产存在的漏洞风险分析：准确定位风险漏洞修复：补丁系统联动漏洞审计：确认漏洞风险“三个”思想流程化自动化开放性漏洞修复漏洞修复漏洞审计漏洞审计风险分析风险分析漏洞预警漏洞预警漏洞检测漏洞检测漏洞管理52部署模式独立部署网络较为集中部署一台极光设备分权管理和使用多级分布多级分布独立部署独立部署多级分布多级网络结构本地扫描数据汇总、集中管理不增添新的安全隐患53终端安全管理系统介绍54用户挑战补丁与病毒更新不及时非法外联难以控制、数据泄密攻击方法多样，内网安全难以防范移动设备接入网络无法管理软硬件资产滥用，资产安全无法保障各种内网安全问题各种内网安全问题各种内网安全问题各种内网安全问题 数据

25、泄密数据泄密应用软件滥用应用软件滥用内部网络面临各种安全威胁移动接入移动接入越权访问越权访问补丁与病毒更新补丁与病毒更新非法外联非法外联商业影响安全威胁的风险增加生产力降低helpdesk 费用增加黑客攻击黑客攻击蠕虫病毒蠕虫病毒55安全体系的缺陷防火墙入侵检测垃圾邮件网关漏洞扫描防病毒软件？安全体系缺陷失衡外网安全 内网安全 56完善安全体系防火墙入侵检测垃圾邮件网关漏洞扫描虚拟专用网防病毒软件网络准入控制终端保护补丁分发资产管理应用监控平衡完善安全体系内网安全外网安全57产品功能58安全策略保护模型自动发现所有网络接入行为多种发现机制：子网代理发现、网络交换发现循环扫描系统是否遵守策略基于

26、主机、交换机访问控制强制补丁自动升级病毒库自动升级集中安全策略管理丰富策略模板定义59黑洞抗拒绝攻击系统介绍60感染主机数的国家排名在2006年上半年，中国拥有全球最多的僵尸主机612007国内DDoS实例被攻击用户被攻击用户流量大小及影响流量大小及影响某运营商国家骨干网1020G南方某市电信城域网/IDC56G西南某市电信城域网/IDC8G华东某省电信骨干网10G某市移动骨干网900M国内知名搜索引擎搜索业务瘫痪30分钟全球知名门户中国网站1-2G国内知名门户网站IM业务1G某知名域名服务商2G62AntiDDoS防护需求抗拒绝服务系统的需求抗拒绝服务系统的需求透明性透明：借助运营商安全接入

27、服务实现安全防护实时：发生DDoS后立即启动防护，减缓攻击易用：防护系统能够简单、便捷完成防护过程实时性易用性63可防护各类基于网络层、传输层及应用层的拒绝服务攻击，如SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽等常见的攻击行为；借助内嵌的“智能多层识别净化矩阵”，实现基于行为异常的攻击检测和过滤机制，而不依赖于传统的规则库匹配等方式；提供完备的流量检测、网络监控、设备管理、报表生成功能；支持灵活的部署方式，适用于多种复杂的网络环境；通过方案设计，可以组成具备海量攻

28、击防御能力的系统。抗拒绝服务系统(ADS)p黑洞抗拒绝服务攻击系统型号丰富，既有面向中小企业用户开发的“攻击检测、攻击防御和监控管理”一体化产品，也可以提供适合运营商、IDC、大型企业用户应用需求的产品套件综合解决方案。6465多路由协议支持，灵活部署灵活的流量牵引、回注技术（GRE、VRF）未来无限扩展流量牵引旁路方式透明串联接入方式灵活选择由简至繁多环境适应多类型设备配合骨干及城域网核心数据中心及大型ICP电子商务、金融和政企网站IDC内部客户及中小ICP简单透明接入应用针对性防护全类型网络适应能力Internet攻击检测攻击告警分流流量BGP通告正常流量流量注入黑洞 Probe检测设备D

29、efender标准黑洞群：20G10G黑洞子群Defender4003Defender400020G出口10G链路千兆链路千兆管理链路66网络异常流量分析系统介绍67专网用户关注专网用户关注运营商关注运营商关注网络层网络层DDoSP2P下载下载蠕虫传播蠕虫传播应用层应用层DDoS用户自定义用户自定义控制层攻击控制层攻击二层攻击二层攻击异常流量分类68异常流量分析系统(NTA)先进的基线生成算法 NTA系统采用了两种不同的基线算法，一种是周期性基线，用来检验其变化趋势中明显带有周期性的流量指；另一种是移动窗口基线，用来检测非周期变化的流量指标。丰富的异常检测算法 NTA系统提供了多达17大类50

30、余种检测指标，每一种检测指标都对应一种检测算法，能够全部覆盖骨干网上的各种异常流量的检测。利用这些检测算法，能够被准确检测到的网络异常流量包括以下大类包括：DDoS攻击,蠕虫事件,网络误用,流量超常,协议比例异常,流量分布异常,P2P流量灵活高效的检测 NTA系统的计算引擎采用框架加插件模式，这样就在结构上保证了系统的灵活性和高效性。在应用中，每一种或几种检测算法都对应一种插件，用户可根据自身的网络特征和业务特征加载最适当插件，另外，为方便不同类型的典型用户群，系统也提供一些预设的插件模板。强大的处理性能 NTA系统在设计时选用高性能硬件平台，同时优化计算引擎的底层算法，从而使得流量分析系统的

31、处理性能最高可以达到每秒处理8万条流记录（flow）的能力，能够完全满足电信级骨干网的流量分析要求。69流量分析产品的部署70安全配置核查工具介绍71基线安全蓝图72设备功能要求规范规定了适用范围内设备必须满足的最低安全功能要求和推荐（可选）满足的安全功能要求。功能要求内容和具体厂家产品无关设备配置要求规范规定了适用范围内设备最低安全配置要求和推荐（可选）采用的安全配置要求规范应用设备入网：保证新设备达到功能要求工程验收：保证验收上线的设备符合配置要求日常维护：保证在网设备持续符合配置要求 设备需求73系统工作机理Telnet/SSh/SMB数据分析和展示被检测系统安全安全配置核查系统信息获取

32、极光 BVS Login&Query检查的系统及设备路由器华为、CISCO、Juniper数据库Oracle、SQL server、Informix操作系统Windows、Solaris、AIX、HP-UX、Linux安全设备防火墙：华为、CISCO、Juniper入侵检测系统：绿盟科技、ISS、安氏、启明星辰远程命令执行74基线检测内容账号口令授权日志IP其他 按用户分配帐号、账号锁定、限制远程登录 主要针对静态口令，口令复杂性，生存期、历史口令、口令修改、口令存放等方面的内容 授权分级，对文件和表支持读、写、执行的权限 记录登录、操作日志，远程日志 查询功能、过滤功能 锁屏、补丁、consol口保护75独立部署网络较为集中部署一台极光设备可采用机架式或便携式分权管理和使用多级分布独立部署多级分布多级网络结构本地扫描数据汇总、集中管理不增添新的安全隐患部署模式76 2007 绿盟科技