资源预览内容
第1页 / 共37页
第2页 / 共37页
第3页 / 共37页
第4页 / 共37页
第5页 / 共37页
第6页 / 共37页
第7页 / 共37页
第8页 / 共37页
第9页 / 共37页
第10页 / 共37页
亲,该文档总共37页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
IDC安全管理系统及业务平台EverGuard/EverOne恒安嘉新2012年10月目录背景与需求一IDC安全管控系统EverGuard三IDC安全业务平台EverOne二2工信部文件中对工信部文件中对IDC管控系统的建设要求管控系统的建设要求p280号文,明确指出要求建立IDC管控系统,“实现通信管理部门与当地IDC、ISP企业的信息联动,能够对IDC、ISP所接入网站进行动态采集统计。应急状态下可对IDC、ISP所接入有害网站进行定位和关闭。对所接入网站和上网用户进行溯源。”p564号文,“明确由江苏江苏、天津、安徽、山东、河北五省作为第一批试点地区,各基础电信企业要认真按照当地通信管理部门的工作部署,加大工作力度,加强组织协调,保障企业侧建设经费尽快到位,加快工作进展。各基础电信企业要加强统筹,认真做好机房等配套准备工作。”3传统防护设备对传统防护设备对IDC局限性局限性IDC防火墙只提供访问接入控制,应用层防御能力有限。IDS/DLP采用并联接入模式,无法及时阻断安全事件,也无法及时阻断安全事件,也无法发现隐藏在木马流量中无法发现隐藏在木马流量中的安全事件的安全事件。流量控制设备提供网络和应用层流量管控,扩展性低。重要重要IDC安全需要建设针对海量数据流量的应用层深度安全需要建设针对海量数据流量的应用层深度安全检测、控制和阻断平台。安全检测、控制和阻断平台。仅依靠旁路监测无仅依靠旁路监测无法及时阻止安全事法及时阻止安全事件的发生!件的发生!无法防护安全攻击,无法防护安全攻击,实现一站式防护!实现一站式防护!4目录背景与需求一IDC安全管控系统EverGuard三IDC安全业务平台EverOne二5安全分析封堵控制链路链路安全分析封堵控制链路链路传统方案A传统方案B封堵控制链路链路恒安嘉新方案软件定义安全分析方案方案A A优点:1、适合大流量数据分析 2、不容易造成单点故障缺点:1、控制和管理的效果不理想方案方案 B B优点:1、控制和管理的效果好缺点:1、容易造成单点故障恒安嘉新恒安嘉新恒安嘉新恒安嘉新方案方案方案方案恒安嘉新IDC管控平台方案,结合以上两种方案的优点,并弥补上述缺点恒安嘉新恒安嘉新IDC安全防护安全防护-EverGuard6恒安嘉新恒安嘉新IDC安全防护安全防护-EverGuard并接检测与串接阻断相结合的并接检测与串接阻断相结合的IDCIDC安全管控系统安全管控系统IDCIDC安全管控安全管控安全管控安全管控系统系统系统系统集中集中集中集中管控管控管控管控并接并接并接并接分析分析分析分析串接串接串接串接阻断阻断阻断阻断p为IDC监管定制的安全监控系统。p适用于运营IDC各种出口等各种网络环境。p检测与阻断相结合,有效发现和避免安全事件。p运营商安全需求、业务扩展性相结合的一站式解决方案。 恒安嘉新网络IDC安全管控系统通过在IDC网络出口处对双向网络流量进行智能化深度分智能化深度分析析,将网络流量和行为精确映射至特征规则,精准、有效检测和阻断检测和阻断监控区域内的用户行为、安全攻击和木马病毒行为,并能精确追追溯事件源头并跟踪记录其所有的操作行为溯事件源头并跟踪记录其所有的操作行为。7EverGuard系统部署架构系统部署架构LB:串接到网络中,并对eTM提供负载均衡。支持对eTM等进行健康检查。eTM:并接到网络中,实现数据安全事件的阻断。接收来自eControl的策略和控制指令。eDPI:对网络流量进行智能化深度分析;向eControl下发策略和控制指令。IDC 内网IDC Internet出口网络eControl:集中管理平台,提供统一管理入口和视图。制定和下发检测和封堵策略。8基于串接阻断检测相分离基于串接阻断检测相分离IDC管控实际网络部署和配置管控实际网络部署和配置串接层通过独立的串接设备(LB)串接,保证网络安全和当故障发生的时候与控制设备分离控制层通过独立的控制设备(eTM) 进行五元组控制,让控制变成 了一个独立简单的单元,与分析设备eDPI配合可以实现任意协议和访问的控制分析层通过独立旁路的分析设备,可以灵活分析任意应用通过下发指令来实现控制该技术为国家关防技术9LBLBeTMeTMeDPIeDPIeControleControl1.串接入网络,提供1GE/10GE/FE接口。2.把数据先流转到eTM后,再由eTM送回LB。 3. 针对eTM 做物理和逻辑的健康检查,出现故障立即bypass.1.实时分析和识别用户各类上网行为。2.实时分析和识别网络流量内各种类型传输的核心数据。3.实时分析和识别木马、病毒和僵尸网络行为。4.支持应用层深度智能分析。5.支持日志留存记录和查询。1.统一的管理和查询平台。2.支持百万级控制策略。3.策略生效时间为毫秒级延迟。4.支持对接集团集中管控平台。1. 把流量复制到eDPI 用于数据分析。2.提供封堵模块,支持IP 5元组和协议封堵或永久封堵。3.提供通信接口,与eControl进行通信,并获取封堵的策略。 EverGuard平台逻辑组件平台逻辑组件10EverGuard管控分析流程管控分析流程基于基于9元元组全流量存全流量存储全流量采集全流量采集安全流量安全流量IP/协议协议分析分析漏洞攻漏洞攻击分析击分析僵木蠕僵木蠕文件级文件级分析分析信安信安内容级内容级分析分析HTTPFTPSMTPPOP3IMIP分析分析收发方分析收发方分析时间分析时间分析频率分析频率分析11系统核心功能系统核心功能(1)-信息安全管控信息安全管控IDC信息安全管理接口IP/域名备案系统互联网指挥平台向SMCC传递管控指令向指挥平台提供访问日志超链地址调用部备案系统接口,返回对应备案状态信息互联网综合管理平台调用综合管理平台网站分类接口,返回网站分类信息机房内域名/IP地址输出至综合管理平台企业资源管理系统传递机房设备、用户信息至IDC管控平台121、基础资源管理、基础资源管理 实时获取机房内的域名、网站、IP等信息,并发现其中超范围运行、备案信息虚假等情况。2、信息监测、信息监测 能实时监测IDC机房内域名、URL、IP、端口、协议、网页内容等信息。可提供监测结果至“管控模块”,进行进一步的封堵处理。 3、封堵管控、封堵管控 能实时封堵域名、URL、未备案网站、IP、端口、协议等,应急状态下可实现区域管控。4、数据查询、数据查询 提供网站访问、BBS发帖审计等日志查询。系统核心功能系统核心功能(2)-信息安全管控信息安全管控p工信部已发布相关信息安全技术规范,并在江苏、山东、天津等五省试点,并将结合IDC资质的发放和更新结合一起并入IDC建设要求中。13系统核心功能系统核心功能(2)-僵木蠕监控僵木蠕监控p根据CnCERT发布的2011年中国互联网网络安全分析报告,2011年,境内共有个IP地址的主机被植入木马或僵尸程序,数量较2010增幅分别达到了78.5%。其中,广东省、江苏省、浙江省广东省、江苏省、浙江省居于木马或僵尸程序受控主机IP绝对数量前3位。中国已经成为僵中国已经成为僵尸木马感染的重尸木马感染的重灾区!灾区!14发现正在遭受的零日攻击发现记录追查追踪追踪出攻击的源头对攻击行为进行记录追查出攻击行为的目标和目的发现:可发现正在遭受的0day攻击等攻击记录:对攻击行为进行记录追查:对攻击目的和目标进行追查追踪:可追踪和追查出攻击源头国内唯一一家提供0-Day木马防范木马防范7000多个流行木马样本依托CNCERT大网僵木蠕虫样本库p僵尸肉鸡、木马、蠕虫病毒已经成为IDC托管主机的重要安全威胁。p依托国家安全中心CNCERT的大网僵木蠕病毒库和引擎,十余年成果积累,国内最权威、最尖端的木马检测。系统核心功能系统核心功能(2)-僵木蠕监控僵木蠕监控15系统核心功能系统核心功能(3)-基于国家漏洞库的安全防护基于国家漏洞库的安全防护n涵盖符合行业特点的Web漏洞n覆盖OWASPTop10Web安全风险n大于300条漏洞规则n符合行业的弱口令字典n根据CNVD漏洞库持续漏洞更新正常流量正常流量CRM漏洞漏洞Sql注入注入流量流量流量分析流量分析协议分析协议分析攻击分析攻击分析内容分析内容分析16系统核心功能系统核心功能(4)-协议日志事后追溯协议日志事后追溯p任何系统都无法彻底杜绝安全事件的发生。p安全应建立“事前防范事前防范- -事中监控(阻断)事中监控(阻断)- -事后追溯事后追溯”的防护体系。p恒安嘉新网络IDC安全管控系统采用全流量采集技术采用全流量采集技术,将网络全部上行(或上下行)流量全部采集,并基于基于9 9元组对访问时间、结束时间、源元组对访问时间、结束时间、源IPIP、源端口、源端口、目的目的IPIP、目的端口、目的、目的端口、目的URLURL、协议、报文内容进行日志留存、协议、报文内容进行日志留存。p一旦发生未监控到的安全事件,可以在留存的日志中通过各种查询条件查询Start time:267 End time:268Source IP:192.168.11.122 Source Port: 6553Des IP:202.213.45.8 Des Port:8080Des URL: ziseyy109868.htmlApp Protocol: http postContent: ziseyysuiwe38952titile20120829的技术报告的技术报告unicom内网安内网安全技术报告全技术报告.doc17技术特点技术特点-高可用性直通技术确保网络安全高可用性直通技术确保网络安全p系统支持设备直通技术,彻底解决串联方式可能带来的单点故障问题。p直通技术包括三种:自身掉电直通、eTM掉电直通、对方设备逻辑BYPASS直通。pLB与eTM直通的时间间隔以毫秒计算,对用户的感受没有任何的影响。pLB与eTM之间不需要单独的心跳线,通过发送健康检查包实现。自身掉电自身掉电直通直通设备逻辑设备逻辑Bypass直通直通eTM掉电掉电直通直通18技术特点技术特点分析与阻断相分离实现安全软件定义分析与阻断相分离实现安全软件定义串并结合的IDC安全管控系统eTM负责对数据事件阻断ePDI负责对数据事件分析并定义阻断事件检测检测阻断阻断19技术特点技术特点-高线速实时处理高线速实时处理线速处理能力线速处理能力p码流匹配技术码流匹配技术:一次数据、多种规则、一次匹配。p零拷贝技术零拷贝技术:零拷贝在某节点的报文收发过程中不会出现任何内存中的拷贝。发送实时数据包由应用程序的用户缓冲区直接经过网络接口到达外部网络,接收时网络接口直接将数据包送入用户缓冲区。 p并行协议栈还原技术并行协议栈还原技术:采用多线程技术将捕获的以太网数据报文还原成应用层数据进行高效分析处理的技术。 p专用芯片专用芯片:大大提升处理性能。 并行协议栈并行协议栈还原技术还原技术码流匹配码流匹配技术技术零拷贝零拷贝技术技术专用芯片专用芯片20系统外部接口系统外部接口可定制的接口可定制的接口平台支持灵活平台支持灵活平台支持灵活平台支持灵活的可扩展外部的可扩展外部的可扩展外部的可扩展外部接口接口接口接口其他接口其他接口:支持远程配置/特征等的更新接口;支持与现网文档安全系统、SOC系统等的接口。与受控网络的接口与受控网络的接口:通过光口或电口获得受控网络的流量数据,该接口获得链路双向数据,不对外部发送任何数据。与管理与管理平台平台的接口的接口:支持通过Json、Webservice、FTP等协议与集团侧集中平台实现对接和通信。与云平台的接口与云平台的接口:支持向云平台提交监测数据和监测结果,支持云存储。21硬件配置硬件配置设备名称设备型号设备描述串接设备Perseus LB用于串接入网络内,具备bypass分流等功能,含原厂一年7*24服务控制设备Perseus eTMES2000 (ES 2U机箱、24口。含原厂一年7*24服务)分析设备Perseus eDPIES2000 (ES 2U机箱、E5410 4核CPU、8G内存、1T硬盘、IS401A 加速采集卡、12个SFP光口/千兆电口。含原厂一年7*24服务)管理设备eControl/ePortalHP DL385G7(AMD Opteron(皓龙)机型 6172处理器(2*12 核,2.1 GHz,12MB 三级高速缓存,80 瓦),24Gmem,2*146G disk,共4网口)22产品优势产品优势关注点关注点恒安嘉新智能管控恒安嘉新智能管控方案方案流控方案流控方案旁路方案旁路方案是否支持有害信息封堵支持实时发现和阻断,并且只针对该用户Session阻断暂不支持部分支持。UDP管控力度差压缩网页gzip支持暂不支持较难是否支持虚拟账号封堵除了页面以外,支持SMTP/ POP3/FTP等协议账号只能页面访问的虚拟账号关键词较难支持,同时管控力度差安全性LB串接设备满足自身掉电、对接设备掉电、应用逻辑错误等自动切换倒回原来链路新增的协议或者监控要求带来设备的稳定性较难保证相对安全灵活性eDPI灵活支持任意协议或者管控要求的开发需求新增的协议艰难做稳定仅能TCP RST, 其他协议分析也很难管控23实施案例实施案例-案例案例1(节点机房)(节点机房)24实施案例实施案例-案例案例2(集中管控)(集中管控)25系统界面(系统界面(1)26系统界面(2)27目录背景与需求一IDC安全管控系统EverGuard三IDC安全业务平台EverOne二28与与IDC安全管控系统联动业务平台安全管控系统联动业务平台-EverOnen与IDC安全系统无缝联动n一键修复漏洞n攻击防护n云WAFn防火墙n防病毒网关n安全团队专属服务n日志分析挖掘p安全不再是负担,设备不仅仅是投资p架设在IDC安全管控系统之上的增值业务平台EverOne通过增和设备能力来提供安全服务,包括漏洞提醒、漏洞一键修复、云WAF等安全功能p由于采用软件定义安全模式,非常方便扩展和提供业务29与与IDC安全管控系统联动业务平台安全管控系统联动业务平台-EverOne30快速接入快速接入-注册即用的云扫描服务注册即用的云扫描服务n免安装维护n十分钟快速接入n实时了解安全状况n云扫描引擎n漏洞第一时间更新31管理为核心设计管理为核心设计-网站的编外安全管理员网站的编外安全管理员n网站趋势展示n多次任务对比n网站漏洞管理n网站安全评分n多维度水晶报表32智能评分体系智能评分体系-客观评价安全状况客观评价安全状况n网站总体评分n得分变化趋势n完备图表展示n漏洞状况展示33完善的历史信息比对完善的历史信息比对n用户充分掌握网站安全趋势n直观体现安全运维成果n历史任务查询管理n完备任务关系展示n完备的任务关系维护34智能报告智能报告-化繁为简大大减少汇报工作量化繁为简大大减少汇报工作量n分角色提供内容n多种格式导出n界面美观n内容完善全面35IDC安全服务套餐设计安全服务套餐设计n功能免费提供n服务收费提供36谢谢!谢谢!结束语结束语37
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号