DefensePro安全解決方案

1 全解決方案 州代表處 2 目 錄 1. 司介紹 . 3 2. 需求分析 . 6 絡(luò)安全面臨的問題 . 6 3. 全解決方案建議 . 7 統(tǒng)總體結(jié)構(gòu)圖 . 7 紹 . 10 絡(luò)應(yīng)用安全解決方案 . 19 擊的形式 . 19 安全解決方案 . 21 4. 產(chǎn)品說明 . 30 . 30 件平臺 . 34 I 交換機(jī) . 34 換機(jī) . 37 備管理 . 45 絡(luò)管理系統(tǒng) . 45 . 46 設(shè)備管理 . 46 站點(diǎn)配置和管理 . 46 模板和向?qū)?. 48 跨多臺設(shè)備的智能化管理 . 48 統(tǒng)計(jì)信息的查看和性能監(jiān)視 . 49 報(bào)警 . 52 總結(jié) . 52 準(zhǔn)的網(wǎng)絡(luò)瀏覽器 . 52 用 式： . 53 理手段 . 53 3 1. 司介紹 司 是 團(tuán)的成員之一， 團(tuán)目前擁有 14 個(gè)各自獨(dú)立的公司，在網(wǎng)絡(luò)及通訊產(chǎn)業(yè)領(lǐng)域提供不同的技術(shù)，服務(wù)不同的市場。 1999 年在 市(用戶遍及 40 多個(gè)國家 ,在全球有 130 家經(jīng)銷商 步成為負(fù)載均衡設(shè)備市場上毫無疑問的領(lǐng)導(dǎo)者。 隨著 場快速持續(xù)增長，有關(guān)網(wǎng)絡(luò)流量及 務(wù)品質(zhì)的相關(guān)問題日趨嚴(yán)重。 司作為全球領(lǐng)先的網(wǎng)絡(luò)智能應(yīng)用交換解決方案提供商，其任務(wù)就是通過最優(yōu)化的資源的使用率，在 用中提供既經(jīng)濟(jì) 、功能又強(qiáng)大的網(wǎng)絡(luò)應(yīng)用環(huán)境。該類方案能確保動態(tài)網(wǎng)絡(luò)的穩(wěn)定性，包括提供最優(yōu)的連續(xù)性、個(gè)性化的安全服務(wù)。 能應(yīng)用交換 (解決方案提供全局和本地網(wǎng)絡(luò)資源之間的智能 載均衡，使我們能夠確保網(wǎng)絡(luò)的確定性。無論網(wǎng)絡(luò)大小，我們的全線 備都能夠提供完整的、端到端的流量管理解決方案。 術(shù)在優(yōu)化服務(wù)資源和控制成本的同時(shí)消除了創(chuàng)建安全網(wǎng)絡(luò)環(huán)境的不確定性。 品系列中包括為滿足 用服務(wù)器、防火墻、 務(wù)器和 接而開發(fā)和設(shè)計(jì)的產(chǎn)品。我們的產(chǎn)品結(jié)合市場上豐富的功能設(shè)置，提供了完全可擴(kuò)展的解決方案。通過使用 獎的 列和 絡(luò)在保持 100% 正常運(yùn)行時(shí)間的同時(shí)，可獲得高可用性、容錯和冗余性能，并使用 管理防火墻群集和多歸路網(wǎng)絡(luò)的流量。它們都可以舒緩服務(wù)器、快取服務(wù)器及防火墻服務(wù)器的擁塞狀況，提高可存取性及可管理性。 備優(yōu)化了所有公司、電子商務(wù)企業(yè)和全球主要 網(wǎng)絡(luò)性能。并與主要的企業(yè)解決方案提供商合作，為客戶提供最先進(jìn)的技術(shù)和服務(wù)。 負(fù)載均衡設(shè)備可與 術(shù)及大多數(shù)可知的重要算法協(xié)同運(yùn)作，優(yōu)秀的容錯及備援性能帶來了最佳的可用性，并且避免網(wǎng)絡(luò)中單點(diǎn)故障的發(fā)生。 有最強(qiáng)大的市場分銷渠道，產(chǎn)品目前應(yīng)用于許多財(cái)富 500 強(qiáng)企業(yè)中，同時(shí)還提供給了全球各大主要的互聯(lián)網(wǎng)絡(luò)服務(wù)供應(yīng)商 (。隨著電子商務(wù)的繼續(xù)發(fā)展 4 和 量的增加， 繼續(xù)開發(fā)創(chuàng)新的解決方案來提高生產(chǎn)力、消除您網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中的不確定性，并提供從點(diǎn)擊到內(nèi)容的最完美的服務(wù)。 負(fù)載均衡系統(tǒng)上的技術(shù)領(lǐng)先地位可由在 品線上所獲得的眾多獎項(xiàng)證明，這些獎項(xiàng)包含 s s of abs 8、 s s 要產(chǎn)品 要提供 八 大 產(chǎn)品 系列 ，其中 ： 可以有效地 均 衡 載，優(yōu)化網(wǎng)絡(luò)性能。 服務(wù)器 集 群 (間具有戰(zhàn)略性的地位，它可以監(jiān)視所有的用戶請求并在可用的應(yīng)用資源之間進(jìn)行智能化的負(fù)載分配，從而可以提供極好的容錯、冗余、優(yōu)化和可擴(kuò)展性能。 3速度的安全交換平臺，它為保護(hù)網(wǎng)絡(luò)化應(yīng)用免遭攻擊威脅提供了高速的入侵防范能力和拒絕服務(wù)攻擊防范能力。 供以下功能： 攻擊監(jiān)測和隔離； 入侵防范 ； 拒絕服務(wù)攻擊防范 ； 流量控制 ；安全更新服務(wù)； 安全性報(bào)告。 提供了容錯和充分優(yōu)化的防病毒掃描和內(nèi)容過濾功能，從而實(shí)現(xiàn)了高性能、高性價(jià)比和高度可擴(kuò)展的內(nèi)容安全。 是一種智能化的 速緩存服務(wù)器管理和負(fù)載均衡系統(tǒng)。該系統(tǒng)是專門為在網(wǎng)絡(luò)中使用高速緩存服務(wù)器陣列的企業(yè)而設(shè)計(jì)的， 問和存儲資源使用率，同 時(shí)，也使整個(gè)服務(wù)器群的性能得以最大程度的發(fā)揮。 一種動態(tài)負(fù)載均衡系統(tǒng)，可有效地管理多個(gè)防火墻和其它安全設(shè)備上的流量。它使用一系列先進(jìn)的內(nèi)建式負(fù)載均衡算法，該算法能夠監(jiān)視客戶的數(shù)量和每 5 個(gè)防火墻上的負(fù)載，而 可以在各單元之間動態(tài)地平均分配流量，同時(shí) 還可以進(jìn)行雙向的流量管理 。 一種全面的、易于使用的內(nèi)容交通管理解決方案，適用于具有多個(gè)鏈接的網(wǎng)絡(luò)。在今天，越來越多的電子商務(wù)公司、二級 企業(yè)都開始求助于 “設(shè)計(jì)來確保百分之百 的 問連續(xù)性。 以確保完全的網(wǎng)絡(luò)可用性并提供完全可擴(kuò)展的解決方案。隨著網(wǎng)絡(luò)需求的增長，該解決方案也能隨之成長。 以向那些需要 “ 永遠(yuǎn)在線 “ 的 絡(luò)提供一種創(chuàng)新的完全內(nèi)容流管理解決方案。 專為控制、管理和優(yōu)化 由而設(shè)計(jì)的。 路中實(shí)施流量重定向策略、來控制他們的 由。因此它可以減低管理成本和 接成本。提高能。同時(shí)管理員可以更好的對連接鏈路進(jìn)行控制。 夠在不降低網(wǎng)絡(luò)性能的情況下為用戶提供快速的 易 . 密 /解密功能與 流量管理解決方案相結(jié)合 ,在動態(tài)增強(qiáng)網(wǎng)絡(luò)性能的同時(shí)能夠確保高效、連續(xù)和安全的完成電子商務(wù)交易。 唯一能夠無縫和動態(tài)分配網(wǎng)絡(luò)資源的產(chǎn)品 ,從而確保所有網(wǎng)絡(luò)應(yīng)用的可用性 ,最佳性能和增強(qiáng)的安全性 量重定向、帶寬管理、應(yīng)用安全和 合在功能強(qiáng)大的 換平臺中，為綜合性的應(yīng)用服務(wù)管理提供了強(qiáng)大的、靈活的和可擴(kuò)展的解決方案。 詳情查詢，請垂訊： 瑞得韋爾中國公司大中國區(qū)廣州代表處： 8620 8620 6 2. 需求分析 絡(luò)安全面臨的問題 各個(gè)機(jī)構(gòu)所倚重的網(wǎng)絡(luò)化業(yè)務(wù)應(yīng)用正面臨越來越多的攻擊威脅，因而可能導(dǎo)致重大的財(cái)務(wù)損失。根據(jù) 財(cái)富雜志評出的前 1000 位公司的調(diào)查，在 2002 年，因?yàn)槿湎x、病毒和 擊，每個(gè)機(jī)構(gòu)的平均損失高達(dá) 170 萬美元。為了成功應(yīng)對呈爆炸性增長而且后果日趨嚴(yán)重的應(yīng)用級別攻擊，各個(gè)機(jī)構(gòu)必須重新審視自己的安全策略。 對于一個(gè)行之有效的安全解決方案，它必須考慮當(dāng)前在應(yīng)用和安全上的挑戰(zhàn)。這些挑戰(zhàn)包括： 1. 對分布式應(yīng)用的依賴性不斷增強(qiáng) 各個(gè)機(jī)構(gòu)日益依賴基于 應(yīng)用和業(yè)務(wù)級的分布式應(yīng)用來開展業(yè)務(wù)。分支機(jī)構(gòu)和生產(chǎn)部門也會通過廣域網(wǎng)從遠(yuǎn)程訪問 關(guān)鍵應(yīng)用。 2. 網(wǎng)絡(luò)化應(yīng)用容易受到攻擊 由于 80、 139 等端口通常是打開的，因此如果不對借助這些端口穿越防火墻進(jìn)入網(wǎng)絡(luò) 的流量進(jìn)行檢測，網(wǎng)絡(luò)化應(yīng)用將非常容易遭到病毒、入侵、蠕蟲和 形式的攻擊。為保護(hù)網(wǎng)絡(luò)化應(yīng)用的安全，需要對所有流量進(jìn)行深入的數(shù)據(jù)包檢測，以實(shí)時(shí)攔截攻擊，并且防止安全性侵害進(jìn)入網(wǎng)絡(luò)并威脅各個(gè)應(yīng)用。 3. 呈爆炸性增長的攻擊 應(yīng)用攻擊的數(shù)量和嚴(yán)重性都在飛快地增長，僅 2003 年就出現(xiàn)了 4200 多種攻擊形式，而且這一數(shù)字每年都會翻一番。 相應(yīng)地，這些攻擊造成的損失也呈直線上升趨勢。據(jù)報(bào)道， 2003 年 8 月成為 史上最糟的一個(gè)月。在該月，僅 毒就在全球造成了 297 億美元的經(jīng)濟(jì)損失。 4. 當(dāng)前的安 全工具無法攔截這些攻擊 在應(yīng)用層的攻擊面前，防火墻、 及防病毒網(wǎng)關(guān)等現(xiàn)有的安全工具缺乏相應(yīng)的處理能力、性能和應(yīng)用安全智能，從而使各個(gè)機(jī)構(gòu)暴露無遺。 因此，一種能用數(shù)千兆位的速度對所有流量進(jìn)行雙向掃描并且可以實(shí)時(shí)防范各種應(yīng)用層攻擊（比如蠕蟲、病毒、木馬和 擊）的內(nèi)置安全解決方案，無疑已成為當(dāng)務(wù)之急。 7 3. 全解決方案建議 公司 分支機(jī)構(gòu)眾多 ，各個(gè)機(jī)構(gòu)之間通過網(wǎng)絡(luò)連接，傳送電子郵件，辦公應(yīng)用和企業(yè)的業(yè)務(wù)應(yīng)用，然而，由于 連接，以及人員的流動，為企業(yè)網(wǎng)絡(luò)安全帶來了不 確定性，如果一臺電腦受到攻擊或感染病毒，當(dāng)安全補(bǔ)丁還未發(fā)布，安全防范措施來不及實(shí)施時(shí)，很快攻擊就會波及到整個(gè)企業(yè)網(wǎng)，一旦發(fā)生這種情況，因業(yè)務(wù)停頓帶來的損失非常巨大。 如何 實(shí)時(shí) 防止蠕蟲病毒和惡意代碼的攻擊，變得 尤其迫切 。因此，根據(jù)以上用戶的需求分析，我們提出以下 全解決方案。 統(tǒng)總體結(jié)構(gòu)圖 公司原有網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下所示 ： 500 509 509 8 由三臺 成骨干核心網(wǎng)， 7500 連接到 口，各個(gè)工作區(qū)由509 實(shí)現(xiàn)匯聚。 根據(jù)以上結(jié)構(gòu)分析，網(wǎng)絡(luò)內(nèi)部可能存在攻擊擴(kuò)散的位置主要分為兩部分：第一是口部分，直接面臨外部網(wǎng)絡(luò)的威脅，如果這部分受到攻擊，則有可能對整個(gè)企業(yè)內(nèi)部網(wǎng)造成威脅；第二部分是各個(gè)工作區(qū)的匯聚點(diǎn)之間，如果一個(gè)工作區(qū)內(nèi)部受到病毒感染或攻擊，也會蔓延到整個(gè)企業(yè)網(wǎng)。 針對以上結(jié)構(gòu)特點(diǎn)， 議用戶使用多臺 保護(hù)企業(yè)的網(wǎng)絡(luò)：針對 口部分使用一臺 護(hù)企業(yè)網(wǎng)絡(luò)免受外部病毒和攻擊；在各個(gè)匯 聚點(diǎn)之間使用兩臺 過使用 術(shù)實(shí)現(xiàn)分布式應(yīng)用，虛擬多臺安全設(shè)備，防止病毒和攻擊在各個(gè)工作區(qū)之間擴(kuò)散。如下圖： 500 509 509 9 術(shù)實(shí)現(xiàn)示意圖： 單臺 備 真實(shí)的 物理連接 如下圖 所示 ： 2/3 網(wǎng) 1 子網(wǎng) 2 子網(wǎng) 3 10 業(yè)內(nèi)首先提供了以 3 千兆位的速度防范入 侵和拒絕服務(wù)攻擊的安全交換機(jī)。該交換機(jī)可以實(shí)時(shí)地隔離、攔截和阻止各種應(yīng)用攻擊，從而為所有網(wǎng)絡(luò)化應(yīng)用、用戶和資源提供了直接保護(hù)。 功能和優(yōu)點(diǎn) 3 千兆位速度的安全交換平臺，它為保護(hù)網(wǎng)絡(luò)化應(yīng)用免遭攻擊威脅提供了 高速的入侵防范能力和拒絕服務(wù)攻擊防范能力。 本節(jié)著重介紹了 以下性能： 1. 攻擊監(jiān)測和隔離。 2. 入侵防范。 3. 拒絕服務(wù)攻擊防范。 4. 流量控制。 5. 安全更新服務(wù)。 6. 安全性報(bào)告。 攻擊監(jiān)測和隔離 網(wǎng)絡(luò)管理人員在同攻擊 作斗爭時(shí)面臨的主要難題之一是，他們無法掃描和檢查應(yīng)用層的流量。 僅為管理員提供了對網(wǎng)絡(luò)流量的全面監(jiān)視能力，而且還使得他們可以實(shí)時(shí)識別蠕蟲、病毒和異常的流量模式，從而實(shí)現(xiàn)對所有活動威脅的完全監(jiān)視。 一旦檢測到攻擊， 會實(shí)施積極的攻擊隔離措施。它會通過帶寬管理對所有受影響的應(yīng)用、用戶或網(wǎng)段進(jìn)行動態(tài)的帶寬分配限制，從而即時(shí)地控制攻擊的影響和危害。 通過控制 擊所可能占用的最大帶寬并且限制該攻擊的影響，可以確保其它的關(guān)鍵業(yè)務(wù)應(yīng)用不會受到影響，并且可以繼續(xù)獲得為保證 業(yè)務(wù)的平穩(wěn)運(yùn)行而所需的帶寬和服務(wù)水平。基于類似方式，通訊運(yùn)營商也可以保證用戶的 會因?yàn)閷ζ渌脩舭l(fā)動的 擊而受到影響。 借助 高端口密度，用戶可以同時(shí)保護(hù)多個(gè)網(wǎng)絡(luò)段。通過掃描和保護(hù)各個(gè)網(wǎng)絡(luò)段， 以防止攻擊在機(jī)構(gòu)的網(wǎng)絡(luò)段和各個(gè)層級之間傳播。這樣 11 就最大限度減少了感染機(jī)會，并且可以控制攻擊帶來的影響和危害。 入侵防范 - 應(yīng)用級別的保護(hù) 對網(wǎng)絡(luò)化應(yīng)用的依賴性不斷增強(qiáng)也使得公司網(wǎng)絡(luò)要面臨病毒、入侵、特洛伊木馬和其它攻擊的威脅。這些攻擊會使用 80 端口和其它打 開的應(yīng)用端口（如 139、 445 等）穿越防火墻而進(jìn)入公司網(wǎng)絡(luò)中。據(jù) 2003 年 8 月刊的 道， 77% 的應(yīng)用級別攻擊都是通過 80 端口發(fā)動的。 圖 1：不同應(yīng)用級別攻擊的分布圖 侵防范功能可以用 3 千兆位的速度檢測和攔截 1200 多種病毒、蠕蟲和特洛伊木馬，從而快速而全面地清除所有惡意入侵： 對各個(gè)網(wǎng)絡(luò)段的流量進(jìn)行雙向掃描 為嵌入式部署而設(shè)計(jì)的，它可以在具有多個(gè)網(wǎng)絡(luò)段的網(wǎng)絡(luò)中對所有流量進(jìn)行實(shí)時(shí)掃描。在掃描過程中， 對數(shù) 據(jù)包進(jìn)行逐一檢查，并根據(jù)惡意攻擊模式執(zhí)行特征比較。它可以識別 全數(shù)據(jù)庫中的 1200 多種攻擊特征。為了防范新的攻擊形式，該數(shù)據(jù)庫會不斷被更新。 對于未知形式的攻擊，可以使用協(xié)議異常檢查功能來檢測。通過檢查協(xié)議的異常性，可以檢測異常的數(shù)據(jù)包碎片，而這大多數(shù)情況下標(biāo)識了惡意活動。 3 千兆位速度的攻擊特征比較 為了支持?jǐn)?shù)千兆位的特征掃描速度， 門采用了基于 強(qiáng)大加速器 持并行的特征搜 索操作，可對照特征數(shù)據(jù)庫進(jìn)行高速的檢測和數(shù)據(jù)包比較。同使用 行串行特 12 征搜索相比，其字符串搜索速度提高了 300 倍。 實(shí)時(shí)抑制攻擊 當(dāng)檢測到惡意活動時(shí)， 能以任何組合形式立即執(zhí)行以下的這些操作：丟棄數(shù)據(jù)包、重置連接以及向管理位置發(fā)送報(bào)告。這樣就為該設(shè)備之后的應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和其它網(wǎng)絡(luò)資源提供了全面保護(hù)，以免它們遭到蠕蟲、病毒和其它形式的攻擊。 有針對不同網(wǎng)絡(luò)或網(wǎng)絡(luò)段實(shí)施不同安全策略的靈活性，從而可以適應(yīng)為保護(hù) 不同應(yīng) 用和服務(wù)而所需的各種用戶安全要求（對通訊商而言）和網(wǎng)絡(luò)段安全要求（對公司而言）。 防掃描功能 黑客在發(fā)起攻擊之前，通常都會設(shè)法確定打開的 口。一個(gè)打開的端口可能意味著一種服務(wù)、應(yīng)用或者一個(gè)后門。如果端口不是用戶特意打開的，則可能導(dǎo)致嚴(yán)重的安全問題。 De 應(yīng)用安全模塊提供了旨在阻止黑客獲取該信息的全面機(jī)制，方法是攔截 并修改發(fā)送給黑客的服務(wù)器應(yīng)答。 徹底防范拒絕服務(wù)攻擊 在過去的 12 個(gè)月中，拒絕服務(wù)攻擊所導(dǎo)致的損失有顯著的上升勢頭。最近的調(diào)查1 表明，拒絕服務(wù)攻擊（ 在 2003 年導(dǎo)致每個(gè)機(jī)構(gòu)平均損失了 1427028 美元，這個(gè)數(shù)字比 2002 年高了 5 倍。 塊借助高級的取樣機(jī)制和基準(zhǔn)流量行為監(jiān)測來識別異常流量，提供了實(shí)時(shí)的、數(shù)千兆位速度的 范。該機(jī)制會對照 擊數(shù)據(jù)庫中的 擊特征列表（潛在攻擊）來比較流量樣本。 一旦達(dá)到了某個(gè)潛在攻擊的激活閾值，該潛在攻擊的狀態(tài)就會變?yōu)?當(dāng)前活動），這樣就會使用該潛在攻擊的特征文件來比較各個(gè)數(shù)據(jù)包 。如果發(fā)現(xiàn)匹配的特征，相應(yīng)的數(shù)據(jù)包就會被丟棄。如果沒有匹配的特征，則會將數(shù)據(jù)包轉(zhuǎn)發(fā)給 13 網(wǎng)絡(luò)。 借助高級的取樣機(jī)制檢測 擊，不僅可實(shí)現(xiàn)完全的 范能力，而且還保持了大型網(wǎng)絡(luò)的高吞吐量。 除了上述基于攻擊特征的防范方法外， 針對各種類型的 論該攻擊是使用何種工具發(fā)動的）。這種被稱為 范的機(jī)制可執(zhí)行延遲綁定（終止 話）并且在 認(rèn)數(shù)據(jù)包中插入一個(gè) 來鑒別 求。 完成這種三向握手后 ， 處理含有在此前插入的 的請求。這種機(jī)制可以保證會被只有合法的請求才發(fā)送到服務(wù)器，而任何 擊都將在被終止，因而不會蔓延到服務(wù)器以 身。 強(qiáng)大架構(gòu)允許它處理大規(guī)模的 擊。在消費(fèi)者實(shí)驗(yàn)室中執(zhí)行的測試表明， 秒最多可攔截 100 萬個(gè) 求（相當(dāng)于 500速度），同時(shí)可保持合法流量的轉(zhuǎn)發(fā)。 報(bào)告功能 當(dāng) 測到攻擊時(shí)，它會將該 安全事件報(bào)告。在報(bào)告中包含有全面的流量信息，比如源 址和目標(biāo) 址、 口號、物理接口以及攻擊的日期和時(shí)間?？梢允褂迷O(shè)備日志文件和報(bào)警表格在內(nèi)部記錄安全事件信息，或者通過系統(tǒng)日志渠道、 阱或電子郵件將安全事件信息發(fā)送到外部。 安全報(bào)告功能提供了全面的安全報(bào)警、報(bào)告和統(tǒng)計(jì)信息，借此可以查看安全性攻擊摘要，包括前 10 位攻擊、總的攻擊流量、按 I P 地址分類的攻擊，等等。 以在 作系統(tǒng)上運(yùn)行。借助插件，它還可以在 理應(yīng)用系統(tǒng)上運(yùn)行。 流量控制 借助 帶寬管理功能，可以動態(tài)性地對流量進(jìn)行控制，以保證所有關(guān)鍵任務(wù)應(yīng)用的持續(xù)運(yùn)行和性能（即使在攻擊之下）。通過控制資源和區(qū)分流量的重要程度， 量控制功能可以限制處于攻擊之下的各個(gè)應(yīng)用所占用的帶寬，同時(shí)保證所有安全流量能獲得充足的資源。對機(jī)構(gòu)而言，這樣就保證了 關(guān)鍵任務(wù)應(yīng)用的性能和不間斷運(yùn)行。 14 的安全更新服 務(wù) 全更新服務(wù)提供了即時(shí)的和經(jīng)常性的安全過濾器更新，這為防范包括病毒、蠕蟲和惡意攻擊特征在內(nèi)的最新應(yīng)用安全危害提供了可能，從而可實(shí)現(xiàn)對應(yīng)用、網(wǎng)絡(luò)和用戶的完全保護(hù)。 所有的 戶都可以通過期限為一年或多年的預(yù)訂來獲得 全更新服務(wù)。 用戶可以享受到自動更新帶來的便利。這些用戶可以配置讓它定期輪詢 網(wǎng)站，以檢查是否有新的安全更新。如果有這樣的更新， 自動下載它們，然后通知管理員它已下載了新的攻擊特征。 該安全更新服務(wù)包括以下的主要服務(wù)要素： 安全運(yùn)行中心 (24/7 地檢視：不間斷地監(jiān)測、檢測威脅，對威脅進(jìn)行風(fēng)險(xiǎn)評估以及創(chuàng)建過濾器來抑制威脅 每周更新：按計(jì)劃對特征文件進(jìn)行定期更新，通常在星期一。可通過 動分發(fā)，或用戶主動從 載 緊急過濾器：通過緊急過濾器，可針對高危的安全性事件作出快速反應(yīng) 定制過濾器：針對特定環(huán)境下的威脅以及新出現(xiàn)的攻擊報(bào) 告給 攻擊定制過濾器 架構(gòu) 4 層架構(gòu)是為滿足企業(yè)、電子商務(wù)公司以及通訊商在網(wǎng)絡(luò)和應(yīng)用保護(hù)方面最緊迫的需求而設(shè)計(jì)的。本節(jié)將介紹 件平臺的四個(gè)主要組件，它們分別是： 交換結(jié)構(gòu)和交換 網(wǎng)絡(luò)處理器 高端的 C 理器 15 44 交換結(jié)構(gòu) & 業(yè)內(nèi)最高的端口密度 阻塞的 44 千兆位交換背板基于多層的分布式交換架構(gòu)，使用了可確保 1 個(gè) 10口、 7 個(gè) 1 千兆位端口以及 16 個(gè)高速以太網(wǎng)端口實(shí)現(xiàn)線速交換的交換 借助業(yè)內(nèi)最高的端口密度和最高的交換性能，一臺 備就可以執(zhí)行對多個(gè)網(wǎng)絡(luò)段的雙向掃描。其中，每個(gè)網(wǎng)絡(luò)段將使用兩個(gè)端口進(jìn)行連接（一個(gè)入站端口和一個(gè)出站端口）。這為公司和通訊商的內(nèi)部網(wǎng)絡(luò)提供了完全的安全性（在所有網(wǎng)絡(luò)段中避免蠕蟲、病毒和 擊蔓延）以及可保護(hù)任何網(wǎng)絡(luò)配置的靈活性。 最先進(jìn)的網(wǎng)絡(luò)處理器 兩個(gè)網(wǎng)絡(luò)處理器將并行工作，它們可以用數(shù)千兆位的速度同時(shí)處理多個(gè)數(shù)據(jù)包（實(shí)現(xiàn)了更快的第 4 至第 7 層安全交換速度）并且執(zhí)行所有同 數(shù)據(jù)包處理有關(guān)的任務(wù)，包括流量轉(zhuǎn)發(fā)和攔截、流量控制以及延遲綁定（以防范 擊）。尤其是，它們可以用每秒 100 萬個(gè) 請求的空前速率來防范拒絕服務(wù)攻擊和任何已知或未知的擊。 對第 4 層攻擊的檢測和防范是由網(wǎng)絡(luò)處理器完成的，這有助于提升防范這些攻擊類型時(shí)的性能。如果需要執(zhí)行更深入的數(shù)據(jù)包檢查（第 7 層掃描），則會將數(shù)據(jù)包轉(zhuǎn)發(fā)給 用的硬件卡，是專為提供更快速的特征和模式比較以識別攻擊特征而設(shè)計(jì)的）。 模式比較結(jié)果確定 了數(shù)據(jù)包是合法流量還是惡意攻擊。與此結(jié)果相對應(yīng)，網(wǎng)絡(luò)處理器會轉(zhuǎn) 16 發(fā)數(shù)據(jù)包或丟棄數(shù)據(jù)包然后重置有關(guān)會話。 除了清除所有可疑流量外，網(wǎng)絡(luò)處理器還支持端到端的流量控制和帶寬分配管理，以確保所有安全流量有穩(wěn)定的服務(wù)水平，并且保證關(guān)鍵任務(wù)應(yīng)用的連續(xù)性和服務(wù)質(zhì)量（即使在受到攻擊的情況下）。 基于 專用安全硬件加速器 一種專用的硬件卡，旨在提供更快速的數(shù)據(jù)包檢查和特征比較。 多 8 個(gè)，可支持 256,000 個(gè)并行的字符串搜索操作）和高端的 C 理器（負(fù)責(zé)安排和運(yùn)行并行搜索算法）構(gòu)成。供了 9 千兆位速度的自由范圍搜索和 16 千兆位速度的固定偏移搜索，其性能無與倫比。 同業(yè)內(nèi)其它安全設(shè)備通常使用的 800 相比， 內(nèi)容檢查速度顯得鶴立雞群。 800 1000 倍，比 300 倍。 H Z 的安全會話管理 理器使用的是 457。這是業(yè)內(nèi)最快的處理器，它負(fù)責(zé)管理所有安全性會話并且區(qū)分它們的優(yōu)先級。它不僅可識別所有的活動攻擊并且控制 網(wǎng)絡(luò)處理器中隔離、攔截和阻止攻擊的活動操作，而且還可以管理所有的安全更新和網(wǎng)絡(luò)要求。 借助 2 個(gè)高端的 理器（每個(gè)都相當(dāng)于一個(gè) 作站）、 2 個(gè)網(wǎng)絡(luò)處理器以及端口級別負(fù)責(zé)流量轉(zhuǎn)發(fā)的 44 換 全交換架構(gòu)提供了無與倫比的性能和計(jì)算能力，可以滿足將來在應(yīng)用安全方面的任何需求。 典型配置 企業(yè)配置 此處介紹了最為常見的 裝形式。這種在網(wǎng)絡(luò)的網(wǎng)關(guān)位置進(jìn)行的嵌入式安裝允許 數(shù)千兆位的速度執(zhí)行實(shí)時(shí)而深入的數(shù)據(jù)包檢查和雙向掃 17 描，從而保護(hù)所有企業(yè)流量免遭 1200 多種應(yīng)用級別的攻擊（包括蠕蟲、病毒和 擊）。 在網(wǎng)絡(luò)的網(wǎng)關(guān)位置防范 攻擊，不僅保護(hù)了公司資源和基礎(chǔ) 體系，而且還保護(hù)了公司的安全工具不會超負(fù)荷運(yùn)行，從而即使是在 擊之下也能保證它們的連續(xù)運(yùn)行。通過實(shí)施帶寬管理策略，可以即時(shí)隔離攻擊、蠕蟲和病毒，防止它們傳播到各個(gè)樓層 /網(wǎng)段，從而限制了它們的危害程度，并且確保了保持業(yè)務(wù)運(yùn)行所需的可用性和性能。 透明特性就好比是一種 智能化的繩索 ，通過它， 以實(shí)現(xiàn)同任何網(wǎng)絡(luò)環(huán)境的無縫集成。 另外還有一種流行的配置。該配置利用了 高端口密度和 3 千兆位的交換速度。 在這樣的配置中， 時(shí)連接了多個(gè)網(wǎng)絡(luò)段。每個(gè)網(wǎng)絡(luò)段使用 2 個(gè)端口。借助該配置，用戶通過一臺設(shè)備就可以實(shí)現(xiàn)對所有網(wǎng)絡(luò)段的雙向掃描，因而改進(jìn)了隔離效力，并且增強(qiáng)了對源自機(jī)構(gòu)網(wǎng)絡(luò)內(nèi)外的攻擊、蠕蟲和病毒的防范能力。 優(yōu)點(diǎn)： 實(shí)時(shí)的入侵防范功能可杜絕蠕蟲、病毒和特洛伊木馬的攻擊 實(shí)時(shí)防范拒絕服務(wù)攻擊和 攻擊 保護(hù)所有局域網(wǎng)網(wǎng)段和流量的安全 可將攻擊帶來的危害隔離起來 可實(shí)現(xiàn)同任何網(wǎng)絡(luò)環(huán)境的無縫集成 獨(dú)具優(yōu)勢 從防火墻、 關(guān)、 防病毒網(wǎng)關(guān)，安全市場集結(jié)了各式各樣的安全工具。應(yīng)用級層的攻擊在當(dāng)今的網(wǎng)絡(luò)攻擊中占了絕大多 數(shù)，為了抑制這些攻擊， 議企業(yè) 在作出安全方面的決策時(shí)除了考慮簡單的靜態(tài)協(xié)議過濾外，還要考慮對應(yīng)用內(nèi)容進(jìn)行深入的數(shù)據(jù)包檢查 。 但從下表可以看到， 業(yè)內(nèi)唯一兼具了 3安全性能和應(yīng)用安全智能的產(chǎn)品，它可以保護(hù)從網(wǎng)絡(luò)層直到應(yīng)用層的所有網(wǎng)絡(luò)化應(yīng)用。 具的多層安全架構(gòu)組合了數(shù)種攻擊檢測機(jī)制（針對 1,200 多種攻擊 18 特征和協(xié)議異常），它們聯(lián)同高級的防范工具（如 應(yīng)用安全模塊）一起，提供了對惡意攻擊和 擊的完全防范能力。 底層支持技術(shù)是 4 層安全交換架構(gòu)，其交換 用了 44 線速背板、 2 個(gè)網(wǎng)絡(luò)處理器、 理器和專用的基于 硬件加速卡（ ，可將檢查速度提高 1000 倍。這使得 為高速 /高性能環(huán)境中的應(yīng)用安全性能的基準(zhǔn)。 其它的獨(dú)特優(yōu)點(diǎn)還包括： 高端口密度 - 允許通過單個(gè)設(shè)備保護(hù)多個(gè)網(wǎng)絡(luò)段，從而實(shí)現(xiàn)即時(shí)的投資回報(bào)。 簡單的嵌入式安裝 - 借助 透明本性，可將它無縫地集成到任何網(wǎng) 絡(luò)環(huán)境中，從而不必對網(wǎng)絡(luò)元素的設(shè)置進(jìn)行任何更改即可實(shí)現(xiàn)實(shí)時(shí)保護(hù)。 完全的設(shè)備安全性 - 其透明性還意味著優(yōu)異的安全性，因?yàn)橛脩魺o法了解網(wǎng)絡(luò)中是否有該設(shè)備。 攻擊隔離 - 通過集成的流量控制功能，可以預(yù)先定義策略，從而防止蠕蟲、病毒和擊傳播到其他用戶和網(wǎng)絡(luò)段中。 保證關(guān)鍵任務(wù)應(yīng)用的服務(wù)質(zhì)量 - 流量控制策略還可以保證關(guān)鍵任務(wù)應(yīng)用獲得較高的服務(wù)質(zhì)量，同時(shí)限制非業(yè)務(wù)應(yīng)用（如 用）所占用的帶寬。 總結(jié) 一種能用數(shù)千兆位的速度對所有網(wǎng)絡(luò)流量進(jìn)行雙向掃描并且可以實(shí)時(shí)防范應(yīng)用級別攻擊（比如蠕蟲、病毒、木馬和 擊）的內(nèi)置安全解決方案，無疑已成為當(dāng)務(wù)之急。 到了這種需求。 作為首個(gè)可針對實(shí)時(shí)隔離、攔截和防范各種攻擊提供數(shù)千兆位的數(shù)據(jù)包深入檢查速度和特征比較速度的安全交換機(jī)， 足了這種需求。 三、簡單的管理 以通過 用、 件以及 個(gè)獨(dú)立的全 用工具）來進(jìn)行管理。這個(gè)獨(dú)立的平臺管理系統(tǒng)使您可以非常方便地遠(yuǎn)程連接和管理設(shè)備。其直觀 的布局和易于使用的菜單 19 與向?qū)?，使用戶可以按部就班地進(jìn)行系統(tǒng)配置，并對配置內(nèi)容進(jìn)行備份。 提供統(tǒng)計(jì)資料，幫助您更好地了解網(wǎng)絡(luò)的流量需求，并有效地管理服務(wù)器資源。 四、簡單的網(wǎng)絡(luò)安裝 以非常容易地集成到任何網(wǎng)絡(luò)中，而不需對現(xiàn)有網(wǎng)絡(luò)做任何改動，從而避免了工作量和花費(fèi)。 配置可以安裝成為網(wǎng)橋，保證簡單快速的安裝。 五、應(yīng)用安全性 有過濾功能和對諸如 擊的防護(hù)能力。有了 護(hù)，您可以給每個(gè)服務(wù)器分配一個(gè)最大連接閾值，保護(hù)其不會受到惡意攻擊、耗費(fèi)資源的 擊。另外，基于地址、協(xié)議和應(yīng)用的 問控制，將保證網(wǎng)絡(luò)的訪問安全。 網(wǎng)絡(luò)應(yīng)用安全 解決方案 擊的形式 洞） 術(shù)語“漏洞”指那些眾所周知的 客可以利用它們進(jìn)入系統(tǒng)。 緩沖區(qū)溢出 / 超限 緩沖區(qū)溢出是 最常見的攻擊方法之一。緩沖區(qū)溢出 產(chǎn)生是由于未對輸入進(jìn)行雙重檢查的錯誤導(dǎo)致的，它允許大容量的輸入（如包含幾千個(gè)字符的登錄姓名） “溢出”到存儲器的其它區(qū)域，從而導(dǎo)致系統(tǒng)崩潰 /非法進(jìn)入系統(tǒng)。 擊的方式： 崩潰：試圖使運(yùn)行在系統(tǒng)上的軟件崩潰，或者使整個(gè)計(jì)算機(jī)崩潰。 中斷連接：試圖使兩個(gè)系統(tǒng)之間的通信中斷，或者使系統(tǒng)與整個(gè)網(wǎng)絡(luò)的連接中斷。 減慢速度：降低系統(tǒng)或其網(wǎng)絡(luò)連接的速度 掛起：使系統(tǒng)進(jìn)入無限循環(huán)。如果系統(tǒng)崩潰，它常常會重新啟動，但如果“掛 20 起”，則會一直保持這種狀態(tài)直到管理員手動停止并重新啟動它。 分布式 攻擊的方式 通過數(shù)量巨大的計(jì)算機(jī)來實(shí)施的攻擊。黑客為了摧毀 點(diǎn)而控制成百上千的計(jì)算機(jī)。這些計(jì)算機(jī)都是從單個(gè)的控制臺來進(jìn)行控制的。以前認(rèn)為主要的 站應(yīng)當(dāng)對這樣的攻擊具有免疫能力，因?yàn)樗鼈兊膸挶热魏慰赡馨l(fā)動這種攻擊的單個(gè)計(jì)算機(jī)都要大很多。然而，在 2000 年年初，黑客否定了這種理論，他們進(jìn)入了 許多網(wǎng)站，使用這些網(wǎng)站同時(shí)向主要的 點(diǎn)發(fā)動沖擊，因此有效地使這些站點(diǎn)當(dāng)機(jī)。 后門 后門是計(jì)算機(jī)系統(tǒng)安全性的一個(gè)漏洞，它是設(shè)計(jì)者或者維護(hù)者故意留下來的。通過它不需要密碼或許可就可以直接訪問。在防止未授權(quán)訪問 這個(gè)問題的處理過程中，有可能在一些情況下錯誤地中斷一次正常的會話?？梢越眠@種功能，但為了防止通過后門非法闖入系統(tǒng)，最好還是取消它。 特洛伊木馬 特洛伊木馬是隱藏在應(yīng)用程序內(nèi)部的一段代碼，它執(zhí)行一些秘密的操作。 特洛伊木馬的常見類型。這些程序都是遠(yuǎn)程用戶執(zhí)行的，它們允許未授權(quán)的用戶或者黑客訪問網(wǎng)絡(luò)。一旦進(jìn)入，他們就可以利用網(wǎng)絡(luò)上的一切內(nèi)容。 默認(rèn)安裝 攻擊系統(tǒng)已知的默認(rèn)值是最常見的黑客攻擊方式之一。大多數(shù)軟件都提供了默認(rèn)配置以使設(shè)置更簡單，但為了確保系統(tǒng)的安全性應(yīng) 當(dāng)更改這些配置。 例如： 帳號 許多系統(tǒng)都提供一些默認(rèn)的用戶帳號和眾所周知的密碼，而管理員會忘記更改它們。 位置 文件的默認(rèn)位置也會常常被利用，例如 允許黑客從磁盤檢索文件 樣例 許多軟件包都提供可以利用的“樣例”，例如 務(wù)上的程序樣例。 探測器 21 使用探測器來掃描網(wǎng)絡(luò)或主機(jī)以獲得網(wǎng)絡(luò)上的信息。然后它們使用相同的主機(jī)來攻擊網(wǎng) 絡(luò)上的其它主機(jī)。有兩種常見類型的探測器。 地址空間探測器 用來掃描網(wǎng)絡(luò)以確定主機(jī)上運(yùn)行的服務(wù) 端口空間探測器 用來掃描主機(jī)以確定主機(jī)上運(yùn)行的服務(wù) 安全 解決方案 在應(yīng)用安全方面， 所有應(yīng)用交換機(jī)均采用 系架構(gòu)來實(shí)現(xiàn)對網(wǎng)絡(luò)元素的保護(hù)。 用交換機(jī)具有 構(gòu)的應(yīng)用安全模塊，此模塊可以保護(hù) 務(wù)器免受 1200 多個(gè)攻擊信號的攻擊。此模塊的設(shè)計(jì)使它可以作為服務(wù)器、防火墻、 務(wù)器，或者路由器前面的另一道 防線。它提供了基于網(wǎng)絡(luò)的安全性，并使用了網(wǎng)絡(luò)信息和基于信息的應(yīng)用。通過終止所跟蹤的可疑會話來實(shí)時(shí)檢測和阻止攻擊。 構(gòu)的應(yīng)用安全模塊分為 5 個(gè)部分： 檢測引擎（分類器） 負(fù)責(zé)對網(wǎng)絡(luò)流量（目前為 量）進(jìn)行分類，并將其與設(shè)備上安裝的安全策略進(jìn)行匹配。然后由 應(yīng)引擎）執(zhí)行操作。 跟蹤模塊 不是所有的攻擊都是由具有特定模式或者信息的數(shù)據(jù)包來啟動的。一些攻擊是由一系列數(shù)據(jù)包產(chǎn)生的，這些共同存在的數(shù)據(jù)包才會導(dǎo)致攻擊發(fā)生。因此，我們使用基于 5個(gè)獨(dú)立組件的歷史機(jī)制 ，以不同的方式來識別每一個(gè)組件： 通過源 別 通過目標(biāo) 別 通過源和目標(biāo) 別 通過過濾器類型識別 查系統(tǒng) 始終跟蹤每個(gè) 話（源和目標(biāo) 及源和目標(biāo)端口）并被用來識別 口掃描 響應(yīng)引擎 根據(jù)策