安全与管理(黄志远)分析报告.ppt

提 纲 企业信息化的网络需求 面向应用的网络技术发展 全方位的网络安全 建设新一代D2SMP网络 提 纲 企业信息化的网络需求 面向应用的网络技术发展 全方位的网络安全 建设新一代D2SMP网络 企业网 企业事务处理和应用架构在网络之上，企业网络市场与应用的结合更加紧密。 以IP为基础，在统一的软硬件平台上，提供语音、视频、存储、路由交换等多业务，并提供安全、可管理的服务。 提 纲 企业信息化的网络需求 面向应用的网络技术发展 全方位的网络安全 建设新一代D2SMP网络 企业网技术发展趋势 企业网业务已经全面IP化 移动、安全、宽带、增值服务、技术融合成为2004年发展趋势 客户更需要的是解决应用问题的完整网络解决方案 技术发展： 安全（Security） 管理（Management） 融合（Convergence） 方案提供： D2SMP－分布式安全域管理策略（Distributed Domain of Security Management Policy） 面向应用的IP技术发展－安全 系列安全产品线 DCFW-1800S/E防火墙 IPS系统 个人安全产品 DCNLogView审计日志系统 交换路由产品的安全特性 防攻击 防病毒 神州数码安全解决方案 IP网络现在的问题 无QoS，不可记录，不可跟踪，不可控制、黑客、病毒泛滥 在一定范围内QoS、安全得到一定控制 但跨域的QoS、安全等无法保证 神州数码网络管理产品 设备管理 性能管理 用户管理 认证计费管理 内容管理 不良网站 网络游戏 安全管理 面向应用的IP技术发展－融合 三网合一: 数据：交换机、路由器 语音：VoIP网关、IP PBX、IP Phone 视频：视讯会议系统 功能融合产品： FW、Voice、VPN等 神州数码网络产品技术与客户方案 提 纲 企业信息化的网络需求 面向应用的网络技术发展 全方位的网络安全 建设新一代D2SMP网络 安全已经不再是指增加一个设备以保护某个特定区域的安全，也不再是防止黑客攻击或病毒蠕虫攻击。正如社会的复杂性一样，由网络所构成虚拟社会也存在各个层次、各种各样的安全问题。当很多的业务应用系统而不仅仅是核心业务系统依赖于网络的正常运转，安全保障机制便延伸到各个结点、各个应用。 可以分3个维度来看整个网络的安全。 一个维度是网络层次结构，分别是基础设施层（包括主机、接入、汇聚、核心），服务层和应用层； 一个维度是网络活动平面，分别是：管理平面、控制平面和传输平面； 一个维度是威胁类别.? 最后再看安全问题可采用的静态和动态防范措施（探测、识别、报警、动态调整、取证） 提 纲 企业信息化的网络需求 面向应用的网络技术发展 全方位的网络安全 建设新一代D2SMP网络 What’s it？ D2SMP What’s it？ D2SMP组成： 安全认证服务器 安全特性交换机 IPS系统、客户端软件等 可根据： 用户地理位置、用户帐号属性、网络使用目的等特征划分不同逻辑安全域 D2SMP网络的概念基于“用户认证VLAN”的“安全域” D2SMP模型 What benefit? 从网络安全到安全网络 将安全从网络边界渗透至网络所有元素 精细化用户行为管理 将危险控制在最小的范围内 全网集中式管理 SOR建网模式提前补牢不会亡羊 Step One Ready D2SMP网络实例－华南理工大学 一个实现安全网络的高性能防御系统 DCS-3926S 交换机 VLAN-2 VLAN-3 缺省VLAN 客户端 DCBI-3000 VLAN-3服务器 １ 用户登录到交换机 ２ 交换机通过认证服务器认证用户 认证服务器返回认证结果 ３ 交换机把用户放置到特定的VLAN，并为用户分发安全策略 ４ VLAN-2数据库 ② ③ ① 用户名1及口令1 用户名2及口令2 ④ 安全域B 安全域A 高性能、高效的连接 （High Performance，Cost Effective Connectivity－HPCE Connectivity） 安全策略发布和管理 认证授权 AAA POLICY 基于带宽的传输策略 基于硬件的策略执行 基于策略的用户认证 基于策略的病毒防范 用户行为控制 MANAGEMENT 防止私设网络代理 防止私设DHCP服务 防止盗用IP地址 防止盗用MAC地址 用户功能层 区域防御层 策略控制层 安全管理层 安全域 Security Domain 防止跨域进行非法访问 保护关键应用 提供精细粒度的控制手段 提供详细日志 授权使用网络 授权使用应用 授权设置应用 授权使用关键应用 授权设置关键应用 授权管理网络 授权制定安全策略 授权规划网络 使用者权限 策略分发 网络管理