华为入侵检测NIP产品售前专家培训

华为NIP入侵检测系统售前专家培训Version:V0.5(20130109)2课程大纲1ClicktoaddTitle4ClicktoaddTitleClicktoaddTitle2ClicktoaddTitle5市场概述与定位产品亮点成功案例订购指南ClicktoaddTitle6如何获取资源3产品对比3IPS市场驱动以及基本情况中国及中东、非洲、拉美相对机会较多不同市场的竞争对手不同：国际市场：McAfee、Cisco、HP；国内市场：绿盟、天融信、H3C；HP全球IPS市场成长空间$MSource：Gartner201175%应用层攻击89%应用层DDoSIDCApp1------OS1App1------OS1App1------OS1DMZIntranet93%WEB攻击增加4华为NIP研发进展基础IPS防护能力多核+X86加速卡增强的Web应用防护新一代多核处理器(DPI加速)WLAN入侵防御SSL流量解密2013Q440G2013Q110G2012Q26G2011Q43G2004200M20051G新增FPGA加速卡IPv6安全虚拟化IPS/IDS5NIP销售场景IDCDMZOfficeBranchInternetIPSApp1------OS1App1------OS1App1------OS1IPSIPSIPS产品系列互联网出口DMZ区部门隔离分支互联IDCNIP2100YYYYNIP2200YYYYNIP5100YYYNIP5200YYYNIP5500YYY产品场景对应表IPS产品概述华为入侵防御系统NIP性能分布从800M到10G，可实现网络访问控制、针对应用识别和控制、针对应用漏洞的威胁防护、以及针对流量型和应用层的DDoS攻击的防护，主要应用于企业、园区、IDC（InternetDataCenter）和校园网等，为客户提供应用和流量安全保障。销售场景：互联网出口：部署在外网Internet边界，放在防火墙前面DMZ区防护：部署在Internet边界，放在防火墙DMZ区部门隔离：部署在内部局域网段之间分支互联：部署在广域网边界IDC：部署在数据中心卖点：85%：签名库默认开启率达到85%，做到即插即用80%：签名库默认阻断开启率达到80%，实时防护0：采用多重检测技术，“0”误报率L7：对应用层DDoS深度分析，实现对应用的DDoS防护6NIP销售场景1-互联网出口场景卖点应用识别-----能识别的应用达到1200+，实现精细化的应用防护，节省了出口带宽，保证了关键业务的业务体验；L3-L7层DDoS防御：深度识别三到七层的DDOS攻击，实现“0”误报，有效保护了基础网络设备；推荐产品：NIP2100:互联网出口流量=800M；NIP2200:互联网出口流量=1.2G;NIP5100:互联网出口流量=3G;NIP5200:互联网出口流量=6G;NIP5500:互联网出口流量=110G目标客户：SMB小型企业、大中型各类企业；政府；学校；运营商、IDC、ISPIDCDMZOfficeBranchInternetApp1------OS1App1------OS1App1------OS1IPS客户痛点：•缺失对应用层威胁的有效防护及监控•无法精确控制各种应用，如P2P，网络游戏等•面对DDoS攻击，特别是应用层的攻击几乎毫无防护能力7NIP销售场景2-DMZ区防护场景卖点L7层DDoS防御：深度识别七层的DDOS攻击，实现0误报，低漏报，有效保护了基于应用的DDoS攻击；基于漏洞的签名-----基于漏洞签名有效防护了各种攻击的变种、逃避等，有效实现了虚拟补丁的功能；SQL注入、跨站等基于Web的安全防护推荐产品：NIP2100:互联网出口流量=800M；NIP2200:互联网出口流量=1.2G;NIP5100:互联网出口流量=3G;NIP5200:互联网出口流量=6G;NIP5500:互联网出口流量=110G目标客户：SMB小型企业、大中型各类企业；政府；学校；运营商、IDC、ISPIDCDMZOfficeBranchInternetApp1------OS1App1------OS1App1------OS1IPS客户痛点：•大量针对WEB应用的DDOS攻击无法防范•大量针对WEB的恶意攻击，如SQL注入、跨站攻击等•针对DMZ区的服务器系统攻击无法防护•网页无法防篡改8NIP销售场景3-部门隔离场景卖点基于漏洞的签名-----基于漏洞签名有效防护了各种攻击的变种、逃避等，有效实现了对僵尸蠕虫木马病毒等内部攻击的防护；“零”误报-----综合多种检测技术，实现零误报，保证业务正常推荐产品：NIP2100:有关键信息资产但是流量小的部门隔离，如财务部等；NIP2200:有关键信息资产但是流量大的部门隔离，如运维管理区、生产服务器区等;目标客户：SMB小型企业、大中型各类企业；政府；学校；运营商、IDC、ISP运维管理区DMZOtherdepartmentsInternetApp1------OS1App1------OS1App1------OS1客户痛点：•已被入侵主机可能把威胁扩散至全网•关键用户区缺少有效监控•面对可能的内部主动攻击缺少监控、防护•内部恶意攻击无法追溯财务部IPSIPS9NIP销售场景4-分支互联场景卖点应用识别-----能识别的应用达到1200+，实现精细化的应用防护，保证了关键业务的业务体验；“零”误报-----综合多种检测技术，精确识别病毒、木马等，实现零误报，保证业务正常推荐产品：NIP2100:300人一下的分支机构；NIP2200:300人-800人的分支结构；NIP5100:800-1000人的分支机构；NIP5200：1000人以上的分支机构;目标客户：大中型各类企业；政府；运营商、IDCInternet客户痛点：•蠕虫造成的垃圾流量防护，消耗广域网有限的带宽•大量与工作无关的上网流量在广域网上传播，降低广域网的传输效率•低安全级别和安全状况差的分支上的病毒、木马等通过广域网向其他分支或总部扩散IPSIPS分支一分支二总部分支三IPSIPS10NIP销售场景5-IDC防护场景卖点85%默认开启率：高开启率有效的防护了系统漏洞防护，提供虚拟软件补丁服务，保证服务器正常运行基于漏洞的签名库：有效防范恶意攻击者对数据中心的敏感信息窃取、拒绝服务、非法篡改等“真”性能：高流量环境下有效保护业务安全推荐产品：NIP5500目标客户：IDC客户痛点：•IDC中大量的系统漏洞无系统防护•SQL注入等攻击影响数据库系统安全•无法防范恶意攻击者对数据中心的敏感信息窃取、拒绝服务、非法篡改等InternetIPS托管区App1------OS1App1------OS1App1------OS1IPS云计算出租区App1------OS1App1------OS1App1------OS1运行管理区App1------OS1App1------OS1App1------OS1核心交换机机11课程大纲1ClicktoaddTitle4ClicktoaddTitleClicktoaddTitle2ClicktoaddTitle5市场概述与定位产品亮点成功案例订购指南ClicktoaddTitle6如何获取资源3产品对比12产品型号NIP2100NIP2200NIP5100NIP5200NIP5500高端百兆基本千兆中端千兆高端千兆NIP2100DNIP2200DNIP5100DNIP5200DNIP5500D高端百兆基本千兆中端千兆高端千兆中小企业/各分支中大型企业/园区数据中心/ISP13NIP产品价值保护基础架构保护服务器保护带宽性能保护客户端IPS核心价值DNS•服务器漏洞防护•Web应用防护•恶意软件防护•DDOS防护•客户端应用防护•恶意软件防护•DNS、交换路由设备漏洞防护：•DDOS防护•应用带宽管理服务器漏洞防护客户端应用防护WEB应用防护应用带宽管理恶意软件防护DDOS防护14保护服务器检测恶意软件并阻断检测控制、外传流量种植恶意软件操控被攻击设备攻击后期外传数据信息成为傀儡主机虚拟补丁技术检测漏洞攻击Web应用防护完整的DOS防御基于行为检测发现暴力破解漏洞攻击Web应用攻击DOS攻击暴力破解攻击中期基于网络异常发现网络扫描基于行为特征发现漏扫工具网络扫描漏洞扫描攻击前期网络威胁IPS服务器15保护客户端浏览器及其插件（Java、ActiveX等）的安全防护；PDF、Word、Flash、AVI等文件层的攻击防护；木马、蠕虫及对操作系统的攻击防护；合法网站①黑客攻击合法网站②攻击者上传针对终端软件漏洞的恶意软件③浏览网页的用户被黑客控制16保护基础设施DNS网络基础设施针对路由器、交换机等设备的漏洞攻击直接威胁设备可靠性各种DOS/DDOS攻击，造成设备性能瓶颈，威胁可用性基于虚拟补丁技术，对基础网络设备的漏洞进行防护；综合7种流量检测技术，对各种网络DOS、应用DOS（针对DNS、HTTP、SIP的基础服务）提供整体防护；提供流量自学习功能，保障对各种异常流量攻击的准确检测；17保护带宽性能支持协议1200+支持热门加密P2P协议识别SSL，代理与翻墙软件定制化需求的快速响应能力P2PUploadP2PDownloadVoIPWebTVVideoConferencingGamingemail带宽可视化带宽管理主流应用协议的识别控制，可以有效的保障业务带宽，并提高企业IT治理水平：对P2P、流媒体等应用带宽控制，保障网络资源有效使用；限制使用IM、游戏、股票等应用，保障工作效率；WebMail、在线存储以及隧道传输等控制，防止机构内部文件非法外传；18检测技术全面防护：检测机制全面用户价值协议智能识别数据包及流重组、高级逃避检测应用协议还原及文件还原攻击特征检测基于漏洞的检测基于攻击原理的启发式检测网络行为/应用协议异常检测保障对非标准端口应用的检测防止逃避技术造成的漏报覆盖到文件级别的恶意威胁对已知攻击方式或软件的检测对已知漏洞及对应不同工具的检测对未知漏洞和攻击的检测对DoS、未知漏洞、滥用的检测19全面检测：威胁覆盖全面客户端攻击检测针对客户日常应用，如：Office文档、PDF,多媒体以及浏览器提供深度检测，避免客户端免成为Botnet或网马的受害者。服务器攻击检测防止对HTTP、FTP、DNS、Mail等服务器的各种攻击：缓冲去溢出、系统或服务漏洞攻击、暴力破解等。Web攻击检测检测Web应用相关攻击，包括Web2.0及后台数据库；对注入攻击、跨站脚本、目录穿越等提供重点防护。恶意软件检测蠕虫木马间谍软件广告软件僵尸网络网络滥用检测检测P2P、视频应用，保障业务带宽；IM、在线存储、web邮箱、网络隧道证券及游戏的访问，影响员工效率。DDOS检测针对网络流量的DoS针对应用服务的DoS针对操作系统的DoS扫描探测20丢弃全方位抵御L2-L7层DDOS攻击流量转发正常流量静态过滤传输层源合法性认证应用层源合法性认证基于会话清洗流量整型动态统计分析畸形报文过滤行为分析动态统计分析流量自学习能力；抵御应用层DDOS：Web、DNS、VoIP等；21精准检测—网络流量自学习通过网络流量基线学习，精确的得到正常业务的流量阈值，防止人工配置流量异常参数引起的错误22全面防护—全球攻击发现能力遍布全球的蜜罐及攻击跟踪系统，实时捕捉恶意代码，分析黑客攻击，每秒监控流量18000G+300+高级安全研究，定期（每周）或紧急（当重大安全漏洞被发现）方式发布独立的漏洞发掘能力，为全球漏洞数据组织提供支持，包括CVE、CNCVECVE-2010-2159PowerFortressCloud安全研究中心23NIP产品亮点业界真实的IPS性能，最高10Gpbs防御能力系统采用XLR多核+IA通用处理器+FPGA架构，在真实网络环境下小包性能达到10Gp