《锐捷RG-IDS产品行业应用部署方案.ppt》由会员分享,可在线阅读,更多相关《锐捷RG-IDS产品行业应用部署方案.ppt(22页珍藏版)》请在三一文库上搜索。
1、RG-IDS产品行业应用部署方案,TAC引入组,提纲,RG-IDS产品网络部署原则 RG-IDS产品全局网部署 RG-IDS产品校园网部署 RG-IDS产品政府网部署 RG-IDS产品金融网部署,RG-IDS产品网络部署原则,RG-IDS的部署方案的选择依赖于以下两个条件: 被监控流量的大小不能超过RG-IDS性能负载,如果核心部分流 量过大,建议将IDS部署在汇聚层 用户对安全性要求比较高的网络优先部署 注意:对于网络安全产品,首先要考虑的是流量,除网关设备外,请不要以信息点多少做为考察产品的技术参数,提纲,RG-IDS产品网络部署原则 RG-IDS产品全局网部署 RG-IDS产品校园网部署
2、 RG-IDS产品政府网部署 RG-IDS产品金融网部署,RG-IDS全局部署方案图示,RG-IDS全局部署总结(),RG-IDS的部署位置主要包括三类: 服务器群前面 网络分界点(Internet分界点和Extranet分界点) 局域网之间,RG-IDS全局部署总结(),Internet出口,防火墙前面或者后面: 检测Internet的DoS和DDoS针对网络基础设施的攻击 检测外网对内部的恶意攻击和非法流量 检测P2P等带宽滥用流量 DMZ区服务器前面: 检测针对DMZ区服务器恶意攻击和非法流量 数据中心服务器前面: 检测内网针对数据中心服务器攻击 检测Internet针对服务器的非法访问
3、和恶意攻击 局域网之间: 检测P2P等带宽滥用流量 检测蠕虫病毒的传播,提纲,RG-IDS产品网络部署原则 RG-IDS产品全局网部署 RG-IDS产品校园网部署 RG-IDS产品政府网部署 RG-IDS产品金融网部署,RG-IDS产品校园网部署方案,一台RG-IDS 连接位置在核心交换机,监控核心交换机出口流量,如果流量不超过IDS性能负载,可同时接收两台核心交换机的镜像流量 两台RG-IDS 每一台RG-IDS接收与一台核心交换机的镜像流量,互为冗余备份 多台RG-IDS 根据全网部署方案中的建议,选择部署位置。可在汇聚层部署,监控内网恶意攻击和病毒蠕虫的传播 注意:被镜像端口一般为核心交
4、换机的出口,请根据镜像流量大小选择相应型号的产品,承德医学院IDS部署图示,承德医学院IDS部署方案特点,RG-IDS接收6810E上行端口镜像流量,监控外网与内网的所有通信流量 两台IDS分别接两台6810E,冗余互备 ,时时监控 每台6810E上行流量与下行流量总和约70MB,不超过IDS性能负载,湖南林业大学IDS部署图示,湖南林业大学IDS部署特点,68核心交换机做上行端口镜像,57交换机配置一对多口端口镜像,将收到报文向多个网口转发,57交换机上除连接IDS以外,还可以连接其它旁路设备 RG-IDS接收57的镜像流量,监控外网对内网恶意流量和攻击,以及非法访问等 RG-IDS监控流量
5、约为600MB,四川成都电子高专IDS部署图示,四川成都电子高专IDS部署特点,6810E核心交换机将转发的所有流量镜像到一个端口 RG-IDS用两个监听口,分别接两台6810E镜像端口,监控所有内外网流量 RG-IDS监控流量为两个镜像口流量的总和,约为1G,提纲,RG-IDS产品网络部署原则 RG-IDS产品全局网部署 RG-IDS产品校园网部署 RG-IDS产品政府网部署 RG-IDS产品金融网部署,政府行业RG-IDS产品部署建议,政府系统部对RG-IDS的需求主要集中在电子政务外网数据中心和门户网站 RG-IDS在电子政务外网的部署主要在三个位置: 电子政务外网Internet出口:
6、检测外网对内网用户攻击、病毒、木马攻击等 电子政务外网Internet服务器区(DMZ区):检测Internet服务器安全和WEB网站安全 电子政务外网公共服务区数据中心:检测电子政务数据中心服务器安全性,政府行业RG-IDS产品部署图示,提纲,RG-IDS产品网络部署原则 RG-IDS产品全局网部署 RG-IDS产品校园网部署 RG-IDS产品政府网部署 RG-IDS产品金融网部署,金融行业RG-IDS部署建议,金融行业的RG-IDS的主要卖点在金融数据中心互联网服务区 RG-IDS在金融数据中心互联网服务区的部署可以渗透在金融行业数据中心分层体系当中,通过在不同的安全层之间部署RG-IDS,可以做到深入到应用层的检测,检测数据服务器、应用服务器等安全状态,金融行业RG-IDS产品部署图示,谢 谢!,