[sourcefire简介.ppt

Sourcefire – 全方位的网络安全防护 侯彦青 Airain hou csohou@ Agenda Sourcefire 公司简介 Sourcefire 企业威胁管理 (ETM) Sourcefire方案概览 Questions Who Is Sourcefire? Sourcefire 的技术发展历程 分析和评测机构的一致认可 Sourcefire得到的行业认证 Sourcefire为何不同—用户基础和技术储备 Snort Rules – 业界的标准 Agenda Sourcefire 公司简介 Sourcefire 企业威胁管理 (ETM) Sourcefire方案概览 Questions 今日网络面临的威胁 Sourcefire的企业威胁管理 (ETM) ETM在攻击发生前后的工作 ETM and the Sourcefire 3D System ETM带来的优势 企业威胁控制（ETM）综合控制平台 监视发生在网络内外的全部安全事件 快捷方便的操作界面 由入侵防护、弱点评估、网络行为分析和网络使用控制四大功能组成 将威胁、终端和智能分析有机关联起来： 威胁控制智能来自IPS 终端智能来自漏洞评估（VA）和网络行为分析（NBA） 网络智能来自（NBA） 与其他IPS相比较，明显的减少了错误判断 监视企业、行业或政府的IT规章遵从情况 入侵防御（Intrusion Prevention） 针对系统漏洞的入侵防御 企业威胁管理方案中的第一道防线 作为SNORT的缔造者，系统表现更优秀、精准 IPS规则将更加关注网络中的“弱点”，而不是 “功绩” 防御零日攻击 IPS事件将会与网络威胁智能分析关联起来 IPS仅仅是企业威胁管理方案的一个部分 弱点评估（ Vulnerability Assessment） “主动” 发起对弱点的扫描并进行评估 采用被广泛接受的获取终端资产信息与安全漏洞信息的方法 提供内容丰富的终端资产与安全漏洞的快照信息 在每次主动扫描之间，精确性在降低 主动扫描有可能对某些主机产生不良影响 网络行为分析 Network Behavior Analysis (NBA) “被动” 的智能分析 充实“主动”扫描得到的信息 24x7小时监控终端资产和漏洞情况 类似被动声纳的运作机理－－ 通过“听”来分析网络 避免了延迟或者性能的瓶颈 能够使用NetFlow记录 通常连接到局域网分接头或者交换机镜像端口 网络异常探测 创建一个“正常”网络行为的参考线（Base line） 鉴别正在网络中传播的攻击行为 网络使用控制 (NAC) 在用户接入网络之前 可以与思科的 Cisco Network Admission Control (CNAC) 或者微软的 Microsoft Network Access Protection (MNAP) 联动 能够帮助我们确定谁能够接入网络 在接入网络之后 分析并记录用户在接入网络后的行为 可根据服务、应用等，设置遵守IT法规策略 生成遵守IT法规的报告 在路由器或防火墙增加临时的访问控制列表 ETM：一个更好、更加有效的处理机制 使用者需要一个能够自动并且从全局视角进行网络安全信息关联分析的系统。不幸的是，大部分系统还只是自成体系，它们的视角局限在小范围中。 你知道什么时候更新你的访问控制配置么? 你知道什么时候你的网络中出现了新的漏洞么? 你知道什么时候你的网络中出现了一个高优先级的安全事件么? 你知道什么时候你的补丁管理系统需要添加一个新的主机么? 所有以上这些信息需要手动进行响应！ 稳固、自动、智能的新一代网络安全技术应该包括如下特性：实时、互相关联以及主动防御 Agenda Sourcefire 公司简介 Sourcefire 企业威胁管理 (ETM) Sourcefire方案概览 Questions Sourcefire 3D系统的组成 Sourcefire 3D 系列产品构成 Sourcefire 入侵传感器管理网络威胁 入侵传感器 运行在IDS模式时 被动的监听网络中的流量，并根据IT规章和策略的遵守情况发出警告 运行在IPS模式时 被动的监听网络中的流量，并根据IT规章和策略的遵守情况阻断流量或发出警告 无论运行在何种模式 它们都能够提供合格的性能，不会错过任何网络事件或减慢网络速度 Sourcefire IPS 关键特性 威胁防御方面 全面的、基于弱点的Snort规则 Inline (IPS) and/or passive (IDS) 部署 内置了多个厂家推荐的IPS规则集 可对TCP和IP碎片进行重组 开放、标准的规则（Rule）语言 可查看、编辑、创建rules 拥有10万