Upload
zariel
View
41
Download
0
Embed Size (px)
DESCRIPTION
WiMAX Market Information and Business Update. BWAD Sam Hung. Agenda. 網路安全基礎架構 產品應用解決方案 整合性安全管理 分析報表管理. 網路安全基礎架構. DX/WX. Funk Software. Firewall:. IDP. Router. SSL VPN. IPSec VPN. 防火牆. 入侵偵測與防禦. 防毒. 重要資源. 使用者 存取管理. SSL VPN. “. - PowerPoint PPT Presentation
Citation preview
WiMAX Market InformationWiMAX Market Information and Business Updateand Business Update
BWADBWADSam HungSam Hung
網路安全基礎架構網路安全基礎架構產品應用解決方案產品應用解決方案整合性安全管理整合性安全管理分析報表管理分析報表管理
AgendaAgenda
SSL VPNSSL VPN
RouterRouterIDPIDP
DX/WXDX/WX Funk SoftwareFunk Software
Firewall:Firewall:
網路安全基礎架構網路安全基礎架構
分層式安全解決方案
安全專家一致認為網路安全需要多重的分層防禦機制。 為因應各種複雜與一般攻擊的挑戰 , 企業已被強制部署不同層級的安全產品。
”- International Data Corporation
“
重要資源重要資源入侵偵測與防
禦入侵偵測與防
禦 防毒防毒
SSL VPNSSL VPN
IPSecVPN
IPSecVPN
使用者 存取管理 使用者 存取管理
防火牆防火牆
分層式安全防護架構
合作夥伴
部門伺服器DMZ-1
財務
人事
業務
行動工作者
分公司
在家工作者
可將數個虛擬防火牆 整合於單一平台上
具 DoS 防護及存取控制之 FW/VPN
集中式管理
偵測 / 防禦網路與應用攻擊 資料中心
Internet
提供可靠 WAN 通訊的Site to Site IPSEC VPN
整合式 FW/VPN/AV,
提供家庭 / 工作區劃分與 HA 選項
SSL VPN
DMZ-2
遠端存取 SSL VPN, 支援安全的行動 / 遠端 / 合作夥伴 / 客戶存取 ,
即使他們來自於未經管理的裝置與非信任網路
支援跨企業線上會議的 Secure Meeting
完整之網路解決方案
整合式 Firewall/IPSEC VPN 解決方案 專為大型到中型企業設計 , 提供各種不同安全選項、介面、 電源供應及效能配置的安全裝置。
Secure Access SSL VPN 解決方案 四大產品線可保護 LAN, extranet 及 intranet 網路 , 讓行動員工 , 客戶及合作夥伴不需要安裝用戶端軟體或更換 LAN 基礎設施 , 也能夠安全地存取企業網路
入侵偵測與防禦解決方案 共有四項產品 , 可藉由偵測與防禦機制來有效保護網路與重要資源 , 使其免於受到攻擊
WAN 加速解決方案 專為延伸中企業所設計 , 可藉由加速 WAN 應用 , 來解決 MIS, 管理者及用戶端對管理簡化 , 成本降低 , 效率增加及降低回應時間
整合式企業 WAN 網路解決方案 共有五項產品 , 企業可藉此建構安全且有保障的整合式企業 WAN 網路以提昇企業競爭優勢
防火牆系列
要求 防火牆系列產品特性效能 專用型硬體平台
專屬的安全作業系統多層級的安全性以有效保護網路
整合式完整安全應用 可單獨使用的入侵偵測與防禦系統 (IDP)
先進的安全功能 以提供整體企業安全
透明、靜態路由及動態路由模式 高實體介面密度 虛擬系統 , 安全區 , 虛擬路由器
穩定性與快速復原 高穩定度 遠端連結備援 VPN 路徑監視
成本效益 可為特定應用提供最高價格 / 效能比
強固的驗證方式• 避免假造密碼• 確保不可否認性 (Non-Repudiatio
n)主機檢驗方式
• 檢查協定符合性• 註冊 , 處理 , 建檔 , 客製 DLL• 檢查應用驗證• 定期執行主機檢查
清除快取記憶體• 消除連線資料• 刪除暫存檔
集中式安全閘道器 網路安全
• DDOS 防護• URL 攻擊防護 • 網路防火牆 • SSL傳輸
動態驗證政策• 驗證來源 IP, 檢驗主機 , 清除快取記憶體 , 使用者代理程式 (User Agent), 介面等等
精密的驗證規則 • 以群組為基礎• URL, Host, Port• 用戶端 /目的地• 終端 / 連結檢驗
• 保護現正傳輸的資料• 資料陷阱
• 非快取 (Non-Cacheable) HTML rendering
• Cookies• 主機名稱加密
終端安全政策 堅牢的安全裝置網路安全服務 目錄整合
Directory Store
資料傳輸安全防護 動態存取權限管理
MRP/ERPMRP/ERP
Intranet /Web Server
Unix/NFS
ServerFarms
SSL VPN 安全存取
來自擴張中應用的需求 多重存取系統 (IPSec VPN + 客製化 Extranet)
SSL VPN ( 提供單一平台予各應用程式及網路層的連結性 )
整合且彈性動態的存取控制 Coordinated and Dynamic Access Controls
簡化且統一的安全政策管理 Simplified and Consistent Administration of Security Policies
可動態性設置多重終端用戶存取權限 Dynamic Ability to Couple End Point Assessment with Access Controls
提供未來升級的擴充性 Scalable Model
對整體擁有成本的經濟考量 Low Management and Administration Costs
一致性使用方法 Consistent End User Experience
SSL VPN 新一代安全存取技術
散佈攻擊之損失最重 ($$)務必 抑制攻擊的散佈 ($$)務必 控制攻擊
駭客會攻擊網路與應用層務必 嚴密保護網路與應用層
偵測並防禦攻擊 , 同時• 務必每一階段 ( 事前勘查 , 發現及散佈 ) 都做到嚴密的安全防護• 務必嚴密保護網路與應用層• 務必抑制攻擊的散佈• 務必防堵所有非必要的攻擊因素 ( 如錯誤的應用使用分式 )
5Copyright © 2004 J uniper Networks, Inc. Proprietary and Confidential www.juniper.net
Attack Occurs in Phases
Department Servers
DMZ
Finance
HR
Sales
Hacker
Internet
Data Center
Business Partner
3. Once admin access on server, uses ‘trust’ relationship with back-end servers take over.
Propagation
4. Once admin access on back-end servers, attacker create a tunnel back to himself to take control of the target’s networks
Propagation
1. Attacker scans for server to exploit Reconnaissance
2. Once vulnerable server found, exploit (attack) is launched to gain adminaccess on server
Exploit
駭客攻擊可分為不同階段務必 每一階段都做到嚴密的安全防護
7Copyright © 2004 J uniper Networks, Inc. Proprietary and Confidential www.juniper.net
Attacks Phases have Different Impact
Financial Impact
Without IDP
With IDP
reconn exploit propagate
$$ im
pac
t
Without IDP
Hosts Impact
With IDP
Host
Affec
ted
reconn exploit propagate
5Copyright © 2004 J uniper Networks, Inc. Proprietary and Confidential www.juniper.net
Attacks Access the Network and Application
Probe, Attempt
Access - Interact
Probe, Attempt, Attack, PropagateInteract
Reconnaissance Phase
Network Access
Exploit Phase
Network andApplication Access
?
Probe, Attempt, Attack, Propagate
Probe, Attempt, Attack, Propagate
Probe, Attempt, Attack, Propagate
PropagationPhase
Network andApplication Access
IDP 系列提供主動防禦
15
過去 :• 專屬的區域資源• 區域資料中心• Client/Server 應用• 客服中心• 特定服務網路• 私有網路
現行企業網路需求 :• On-Demand 網路資源• 集中式資料中心• Web 服務 ( 如 SCM, CRM 等 )• 網頁式客戶自助服務• 整合式語音 , 視訊 , 數據網路• 公共 IP 服務 , Extranet
網路連結已成校園運作不可或缺的一環 , 因此校園需建構 IT 基礎架構 , 以提高競爭優勢 , 對此 , 路由器提供了 :
路由器無往不利
•強調效能 , 可靠度及支援遠端操作的整合式企業 WAN 網路• 更穩固的不間斷運作• 16 倍效能 , 先進服務及豐富的擴充性• IP Sec VPN 用以提供強大且多重的安全防護選項• Voice over IP 以提供經濟化 , 安全及低延遲的通訊服務
提高用户端效率 集中部署伺服服務器 整合數據網路 達到回應的速度要求
保障 VoIP和其他節費方案的應用 保證重要的應用程式可獲得優先權 可使用便宜的備份線路
節省頻寬升级成本 增加對 Web 資源的存取
改善故障修復
减少錯誤時間 自動部署 自動管理
經營績效 成本降低 效率提高 符合相應的認證
MIS
數據中心及服務伺服器的整合 管理、備份及偵錯回復的簡化 分支機構網路部署的簡化
終端用戶端 近線速的回應時間 實現 Extranet/Intranet 的合作關係
不增加任何複雜性
WAN 加速解決方案
Audit & Risk
NetworkingApplications
Security
IT Operations
IT Governance
Change Management
Infrastructure
Log 管理的挑戰
?
? ????
?ComplianceReporting
Network Availability User Monitoring
Perimeter & Insider Threats
SLA Monitoring
Compliance Posture
Configuration Monitoring
System Health
法條規章的要求產業的規範
Logs
安全稽核 IT 維運
Uncontrolled Log Infrastructure
Manual & Expensive Audits
Inefficient IT Operations
為何需要 log 管理的解決方案
目前使用者買了很多網路設備與伺服器但是完全沒有 log 管理的解決方案 沒有發揮已購買設備的功用 歷史事件無法良好的保存 ,甚至無法開啟巨大的 log 檔 除錯 /維護 / 管理…皆缺少良好的線索 無法面對稽核甚至法規的要求
Log 管理不僅是收集 syslog 各家設備的 log 格式並不一致 ,憑人力無法有效的辨識 非網路設備 ,並不以 syslog 來做 log紀錄 (ex: Windows/database…) 無法有效的做搜尋 , 即使可以儲存下來也沒有用
Report 系統不能取代 log 管理的方案 . 傳統的報表系統需要很長時間的製作時間 ( 數十分或數小時 ) 各家的管理 /報表系統也無法跨廠牌統一整理
政策法規對資料保存的要求正在增加
SANS 日誌管理報告 (Aug 2006) 37% 全球兩千大公司保存 log超過
一年 (去年 為 28%)NIST 對 HIPAA 建置綱要 Logs 應該被維護至少六年 (page
84) 以及在其他情況下保持七年 (page 85)
Sarbanes Oxley (沙賓法案 ) “…稽核書面資料 , 以及其他與任何稽核報告相關的資料 ,欲充分支援該報告之詳細資料需保存至少七年的時間 . (section 103)
法規 保存要求SOX( 沙賓法案 ) 7 years
PCI( 信用卡付款交易 ) 1 year
GLBA( 美國金融服務法案 ( Gramm-Leach-Bliley Act ) 6 years
EU DR Directive 2 years
Basel II( 巴塞爾資本協定 II) 7 years
HIPAA( 醫療保險可攜性與責任法案 )
6/7 years
NERC( 北美電力可靠性委員會電腦安全標準 )
3 years
FISMA( 聯邦資訊安全管理法 )
3 years
Log 管理解決方案套餐
ComplianceInsight Packages
Logger
Connectors
Enterprise EventWarehouse
Event ManagementServices
適用小到大的企業規模 整合的事件收集 強大的搜尋 / 分析能力
Log 管理的解決方案
收集 支援多達上百種主機 / 伺服器 /proxy/database/switch/router/FW/IDP/
UTM… 跨廠牌將原始資料正規化成統一標準格式 CEF (Common Event Format) 免費提供百餘種 connector 將你要收錄的設備轉成 CEF (syslog 亦可 ) 每秒可收集達 2k~100K 個事件 (依型號 ) 的強大能力 可延伸的平行式擴充與備援架構儲存 先壓縮再儲存 (壓縮比高達 10:1) 可收集 7TB~15TB 的原始資料 (750G~2TB 硬碟 ) 自身硬碟有 RAID 備援 ,提供長時間在線資料的保存能力 可延伸儲存空間到外界的 NAS 或是按時間遠端備份
Log 管理的解決方案
搜尋 類似 Google 的超快速搜尋能力 Log 與搜尋皆支援 double bytes (繁中 / 簡中… ) 並支援多條件過濾 (AND, OR…)
報表 (Logger 2.0 @ 2007/10) 基於 Web的管理界面與圖形化排行報表
安裝簡單 插電設 IP將網路設備或主機 ( 加裝 connector) log指過來結束
系統管理監控趨勢與系統健康狀態
支援內建 150+ 種系統報表 ( 並可自訂 )
網頁式報表 – 也支援多重輸出格式
工作排程與報表通知 / 發布
排程 多種的日曆排程 , 工作管理員與管理項目 定義每日 , 每週 , 每月 , 每季 或是特定日期給使用者多種報表 . 指定參數 ,傳遞方式與個別對象期望的格式 監控排程的工作與完成的工作
工作排程與報表通知 / 發布
數十種類別的預設報表Email寄送報表與發佈 選擇報表通知格式 或發佈成可瀏覽的頁面 公開瀏覽或是須登入 可設定過期時間
Analysis Reporting
Query Editor
New Reports Tab
Report Template Design
Personalized Role-Based Dashboards
法規遵循範例 : SOX Package (Regulation Compliance)
Category Focus Area Sample Report Name Sample Real Time Correlation Rule Source Device
1 System
Access
Authen-tication Monitoring
1. User Logins and Logouts by Asset
2. After Hours System Access by System
3. Successful Brute Force Login by Asset
1. Terminated Employee Access Attempt
2. After hours Login attempt : SOX System
3. Brute Force Logins – SOX Targets
P1:Application, Database, OS
P2:VPN,Web Server, Router, Switch, Firewall
2 Admin-istrative Activity
Account Management
1. No of Unsuccessful Administrative Login by Asset
2. Account Creation by System
3. Authorization Changes by Asset
1. Account Lockout on SOX system P1:Application, Database, IDM
3 System Activity
Virus/Worm/Malware Activity
1. Failed Anti-Virus Update
2. Virus Summary By Host
1. Backdoor or Trojan detected on SOX system
2. Disallowed Port Access SOX system
3. Attack against Known Vulnerable SOX Assets
P1:Antivirus 、 IDS
P2:Network Monitoring
Access Control Policy and Attack
1. Attacks Targeting Public-Facing Assets
2. Disallowed Port Access - Violators
3. Non-Secure Access of SOX Assets from External System
P1: IDS(Network or Host), Firewall
P2:Router, Network Monitoring
Configuration Management
1. Device and OS Configuration Modification by Asset
2. Assets in Public-Facing Network Domain
1. Warning – Vulnerability Software on a SOX system
2. Audit Log Clearing – SOX system
P1: Application, Database, OS
P2: IDS, Firewall, Router, Antivirus
4 Operational Review
Availability Monitoring
1. System Restarted – SOX System P1: OS
Workflow 1. Case Status by Owner
2. Average Time to Resolution – By Day
P1: ArcSight
[Optional: Remedy]
Internetlayer
CoreFLOOR N+1
Access
FLOOR N
入侵防禦系統
DMZ
SSL VPN
防毒閘道
無線網路安全暨管理系統
Anti-SAPM
WAN load balancer
Routers
WAN
AP
Remote usersSecure access
Firewall+IDP
Internet +Multiple ISPs
WAN 加速
UTM
Branch / remote office
Infranet controller
Infranet Enforcer
Infranet agent
管理系統
Server farm
Server farm
Thank you !