IDP-售前培训-Juniper IDP 解决方案.ppt-道客多多

资源描述

1、,Juniper IDP 解决方案,防火墙是网络的第一层安全防线,00000000000000000000000000000 000000000000000000000000000 000000000000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,00000000000000000000000000000000000000000000000000000000000000000000,000000000000000

2、00000000000000000000000000000000 000000000000000000000,防火墙提供接入控制,拒绝流量通过,允许流量通过,拒绝某些攻击,企业网络,防火墙可提供：接入控制认证 VPN 网络分段DoS 防护和某些网络层攻击检测,00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,0000000000000000000000

3、00000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,00000000000000000000000000000000000000000000000 000000000000000

4、00000000000000000000000000000000000000000000000000000000000000000000000000000000000,防火墙提供接入控制,拒绝流量通过,允许流量通过,拒绝某些攻击,IDS 是网络的第二层安全防线吗?,IDP-预防在线攻击,直接的好处攻击难以接近受害者，并可减少对网络的影响无须为调查攻击时间浪费时间对所有的业务（IP， TCP， UDP等）都起作用只清除攻击性会话,活动的在线系统在检测的过程中检测到系统受到了攻击，并清除掉恶意会话,安全保护、及时的检测和响应,时间,保证安全的条件：Dt + Rt Pt IDP有效的减少检

5、测时间和响应时间,IDS/IPS市场分析,$M,CAGR (04-08),IPS (our strength): 40%,IDS: -7%,IDS/IPS TAM: 17%,Juniper-IDP 入侵检测与防护,一台单一的安全设备入侵检测与监控提供旁路检测和在线检测提供取证分析与调查提供攻击阻止的能力在线主动阻止攻击核心功能提高检测准确性，减少漏报和误报多种检测方式在线模式防止攻击绕行检测并阻止攻击多种响应机制允许用户定义如何响应各种攻击简单管理，企业应用基于策略的细粒度控制可集中的管理各种操作，如特征升级等。,Juniper-IDP 的部署方式,Sniffer

6、方式部署作为IDS用：交换机SPAN，Hub，TAP在线Active方式部署路由方式 ARP-PROXY方式透明方式网桥方式,Juniper-IDP 的高可用性部署,集群架构主备方式的集群依靠第三方设备的多主方式部署维持Session的同步集成的BYPASS模块监听应用服务和电源状态自动搭接网络，消除单点故障，保证正常服务。,Juniper-IDP 的优势,最高的攻击检测率和覆盖率 8种攻击检测手段 4000多种攻击特征码最快的响应速度每日攻击特征更新对微软的漏洞当日响应最方便实用的管理 NSM统一管理Juniper安全设备安装简单，循环调查自动的升级，策略执行，报告

7、生成,透明的安全性攻击特征，检测方法完全公开完全自定制攻击特征，组合定制应用识别 ESP,Juniper IDP 可以准确检测到攻击 ,使用多种的攻击检测方法来确认所有受到的攻击,事例,红色代码,缓冲溢流,后孔,端口扫描，网络扫描,源自多连接协议的无效连接,后门检测,流量签名,网络蜜罐,DoS 检测,其它,状态签名,协议异常,Script Kiddie Telnet root,IDEAL 入侵检测,大多数销售商的产品只具有签名检测以及（或者）协议异常检测的功能,检测机制: 状态签名,Juniper- IDP,Mail,okay,Mail,okay,okay,CTL expn root,

8、CTL FROM, TO,DATA expn root is an exploit,ATTACK!,= REAL,Victim Mail server,Attacker,例如: EXPN root 在非控制部分出现（如数据）是合法的,expn root,极大地减少错误告警在相关流量中查询攻击样本，并匹配潜在的攻击例如: 检测只匹配具有潜在攻击的控制部分的会话,expn root,检测机制: 协议异常,Juniper- IDP,Victim Mail Server Running sendmail,Attacker,ATTACK!,Hello,Hello,I want to send mail

9、from: to: ,Server expects less than 256 bytes of data,适用于新的或复杂易变的攻击与协议规范进行比较并检测不一致性基于效果对异常进行分类把违反协议的行为认为是攻击例如: SMTP协议中，鉴别攻击者试图发送过量的数据，违反协议规定，即被鉴别为攻击。,Recipient okay/proceed,Establishing connection,Sending the Data,Sends 516 bytes of data,Excess overflows the buffer and the attacker uses the overf

10、low code to take over the server,检测机制: 后门,唯一的检测蠕虫和木马的方法查询交互式的流量基于管理员的定义来检测没有授权的交互式流量。检测实际上的任何后门，甚至流量被加密和协议未知。,Attacker,Web server,Exploit server vulnerability,Server is compromised and the attacker has full control over the server,Download and run “worm”,Access backdoor through,an interactive ses

11、sion,ATTACK!,适用于搜索型攻击,检测机制：流量异常,检测具有典型的搜索型攻击的流量必须关联多个数据流来进行检测,Attacker,open,Scan,ATTACK!,例如: 攻击者在网络上进行端口扫描，然后利用任何发现的漏洞。,适用于减少网络攻击的干扰,检测机制: 网络蜜罐,模仿服务，对扫描的响应中发送假信息，诱使攻击者访问不存在的服务。没有任何理由访问非法的流量，因为它们不存在，所有任何尝试都是一种攻击。,Attacker,HTTP,HTTPS,模仿的服务：,FTP,Telnet,SSH,真实的服务:,ATTACK!,检测机制: 泛洪攻击,针对SYN FLOOD攻击 RELAY模

12、式: IDP作为中间人，代替服务器与客户端进行握手 PASSIVE模式：不参与三次握手，定义一个计时器来监视连接的建立情况，如果三次握手时间过长，则中断服务器连接。,Layer 7 IPS vs Layer 4 IPS 的概念,11001001100011110010101010110101001011111001101010010110101010001010010101010101010101011110000111010101010111010101101101010110010101010101010100,Traffic Bit Stream,Layer 7 处理,提炼出应用状态

13、应用消息, 应用消息值,精确的第七层的模式匹配可以进行协议异常的检测能够检测最新的攻击,简单的模式匹配,Layer 4 处理,0010100101010101010,全面的IPS,1,检测双向流量,Two-Way vs One-Way 流量检测,Juniper-IDP 对攻击的响应,在线的阻断攻击丢弃恶意数据包阻断连接阻挡IP TCP RESET其他的响应方式报警日志 Diffserv标记 EMAIL，SNMP TRAP 启动自定义程序,IDP 在攻击的各个阶段发现和阻挡攻击,Probe, Attempt,扫描阶段Network Access,?,流量异常协议异常二层攻击

14、网络蜜罐,状态签名协议异常综合签名泛洪攻击,状态签名协议异常综合签名后门攻击,对60的应用协议进行解码 4000的攻击特征码,每日攻击特征更新对微软宣布的漏洞当天进行响应,Juniper 解决安全的方法,运营商的安全团队,Juniper 全安全团队球,Juniper Customers,Juniper Products,与第三方厂商的合作,内部研究,第三方安全队伍,客户安全团队,安全研究机构,合作伙伴的 MSSP,每日特征更新,现实中的安全响应举例200年5月,对微软漏洞的响应,现实中的安全响应举例2006年6月,现实中的安全响应举例2006年7月,Juniper-IDP 3

15、层的体系结构,分布式的图形化用户界面,集中式的管理服务器 NSM,搜集全部的日志保存所有的策略、配置和用户信息,分布式访问集中化的策略和日志记录,检测和防范入侵采用sniffer或在线（Inline）的操作模式内核操作,所有的通讯都需要被认证和加密 RSA 和 Blowfish加密,多个分布式的感应器,NSM可以统一管理防火墙和IDP,简单管理,集中管理可分布式的访问所有的管理、日志和事件信息。灵活的三层体系架构细粒度控制通过策略设定什么样的流量需要检测，需要检测什么样的攻击，怎样响应。 IDP Scheduler 自动的攻击特征升级自动的报告生成自动的策略执行,完整的循环调

16、查,获取尽可能多的相关信息在同一个视图中看到扩展的攻击信息日志和分析、过滤，关联信息的视图引起报警的相关策略的视图获得具体的分析钻研、观察会话的信息，数据包的内容从一个控制界面管理事件改变策略来应对新的威胁完成工作流任务,详尽的日志信息,丰富的报表显示,透明的安全性,攻击签名全部公开可以修改或者定制签名提供图形化界面定制混和签名例如：如果 FTP username是“anonymous” FTP Get file name is “earnings”，则该混和签名匹配,ESP: 增强对网络流量现状的了解,Enterprise Security Profiler (ES

17、P) 收集和储存网络和应用流量信息提供对网络层和应用层的分析视图方便分析攻击的各个阶段 ESP 告诉您服务器的名称和地址方便过滤非法使用网络的应用： Kazaa, P2P, IM 方便对补丁和漏洞的管理了解网络扫描的源头确定是否有攻击进行攻击目标找出攻击源并实施策略屏蔽攻击,所有的产品都包含全部的特性，通过相同的界面管理增加企业网络安全，减少维护成本,IDP 产品线,IDP 50小型网络或者低速连接的最佳选择 50 Mbps 吞吐量 10,000 最大并发连接 1 GB 内存 2 CG traffic + 1 CG mgmt ports 集成的 bypass,IDP 1100

18、 C / F 大型企业或者千兆环境的最佳选择 Up to 1 Gbps 吞吐量 500,000 最大并发连接 4 GB 内存 10 CG or 8 Fiber SX + 2 CG traffic, 1 CG mgmt & 1 CG HA ports HA集群集成 bypass for CG traffic ports,IDP 200中型中心节点或者大型分支机构的最佳选择 250 Mbps 吞吐量 70,000 最大并发连接 1 GB 内存 8 CG traffic, 1 CG mgmt & 1 CG HA ports HA 集群集成 bypass,IDP 600 C / F大型中心节点或者

19、高速传输网络的最佳选择 500 Mbps 吞吐量 220,000 最大并发连接 4 GB 内存 10 CG or 8 Fiber SX + 2 CG traffic, 1 CG mgmt & 1 CG HA ports HA集群集成 bypass for CG traffic ports,Juniper-IDP 能够做到。,检测并阻断拒绝服务攻击检测并且阻挡针对多种应用服务器和主机的攻击检测并且阻挡网络病毒和蠕虫的传输检测并且阻挡P2P的网络流量网络邻居共享 BT下载 QQ,MSN 对P2P流量限流检测并且阻挡后门程序、Spyware的流量检测自定义的违规行为完全完成IDS系统

20、的功能,市场领导地位,#1 高端防火墙 (YTD CY2005) 高增长 (3Q 2004-3Q 2005) +88% 收入（ $30K FW ） +84% 收入（IPS）,Infonetics Research,Juniper Networks “右上角” Firewall IPSec VPN IPS/IDP SSL VPN,Gartner 魔力四象限图,Juniper IDP: 2005年度最佳IPS,2005年IPS 国际市场的领先者 - Infonetics Research编辑选择奖 Network Computing: The Great IPS Test最佳多功能设备 Netwo

21、rk Computing (Well-Connected)最佳 IPS设备 Network Computing (Well-Connected)年度最佳产品 SearchN年度最佳产品 IDG Research / TechWorld NSS Award for Approved IPS: IDP 600F,应用案例: 保护DMZ,Juniper NetScreen-IDP感应器能够保护位于DMZ区内，需要对外提供访问的关键服务器 (e-mail服务器, Web服务器等.).,DMZ Switch,DMZ,特点 IDP从流入DMZ区的数据流检测攻击，并能够主动丢弃这些攻击数据包，在这些攻击数据

22、包到达服务器之前，有效阻止对服务器的攻击. 有能力防范负面的PR并且防止保密信息的泄漏. 减少针对攻击的调查和响应.,LAN Switch,LAN,LAN,DMZ,应用案例: 保护核心资源和各部门网络,IDP能够被部署在内部各个网段之间，用来保护这些免受来自公司内部的攻击.,特点机构可以确保内部关键任务网段的安全，如财务、人事、工程开发等. 保护这些网段不受外部和内部的攻击. 是Juniper NetScreen防火墙保护部门网段安全的补充. 主动抵御攻击，消除了攻击所造成的影响.,HR LAN,HR LAN,Other LANs,LAN Switch,应用案例: 简化部署、保护多个网段,单

23、个Juniper NS-IDP感应器能够检测多个网段，支持802.1Q VLANs.,特点单个 IDP 感应器监控和保护多个逻辑网段. IDP 能够主动丢弃攻击数据包，在攻击到达核心服务器或内部局域网之前. 减少保护网络的安全设备数量. 简化部署和日常的管理. 减少总体的TCO.,VLAN Switch,VLAN Trunk,Segment 2 Segment 3 Segment 4,应用案例: 保护分布式区域和中央管理,IDP 感应器被部署在多个位置，如多个分支机构，能够通过管理服务器进行集中式的管理.,特点无需额外的人力就能管理远程办事处. 在网络中央和远程节点提供相同水平的安全保障机制. 简化了大范围的、分布式的部署，任何安全策略都可以在整个企业范围实施. Juniper NS防火墙的补充.,HQ LAN,Branch LAN,Juniper-IDP Management Server,应用案例: 控制内部网络访问,部署在防火墙之后，内部网络到达防火墙之前监控用户访问流量检测发自内部用户的攻击控制用户的访问行为控制及时短信（MSN，Yahoo），允许聊天，不允许发送文件控制P2P软件（BT，eDonkey） ,不同部门的用户,Juniper 远程访问的威胁控制,LAN,合作伙伴,家庭办公,自注册的技术，配置更为简单,Thank you 徐洪涛 ,

展开阅读全文