IDC安全方案-IPS-FS-XXXX-03-liuxu

IDC安全解决方案刘旭sales engineer7/22/2022议程 当前信息安全形势分析 金融客户IDC安全问题和需求 IDC信息安全介绍-入侵防御风险管理McAfee入侵防御系统 McAfee安全漏洞扫描系统IDC面临的安全问题网络攻击、黑客技术的不断发展和新型网络病毒的不断出现（服务器访问外网）常规防火墙根本无法抵御以下威胁（4-7层威胁）服务器遭受DoS/DDoS攻击（AD）利用服务器漏洞实施的入侵渗透（AD）大量的垃圾邮件，病毒邮件威胁企业的信息安全（钓鱼邮件）服务器安全漏洞没有及时修复，导致服务器被入侵和挂马（Web应用服务）应用的误用和滥用安全域划分不清用户面临的问题缺乏专业安全分析工程师（人）缺乏先进的信息安全设备先进安全设备的一次性投入较大，难以获得管理层的采购支持（财）信息安全设备不能得到充分利用（管理维护）52022-7-22设定弱点管理策略清查资产种类与数量定义资产价值与重要性执行弱点扫描执行威胁比对计算风险等级、找出风险所在修补弱点、追踪进度与成效以量化方式评估弱点管理成效(报表)符合预先设定的标准实时阻断各类入侵McAfee风险管理方法风险管理方法：l识别风险识别风险l监控风险监控风险l消除风险消除风险l提升安全提升安全典型的安全方案风险管理入侵防御72022-7-22安全漏洞评估方案风险管理特点统一部署安全漏洞扫描器虚拟漏洞扫描服务器。可以自行操作设置扫描策略自动定期安全扫描（按应用业务系统）全面安全管理：定期扫描安全漏洞，生成报告，分析报告，建议安全方案主动了解安全漏洞，提前预防安全问题和入侵防御系统IPS整合和IT服务系统整合入侵防御SP BackboneInternetAgg/BorderRouterMcAfee入侵防御系统IDCFirewall,VPNGigEGigE应用应用A A应用应用B B应用应用C C在适当的网络汇聚层部署入侵防御系统物理检测端口或虚拟检测端口完全独立的基于端口的安全防御策略用户可以自行调整策略和生成安全报告入侵防御方案技术实现：流量净化，防DDoS攻击自动学习异常流量，并自动防范虚拟IPS保证精细化的攻击防范策略避免内部服务器成为Botnet成员采用虚拟防火墙和虚拟IPS隔离不同安全区虚拟补丁技术防止服务器已知漏洞被利用在提供基本访问控制之外，同时有效防范蠕虫传播和入侵跳转McAfee入侵防御系统基于ASIC的 硬件系统 可靠性类似于核心交换机的硬件架构，不是工控机架构基于实时操作系统 无移动部件（硬盘等）对网络完全透明支持HA 高性能和灵活部署可以处理几个G的流量支持高达100万会话数多端口，灵活部署端口用于IDS或IPS模式IntruShield 4000Enterprise CoreMcAfee IntruShield:新一代的 IPS实时检测和防护（低延时）广泛的防护先进的代码库，异常检测和DoS检测很好的扩展性和部署灵活性最灵活的部署方式:In-line,Tap,SPAN,Port clusteringMcAfee NSP:企业网络的保护神实时阻断实时阻断恶意流量恶意流量 对已经阻断的恶意流对已经阻断的恶意流量进行记录和告警量进行记录和告警网网络络数据数据Zero-Day攻击攻击DoSDDoSSYN flood加密攻击行为加密攻击行为VOIP 等应用程序漏洞等应用程序漏洞SQL远程攻击远程攻击Web攻击行为攻击行为Botnet恶意网恶意网络络Malware蠕虫蠕虫特洛伊木马特洛伊木马钓鱼攻击钓鱼攻击P2P威胁威胁黑客远程攻击黑客远程攻击加密攻击行为加密攻击行为 对潜在的恶意流量进对潜在的恶意流量进行汇总和归类行汇总和归类有效数据有效数据带宽带宽管理管理l实时！准确！l防御！高效！14152022-7-22覆盖全球的研究机构（软实力）遍布全球的安全威胁研究机构遍布全球的安全威胁研究机构（AVertAVert）第一时间对黑客攻击实现有效防御第一时间对黑客攻击实现有效防御在中国在中国北京、北京北京、北京和和香港、深圳香港、深圳设立研究小组，侧重对大陆地区安全威胁设立研究小组，侧重对大陆地区安全威胁IPS的漏报和误报问题需要安全研究能力保证！最早发现很多高危的安全威胁:MyDoom,Sasser,BlasterNSS测试：99.7准确率行业平均92%McAfee 全球信息安全研究团队AVERT漏洞研究漏洞研究合规研究合规研究主机和网络入侵研主机和网络入侵研究究恶意代码研究恶意代码研究垃圾邮件研究垃圾邮件研究Web 安全研究安全研究 50,000 样本样本/日日 自自2007年到年到2008年增长年增长453%评估超过评估超过 二千一百万站二千一百万站点点 覆盖覆盖Internet95%的内容的内容 TrustedSource URL 分分析技术析技术 1100亿邮件亿邮件/月月 TrustedSource IP 信誉信誉技术技术 5000万企业节点万企业节点 2亿亿 用户节点用户节点 每天监控每天监控100+信息源信息源 每天监控分析一千万每天监控分析一千万 IPS 报警报警 每天监控分析每天监控分析1000T 流量流量Internet分布在全球26个国家172022-7-22McAfee IPS McAfee IPS 设计设计先进的逻辑处理架构（硬实力）先进的逻辑处理架构（硬实力）危险识别要求设备硬件有软件一样的灵活性交换机一样高速、极低延时intel PC构架无法满足要求McAfee不是工控机架构！182022-7-22技术独特的Asic芯片（硬实力）McAfee参与设计的参与设计的Asic技术；技术；全面提升协议分析处理速度；全面提升协议分析处理速度；由多块由多块Asic组成的处理芯片组，确保了组成的处理芯片组，确保了NSP硬件平台的极高处理性能；硬件平台的极高处理性能；Asic架构也能够确保架构也能够确保NSP具有很长的具有很长的产品使用周期。产品使用周期。McAfeeIPS不是工控机架构！192022-7-22FPGA芯片（硬实力）FPGA芯片具有灵活可靠的特点芯片具有灵活可靠的特点;可以根据软件要求改变运算逻辑可以根据软件要求改变运算逻辑;可以快速稳定的进行协议分析策略的变更可以快速稳定的进行协议分析策略的变更，并添加新的检测协议，并添加新的检测协议;在在Asic架构确保检测速度的情况下，为架构确保检测速度的情况下，为NSP提供无以伦比的灵活性提供无以伦比的灵活性.McAfee IPS不是工控机架构！202022年7月22日星期五业界第一个具备风险识别功能的入侵防御解决方案根据Foundstone或Nessus的扫描数据，IntruShield Alert Viewer 告警查看器提供告警&风险关联优先级的风险管理 提供有关联,不可适用 或 未知等多个关联级别212022年7月22日星期五IntruShield 网络入侵防护与风险管理集成工作为实时风险识别为实时风险识别IPS功能提供保障功能提供保障 自动导入自动导入Foundstone的扫描报告的扫描报告“立即扫描立即扫描”功能自动调用功能自动调用Foundstone按需扫描，实时关联风按需扫描，实时关联风险状况险状况实时风险识别 IPS 功能功能 集中精力处理关键事件集中精力处理关键事件 自动，准确的进行关联自动，准确的进行关联 实时更新每个特定主机的漏洞信息实时更新每个特定主机的漏洞信息 有效利用有效利用Foundstone及及IntruShield的投资的投资实时风险识别 IPS 的优势主动识别风险，有针对性的安全防御主动识别风险，有针对性的安全防御222022年7月22日星期五IntruShield 与 ePO 集成 极大地提高了运营效率极大地提高了运营效率系统感知 IPS 优势“信息密集型”可视性、高效性和相关性 利用客户的 ePO 投资进行安全风险管理协作 更快的获得保护 包含 ePO 主机数据的 系统感知 IPS 右键单击即可获得实时防病毒警报“主机详细信息”提供主机名称、用户名、OS、补丁级别、MAC 地址、上次扫描日期以及其他防护策略 前十位 HIPS/AV/Spyware 事件和第三方的安全事件管理系统集成（如Arcsight）第三方的IT服务管理系统集成（HP SM，BMC）232022年7月22日星期五基于协议的流量管理基于协议的流量管理速率限制与速率分类速率限制与速率分类 ，按用户或用户群分类，按用户或用户群分类-增值服务增值服务Web-30%Email-30%IM-15%P2P 25%您的有效带宽基于协议的速率限制&QoS Allows easy,granular bandwidth control(application,protocol type and port-based)Reclaims bandwidth and stops application hijacking Easily controls non-mission critical or risky applications(P2P/IM)/Helps comply with Corporate Policy Helps prioritize business-critical traffic over unwanted traffic242022年7月22日星期五实时加密攻击保护Step 1将将Web服务器或服务器或SSL终端加密的私终端加密的私钥导入钥导入IntruShield管理服务器管理服务器传感器在启动时收到加密的私钥传感器在启动时收到加密的私钥Step 3Step 2IntruShield 管理服务器用传感管理服务器用传感器的公钥地这些私钥进行加密器的公钥地这些私钥进行加密Step 4传感器将传感器将SSL密钥保存在内在中，密钥保存在内在中，检查检查SSL流量中的攻击流量中的攻击IntruShield ManagerIntruShield 可解密并检查 SSL 流量中一系列的攻击FirewallRouterSwitchCIntruShieldWeb ServersDatabaseServerFinanceINTERNET?DropYWeb ServerDMZ252022年7月22日星期五高可靠性-失效开放和失效关闭 可以进行预配置，以实现可以进行预配置，以实现失效开放和失效关闭失效开放和失效关闭 内嵌于内部，用于快速以内嵌于内部，用于快速以太网太网 用于千兆光纤连接的外部用于千兆光纤连接的外部失效开放工具失效开放工具262022年7月22日星期五高可用性传感器通过所指定的监控端口之间传感器通过所指定的监控端口之间的链路实现通信的链路实现通信 I4000:I4000:使用使用 2A-2B 2A-2B 端口进行通信。端口进行通信。I2700:I2700:使用使用 4A 4A 端口进行通信。端口进行通信。过去发现 DDoS的方法确定基线确定 DDoS 相关流量并了解流量的大小测量不同流量并设定基线(DMZ,Web server,email server,or 不同内部部门)必须经常进行测量以适应网络的变化设定阈值阈值需要经常手动调整先进的DoS/DDoS 发现方法自动学习模式1.1.按短期按短期(2(2 天天)或长期（或长期（2 2周）周）学习流量学习流量 2.2.基于学习结果自动调整检测基于学习结果自动调整检测3.3.可以查看学习状态可以查看学习状态精细的策略管理每探测器同时执行多个策略单策略难以适应复杂环境安全策略可以应用于特定的端口，子网基于攻击的定制策略应用于 VLAN/CIDR/接口策略有丰富的属性选项Virtual IDSWindows2000Unix虚拟 IPS普通普通 IPS 技术仅能支技术仅能支持持单一的安全政策单一的安全政策,结结果造成许多的假果造成许多的假警警報報,并迫使客并迫使客户户安装过多安装过多的安全的安全传感器传感器以前以前如今如今创新的虚拟创新的虚拟 IPS 功能可以在单一功能可以在单一传感器传感器上上针对针对不同网段不同网段使使用不同安全用不同安全策略策略,有效降低假警報有效降低假警報以及以及部署部署成本成本基于基于VLAN/CIDR/Interface 的虚拟的虚拟IPS定义定义 每设备高达每设备高达1000个虚拟个虚拟IPS 每个虚拟每个虚拟IPS附带一个策略附带一个策略多种响应攻击方式 丢弃数据包 中断会话 主机隔离和修复 重设防火墙 抓数据包 发送告警灵活的部署模式适应各种网络结构适应各种网络结构管理界面和报告功能7/22/2022IntruShield 安全管理控制台清晰、简洁的界面强大强大,易用的报告和图表管理易用的报告和图表管理易用的界面易用的界面整合的统一仪表盘整合的统一仪表盘清晰清晰,简单简单 及直观的及直观的用户界面用户界面 集中的，集中的，一体的系统监控和管理一体的系统监控和管理 面对用户的安装向导面对用户的安装向导3分钟完成分钟完成IntruShield的初始配置的初始配置实时的报警管理和汇总实时的报警管理和汇总带有数据挖掘能力的报警分析和汇总带有数据挖掘能力的报警分析和汇总McAfee IPS优势、国际奖项及市场份额对MS漏洞的攻击检测覆盖率对MS漏洞的攻击检测覆盖率382022-7-2210-Gigabit 10-Gigabit 处理性能、高可靠性的网络安全设备处理性能、高可靠性的网络安全设备 可靠性可靠性IntruShield 的高可靠性满足任何国际标准及要求高可用性配置 客户的认可客户的认可衡量 IPS产品的最好标准：被全球近100个国家的客户所认可在NSS Group对于Multi-Gigabit IPS的权威评测中，唯一一个获得认证的网络入侵防护产品 不断获奖的产品不断获奖的产品2007年获得多个奖项成熟稳定的 IDS/IPS系统McAfee Network IPS Leadership#1 in Certified Performance#1 in Certified Performance#1 in Certified Detection Accuracy#1 in Certified Detection Accuracy#1 in IDS/IPS Appliance Market Share#1 in IDS/IPS Appliance Market Share7/22/2022McAfee优势总结技术优势ASIC硬件架构,性能优异高密度的端口，部署灵活加密流量检测能力灵活的中文报告中文攻击资料说明日志融和能力,减少日志量虚拟的IPS功能自学异常流量管理员多级权限划分与McAfee其它安全系统集成McAfee风险管理系统432022-7-22设定弱点管理策略清查资产种类与数量定义资产价值与重要性执行弱点扫描执行威胁比对计算风险等级、找出风险所在修补弱点、追踪进度与成效以量化方式评估弱点管理成效(报表)符合预先设定的标准实时阻断各类入侵McAfee风险管理方法风险管理方法：l识别风险识别风险l监控风险监控风险l消除风险消除风险l提升安全提升安全442022-7-22风险管理系统Foundstone Enterprise v6.7获奖的，基于硬件设备的企业级系统可选模块包括：Remediation module 和Threat correlation module可扩展的硬件架构安全加固的硬件设备，在几分钟内可以完成安装低维护:自动下载、安装升级、补丁，包括OS和数据库所有升级经Foundstone 测试和验证452022-7-22Foundstone Enterprise 6.7 组成部分Foundstone Foundstone 控制台控制台 /引擎引擎进行所有的扫描操作资产自动发现操作系统识别弱点评估无线探测Web应用评估Foundstone Enterprise Manager(Portal)Foundstone Enterprise Manager(Portal)基于角色的Web访问界面基于Web浏览的FoundStone交互控制台从单一接口提供多个主控台的管理产生扫描查看报表弱点补救工作流管理Foundstone数据库数据库数据资源库 维护所有的扫描配置 存储所有用户信息 存储所有扫描数据462022-7-22FoundStone:企业部署架构472022-7-22管理架构482022-7-22资产分类与管理492022-7-22基于资产的扫描任务502022-7-22基于资产的补救措施512022-7-22扫描参数522022-7-22安全评估与测量 量化安全系数量化安全系数 自订安全系数自订安全系数 漏洞分布状况漏洞分布状况/修补建议修补建议 趋势比较分析趋势比较分析532022-7-22Foundstone独特性终端安全终端安全Anti-Virus&Anti-SpywareEmail AV&Anti-SpamHost DLPEndpoint EncryptionDesktop FirewallHost IPSNACPolicy AuditingDevice ControlSiteAdvisorMcAfee 信息安全产品家族网络安全网络安全 Network DLPE-mail SecurityWeb SecurityFirewall/UTMIPSNACBehavioral AnalysisVulnerability MgmtRemediation 风险及合规风险及合规Policy Auditing 代理部署 配置 升级 策略设置 报警 报表单一代理单一代理单一控制台单一控制台ePO McAfee AgentEndpoint EncryptionDevice ControlMacintosh AVLinux AVMcAfeeTotalProtection9、静夜四无邻，荒居旧业贫。22.7.2222.7.22Friday,July 22,202210、雨中黄叶树，灯下白头人。11:18:1911:18:1911:187/22/2022 11:18:19 AM11、以我独沈久，愧君相见频。22.7.2211:18:1911:18Jul-2222-Jul-2212、故人江海别，几度隔山川。11:18:1911:18:1911:18Friday,July 22,202213、乍见翻疑梦，相悲各问年。22.7.2222.7.2211:18:1911:18:19July 22,202214、他乡生白发，旧国见青山。2022年7月22日星期五上午11时18分19秒11:18:1922.7.2215、比不了得就不比，得不到的就不要。2022年7月上午11时18分22.7.2211:18July 22,202216、行动出成果，工作出财富。2022年7月22日星期五11时18分19秒11:18:1922 July 202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。上午11时18分19秒上午11时18分11:18:1922.7.229、没有失败，只有暂时停止成功！。22.7.2222.7.22Friday,July 22,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。11:18:1911:18:1911:187/22/2022 11:18:19 AM11、成功就是日复一日那一点点小小努力的积累。22.7.2211:18:1911:18Jul-2222-Jul-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。11:18:1911:18:1911:18Friday,July 22,202213、不知香积寺，数里入云峰。22.7.2222.7.2211:18:1911:18:19July 22,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月22日星期五上午11时18分19秒11:18:1922.7.2215、楚塞三湘接，荆门九派通。2022年7月上午11时18分22.7.2211:18July 22,202216、少年十五二十时，步行夺得胡马骑。2022年7月22日星期五11时18分19秒11:18:1922 July 202217、空山新雨后，天气晚来秋。上午11时18分19秒上午11时18分11:18:1922.7.229、杨柳散和风，青山澹吾虑。22.7.2222.7.22Friday,July 22,202210、阅读一切好书如同和过去最杰出的人谈话。11:18:1911:18:1911:187/22/2022 11:18:19 AM11、越是没有本领的就越加自命不凡。22.7.2211:18:1911:18Jul-2222-Jul-2212、越是无能的人，越喜欢挑剔别人的错儿。11:18:1911:18:1911:18Friday,July 22,202213、知人者智，自知者明。胜人者有力，自胜者强。22.7.2222.7.2211:18:1911:18:19July 22,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月22日星期五上午11时18分19秒11:18:1922.7.2215、最具挑战性的挑战莫过于提升自我。2022年7月上午11时18分22.7.2211:18July 22,202216、业余生活要有意义，不要越轨。2022年7月22日星期五11时18分19秒11:18:1922 July 202217、一个人即使已登上顶峰，也仍要自强不息。上午11时18分19秒上午11时18分11:18:1922.7.22MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉