华为3Com深度安全抵御-亚洲应急年会

深度安全新体验－华为3Com安全渗透网络趋势一：网络边界的消失•移动办公的普及•90%以上的计算机会感染了间谍软件、广告软件、木马和病毒等恶意软件后果：重要数据丢失，机器被远程控制，病毒和蠕虫在内网恣意传播漏洞数x系统数=不可完成的任务1995-2004年网络安全漏洞发现情况统计（CERT/CC）050010001500200025003000350040004500报告数171345311262417109024374129378426831995199619971998199920002001200220032004(Q1-Q3)趋势二：威胁和应用息息相关趋势三：威胁涌现和传播速度越来越快ZeroDayAttack！SQLSlammer案例：•每8.5秒感染范围就扩展一倍•在10分钟内感染了全球90％有漏洞的机器趋势三：威胁涌现和传播速度越来越快趋势四：越来越多的威胁变成利益驱动技术驱动isdomoney利益驱动•某ICP受到DDoS攻击威胁•2005年11月1日英国人DevidLevi因为“网络钓鱼”被判刑4年•利用ebay骗取$355,000•间谍软件/广告软件背后大量的利益空间趋势五：攻击变的越来越简单•蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽•P2P等应用，利用80端口进行协商，然后利用开放的UDP进行大量文件共享，导致机密泄漏和网络拥塞端口无法检测并阻止攻击“IDS+FW”也无法防御应用层的攻击存在漏洞的服务器防火墙•仅仅报警•联动时延太长•很多“单包攻击”无法抵御黑客通过80端口Web服务器进行攻击服务器被攻破IDS应用层威胁层出不穷TippingPoint综合威胁抵御蠕虫/病毒DoS/DDoS间谍软件网络钓鱼带宽滥用垃圾邮件蠕虫特点：利用系统设计漏洞主动感染传播•红色代码(CodeRed)：•MS01-033，微软索引服务器缓冲区溢出漏洞，TCP80•SQLSLAMMER：•MS02-039，SQL服务器漏洞，UDP1434•冲击波(Blaster)•MS03-026，RPCDCOM服务漏洞，TCP135139等等•震荡波(Sasser)：•MS04-011，LSASS本地安全认证子系统服务漏洞，TCP445等•Zotob•MS05-39，windowsPnP服务漏洞，TCP445间谍软件•定义：间谍软件驻留在计算机的系统中，收集有关用户操作习惯的信息，并将这些信息通过互联网悄无声息地发送给软件的发布者，由于这一过程是在用户不知情的情况下进行，因此具有此类双重功能的软件通常被称作SpyWare（间谍软件）。带宽滥用－P2P•什么是P2P？•P2P，全称叫做Peer-to-Peer，即对等互联网络技术（点对点网络技术），它让用户可以直接连接到其它用户的计算机，进行文件共享与交换。•P2P的典型应用•BT、eMule、eDonkey、PoP文件共享传输•IM即使通讯软件DDoS攻击受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸军团网络钓鱼钓鱼者VictimWebServer受害用户发送钓鱼邮件受害者点击钓鱼URL钓鱼网站被浏览受害者发送机密信息入侵主机，安装钓鱼网站和垃圾邮件箱MailDropService信息被发送到另外一个邮箱钓鱼者索取信息Tomorrow’sNetworkTravelingEmployeeDayExtenderEmployeeUsingaWirelessHotspotEmployeePDAUserInternalUsersCustomerorSupplierBehindaFirewallEmployeeataKioskVoIPUsers今天的网络问题和机会接入•移动办公•有线或者无线•便携机使网络边界消失•接入端点的安全攻击•无处不在的攻击•直接的或者间接的•道高一尺，魔高一丈痛苦•CIO–无法解决这些需求•CFO–无法承担不断升级的费用•CEO–无法承担网络中断带来的业务中断的风险需求应用级性能管理和可视性需求广泛统一的接入控制和审计需求主动持续的有效保障应用•向IP基础设施融合•关键应用和非关键应用抢夺带宽•IM、P2P、VoIP将占据大量带宽机会点•CIO–简单、自动•CFO–最佳性价比•CEO–业务保障’sofgigabits10’sofmbps100’sofmbpsGigabits安全发展演变包过滤软件防火墙路由器ACLs以太网HubsbridgeSwitchesHWRoutersMulti-layerSwitchesLoadbalancers软件IPSIDSASIC硬件防火墙安全渗透网络网络本身内置安全机制，实现端到端的安全SoftwareRouters连接平面L2AccessSwitchesL3SwitchesL3CoreSwitches控制平面安全可控的网络智能网络控制应用控制攻击控制接入控制智能网络控制安全可控网络的含义攻击控制•攻击–DDoS–漏洞：蠕虫、DoS–恶意代码：病毒、木马、后面–异常操作识别和防护•数据偷窃和毁坏–基于策略的访问控制攻击控制•攻击–DDoS–漏洞：蠕虫、DoS–恶意代码：病毒、木马、后面–异常操作识别和防护•数据偷窃和毁坏–基于策略的访问控制应用控制•自动业务识别和QoS控制:–关键业务:SAP,Oracle,Backup–实时业务:VoIP,Video–最快传送：WebBrowsing–低优先级:P2P•流量可视•应用性能监控和警告应用控制•自动业务识别和QoS控制:–关键业务:SAP,Oracle,Backup–实时业务:VoIP,Video–最快传送：WebBrowsing–低优先级:P2P•流量可视•应用性能监控和警告接入控制•基于网络的用户接入–人:每个用户的访问认证和审计–物:接入设备的安全状态检查–权:基于用户身份的资源授权•免疫–隔离感染的设备–自动客户端修复•防火墙/VPN•身份管理接入控制•基于网络的用户接入–人:每个用户的访问认证和审计–物:接入设备的安全状态检查–权:基于用户身份的资源授权•免疫–隔离感染的设备–自动客户端修复•防火墙/VPN•身份管理统一管理、配置、监控和集成统一管理、配置、监控和集成融合的IP网络融合的IP网络目前的进展-TippingPoint安全控制设备•基于特定NP+ASIC+FPGA的硬件解决方案•支持10,000条平行过滤器•微秒级的延时（150微秒）•10专利流状态表Multi-flowAnalysis•基线•异常流量检测IP碎片重组TCP流重组第七层的数据包流进行检查•并行处理•正则表达式匹配•协议解码流量整形数据流分类和标识数据包丢弃和重定向报警和通知标准化n可编程过滤器123…TippingPoint提供更多的安全控制功能超高的性能定制的硬件§5Gbps呑吐量t§交换机似的延时§2百万个会话数§每秒钟建立25万个会话§整个数据流的全面检查§64k速率整形队列§1万个并行过滤器攻击控制接入控制应用控制安全控制设备当今的业务需求性能、可靠性、保护相互间不能影响BuildingL2接入层交换机L3分布层交换机Building核心ExtranetInternetDMZ边界路由器防火墙接入控制数据中心r4个检查要素•设备•认证•健康情况•用户•认证•访问权限•部署简单•部署•审计BuildingL2接入层交换机L3分布层交换机Building核心ExtranetInternetDMZ边界路由器防火墙攻击控制数据中心r•基于网络•在线部署•高精确度•实时•综合威胁抵御•自适应•客户化超过三年时间的财富100强部署历史BuildingL2接入层交换机L3分布层交换机Building核心ExtranetInternetDMZ边界路由器防火墙应用控制数据中心r•QoS•限流•可视化和监控•审计和符合•性能•丢包•延时•WAN优化•压缩•TCPWindow管理•其他存在安全风险的空隙安全风险呈指距数级增长•新的安全需求远远超过了IT的能力•新的漏洞增加越来越快•留给打补丁的时间越来越短•移动设备带来的蠕虫,e-mail攻击•无赖式的应用“窃取”大量的IT资源•传统的网终安全工具不能充分地应对当今的安全挑战•网络周边的防火墙存在太多的漏洞（如允许80端口）,而且不能放置于网络核心•充分理解补丁几乎是一件不可能的事•并不是所有的终端都在IT管理员的控制之下时间,业务的增长安全需求ITSecurityCapacityIT的安全支持能力安全渗透网络填补安全风险空隙•提高网络性能•实现系统正常运行时间最大化•免除紧急的补丁安装•即插即用的操作方式•不需要参数的调谐安全需求确保业务连续性，同时降低安全操作费用运行时间性能不需在紧急的漏洞修复即插即用ITSecurityCapacityIT的安全支持能力时间,业务的增长华为3Com技术有限公司