Sec.4 有效協助企業內部網路行為管理-奕瑞 eden

www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

無所不能的網路安全

『有效協助企業內部網路行為管理』賽博龍

人員識別管理新世代防火牆

奕瑞科技黃茂勳 [email protected]

mailto:[email protected]





什麼是

”人員身份識別管理”新世代防火牆



舊時代防火牆 or UTM

一般Firewall 驗證條件

• IP

• Network

一般Firewall 授權的政策

• NAT

•允許通訊協定 • 到達目的地 •允許或阻擋

一般Firewall 相關稽核

• 不易解讀的記錄與報表

電腦

員工 or 來賓?

不知道是誰存取? 沒有安全管理政策? 需要專業知識解讀?



Cyberoam 人員識別管理新世代防火牆

用戶登入

Cyberoam

驗證

• User ID

• IP Address

•Network

• MAC ID

• Session ID

•上述條件Group

Cyberoam

授權的政策

• 可登入時間 • 網路下載流量限制 • 安全政策 • 網頁內容過濾 • 網路應用程式管理 • QoS頻寬管理 • IM 管控 •掃毒 •防垃圾郵件散播 •政策路由 Policy Route

Cyberoam

相關稽核

• 顯示身份的記錄與報表 •可查詢關鍵字

Cyberoam Layer 8 的優勢



”人員身分識別管理”管理概念



傳統式的Wi-Fi 沒有網路分區

Internet

Firewall - Router

Wi-Fi Router

員工

來賓

會計/ERP 軟體主機

分享的網路硬碟公用 Pre-Shared key

Switch

• 來賓可存取內部網路

• 產生資料竊取的風險

• 無法監控網路網路的存取行為

• 網路濫用的風險

• 導致內部中毒

ACME CORPORATION



Cyberoam Wi-Fi 可分割來賓與員工網路存取達到真正無線分區

Internet

Switch

CR15wi

員工

將員工與來賓在網路做區隔

Layer 8 驗證技術

來賓有限制的存取

只可以上網

不能使用內部網路資源

記錄所有使用者的身分驗證基礎報表

Layer 8 優勢

來賓 ACME Guest

ACME Employees

會計/ERP 軟體主機

分享的網路硬碟



討論主題

■ 一級政府機關 (Gateway Mode) 客戶需求客戶環境解決方案

■大型醫學中心 (Bridge Mode) 客戶需求客戶環境解決方案

■ MIS的心聲奕瑞科技聽到了



Case 1 : 一級政府機關



客戶需求源起….有一天…..該單位MIS工程師阿男的想法

又到了寫簽呈準備採購防火牆維護費用，每年都要花這些錢，對單位網路保護措施好像沒有多大的幫助?!

打電話去問竟然要幾百萬?入侵偵測系統設備、掃毒閘道還有網頁內容過濾，哪來的經費啊?

主管跟我說，隔壁那個機關的MIS架設資安網路環境，得到模範表揚，聽說他們主管升簡任了，阿男你去問看看要怎樣把資安網路環境架設好?

把舊有的防火牆換成UTM好了，但UTM設備這麼多，但哪一家的產品才能管理“人”，效能又好?

MIS工程師阿男



MIS工程師阿男的壓力

不要以為裝無辜就可以解決問題，快去想想辦法。

出一張嘴主管小宋

我已經在想辦法了，不要再唸了。你知道現在在幾樓嗎?

我等一下就跳給你看。



真正的解決辦法--Cyberoam

不要以為裝可愛就可以幫我解決問題，剛剛搭電梯你應該知道現在在幾樓吧。

Cyberoam的專業功能與奕瑞的服務態度肯定能協助貴單位解決問題。



伺服器約 100 部

個人電腦約700部

外部單位電腦約200部

對外網路頻寬30M

客戶的相關環境

MIS阿男對新防火牆期望的管控

防火牆 : 支援多路對外網路

閘道掃毒 : http ftp smtp pop3 imap

入侵偵測 : 對外服務主機的保護

網頁內容過濾 : 禁止IM與P2P使用禁止上非關上班網站

VPN : 可整合其他外部單位

報表 : 即時與統計報表

HA : 設備持續運作



解決方案 ( Gateway Mode )

Mobile

Users

DMZ

Zone

Wan

Zone

Lan Zone

防火牆 : 支援多路對外網路

閘道掃毒 : http https ftp smtp pop3 imap



VPN : 可整合其他外部單位

報表 : 即時與統計報表

HA : 設備持續運作



Cyberoam上線後網路管理上遇到的問題

阿男，幫我開啟MSN，很多長官都需要使用。

還好Cyberoam

夠彈性，不然這麼多需求，我真的要去跳樓了。

阿男，等一下我要去開資訊安全會議，報表呢?

阿男，對外網路頻寬不是很大嗎?為什麼現在網路這麼慢?你最好找出來誰在佔用頻寬?



• 想知道誰在佔用頻寬?

• 找到誰佔用頻寬，即時限定頻寬或是阻擋該連線?

• 瀏覽網站排行榜?誰上這些網站?

• 入侵偵測系統的特徵碼，可以自訂我自己需要的規則嗎?

• 面對這些網路攻擊，如何彙整報表給長官知道?

• 開啟特定權限給特殊人員?

•上班有人下載mp3或是玩遊戲，可不可以分群組管控?

• 臨時人員只能允許下載多少流量?設定下載頻寬?

• 多人特定使用單一電腦(IP)，該怎麼管控?

• 客製化的阻擋畫面?

• 需要通過ISO27001 & ISO27005的認證，Log是否可以匯出? 保存時間是否符合規定?

阿男面對Cyberoam上線後網路管理上遇到的問題

您的問題可能不只這些?



阿男如何利用Cyberaom解決這些棘手的問題?

各位觀眾，請看我大顯神通吧，接下來的畫面將告訴各位Cyberoam的彈性與報表的精密。

時間的彈性

IDP的彈性

IAP的彈性

頻寬管理的彈性

使用者管理的彈性

套用所有功能的彈性



時間彈性

定義不同的週期設定，可彈性套用在防火牆、不同網站、應用程式功能上



入侵偵測的彈性自行決定要偵測或阻擋各種攻擊特徵碼分類

可定義多個入侵偵測政策



網站分類過濾的彈性

內建多個網頁分類過濾政策，也可依需求客製化

自訂不同的網頁類型關鍵字 URL 都支援



應用程式過濾的彈性

支援多種P2P或應用程式，也可以自訂阻擋或允許



客製化的阻擋畫面



頻寬管理的彈性

多種頻寬Policy可供選擇，亦可以自行定義



使用者管理的彈性可整合多種不同的人員身份資料庫做到Single Sign On



Cyberoam彈性的最終目的 : 讓每個人或群組有自己的Policy

不同的方向性、身分、電腦或群組

不同的服務與時間週期

不同的入侵偵測策略

不同的網頁過濾策略

不同的入侵偵測防禦

不同的即時通訊策略

不同的掃毒策略

不同的頻寬策略

要不要記錄

不同的路由策略



設定不複雜非常簡單的設定概念

設定每一項想要管理的安全策略 Policy Ex: 頻寬Policy 程式管理Policy IM管理Policy 網頁分類Policy 入侵偵測Policy 掃毒管理Policy 時間管理Policy

套用到想要管理的物件 Ex: 電腦 (群組) 人員 (群組) MAC (群組) 防火牆規則



精密報表長官，您想要看的報表，系統都有內建，也可以匯出文字檔與圖形擋，重點是這是免費的。

即時查詢誰在佔用頻寬瀏覽網站排名下載流量排名 IDP攻擊排名病毒報表的統計遵循規範的報表

阿男，這真的是太神奇了。



精密報表系統

可匯出多種格式

可查詢某段日期的相關報表

各種報表的分類

不同型態的報表



即時發現誰在使用網路 IP 或使用者的排行每個欄位都可以再排序



即時發現誰在使用網路

依不同的管理政策彈性記錄有無阻擋或允許



即時發現誰在使用網路

資訊周全還能篩選 : 使用者、IP、時間、觸犯規則內容



瀏覽網站排名

每個網站點進去還可以看見哪些人曾上過這個網站網頁看不慣，可匯出EXCEL、PDF

不是只有Top10，要多少有多少



入侵偵測防禦報表

可依攻擊行為分類產生報表



防毒報表哪些病毒哪些使用者哪些網站



需要遵循法令的報表? 稽核有什麼好怕的?

提供五種遵循國際標準的報表照著這些資料印出來，稽核不用怕



Case 2 : 大型醫學中心



客戶需求源起….阿男來到了另一個新單位

我絕對不是因為跳樓才到醫院服務的!

這裡用的掃毒軟體偵測率好低，可是防毒軟體合約還有一年才能換。

這裡每個醫生都好大牌，叫他們的NB裝防毒軟體也是為他們好，偏偏就是有人忙昏頭沒時間裝，NB中毒就哇哇叫。

上次去聽一場研討會，建議將網路分成三個架構，中間多一層掃毒保護應該至少可買個保險，如果醫生忘記更新病毒碼，還可以將常用的通訊協定做掃毒，再去找Cyberoam解決吧。



MIS工程師阿男的壓力

垃圾郵件太多了，順便過濾一下。

真是見鬼了，到哪都遇到你。換你要拜託我了吧!



伺服器約 150 部

個人電腦約2000部

手提電腦約150部

對外網路頻寬60M

客戶的相關環境

MIS阿俊對掃毒牆期望的管控

閘道掃毒 : http ftp smtp pop3

垃圾郵件阻擋 : smtp pop3



報表 : 病毒統計報表



解決方案 ( Bridge Mode )

Users

Router

Firewall

閘道掃毒 : http https ftp smtp pop3 imap


網頁內容過濾 : 禁止應用程式

禁止IM與P2P使用禁止上非關上班網站

報表 : 病毒統計報表



老闆與MIS的心聲奕瑞科技聽見了



Cyberoam CR UTM 硬體型號

Large Enterprises

- CR 1500i

- CR 1000i

- CR 750ia

- CR 500ia

Small to Medium Enterprises

- CR 300i

- CR 200i

- CR 100ia

- CR 50ia

Remote Offices

- CR 35ia

- CR 35wi

- CR 25ia

- CR 25wi

- CR 15wi



Cyberoam帶來意想不到的價值

• 落實人員上網行為管控

• 降低學習負擔 : 不用花時間學習多台設備 • 降低建置成本 : 不需購置多台設備達到網路防護

• 降低建置風險 : 不需要整合多款不同的設備

• 完整報表 : 提供完整可靠與可用的訊息

• 彈性管理 : 個別的電腦與使用者套用適當政策



您可以放心的Cyberoam

• 掃毒能力 : 史上最強Kaspersky

• 整合能力 : 程式大國印度最堅強的支援

• 服務態度 : 奕瑞科技的承諾

• 國際認證 :



阿男，你真是太棒了。

在座的各位，你們還在等什麼，趕快連絡奕瑞科技吧!

Question/Answer Session

Documents

Sec.4 有效協助企業內部網路行為管理-奕瑞 eden