CISP0205网络安全设备.ppt.ppt

特征检测是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测 准确性高 特征检测是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测 控制台主机的安全脆弱性如果攻击者能够控制控制台所在的主机，就可以对整个IDS系统进行控制。 ?感应器与控制台通信的安全性问题如果感应器与控制台间的通信可以被攻击者成功攻击，将影响系统正常使用。例如进行ARP欺骗或者SYN_Flooding。如果感应器与控制台间的通信采用明文通信或者只是简单的加密，则可能受到IP欺骗攻击或者重放攻击。 从这个定义上来看，IDC既提出了UTM产品的具体形态，又涵盖了更加深远的逻辑范畴。从定义的前半部分来看，众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴；而从后半部分来看，UTM的概念还体现出在信息产业经过多年发展之后，对安全体系的整体认识和深刻理解。 1 完全性内容保护，简称CPP，CCP提供了对OSI网络模型所有层次上网络威胁的实时保护，这种方法比防火墙状态检测和深度包检测等技术更加可靠。它可以在千兆网络环境中对数据负载进行全面的检测，即应用了完全性内容保护的安全设备不但可以识别预先定义的各种非法连接和非法行为，而且可以识别包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗等各种威胁。2 ASIC加速技术，ASIC是被广泛应用于性能敏感平台的一种处理器技术，在UTM安全产品中ASIC的应用是提升整体性能的关键。ASIC集成了硬件扫描引擎、硬件加密和实时内容分析处理能力，提供防火墙、加密和解密，特征匹配以及启发式数据包扫描、流量整形加速等功能。高性能的ASIC专用网络连接芯片能够直接在网络上实现流重组、数据包内容检查和特征匹配等功能，查找速率可以达到每秒上亿字节，网络中的流量直接在ASIC芯片中处理，高速转发、阻断、限流、统计分析。ASIC加速技术的出现让UTM克服了网络性能瓶颈这个难题，大大提升了UTM的整体性能。3 采用多核技术，利用多核心平台处理计算任务的并行化以及攻击防御任务时将更加快速。现在的UTM能够同时在协议、漏洞、攻击以及业务等多个层次上进行检测，并同时提供全方位的防护。全部都是得益于多核心技术的的支持，在未来将会有采用更多核心的CPU应用到UTM之中。4 专有的操作系统OS，采用专业的操作系统可以使各种任务的处理时间达到最小，从而给用户提供最好的实时反馈，有效地实现防病毒、防火墙、VPN、反垃圾邮件等安全功能的并行处理。5 紧凑型模式识别语言，简称CPRL，CPRL智能技术是为内容防护中大量计算程式所需求的加速而设计的。它可以在同样的软硬件平台下提供更高的执行效能，并且可以使防病毒、防火墙、入侵检测等多种安全功能的安全威胁辨识工作获得最佳的协同能力，是对付零日攻击、提升检测威胁能力的好办法。6 动态威胁防护系统，简称DTPS，它是在传统模式检测技术中结合了未知威胁处理的防御体系。DTPS可以在防病毒、防火墙和入侵检测等子模块之间共享信息，从而使检测准确率和有效性显著提升。它是对传统安全威胁检测技术的一种颠覆，但效果非常不错。 UTM集多功能于一身，除了传统的防火墙功能外，入侵防御（IPS）功能的加入使得UTM的防御能力达到2-7层；防病毒功能为企业的数据安全提供了保障；端到端的IPSec VPN功能为大中型企业扩展业务带来了便利；动态路由功能为公司节省了投资；内容过滤功能更是消除了页面、URL、网页控件等带来的威胁；借助入侵防御引擎的深度扫描能力使反垃圾邮件功能更加强大。强大的综合性能使得很多企业开始选择UTM，高度集成化的趋势正在安全产品领域形成。 至今国外都没有形成统一的SOC的定义 SOC这个概念，自传入中国起，就深深的烙下了中国特色。由于信息安全产业和需求的特殊性使然，由于中国网络与安全管理理念、制度、体系、机制的落后使然。 ??? 中国SOC的引入和发展与国外的情况有一个很大的不同，就是国内在提出SOC的时候，除了电信、移动、民航、金融等高度信息化的单位，大部分企业和组织连NOC都没有建立起来。于是，国内SOC的发展依据行业的不同出现了截然不同的发展轨迹。电信、移动、民航、金融等单位较早的建立了NOC，对SOC的认识过程与国外基本保持一致。其他企业和组织则对SOC认识模糊，从而更加讲求实效。这两类客户对于SOC的需求和期望是截然不同的，后者在需求的广度上超过了前者，因而用电信、移动、金融领域的SOC反而难以满足政府等企事业单位客户的需求。 EAPOU的工作原理是当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时，汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内，在