趋势科技正式发布云安全3.0解决方案
应用安全网关产品白皮书 v6.2
新一代的SSL VPN产品 网康应用安全网关6.2 产品白皮书 北京网康科技有限公司 2012年5月
版权声明 北京网康科技有限公司?2012版权所有,保留一切权力。 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京网康科技有限公司(以下简称网康科技)所有,受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。 信息更新 本文档仅用于为最终用户提供信息,并且随时可由网康科技更改或撤回。 适用版本 本文档适用于ASG 6.2版本。 免责条款 根据适用法律的许可范围,网康科技按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使网康科技明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。 期望读者 期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。本文档假设您对下面的知识有一定的了解: ?Web与HTTP ?TCP/IP协议 ?SSL与IPSec ?网络安全基础知识 ?Windows操作系统
目录 1 背景 (5) 1.1 企业应用发展趋势 (5) 1.2 企业应用安全的新挑战 (5) 1.3 网康科技虚拟应用网络VAN新理念 (6) 2 网康科技应用安全网关ASG (7) 2.1 ASG产品系统架构 (8) 2.2 应用安全网关工作原理 (8) 2.3 用户使用场景 (9) 2.3.1 采用浏览器访问企业内部应用 (9) 2.3.2 使用客户端软件访问企业内部应用 (9) 2.3.3 在分支机构内部的用户 (10) 2.4 应用安全网关ASG主要功能列表 (10) 3 应用安全网关ASG功能特点与优势 (10) 3.1 SSL与IPSec二合一 (10) 3.2 高强的用户认证技术与动态认证功能模块添加 (11) 3.2.1 用户认证模板 (12) 3.2.2 动态添加第三方认证 (12) 3.3 全面支持安卓与苹果智能终端 (12) 3.4 高度整合虚拟应用,完美支持“云”计算 (13) 3.5 支持多种类型的浏览器插件 (14) 3.6 单点登陆(SSO) (14) 3.7 支持用户自注册与在线审核 (15) 3.8 用户账户的自助管理 (15) 3.9 虚拟站点,支持门户定制化 (17) 3.10 支持自用软件的自助上传 (18) 3.11 基于应用的访问策略控制 (18) 3.12 客户终端接入扫描与终端流量控制 (19) 3.13 完备的系统管理方式 (19) 3.14 丰富的日志与统计报表工具 (20) 3.15 双机与多机热备 (20) 3.16 简便易用,快速部署 (22) 3.16.1 无需安装客户端软件,即插即用 (22) 3.16.2 Web优化技术 (22) 3.16.3 支持各种网络环境 (22) 3.16.4 动态页面重构技术,完美支持WEB应用访问 (23) 3.16.5 使用SSL Tunnel技术支持所有的C/S架构应用 (23) 3.16.6 大量使用配置模板与默认设置,方便管理 (24) 3.16.7 典型配置指导 (24) 3.16.8 开机快速初始化,无需复杂配置 (24) 4 应用安全网关的部署建议 (26) 4.1 网关方式部署 (26)
虚拟化安全趋势杀毒
虚拟化安全趋势杀毒 虚拟化安全可行性探讨 对于虚拟化系统的病毒问题,口前都是用物理机的解决方案进行,但是使用这样的解决方案存在很多的问题,具体如下: 1(在每个虚拟机上部署防病毒软件,这会更多的占用ESX Server的资源, 如:CPU、内存、I/O等内容,造成虚拟化密度低,造成投资; 2(如果全部的防病毒软件同时进行系统扫描,这样会形成“病毒风暴”把 ESX Server的资源全部吃满,其至造成宕机; 3(每个虚拟机上都部署防病毒软件,管理员就要对每个虚拟机进行登录管理、监控、维护,比如病毒码升级、软件故障处理等,会造成管理的复杂; 4(虚拟机存在使用和关闭两种情况,对于关闭的虚拟系统是不能够部署新 的病毒码的,但是这个虚拟机是和虚拟化平台底层可以通信的,所以很容易被利用造成破坏; 由于存在以上的众多问题,我们需要一为虚拟环境所打造的防病毒解决方案,此方案应该是只在每台物理服务器上安装一次,同时达到如下效果: (-)提升硬件服务器使用率 a)相同硬件能提高虚拟机密度 b)提高300,服务器使用率 (二)简化管理 a)以主机为单位的保护管理 b)一次性安装,部署 (三)自动继承的保护 a)虚拟镜像即装即防 b)即便裸机也能立即保护
这样的虚拟化解决方案才是理想的解决方案,其工作原理如下图: 其能够实现如下功能: (―)在访问扫描 文件打开/关闭触发杀毒引擎进行扫描提供对文件的扫描数据 (二)按需扫描 杀毒引擎发起 对所有客户档案系统进行扫描 (三)缓存和筛选 数据和结果的缓存,以减少数据流量和优化性能基于文件名、后缀名进行排除清单 (四)整治 删除,清除,阻断,隔离 基于VC报警系统对处理进行通告 VMware系统首推的解决方案为趋势科技的Deep Security,解决方案如下: 此产品的性能非常理想,我们通过第三方测试结果、在我们实际环境中的测试进行了验证,验证情况如下:
趋势科技公司简介和竞争优势
第 1 章趋势科技公司简介 趋势科技——网络安全软件及服务领域的全球领导者,几年前就以卓越的前瞻和技术革新能力引领了从桌面防毒到网络服务器和网关防毒的潮流,现在又以独特的服务理念再次向业界证明了趋势科技的前瞻性和领导地位。总部位于日本东京和美国硅谷,目前在30个国家和地区设有分公司,员工总数超过2000人。趋势科技是一家高成长性的跨国信息安全软件公司。趋势科技分别在日本东京证券交易所和美国NASDAQ上市,并在2002年10月入选日经指数成分股,创造了日本证券史上的奇迹。 趋势科技在把创新思想成功转化为尖端科技方面享有盛誉,Gartner Group连续四年把趋势科技评定为最具创新能力的防毒管理供应商。IDC数据表明,趋势科技在全球服务器架构防毒解决方案居领导地位,在整体服务器防毒软件市场、群组防毒软件市场、网关防毒软件市场的占有率均高居全球第一位。 趋势科技2002年在全球推出了里程碑式的企业安全防护战略-EPS(Enterprise Protection Strategy), 采取主动性的预防措施,在病毒爆发的初期通过中央控管系统及时部署预代码,并对病毒进行生命周期的管理,从而使用户得到最大限度的安全保证。趋势科技一向注重服务品质,其企业专属咨询服务—PSP(Premium Support Program)自从推出以来,就受到了众多国际性大企业的青睐。去年,趋势科技在PSP的基础上又提出了服务等级协议--SLA(Service Level Agreement),这又是一个伟大的创举,趋势科技做出了如果没有在规定时间内解决客户的问题将接受罚款的大胆承诺,这在整个防毒业界是唯一的。
Deep-Security虚拟化安全解决方案
Deep-Security虚拟化安全解决方案
XXX 虚拟化安全解决方案
趋势科技(中国)有限公司 2011年9月
目录 第1章.概述 (3) 第2章.XXX虚拟化安全面临威胁分析 (4) 第3章.XXX虚拟化基础防护必要性 (7) 第4章.趋势科技虚拟化安全解决方案 (8) 第5章.XXX虚拟化安全部署方案 (14) 5.1.VMware平台部署方案 (14) 5.2.趋势虚拟安全方案集中管理 (15) 5.3.XXX虚拟化防护解决方案拓扑 (15) 第6章.趋势科技DeepSecurity介绍 (16) 6.1.DeepSecuirty架构 (16) 6.2.DeepSecuirty部署及整合 (18) 6.3.DeepSecuirty主要优势 (19) 6.4.DeepSecuirty模块 (21)
第1章.概述 XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展,数据中心空间、能耗、运维管理压力日趋凸显。应用系统的部署除了购买服务器费用外,还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用,相当昂贵。如果这些服务器的利用率不高,对企业来说,无疑是一种巨大的浪费。 在XXX,这些关键应用系统已经被使用Vmware服务器虚拟化解决方案。这解决企业信息化建设目前现有的压力,同时又能满足企业响应国家节能减排要求。 而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量
安全网关产品说明书
安全网关产品说明书集团文件发布号:(9816-UATWW-MWUB-WUNN-INNUL-DQQTY-
安全网关产品说明书 介绍 欢迎并感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS统一威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括:应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 网络层服务,例如防火墙、入侵防护、IPSec与SSLVPN,以及流量控制。 管理服务,例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI管理访问,以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍 所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。 ZXSECUS350
趋势科技网络病毒墙_(_NVW_)_解决方案
趋势科技网络病毒墙 ( NVW ) 解决方案 I概述 如今的网络恶意攻击,诸如网络病毒和互联网蠕虫的四处蔓延已使现有的安全防措施捉襟见肘。这些网络恶意攻击是危险的,因为它们在网络层传播,无法通过传统的病毒码文件方法来检测,且通常是利用操作系统和软件程序的漏洞发起攻击。虽然厂商们针对这些漏洞发布了补丁程序,但大多数公司通常都无法真正应用这些补丁,因为他们要花很多时间来从众多的设备中确定哪些设备需要打补丁,有时还会怀疑厂商提供的补丁是否可靠。此外,这些网络恶意数据包在传播过程中要使用网络资源,从而造成网络带宽严重拥塞,降低了企业的生产效率。 现有传统防病毒理念无法有效抵御当前的网络病毒恶意攻击,因为它们只能对威胁进行监控而无法及时提供可靠的信息来帮助IT 管理人员防御或遏制攻击,或在安全威胁渗透进入网络后采取及时的行动。IT 管理人员在遏制这些攻击时遇到的共同问题包括: ●没有足够的信息来确定相关的漏洞打补丁的优先顺序 ●无法准确、快速的获得最新的病毒预警 ●无法隔离未安装补丁程序和/或被感染的机器以防止病毒传播 ●防毒产品的部署率没有达到100%,某些客户机或服务器没有安 装防毒软件 ●病毒代码库的更新速度永远赶不上病毒传播的速度 ●很难精确定位感染源并管理整个公司网络的远程清除工作 ●无法判断移动(笔记本)用户从外部把病毒带到办公室里来 ●远程办公用户通过与公司建立的连接(安全或不安全)将病毒带 到公司部 ●无法对不符合安全策略要求和已感染设备的网络访问进行控制
因此最新的网络蠕虫传播已经不再需要借助文件系统了,传统的防病毒措施已经不能适应新的网络安全需求,再加上防病毒及安全策略的统一强制实施比较困难,当病毒进入到企业部会发生: ●部的网络流量突然暴长,瞬间到达锋值 ●没有任何办法将这种网络流量降下来,除非找到染毒的机器并把 所有感染病毒的系统都关掉,或将他们从网络中隔离开(把网线 拔掉) ●为了避免病毒传播到外网,只有将服务器或者网关服务器停机 ●直到了解了病毒的具体信息才知道该采取什么措施 ●费大量人力去手动一台一台的去清除已经感染了病毒的系统(采 用病毒专杀工具),将病毒/蠕虫程序或木马程序清除出系统 ●如果新的病毒代码或者已知安全漏洞的补丁没有被100%部署的 话,第二波病毒爆发很有可能会卷土重来 上述问题造成目前IT 管理人员非常被动与非常没有安全感,如何能够有一个让IT 管理人员放心、安心的网络安全解决方案已经成为越来越重要的课题。针对这些目前传统防病毒产品无法很好解决的问题,趋势科技推出了业界唯一一款在网络层阻挡网络病毒的硬件产品 - 趋势科技?网络病毒墙?(Trend Micro? VirusWall?) - 这是一款病毒爆发安全防护设备,采用部署在网络层的趋势科技网络病毒墙,可以阻挡网络病毒(如互联网蠕虫),在病毒爆发前和爆发期间识别高危险性的安全漏洞,在病毒进入网络时隔离和清理包括未受保护的设备在的感染源。网络病毒墙能够在整个企业组织围强制实施统一的防毒安全策略,精确地定位和远程自动或本地清除网络中的感染源,帮助 IT 管理人员降低安全风险,最大限度地缩短网络停机时间,减轻病毒爆发带来的管理负担。 II趋势科技网络病毒墙功能特色 A.NVW的价值所在
安全网关产品介绍
安全网关产品介绍 一、产品定义 简单的说:是为互联网接入用户解决边界安全问题的安全服务产品。 详细的说:“安全网关”是集防火墙、防病毒、防垃圾邮件、IPS 入侵防御系统/IDS入侵检测系统、内容过滤、VPN、DoS/DdoS攻击检测、P2P应用软件控制、IM应用软件控制等九大功能和安全报表统计分析服务为一体的网络信息安全产品。 二、产品特点 1)采用远程管理方式,利用统一的后台管理平台对放在客户网络边界的网关设备进行远程维护和管理。 2)使用范围广,所有运营商的互联网专线用户均可使用。 3)解决对信息安全防护需求迫切、资金投入有限、专业人员缺乏的客户群体,以租用方式为用户提供安全增值服务,实现以较低成本获得全面防御。 4)功能模块化、部署简便、配置灵活。 四、(UTM)功能模块 1)防火墙功能及特点:针对IP地址、服务、端口等参数,实现网络层、传输层及应用层的数据过滤。 2)防病毒功能及特点:能够有效检测、消除现有网络的病毒和蠕虫。实时扫描输入和输出邮件及其附件。
3)VPN功能及特点:可以保护VPN网关免受Ddos(distributed Deny of Service)攻击和入侵威胁,并且提供更好的处理性能,简化网络管理的任务,能够快速适应动态、变化的网络环境。 4)IPS(Intrusion Prevention System , 入侵防御系统)功能及特点:发现攻击和恶意流量立即进行阻断;实时的网络入侵检测和阻断。随时更新攻击特征库,保障防御最新的安全事件攻击。 5)Wed内容过滤功能及特点:处理浏览的网页内容,阻挡不适当的的内容和恶意脚本。 6)垃圾邮件过滤功能及特点:采用内容过滤、邮件地址/MIME头过滤、反向DNS解析以及黑名单匹配等多种垃圾邮件过滤手段。 7)DoS/DDoS(distributed Deny of Service)攻击检测功能:“安全网关”能够有效检测至少以下典型的DoS/DDoS攻击,并可以根据设定的Tcp_syn_flood、udp_flood等阀值阻断部分攻击。 8)P2P应用软件控制功能:可以实现对BitTorrent、eDonkey、Gnutella、KaZaa、Skype、WinNY,Xunlei等P2P软件的通过、阻断及限速。 9)IM应用软件控制功能:“安全网关”提供对IM应用软件的控制功能,可以实现对AIM、ICQ、MSN、Yahoo!、SIMPLE、QQ等IM软件的控制,包括:阻断登录、阻断文件传输等控制。 10)安全报表服务:“安全网关”提供用户报表定制功能,能够根据用户的要求对报表格式、发送方式及发送频率进行定制。其中内容包括:A、安全服务套餐报表;B、安全策略设置一览表;C、网络带宽占用及流量分析报告或报表;D、攻击事件分析报告或报表;E、按名称的病毒排名:本客户的病毒爆发次数排名;F、按IP的病毒排名:本客户所有计算机的病毒爆发多少排名;G、垃圾邮件排名:统计垃
安全网关部署方案
安全网关部署方案 随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。这样,局域网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。另外域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。因此,网络安全不仅要防范外部网,同时更防范内部网安全。因此,企业采取统一的安全网关策略来保证网络的安全是十分需要的。一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。安全网关是各种技术有机融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤,对保护计算机局域网起着关键性的作用。
安全网关部署拓扑图: (图1)
上图为安全网关部署示意图,包含了组建局域网网的基本要素。下面对其各个部分进行讲解。 一、安全网关接入网络。 安全网关一般具有2个W AN口以及4个LAN口。如上图所示,外网IP为221.2.197.149,连接网线到W AN口上。LAN的口IP地址是可以自由设置的,图中设定的2个LAN口的IP为192.168.0.1(局域网用户)以及10.0.0.1(服务器用网段)。另外安全网关具有了无线网络功能,分配IP地址为192.168.10.1。下面对上述接入方式进行详细说明。 1.路由NET部署 图一所示接入方式即为路由NET部署拓扑图。安全网关设备部署在网络的出口位置,实现路由、NAT转发功能。同时可以开启Qos (流量)控制、URL过滤、IM限制等功能,这种部署模式是最为常见的部署模式,应用客户最多。 2. 透明模式部署拓扑图
安全网关产品说明书
安全网关产品说明书 介绍 欢迎并感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS 统一威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括: 应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 网络层服务,例如防火墙、入侵防护、IPSec与SSLVPN,以及流量控制。 管理服务,例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI 管理访问,以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍 所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。 ZXSECUS350 ZXSECUS350设备易于部署与管理,为soho以及子机构之间的应用提供了高附加值与可靠的性能。ZXSECUS安装指南通过简单的步骤指导用户在几分钟之内运行设备。ZXSECUS180 ZXSECUS180为soho以及中小型企业设计。ZXSECUS180支持的高级的性能例如,虚拟域以及RIP与OSPF路由协议。 ZXSECUS120
安全网关产品说明书模板
安全网关产品说明 书
安全网关产品说明书
介绍 欢迎并感谢您选购联通网络信息安全产品, 用以构筑您的实时网络防护系统。ZXSEC US统一威胁管理系统( 安全网关) 增强了网络的安全性, 避免了网络资源的误用和滥用, 帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSEC US统一安全网关是致力于网络安全, 易于管理的安全设备。其功能齐备, 包括: ●应用层服务, 例如病毒防护、入侵防护、垃圾邮件过滤、网 页内容过滤以及IM/P2P过滤服务。 ●网络层服务, 例如防火墙、入侵防护、IPSec与SSL VPN, 以 及流量控制。 ●管理服务, 例如用户认证、发送日志与报告到USLA、设备管 理设置、安全的web与CLI管理访问, 以及SNMP。 ZXSEC US统一安全网关采用ZXSEC US动态威胁防护系统( DTPSTM) 具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析, 并及时启动部署在网络边界的防护关键应用程序, 随时对您的网络进行最有效的安全保护。 ZXSEC US设备介绍
所有的ZXSEC US统一安全网关能够对从soho到企业级别的用户提供基于网络的反病毒, 网页内容过滤, 防火墙, VPN以及入侵防护等防护功能。 ZXSEC US550 ZXSEC US550设备的性能, 可用性以及可靠性迎合了企业级别的需求。ZXSEC US550同样也支持高可用性群集以及包括在HA 设备主从设备切换时不会丢弃会话, 该设备是关键任务系统的理想选择。 ZXSEC US350 ZXSEC US350设备易于部署与管理, 为soho以及子机构之间的应用提供了高附加值与可靠的性能。ZXSEC US 安装指南经过简单的步骤指导用户在几分钟之内运行设备。 ZXSEC US180 ZXSEC US180为soho以及中小型企业设计。ZXSEC US180支持的高级的性能例如802.1Q, 虚拟域以及RIP与OSPF路由协议。ZXSEC US120 ZXSEC US120设计应用于远程办公以及零售店管理.具备模拟modem接口, 能够作为与互联网连接的备份或单独与互联网连接。 ZXSEC US70
趋势科技服务器深度安全防护系统
云安全3.0 全面防护云平台 趋势科技服务器深度安全防护系统 TrendMicro Deep Security 7.5 提供动态数据中心服务器及应用程序的保护 越来越多的企业接入网络并以数据为中心,提供的应用连接着合作伙伴、员工、供货商或者客 户,而这些应用正面临着日益增加的网络攻击。这些有针对性的攻击比以前更加老练和复杂,对于数据安全的要求也日益变得更加严格。您的公司需要更坚固的安全防护,让您在不降低性能的情况下,使用最现代的虚拟化和云计算技术装备数据中心。 趋势科技Deep Security是一套保护服务器和应用程序的综合安全系统,可以降低系统资源消耗、简化管理及加强虚拟机的透明性和安全性,并且拥有业界独一无二的无代理安全防护,可进一步减少虚拟服务器的资源消耗,提升企业在虚拟环境的投资回报率。同时,Deep Security所采用的主动式深度威胁保护技术,可实时自动追踪最新动态威胁,能有效及优化配置安全策略,降低系统资源消耗和安全管理成本。 Deep Security是业界最先进的安全系统,提供了五大安全模块,还遵循了广泛的规范性要求,包括七个主要的PCI规范要求,网络应用层防火墙、IDS/IPS、文件完整性监控及网络划分。最新的主动性深度安全技术搭配完整的安全模组,广泛的操作平台、应用程序支持;趋势科技Deep Security是数据中心、服务器安全管理不可或缺的革命性单一同一管理系统。主要优势 最完整的安全软件 多层次安全防护 广泛的操作平台及服务应用支持 完整虚拟环境基础架构整合 灵活部署任何阶段IT环境 预防数据破坏及营运受阻 提供无论是实体、虚拟或云中的服务器防御 防堵在应用程序和操作系统上已知或未知的漏洞 防止网页应用程序遭受SQL注入及跨网站脚本攻击 阻挡针对企业系统的攻击 辨识可疑活动及行为,提供主动式和预防性的措施 协助企业遵循PCI及其它规范和准则满足7大PCI数据安全准则及一系列广泛的其他法规要求 提供详细的可审计报告,包含已被阻止的攻击和策略遵循状态 减少支持审计所需要的准备时间和投入实现经营成本的降低 透过服务器资源的合并,让虚拟化或云计算的节约更优化 透过安全事件自动管理机制,使管理更加简化 提供漏洞防护让安全编码优先化及弱点修补成本有效化 通过一个中心管理的多用途软件代理或虚拟设备,消除了部署多个软件客户端所产生的成本 架构 新!Deep Security Virtual Appliance (DSVA)在VMware vSphere在VMware vSphere虚拟机器上提供无代理的病毒查杀,IDS/IPS、网络应用程序保护、应用程序控管及防火墙保护,透明化地加强安全策略--如果需要可以与Deep Security Agent协调合作提供完整性的监控及日志审计。 Deep Deep Security Agent(DSA) 部署于被保护的服务器或者虚拟机上的一个轻小的软件组件,能有效协助执行数据中心的安全政策(IDS/IPS、网络应用程序保护、应用程序控管、防火墙、完整性监控及日志审计)。Deep Security Manager(DSM) 功能强大、集中式管理,使管理员能够创建安全配置并将它们应用于服务器,监控警报,对威胁采取预防措施,分发安全更新到各服务器,生成报告。新的事件标注功能简化了大批量的事件管理。 Security Center 我们的安全专家团队针对最新安全漏洞,通过快速开发和提供安全更新来帮助您防御最新的威胁。客户门户网站让您可以访问能部署到Deep Security Manager 的安全更新。 Smart Network Protection 集成趋势科技的云安全技术,实时提供最新的文件、邮件、Web信誉技术,无时差的最新动态威胁防护,免去病毒库的内存和部署需求。部署及整合 整合既有的IT及安全投资进行快速部署集成VMware vCenter的VMware和ESX服务器能够将组织与营运信息汇入Deep Security Manager中,这样详细的安全策略就能被应用到企业的VMware基础结构上。 与vShield Endpoint和VMsafe TM APIs的集成使得它能在ESX服务器上作为一个虚拟应用快速部署,并立即开始透明化地保护vSphere虚拟机。 透过多种整合选项,提供详细的服务器级别的安全事件至S I E M系统,包括ArcSight TM、Intellitactics、NetIQ、RSA Envision、Q1Labs、Loglogic和其它系统。 能与企业级的目录作整合,包括Microsoft Active Directory。 可配置的管理通讯方式,允许Manager或Agent发起通信请求,这样就能减少或消除一般情况下的中央管理系统所必须的对防火墙的修改。 可以透过标准的软件分发机制如Microsoft?SMS、Novel Zenworks和Altiris 轻松部署代理软件。
趋势科技网络病毒墙(NVW)处理办法
趋势科技网络病毒墙( NVW ) 解决方案 I概述 如今的网络恶意攻击,诸如网络病毒和互联网蠕虫的四处蔓延已使现有的安全防范措施捉襟见肘。这些网络恶意攻击是危险的,因为它们在网络层传播,无法通过传统的病毒码文件方法来检测,且通常是利用操作系统和软件程序的漏洞发起攻击。虽然厂商们针对这些漏洞发布了补丁程序,但大多数公司通常都无法真正应用这些补丁,因为他们要花很多时间来从众多的设备中确定哪些设备需要打补丁,有时还会怀疑厂商提供的补丁是否可靠。此外,这些网络恶意数据包在传播过程中要使用网络资源,从而造成网络带宽严重拥塞,降低了企业的生产效率。 现有传统防病毒理念无法有效抵御当前的网络病毒恶意攻击,因为它们只能对威胁进行监控而无法及时提供可靠的信息来帮助IT 管理人员防御或遏制攻击,或在安全威胁渗透进入网络后采取及时的行动。IT 管理人员在遏制这些攻击时遇到的共同问题包括: ●没有足够的信息来确定相关的漏洞打补丁的优先顺序 ●无法准确、快速的获得最新的病毒预警 ●无法隔离未安装补丁程序和/或被感染的机器以防止病毒传播 ●防毒产品的部署率没有达到100%,某些客户机或服务器没有安 装防毒软件
●病毒代码库的更新速度永远赶不上病毒传播的速度 ●很难精确定位感染源并管理整个公司网络的远程清除工作 ●无法判断移动(笔记本)用户从外部把病毒带到办公室里来 ●远程办公用户通过与公司建立的连接(安全或不安全)将病毒带 到公司内部 ●无法对不符合安全策略要求和已感染设备的网络访问进行控制 因此最新的网络蠕虫传播已经不再需要借助文件系统了,传统的防病毒措施已经不能适应新的网络安全需求,再加上防病毒及安全策略的统一强制实施比较困难,当病毒进入到企业内部会发生: ●内部的网络流量突然暴长,瞬间到达锋值 ●没有任何办法将这种网络流量降下来,除非找到染毒的机器并把 所有感染病毒的系统都关掉,或将他们从网络中隔离开(把网线 拔掉) ●为了避免病毒传播到外网,只有将邮件服务器或者网关服务器停 机 ●直到了解了病毒的具体信息才知道该采取什么措施 ●费大量人力去手动一台一台的去清除已经感染了病毒的系统(采 用病毒专杀工具),将病毒/蠕虫程序或木马程序清除出系统 ●如果新的病毒代码或者已知安全漏洞的补丁没有被100%部署的 话,第二波病毒爆发很有可能会卷土重来
网康应用安全网关NS-ASG产品介绍
网康应用安全网关ASG —— 产品概述 NS-ASG 产品是集IPSEC VPN和SSL VPN为一体的新一代VPN产品,为客户实现安全、易用、高效的连接。 需求背景 要想有效率且安全地运作网络服务,会遇到如下问题: ●不在单位内网的员工可能使用各种移动终端访问公司内网的CRM/OA/知识库等应 用系统 ●有较多分支机构,租赁端到端的专线价格昂贵 ●重要的专线资源没有备份,出现问题会造成业务中断 ●高校用户从外网访问教育网资源速度过于缓慢 ●WLAN等移动网络因为其开放性带来的安全问题 功能特性 IPSec VPN ASG提供标准的IPSec网络层连接功能,解决异地机构安全互连的问题。 SSL VPN ASG使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。 接入用户认证 ASG支持多种静态与动态用户认证技术,用于对远程接入用户进行高精度的认证与授权。另外,这些用户认证技术可以通过功能组合的方式来完成双因素可多因素认证。 应用访问授权 ASG的用户在使用VPN服务时,直观看到的是每一个他有权使用的内部应用。用户对于应用的使用权限通过访问安全策略来限制。 终端准入控制 ASG支持对客户接入的终端计算机进行安全扫描,对于不符合安全接入条件的计算机予以屏蔽。安全扫描要素包括:操作系统种类、版本、操作系统补丁、文件、注册表、进程、杀毒软件以及IP地址等。 日志报表 ASG可以对系统管理员的登录与操作、用户登录信息、应用资源的使用以及系统错误都形成日志,并且提供了丰富的信息统计与报表工具。 产品优势 IPSec VPN+SSL VPN双通道,提供高速、强壮的互连互通 考虑到IPSec与SSL各自的技术特性,可以来综合两种技术于一般使用场景中,即远程
安全网关管理系统快速入门
Provisa安全网关系统快速入门
一、安装实例拓扑图
二、网关基本配置 3.1.系统硬件特性 正面板接口简图: (1)电源指示灯(2)以太网接口EXT1 (3)以太网接口EXT0 (4)以太网LAN接口 (5)以太网WAN接口(6)复位键 (7)硬盘指示灯(8)console配置线接口背面板接口简图: (1)电源接口(2)电源开关 (3)USB接口
3.2.登录网关设备 根据系统的默认地址、用户名和密码登录系统:系统默认管理接口为eth0口,默认管理地址为192.168.5.254;系统默认用户名为admin,密码是123456。以下对系统进行配置以供基本使用: 3.3.接口配置 第一步:修改计算机的IP地址与默认地址在同一个网段,使用一根普通网线连接网关正面板的eth0口,打开浏览器,在地址栏中输入https://192.168.5.254,出现的登录页面如下: 在上面的页面中分别输入用户名:admin,密码:123456,点击登录按钮进入管理页面。
注意!:修改网络接口地址并更新后必须点击页面右上方的【保存配置】按钮以更新系统的IP地址,否则该改动将不会更新进系统配置文件,重启设备后所作的修改将丢失! 桥接接口配置 添加桥接口。打开网络控制—>网络管理->网络接入,进入802.1d Bridge页面,添加一个桥,如下图: 在本页面点击添加按钮,进行添加桥的配置,如下图:
在上图中选择需要添加进网桥的接口并移动到已选接口列表中,选择生效,然后保存配置。 【注意】!如果不想启用桥,可以不选择生效! 完成网桥配置后即可按照选定的网络接口来组织网络。 3.4.路由设备 打开网络控制->网络管理->路由配置,在此处加上默认路由,即网关到 下一跳的路由,如下图:
虚拟化安全 趋势杀毒
虚拟化安全可行性探讨 对于虚拟化系统的病毒问题,目前都是用物理机的解决方案进行,但是使用这样的解决方案存在很多的问题,具体如下: 1.在每个虚拟机上部署防病毒软件,这会更多的占用ESX Server的资源,如:CPU、内存、I/O等内容,造成虚拟化密度低,造成投资; 2.如果全部的防病毒软件同时进行系统扫描,这样会形成“病毒风暴”把ESX Server的资源全部吃满,甚至造成宕机; 3.每个虚拟机上都部署防病毒软件,管理员就要对每个虚拟机进行登录管理、监控、维护,比如病毒码升级、软件故障处理等,会造成管理的 复杂;
4.虚拟机存在使用和关闭两种情况,对于关闭的虚拟系统是不能够部署新的病毒码的,但是这个虚拟机是和虚拟化平台底层可以通信的,所以 很容易被利用造成破坏; 由于存在以上的众多问题,我们需要一为虚拟环境所打造的防病毒解决方案,此方案应该是只在每台物理服务器上安装一次,同时达到如下效果:(一)提升硬件服务器使用率 a)相同硬件能提高虚拟机密度 b)提高300%服务器使用率 (二)简化管理 a)以主机为单位的保护管理 b)一次性安装,部署 (三)自动继承的保护 a)虚拟镜像即装即防 b)即便裸机也能立即保护 这样的虚拟化解决方案才是理想的解决方案,其工作原理如下图:
其能够实现如下功能: (一)在访问扫描 ?文件打开/关闭触发杀毒引擎进行扫描 ?提供对文件的扫描数据 (二)按需扫描 ?杀毒引擎发起 ?对所有客户档案系统进行扫描
(三)缓存和筛选 ?数据和结果的缓存,以减少数据流量和优化性能 ?基于文件名、后缀名进行排除清单 (四)整治 ?删除,清除,阻断,隔离 ?基于VC报警系统对处理进行通告 VMware系统首推的解决方案为趋势科技的Deep Security,解决方案如下:
浦喆科技可信边界安全网关
可信边界安全网关 品牌:浦喆 1、证书认证 A)单双向认证选择功能:系统可以设置是否需要用户提交用户证书 B)动态黑名单功能:系统可以自动更新黑名单、动态更新,不需要重新启动服务 C)多站点证书功能:系统可以拥有多个站点证书,不同的服务可以拥有不同的站点证书D)多证书链功能:一个SSL服务中可同时配置多条证书链,验证不同CA的用户证书 E)多种证书支持功能:支持格尔、CFCA、SHECA及多数省级CA中心数字证书 F)证书信息传送功能:系统可以将用户证书信息包括扩展项信息传送给应用系统 2、应用支持 A)多种应用支持:支持B/S应用,支持FTP、telnet、远程桌面以及通用的C/S应用 B)多服务功能:系统可以创建多个SSL服务,保护不同的应用服务,也可以采用同一个SSL 服务保护多个应用服务 C)地址隐藏功能:系统将真正应用服务的地址隐藏,用户仅知道网关地址 D)支持应用重定向功能:在有防火墙NAT映射的情况下正常访问有重定向的网站DNS穿透功能,外部客户端可以直接使用内部域名访问应用 3、基础功能 A)认证一致性:系统通过特有的cookie技术将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息 B)策略统一下发:系统实现客户端策略的统一下发,用户无需对客户端进行任何配置 C)错误重定向:系统对于认证错误可以重定向到用户指定页面,增强友好性 D)基于证书的角色转换访问https应用:在党政接入中可以将外部证书角色自动转换为公安内部证书角色,保证业务的连续性 E)对原有https应用灵活支持:可以采用穿透模式和证书转换模式实现对原有https应用的灵活支持 4、终端管理 A)基于硬件特征的设备认证:终端计算机必须由TBSG专用客户端基于终端硬件特征生成注册信息,由服务端审核通过后才能成为合法设备。设备每次接入时都要进行特征信息的验证,保证设备合法性。 B)终端信息管理:通过对终端信息注册和管理,管理员可以更好了解接入终端各项信息C)多网阻断功能:客户端连接TBSG网关后,只能访问被TBSG保护的网络,无法同时访问其他网络 D)客户端web自动安装功能:客户端可以通过web方式自动安装,无需用户手工安装 E)客户端自动更新:客户端具有自动更新功能,可以自动升级到高版本 F)客户端安全检查:控制客户端中那些应用允许启动,那些应用不允许存在,以及那些应用才能通过TBSG访问 5、访问控制 A)多种方式的角色管理:根据证书项进行个人证书角色管理,根据证书项规则进行机构角色管理 B)完善资源的管理:将资源划分为web资源、C/S资源、地址段资源等多种方式,便于管理和授权 细粒度的访问控制,对于web资源支持基于正则表达式匹配的URL过滤,支持基于文件扩展名、类型的内容控制
趋势科技防毒网络版OfficeScan产品说明
趋势科技防毒网络版OfficeScan产品 部署方式: 在客户网络中分不部署治理端软件和所有节点病毒防护软件。 网络版产品简介 趋势科技防毒墙网络版OfficeScan是用于服务器、客户端的集中治理式防病毒和防间谍软件解决方案。防毒墙网络版能够爱护企业网络中的 Windows /2000/XP/Vista/7和Server 2000/2003/2008计算机免受病毒和恶意代码的侵害。通过给予治理员使用单个操纵台来配置、监
控和维护桌面防病毒措施的能力,防毒墙网络版改进并简化了企业病毒策略的治理。 防毒墙网络版包括以下两个组件: 1.防毒墙网络版服务器端:是网络版防毒系统的治理端, 它从趋势科技ActiveUpdate 服务器下载更新、收集和存储日志并实现集中治理、操纵病毒爆发,本身并不具备防毒能力; 2.防毒墙网络版客户机端:是网络版防毒系统真正的防 毒模块,安装在被爱护的Windows /2000/XP/V
ista/7和Server 2000/2003/2008等计算机节点上,使其免受病毒、特洛伊木马和其他威胁的侵害网络版部署方式 1.OfficeScan治理端安装在服务器上 2.客户端支持如下多种安装方式: ?登录脚本安装; ?扫瞄器安装(将安装链接放在网站上) ?远程安装; ?扫描安装 ?光盘安装; ?通知安装 ?共享安装; ?生成安装包安装; ?通过微软SMS安装;
?硬盘克隆安装 网络版治理方式 在任一台客户机上打开扫瞄器,访问网址,输入口令就能够治理,治理支持HTTPS,如下图所示: 网络版升级方式 自动升级,增量分发,假如服务器端不能上网,可通过部署趋势科技更新复制服务器实现集中更新,客户端更新同时支持三种更新方式:
HUAWEI ASG2000 应用安全网关 V100R001 典型配置案例 07
HUAWEI ASG2000 应用安全网关V100R001 典型配置案例 文档版本07 发布日期2015-07-10
版权所有 ? 华为技术有限公司 2015。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.360docs.net/doc/5034201.html,
前言 产品版本 与本文档相对应的产品版本如下所示。 读者对象 本文档针对HUAWEI ASG2050/2100/2150/2200/2600/2800 应用安全网关(以下简称为 ASG)的各类典型应用场景,介绍了各种功能的配置方法。 本文档主要适用于以下工程师: l数据配置工程师 符号约定 在本文中可能出现下列标志,它们所代表的含义如下。
命令行格式约定 图形界面元素引用约定
修订记录 修改记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内 容。 文档版本 07 (2015-07-10) 第七次正式发布。 文档版本 06 (2014-01-26) 第六次正式发布。增强带宽管理整体可用性,同步刷新举例:上网行为管理和带宽管理 综合场景。 文档版本 05 (2013-08-05) 第五次正式发布。 文档版本 04 (2013-06-03) 第四次正式发布。网关模式快速向导增加“管理口”配置,应用控制界面易用性优化。文档版本 03 (2012-12-03) 第三次正式发布。新增ASG2050和ASG2150两个型号。 文档版本 02 (2012-08-23) 第二次正式发布。 文档版本 01 (2012-07-18) 第一次正式发布。