ISS公司安全解决方案

权威第三方性能测试报告
时延 (Latency)
ICSA Lab ISS 千兆IPS测试
超过电话质量的基线要求 在SIP协议测试中性能优秀
ISS千兆IPS的性能可支持多于
Min. Acceptable 10,000个并发的电话呼叫 (100K用 户) ICSA VoIP Security Evaluation通
Proventia 统一防护架构
统一管理功能
命令和控制 发现 可视化 相关性 部署 报表 工作流
同步的深层流量检测
Security Content Blades
打开 分析/检测 阻断/允许 重组 路由 记录
防火墙\VPN
反垃圾邮件
入侵检测/
入侵防护
漏洞检测
内容过滤
防病毒
...
网关 网络 服务器 桌面
防病毒 入侵防护
Worm
Virus
Server Application User Application
Attack against security hole OS
防火墙
Unauthorized connection Sniff / Session hijack
TCP/IP (Network)
仅仅1个设备!!
Proventia® Network IPS
有效阻挡攻击

功能…

有效地阻断恶意或不想要的通信同时确保合法的通信顺利通过不受影 响。 识别和分析 150+ 协议和数据格式。 阻断超过2,500+ 攻击手法

品质…


益处…

保证带宽&保护重要的数字资产
在安全业界十年如一日地持续为用户提供全球顶级的安全防护 产品。
权威杂志 Network Computing 2005年4月份测评
主机安全解决方案

关键服务器的防护


Proventia 网络安全防护系统 （通过在服务器池前置NIPS设备进行 防护） Proventia Server （通过服务器上安装HIPS软件进行防护）
快速的文件分析 HTTP / FTP / SMTP / POP3 100% Wildlist 全覆盖 单点管理 阻断垃圾邮件 多种检测算法 阻断不适当的Web内容 先进的检测技术 最大的站点索引

反垃圾邮件


入侵防护


内容过滤

Proventia M
路由模式部署


防火墙/VPN 和 入侵防护, 防病毒, Web 过滤 和反垃圾邮件 在单一设备中 IP地址和子网掩码 配置接口
ISS了解逻辑流和流量的状态 ISS能够提供了最精确的防护
ISS IPS的核心技术
协议分析模块 (PAM)
协议分析
超过150种协议
包括 VoIP 协议
通信分析
基于漏洞的防护
可检测超过2,500种攻击手法
ISS 基于漏洞的防护的示例



分析并理解会话 找出非法参数 检测缓冲溢出尝试 一次捕获所有变种
Proventia M
透明模式部署





担当“桥( bridge)” 网络中不可见 用法: 网络中已经有路由器 对服务器提供防护 最少的路由配置 或网络变化
Proventia M
管理选项

管理:

SiteProtector 集中管理
或

本地管理界面
单一安全设备解决各种问题
混杂的威胁
网络层 系统层 SPAM / Porn site / Unnecessary site Contents processed by application 内容过滤/反垃圾邮件
多维的检测
Proventia ADS 不断的开发新的算法精确检测内部的威胁: 蠕虫检测
检测异常行为的复制: SQL Slammer 蠕虫.
指纹检测 (ATF)
检测违背行为指纹的流量: 恶意代码, 钓鱼软件, 僵尸流量等等.
基于比率的异常检测
检测从基准线上级别的流量: DoS 攻击.
Recon 检测

为何选择 ISS…

Proventia IPS
灵活部署选项

串联模拟模式 - 检测而没有阻断 非常容易的从模拟到防护

Internet出口部署进行安全防护
主机和服务器集群的“Front-door”防护
什么使我们的分析如此独特?
ISS 公司 IPS 的技术核心是 “Hybrid Protocol Analysis Module”.
VPN
ISS Proventia 安全网关特性总结

最新的安全技术

900 种漏洞阻断项 可查杀超过12万种病毒 可过滤超过 6千万个 URL

2.4 Billion 网站! 1.5 Billion 图片! 1/10,000 的误报

95% 的垃圾邮件过滤


病毒防护系统（VPS） 间谍软件防护 最佳性价比
检测 slow scans, fast scans, “stealth” scans, 和host sweeps.
内部滥用
检测特定安全策略的违背的行为: helpdesk 的工作者访问 payroll database
有效性损耗
检测在关键服务器和Link的丢弃的流量.
Proventia M 安全网关
智能的网络安全
异常检测
终端安全 访问控制 THOUSANDS of HUNDREDS HUNDREDS of 漏洞评估 targets of groups applications 内容过滤 GIGABITS of DEFAULT CUSTOM protocols, 更多 … traffic ALLOW PAYROLL , ISS的多层 防护技术独特的防护今天的企业安全.
TRADING
今天
传统的解决方案不能在众多策略中找到解决之道
您能通过勤奋地进行 职责分配、策略编写、 检查和评估从而解决 安全问题吗？
Proventia ADS
Prover Management System
Proventia AD120 Collector
Proventia M
安全网关

防火墙 / VPN


防病毒

通过地址/端口设置允许/禁止 对象的名单 DHCP 服务器 NAT, PAT DHCP 客户端 PPPoE (DSL/cable连接) 和Proventia IPS相同的虚拟补丁 Virtual Patch 技术

未知攻击的防护


阻断非法的流量


消除安全漏洞

权威第三方性能测试报告
Throughput
The Tolly Group – March 2005 ISS 千兆IPS 测试
超过标称的最大Throughput 时延非常低
Fail-over 时间极好（非常短）
超过标称的并发连接数 Rated Throughput Nimda/Blaster 攻击阻断率 100% SYN flood攻击阻断率100%

HIPAA, SOX, GLBA 财务处罚 品牌损失, 赔偿
今天的安全解决方案
昨天
网络
TENS of targets MEGABITS of traffic
应用程序
TENS of applications 入侵防护 WEB, MAIL, DNS
策略
INSIDE and OUTSIDE groups DEFAULT DENY
网络扫描－Internet Scanner Site Protector

漏洞评估


综合安全管理系统

Proventia 网络入侵防护系统
ISS Proventia® IPS
Proventia™ IPS 系列设备可自动地分析网络通信，访问
控制、阻断黑客入侵、蠕虫、拒绝服务攻击、木马、缓冲 溢出攻击、间谍软件…,保证网络带宽、可用性和安全性

4、问答
ISS 公司背景
全球顶级的独立IT安全供应商 成立于 1994 总部位于 Atlanta, USA 1998 IPO – NASDAQ: ISSX
在 27 个国家有 1,200 名雇员
全球 11,000 企业用户 全球顶级的安全智库 全球顶级的预防安全供应商 全球顶级的托管防护服务（MSS）供应商 2005 年收入近3.3亿美元 持续赢利、无负债、持有现金和有价证卷为 $238 million
ISS公司安全解决方案介绍
李明 高级技术顾问
ISS技术交流提纲

1、ISS公司背景介绍 2、ISS企业安全平台（ESP）介绍 2.1 ISS网络入侵防护系统（NIPS）介绍 2.2 ISS网络异常检测系统 （ADS）介绍 2.3 ISS安全网关介绍 2.4主机入侵防护系统（HIPS）介绍 2.5 ISS桌面安全防护系统 （Desktop）介绍 2.6 ISS网络扫描器 （Scannner）介绍 2.7 ISS 安全管理平台介绍 3、总结
研发和安全智能
强大的研发力量能针对未知的威胁提供有效的防护
研发可以确保 前瞻性防护
Proventia® Network IPS
行业领导者
Figure 1: Magic Quadrant for NW IPS Appliances (2H05)
Figure 2: High Risk Vulnerabilities (’98 – 05)
网络 性能
串联设备 需要 以网络为中心的特点
intrusion prevention appliance
入侵防护系统带来的收益

实时入侵防护

基于精确检测技术 提供了IDS难以实现的前瞻性阻断功能 在爆发之前检测潜在的漏洞 检测和阻断协议 GoToMyPC, VNC, PCAnywhere, MSN, Yahoo, AOL, ICQ, Kazaa, eDonkey, Gnutella, IRC, etc. 虚拟补丁Virtual Patch
95的垃圾邮件过滤110000的误报最佳性价比权威杂志networkcomputing2005年4月份测评主机安全解决方案proventia网络安全防护系统通过在服务器池前置nips设备进行防护proventiaserver通过服务器上安装hips软件进行防护proventiadesktop的多重防护的桌面防护产品proventiaserversensorproventiaserversensor功能监控主机上所有接口的网络流量使用pam在web服务器上监控加密或未加密的http流量proventiaserversensor配置防火使用隔离规则动态阻断proventiaserversensor进行web监控web监控在到达web服务器之前要求通过高等级优先的iss的过滤器和通过web服务器的过滤器proventiaserversensor审计功能审计当审计事件允许时serversensor可以允许内核审计而不仅仅依赖于现存的userland输出可疑您可以配置serversensor额外的端口未使用来监听可疑流量用户自定义事件用户事件可以在任何的logfile中创建监控可选使用regex或者在网络流量中监控自定义流量例如url中的dagmarheapstackmemory10101110110110101010111010111011110101boep100110101011101011proventiaserversensorboep缓冲溢出防护boepproventiaserversensorboep缓冲溢出防护boep部分
ISS #1
(51.1%)
Source: Gartner (November 2005)
Source: Frost & Sullivan (April 2005)
Proventia成为入侵检测/防护的标准
ISS 连续五年在入侵检测/防护全球市场份额居第一
Source: IDC, Worldwide Intrusion Detection and Prevention 2004.2008 Forecast and 2003 Vendor Shares: Introducing the FireDoor, October 2004, document # 32004
ISS –顶级的独立 IT安全解决方案供应商
拥有全球最多顶级安全需求客户，无与伦比的记录。。。。
10/10 全球最大十家银行 20/20 全球最大十个政府根据 GNP
10/10 全球最大十家保险公司
10/10 全球最大十家 IT 公司
我们如何实现 前瞻性防护
Proventia® 企业安全平台四步骤不间断实现:
Proventia 网络异常检测系统
今天安全的挑战
CRUMBLING PERIMETER

VPN’s, Wireless, Walk-In Vector


承包人, 合作伙伴, 客户
自动攻击, 零天的蠕虫
CONSTANT TURMOIL

新业务, 新的应用程序 合并 很差的内部可视化
REGULATION
Proventia ESP – 产品和服务概述
ISS 安全防护防护解决方案

网络安全

Proventia 网络入侵防护系统 Proventia 网络异常检测系统 Proventia 安全网关

服务器/桌面安全


服务器安全 – Proventia Server 桌面机安全 – Proventia Desktop
Partners
Proventia AD60 Collector
Dept
ISA
Remote Users Dept
Switch
IPS IPS
Switch
Switch
Dept
IPS
IPS
DMZ Dept2 Dept22 Key Systems Dept
异常检测如何工作
基于硬件, 分布式的内部 IPS
1. 从现有的路由器和交换机收集 网络 flow 信息 2. 创建深层, 动态的网络相关模型 3. 使用N维检测技术防护零天威胁，滥用和 误用
过的第一个安全产品
防护 能力
防护引擎的核心是多种方法
入侵防护(IPS)设备
防护 能力
入侵防护 IPS的效率
Network Computing – Jan 2005 ISS 是唯一的在防护的有效性类别中打5分的厂商 超过150种协议，超过2500种事件 有效性是任何人考虑IPS产品的最重要的因素 效率 = 防护