《手机热点安全技术分析精编版》由会员分享,可在线阅读,更多相关《手机热点安全技术分析精编版(77页珍藏版)》请在金锄头文库上搜索。
1、热点安全技术分析 防火墙架构、UTM架构技术介绍 DPI技术分析 IT内控、安全管理,2020/9/17,目录,防火墙架构、UTM架构技术介绍 DPI技术分析 IT内控与安全管理,Page 2,网络安全需求的演变,安全威胁正由单纯的网络层向应用与数据/业务层演进; 网关设备正朝着“路由交换无线安全”相互融合方向发展; 网络安全设备需要处理的业务类型和对数据包文的还原能力越来越强,对处理性能需求在成倍的提高。,融合 一体化,交换,路由,无线,ADSL,安全,Page 3,网络带宽发展演变,早期网络应用较少,带宽需求低,随着网络应用的丰富,带宽需求越来越高,云计算,语音、图片以及视频开始得到应用,
2、网络为我们带来了丰富的应用和便捷的通讯方式,极大提高了沟通效率,随着更多网络应用的实现,对网络传输带宽的需求也必将大幅度增长。,下一代的网络应用对带宽提出了更高的要求,多媒体应用兴起,早期应用以文本为主,Page 4,中国Internet迅猛发展,CNNIC中国互联网络信息中心数据,截至2007年底,中国国际出口带宽由2001年的3G飞速增长到接近400G,平均不到12个月翻一翻,超过传统的摩尔定律,(bps),Page 5,防火墙发展历程,NP专用安全平台,ASIC+专用安全平台,CPU+专用安全平台,X86+通用操作系统,第一代,第二代,第三代,第四代,十兆性能.安全性差.已淘汰,百兆性能
3、.无提升空间.小型网络,千兆性能.灵活性差.逐渐淘汰,千兆性能.灵活性中.中型网络,技术进步,防火墙系统架构随着网络和技术的发展而发展,在性能、灵活性之间徘徊; 随着网络经济时代的来临,面临新的抉择;,第四代,第五代:?,如何应对新的挑战 ?,Page 6,各种硬件架构对比分析,随着安全业务越来越复杂,在应用层处理性能,网络层处理性能,可扩展性,灵活性等方面具有综合优势的”多核”架构成为未来发展趋势,Page 7,防火墙硬件架构比较,ASIC,低灵活 高性能 高成本 高可靠,X86,高灵活 低性能 低可靠 中成本,灵活性,性能,较灵活 高性能 中成本 高可靠,NP,高灵活 高性能 中成本 高可
4、靠,Multi-Core,Page 8,采用多核架构的独特优势,运算速度每18个月翻番 网络带宽每12个月翻番,新的网络应用层出不穷,网络带宽增长快于运算速度增长,全球能源消耗量: 19732005年扩大68,节能减排战略挑战,多核的优势,软件灵活性高,高性能,单位功耗低,硬件加速引擎,加密需求、内容处理快速增长,Page 9,“万兆”性能应对之策,分布式多核处理,整机总容量,集中式多核处理,集中式单核处理,处理平台,集中式多核架构可满足10G以下的处理性能要求,对于处理流量在万兆以上的节点则显得力不从心,而分布式架构可担此重任!,1G,10G,100G,Page 10,ATCA平台简介,AT
5、CA(Advanced Telecommunications Compute Architecture)是由PICMG组织及100多个电信与IT著名厂商参与制定,面向电信级网络市场需求制定的开放标准。ATCA为电信产业提供一套开放的标准硬件平台,让电信设备制造商能将其技术资源从开发专利型硬件,改为快速研发新一代的应用与服务。使得在统一、开放的电信级IT网络架构下全面支持X86、嵌入式处理器、NP、多核处理器等当前主流处理器平台变为现实。,Page 11,华为安全网关产品系列,Eudemon 200,Eudemon 100E,Eudemon 500,Eudemon 1000,小型企业、远程办公,
6、中小型企业,华为电信级硬件防火墙,从桌面型到千兆高端型设备,以卓越的性能和先进的安全体系架构为您的网络提供强大的安全保障!,Eudemon 300,Eudemon 200S,大中型企业,USG 3040,USG 3030,USG 50,Eudemon 8080,Eudemon 8040,全球权威的安全产品测试机构,USG 5320,USG9100,中型企业,大型企业/数据中心,USG 5330,USG 5350,USG 5360,USG 2110,USG 2130,USG 2200,USG9300,Page 12,NIP网络入侵检测系统,强大的入侵检测能力,可识别千余种入侵行为,及时感知安全隐
7、患; 详尽的网络监控能力, 提供邮件、通讯、文件传输、服务器状态监控,防止信息外泄; 丰富的流量统计功能,准确掌握网络运行情况和安全状态; 强大的协作联动能力,可同防火墙、路由器等设备进行联动,抵抗非法攻击,净化网络环境; 精准的攻击识别能力,采用IP重组、TCP流优化等技术,提高了检测效率及其准确度,确保低误、漏报率。,Internet,DMZ,内部网,ERP,文件共享,Web,E-mail,NIP引擎,WEB监控,邮件监控,MSN监控,文件传输监控,会话监控,服务器监控,外部网,入侵检测,NIP控制台,Page 13,Sensor1,Sensor2,检测引擎,管理控制台,防火墙,交换机,交
8、换机,Internet,DMZ,Intranet,支持真正的虚拟引擎技术,Page 14,网络入侵检测与防御解决方案,通知防火墙联动,LAN,防火墙,ALERT!,终止入侵,检测到攻击,报警,记录日志,审计取证,IDS,交换机,流量镜像,服务器,Page 15,出口路由器,核心交换机,服务器接入交换机,移动办公,汇聚交换机,汇聚交换机,汇聚交换机,服务器区,办公区网络1,下级单位,防火墙,SACG,SACG,防火墙,防火墙,防火墙,NIP,Secospace TSM,Antivirus,防火墙,VPN,VPN,NIP,服务器区,边界安全: 防火墙及VPN,内网安全: SACG及网络入侵检测系统
9、,服务器区安全: 安全网关及网络入侵检测系统,终端安全: Secospace及防病毒,网络优化: 防火墙融合路由器,网络优化: 刀片服务器整合网络基础设施,办公区网络2,办公区网络3,整体安全解决方案,Page 16,中国联通GSM-WCDMA分组网安全项目,攻击流量:,正常流量:,MS2,MS1,USG9000,隔离PS域和PDN网络 移动终端在PS内不直接通信,而是通过防火墙进行通信,避免蠕虫爆发 避免针对网元的攻击 节省带宽资源 抵御来自Internet的各种攻击,Page 17,挑战 3G数据业务将是电信大量拓展的业务; 作为互联网和PS域出口需要高性能、高可靠的安全网关设备监控; 方
10、案 在PS出口部署USG9000高端设备; 双机热备并通过透明模式直路部署; 对于流经业务进行安全隔离和监控; 价值 高可靠:分布式处理、关键器件冗余,业界最先进可靠设计; 高性能:提供最大80G防护性能,能够应对各种安全威胁; 高扩展:基于知识库管理架构,可以实时更新各种防御算法和技术;,中国电信CDMA网络业务运营安全项目,Page 18,辽宁电力安全防护项目,万兆光纤,以太网,路由器,服务器区,省电力内网,国网,USG5350,USG5350,内网区,营销服务器,ERP服务器,USG9110,USG9110,USG9110,USG9110,路由器,路由器,路由器,通信信道区,USG535
11、0,USG5350,路由器,路由器,沈阳市 电力内网,服务器区,内网区,营销服务器,ERP服务器,铁岭市电力内网,本溪市电力内网,辽阳市电力内网,阜新市电力内网,营口市电力内网,朝阳市电力内网,抚顺市电力内网,葫芦岛市电力内网,USG5350,USG5350,路由器,路由器,大连市 电力内网,服务器区,内网区,营销服务器,ERP服务器,丹东市电力内网,盘锦市电力内网,锦州市电力内网,鞍山市电力内网,Page 19,目录,防火墙架构、UTM架构技术介绍 DPI技术分析 IT内控与安全管理,Page 20,网络流量怎么了?,企业管理的困惑,员工在工作时间内的在线视频、聊天等行为,降低企业工作效率,
12、并带来安全上的隐患,公司业务的开展无法得到足够的带宽保障,上网行为无法管理,Page 21,网络流量怎么了?,运营商的苦恼,新应用对网络的冲击,管道化现象严重,无法针对不同类型的流量如何进行分类计费策略?,网络宽带设备的不断升级,依然无法跟上网络应用“多样化”带来的带宽需求,Page 22,P2P耗尽带宽,P2P流行应用日益广泛 运营商网络中P2P流量超过60%,高峰时期超过80% P2P流量保持高速增长趋势,宽带资源无法满足“黑洞”一般的P2P流量吞噬,用户的正常业务和其他应用受到严重影响。,Page 23,互联网业务流量监控,数据来源:CNCERT 2009 年中国互联网网络安全报告,P2
13、P 下载/即 时聊天/网络多媒体,网页浏览/ 代理服务器/网络多媒体,Page 24,VoIP带来的冲击,VoIP应用给运营商带来挑战 原理:利用互联网从到传送文件或实时电话语音。 私有协议,更高效的语音编码算法 无需专门服务器,无需管理庞大的用户,数据传输依托互联网 全球用户数超过3.7亿,同时在线人数超过10,000,000. 其SkypeOut付费服务高速增长,而运营商语音业务ARPU值则持续降低,Page 25,HTTP承载了太多,传统网页浏览,新 趋 势,我们如何区分和控制HTTP流量?,下载类-断点续传,传 统,P2P下载,网络存储,流媒体,Page 26,传统方法无法满足现网流量
14、分析,传统方法无法准确识别出网络流量中的应用协议类型,五元组,数据流,基于物理端口、IP层和TCP/UDP层了解流量状态 基于TCP/UDP的端口识别应用协议 基于IP的流量统计,以五元组的形式提供数据流的信息,用于分析用户的行为 典型:Netflow、NetStream等技术,端口误用与重用,无法分辨业务类型,Page 27,网络流量的“X光片”,网络流量数据对运营商及行业客户的网络规划、运维等具有重要作用。,谁是网络应用流量分析的幕后英雄?,Page 28,改变格局的利器DPI,Source: Yankee Group, 2007,*5 representing the most impo
15、rtant application of DPI,D P I,准确感知流量中的应用,是保证网络可用性、可测量性和可管理性的必备技术手段!,Deep Packet Inspection,Page 29,“知”“识”就是力量-Knowledge is Power,Deep Packet Inspection,DPI的定义 通过对报文的应用层数据进行内容检测,分析报文或流在IP和UDP/TCP层以上及各种隧道内部的应用类型。,Deep Packet Inspection,DPI的价值 流量识别 流量管理 内容计费 内容安全,Deep Package Inspection,ADSL用户,VoIP,HT
16、TP,P2P,Internet,Page 30,DPI-Module对网络流量的分析,BT、Emule、迅雷、DC、PPLive,Skype、MSN QQ GoogleTalk等音视频聊天,联众、QQ游戏、传奇、魔兽世界,1,2,3,P2P,VOIP,Game,DPI-Module,未知网络流量,P2P,VOIP,Game,Page 31,DPI-Module产品形态,Page 32,DPI-Module业务流程,流量解析引擎负责加载协议特征知识库,对输入的7层数据进行识别,输出识别出的各类协议或应用的类型。,Page 33,DPI-Module流量解析引擎,通过模式匹配算法,根据已知协议的内容特征,对网络报文的应用层内容进行匹配检索 单包匹配、多包匹配、多流匹配,特征检测,对通讯控制通道和数据传输通道分开的应用协议,将多个通道流量进行协同检测 对
