1Q&A賽門鐵克的優勢部署架構賽門鐵克網絡安全網關功能介紹互聯網信息安全現況與趨勢議程123452互聯網信息安全現況與趨勢32008年惡意代碼數量呈爆炸性增長4惡意URL鏈接的爆發惡意代碼被發現于:前100位站點的60%75%的合法網站谷歌搜索結果的1%Web應用程序=3/4都包括容易利用的漏洞目前所有新的惡意代碼中都包括Web組件部分只有不到15%的企業擁有網絡安全網關設備用于防護這些威脅和風險5攻擊發展趨勢向職業化發展趨于自動化，簡單化更快速的利用漏洞攻擊把惡意代碼作為一種“服務”運行廣闊的市場針對特定目標持久穩定的攻擊陰險的利用“社交工程學”6網頁式攻擊(Web-BasedAttack)流程1.攻擊者入侵合法網站2.使用者訪問遭入侵的網站4.惡意服務器利用漏洞安裝惡意代碼3.使用者被重導至惡意服務器7Copyright?2009SymantecCorporation.Allrightsreserved.地下經濟活動獲利模式網絡釣魚網站僵尸網絡地下經濟體系受到危害的使用者8互聯網安全防護市場的快速轉變URL過濾多功能安全防護網關(防病毒-防惡意代碼+URL+應用程序控制…)互聯網安全防護市場從單點防護產品轉變為集成化、平臺防護體系9總結：應該如何進行網絡安全防護？攻擊方式趨勢已竊取機密信息和僵尸網絡為主要目的的威脅方式，從而獲得經濟效益我們需要全面的網絡安全防護事前預防防止最終用戶誤訪問帶有惡意代碼的目標網站防止最終用戶濫用網絡應用程序事中防御防止最終用戶感染各種惡意代碼，包括病毒、間諜軟件、黑客工具等事后糾正發現內部可能存在的僵尸網絡感染與擴散行為，并且進行阻截10賽門鐵克網絡安全網關功能介紹11新的威脅需要新的安全防護網關現有的解決方案是孤立的、不完善的防火墻與代理服務器URL過濾端點安全防護套件IDS和IPS系統全面的網絡安全防護網關需求強制實施企業的上網合規策略惡意代碼過濾URL過濾和報告Web應用程序控制主動防護：僵尸網絡監測與阻截12什么是SymantecWebGateway提供基于互聯網的深入檢測和全面的防護

SWG提供的防護覆蓋所有互聯網端口和協議，并且提供多層次的深入保護高性能

在不影響最終用戶正常使用的情況下提供高性能保障13檢測防護修復SWG硬件型號SWG-8450SWG-8490Dell平臺R200R710用戶數1,00010,000吞吐率100Mbps1Gbps設備高度1u2u網口12專用管理接口YesYes冗余電源NoYes冗余硬盤RAID0RAID514WebGateway的構架策略引擎報告引擎高速數據流掃描引擎防間諜軟件快速的數據流檢測高性能吞吐(超過1Gbps)零延時(在線模式<2微秒)多功能處理多層檢測網絡數據包、URLs/IPs,、文件、

傳送內容、應用程序、網絡行為分析檢測所有端口和協議(出站/入站)模塊化便于與新的檢測技術進行集成即插即用的平臺15應用程序控制敏感信息防泄露防病毒僵尸網絡監測URL過濾多層次、立體化的惡意代碼防護能力針對互聯網目標的三層惡意代碼防護惡意的web域名(http)惡意的IP域名(基于IP傳輸的任何數據和協議)基于惡意代碼分類的內容過濾技術(惡意代碼,網絡釣魚等等)實時的惡意內容掃描惡意代碼掃描

采用賽門鐵克全球領先的防病毒引擎兩方面的終端感染監測(賽門鐵克專利技術)網絡指紋識別技術活動惡意代碼感染監測行為檢測模式僵尸網絡監測16Web網關URL過濾支持多種URL內容過濾數據庫62個URL類別，超過1億站點實時集成LDAP,活動目錄,域控制器全面的web報告和告警基于用戶、客戶端、部門、企業等等基于web站點、種類、時間等等保存自定義報告、計劃生成報告，并可以針對高優先級時間設置報警通過SNMP,Syslog,電子郵件和FTP進行導出靈活的策略控制以任何標準來創建策略控制策略執行的次序策略執行的時間17Web網關應用程序控制深入檢查所有常用互聯網程序的網絡流量采用基于簽名的技術支持超過100種應用程序和協議即時通訊,P2P,數據庫應用,遠程訪問,VoIP等等…FTP,電子郵件傳輸協議,網絡協議等等監控/控制應用程序的使用阻截/監控/允許

所有的應用程序種類(即時通訊,P2P等等)阻截/監控/允許

特定的應用程序(Yahoo,MSN等等)確保即時通訊的安全掃描接受的文件能夠允許聊天，同時阻止下載行為制定基于身份驗證的策略用戶,組(OU或

部門),IP,子網18保護WEB2.0文件傳輸傳統的Web下載或上傳方式HTTP：人為或者自動下載FTP：FTP或FTPoverHTTP控制即時通訊的下載渠道阻止P2P下載19感染的客戶端檢測惡意代碼的感染安裝軟件(在用戶不干預的情況下進行)具有‘回撥’組件感染惡意代碼的機器需要利用他們的“回撥”組件以特定的行為進行數據傳送SWG利用這種特定的行為特征創建‘網絡指紋’來檢測和阻截僵尸網絡行為20SWG獨有的僵尸網絡監測檢查所有進出網絡的流量檢測典型的僵尸網絡流量模式命令與控制通信IP掃描發送垃圾郵件多種行為檢測技術來判斷僵尸網絡單一的行為模式匹配屬于“疑似”，不采取措施阻截激活的僵尸網絡休眠的僵尸網絡被標記為“Inactive”21階段二–僵尸網絡激活

和擴散宿主掃描網絡宿主發現感染機器并且開始嘗試控制IP掃描,文件傳輸,發送垃圾郵件僵尸網絡的生命周期和SWG的防護技術階段一–初始感染木馬下載社會工程學(誘騙,綁定下載,網絡釣魚等)可能通過多種渠道進行感染階段三–僵尸網絡休眠

等待下次命令等待下一次命令周期激活周期之間的時間間隔可能有數個月之久行為分析網絡指紋技術C&C主機IP列表賽門鐵克防病毒技術惡意目標站點列表

全球智能檢測網絡應用程序控制僵尸網絡別標記為‘Inactive被監控到的休眠僵尸網絡主機會被阻截SWG的防護技術22策略配置靈活的策略配置，可以基于如下條件:子網IP范圍VLANID各種LDAP的屬性（與WindowsLDAP目錄集成）通過創建策略模板來簡化策略的制定23Windows2003活動目錄集成與Windows2003活動目錄集成可以實現:識別最終用戶登錄能夠創建基于LDAP的組策略通過使用兩種方式實現最終用戶登錄識別NTLM驗證無需安裝任何客戶端可能需要最終用戶的配置一些兼容性的需求DCInterface在所有DC上安裝代理應用程序最終用戶無需安裝任何程序適合較小一些的應用環境24完善的報告功能全面的報告選項儀表盤–量化所有的已知威脅執行摘要靈活的報告流程執行計劃報告生成和導出選項優勢實時洞察性能狀況判斷惡意代碼趨勢追蹤潛在的惡意代碼攻擊行為25報警針對監控的事件進行報警感染,攻擊,數據泄露系統故障服務的運行或停止,磁盤空間不足等報警方式Email,Syslog,SNMPTrap26賽門鐵克網絡安全網關部署架構27SWG的購買與運行模式兩種軟件許可購買選項SymantecWebGateway4.5基本產品(必須購買，SPS企業版包括此許可)SymantecWebGateway4.5URLFilterAdd-On兩種運行模式WebGateway掃描/過濾/阻截流量記錄日志策略管理集中管理搜集來自多個WebGateway中的日志數據為多個WebGateway進行策略管理28WebGateway部署選項在線部署(監控或者阻截)端口掃描/Tap(監控或者阻截)29監聽功能所有端口及協議惡意代碼,URLs,應用程序,僵尸網絡阻斷功能所有端口及協議惡意代碼,URLs,應用程序,僵尸網絡惡意內容下載下載：HTTP,FTP,IM部署模式(I)─Inline30ProxynotRequired監聽功能所有端口及協議惡意代碼,URLs,應用程序,僵尸網絡阻斷功能URLs,HTTP,TCP部署模式(II)─Span/Tap31部署模式(III)─Inlinew/Proxy監聽功能所有端口及協議惡意代碼,URLs,應用程序,僵尸網絡阻斷功能所有端口及協議惡意代碼,URLs,應用程序,僵尸網絡惡意內容下載下載：HTTP,FTP,IM32賽門鐵克的優勢33賽門鐵克全球智能檢測網絡遍布超過70個國家的管理設備超過一億兩千萬的威脅/病毒提交系統分布在超過200個國家的40,000+的探測器>10,000安全專家漏洞數據庫欺詐:垃圾郵件&Phishing蜜罐網絡數據庫中包括25,000+漏洞

超過200萬的探針網絡賬戶超過8000個i地址的虛擬網絡系統來自于8000個廠商的超過55,000+種技術捕捉過去未見得威脅和攻擊模式每天統計超過10億封電子郵件基于地域的服務器和僵尸網絡處理能力每天超過2B事件日志每年生成超過100,000安全報警事件每天超過200,000的代碼提交34VB100認證賽門鐵克：

唯一一家連續通過45次VB100測試的公司35Copyright?2009SymantecCorporation.Allrightsres