网络管理及安全

优化网络管理优化网络管理提升网络价值提升网络价值高级安全顾问：杜旭duxu@huawei-3com.com管理优化解决方案¾网络B超，优化安全管理的有效工具3.总结教育信息化网络管理时代高速网络运营网络网络化校园数字化校园¾基本实现了高带宽、广覆盖、可运营、可管理的数字化校园平台。¾初步完成了认证、计费、管理及网络安全的建设。数字校园管理何去何从？业务管理时代管理与应用整合整合型数字化校园：技术融合，开放架构，面向业务¾资源管理、网络管理、安全管理和业务管理面临巨大挑战！IP自适应安全渗透网络IP自适应网络存储IP集合通信IP计算安全7层渗透(SPN)IP智能管理中心(IMC)业务应用业务应用战略与决策业务中间件资源化管理面向业务开放开放接口软件下载带来版权问题！9个人隐私被记录！9下载资源不确定，容易造成感染病毒、木马！9逃避国家信息产业部监督！9带宽贷款吞噬－网络可用性降低！9P2P问题只是上述问题的一个缩影！！挑战之一：网络不可见管理IT设施所包含的组件越来越多业务应用环境越来越复杂安全性、可靠性要求越来越高4W：¾网络中都有什么样的业务在运行？¾网络的资源如何部署，如何随业务变化而改变部署？¾谁在消耗带宽，哪些用户需要控制，如何控制？¾如何部署整网的安全策略，如何有效管理用户？What？Where？When？Who？¾“网络水表”（网流分析解决方案）是优化网络管理的迫切之需！挑战之二：安全威胁¾应用层威胁来势凶猛¾网页被篡改¾带宽总也不够¾服务器应用访问很慢¾病毒和蠕虫泛滥¾间谍软件泛滥¾服务器上的应用是关键应用，不能随时打补丁¾“网络B超”是优化安全管理的有效工具！挑战之三：数据资源管理¾集中管理是解决问题的前提和基础¾数据资源整合是优化资源管理的必由之路访问量越大，性能越低，如何解决？大量并发访问性能无法保障如何解决数据共享和海量存储的问题？资源静态配置数据增长迅猛如何保障数据访问不受设备、时空限制？体系平台异构管理移植困难数据安全如何保障？招生科研财务关键信息无保护应用→现状→问题→答案企业内网数据中心黑客分支机构/合作伙伴移动办公问题2、内网恶意用户的攻击问题3、内网蠕虫、病毒传播;问题4、大量带宽浪费在与工作无关的业务流量上，如IM聊天，P2P下载等等问题1、网络基础设施面临来自Internet的威胁：‡拒绝服务攻击‡黑客攻击校园网络安全威胁现状分析管理优化解决方案¾网络B超，优化安全管理的有效工具3.总结’sofgigabits10’sofmbps100’sofmbpsGigabits安全发展演变广度：安全渗透网络深度：深度安全抵御包过滤软件防火墙路由器ACLsHub网桥以太网以太网交换机、硬件路由器多层交换机、负载均衡设备软件IPSIDS、ASIC防火墙线速深度安全防御IPS软件路由器TippingPoint技术！技术实现架构¾无可匹敌的硬件平台，采用专有的基于ASIC、FPGA和NP实现¾威胁抑制引擎（TSE）实现深度应用检测和威胁抵御¾保持与交换机同等的高吞吐量（最高5Gbps）和低延时（150us）“网络B超”，实现深度安全EMAIL流量间谍软件流量P2P文件共享IM流量notes和web流量02040608010012014016018020013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00Mbps(AverageperHour)OracleE-mailHTTPP2PRateLimitKazaaeDonkeyWinMXTPTippingPoint的三大功能包括：¾应用层防护¾网络架构防护¾性能保护三分钟动画演示：应用保护–用户和服务器提供防护对第二层到第七层实行全部的检查对存在的漏洞提供保护对网络边界和内部网络提供保护实现零时差攻击保护不必紧急实施为危险漏洞打补丁防止应用程序和操作系统损坏或宕机保护:ƒMicrosoft应用软件&操作系统ƒOracle应用ƒLinuxO/SƒVoIP来自:ƒ蠕虫/Walk-in蠕虫ƒ病毒ƒ特洛伊木马ƒDDoS攻击ƒ内部攻击ƒ未经授权的访问基础设施保护应用保护性能保护入侵防御系统虚拟软件补丁技术¾一个漏洞（弱点）就是软件程序中存有的一个安全缺陷¾一个攻击就是能充分一个存在的安全缺陷，从而实现不需任何授权就能对易受攻击（有漏洞）的系统进行访问的程序¾简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器I.由于受到处理器引擎性能限制，过滤器开发人员只能采用这种最基本的过滤器II.结果：漏报、误报、继续受到攻击¾IPS的弱点过滤器实际应是一个虚拟软件补丁，它能覆盖整个漏洞漏洞“特征码”攻击A“特征码”攻击B“特征码”(由攻击A的粗糙的签名造成遗漏的攻击）误报(粗糙的签名）简单的攻击A的过滤器虚拟软件补丁基础设施保护–为网络设备提供防护对网络设备的漏洞提供保护对出现的反常流量进行防范自动测量流量基线速率限制,阻挡,或对超过阀值的流量报警支持用户定义的IPfilters,ACLs保护:ƒ路由器ƒ交换机ƒ防火墙ƒVoIP来自:ƒ蠕虫/Walk-in蠕虫ƒ病毒ƒ特洛伊木马ƒDDoS攻击ƒSYNFloods攻击ƒ异常流量基础设施保护应用保护性能保护入侵防御系统保护:ƒ带宽ƒ服务器ƒ关健的应用和流量来自:ƒP2P应用ƒ未经授权的即时通信ƒ未经授权的应用ƒDDoS攻击性能保护–对网络性能提供防护即使在没有受到攻击的情况下，提高网络的性能对非关健应用进行速率限制消除对带宽的占用控制一些不讲道德应用消除对网络误用和滥用控制P2P的流量基础设施保护应用保护性能保护入侵防御系统•“带宽滥用”是指对于企业网络来说，非业务数据流（如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击）消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪。•据研究机构Cachelogic调查，如今P2P占了全球网络流量的一半以上02040608010012014016018020013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00Mbps(AverageperHour)OracleE-mailHTTPP2PRateLimitKazaaeDonkeyWinMX带宽滥用滥用的危害•影响、瘫痪企业ＩＴ系统的正常运作•网络不断扩容，总还不够用•ISP最头疼的问题•版权纠纷美国电影协会起诉BT网站•什么是P2P？•P2P，全称叫做Peer-to-Peer，即对等互联网络技术（点对点网络技术），它让用户可以直接连接到其它用户的计算机，进行文件共享与交换。•P2P的典型应用•BT、eMule、eDonkey、PoP文件共享传输•IM即使通讯软件•BT全称：BitTorrent•当前中国的P2P流量中BT占了60%•英国网络流量统计公司CacheLogic表示,去年全球有超过一半的文件交换是通过BT进行的•BT占了互联网总流量的35％——这比所有点对点程序加起来还要多——使得浏览网页这些主流应用所占的流量相形见绌BitTorrent创始人BramCohen访问服务器，索要Peer列表pc1pc2pc3pc4pc5pc6Peerlistpc1202.45.3….pc265.80.21….pc3145.10.9….pc4202.78.1….pc565.31.13….……….通过bt客户端指定端口，与种子建立连接pc0202.1.1.1如何防止带宽滥用、限流BT•封堵端口•适用官方BT•支持BT软件层出不穷•端口可以任意改变•封堵BT服务器IP•BT服务器多不胜数•架设简单，每天不断增加没有公开DUDU加速下载16881比特精灵BitSpirit6881～6889BitTorrent可以手工设置BitTorrentPlus没有公开BitComet可以手工设置贪婪ABC端口范围BT客户端如何防止带宽滥用、限流BT•BT建立连接过程•IPS深度检测，截断/限流BT协议报文１、TCP三次握手２、BT对等协议二次握手３、握手成功，传输数据二次握手报文头性能保护－TippingPoint覆盖P2P的应用TippingPoint能对98%的P2P的进行限速和阻挡Kazaa(48%)Morpheus(22%)Imesh(10%)AudioGalaxy(6%)BearShare(4%)LimeWire(3%)Grokster(2%)WinMX(1%)Blubster(1%)eDonkey(1%)Other(2%)Top10P2PApplicationsSource:AssetMetrixResearchLabs超填补安全风险空隙提高网络性能实现系统正常运行时间最大化免除紧急的补丁安装即插即用的操作安全需求确保业务连续性，同时降低安全操作费用运行时间性能不需在紧急的漏洞修复即插即用ITSecurityCapacityIT的安全支持能力时间,业务的增长超方案部署网络出口内部局域网数据中心¾保护防火墙等网络基础设施¾对出口带宽进行精细控制，防止带宽滥用¾抵御来自内网攻击，保护核心服务器和核心数据¾提供虚拟软件补丁服务，保证服务器运行时间¾抑制内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播¾抵御内网攻击、内网蠕虫、病毒传播;非法用户访问，恶意P2P下载问题2、Internet服务器面临的风险：‡非