内网安全与设备的融合发展内网安全与设备的融合发展汇报提纲汇报提纲汇报提纲汇报提纲? 内网安全面临的挑战内网安全面临的挑战? 内网安全的融合发展内网安全的融合发展内网安全已经成为重大威胁内网安全已经成为重大威胁内网安全已经成为重大威胁内网安全已经成为重大威胁 安全威胁有安全威胁有70%来源于内网；来源于内网；网络监听网络监听DDOS攻击攻击超越权限 访问超越权限 访问发送广播 攻击包发送广播 攻击包局域网/园区网挑战一：以太网交换机难担安全重任挑战一：以太网交换机难担安全重任挑战一：以太网交换机难担安全重任挑战一：以太网交换机难担安全重任专有链路防火墙逻辑隔离ACL访问控制广域网广域网局域网局域网安全挑战低安全挑战低安全挑战低安全挑战低安全挑战高安全挑战高安全挑战高安全挑战高以太网交换机的工作原理和开放特征 带来了内网的安全不确定性。以太网交换机的工作原理和开放特征 带来了内网的安全不确定性。挑战二：单一安全技术难以实现有效防控挑战二：单一安全技术难以实现有效防控挑战二：单一安全技术难以实现有效防控挑战二：单一安全技术难以实现有效防控IDSIDS防病毒软件防病毒软件防病毒软件防病毒软件安全补丁安全补丁安全补丁安全补丁防火墙防火墙防火墙防火墙无法控制病毒在内网的传播无法控制病毒在内网的传播漏洞总是层出不穷，不可避免漏洞总是层出不穷，不可避免无法实现对内部用户攻击的控制无法实现对内部用户攻击的控制无法实现对所有业务实时监测无法实现对所有业务实时监测无法实现对无法实现对 未知攻击的未知攻击的 损失控制损失控制脱离网络谈安全所面临的安全脱离网络谈安全所面临的安全脱离网络谈安全所面临的安全脱离网络谈安全所面临的安全“ “黑洞黑洞黑洞黑洞” ”挑战三：安全发展面临硬件平台的挑战挑战三：安全发展面临硬件平台的挑战挑战三：安全发展面临硬件平台的挑战挑战三：安全发展面临硬件平台的挑战CPU集中处理CPU分布式处理NP集中处理分布式 NP处理分布式 ASIC 处理架构多数防火墙等安全产品多数防火墙等安全产品多数防火墙等安全产品多数防火墙等安全产品 都还处于都还处于都还处于都还处于CPUCPU集中处理集中处理集中处理集中处理 的技术阶段的技术阶段的技术阶段的技术阶段10M100M1G640G1.28T100M内网安全发展目标内网安全发展目标内网安全发展目标内网安全发展目标目标：建设高安全、高质量、高可靠、易维护的内网安全体系。目标：建设高安全、高质量、高可靠、易维护的内网安全体系。安稳好易局域网信息承载高安全高安全10G、MPLS VPNESR/GBigNP10G ERR P 高可靠高可靠高质量高质量维护管理易维护易维护汇报提纲汇报提纲汇报提纲汇报提纲? 内网安全面临的挑战内网安全面临的挑战? 内网安全的融合发展内网安全的融合发展迎接挑战网络融合安全迎接挑战网络融合安全迎接挑战网络融合安全迎接挑战网络融合安全只有将安全融合到网络中，才能在更大程度上解决内网的安全问题，离开网络的安全是空乏无力的。只有将安全融合到网络中，才能在更大程度上解决内网的安全问题，离开网络的安全是空乏无力的。产品层面的融合产品层面的融合安全管理的融合安全管理的融合方案层面的融合方案层面的融合技术层面的融合技术层面的融合NPNPNP技术层面的融合技术层面的融合技术层面的融合技术层面的融合CPUCPU业务数据业务数据业务数据业务数据业务控制业务控制业务控制业务控制CPUCPU集中处理架构集中处理架构集中处理架构集中处理架构CPUCPUNPNP处理引擎处理引擎处理引擎处理引擎安全策略下发安全策略下发安全策略下发安全策略下发数据数据数据数据NPNP处理架构处理架构处理架构处理架构业务控制业务控制业务控制业务控制NP技术的进步使硬件平台转发与控制分 离，为设备的融合提供了平台基础。技术的进步使硬件平台转发与控制分 离，为设备的融合提供了平台基础。安全管理的融合安全管理的融合安全管理的融合安全管理的融合Harbour Security Manager:Harbour Security Manager: 智能配置策略执行智能配置策略执行智能配置策略执行智能配置策略执行Harbour NetFlow Manager:Harbour NetFlow Manager: 数据监控、流量分析数据监控、流量分析数据监控、流量分析数据监控、流量分析Harbour Harbour SyslogSyslog Manager:Manager: 日志和告警日志和告警日志和告警日志和告警AAA Server:AAA Server: 认证、计费、安全策略认证、计费、安全策略认证、计费、安全策略认证、计费、安全策略智能的安全策略平台（智能的策略执行平台）智能的安全策略平台（智能的策略执行平台）智能的安全策略平台（智能的策略执行平台）智能的安全策略平台（智能的策略执行平台）安全策略库安全策略库安全策略库安全策略库X0 of Y0 in T0 S0 在T0时间内Y0事 件发生了X0次实时监控安全触发NetFlowNetFlow数据数据数据数据动作触发动作触发动作触发动作触发规则匹配规则匹配规则匹配规则匹配实现对未知网络攻击实现对未知网络攻击实现对未知网络攻击实现对未知网络攻击/ / / /网络滥用行为的及时阻断网络滥用行为的及时阻断网络滥用行为的及时阻断网络滥用行为的及时阻断港湾内网安全解决方案港湾内网安全解决方案港湾内网安全解决方案港湾内网安全解决方案InternetInternetInternetInternet启明星辰IDSBigHammer6800Hammer3550E安全管理控制中心SmartHammer 智能防火墙AAA&防病毒&安 全策略服务器攻击发现异 常，数据 流送IDS 检测确认为 攻击，强 制关闭内网用户/VLAN 之间的安全控制登陆时 强制访问 受控区域确认满足防 病毒要求时通 知管理中心下 发策略?SmartHammer防止外部攻击并保障出口带宽SmartHammer防止外部攻击并保障出口带宽?BigHammer6800防火墙模块确保内网用户安 全攻击的控制BigHammer6800防火墙模块确保内网用户安 全攻击的控制 （如）?交换机和交换机和IDS联动实现检测全面化联动实现检测全面化 （如 ）?交换机与交换机与AV联动防止病毒扩散联动防止病毒扩散 （如 ）