Stonesoft解决方案运营商.ppt

资源描述

《Stonesoft解决方案运营商.ppt》由会员分享，可在线阅读，更多相关《Stonesoft解决方案运营商.ppt（64页珍藏版）》请在三一文库上搜索。

1、信息安全，永不间断,梅毅,2019年6月6日星期四,Stonesoft的解决方案能给您带来什么永不间断,业务持续性保障. 整体网络安全. 安全中心. 如何给客户设计整体解决方案的原则 Case Study.,议程,NASDQ OMX 上市公司 (NASDAQ OMX: SFT1V) 90年就开始进入网络安全市场领域超过140人的两个大型研发中心，分别位于法国和芬兰服务区域涵盖美洲，欧洲和亚洲几个主要区域，同时都部署了相关人员，包括销售和技术，是一家正真能实现全球化服务的公司。,为什么选择StoneGate解决方案,公司背景,所有产品都是自主研发，包括防火墙，IPS，SSL VPN以及S

2、MC(安全管理平台)的版本都是R&D开发，后期通过专门的测试部门测试，再到用户使用。研发部门不停的针对版本的BUG修复，完善产品的功能，满足不同用户的需求。依靠产品管理部门和VAG(漏洞分析组织)来负责产品的技术问题，确保产品在用户环境使用中不会出现任何产品自身的问题。研发的人员分别来自Cisco, Juniper, IBM , 也有来自F-Secure，Microsoft的安全漏洞以及安全威胁分析的专家。中国的技术顾问分部在北，上，广3个主要区域，各地区还有技术支持中心，以及代理商的技术工程师。,为什么选择StoneGate解决方案,技术实力,StoneGate有完整的整体解决方案，

3、包括边界，核心服务器群，客户终端，远程接入以及虚拟安全，将来根据网络安全发展的态势，我们有新的Roadmap来适应不断发展的需求。防火墙功能强大。进入中国3年至今，我们大部分客户评价防火墙值得信赖。 IPS进入市场比较晚，但目前已经迎头赶上大有厚积薄发之势。 SSL VPN是一个纯SSL的设备,已经成功进入到证券，金融和外企这些领域。虚拟安全是被VMWARE认证的5星级的合作伙伴之一。 SMC被证明是StoneGate解决方案中必不可少的一个管理平台。,为什么选择StoneGate解决方案,产品优势,永不间断，业务持续性保障1/2,全冗余网络设计永不间断，Why？,包括：多ISP出口负载

4、均衡多路VPN负载均衡 Cluster集群技术 QOS流量管理对服务器高可用支持永不间断的管理中心物理网络和虚拟网络永不间断整个网络安全架构的永不间断,永不间断，业务持续性保障2/2,Stonesoft网络高可用特性= Always-on Connectivity,防火墙集群高可用,安全网关的集群和负载均衡,Node A,212.20.1.0,192.168.1.0,Node B,Node C,Node D,Control,10.42.1.0,对于用户完全透明维护操作和系统升级不需要中断流量的运转集群很容易扩展防火墙的处理能力不需要第三方的解决方案每个集群组最多可支持256台

5、防火墙设备,多链路的负载均衡技术,串联的IPS系列集群,增大串联IPS检测能力提供网络流量检测的HA功能对于IPS设备有更好的TCO 将来 10G网络,管理服务器高可用,最多5 台备份服务器需要特别的license 所有的服务器有不同的IP地址数据在主服务器和备份服务器中同步,管理服务器的备份,日志服务器高可用,最多5 台备份服务器不需要额外license，和正常的日志服务器的一起工作没有数据复制,日志服务器也能高可用,.,Stonesoft整体网络安全1/2,Stonesoft全面统一安全平台,StoneGate 安全信息流的重点,Stonesoft整体网络安全2/2,Stone

6、soft同时保证两个“世界”的安全,整体安全架构完全部署在虚拟环境内虚拟环境内实现真正可见性高效数据交互转发人性化方案设计，降低部署带来的额外风险实现不同安全区域划分，提供基于不同角色管理灵活的应用架构支持，提供强大的应用审计工具最大限度的支持虚拟化，实现节能，绿色IT，对虚拟主机迁移性的支持,Virtualization with Stonesoft,Stonesoft Virtual Appliance 保证核心业务虚拟化安全,Stonesoft虚拟化安全解决方案,Powerful Yet Simple！,Stonesoft安全中心1/3,集中统一管理极低的管理、维护费用高

7、扩展性实时把控安全架构第一时间响应任何的事件和警报审计，实时或历史日志报告,SMC=StoneGate Management Center,Stonesoft安全中心2/3,第三方设备监控第三方设备Syslog收集,Third Party Devices,StoneGate产品线,StoneGate Management Center StoneGate FW/VPN StoneGate IPS StoneGate SSL VPN StoneGate Virtualization Security,StoneGate FW/VPN 设备,FW-5000 22 interfaces FW

8、 4 Gbps VPN 500 Mbps,FW-1020 6 interfaces FW 500 Mbps VPN 200 Mbps,FW-300 4 interfaces FW 100 Mbps VPN 50 Mbps,FW-1050 8 interfaces FW 1 Gbps VPN 200 Mbps,FW-5100 18 interfaces FW 10 Gbps VPN 800 Mbps,FW-1200 8 interfaces FW 2 Gbps VPN 400 Mbps,StoneGate IPS 设备,IPS-2000 2 bypass interfaces 2 standar

9、d interfaces 600 Mbps,IPS-400 2 bypass interfaces 2 standard interfaces 100 Mbps,IPS-6000 8 bypass interfaces 2 standard interfaces 2000 Mbps,IPS-6100 8/16 bypass interfaces 2 standard interfaces 4000 Mbps,IPS-6100G1 2 10G bypass interfaces 2 standard interfaces 4000 Mbps,StoneGate SSL VPN 设备,SSL-60

10、00 for thousands of users,SSL-2000 for hundreds of users,StoneGate IPS,分布式部署感应器和分析器,透明的访问控制,多个IPS串联方式的集群,多种检测技术相结合,StoneGate IPS,保护应用系统和操作系统的漏洞不被攻击服务器的漏洞客户端的漏洞保护服务不被DOS攻击内网透明的访问控制控制流量被允许去工作站或者内部网络服务器对于内部网络提供一个安全的监控什么流量被允许通过网络? 什么应用在耗费公司网络带宽吗? 这种应用被公司的政策所允许吗?,StoneGate IPS 检测技术,检测技术协议校验特征码匹配

11、 DoS 检测扫描检测多种特征码关联透明访问控制(Layer -2 Firewall) 网络流量监控,统计,压缩,感应器检测技术,协议校验大多数常用的完整协议代码的检测以太网, IPv4, TCP, UDP, ICMP, HTTP, SMTP, DNS, SSH, FTP, NBT, SMB, MSRPC, SIP IPS 逃避保护在检查和发送数据包之前强制IP碎片整理 MSRPC 碎片整理检查特征码检测上下文关联的指纹特征特殊的协议指纹像: bootp, ldap, mysql, oracle, pop3, wins, x11 普通的指纹匹配任何 TCP or UDP 流量

12、扫描检测活跃的主机和端口扫描 DoS检测基于比率的 DoS 非比率 DoS,有效的入侵防御技术,分析器检测技术,事件关联从攻击企图中区别成功的攻击,事件压缩,事件计数,事件匹配,复杂的攻击次序检测,IPS 透明访问控制,任何以太网协议的访问控制 ARP, CDP, Spanning-tree, NetBIOS, IPX, IPv6, etc. Statefull access control for IP network traffic,内网的分层防护,自动下载更新动态库和刷新策略安全的测试最新的更新内容利用被动的终止动作动态更新每一周发布一次或者无论何时有需要的话自动下载新的引

13、擎升级包,自动更新和升级,自动安全的更新和通知,远程升级,安全的引擎远程升级安全的 TLS 连接和件校验老的引擎版本运转直到新的版本已经好的了。可以定时来升级,通过管理客户端一步升级,黑名单,通过IPS自动的基于恶意流量的检测手动的通过管理管理员从日志或者连接监控在引擎上监控活跃的黑名单条目访问控制的白名单部分,Analyzer,IDS/ Inline IPS,Inline IPS,Firewall/ VPN engine,Firewall,Engine/ VPN,Gateway,Blacklist request!,Management Server,Worm detected!

14、,1,Blacklist request!,2,2,Inline IPS,统一的黑名单和白名单管理,感应器部署模式 1/3,IDS 部署感应器被动的监控网络流量响应: TCP reset, Blacklist 从HUB或者交换机的SPAN/mirror端口捕获流量支持VLAN (802.1q ) 流量检测,感应器部署模式 2/3,Inline IPS 部署感应器引擎串联在网络流量路径上用终止的动作有能力保护网络攻击作为一个智能的设备在网络组件之间运作支持VLAN (802.1q ) 流量保护,Sensor Deployment 3/3,混合部署感应同时运行在IDS模式和串联的I

15、PS模式中感应器可以有个多个接口去捕获流量和串联运转,串联的IPS系列集群,增大串联IPS检测能力提供网络流量检测的HA功能对于IPS设备有更好的TCO 将来 10G网络,IDS 集群,集中的检测大的内网网段内网的冗余用于要求高的带宽和低延时需要的网络,扩充IDS的高可用性,06 June 2019,运营商解决方案设计思路,Stonesoft解决方案设计原则1/5,无懈可击的网络安全流量解决方案为业务增长提供稳固, 可靠的安全保障. 通过业界最可靠的防攻击, 防欺骗安全引擎, 独有的深层检测技术, 详尽的安全策略, 用户验证等技术为网络数据流通, 资源共享,各类在线业务提供完美保护.

16、同时为业务的进一步扩展提供安全服务。防止恶意流量，来自包括合作伙伴，额外的，互联网等等防止受到互联网上的病毒, 蠕虫, 特洛伊木马等各种方式的攻击防止通过应用软件, 操作系统及网络协议等的自身安全漏洞发起各种服务攻击防止利用地址欺骗等方式登陆银行内部网路进行破坏或窃取, 篡改信息防止各种恶意 Java, JavaScript 脚本, ActiveX 插件每个网段, 每个网络出口,及内部服务器进行严密的隔离,访问控制 StoneGate IPS设备对关键应用进行实时监控保护.,安全保障,Stonesoft解决方案设计原则2/5,StoneGate通过一系列的针对防火墙集群,ISP多链

17、路,服务器集群开发的负载均衡技术,彻底保证网络的高可用性.满足对网络可用性的极端要求. 确保系统关键业务的可靠性, 稳定性，安全性永远在线功能，确保企业为用户提供全年不间断的网络服务极大提高服务对象对企业网络服务的满意度降低网络安全流量管理的运营成本对于系统维护以及升级等操作，可以做到不会影响系统对业外务运行简单容易的 ISP 多路接入,永不间断的业务保障,Stonesoft解决方案设计原则3/5,通过强大的中央管理系统-StoneGate系统管理中心(SMC), 可以完全掌控全球网络可触及范围内的 StoneGate 产品. 针对金融业, 业务分散的特点, 集中管理网络安全, 由此

18、大大减低网络安全管理的时间和人力成本, 同时避免管理分散, 产品种类分散不便管理等网络安全管理问题. StoneGate 管理中心 (SMC) 可管理所有物理环境和虚拟环境下的StoneGate 防火墙/虚拟专用网产品, StoneGate IPS (入侵检测及分析) 产品以及SSL VPN产品。,高效集中的管理系统,集成技术领先的 IPSec VPN和SSL VPN服务.,使用 StoneGate 的 Multi-Link VPN 技术, 可以协助运营商在全球范围的开展, 并保证数据的安全性, VPN 连接的高可用性. 将您和世界紧紧相连. 使用StoneGate的SSL VPN技术，帮助实

19、现安全多样化的应用访问！完全基于不同应用进行分类，无论何时何地何种设备均可安全自如访问；简单易用的连接在任何的网络方式 (UMTS, WLAN, etc.) ；对于所有需要的应用均可做单点登陆；提供安全审计；终端设备检查；全面丰富的管理平台和报表统计；业界唯一实现6A的解决方案。,Stonesoft解决方案设计原则4/5,Stonesoft解决方案设计原则5/5,完全支持VMsafe和VMotion。虚拟环境真正实现完全可见性，提供强大的审计功能包括区分角色的管理，极其容易的部署不同区域网络，最大限度的支撑不同应用架构。和虚拟化目的相统一，真正实现降低成本，绿色IT。,VMware Certi

20、fied,运营商解决方案,Your name,2019年6月6日星期四,高可用、高性能,StoneGate 内置了荣获大奖的采用了负载平衡技术的StoneBeat 每个集群组最多可支持16个节点，同一策略下可同时支持16个集群组不需要第三方完全实现集群内各节点透明切换、负载均衡 StoneGate IPS串联集群满足运营商对高可用要求内置的Multi-link技术保证运营商对业务持续性要求同样具备高可用特性的集中统一管理平台，保证随时掌控整个网络安全架构,Mobile Security for Carriers,永不间断,安全均衡！,高扩展、高安全,整体网络安全解决方案保证运营商对高扩展

21、性的要求集中统一管理，随时扩展FW、IPS、SSL VPN组件，满足现有业务增长和新业务需求 StoneGate具备的集群能力极其容易的添加或替换新节点通过集中管理平台，实现整个安全架构的联动，在任何节点同时对恶意流量进行有效防护 StoneGate虚拟安全组件、硬件安全组件同时保护整个物理网络和虚拟网络,Mobile Security for Carriers,灵活的安全策略设置地址转换（NAT）防火墙集群（Cluster） IPS集群全冗余、透明切换、无缝扩展、零宕机维护保证永不间断的业务系统,基本业务系统,Mobile Security for Carriers,透明添

22、加新防火墙节点,不影响原有业务运行,IPS集群适应业务增长,安全架构实现永不间断,SMC最大限度降低部署费用和业务增长带来的管理费用,业务系统增长,Mobile Security for Carriers,完全独立的防火墙集群适应不断出现的新业务系统,负载均衡的IPS集群支撑新业务系统,集中统一管理平台SMC最大限度的保证零管理费用增长,新业务系统,有效避免不同业务间安全风险相互渗透,新业务的增长不会带来额外的部署费用,应用层安全防护，安全加固,Mobile Security for Carriers,Stonesoft Case Study,Your name,2019年6月6日星期四,俄罗

23、斯电信,运营支撑系统,分布机房数据安全,俄罗斯电信,俄罗斯电信,移动计费网络,StoneGate IPS,门户网站安全,俄罗斯电信,Security for Carriers,安全保障. 无懈可击的网络安全流量解决方案为运营商的业务增长提供稳固, 可靠的安全保障. 通过业界最可靠的防攻击, 防欺骗安全引擎, 独有的深层检测技术, 详尽的安全策略, 用户验证等技术为运营商的网络数据流通, 资源共享,各类在线业务提供完美保护.同时为业务的进一步扩展提供安全服务永不间断的流量管理. StoneGate通过一系列的针对防火墙集群,ISP多链路,服务器集群开发的负载均衡技术,彻底保证网络的高可用性.满足运营商对网络可用性的极端要求. 高效集中的管理系统. 通过强大的中央管理系统-StoneGate 系统管理中心(SMC), 可以完全掌控全球网络可触及范围内的 StoneGate 产品. 针对运营商, 业务分散的特点, 集中管理网络安全, 由此大大减低网络安全管理的时间和人力成本, 同时避免管理分散, 产品种类分散不便管理等网络安全管理问题.,案例总结,其他类似案例：法国电信 Orange、沃达丰,彩铃业务,浙江移动,06 June 2019,Stonesoft 全球部分案例,全球部分用户,全球部分用户,全球部分用户,全球部分用户,国内部分用户,,

展开阅读全文