1、1建设高校绿色网络应用安全架构2高校网络多层次安全威胁的发展高校网络多层次安全威胁的发展 连接层安全威胁连接层安全威胁 多区域物理层接入 多链路网络出口n区域/个体带宽管理 n IPV6 网络支持 基于应用的策略控制 数据安全加密 内容层的威胁内容层的威胁 蠕虫&木马病毒 不良网站/内容 BBS信息交互 内容行为审计 僵尸主机形成 应用层的威胁应用层的威胁 web跨站脚本攻击 web业务系统渗透 数据库渗透攻击 垃圾邮件泛滥3高校网络安全区域分析高校网络安全区域分析Cernet宿舍区宿舍区教学楼教学楼实验室实验室数据中心数据中心DMZTS行政楼行政楼4高校网络安全威胁方向高校网络安全威胁方向l
2、学生进行Internet访问时带入大量病毒、木马、蠕虫、间谍软件(通过浏览网页、Email、聊天、下载等多种方式)l大量蠕虫病毒在校园网各区域之间泛滥,形成DDoS攻击,导致网络拥塞,主机性能低下l校园网内服务器面临各种内部和外部网络攻击和入侵l学生访问Internet上的不良内容(如反动、色情的内容等),上传严禁的BBS内容l垃圾邮件降低效率,占用内部网络资源,钓鱼网站陷阱泛滥l个体/代理服务器占用大量带宽,无法有效均衡l业务应用系统的安全渗透入侵防御和审计问题 需要基于IPV6&IPV4的网络+内容+应用级的三维安全部署方案5Fortinet Confidental 保密文件5三维安全架构
3、的组成三维安全架构的组成VPN 数据加密数据加密VPN 提供了数据安全加密和传输通道 网络防火墙网络防火墙防火墙提供了网络层区域威胁防御体系 Web 安全安全检测Web应用的渗透访问安全 邮件安全邮件安全 检测邮件内容和协议威胁 防病毒网关防病毒网关 检测/阻止病毒/木马和恶意代码 IPS 入侵防御入侵防御 监控网络行为和系统安全警告数据数据库库安全安全 数据安全评估和访问安全审计应用安全连接安全内容安全6 三维安全网络应用架构三维安全网络应用架构宿舍楼宿舍楼实验室实验室教学楼教学楼数据中心数据中心总校中心总校中心行政网行政网Cernet边界边界内容内容应用应用邮件邮件Web数据库数据库7三维
4、安全之连接三维安全之连接&内容层安全内容层安全网络中心网络中心 恶意网页 蠕虫病毒 间谍软件 P2P、IM应用 恶意邮件 网页欺骗 木马软件 服务器区服务器区8 连接连接&内容安全的融合内容安全的融合-UTM网关网关 l 邮件开放l 网站访问开放l FTP服务开放l 病毒/木马过滤l 网站内容过滤l 系统攻击防御l 应用流量控制UTM 安全网关9 层次化应用识别安全逻辑层次化应用识别安全逻辑 网络层到应用层的业务识别 硬件技术的整合性安全防御 高可靠性能,低延迟,最小化音频抖动 自动化攻击防御引擎 线速NAT和策略控制检测910Fortinet Confidental 保密文件10 到到201
5、1年年UTM将是最大的单项市场,将是最大的单项市场,CAGR 达到达到26.2%UTM已经超过了防火墙市场已经超过了防火墙市场Fortinet 创建 UTM市场,并且引导着新一代 X-UTM的发展-source:IDC*-源自:IDC UTM安全网关的市场发展安全网关的市场发展11UTM安全网关构建绿色安全网络安全网关构建绿色安全网络l 节省投资消费节省投资消费 最小化总体设备投入成本 最小化维护操作成本 平滑升级适应l 节省能源消费节省能源消费 最小化硬件消耗的健全安全系统 最小化电源消耗的保护系统 最小化空间管理维护系统l保护网络安全保护网络安全网络层到应用层安全 融合性威胁管理 动态适应
6、网络最大化安全效能12Fortinet 公司概况公司概况l全球领先的专业整合安全技术提供商全球领先的专业整合安全技术提供商l专业网络安全厂商专业网络安全厂商 2000年成立 1200+名员工/超过500+工程发展最快的专业安全公司 全球化的销售服务体系(美国,欧洲,亚洲)FTNT(IPO)l权威的安全认证权威的安全认证 6 项ICSA(计算机安全实验室)认证 最高级政府安全认证(FIPS-2,Common Criteria EAL4+)100+安全行业认证 ISO9001认证 美国病毒专业评测试VB 100认证 欧洲专业IPS安全评测NSS认证 Frost&Sullivan/IDC 全球最大的
7、整合性安全厂家13n 设备销量超过 500000台n 全球最大电信安全 管理服务提供商n 遍及政府、教育、电信,金融,医疗 能源,及零售机构分布全球各行业的客户分布全球各行业的客户14教育行业部分客户教育行业部分客户1515安全市场分额报告安全市场分额报告(1)IDC Quarterly Appliance Tracker,June 2009(based on revenues)(2)Gartner,Inc.,“1H09 MultiFunction Firewall Magic Quadrant”by G.Young and A.Hils,June X,2009.(3)2007 Frost&S
8、ullivan Award for“Market Leadership in UTM”and“Global Competitive Strategy Leadership of the Year SourceIDC 报告整合性安全市场报告整合性安全市场 Gartner报告多功能防火墙市场报告多功能防火墙市场 Frost&Sullivan报告报告 整合性安全市场整合性安全市场16高性能安全结构高性能安全结构17Fortinet 安全产品家族安全产品家族连接&内容安全产品FortiGateUTM 网关系列FG30B/50BFG110C/200BFG310B/620BFG1240B/3016BFG3
9、810AFG5000 安全升级服务FortiGuard24X7安全服务云网络 安全管理服务FortiManager集中网管平台FortiAnalyzer集中审计平台FortiScan 漏洞安全评估应用安全产品FortiMail邮件安全网关 FortiDB 数据库评估/审计FortiWebWeb安全网关18 UTM安全网关功能模块安全网关功能模块 防火墙/VPN 策略控制模块集中安全策略管理/日志报表审计平台FortiManager/FortiAnalyzer病毒/垃圾邮件/攻击库/web库升级中心DOS/IPS系统攻击保护模块病毒/间谍软件/蠕虫安全模块垃圾邮件保护模块IM/P2P 应用控制模
10、块网页过滤安全 模块 广域网加速模块DLP数据弱点保护19三维安全三维安全:连接和内容安全防御策略连接和内容安全防御策略l基于会话权重的多链路支持l基于用户认证的链路路由l基于用户认证的内容安全过滤 -网页过滤/论坛上传/邮件/FTP/IM 内容审计 -网站下载/上传/邮件/FTP/IM 病毒过滤l基于IP/用户认证的带宽管理l基于IP的TCP/UDP会话控制l1000+不同应用控制能力lIPSEC VPN远程分支VPN加密lSSL VPN 远程移动用户访问l完全IPV6支持(7G IPV6网络性能)20FortiGate完全完全IPV6 特性支持特性支持 lFortiGate目前支持双协议栈
11、,Dual stacklFortiGate支持手工配置的IPV6隧道。lFortiGate支持IPv6的IPsec,支持:l IPv6 over IPv6,IPv4 over IPv6,IPv6 over IPv4l支持防火墙策略控制,NATl完全IPV6 UTM安全检测,AV/IPS/Webfilter l支持FortiGate运行在透明模式l支持IPv6的管理访问l支持IPV6动态路由协议l支持RIPngl支持OSPFv3l支持BGP4+21IPv6/IPv4 UTM安全特性支持首款完全支持首款完全支持IPV6的的UTM安全网关安全网关病毒防御防火墙应用控制入侵检测Web内容内容过滤过滤I
12、Pv6/IPv4IPv6/IPv4FortiGateIPSec VPNWWWIPv6/IPv4MailIPv6/IPv4IPv6/IPv422UTM控制控制IPV6网络边界安全网络边界安全 Cernet LDAP/Radius服务器区域区域A区域区域B区域区域C23FortiGate安全网关系列产品安全网关系列产品远程办公室中低端产品线中高端产品线高端产品线FG5000FG30B-80CMFG110C-620BFG5000 FG1240B-3810A24在线安全管理在线安全管理 25 校园网校园网络络安全会话监控管理安全会话监控管理 公共网公共网络资络资源源公共网公共网络络个体个体26带宽应用
13、管理带宽应用管理2627整合式安全防御整合式安全防御n网络访问的内容控制网络访问的内容控制n支持内容关键字过滤支持内容关键字过滤n屏蔽具有政治或敏感的网页内容屏蔽具有政治或敏感的网页内容nBBS论坛内容控制论坛内容控制n网络访问的完全安检策略网络访问的完全安检策略 邮件邮件/网页网页/BBS论坛论坛/文件传输文件传输/IM公共网络资源公共网络资源28安全保护应用安全保护应用28“无害的无害的”视频链接:视频链接:重定向至恶意网站Web过滤过滤阻挡对恶意网站的访问网络防病毒网络防病毒阻止病毒下载入侵防御入侵防御阻止蠕虫的传播解决方案:解决方案:错误消息:错误消息:在系统中不断复制自身,并试图扩散
14、“过期过期”Flash播放器错误:播放器错误:下载恶意文件问题:问题:29应用流量统计管理应用流量统计管理30 用户化报表定制用户化报表定制用户可定制化的多种报表模板用户可定制化的多种报表模板31安全统计中心安全统计中心32应用安全威胁分析应用安全威胁分析-Web最流行的威胁类型最流行的威胁类型最常见的应用弱点最常见的应用弱点(http:/www.webappsec.org/projects/statistics/)Slide 3233安恒机密.|33跨站攻击获取跨站攻击获取COOKIE利用脚本加载一个JS文件,动态创建一个script标记:当用户浏览贴子时,用户浏览器将自动执行http:/上
15、的xss.js脚本利用JS文件指向其它网站当用户浏览贴子时,用户浏览器将跳转到另一页面(如虚假登录页面)34应用安全威胁分析应用安全威胁分析-数据库数据库复制备份系统数据装载/卸载抽取、转换和装载 报告服务器测试数据集成高权限用户操作用户管理员临时用户应用集成数据库数据库监控人员财务数据管理数据人力资源 学生数据35三维安全之三维安全之 应用安全威胁应用安全威胁管理员和开发者外部用户 Web/邮件 应用服务器数据库/LDAP服务器1.跨站脚本/钓鱼攻击2.SQL 注入,执行命令3.弱口令,暴力破解4.数据与审计日志窜改5.溢出攻击,权限提升6.较弱的 AAA 和数据库安全80%的攻击对象是应用
16、数据资料65%的内部攻击未检测到25%的数据库发现安全漏洞 60%的数据丢失或破坏都是人为错误引起的内部攻击内部攻击 外部攻击:外部攻击:Cernet学生区核心交换安全网关外部用户外部用户36三维安全之应用安全架构三维安全之应用安全架构外部用户 邮件服务器数据库/LDAP服务器 Cernet核心交换边界安全网关 Web 服务器应用安全网关应用安全网关数据库监控设备数据库监控设备lWeb 应用安全检测lXML 内容语言检测lSSL/XML 加速lWeb负载均衡l专业硬件芯片技术l多种应用签名技术l漏洞扫描l监控与审计l支持多种数据库l安全补救措施建议l跟踪轨迹l预配置报告类型Web安全数据库安全
17、 37Web应用防火墙应用防火墙技术技术签名库及模板检测引擎基于阈值的限制会话管理及流强制自定义输入参数验证规则参数、表单篡改及表单或元数据验证威胁防御威胁防御跨站脚本SQL及OS命令注入HTTP请求走私缓存溢出远程文件包含攻击编码攻击Cookie篡改/中毒会话劫持中断访问控制强制浏览/目录遍历/站点侦察/Google HackingOWASP Top 10XML防火墙防火墙技术技术基于内容的XML路由XML防火墙XML IPSXML Schema验证WSDL 检查 XML 表现式限制源IP策略威胁防御威胁防御SQL 注入缓存溢出拒绝服务攻击Schema中毒XML参数篡改WSDL扫描超大负载递
18、归负载外部实体攻击应用加速应用加速HTTPS OffloadTCP优化XML安全验证offloadXML加/解密处理offload负载均衡最大限度提高Web应用及服务的有效性Web应用安全网关应用安全网关-FortiWeb38Web签名库技术签名库技术由全球FortiGuard云安全网络提供服务,发现漏洞后,自动更新签名库规则,维护简单,内置6000条HTTP访问规则,自动匹配应用逻辑算法,全面检测web访问应用数据,动态安全防御体系39应用参数逻辑规则检测应用参数逻辑规则检测FortWEB可对受保护的WEB站点进行URL级别控制,针对各种页面定制个性化规则,支持 条自定义页面规则5000-8
19、000网页上未加限制的字符输入框,容易受到脚本及注入攻击40防御暴力破解防御暴力破解 FortWEB可以针对指定网页的访问频率,超过阈值将被阻止,有效的防止渗透者对关键页面暴力破解。41逻辑规则自学习功能逻辑规则自学习功能根据自学习结果,自动生成配置学习到的网站结构网页各项参数42网页防篡改网页防篡改FortiWeb可以发现被入侵或篡改的网页被篡改的网页可以自动或手动恢复43SSL安全加密安全加密FortiWeb可对原有明文HTTP流量进行SSL加密,SSL加密密钥支持内置及客户自生成证书,服务器运行原有HTTP业务,由FortWEB“装载”了SSL协商过,此过程FortiASIC CP6 芯
20、片进行SSL的加/解密运算,Web ServersClientHTTPSSSL ComputationPCIe 加速卡CP6可加速SSL处理板载Flash存储用来嵌入系统系列号及数字认证44 业界高性能业界高性能WAF FortiWeb支持透明,路由和傍路 三种部署方式.在线部署时提供高可靠的转发性能 Other Vendors Performance Area45内部用户内部用户合法权限滥用合法权限滥用权限盗用权限盗用越权滥用越权滥用权限分配不当权限分配不当临时帐号未及时清理临时帐号未及时清理备份数据缺乏保护备份数据缺乏保护离职员工的后门离职员工的后门合作伙伴合作伙伴合法权限滥用合法权限滥用
21、权限盗用权限盗用越权滥用越权滥用后门程序后门程序DB2/SQL/Oracle/SybaseDB2/SQL/Oracle/Sybase数据库软件数据库软件数据库平台漏洞数据库平台漏洞通讯协议漏洞通讯协议漏洞弱鉴权机制弱鉴权机制日志缺失或不完整日志缺失或不完整 4W:-是谁,做了什么-什么时候,在哪里跟踪:跟踪:-登录-数据/文件访问-数据/文件变化-模式变化-日志窜改-人为错误-可疑的活动-自定义事件FortiDB 数据库扫描和审计系统数据库扫描和审计系统46Fortinet Confidential 扫描安全隐患扫描安全隐患-提供修补建议提供修补建议 内建最优方案内建最优方案 和和/或或 用户
22、自有标准用户自有标准 持续持续扫描高校中扫描高校中的每一个数据库的每一个数据库 漏洞扫描漏洞扫描 自动创建正常访问行为基准自动创建正常访问行为基准 不断扫描使用者的可疑行为不断扫描使用者的可疑行为 可疑数据访问报警可疑数据访问报警 模板模板监控审计监控审计 对用户权限变化、对象对用户权限变化、对象/schema变化、数据访问、数据变化、数据访问、数据更新事件等提供更新事件等提供完整历史记录完整历史记录 向数据库管理员、信息安全管理员、审计员向数据库管理员、信息安全管理员、审计员审计审计/法律依法律依从性报告从性报告完善的安全扫描和日常数据审计完善的安全扫描和日常数据审计47Fortinet C
23、onfidential 外部独立性外部独立性自动搜索自动搜索(数据库数据库/敏感数据敏感数据)集中式管理集中式管理基于WEB的控制台管理集中式的,全局报告跨平台支持跨平台支持非侵入式非侵入式(Agentless)简单,无风险的安装简单,无风险的安装IBM OracleSybaseTeradataMicrosoft互互联联网网IBM Oracle 高校高校总总部部远远程分支学校程分支学校Hitachi可扩展性可扩展性对高校分支进行单一部署扫描数千个数据库易用性易用性 可定制的“最优方法”策略普通用户(非数据库管理员)可以使用通过XML定期更新标准和通用惯例报告数据数据库库安全系安全系统统多分支部
24、署多分支部署48Fortinet Confidential 关键特性关键特性 对漏洞进行评估,并提供业界标准修补建议,以加固数据库的完整性和安全性。这项特性将帮助排除密码、存取、权限、配置设定等方面的弱点。自动发现所有的数据库。加速安全及法规顺应性建设。(PCI,SOX,HIPAA)集中特征及策略管理。职责划分。易于创建客户自定义特征及策略。便于识别的报表 专家级修复建议 分析数据库安全趋势 支持多种数据库 (Oracle、SQL、DB2 UDB、Sybase)数据库漏洞评估数据库漏洞评估49Fortinet Confidential 数据安全审计组件数据安全审计组件降低高校数据库信息窃取、泄
25、漏、欺诈等的风险降低高校数据库信息窃取、泄漏、欺诈等的风险 用户(UBM)行为监视,用于数据库访问安全保护。动态学习数据库用户访问模板 检测可疑的数据库访问并报警。可以创建特征/策略,以跟踪用户行为、对象访问、会话细节等。PM用于监视数据库访问的安全性 监视并审计数据库,检查数据库访问权限的变化,并向预设的用户报告。MM用于监视数据库的schema 监视并审计数据库,检查数据库schema中潜在 危险的变化,并向预设的用户报告。50用户行为监控用户行为监控减少高校数据信息泄露、攻击、篡改的风险减少高校数据信息泄露、攻击、篡改的风险分析用户对数据的读取和更新访问模式偏离(静态的)最优的方法比如软
26、件工程师不能够访问特权和商务的数据分析审计跟踪信息审计跟踪保留所有的“选择(select)指令”和“修改(update)指令”对象、用户、会话策略向下钻取数据分析季节性也包括在内用户信息的规则51权限监控权限监控(PM)n细粒度的访问权限更改的监控细粒度的访问权限更改的监控严格的权限管理减少添加新数据库用户和改变访问权限等带来的安全风险Learn cycleGuard cycleCheck deltauser name passwordsystemprivilegeupdateprivilegesystemixy015kYYsyskzu219fYYscottpkty23tYYdavidsfo3
27、39hNYuser name passwordsystemprivilegeupdateprivilegesystemixy015kYYsyskzu219fYYscottpkty23tYYdavidsfo339hYYn 用户自定义规则(用户自定义规则(UDR)能够实)能够实 现高校详细的访问权限监控现高校详细的访问权限监控52元数据(元数据(Metadata)监控)监控元数据改变时通过警告的方式降低安全风险table name field namedata type.EMPEMPIDNumberBONUSENAMEVARCHARtable name field namedata type.EM
28、PEMPIDNumberBONUSENAMEVARCHAREMPLYEE ENUMBERNumberLearn cycleGuard cycleCheck delta添加新纪录添加新纪录高校特定的元数据监控能够按用户定义规则(UDR)实现细粒度的模式对象变化监控53数据库审计数据收集数据库审计数据收集内部审计员外部审计员安全部门运营业务单元警告警告-FortiDB对特定监控对象详细的审计对特定监控对象详细的审计数据数据 安全事件警告安全事件警告安全事件报告安全事件报告当前审计数据警告报告当前审计数据警告报告 历史审计数据分析历史审计数据分析所有类别示例所有类别示例:-对对象对对象(Object
29、)选择选择/事务事务-按用户按用户(User)选择选择/事务事务-遵从客户策略遵从客户策略-事务事务(row level)-失败的登录失败的登录-可疑的登录时间可疑的登录时间-高输入输出高输入输出(I/O)比会话等比会话等DB2事件监控、审计MSSQL跟踪SYBASE选择性审计审计数据(对象层)审计数据(事务层)审计数据(事务层)自动/手动归档,恢复ORACLE日志挖掘选择性审计事务日志、(事务层)审计数据(来自表或文件)Oracle/PostgreSQL审计数据呈递信息:呈递信息:警告警告用户行为用户行为 4W 信息:信息:元数据元数据(Metadata)权限权限(Privileges)事务
30、事务(Transactions)读取读取(Reads)设置设置(Setting)选择选择(Selects)向下钻取分析向下钻取分析54三维安全高校绿色网络三维安全高校绿色网络 网络+内容+应用三维安全网关 安全管理服务平台安全云网络中心55高级云安全服务网络高级云安全服务网络56成功案例成功案例 北京大学北京大学CERNET提供的是Internet接入和教育科研网的接入服务,所面临的问题是大量P2P、迅雷占据和阻塞了整个网络,极大地降低了网络的使用率。在对实际环境调查发现,其千兆光纤网络基本满负荷地工作。图书馆和服务器区对校内外用户提供信息服务,其主要安全风险来自于校内外对服务器的攻击和非授权
31、访问。宿舍楼办公楼和核心路由区所面临着最为严重问题是,面临着来自Internet和教育科研网的各种网络层和应用层的安全威胁,如:外网流窜进来的病毒、木马、蠕虫、间谍软件;各种网络攻击和入侵;学生访问Internet上的不良内容(如反动、色情的内容等);垃圾邮件降低效率,占用网络资源;P2P、迅雷类的软件消耗了网络的可用资源。57成功案例成功案例 清华图书馆清华图书馆读者上网区与资源服务器区需求各有不同:读者上网区提供的是Internet接入服务,应用众多,面临着各种网络层和应用层的安全威胁,如:a.访问外网可能感染病毒、木马、蠕虫、间谍软件;b.各种网络攻击和入侵;c.学生访问Internet
32、上的不良内容(如反动、色情的内容等);d.垃圾邮件降低效率,占用网络资源;e.各种P2P应用如BT、电驴、网络电视等对网络带宽的占用;资源服务器区对校内外用户提供信息服务,几乎时刻都有成千上万个用户需要访问,对性能与可用性有很高的要求。主要安全风险来自于校内外对服务器的攻击和非授权访问。58成功案例成功案例 清华图书馆清华图书馆59成功案例成功案例 清华图书馆清华图书馆由于读者上网区和资源服务器区的安全需求不同,所以针对这两个区域各自进行了针对性的安全部署。读者上网区采用UTM解决方案,使用FortiGate 3600提供防火墙、防病毒、入侵防御、Web过滤、反垃圾邮件等安全功能;使用Fort
33、iGate 800F的防火墙和入侵防御功能,保护资源服务器区,防御来自于系统外部的攻击和入侵;两个区域的FortiGate均采用了双机热备的HA结构,保证系统的高可用性。60成功案例成功案例 北京大学北京大学61成功案例成功案例 北京大学北京大学在CERNET的接入区采用使用FortiGate 5020(5001FA2)的防火墙功能实现访问控制,通过P2P流量控制和会话限制功能减少P2P应用产生的流量和会话,从而有效地减轻网络负担使用FortiGate 5020的防火墙的入侵防御功能,保护资源服务器区,防御来自于系统外部的攻击和入侵北大图书馆的网络入口部署两台FortiGate 3600设备,
34、采用其防火墙、防病毒、IPS和反垃圾邮件等UTM的多合一功能,对北大图书馆实现全方位的防护。在宿舍、教学楼和核心路由交换区中需要安全防护的局部网络,部署了4台FortiGate800,采用其防火墙、防病毒、IPS和反垃圾邮件等UTM的多合一功能,防火墙实现访问控制,防病毒功能过滤掉网络中的病毒,IPS功能阻断了蠕虫病毒的攻击,反垃圾邮件功能过滤掉多余的邮件流量提高了生产率。62Educational ReferencesColleges and SchoolsUniversitiesLearning Grids63Thanks.64Schools and Colleges Largest co
35、llege in the UK with over 80,000 students Fortinet WCF&AV,AD Authentication 2 x FG1000A 2 x FG800 1 x FAZ800 Residential Public School Were looking Juniper but wanted more value Suffered with resource drain AV,WCF,AD authentication,application control 2 x FG620B 1 x FAZ400B65Universities 7 Oxford co
36、lleges deploying FortiGate Firewall,IPS,AV VDOMs for conference traffic IPv6 Multiple deployments of:2 x 3600A 1 x FL800 Residential network a threat to campus security Firewall,IPS and AV Multicast routing for IPTV 2 x FG3810A 1 x FAZ2000A66Learning Grids 4,000 Schools 800,000 Students and Staff We
37、bfiltering and AV Phase I tested to 2Gbps Phase II to scale to 10GbpsHEANET COREINTERNET67Dont forget the other products.50 DB FortiDB Installation Protects students record 8,000 Staff and Students Being hit by 500,000+spam per day Students laptops infected and sending spam FortiDB VA+A&M 2 x FE2000A68Dont forget the other products.Low latency 10Gbps switching for the ATLAS Supercomputer Computation of gravitational waves
