03-H3C安全产品及技术概述V3.0

H3C安全产品及技术概述ISSUE3.0日期：2007-11杭州华三通信技术有限公司版权所有，未经授权不得使用与传播了解防火墙、VPN和入侵防御系统基础知识了解H3C安全产品和业务模块了解H3C安全产品技术了解H3C安全产品的解决方案课程目标学习完本课程，您应该能够：基础技术篇产品技术篇业务模块篇解决方案篇案例用户篇目录网络安全面对空前的挑战“面对不断出现的病毒、攻击和网络滥用，我们仍然需要让网络和IT系统保持可用”“我们需要定义网络中的信任元素，但哪些元素是可以真正信任的？”“用户通过身份认证就是被信任吗”？“业务总在变化和增长，网络相应的也做出了调整，所以安全模型也必须跟得上业务和网络变化的速度”不断变化的威胁模型不断变化的信任模型不断变化的业务模型网络日趋成熟、业务快速变化，怎样控制安全威胁扩散的速度？网络安全面对空前的挑战不断变化的威胁模型不断变化的信任模型不断变化的业务模型•“Zeroday”蠕虫•新的漏洞和黑客攻击技术•基于网络的DoS/DDoS攻击•雇员、外包员工、合作伙伴、客户•不断扩大的网络边界：无线接入、Extranet•边界安全模型还是内网安全模型？•新业务、新应用、新领域•组织架构的变化•人员的变化网络日趋成熟、业务快速变化，怎样控制安全威胁扩散的速度？用户/桌面网络服务器DesktopServer安全Overlay模型：独立的安全方案通过认证、隔离和被动检测来实现安全网络因为开放，所以网络不安全传统安全模式(网络＋安全)已经失效网络设备＋安全设备开放的网络，不考虑安全安全网关插入网络之中部署IDS、审计、漏洞扫描等各自独立的旁路安全产品杀毒软件和补丁管理杀毒软件和补丁管理CHECK安全管理中心理念转变蠕虫/病毒DDoS攻击带宽滥用etc……安全风险分析杀毒软件、防毒墙、IPS抗DDoS设备、IPS带宽管理etc……网络安全问题解决技术端点部署内/外网关部署网络边界部署etc……安全产品部署机密性完整性可用性确立安全目标业务流程安全规划系统安全体系规划业务持续性规划安全体系规划业务流程安全建设系统安全体系建设业务持续性实现安全体系建设面向业务的安全保障：分析业务流程，制定针对性安全规划关键点安全：分析安全的脆弱点并在关键点部署安全产品体系化安全明确目标、明确规划问题明确、响应迅速、统一管理填空式、补丁式的安全没有目标、没有规划、没有成功问题层出不穷，网管疲于奔命理念转变面向业务的安全保障：分析业务流程，制定针对性安全规划关键点安全：分析安全的脆弱点并在关键点部署安全产品安全网络安全渗透网络基础的安全特征成为网络的一部分从端点开始进行行为的管理深入到应用和业务内容进行保护安全+网络转向安全融合到网络通过安全管理中心实现统一管理安全渗透网络的核心理念网络安全建设目标网络建设目标网络安全体系规划网络系统规划安全维护网络系统的的应用：日常应用、系统维护etc...安全普遍存在网络系统的组成：服务器、网络设备etc…网络安全建设网络系统建设实施安全渗透网络的核心理念——安全、网络彻底融合，安全成为网络的基本属性。“安全渗透网络”功能模块基础安全功能成为网络的一部分从端点开始进行安全行为的管理深入到应用和业务内容进行保护网络设备安全特征基础安全功能基本网络安全设备防火墙VPN端点准入防御（EAD）端点安全深度检测和抵御威胁抵御安全渗透网络安全管理中心防火墙基本定义防火墙：保护网络周边安全的关键设备，可以保护一个“信任”网络免受“非信任”网络的攻击，但是同时还必须允许两个网络之间可以进行合法（符合安全策略）的通信。连接受信网络区域连接不受信网络区域在连接受信网络区域和非受信网络区域之间的区域，一般称为DMZ种类型防火墙：包过滤防火墙：根据一组规则允许一些数据包通过，同时阻塞其他数据包，规则可以根据网络层协议(如IP)中地址信息或者传输层(如TCP头部或者UDP头部)信息制定。应用代理型防火墙：作为应用层代理服务器存在于信任与非信任网络之间，在应用层协议层面上提供高安全级别的保护。状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。现代防火墙基本为3种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。区受信区域－DMZ区，可以访问POP3和SMTP服务DMZ－受信区域，不可访问任何服务应用服务器非受信区域－DMZ区，可以访问POP3和SMTP服务DMZ－非受信区域，可以访问任何服务非受信区域和受信区域之间不能互访防火墙的基本功能包括：在具有不同安全级别的区域之间实施网络安全策略，进行访问控制攻击黑客正常用户策略阻止非法访问正常访问策略允许防火墙的基本功能包括：防止基于3层/4层协议的网络/传输层攻击防火墙其他功能网络特性客户需求为导向安全功能智能管理安全身份认证智能地址转换丰富VPN特性内容深度识别流量QoS保障强大路由能力种性能指标：整机吞吐量：指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力，业界默认一般都采用大包衡量防火墙对报文的处理能力。最大并发连接数：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。每秒新建连接数：指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度慢，在用户量较大的情况下容易造成防火墙处理能力急剧下降，并且会造成防火墙对网络攻击防范能力差。？VPN即虚拟专用网，通过组合数据封装和加密技术，实现私有数据通过公共网络平台进行安全传输，从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接，或者提供移动用户安全的通过公共网络平台接入内网。中心站点分支机构合作伙伴接入点移动用户SOHO用户VPN种性能指标：加密性能：指VPN设备进行背靠背的连接时，能够以一定的加密算法对一定的包长数据的最大转发能力，业界默认一般都采用大包对这个指标进行衡量。最大并发隧道数：指在确定的某种VPN协议的前提下，VPN设备能够并发支持最多的虚拟隧道的数量，这些隧道决定了VPN设备能够提供的连接的设备和移动用户的数量。相关协议及技术支持的协议L2TPVPNGREVPNIPSecVPNMPLSVPNSSLVPN加密/认证算法DES/3DESAESMD5SHA-1身份认证方式本地认证RADIUS/TACACS认证PKI/CA认证PKI/CA共享密钥共享密钥数字证书IKE2IKE1ProposalsProposalsProposalsProposals数字证书IKESAIPsecSA1.2.3.IPsec隧道为什么需要入侵防御系统安全漏洞数量的快速增长补丁开发速度远滞后于漏洞利用的开发速度恶意代码的威胁涌现和传播速度越来越快IT资源与应用的日益复杂化从而造成应用层威胁带来的负面影响越来越大，以及诸如萨班斯法案的出现对网络的活动审计需求日益迫切传统的入侵检测系统方案已经不能满足需要信息安全的发展趋势:\InternetInternalUsersPort80WebservicesWebenabledappsIMtrafficRichmediaInternetaccess43%43%55%43%98%80–HTTP“…75％的成功针对WEB服务器的攻击是通过应用层完成的，而不是网络层来完成的。应用层威胁可以穿透防火墙非关键流量占用过多的带宽并浪费享企业的网络带宽、工作效率下降即时通讯应用程序激增潜在的法律问题,浪费网络资源非关键应用的负面影响为什么需要安全管理中心？反应性方法为核心无法遵从相关法规杂乱的海量信息信息孤岛安全网络的可管理安全管理中心前瞻性方法为核心遵从法律法规有用的决策数据信息统一处理基础技术篇产品技术篇业务模块篇解决方案篇案例用户篇目录系列防火墙/VPN产品ISP/大型数据中心大型分支/中型企业中型分支/小型企业SOHO/小型分支大型企业总部SecPathF1000-ASecPathF1000-SSecPathV100-SSecPathF100-ASecPathF1800F-ASecPathV1000-ASecPathF100-CSecPathF100-SSecPathF100-ESecBladeISecPathF100-MSecPathF1000-ESecBladeII－UTM是方向支持下一代的IP视频会议应用组播路由防火墙带宽管理虚拟专用网QoS和流量管理改善网络性能并实现基于策略的流量整形传统的防火墙技术提供访问控制和策略加强IPSecVPN将Internet变成可用多点互联的安全汇聚网络网页过滤防止恶意网页内容并增强可接受的使用策略UTM融合基础网络安全功能和内容安全功能双机状态备份功能突破传统HA限制系列专有协议实现透明及路由方式部署主/主及主/备模式配置、状态表备份状态协商接口备份网络深度融合能力接收报文报文分类/标记Queue0Queue1Queue2QueueNREDWREDSARED拥塞检测/避免队列调度FIFOPQCQWFQCBWFQ令牌流量整形丢弃丢弃继续发送入队出队令牌筒出接口入接口GTS源地址目的地址源端口目的端口协议类型TOSACLCAR流量监管拥塞管理专业网络厂商的丰富路由及QoS特性：静态/RIPv1/2/OSPF/BGP策略路由及路由策略流量监管/拥塞检测及避免/流量整形MPLS/多播/虚拟防火墙转换支持多种常用转换支持多种ALG指定转换后地址静态网段地址转换双向地址转换支持DNS映射防火墙用户服务器源IP198.10.2.7目的IP202.100.1.4源IP202.100.1.4目的IP198.10.2.7源IP10.110.3.25目的IP202.100.1.4源IP202.100.1.4目的IP10.110.3.25丰富攻击防范功能多种内置攻击防范功能，解决最多网络安全威胁：Land攻击防范Smurf攻击防范Fraggle攻击防范WinNuke攻击防范PingofDeath攻击防范TearDrop攻击防范IPSpoofing攻击防范SYNFlood攻击防范ICMPFlood攻击防范UDPFlood攻击防范ARP欺骗攻击防范ARP主动反向查询TCP报文标志位异常攻击防范超大ICMP报文攻击防范地址扫描的防范端口扫描的防范优异抵御DoS功能！深度检测及控制完全禁止P2P应用可控限