《IDC安全保护方案》PPT课件.ppt

September 18, 2020,McAfee 电信级的安全专家,IDC 整体安全解决方案,Name,September 18, 2020,Title of presentation,2,McAfee IDC 整体安全解决方案介绍,IDC 安全需求分析 IDC面临的安全威胁愈来愈严重 传统的来自外部的DDOS攻击依旧存在 来自外部互联网络的黑客侵入行为上升为主要威胁 黑客侵入并劫持IDC内部主机对外部网络发动攻击成为新的网络攻击手段 普通的防病毒软件已无法阻止间谍软件，恶意病毒软件对IDC主机的侵入，IDC主机的安全防护急需加强 随着虚拟化技术的发展，虚拟化环境下的IDC网络安全是一个新的课题 随着IDC业务的发展，客户对IDC的安全防护有了更高的要求 随着3G业务的发展，作为3G数据业务主要支撑节点的IDC的安全保障标准进一步提高,September 18, 2020,3,McAfee IDC 整体安全解决方案介绍,IDC安全需求的总结 在网络出口处对流量攻击的防护和阻断必须是双向的、多功能的 既要防止来自外部的流量攻击，同时也能阻断由内部发动的对外部的攻击 在阻断双向流量攻击同时，而且还能有效地阻断黑客的侵入 流量清洗设备只能够提供单向的对流量攻击的防护，无法应对IDC面临的新的威胁发展 McAfee IPS 5G/10G电信级设备可以有效地阻断黑客的侵入，有效的阻断来自内、外部的流量攻击，将IDC网络安全防护提高到一个新的等级 需提升主机安全防护水平，McAfee 的HIPS（主机安全加固软件）可以有效地提升IDC内部主机的安全水平 McAfee IPS 支持IDC虚拟化的环境下安全解决方案 ePO（公共管理平台）通过统一管理，可以有效的降低安全管理投资、提高维护效率，降低总体运营成本,September 18, 2020,Title of presentation,4,IDC 目前网络安全方案分析,安全防护手段单一 目前采用的IDS产品只能检测发现攻击和侵入，无阻断能力 “流量清洗设备”仅能防止来自外部的DDOS攻击，无法防止黑客侵入，无法阻断产生自IDC内部的对外的流量攻击 IDS和流量清洗设备无法阻挡各种间谍软件的侵入（木马，蠕虫-） 急需电信级的IPS产品来提高IDC的防护水平 实现双向非法流量阻断，防止黑客侵入，阻止网络病毒爆发 提供虚拟IPS功能适应IDC内部多客户的不同安全需求 高性能、高准确率、高端口密度 电信级99.999% 的高可靠性产品,September 18, 2020,Title of presentation,5,McAfee IDC 网络安全方案优势,采用的IPSM8000设备是目前全球唯一支持10G吞吐量、拥有10G处理能力的IPS专用硬件平台 ASIC+FPGA 架构 高端口密度16 GE+ 12 10GE IPv6 保护 IPSM8000/M6050是真正的电信级网络安全产品 电信级高可靠性99.999% 支持非对称路由模式 Fail-Open 技术 HA 技术 时延小于130us,September 18, 2020,Title of presentation,6,McAfee IDC 网络安全方案优势,具有风险管理意识的入侵防护系统 通过与Foundstone集成联动，具备风险感知能力 具备Scan Now 功能 虚拟IPS技术 Vlan based CIDR based 单平台支持1000个虚拟IPS，支持增值业务的开展 IPS 自学习功能 可以学习网络业务模式 基于虚拟IPS的DDoS防护技术 可有效双向阻断非法流量,September 18, 2020,Title of presentation,7,McAfee IDC 网络安全方案优势,部署方式非常灵活 In-Line模式部署 旁路模式部署 核心部署 边缘部署 无需改动现网结构 简化运维、节约成本 All in one 产品集高性能、高安全性、高端口密度于一体 无需部署很多小盒子、负载均衡设备、更改网络路由进行流量清洗等 保护用户网络投资 降低运营成本,September 18, 2020,Title of presentation,8,McAfee IDC 网络安全方案优势,电信级的 IPS设备 能够阻挡已知和未知的安全威胁 基于异常行为分析和特征码的防护引擎 高效的 DoS/DDoS/SYN Flood 防护手段 可对双向非法流量进行阻断 集成主机隔离技术 集成流量控制功能 具有风险意识的入侵防护产品 集成 ePO 可识别主机系统 NSS 唯一获得 Multi-gigabit IPS 认证 CC EAL Level 3 认证,Security Collaboration,Internal Firewall,Risk-Aware IPS,Host Quarantine,IntruShield M-Series,September 18, 2020,Title of presentation,9,部署模式：IDS 方式部署,用户托管区域,Internet,核心交换机,带外管理,互联网接入区域,数据中心核心区,2.5&3 G 业务区域,运维管理区域,空间租用区域,网管区域,Foundstone,Intrushield,Intrushield,Foundstone,虚拟IDS功能监控各个子区域,September 18, 2020,Title of presentation,10,部署模式：IPS方式部署,Internet,核心交换机,带外管理,互联网接入区域,数据中心核心区,网管区域,Foundstone,Intrushield,Intrushield,Foundstone,支持非对称路由模式； 设备支持Fail-Open特性；,用户托管区域,2.5&3 G 业务区域,运维管理区域,空间租用区域,September 18, 2020,Title of presentation,11,部署模式：IPS 区域部署,Internet,核心交换机,带外管理,互联网接入区域,数据中心核心区,网管区域,Foundstone,Intrushield,Foundstone,IPS部署在用户主机区，单台设备可支持8条链路连接，设备支持HA部署模式,Intrushield,HA-Link,用户托管区域,2.5&3 G 业务区域,运维管理区域,空间租用区域,September 18, 2020,Title of presentation,12,部署模式：IPS旁挂部署,用户托管区域,Internet,核心交换机,带外管理,互联网接入区域,数据中心核心区,2.5&3 G 业务区域,运维管理区域,空间租用区域,网管区域,Foundstone,Intrushield,Intrushield,Foundstone,September 18, 2020,Title of presentation,13,虚拟环境下的IDC解决方案介绍,管理控制台,服务管理接口,Internet,Server Zone,Management Server,hypervisor,管理网,September 18, 2020,Title of presentation,14,Host IPS for Servers,VirusScan Enterprise,EPO的全面整合，进行强大的监控与报告,反间谍软件,Linux病毒扫描企业版,离线虚拟镜像VSE版,EPO 管理平台,基于 Server的入侵检测,病毒扫描 企业版(VSE),September 18, 2020,Title of presentation,15,方案优势：对虚拟化安全的广泛支持,ToPS 虚拟化套件 ToPS 端点安全套件 病毒扫描企业版 (VSE) 离线虚拟镜像VSE版 反间谍软件企业版 主机入侵防护 SiteAdvisor 企业版 网络准入控制 ePolicy Orchestrator Linux 病毒扫描企业版 VirusScan 命令行扫描,网络安全平台 漏洞管理器 策略审计 修复管理器 邮件与WEB安全网关VMtrial*,*Leverages virtualization platform,September 18, 2020,Title of presentation,16,McAfee IDC 整体安全解决方案总结,IDC安全方案中相关产品介绍 IPS（防攻击/侵入网关）产品用在IDC网络出口，防止双向流量攻击，阻断黑客侵入 SAV（防病毒软件）用于IDC网络的病毒防护 HIPS（主机加固软件）用于主机系统安全加固(含主机防火墙） Foundstone（安全风险评估）扫描网络内部漏洞，提供风险分析和威胁趋势分析报告，提供按资产优先级的修补工单。 ePO（公共管理软件）提供McAfee安全产品全面管理,September 18, 2020,Title of presentation,17,McAfee IPS M-Series 技术参数,16-28 监控端口 8-12 10-GbE XFP 8-16 10/100/1000 SFP 端口 10/100/1000 Base-T 管理端口 响应端口 热插拔 SFP/XFP 模块 2个10-GbE HA配置端口 支持冗余电源 支持异步路由模式 HA会话实时同步,M-8000,M-6050,September 18, 2020,Title of presentation,18,专门设计的架构 适用于投资保护,专为投资保护而设计的架构 业界最先进的架构专为长时间产品生命周期而设计 考虑到持续的下一代增强 连续提供高级保护抵抗当今威胁间谍软件，恶意程序, DoS, VoIP 和 加密攻击保护永不需要硬件升级 下一代 DoS 和实时加密攻击防御 内置Web客户端，间谍软件和VoIP保护等增强的威胁防御措施 IPS + 内部防火墙集成,September 18, 2020,Title of presentation,19,详细中文化的攻击说明信息,September 18, 2020,Title of presentation,20,业界第一个具备风险识别功能的入侵防御方案,具备风险识别的入侵防御 集中应对最有关联的告警和攻击，提供显著的运作效率 允许导入和关联Foundstone风险评估信息实现优先级的风险管理，同时也支持开源漏洞扫描系统Nessus 通过单一风险识别功能的入侵防御系统控制台，降低IT成本，并增加操作效率 通过识别并阻挡带来最大威胁的攻击，实现最大化安全效果，并减少业务风险,September 18, 2020,Title of presentation,21,业界第一个具备风险识别功能的入侵防御方案,DMZ,Web/FTP,SMTP,Foundstone FS1000,允许客户集中精力在最有关联的告警 & 攻击 导入和关联来自McAfee Foundstone的风险评估信息，或开源漏洞扫描系统Nessus的信息,风险识别的IPS,Linux Attack,DNS,Windows,导入 & 关联 Foundstone 扫描结果,Linux,IntruShield,INTERNET,Router,Router,Switch,IPS,September 18, 2020,Title of presentation,22,业界第一个具备风险识别功能的入侵防御方案,提供有关联, 不可适用 或 未知等多个关联级别,September 18, 2020,Title of presentation,23,McAfee IPS 失效开放和失效关闭,可以进行预配置，以实现失效开放和失效关闭 内嵌于内部，用于快速以太网 用于GE/10GE光纤连接的外部失效开放工具,September 18, 2020,Title of presentation,24,McAfee IPS 高可用性,传感器通过所指定的监控端口之间的链路实现通信,September 18, 2020,Title of presentation,25,McAfee IPS虚拟 IPS功能,现有的 IPS 技术仅能支持单一的安全政策, 结果造成许多的假警報, 并迫使客户安装过多的安全传感器,Before,After,创新的虚拟 IPS 功能可以在单一传感器上针对不同网段使用不同安全策略, 有效降低假警報以及部署成本,VLAN / CIDR / Interface based VIPS definition Up to 1,000 VIPS sensors per device Highly granular policy per VIPS, down to individual host/sub-net and attack,September 18, 2020,Title of presentation,26,McAfee IPS的相关奖项,“IntruShield可谓是IPS中佼佼者, 在效能与安全防护能力的严格评比下, 以最高分获得了金牌奖项, 还有整体的质量及完整的防护功能。IPS透过三种侦测技术来防御已知及未知攻击, 它还保护加密型攻击的强大能力。”,“McAfees IPS的安装工作极为容易, 管理操作接口也非常地友善, 提供了丰富而详细的文件, 具弱点式的攻击保护优易性能。整合主机型IPS的事件分析, 同时还提供了通讯协议译码, 加密型攻击防御以及虚拟IPS的进阶IPS安全保障”,“IPS4010已通过2Gbps的效能测试，其效能在各种负载测试几近完美，即使在超高流量下也能百分百地阻挡掉攻击。 非常值得一提的是IPS4010是NSS Lab测过最具稳固的架构，一般设备在处理大于该设备所能承载的流量时，大多面临瓶颈并且故障，但是IPS4010却可以正常工作。,September 18, 2020,Title of presentation,27,成功案例-电信运营商IDC,国内典型用户 河北联通 IPS M-6050 5G (IDC Call Center) 2008年8月至今运行稳定，防护效果良好 国外典型用户 T-Mobile 29 台 IPS设备 10 X M-8000 (IDC) 6 X M-6050 (IDC) 3 X I 4010 (OA) 10 X I 3000 (OSS&BSS) 2008年12月至今运行稳定，防护效果良好,成功案例-国际电信行业用户,