边界安全防护课件.pptx

1、边界安全防护绿盟NF防火墙演讲人：编写人王猛第一次编写时间2019-08-06密级内部使用防火墙的发展基础功能简介绿盟防火墙的特点绿盟防火墙的优势资质与案例防火墙组合方案防火墙的发展第一部分什么是防火墙用于划分防火分区，将火灾有效限制在一定空间内建筑术语用于划分不同安全域，通常用于隔离两个不同安全级别的网络。网络安全术语防火墙形态软件可以安装在PC或服务器上，常见主机防火墙硬件 包含X86架构和非X86架构X86架构是指微处理器执行的计算机语言指令集硬件加速采用专用的加速硬件，如：ASIC、FPGA卡防火墙的发展史静态包过滤能够实现简单的访问控制应用代理通过代理的方式满足两个网络之间的通信状态

2、检测记录报文的状态，根据状态来做报文的转发UTM统一威胁管理1989年2004年2009年壹阶段贰阶段叁阶段肆阶段伍阶段NGFW下一代防火墙被安全苦苦纠缠的IT生活防火墙入侵防御防病毒墙WEB过滤流量管理非授权访问SQL攻击蠕虫IP端口扫描恶意网站暴力/色情网站流量拥塞恶意代码入侵攻击楚河汉界UTM性能低L2数据包解析L2数据包解析URL分类策略威胁签名匹配L2数据包解析威胁防护策略病毒签名匹配L2数据包解析病毒防护策略防火墙安全策略防火墙URL模块IPS模块AV模块应用层网络层性能传统防火墙面临的挑战机密资料外泄恶意软件入侵高带宽负载的应用加密应用带来的未知风险Gartner定义的下一代防火

3、墙Defining the Next-Generation FirewallStandard FirsCapabilitiest-Generation FirewallIntegrated Rather Than Co-Located IPSExtra-Firewall Intelligence to Identify UsersApplication Awareness and Full Stack VisibilitySupport “bump in the wire” Deployments标准防火墙能力融合IPS功能用户身份与策略整合应用识别及全栈可视支持嵌入式在线部署下一代防火墙（N

4、GFW)Gartner第二代防火墙定义3.2 第二代防火墙 the second generation firewall 除具备第一代防火墙基本功能之外，还具有应用流量识别、应用层访问控制、应用层安全防护、用户控制、深度内容检测、高性能等特征的控制的系统基础功能简介第二部分应用识别来自应用的威胁比应用层的威胁要具体一些，有这些威胁的应用应该引起网络管理人员的关注。来自应用自身的威胁威胁威胁说明应用例子易规避容易逃避传统检测方式FTP数据通道消耗带宽消耗网络带宽BT，迅雷容易误操作用户容易在操作过程产生期望以外的效果网上邻居传输文件传输文件可能造成敏感资料外泄FTP，QQ传文件以其他应用为管道为

5、别的应用提供隧道GRE，ptunnel易被恶意软件使用容易被恶意软件使用http代理包含已知漏洞包含已经发现漏洞，攻击者能够在未授权的情况下访问或破坏应用甚至影响主机系统暴风影音应用识别技术基于数据包内容进行检测的技术，精细化检测DPI深度包检测应用识别主要把DFI技术用于P2P、VOIP等流量的检测DFI深度/动态流检测（基于流特征识别）跨会话关联用于识别某些控制命令和数据命令分离的应用，或者应付版本升级带来的特征更新，而DPI没有及时更新等情况跨会话关联NAT（Network Address Translation）产生的原因1）解决IPV4 地址匮乏2）避免来自网络外部的攻击，隐藏和保护

6、网络作用 IP地址资源也就愈加匮乏 国内对NAT需求多而复杂？NAT分类分类本地地址和外部全局地址一一映射本地地址与地址池中的地址建立关系PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上1）静态NAPT需要向外网络提供信息服务的主机永久的一对一“IP地址 + 端口”映射关系2）动态NAPT只访问外网服务，不提供信息服务的主机临时的一对一“IP地址 端口”映射关系NAT静态NAT(Static NAT) 链路聚合亦称链路汇聚、主干技术(Trunking)或链路捆绑技术(Bonding)，其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路，称为一条聚合链路。链路聚合图中交

7、换机之间物理链路Link1、Link2和Link3组成一条聚合链路。链路聚合作用成员端口之间互相动态备份。当某一链路中断时，其它成员能够迅速接替其工作。切换可在数毫秒内完成。(只要有一条正常的就可以)提高链路可用性通过捆绑多条物理链路，得到的容量等于各物理链路容量之和。增加链路容量采用一定的分发算法，将用户流量分摊到一条逻辑链路中的若干条物理链路中去负载均衡可以将一个ip地址指定给一个聚合口减少网络地址池消耗链路聚合自动故障转移非对称路由连接始发于一台设备，却通过另一台设备返回。这种现象在三层路由网络中非常常见。NFBNFA非对称路由支持功能原理FWA: vwire1 (G1/1:G1/2)F

8、WB: vwire1 (G3/1:G3/2) G1/2G1/1FWAG3/2G3/1FWB(1)(2)(3)(4)(5)G1/3G3/3p请求数据包处理流程：1） 从vwire1 的第一个口G1/1 接收；2） 经过分发算法判断该数据包应由FWB 处理，交给互联端口G1/3 传给FWB；3） FWB 接收待处理数据包，进行 acl以及安全引擎处理；4） G3/1 将数据包交由G3/2 发送，然后送往互联端口G3/3 发出；5） FWA 收到处理完成的数据包，由G1/2 发出。非对称路由支持配置模式主机处理工作模式主：检测是否允许转发接收到的数据流。对于来自非从机的数据流量，转发检测后允许转发的

9、数据流量；对于来自从机的数据流量，将检测结果发送给从机。从：将接收到数据流量发送给主机。在接收到主机的检测结果后，根据主机的检测结果对数据流量进行转发。协同处理工作模式主：转发分工检测算法结果为主且允许转发的数据流量。从：转发分工检测算法结果为从且允许转发的数据流量。两台相连的设备必须一主一从。G1/2G1/1FWAG3/2G3/1FWBG1/3G3/3防火墙部署方式透明模式对于网络用户是透明，一般只有管理IP地址，没有业务转发地址A区B区A区和B区在同一个网段内，或者A、B之间的访问不需要防火墙做路由转发说明防火墙部署方式路由模式参与路由转发，有独立的IP。常见有静态路由、动态路由、单臂路由

10、A区B区A区和B区不再同一个网段内，A与B之间的访问需要防火墙做路由转发说明防火墙部署方式混合模式既有透明模式，又有路由模式A区B区A、B之间的访问采用透明模式，B与C之间的访问采用路由模式说明C区透明模式路由模式防火墙部署方式镜像模式与防火墙的连接的交换机接口为镜像口，防火墙只做检测，不做防护防火墙需要配置镜像模式说明A区镜像口防火墙部署方式HA模式高可用性，防止单点故障，常见有主主、主备模式当主墙或者主链路不通时，会自动切换到备份链路说明主备绿盟防火墙的特点第三部分绿盟下一代防火墙核心理念一体化安全策略框架APP signatureURL signatureAV signatureIPSs

11、ignature入侵防护病毒防御URL过滤智能化识别精细化控制一体化扫描Malwaresignature内容过滤非法应用可疑应用合法应用进站出站安全也需要关注云、管、端终端管道云中心强大的分析能力，灵活性，非常适于于安全业务。但普通客户少有人能享受到巨大的潜在风险，没有被充分认识，或认识到但无力监管防火墙的功能和部署都集中在管道的防护上，功能在不断堆叠，但效用却并不凸显为什么不使用？为什么不预警？立体式防护Internet继续加强管道防护增加对终端的识别和控制利用云的便捷性继承传统防火墙能力持续增强应用识别不断整合7层防护能力丰富上网管理功能把SaaS带入运维管理引入专业高速的分析综合多种因素

12、评估内网安全对内网环境不断跟踪分析形成安全的主动预警机制管传统防火墙包过滤NATIPSecSSL VPN路由、交换、HA包过滤可以依照IP，端口，国家，时间，应用，服务，用户等多个维度进行访问控制NAT端口复用技术，扩展端口空间；运营商路由、反向路由解决多链路利用难题IPSec标准协议设计，可与主流厂家对接，主模式、被动模式全面支持。SSL VPN完美适应多种客户端环境，可通过web或隧道两种方式接入，提供完善的用户管理机制。路由、交换、HA标准协议设计，双机热备可以适应路由，交换，虚拟线，非对称路由等多种场景，主主，主备均可管应用识别未知流量WEB，在线视频P2P，网盘QQ，MSN，Mail

13、，远程桌面一体化引擎流量网页浏览网盘Mail，QQ合法流量合法流量合法流量深度包检测双向流检测会话关联检测你的身后是一支十余人的专业应用分析小组！持续分析全球数据多达1200+种应用 2200+应用动作 三大识别技术联合处理 四级应用筛选简化操作 一体化转发保护性能管安全防护国际专业机构承认4700+无重复特征库恶意站点库，轻松屏蔽恶意访问在线查找，为你提供全面的站点覆盖僵尸网络防护百万病毒特征库启发式分析技术多层解压技术管上网管理流量管控用户管理Web过滤内容管理上下行双向控制限制资源使用安全事件协议还原自定义关键字对不起，你的访问内容涉及敏感信息AD域、RadiusIP/MAC绑定本地高速

14、缓存64种分类库企业内网终端NF疑似感染主机僵尸网络控制服务器绿盟云Web信誉僵尸网络服务器恶意站点 NF拦截：下载木马等控制程序主机访问僵尸控制服务器疑似感染主机疑似感染主机绿盟云恶意站点/跳板管僵尸网络防护管无线热点管理编号IP应用流量（上行|下行）活跃时间1192.168.3.2微信手机QQ15.21kbps40.23kbps2019/6/11 10:102172.16.0.5新浪微博IOS淘宝IOS百度地图4.63kbps45.65kbps2019/6/11 10:1016:51310.0.0.254迅雷下载163邮箱京东商城HTTP上传202.32kbps536.41kbps2019

15、/6/11 10:10发现私接无线设备、共享设备，降低信息泄露及入侵风险管事件关联分析通过应用、用户、安全事件等多个维度，对流量、会话以及安全事件进行统计，并提供逐层数据挖掘的能力，可以从大量的事件中发现异常流量及潜在的风险。云绿盟安全管家绿盟云绿盟NF防火墙信息实时提示一键反馈在线处理端潜在的风险中国2亿用户仍在使用95%银行ATM系统使用XP大量涉密单位和机构在使用2001年10月25日 2014年4月8日 史上时间最长寿的软件最终还是停止服务了我们需要对终端进行管理，我们需要对资产的软件环境进行一定的识别和限制端识别资产软件环境，防患于未然资产管理操作系统浏览器杀毒软件应用流量12345

16、被动资产识别技术全面监控资产的软件环境不干扰主机，不主动扫描仅通过流量识别资产状态实时跟踪资产状况可定义软件的风险级别整合资产多种属性，结合下一代防火墙能力流量自学习监控算法时刻跟踪流量异常状况使用安全系数轻松表现资产安全状况端对资产进行闭环安全管理46956132资产安全系数将安全状态以数字和图表形式展现根据安全情况，对个别资产进行禁止，防护，提示等动作不断发现新问题，实时了解内网最新动态资产1资产2资产3资产4阻断放行放行放行IPSAV流控IPS流控安全策略配策略不再没有依据出问题有据可查变被动防护为事先预警监控控制评级绿盟防火墙的优势第四部分绿盟NF防火墙的优势参与制定信息安全技术 第二

17、代防火墙安全技术 要求简化运维以设计确保可靠靠技术提升性能品牌优势安全防护能力立体式防护绿盟NF防火墙的优势控端，增强预警守管，全面防护用云，强化分析单一设备即可全面构筑安全最大程度减少安全事件管理方式更加便捷用更少的精力，保更安全的网络用更多的手段，建更完整的体系大量的安全隐患简化运维以设计确保可靠靠技术提升性能品牌优势安全防护能力立体式防护绿盟NF防火墙的优势简化运维以设计确保可靠靠技术提升性能品牌优势安全防护能力立体式防护自身安全检查应急处理能力48小时之内提供防护规则！绿盟NF防火墙的优势易用配置日志策略一体化策略单页面即可完成所有安全配置云端日志管理省钱，便捷，高效的管理日志配置向导

18、告别厚重手册，让配置不再盲从上一步下一步简化运维以设计确保可靠靠技术提升性能品牌优势安全防护能力立体式防护绿盟NF防火墙的优势安全操作系统著作权云存储保障日志安全安全操作系统软件著作权简化运维以设计确保可靠靠技术提升性能品牌优势安全防护能力立体式防护绿盟NF防火墙的优势多核并行转发指令级加解密裸机GE性能强大的云端分析能力单次解码并行处理安全一体简化运维以设计确保可靠靠技术提升性能品牌优势安全防护能力立体式防护防火墙组合方案第五部分方案远程运维安全解决方案Internet绿盟堡垒机加密传输远程用户使用堡垒机帐号，登录由绿盟NF防火墙提供的VPN，认证成功后，展示的是登录堡垒机的操作界面绿盟防火

19、墙绿盟安全远程运维方案将堡垒机映射到外网的方案VPN+堡垒机远程运维的简便性方便，只需输入一次帐号密码方便，只需输入一次帐号密码繁琐，需要先登录VPN然后再登录堡垒机远程运维的安全性安全，在加密环境中运维不安全，完全暴漏在Internet上，容易被攻击，如果堡垒机没有采用加密传输，还容易被监听安全，在加密环境中运维用户维护的简便性方便，删除、新建、修改用户信息，均直接在堡垒机上操作即可方便，删除、新建、修改用户信息，均直接在堡垒机上操作即可繁琐，删除、新建、修改用户时，同时要在VPN设备进行删除、新建、修改方案远程运维安全解决方案对比方案优势：安全、方便方案智能补丁资产资产漏洞情况RSASNF

20、资产防护情况发现防护通过NF与RSAS的数据交互与分析，使得客户不仅了解内部网络有什么样的漏洞，并且了解哪些漏洞已经防护，防护的效果是什么？达到“发现防护”的闭环方案智能补丁方案对比绿盟智能补丁方案集成远程安全评估系统专业性高。专业安全评估系统，超过17000条系统漏洞扫描插件，涵盖所有主流网络对象。更新及时，第一时间发布最新漏洞插件低。大多集成开源漏扫，又因为性能方面的问题插件数十分有限，并且更新周期较长，多数漏洞无法发现稳定性高。防火墙不做额外的扫描动作低。需要对终端进行扫描，有可能引起本身宕机的风险，造成整个网络中断全面性全面。可以对内网所有资产进行评估，也可以根据需求评估特定资产片面。

21、由于受设备本身性能的限制，大多只能对个别资产进行评估方案优势：专业、稳定、全面方案终端安全检查解决方案通过与终端安全系统软件的配合，全面提升内部资产的安全性，以及远程接入终端的安全性，从而降低病毒带来的危害。终端安全系统软件服务器补丁管理WSUS服务器安全管理区内网接入区.InternetNF DMZ服务器区VPN安全检查，满足要求才能通过VPN接入安全检查1、如果没有装终端安全系统软件，会跳转到终端安全系统软件服务器2、如果不能满足要求，则无法跨安全域访问NF方案未知威胁防护绿盟云 定向攻击AttackerMail serverFile serverPC企业内部网络TAC（Sandbox）I

22、nternet信誉同步信誉同步 定向攻击进入 可疑文件分析请求 分析结果反馈威胁清除方案与云清洗联动黑洞云清洗服务运营中心绿盟云统一对接云端联动过程自动、敏捷客户自助门户系统安全设备对接接口本地设备对接绿盟云的数据通道绿盟科技客户绿盟云云清洗服务黑洞云清洗服务绿盟NF防火墙仅分销CH3130/CH3150/CH1710支持资质与案例第六部分绿盟NF防火墙的适用场景出口网络建设上网行为管控网络隔离VPN互联数据中心防护模块化设计，多种功能可进行选配适用于多种场景，可接入复杂组网性能有保障，不再成为网络瓶颈网络安全界的超人客户遍及全国各行业政府，教育，金融，运营商，能源等行业全覆盖资质资质齐全，销

23、售许可证、信息安全产品认证证书、产品安全测评证书均为最高级别软件著作权颁发单位：国家版权局用途：用于对产权的保护我司有绿盟NF防火墙系统V6.0、绿盟安全操作系统、绿盟多核分布式安全操作系统著作权销售许可证颁发单位：公安部颁发测试标准： 信息安全技术 防火墙安全技术要求和测试评价方法GB/T 20281-2015（增强级） 信息安全技术 通用渗透测试检测条件JCTJ005-2016（6.2.1、6.2.2）用途：计算机信息系统安全专用产品的销售许可涉密信息系统产品检测证书颁发单位：国家保密科技测评中心测试标准： BMB11-2004涉及国家秘密的计算机信息系统防火墙安全技术要求用途：用于涉密行

24、业的计算机信息系统安全产品的销售许可中国国家信息安全产品认证证书颁发单位：中国网络安全审查技术与认证中心测试标准： GB/T20281-2015信息安全技术防火墙安全安全技术要求和测试评价方法 符合CNCA-11C0752009用途：计算机信息系统安全产品的强制认证，简称ISCCC信息技术产品安全测评证书颁发单位：中国信息安全测评中心测试标准： GB/T 18336-2015信息技术安全技术信息技术安全评估准则（idt ISO/IEC15408：2008）用途：主要体现产品自身安全性案例某省粮食局NF省粮食局A市粮食局B市粮食局N市粮食局NFNFNFNF专网客户背景某省粮食局信息化系统依托党政

25、网，搭建统一数据中心，实现某省粮食局和各市、县粮食局之间安全可靠的信息交换、资源共享，从而推动粮食系统信息化建设客户需求与问题根据国家关于电子政务信息安全防护的有关政策精神，以及信息安全等级保护制度的要求，通过部署一系列安全设备和策略，建立数据中心的基础安全，应用安全，管理安全体系，掌控内部资产属性，并对数据中心进行全方位安全防护绿盟产品的应对方案在省局部署2台NF，使用双机热备， 地市州粮食局分别部署1台，对访问需求进行严格管控，并开启资产识别，获取内部资产属性。客户价值初步形成某省粮食信息化系统的标准安全体系通过资产识别功能，实现内网资产的可视、可控、合规安全案例某卫生数据中心NFNF医院

26、社区上级部门互联网卫生数据中心客户背景建设统一的医疗专网、数字化集成平台、数据中心、居民健康档案和电子病历、市民健康卡（社保卡）,实现卫生政务电子化、医院服务网络化、公共卫生管理数字化、市民健康信息共享化、医疗资源利用集约化和卫生医疗信息服务一体化六项任务客户需求与问题1. 医疗系统内分级部署、内网相互隔离2. 防止外网侵害绿盟产品的应对方案在中心部署2台NF，划分不同的安全区域。设置访问策略，要求各个医院、社区不允许访问办公区域，开启病毒检测，防止上传病毒到服务器。客户价值能够有效过滤从公共网络进入数据中心的流量，从而大大增强了内网的安全，同时也能保证了区卫生局数据中心、社区、各医院以及疾控

27、中心的网络安全案例某省农村信用社联合社客户背景某省农村信用社联合社（以下简称“省农信”）经某省委、省政府和中国银监会批准成立于2005年5月。至2015年末，发展为全省机构网点最多、从业人员最多、服务对象最多、服务范围最广的地方性银行业金融机构。客户需求与问题用于上连省联社数据中心进行边界防护。该安全防护设备部署于农信核心生产网，全省各地市的业务数据与省中心的业务数据对接，均需通过边界安全网关进行安全防护，对安全防护产品的稳定性、可靠性要求较高。绿盟产品的应对方案各地市部署的2台NF分别串联部署在省中心与地市路由器中间，做虚拟线透明部署，各地市两台路由器与省中心两台路由器均启用了OSPF协议，通过OSPF收敛来控制主、备链路切换，同时开启NF的bypass功能。客户价值在保障稳定、可靠的前提下，提供了对应用层安全攻击监测和防护措施，同时满足了合规性要求。省联社电信联通A市NFNFNFNFN市谢谢！