《港湾网络公司构建“和谐网络”协同安全在网络中的应用.ppt》由会员分享,可在线阅读,更多相关《港湾网络公司构建“和谐网络”协同安全在网络中的应用.ppt(32页珍藏版)》请在三一办公上搜索。
1、构建“和谐网络”,协同安全在网络中应用,提 纲,网络建设面临的问题,港湾和谐网络理念,港湾园区网解决方案,港湾网络产品介绍,园区网建设模式的发展历程2003年,2000年2003年追求网络带,加强网络智能和安全,2000年之前主要解决网络的连通,宽的提高,网络庞大、多元化应用带来的管理难度增加,有局域网、无园区网网络互连稀疏,网络应用、业务、终端数量增长迅速网络互连更紧凑,网络病毒泛滥,网络安全问题令人担忧,划,层,次,搭积木式建网模式普遍存在网络系统各部分相对分立,就像搭积木一样,关联性差,抗风险能力差。规加强网络管理加强网络控制强化安全,提高带宽建网,园区网,2000,2002,2003,
2、时间,重局部轻整体,造成网络失衡 一味追求网络带宽性能,或以限制应用的方式强化安全,均造成信息化发展受阻;病毒泛滥、信息孤岛均是网络失衡的结果,重性能、轻安全网络病毒泛滥,重安全、轻性能产生信息孤岛,安全,性能,安全,性能,我们需要什么样的网络?,单方面的深入发展或分散的建网,都无法满足网络系,统长远发展的需要,我们需要,一个畅通的网络、一个安全的网络,一个有序的网络、一个可持续发展的网络一个和谐的网络,提 纲,网络建设面临的问题,港湾“和谐网络”理念,港湾园区网解决方案,港湾网络产品介绍,什么是“和谐网络”,全面均衡,不可偏废和失控,是整体的协同,不是各自为战,快速响应、迅速恢复的防御体系,
3、应用为本,安全、性能兼顾,被动与主动相结合,促进系统有序化,全面均衡,网络系统功能完善 网络系统具有全面的功能体系 集业务智能感知、异常实时分析、控制动态执行于一体网络系统功能完善,业务智能感知,异常实时分析,控制动态执行,人 人员 员身 身份 份管 管理 理,终 终端 端主 主机 机管 管理 理,安 安全 全接 接入 入控 控制 制,网 网络 络设 设备 备控 控制 制,异 异常 常流 流量 量分 分析 析,病 病毒 毒特 特征 征分 分析 析,过 过滤 滤限 限制 制隔 隔离 离,应 应急 急响 响应 应,网 网络 络恢 恢复 复,全面均衡,系统架构完善完善的网络承载设备:认证交换机、内置
4、FW交换机、路由器、NP防火墙完善的系统接入控制部件:认证鉴权服务器、接入控制交换机、SAC客户端完善的检测预防系统策略服务器:入侵检测分析(IDS)、入侵保护策略生成(IPS)、安全应急策略下发与恢复,uHammer3系,IPS,安全策略服务器,SAC客户端,认证交换机,IDS,AV,Internet,SmartHammer 防火墙园区网,路由器,VPN,BigHammer内置防火墙交换机 Radius&AAA 人员数据库,VPN路由器,VPN,面对威胁,是整体的协同防御,全面联动防御达到整体的协同交换机、防火墙与IDS联动交换机与IPS联动Radius和交换机联动IPS与Radius联动,
5、系统安全整体协同:无需人员干预网络安全策略下发Internet园区网,网管RouterL3-SWL2 SW,用户追踪Radius认证SW终端,AVIPSIDS防火墙,终端安全补丁下发,不能仅仅是各自为战,各自为战的网络缺乏联动网络、用户、业务只顾自我保护,各自为战的系统:依赖人为综合分析判断,预防只是局部而非全局任何故障都需要人为分析判断安全隔离与信息互通成为矛盾,网管员,网管,Internet,园区网,网管RouterL3-SWL2 SW,用户追踪Radius认证SW终端,AVIPSIDS防火墙,网管员现场定位,快速响应,迅速恢复的防御体系,网络正常运转执行完新策略,网络异常现象得到恢复联动
6、处理、解决异常管理系统与网络设备联动,自动下发新策略,出现异常被感知反向追踪用户、定位异常发生点动态分析异常原因对异常发生区域进行实时分析与IDS入侵检测,应用为本,安全、性能兼顾,安全,安全性能兼顾,以应用为本,性能网络建设就像汽车设计一样,追求安全和性能都是以应用为本网络应用的畅通是网络建设的根本 任何对网络资源有威胁的应用,如基于P2P的应用等,应降低对网络资源的威胁程度,而不是完全禁止或封闭使用,应用为本,安全、性能兼顾,设备架构安全、性能兼顾防火墙设备内置NPNP路由器内置硬件过滤TCAMTCAM,网络系统安全、性能兼顾Internet园区网安全性能,骨干交换机内置防火墙对网络有威胁
7、的P2P应用,可通过自动降速保护网络资源共享平衡,主动与被动相结合,促进系统有序化,被动防御区域,主动防御区域,园区网Internet 网络系统对旧的病毒已经免疫 只有符合安全条件的终端,才能接入到网络 对新病毒入侵造成的网络异常,系统进行被动防御 快速响应、迅速恢复的防御 主动防御与被动防御相结合,促进系统有序化发展,V,主动与被动相结合的必要性,有漏洞主机已中毒主机无防毒主机,园区网,Internet,安全的主机,V,接入网络时,病毒在内网传染,网络进行被动防御,如果网络只是被动防御,无法主动的避免病毒大量侵袭 只要是有合法账号的终端主机都可以接入网络 接入网络的终端主机是否安全,有没有漏
8、洞无人管理 要结合接入控制,主动的对接入的主机进行安检 合法身份安全无漏洞的主机才能接入网络,提 纲,网络建设面临的问题,港湾和谐网络理念,港湾园区网解决方案,港湾网络产品介绍,I,S,“和谐网络”目标网络结构,互联网出口Internet多功能安全网关,D,应用支撑系统安全管理系统网络管理系统认证系统,承载层,核心点,核心交换机,接入层,汇聚点接入控制点终端,汇聚交换机接入交换机SAC终端,内部安全网关接入交换机非SAC终端,网络层次功能定位,接入控制点作用终端接入与数据转发实现用户接入认证感知流量与IDS实现联动与认证系统配合实现对异常用户的处理 用户访问权限的执行,承载层作用 提供较强的数
9、据交换处理能力,确保数据线速转发 提供高密度GE接口,用于汇接汇聚层设备并连接服务器群 提供OSPF等动态路由协议,维护一定的路由表空间,实现策略路由 内部数据安全控制,网络层次功能定位,SAC终端的作用,应用支撑系统作用,认证发起用户主机管理(资产、I/O、文件)漏洞与补丁检测病毒检测本地异常流量感知,网络设备的管理控制安全策略的制定和下发用户准入的控制、用户权限的分配用户计费策略的实施网络异常分析、安全事件应急处理,用户的反向追踪定位,“和谐网络”园区网组网示意,Internet,多业务网关,防毒系统 安全服务器,资源服务器,数据库 Radius 终端管理,承载层-核心点,BigHamme
10、r6800,BigHammer6800,承载层汇聚点,FlexHammer系列,BigHammer6800,FlexHammer系列,BigHammer6800+FW,接入层接入控制点,uHammer系列,uHammer系列,uHammer系列,uHammer系列,接入层接入终端,SAC终端,SAC终端,SAC终端,非SAC终端,“和谐网络”内容主机侧、网络侧层层设防安全准入控制,人员控制机制主机管理机制安全事件应急响应网络资源保护体系,网络核心,提 纲,网络建设面临的问题,港湾和谐网络理念,港湾园区网解决方案,港湾网络产品介绍,港湾“和谐网络”产品系列,应用支撑系统,IDS,AV,网管,蓝信
11、-AAA认证系统,天珣-主机安全系统,核心/汇聚交换机,BigHammer 6813,BigHammer 6808,BigHammer 6805,BigHammer 6802,接入层交换机,FlexHammer5210-48,FlexHammer5210-24,uHammer3550E-48,uHammer3550E-24,安全网关,AIO-Hammer 1000,AIO-Hammer 600,AIO-Hammer 300,68系列交换机-AIO模块,终端主机管理系统,SAC客户端(For WinXp/2000/9x),交换、路由、业务、安全一体化可扩展AIO模块安全域,可扩展基于NP的路由模
12、块路由交换一体化,ESP业务板MPLS组播、视频、话音Internet多业务承载,BigHammer6800搭建多业务安全万兆网络平台,QOS,Flex/u系列智能交换机,FlexHammer5210-48,FlexHammer5210-24,uHammer3550E-48,uHammer3550E-24,Flex5210-24,Flex5210-48,U3550e-24,U3550e-48,规格交换容量转发速率二层/三层,4GE-SFP24FE32G9.6Mpps三层,4GE+48FE32G13.2Mpps三层,4GE+24FE32G9.6Mpps二层,4GE+48FE32G13.2Mpps
13、二层,端口限速流量统计线路检测CPU保护,基于MAC/VLAN/IP五元组/物理端口等限速,粒度为8K基于MAC/VLAN/IP五元组/物理端口等进行流量统计可以对端口故障进行检测,可以对线路断路/短路/开路进行判断,距离误差1米每端口支持8个优先级队列,支持流量整形和丰富的调度策略。明确各种报文流往CPU的流量,对CPU进行精细保护,多功能安全网关基于高性能NP硬件平台;,整合FW、VPN、AV、IPS、AVDOS、NetFlow六大功能模块;满足用户网关出口层全方位需求;,68系列交换机-AIO模块2000Mbps吞吐量,140万连接AIO-Hammer 1000,2000Mbps吞吐量,
14、140万连接AIO-Hammer 6001000Mbps吞吐量,60万连接AIO-Hammer 300300Mbps处理能力,30万连接,AAA认证系统,安全认证,强制页面弹出,用户访问资源的控制(带宽、,ACL、VLAN、优先级),自动15元素绑定代理防范用户反查,上网时间控制漫游认证群组管理,强制用户管理客户自理系统统计,LDAP统一认证接口多系统联动,资产清晰、补丁完整、行为可控、文件安全。,主机安全系统,资产管理硬件资源清单硬件占用率软件资源清单软件黑白名单软件分发进程控制,补丁管理需要哪些补丁是否应用补丁补丁发放补丁恢复自定义补丁发放补丁检测清单,行为控制非法外联控制非法接入控制异常流量控制异常扫描控制IE访问检查防病毒软件包过滤防火墙,文件策略USB拷贝文件I/O控制注册表保护用户权限改变弱口令,资产清晰、补丁完整、行为可控、文件安全。,SAC客户端,网管平台,AAA系统,安全平台,用户身份信息上报:用户名、密码,用户登录消息传达:,网络平台,Internet,成功登录、用户名/密码错、软件需要升级 主机信息收集:包括主机硬件信息、,软件信息等;主机策略执行:包括主机资产管理、补丁管理、行为控制、文件策略等SAC客户端,与您共建,和谐网络!,
