华为3COM渠道HSE培训教材__深度安全抵御2

,华为3Com技术有限公司,目录,Table of Contents,深度安全抵御,华为3COM渠道HSE培训教材,安全威胁发展趋势,应用层安全威胁分析,深度安全抵御,1999年以前的网络安全模型,Extranet,Private WAN,Internet,Users,Avg. BW = 100Mbps,Avg. BW = 100Mbps,Avg. BW = 1Gbps,Avg. BW = 100Mbps,- 有公共DMZ的具安全广播域,- IDS用于信息安全的辩析和审计,DMZ,Web,FTP,SMTP,DNS,L2 Switch,L2 Switch,L3 Switch,IDS,ALERT!,IDS,ALERT!,IDS,ALERT!,Avg. BW =,N x 1.54Mbps,N x 45.3 Mbps,1,000s of Network Elements,广域网边缘,局域网边缘,核心局域网,局域网分发层,局域网接入,趋势一：网络边界的消失,移动办公的普及,90%以上的计算机会感染了间谍软件、广告软件、木马和病毒等恶意软件,后果：重要数据丢失，机器被远程控制，病毒和蠕虫在内网恣意传播,漏洞数,x 系统数,= 不可完成的任务,趋势二：威胁和应用息息相关,:,Internet,Internal Users,FireWall,Port 80,Web services,Web enabled apps,IM traffic,Rich media,Internet access,43%,43%,55%,43%,98%,80 ,HTTP,“75的成功针对WEB服务器的攻击是通过应用层完成的，而不是网络层来完成的。,应用层威胁可以穿透防火墙,趋势三：威胁涌现和传播速度越来越快,Zero Day Attack！,趋势三：威胁涌现和传播速度越来越快,CodeRed案例：,SQL Slammer案例：,每,8.5 秒感染范围就扩展一倍,在10分钟内感染了全球90有漏洞的机器,趋势三：威胁涌现和传播速度越来越快,趋势四：越来越多的威胁变成利益驱动,技术驱动,isdom,oney,利益驱动,某ICP受到DDoS攻击威胁,2005年11月1日英国人Devid Levi因为“网络钓鱼”被判刑4年,利用ebay骗取$355,000,间谍软件/广告软件背后大量的利益空间,趋势五：攻击变的越来越简单,安全威胁发展趋势,应用层安全威胁分析,深度安全抵御,应用层威胁简介,TippingPoint综合威胁抵御,蠕虫/病毒,DoS/DDoS,间谍软件,网络钓鱼,带宽滥用,垃圾邮件,蠕虫,蠕 虫,什么是计算机蠕虫？,定义：,计算机蠕虫是指通过计算机网络传播的病毒，泛滥时可以导致网络阻塞甚至瘫痪。,第一个Internet蠕虫是出现于1988年的Morris病毒,蠕虫特点传播快、传播广,蠕虫特点危害高,网络拥挤,2004年初，I-Worm/Netsky、I-Worm/BBEagle、I-Worm/MyDoom三大蠕虫病毒一齐爆发，蚕食25%网络带宽,DoS（Denial of Service）攻击,I-Worm/MyDoom.a蠕虫定于爆发后1星期对发动DoS攻击。sco网站虽积极备战，但由于感染点过多，在遭受攻击当天即陷入瘫痪,经济损失巨大,I-Worm/CodeRed: 20亿美元 I-Worm/Sobig: 26亿美元,计算机蠕虫的类型,系统漏洞型,群发邮件型,共享型,寄生型,混合型,系统漏洞型蠕虫,特点：利用系统设计漏洞主动感染传播,红色代码(CodeRed)：,MS01-033，微软索引服务器缓冲区溢出漏洞，TCP 80,SQL SLAMMER：,MS02-039，SQL服务器漏洞，UDP 1434,冲击波(Blaster),MS03-026，RPC DCOM服务漏洞，TCP 135 139等等,震荡波(Sasser)：,MS04-011，LSASS本地安全认证子系统服务漏洞，TCP 445等,Zotob,MS05-39，windows PnP服务漏洞，TCP 445,蠕虫的组成,弹头,传播引擎,目标选择算法,扫描引擎,有效负荷,弹头,缓冲区溢出、共享文件、电子邮件,传播引擎,、HTTP,目标选择算法,EMAIL地址、主机列表、DNS等等,扫描引擎,有效负荷,后门、拒绝服务攻击、其他操作,蠕虫的传播和防御,蠕虫的传播过程：,探测,渗透,扎根,传播,破坏,隔离,Text,限制,免疫,治疗,防御蠕虫过程,为所有的系统及时打上漏洞补丁（中心补丁服务器),用IPS/IPS来检查蠕虫的活动,用访问控制来限制蠕虫传播,用PVLAN来保护关键服务器,用网管工具来追踪被感染的主机,通过CAR来限制蠕虫流量,全网部署病毒扫描措施,间谍软件,间谍软件,什么是间谍软件？,定义：,间谍软件驻留在计算机的系统中，收集有关用户操作习惯的信息，并将这些信息通过互联网悄无声息地发送给软件的发布者，由于这一过程是在用户不知情的情况下进行，因此具有此类双重功能的软件通常被称作,Spy,Ware,（间谍软件）。,间谍软件有什么危害？,不断向外连接和弹出广告窗口，耗费了大量的网络带宽,占用大量硬盘和,CPU,资源,造成计算机计算缓慢、死机,修改,IE,设置、安装工具条，很难修改回去,安装后门、病毒和向外泄漏信息,个人信息和密码、上网习惯、,EMAIL,联系人地址等等,间谍软件有哪些类型？,浏览器劫持：例如，,CoolWebSearch,IE,工具条和弹出窗口：例如，某些网络广告,Winsock,劫持,中间人代理：,MarketScore,间谍软件怎么传播的？,某些免费软件带有间谍软件：,如,Kazaa,、,iMesh,、,eMule,、,WeatherBug,等等,下面的,EULA,（最终用户授权协议,来自一个著名的间谍软件：,间谍软件怎么传播的？,通过浏览器安装间谍软件,滥用控件：如,ActiveX,利用浏览器程序漏洞：,IE CHM,文件处理漏洞,下面一个网站试图在您的计算机上安装恶意软件,怎么防止间谍软件？,保持安全意识，对可能出现的安全威胁保持警惕,如不随便安装下载的免费软件,正确设置,IE,安全域,保持操作系统的升级打补丁,安装防间谍软件：,Anti-,Spyware,、,基于网络的防御方式,带宽滥用,带宽滥用,什么是带宽滥用？,“带宽滥用,”,是指对于企业网络来说，非业务数据流（如,P2P,文件传输与即时通讯、垃圾邮件、病毒和网络攻击 ）消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业,IT,系统瘫痪。,据研究机构,Cachelogic,调查，如今,P2P,占了全球网络流量的一半以上,P2P滥用的危害,影响、瘫痪企业系统的正常运作,网络不断扩容，总还不够用,ISP,最头疼的问题,版权纠纷,美国电影协会起诉BT网站,带宽杀手-P2P,什么是,P2P,？,P2P,，全称叫做,Peer-to-Peer,，即对等互联网络技术（点对点网络技术），它让用户可以直接连接到其它用户的计算机，进行文件共享与交换。,P2P,的典型应用,BT,、,eMule,、,eDonkey,、,PoP,文件共享传输,IM,即使通讯软件,杀手中的顶尖高手-BT,BT,全称：,BitTorrent,当前中国的,P2P,流量中,BT,占了,60%,英国网络流量统计公司,CacheLogic,表示,去年全球有超过一半的文件交换是通过,BT,进行的,BT,占了互联网总流量的,35,这比所有点对点程序加起来还要多,使得浏览网页这些主流应用所占的流量相形见绌,BitTorrent创始人Bram Cohen,Peer list,pc1 202.45.3.,pc2 65.80.21.,pc3 145.10.9.,pc4 202.78.1.,pc5 65.31.13.,.,BT原理,通过HTTP访问服务器，索要Peer列表,pc1,pc2,pc3,pc4,pc5,pc6,通过bt客户端指定端口，与种子建立连接,pc0 202.1.1.1,如何防止带宽滥用、限流BT,封堵端口,适用官方,BT,支持,BT,软件层出不穷,端口可以任意改变,封堵,BT,服务器,IP,BT,服务器多不胜数,架设简单，每天不断增加,BT客户端,端口范围,贪婪,ABC,可以手工设置,BitComet,没有公开,BitTorrent Plus,可以手工设置,BitTorrent,68816889,比特精灵,Bit Spirit,16881,DUDU加速下载,没有公开,如何防止带宽滥用、限流BT,BT,建立连接过程,IPS,深度检测，截断,/,限流,BT,协议报文,、TCP三次握手,、BT对等协议二次握手,、握手成功，传输数据,二次握手报文头,DoS/DDoS,DoS/DDoS,什么是DoS/DDoS攻击？,定义：,DoS(Denial of Service，拒绝服务)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。,DDoS (Distributed Denial of Service，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。,DoS/DDoS的危害,服务器宕机，业务中断,大面积断网，网络瘫痪,DoS 攻击是导致去年损失最为惨重的计算机犯罪事件，其带来的损失是其它各类攻击造成损失总和的两倍有余。”, 2004 年CSI/FBI 计算机犯罪及安全调查。,网上黑客每周发起的DoS攻击超过了4000次,DoS/DDoS危害的特点,黑客幕后操控，计划性，针对性,eBay等网上购物网站经常遭到DoS攻击，导致恶意竞拍,引起拍卖者不满。,日本政府网站在去年和今年先后三次造黑客DoS攻击，导致网站无法正常开放。,通过蠕虫传播，范围性，破坏性,2003年大名鼎鼎的Blaster不仅导致计算机重启，幕后操纵者还通过后门对微软的安全补丁大本营网站的80端口发起了一场SYN flood攻击。迫使微软下决心每月发布漏洞补丁。,2004年MyDoom蠕虫成为有史以来传播最快的邮件病毒，在一周之内感染十万台计算机，并控制被感染计算机向微软网站发动DoS攻击。微软悬赏25万美元，捉拿MyDoom的作者。,DoS攻击的分类,资源占领型,一对一进行攻击 如：SYN Flood with IP Spoofing,多对一进行攻击 如：TFN,系统漏洞型,网络层 如： Ping of Death,应用层 如： Windows漏洞,资源占用型一对一攻击,一对一半连接攻击,典型案例,：SYN Flood with IP Spoofing,发送带有伪造源IP地址的SYN包，造成大量半连接耗尽服务器资源。,特点,：生命周期长，无法通过下载补丁，升级软件等方式解决,防范,：通过TCP Proxy、TCP Cookie,Hello?,Where are you?,I am here.,正常,TCP,三次握手完成连接,通过半连接耗尽正常服务资源,Hello?,Hello?,Hello?,Where are you?,Where are you?,Where are you?,资源占用型多对一攻击,多对一资源比拼,典型案例,：DDoS攻击（典型工具：TFN）,通过发送大量的正常连接，侵占服务器带宽资源。近乎于无赖式的攻击。,特点,：危害大，完成三次握手难以防御，补丁、传统防火墙和服务器几乎无法应对。,防范,: CPS(Connection Per Second)、限制固定IP最大连接数,著名的DDoS攻击工具TFN,TFN(Tribe Flood Network),德国著名黑客Mixter编写的分布式拒绝服务攻击工具,TFN由主控端程序和代理端组成,攻击者到主控端TCP绑定,主控端到代理端ICMP_ECHOREPLY,代理端对目标机SYN Flood、ICMP Flood、UDP Flood、Smurf 攻击,免费的DDoS攻击工具，还包括Trinoo、TFN2k、Stacheldraht等，使得DDoS攻击技术门槛降低更加普及，对网络造成严重威胁,Mixter,ID字段包含命令,DDoS攻击模型,受害者,攻击者,主控端,主控端,代理端,主控端,代理端,代理端,代理端,代理端,代理端,僵尸军团,系统漏洞型网络层,网络层软件漏洞导致,典型：,Ping of Death,根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。,特点,：种类繁多，一击致命，攻击方式生命周期短,防范,：防火墙匹配攻击特征，升级系统。,系统漏洞型应用层,应用层的漏洞也会导致DoS攻击,MS04-29：当 RPC 运行时库处理特制的消息时，存在一个信息泄露和拒绝漏洞,MS05-45：网络连接管理器中的漏洞可能允许拒绝服务,特点,：层出不穷 一击致命，防火墙无法防御。,防范,：及时打补丁,利用数字疫苗技术,IPS进行精确阻断。,网络钓鱼,网络钓鱼,什么是网络钓鱼（Phishing）？,“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的,Web,站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达,5%,的人都会对这些骗局做出响应。,在美国和英国已经开始出现专门反网络钓鱼的组织，越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列，比如,微,软、戴尔都宣布设立专案分析师或推出用户教育计划，微软还捐出,4.6,万美元的软件，协助防治“网络钓鱼”。,网络钓鱼示例,典型的钓鱼过程,钓鱼者,Victim Web Server,受害用户,发送钓鱼邮件,受害者点击钓鱼URL,钓鱼网站被浏览,受害者发送机密信息,入侵主机，安装钓鱼网站和,垃圾邮件箱,Mail Drop Service,信息被发送到另外一个邮箱,钓鱼者索取信息,网络钓鱼成功的关键要素,被钓鱼的人必须是某个品牌的客户（如,PayPal,、,Citibank,、中国工商银行等等）,被钓鱼的人必须对钓鱼者发来的信息非常信任，认为它和该网站的交流是正确有效有保护的,被钓鱼的人必须马上采取措施以避免某种损失或灾害,网络钓鱼进行进行欺骗的技术手段,伪造发件人地址,：,发件人可以是,可以是,accounteba,，但是实际上不是,伪造虚假连接,：图像连接,其他欺骗技术,其他欺骗技术,高级钓鱼话题利用XSS漏洞,跨站脚本漏洞（,Cross Site Script,）允许在一个合法的站点上插入非法的脚本,恶意的脚本在客户机上被执行，而这个客户机信任该站点,客户机上的信息被恶意脚本获得，包括用户,login,的名字，,cookie,等等,特别具有欺骗性，用户看到的界面是“合法的站点”，包括,URL,、数字证书等等，但是由于服务器的漏洞，导致客户机上机密信息被盗取,如何防钓鱼？,客户机：,不要随便点击,EMAIL,、,ICQ,和聊天室里的链接,不要连接到不信任的网络和使用不信任的计算机,启用个人防火墙,不断的更新客户机软件（防病毒、,WEB,浏览器、,EMAIL,客户端）,用数字证书,企业：,使用,IPS,教育用户，并让他们的软件保持更新,部署防垃圾邮件和防病毒措施,安全威胁发展趋势,应用层安全威胁分析,深度安全抵御,网络层次越高资产价值越大,L5-L7:,Application Layer,L4: Transport Layer,L3: Network Layer,L2: Lnk Layer,L1: Phy. Layer,Router,Traditional,Firewall,TCP/IP Stack,NIC,OSes,Web Servers,Web ApplicationFrameworks,Applications,风险越高越迫切需要被保护,Application Data,Session ID,HTTP Request/Respond,TCP Connection,IP Packet,Ethernet Packet,Bit on Wire,深度安全抵御的必要条件,: 深度业务感知,深度安全抵御的必要条件,: 线内操作方式,只有在线内对流量进行处理，才能真正阻挡出现在网络上出现的攻击,服务器,防火墙,IDS,报警,!,发送TCPRST,指令，终止TCP,连接,to,重新配置,防火墙，使,其能阻挡来,自攻击地址,的流量,TCP resets,和,重新,Firewall,不能真正工作,整个操作要花,100,毫秒的时间 ，这对现代的网络来说是一个巨大的时间窗口,不能阻挡类似于,Slammer(,单个,UDP,数据报,),的攻击,IPS,能在一个攻击发生危害之前，对其实施阻挡,它根据每个数据包，作出允许还是拒绝的决定,服务器,防火墙,IDS,线内操作，并且以,网速运行，只要,检测到攻击,，就进行阻挡,深度安全抵御的其他必要条件,对威胁的动态自适应抵御能力,蠕虫、带宽滥用、间谍软件、网络钓鱼、,DDoS,、垃圾邮件,高性能,延迟,吞吐量,高可靠,易部署和管理,华为3Com TippingPoint 核心属性,属性,Value,为IPS特性特定定制ASIC硬件平台,为实现高安全性和网络提供可扩展硬件平台,50Mb 5Gb 性能,为网络周边和内部网络提供可升级的解决方案,交换机似的延时,要实现网络线内部署时，丝毫不影响网络性能,线内攻击阻挡,有效地、前瞻性终止攻击,速率整形,实现带宽管理和网络性能保护,完善的过滤器方方法,精确并且全面的攻击过滤器,now with SYN 代理机制和连接速率限制,为各类进化的DDOS攻击，提供最先进的保护,TippingPoint威胁防御引擎（TSE）,基于特定NP+ASIC+FPGA的硬件解决方案,支持,10,000条平行过滤器,微秒级的延时（150微秒）,10 专利,流,状态,表,Multi-flow Analysis,基线,异常流量检测,IP 碎片重组,TCP流重组,第七层的数据包,流进行检查,并行处理,正则表达式匹配,协议解码,流量整形,数据流,分类和标识,数据包,丢弃和重定向,报警和通知,标准化,n,可编程过滤器,1,2,3,TippingPoint对新威协的自适应性,专门设计硬件引挚，支持多达1万条的过滤器,基于软件解决方案扩展性差,在过滤器设计深度和广度寻求平衡点,TippingPoint 今天已超过1600 个过滤器,每周都在增长,数字疫苗服务紧紧跟进Sans报告的危急漏洞,TippingPoint 控测引挚支持:,基于签名的过滤器,基于协议异常过滤器,基于流量异常过滤器,基于漏洞的过滤器,大量协议解码器,TippingPoint 过滤器的方法,签名,用法,:,固定模式,正则表达式,检测和防止,:,病毒,特洛伊木马,已知攻击,P2P,应用,未经授权的即时通讯,协议,异常,用法,:,遵守,RFC,协议解码器,SYN,代理服务器,标准化,检测和防止,:,规避,未知的攻击,流量异常,未经授权的访问,SYN Floods,漏洞,用法,:,协议解码器,正则表达式,应用消息分析,检测和防止,:,未知攻击,蠕虫,/Walk-in,蠕虫,未经授权的访问,流量异常,用法,:,流量阈值,连接限制,连接速率限制,检测和防止,:,DDoS,攻击,未知的攻击,流量异常,高可用性和基于状态网络冗余,热插拨，双电源支持,内置监控,Watchdog 计时器,安全和管理引擎,自动或手动切换到L2 交换机方式,99.999% 网络可靠性,网络状态冗余,Active-Active,Active-Passive,没有 IP 地址或,MAC 地址,对路由协议透明,HSRP, VRRP, OSPF,基于状态网络冗余,内置的高可用性,TippingPoint 提供更多的入侵防御保护,超高的性能,定制的硬件,5 Gbps,呑吐量,t,交换机似的延时,2,百万个会话数,每秒钟建立,25,万个会话,整个数据流的全面检查,64k,速率整形队列,1,万个并行过滤器,基础设施保护,应用保护,性能保护,入侵,防御,系统,当今的业务需求,性能、可靠性、保护,相互间不能影响,应用保护, 用户和服务器提供防护,对第二层到第七层实行全部的检查,对存在的漏洞提供保护,对网络边界和内部网络提供保护,实现零时差攻击保护,不必紧急实施为危险漏洞打补丁,防止应用程序和操作系统损坏或宕机,保护,:,Microsoft,应用软件,&,操作系统,Oracle,应用,Linux O/S,VoIP,来自,:,蠕虫,/Walk-in,蠕虫,病毒,特洛伊木马,DDoS,攻击,内部攻击,未经授权的访问,基础设施保护,应用保护,性能保护,入侵,防御,系统,基础设施保护, 为网络设备提供防护,对网络设备的漏洞提供保护,对出现的反常流量进行防范,自动测量流量基线,速率限制, 阻挡, 或对超过阀值的流量报警,支持用户定义的 IP filters, ACLs,保护,:,路由器,交换机,防火墙,VoIP,来自,:,蠕虫,/W,alk-in,蠕虫,病毒,特洛伊木马,DDoS,攻击,SYN Floods,攻击,异常流量,基础设施保护,应用保护,性能保护,入侵,防御,系统,自动对异常流量进行控制,对指定的流量类型设置主要和次要阀值,对路由器和交换机提供保护,对未知攻击进行的零时差攻击进行防御,采取措施: 速率整形到 2 Mbps,主要阈,2,Mbps,time,指定流量的带宽,2 Mbps,(e.g., ICMP traffic),采取措施: 发出预警邮件,次要阈,4 Mbps,7 Mbps,基础设施保护, 为网络设备提供防护,保护,:,带宽,服务器,关健的应用和流量,来自,:,P2P,应用,未经授权的即时通信,未经授权的应用,DDoS,攻击,性能保护, 对网络性能提供防护,即使在没有受到攻击的情况下，提高网络的性能,对非关健应用进行速率限制,消除对带宽的占用,控制一些,不讲道德应用,消除对网络误用和滥用,控制P2P的流量,基础设施保护,应用保护,性能保护,入侵,防御,系统,性能保护TippingPoint 覆盖P2P的应用,TippingPoint 能对98%的P2P的进行限速和阻挡,Top 10 P2P Applications,Source: AssetMetrix Research Labs,性能保护带宽管理对流量的影响,为关健应用提带宽保保护,对误用和滥用网络进行控制,数字疫苗在线更新机制,SANS,CERT,Vendor Advisories,Bugtraq,VulnWatch,PacketStorm,Securiteam,数字疫苗,自动在线,为用户更新,漏洞分析系统,智能化原始数据采集,疫苗生成,大规模的分发系统,通过AkamaiCND在56个国家的,9,700 服务器进行分发,RISK,Weekly Report,过滤器类型,签名（,Signature,）,漏洞（,Vulnerability,）,异常流量和（或）异常流量统计,保护的时间过程,时间间隙：,“安全窗口,”时间,从以前的几个月,到现在的几天,一旦蠕虫出现，有漏洞危险的主机受到保护,蠕虫在几分钟内会全球扩散,Slammer,蠕虫在,10,分钟内攻击了,90%,有漏洞的机器,攻击者在准备攻击，危险,即将来临,.,冲击波蠕虫（,Blaster,）是在攻击码,出现二天后开始的攻击,漏洞公布,攻击码,出现,蠕虫,出现,所有,有漏洞的主机,受到威协,TippingPoint,数字疫苗,在几小时或几天内,分发到客户,Huawei-3Com,为客户提供保护,数字疫苗覆盖范围和发展,为应对各种动态攻击和满足用户需求，Huawei-3Com不断开发针对不同领域的数字疫苗：,Feb 2002TippingPoint Launches first IPS,漏洞防护,Jan, 2004,Mydoom.A,Explodes,病毒防护,VoIP,基于应用流量整形,(P2P, IM, etc.),高级,DDOS,June, 2004,New VoIP Digital Vaccine capabilities announced,August, 2004,Advanced DDOS capabilities announced,November, 2004,First IPS to provide Spyware Coverage,间谍软件,虚拟软件补丁技术,一个漏洞（弱点）就是软件程序中存有的一个安全,缺陷,一个攻击就是能充分一个存在的安全,缺陷,，从而实现不需任何授权就能对易受攻击（有漏洞）的系统进行访问的程序,简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器,由于受到处理器引擎性能限制，过滤器开发人员只能采用这种最基本的过滤器,结果：漏报、误报、继续受到攻击,IPS,的弱点过滤器实际应是一个虚拟软件补丁，它能覆盖整个漏洞,漏洞,“特征码,”,攻击,A,“特征码”,攻击,B,“特征码,”,(由攻击A的粗糙的签名造成,遗漏的攻击）,误报,(粗糙的签名）,简单的攻击A的过滤器,虚拟,软件,补丁,TippingPoint 安全管理系统（SMS）,SMS是一个硬件产器，软件在出厂时已,预安装,安装简单,扩展性强,企业级安全策略管理,基于端口策略管理,基于设备的策略管理,TippingPoint抵御蠕虫,红色代码,(CodeRed),：,MS01-033,，微软索引服务器缓冲区溢出漏洞，通过,TCP 80,传播,Filter Name: 0260: HTTP: Code Red Worm,SQL SLAMMER,：,MS02-039,，,SQL,服务器漏洞，通过,UDP 1434,进行传播,Filter Name: 1456: MS-SQL: Slammer-Sapphire Worm,冲击波,(Blaster),：,MS03-026,，,RPC DCOM,服务漏洞，利用,TCP 135 139,等传播,Filter Name: 2289: MS-RPC: DCOM,ISystemActivator,Overflow,震荡波,(,Sasser,),：,MS04-011,，,LSASS,本地安全认证子系统服务漏洞，利用,TCP 139 445,端口传播,Filter Name: 2754: MS-RPC: LSASS Active Directory Interface Overflow,zotob,：,MS05-39,，,windows PnP,服务漏洞，利用,TCP 445,端口进行传播,Filter Name: 3677: MS-RPC: Windows,PlugnPlay,Request Anomaly,TippingPoint抵御间谍软件1,Kazaa,自带间谍软件：,免费版本夹带了,Cydoor,、,Gator(GAIN,),、,MyWaySearch,Toolbar,和,Altnet,P2P,网络组件,与,Kazaa,绑定,TippingPoint,解决方案：,TippingPoint,透过防止间谍软件的渗透来提升网络使用,网络管理者可以设定,IPS,侦测并阻挡基于用户浏览习惯的目标广告要求，防止出现有害广告,阻挡所有数据传输或登入,Altnet,PeerPoints,Manager,TippingPoint抵御间谍软件2,问题描述：,越来越多间谍软件透过,Internet Explorer,的安全漏洞来完成安装,漏洞举例：,MHTML,通讯协议处理程序的跨网域漏洞。,TippingPoint,解决方案：,Filter 2736,：,IE CHM Vulnerability,（,IE CHM,文件处理漏洞）,保护网页浏览器中的安全漏洞，其提供的过滤器它专门阻挡对,Internet Explorer,漏洞的利用,它可以防止该漏洞导致的进一步间谍软件下载,TippingPoint抵御带宽滥用以BT为例,Filter Name: 2265:,BitTorrent,: .torrent,Category: Performance Protection - Misuse & Abuse,这个,filter,可以阻止下载机器通过,HTTP,协议发送下载种子文件的请求,Filter Name: 2268:,BitTorrent,: .torrent,Category: Performance Protection - Misuse & Abuse,这个,filter,可以阻止通过,HTTP,协议的种子文件下载,Filter Name: 2269:,BitTorrent,: Tracker Contact,Category: Performance Protection - Misuse & Abuse,这个,filter,可以阻止下载机器和,Tracker,的连接,Filter Name: 2270:,BitTorrent,: Peer-to-Peer Communications,Category: Performance Protection - Misuse & Abuse,这个,filter,可以阻止或者限流,BT,对端之间的下载和上传流量,TippingPoint抵御DDoS,SYN Proxy,技术防,Syn,Flood,攻击,流量异常检测,流量模型学习和基线阈值设置,连接限制（,Established Connection Flood,）,连接速率限制（,Connection Per Second Flood,）,TippingPoint抵御网络钓鱼,钓鱼者,Victim Web Server,受害用户,发送钓鱼邮件,受害者点击钓鱼URL,钓鱼网站被浏览,受害者发送机密信息,入侵主机，安装钓鱼网站和,垃圾邮件箱,Mail Drop Service,信息被发送到另外一个邮箱,钓鱼者索取信息,1,2,3,TippingPoint抵御钓鱼,1. 发送钓鱼邮件,TippingPoint 通过基于行为的过滤器、结合内容检测等技术阻止钓鱼邮件,2. 钓鱼网站被浏览,Web站点的显示内容被IPS评估是否利用了系统漏洞来进行欺骗,3. 受害者提交敏感形象,IPS可以阻止敏感信息的传送,TippingPoint 产品系列,安全管理系统（SMS）,Up to 2.0 Gbps,8x10/100/1000,Copper/Fiber,Up to 1.2 Gbps,8x10/100/1000,Copper/Fiber,Upto 400 Mbps,8x10/100/1000,Copper/Fiber,Up to 200 Mbps,4x10/100/1000,Copper,Up to 5.0 Gbps,8x10/100/1000,Copper/Fiber,Up to 100 Mbps,2x10/100/1000,Copper,Up to 50 Mbps,2x10/100/1000,Copper,(Active- Standby),行业对TippingPoint的需求机会点,政府：政府电子政务外网,金融：金融数据中心外联网,电力：电厂、电力数据通信网,公共事业：大企业数据中心、高校校园网,商业网络：中心企业网络,Internet,出口,运营商：城域网、,ICT,研发,财经,市场,DMZ区,SMTP,POP3,WEB,ERP,OA,CRM,数据中心,TIPI部署在Internet边界，放在防火墙后面，可以,抵御来自,Internet,的针对,DMZ,区服务器的应用层攻击,来自,Internet,的,DDoS,攻击,TIPI部署在数据中心：,抵御来自内网攻击，保护核心服务器和核心数据,提供虚拟软件补丁服务，保证服务器最大正常运行时间,TIPI部署在内部局域网段之间，可以,抑制内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播,抵御内网攻击,深度安全抵御保护网络安全,分支机构,分支机构,分支机构,TIPI部署在广域网边界：,抵御来自分支机构攻击,保护广域网线路带宽,TIPI部署在外网Internet边界，放在防火墙前面，可以,保护防火墙等网络基础设施,对,Internet,出口带宽进行精细控制，防止带宽滥用,渠道增值服务“网络B超”专业网络体检,经过系统培训，渠道可以为客户提供专业安全服务：,了解网络问题,正常业务流量：如,notes,、,CRM,、,ERP,滥用带宽流量：如,IM,、,P2P,恶意流量：如攻击、间谍软件、木马、蠕虫,找出问题根源,定位攻击源、间谍软件感染源、蠕虫病毒源,提供个性化报表一目了然,提供专业安全建议后顾“无”忧,EMAIL流量,间谍软件流量,P2P文件共享,IM流量,notes和web流量,怎样寻找并抓住TippingPoint机会点？,用户有非常关心的安全热点问题吗？,引导用户进行“,网络B超,”,Y,在线测试发现的问题怎么解决？,把IPS做进方案：,结合行业特点，针对热点问题，给出解决方案,让用户接受IPS：,用卖点和案例说明产品的独一无二，打消用户顾虑,等等，专家说，Cisco说，,把IPS产品介绍给用户：,在线测试,！,N,IPS可以解决用户关心的,六大热点问题,？,网页被篡改,总在花钱升级网络带宽，但带宽总也不够（被P2P等无关流量消耗殆尽）,服务器应用访问很慢（这时，可能遇到大量的DoS和DDoS攻击）,病毒和蠕虫泛滥,间谍软件泛滥,服务器上的应用是关键应用，不能经常宕机维护，不能随时打补丁,TippingPoint Awards,Frost and Sullivan 2005 Network Security Infrastructure Protection Entrepreneurial Company of the Year,TippingPoint was named the 2005 Network Security Infrastructure Protection Entrepreneurial Company of the Year by Frost & Sullivan.,Information Security Magazine,2004 Product of the Year,TippingPoint was selected by Information Security Magazine as 2004 Product of the Year for Intrusion Prevention Systems.,SC Magazine Best Buy of 2004,TippingPoints was selected by SC Magazine as a Best Buy in 2004 for intrusion prevention,SC Global Awards 2005,TippingPoint is a finalist in the 2005 SC Global Awards category of Best Security Solution.,IDG Network Awards 2004 Winner,TippingPoint is the winner of the Network Protection Product of the Year from IDG and TechW. The prestigious IDG awards recognize the very best in the industry and reward companies for innovative and effective use of networking technology.,SC Magazine Best Buy,TippingPoint was selected by SC Magazine as a Best Buy in their group test of intrusion prevention products.,Common Criteria Certification,TippingPoint is the first Intrusion Prevention System (IPS) to obtain all four government-validated protection profiles: analyzer, sensor, scanner and system.,SANS Trusted Tool,TippingPoints Intrusion Prevention System has been selected as a Trusted Tool by the SANS Institute, the worlds premier security research and training organization.,NSS Gold Award,TippingPoints Intrusion Prevention System is the first and only product to win the coveted NSS Gold Award in the IPS space.,eWeek Excellence Award,TippingPoints Intrusion Prevention Systems received the Enterprise Resource Protection eWeek Excellence Award announced in the April 5, 2004 issue of eWeek Magazine.,InfoWorld 100,University of Dayton, a TippingPoint customer, was recognized as a technological leader and awarded with the InfoWorld 100 for its advancements made through implementing TippingPoints Intrusion Prevention Systems.,eWeek Labs Analysts Choice Award,TippingPoints IPS ably handled both real and staged attacks on eWEEK Labs test network, attached to the Internet for nearly a week.,The Tolly Group Up To Spec,Performance and security benchmark. TippingPoints IPS demonstrated 100% security accuracy at 2 Gbps.,CompTIA Best New Product,TippingPoints Intrusion Prevention Systems were named Best New Product in the hardware category at the Executive Breakaway 2003 Conference hosted by CompTIA in Halifax, Canada.,University Business Magazine Show Stopper Award,TippingPoints Intrusion Prevention Systems were awarded the Show-Stopper at the 2003 Educause Conference in Anaheim, California.,部分客户,精选,成功案例：微软数据中心,问题描述,:,微软的软件漏洞和产品市场普及性激发了黑客群体的浓厚兴趣，其数据中心成为攻击的目标，攻击导致问题层出不穷,TippingPoint解决之道：,微软在全球18个数据中心在遭受冲击波蠕虫攻击后，,TippingPoint,就扮演起帮助微软保护其,DataCenter,的重要角色,微软的,MSN,及,Hotmail,也是由,TippingPoint 保护他们的服务,不遭受黑客或,DDoS 攻击,目前微软在,“,黑色星期二,”,所公布软件漏洞报告, TippingPoint,也是从两年前到今天为止公认能夠最快提供,“补丁,”的信息安全厂商,(微软,提供补丁的,24小时,前,),精选,成功案例： Wall-Mart,(沃尔玛,),Wall-Mart,全世界,4万,家商场內的服务器拥有大量的微软, Oracle, Linux, BEA, SAP ,等软件平台,.,但却无法及时修补这些软件所公布的漏洞,而遭受,Sasser 及Blaster,的攻击导致上千万美元的损失,. “补丁,管理,”,成为他们日前最头痛的问题,沃尔玛总,部需要一个产品能夠同時管理 四万台信息安全设备,它需具备,“,自动软件弱点更新,” , “策略统一设定,”, “流量,QoS 管理,”, “病毒特征码自动更新,”,等的功能,总部互联网带宽超过,2.8G, 设备,的延时不能超过,300,微秒,(FW,是大约,100,毫秒,),並能防御超过,500MB,的攻击和,Streaming,相关的,UDP based,攻击 他们有大量的电视会议,(Video Conferencing),使用需求,总部超过,2,000,台大型主机, 无,法长期赶上软件更新,“补,丁,”,的速度,人力维护及時间的投入太大, 需,要用,TippingPoint 独门,的,“虚拟软件补丁,”技术来节省人力及预防,“,零時差,”,攻击的发生,存在,安全风险的空隙,安全风险呈指距数级增长,新的安全需求远远超过了IT的能力,新的漏洞增加越来越快,留给打补丁的时间越来越短,移动设备带来的蠕虫,e-mail 攻击,无赖式的应用“窃取”大量的IT资源,传统的网终安全工具不能充分地应对当今的安全挑战,网络周边的防火墙存在太多的漏洞（如 允许80端口）,而且不能放置于网络核心,充分理解补丁几乎是一件不可能的事,并不是所有的终端都在IT管理员的控制之下,时间, 业务的增长,安全需求,线速的综合威胁抵御系统填补安全风险空隙,IT Security Capacity,IT 的安全支持能力,深度安全抵御填补安全风险空隙,提高网络性能,实现系统正常运行时间最大化,免除紧急的补丁安装,即插即用的操作方式,不需要参数的调谐,安全需求,确保业务连续性，同时降低安全操作费用,运行时间,性能,不需在紧急的漏洞修复,即插即用,IT Security Capacity,IT 的安全支持能力,时间, 业务的增长,