版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、,,1,,,高端交換機(jī)內(nèi)置防火墻/DPI模塊介紹,2,,,3,提 綱,企業(yè)園區(qū)網(wǎng)安全解決方案——防火墻技術(shù)——DPI技術(shù),企業(yè)園區(qū)網(wǎng)安全應(yīng)用場(chǎng)景,網(wǎng)絡(luò)面臨嚴(yán)峻的安全考驗(yàn),非法操作威脅設(shè)備穩(wěn)定黑客入侵、DDoS攻擊威脅網(wǎng)絡(luò)安全蠕蟲、病毒、垃圾郵件影響用戶體驗(yàn),非法流量嚴(yán)重影響網(wǎng)絡(luò)安全,網(wǎng)絡(luò)已經(jīng)變得越來越不安全,,,,,,惡意網(wǎng)頁(yè) 蠕蟲病毒 間諜軟件 垃圾郵件 網(wǎng)頁(yè)欺騙 木馬軟件 ……,,,,DMZ服務(wù)
2、器區(qū),,,,,,,服務(wù)中端,信息侵犯,感染病毒,Internet,網(wǎng)絡(luò)濫用增多,,,,,非法活動(dòng)泛濫,,,應(yīng)用層威脅越來越難以防御,而且將成為以后威脅的主要來源,1,,,通過網(wǎng)絡(luò)進(jìn)行傳播色情、暴力以及非法的信息對(duì)企業(yè)網(wǎng)絡(luò)存在很大的法律風(fēng)險(xiǎn),2,,,網(wǎng)絡(luò)濫用軟件占用大量的帶寬,浪費(fèi)企業(yè)的網(wǎng)絡(luò)資源、降低工作效率,3,非法網(wǎng)站,,,色情,,,暴力,,,Internet,,更多的應(yīng)用的威脅,P2P流量侵占正常業(yè)務(wù)帶寬,P2P占據(jù)高帶寬已成為帶寬
3、殺手。日常40%-60%,高峰70%-90%P2P資源占用大影響關(guān)鍵業(yè)務(wù)質(zhì)量,侵占正常生產(chǎn)工作。無(wú)法正常開展P2P業(yè)務(wù),對(duì)P2P業(yè)務(wù)進(jìn)行監(jiān)控,BitTorrenteDonkeyeMule,SKYPE,PPLivePPStream,帶寬殺手,無(wú)法監(jiān)控,無(wú)法保質(zhì),,,,,QoS無(wú)法保證,,無(wú)法細(xì)分網(wǎng)絡(luò)中各種應(yīng)用的流量關(guān)鍵業(yè)務(wù)的帶寬無(wú)法保證QOS不能夠滿足需求網(wǎng)絡(luò)大量擁塞,P2P,HTTP,email,Uncontrolled
4、Bandwidth,???,病毒,攻擊,網(wǎng)絡(luò)大量擁塞,VOIP,垃圾郵件,,,,,,,P2P,P2P,,,IP網(wǎng)絡(luò),Internet,,,,,互聯(lián)網(wǎng)資源濫用對(duì)企業(yè)產(chǎn)生的負(fù)面影響,Internet,帶寬資源的濫用 BT下載、聽歌、看電影 在線游戲……,組織內(nèi)部機(jī)密泄漏 通過郵件泄密 即時(shí)通訊(透露機(jī)密) 網(wǎng)頁(yè)上傳,博客等……,生產(chǎn)力下降 瀏覽與工作無(wú)關(guān)的網(wǎng)頁(yè) 使用即時(shí)通訊軟件聊天 聽歌、看電影、玩游戲
5、……,法律風(fēng)險(xiǎn) 發(fā)表反動(dòng)言論 危害國(guó)家安全 機(jī)密信息泄漏……,如何應(yīng)對(duì)?防火墻+DPI,防火墻提供基本的安全防護(hù)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行有效隔離不同部門不同應(yīng)用需要不同的部署不同的安全策略DPI提供應(yīng)用層的安全防護(hù)日益復(fù)雜的網(wǎng)絡(luò)應(yīng)用和攻擊等不安全因素,需要對(duì)數(shù)據(jù)流進(jìn)行更為深入的分析和識(shí)別日益復(fù)雜的網(wǎng)絡(luò)應(yīng)用需要不同的流量和帶寬控制技術(shù),而傳統(tǒng)的QOS并不能夠滿足需求,需要保證關(guān)鍵業(yè)務(wù)的帶寬必須引入有效的業(yè)務(wù)識(shí)別與
6、控制方法,在應(yīng)用層對(duì)流量進(jìn)行分析,并進(jìn)行控制,,,高端交換機(jī)內(nèi)置防火墻/DPI模塊介紹,,,3,提 綱,企業(yè)園區(qū)網(wǎng)安全解決方案——防火墻技術(shù)——DPI技術(shù),企業(yè)園區(qū)網(wǎng)安全應(yīng)用場(chǎng)景,,2,,1,,網(wǎng)絡(luò)安全防護(hù),網(wǎng)絡(luò)核心交換機(jī)部署安全模塊,不改變網(wǎng)絡(luò)原來部署基礎(chǔ)上加強(qiáng)園區(qū)網(wǎng)安全核心交換機(jī)部署安全插板保證內(nèi)網(wǎng)流量互訪安全主動(dòng)發(fā)現(xiàn)諸如DDoS攻擊、病毒和木馬等異常流量;具備一定的網(wǎng)絡(luò)流量控制能力,能夠阻斷一些異常流量;使用DPI
7、系統(tǒng)和防火墻設(shè)備聯(lián)動(dòng)來提升整個(gè)網(wǎng)絡(luò)的安全級(jí)別,提供主動(dòng)的入侵檢測(cè)和安全防護(hù)功能。,,,正常用戶,園區(qū)網(wǎng),,異常用戶,正常用戶,交換機(jī)+DPI,Internet,,交換機(jī)+FIREWALL,園區(qū)網(wǎng)統(tǒng)一安全部署網(wǎng)絡(luò)圖,,,,,,,,,,,骨干網(wǎng),Internet,無(wú)線網(wǎng),,,對(duì)外服務(wù)器機(jī)群,DMZ區(qū),,,核心層,匯聚層,接入層,,,,,,交換機(jī)集群,,,,IPTV機(jī)頂盒,,,,,,,,,,ZXR10 89/69/59,集中部署安全防范,內(nèi)外
8、網(wǎng)隔離防范攻擊,統(tǒng)一安全網(wǎng)管,安全聯(lián)動(dòng),桌面管理用戶準(zhǔn)入ZSA,內(nèi)置DPI/防火墻,基于應(yīng)用的分布安全防護(hù),ZXR10 T1200/89,ZXSEC,ZXR10 28/29/51,功能子網(wǎng),交換機(jī)自身安全— 各種攻擊防護(hù),安全解決方案,,,2,,企業(yè)園區(qū)網(wǎng)安全解決方案,提 綱,,防火墻技術(shù),DPI技術(shù),,防火墻技術(shù),,,,易擴(kuò)展,多功能,多核架構(gòu) 高背板帶寬,易管理,高性能,可靠性,虛擬防火墻,HA 負(fù)載均衡,We
9、b/snmp/console統(tǒng)一網(wǎng)管,NAT防攻擊VPN防病毒,虛擬防火墻功能-策略、資源完全獨(dú)立分配,功能靈活部門隔離——根據(jù)不同的應(yīng)用分配不同的虛擬防火墻虛擬防火墻與VPN的關(guān)聯(lián),不同的VPN分配不同的虛擬防火墻服實(shí)現(xiàn)訪問用戶與服務(wù)器之間的單向隔離,端口訪問限制防止病毒的傳播部署靈活業(yè)務(wù)規(guī)劃改變、部門調(diào)整降低運(yùn)維成本,簡(jiǎn)化網(wǎng)管復(fù)雜度,高性能,,,,正常用戶,園區(qū)網(wǎng),,異常用戶,正常用戶,Internet,,交換
10、機(jī)+N塊防火墻模塊,內(nèi)外網(wǎng)隔離:防火墻模塊串接,性能要求不低于出口帶寬內(nèi)網(wǎng)防護(hù):通過多個(gè)防火墻模塊擴(kuò)展帶寬多核架構(gòu),單模塊性能強(qiáng),最小帶寬不低于5G多模塊,整體能夠達(dá)到N×單板性能,,,,,高可靠性,,HA進(jìn)行冗余備份負(fù)載均衡:支持輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種服務(wù)器負(fù)載均衡方式兩個(gè)核心設(shè)備之間形成HA同一設(shè)備的兩塊單板模塊也可以實(shí)現(xiàn) HA——主備冗余/負(fù)載均衡,HA心跳線,統(tǒng)一網(wǎng)管,通過防火墻與網(wǎng)
11、管中心即接入設(shè)備進(jìn)行聯(lián)動(dòng)支持WEB/console/telnet等多種管理方式,,,2,,企業(yè)園區(qū)網(wǎng)安全解決方案,提 綱,,防火墻技術(shù),DPI技術(shù),,,,http://www.freesurf.com/downloads/Gettysburg,,,Four score and BAD CONTENT our forefathers brou,,,,ght forth upon this continent a new nation
12、,,n liberty, and dedicated to the proposition that all,,,,,包頭(源, 目的, 數(shù)據(jù)類型等),,包負(fù)載 (內(nèi)容),數(shù)據(jù)包,,,,,OK,OK,OK,,不掃描,,,OK,狀態(tài)檢測(cè)防火墻,只檢查包頭 – 就好像只檢查信封,而不看信里的內(nèi)容,,傳統(tǒng)防火墻弱點(diǎn)如下:沒有深度包檢測(cè)來發(fā)現(xiàn)惡意代碼每包的轉(zhuǎn)發(fā)方式,不能進(jìn)行包重組惡意程序可以通過信任端口建立隧道穿過去傳統(tǒng)的部署方法僅僅
13、是網(wǎng)絡(luò)邊緣,不能防御內(nèi)部攻擊,傳統(tǒng)防火墻的局限性,什么是DPI,DPI 全稱為“Deep Packet Inspection”,稱為“深度包檢測(cè)”,是以業(yè)務(wù)流的連接為對(duì)象,深入分析業(yè)務(wù)的高層協(xié)議內(nèi)容,結(jié)合數(shù)據(jù)包的深度特征值檢測(cè)和協(xié)議行為的分析,以達(dá)到應(yīng)用層網(wǎng)絡(luò)協(xié)議識(shí)別為目的的技術(shù)。所謂“深度”是和普通的報(bào)文分析層次相比較而言的,“普通報(bào)文檢測(cè)”僅分析IP包的層4 以下的內(nèi)容,包括源地址、目的地址、源端口、目的端口以及協(xié)議類型,而深度包
14、檢測(cè)除了對(duì)前面的層次分析外,還增加了應(yīng)用層分析,從原來的二到四層(數(shù)據(jù)鏈路層-傳輸層)覆蓋到了第七層,強(qiáng)化了傳統(tǒng)的數(shù)據(jù)包檢測(cè)技術(shù)SPI的深度和精確度,能夠識(shí)別各種應(yīng)用及其內(nèi)容,是對(duì)傳統(tǒng)數(shù)據(jù)流檢測(cè)技術(shù)的延伸和加強(qiáng)。,傳統(tǒng)網(wǎng)絡(luò)設(shè)備基于五元組:源、目標(biāo)地址,協(xié)議類型,源、目的端口號(hào) DPI提供七層業(yè)務(wù)層的報(bào)文深入分析,是業(yè)務(wù)層安全和控制的重要手段,DPI技術(shù)原理,特征識(shí)別技術(shù)智能協(xié)議分析技術(shù)會(huì)話狀態(tài)分析技術(shù)異常檢測(cè)技術(shù),特征字識(shí)別,端
15、口號(hào)是可以隱藏的,但目前較難以隱藏應(yīng)用層的協(xié)議特征。 特征識(shí)別:是指檢測(cè)引擎將數(shù)據(jù)包載荷中的數(shù)據(jù)與預(yù)先定義的應(yīng)用層協(xié)議特征進(jìn)行對(duì)比,以判定數(shù)據(jù)傳輸?shù)恼鎸?shí)網(wǎng)絡(luò)應(yīng)用;以熟知的BT為例,其Handshake的協(xié)議特征字為“BitTorrent Protocol”,如果IP包的數(shù)據(jù)區(qū)包含BT對(duì)等協(xié)議的特征“BitTorrent protocol”,那么可以標(biāo)識(shí)這是一個(gè)BT 流;,,端口檢測(cè),特征字檢測(cè),智能協(xié)議分析技術(shù),某些業(yè)務(wù)的控制流和業(yè)
16、務(wù)流是分離的,業(yè)務(wù)流沒有任何特征,這種情況下,我們就需要采用智能協(xié)議分析技術(shù)先識(shí)別出控制流,并對(duì)其進(jìn)行協(xié)議解析,從協(xié)議內(nèi)容中識(shí)別出相應(yīng)的業(yè)務(wù)流如SIP/H323協(xié)議通過信令交互過程,協(xié)商得到其數(shù)據(jù)通道,一般是RTP格式封裝的語(yǔ)音流,只有通過檢測(cè)SIP/H323的協(xié)議交互,才能得到其完整的分析。,,,會(huì)話狀態(tài)檢測(cè)技術(shù),會(huì)話檢測(cè)技術(shù):按照客戶-服務(wù)器間的通信內(nèi)容,把數(shù)據(jù)包重組為連續(xù)的會(huì)話流,在此基礎(chǔ)上,對(duì)協(xié)議的狀態(tài)和協(xié)議行為進(jìn)行檢測(cè)和分
17、析,以識(shí)別會(huì)話的真實(shí)網(wǎng)絡(luò)應(yīng)用,準(zhǔn)確率高。,ID軌跡檢測(cè),HTTP包頭檢測(cè),連接數(shù)檢測(cè),☉統(tǒng)計(jì)某個(gè)IP打開的端口數(shù)或流量,超過一定閾值則認(rèn)為是共享上網(wǎng)用戶,行為分析技術(shù),異常檢測(cè)技術(shù)(Anomaly Detection):指根據(jù)使用者的行為或資源使用狀況來判斷是否發(fā)生異常行為,而不依賴于具體行為是否出現(xiàn)來檢測(cè);對(duì)于網(wǎng)絡(luò)上的攻擊行為,并不是其數(shù)據(jù)報(bào)文本身具有特性,而是整個(gè)上網(wǎng)行為有特征;通過異常檢測(cè)技術(shù),識(shí)別攻擊、病毒和木馬等異常流量。
18、,,TCP攻擊模式,DPI系統(tǒng),分析→控制→精細(xì)管理,業(yè)務(wù)識(shí)別和檢測(cè),業(yè)務(wù)控制,報(bào)表和統(tǒng)計(jì),策略和業(yè)務(wù)管理,,用戶識(shí)別端口識(shí)別應(yīng)用協(xié)議識(shí)別特征字識(shí)別內(nèi)容識(shí)別異常檢測(cè)……,,轉(zhuǎn)發(fā)丟棄限速流量整形帶寬預(yù)留重定義優(yōu)先級(jí)重定向?qū)哟位疩oS……,,收集流量信息用戶行為分析業(yè)務(wù)流量分析各種統(tǒng)計(jì)報(bào)表趨勢(shì)和分布……,,業(yè)務(wù)特征定義特征升級(jí)服務(wù)定制策略管理系統(tǒng)維護(hù)……,用戶行為分析,通過后臺(tái)分析系統(tǒng)的數(shù)據(jù)挖
19、掘,能夠獲得包括用戶業(yè)務(wù)流量類型、用戶平均上網(wǎng)時(shí)間、用戶主要在線時(shí)段、用戶興趣等在內(nèi)的個(gè)性化特征信息。通過對(duì)用戶的個(gè)性化信息的統(tǒng)計(jì),能夠及時(shí)和準(zhǔn)確的調(diào)整業(yè)務(wù)運(yùn)營(yíng)方式、業(yè)務(wù)運(yùn)營(yíng)內(nèi)容、或者發(fā)現(xiàn)新的業(yè)務(wù)增長(zhǎng)點(diǎn)等。,,流量行為分析,報(bào)文監(jiān)控,,抑制未經(jīng)許可的VoIP,,,園區(qū)網(wǎng),,Internet,,交換機(jī)+DPI,電話網(wǎng)關(guān),發(fā)送控制包,正常情況下的通話,加噪音控制的通話,中斷連接增加噪音分時(shí)控制,檢測(cè)承載在UDP之上的媒體流RTP連接數(shù)
20、判斷是否為企業(yè)的VoIP網(wǎng)關(guān)檢測(cè)VOIP呼叫建立和拆卸所使用的信令協(xié)議能判斷出是否有非法的VoIP通話通過部署DPI系統(tǒng)對(duì)對(duì)VoIP用戶的信令流量和媒體流量進(jìn)行關(guān)聯(lián)檢測(cè),對(duì)VoIP流量進(jìn)行分類統(tǒng)計(jì)分析,如果判斷出該用戶為未經(jīng)許可用戶,可對(duì)VoIP流量進(jìn)行管理,抑制未經(jīng)許可的VoIP業(yè)務(wù),控制,,抑制P2P,,,園區(qū)網(wǎng),,Internet,,交換機(jī)+DPI,P2P用戶,P2P用戶,P2P用戶,P2P用戶,,,對(duì)P2P流量進(jìn)行限制,在不
21、影響用戶使用的情況下,減少P2P對(duì)帶寬的消耗采用分級(jí)服務(wù),對(duì)不同的客戶群采用不同的P2P控制策略,發(fā)揮P2P業(yè)務(wù)的優(yōu)勢(shì),P2P Traffic after DPI,阻斷限速低優(yōu)先級(jí),阻斷線速低優(yōu)先級(jí),,,,高端交換機(jī)內(nèi)置防火墻/DPI模塊介紹,,,3,提 綱,企業(yè)園區(qū)網(wǎng)安全解決方案——防火墻技術(shù)——DPI技術(shù),企業(yè)園區(qū)網(wǎng)安全應(yīng)用場(chǎng)景,,1,,2,集成在設(shè)備內(nèi)的防火墻模塊保證網(wǎng)絡(luò)安全,靈活部署,可以不改變?cè)W(wǎng)絡(luò)架構(gòu)高性
22、能多核架構(gòu),進(jìn)行安全過濾的同時(shí)不影響網(wǎng)絡(luò)性能統(tǒng)一架構(gòu)集成轉(zhuǎn)發(fā)模塊和多種安全模塊, 擴(kuò)展能力強(qiáng)支持虛擬防火墻、NAT等安全功能中興89系列高端交換機(jī)內(nèi)置防火墻模塊重要數(shù)據(jù)中心的網(wǎng)絡(luò)安全企業(yè)園區(qū)高安全訪問企業(yè)網(wǎng)絡(luò)出口安全防護(hù)園區(qū)無(wú)線訪問的網(wǎng)絡(luò)安全基于多種圖形界面的網(wǎng)管界面,融合了防火墻的網(wǎng)絡(luò)設(shè)備融合了安全的網(wǎng)絡(luò),集成在設(shè)備內(nèi)的DPI模塊保證網(wǎng)絡(luò)安全,部署在企業(yè)網(wǎng)出口處和核心層的高端交換機(jī)集成了DPI模塊的,完成業(yè)務(wù)識(shí)別和控
23、制功能中興DPI基于流檢測(cè)方式,例如可以針對(duì)P2P流量選擇處理方式:丟棄、流限速或者不對(duì)流量處理等配合服務(wù)器,感知流量中的VOIP、數(shù)據(jù)、多媒體等,動(dòng)態(tài)調(diào)整帶寬以及Qos,為用戶提供最優(yōu)化的網(wǎng)絡(luò)資源高性能,既能靈活擴(kuò)展業(yè)務(wù),而且性能不受影響規(guī)則庫(kù)在線升級(jí),,0101100101..,,正常上網(wǎng)流量:PASS,P2P;流量:HOLD,非法流量:Discard,0101100101..,0101100101..,集成了DPI模塊的網(wǎng)
溫馨提示
- 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 防火墻工作原理
- 防火墻負(fù)載均衡原理-
- 防火墻技術(shù)論文
- 防火墻技術(shù)介紹
- 防火墻的基本工作原理
- 防火墻的核心技術(shù)及工作原理
- 防火墻技術(shù)指標(biāo)
- 防火墻技術(shù)的研究
- 防火墻測(cè)試技術(shù)綜述
- 防火墻技術(shù)研究
- 防火墻論文
- dos命令 關(guān)閉windows系統(tǒng)防火墻 重置防火墻
- 防火墻等級(jí)
- 防火墻1
- 防火墻方案
- 第06講 防火墻技術(shù)
- ch4 防火墻技術(shù)
- 防火墻技術(shù)畢業(yè)論文
- 防火墻技術(shù)畢業(yè)論文
- 防火墻技術(shù)-核心技術(shù)介紹
評(píng)論
0/150
提交評(píng)論