1、安全监测与防御之基石-技盟安全交付平台顾威 华东区技术经理日程+技盟公司简介+安全面临的挑战+技盟安全交付平台+安全交付场景+技盟方案优势可信的、技术持续革新的市场领导者技盟公司不仅能够对物理网络及各种云环境提供流量的弹性可视，将需要的流量输出至相对应的安全工具进行监测，而且还能够实现安全工具的灵活编排增强防御能力，使您的组织能够快速稳定运行、保持安全与创新。8 大型高科技公司45大交易所8 TOP 10 头部券商1012家全国性股份制银行83财富百强75技术专利4.8/5.0客户满意度4,000全球客户Gigamon:A Trusted and Innovative Market Leade

2、r5为什么安全事件层出不穷1.CAM4(108.8亿条)直播网站泄露7 TB数据包含近110亿条记录2.Advanced Info Service(83亿条),泰国手机运营商数据泄露3.Keepnet Labs(50亿条)英国网络安全厂商遭遇网络违规事件4.Whisper(9亿条)高人气秘密分享应用9亿条用户记录暴露5.新浪微博（5.38亿条 超过超过5.38亿用户的个人信息被摆在暗网亿用户的个人信息被摆在暗网6.雅诗兰黛（雅诗兰黛（4.4亿条）亿条）4.4亿条内部记录意外暴露在互联网上亿条内部记录意外暴露在互联网上7.Broadvoice(3.5亿条)美国VoIP服务供应商8.Wattpad

3、(2.68亿条)加拿大的写作博客平台Wattpad9.微软（微软（2.5亿条）亿条）存储客户支持分析结果的数据发生数据泄露10.未知（未知（2.01亿条）含超过亿条）含超过2亿条被暴露在公共互联网上的亿条被暴露在公共互联网上的攻击手段攻击手段发现能力与阻断能力发现能力与阻断能力SiSiSiSi防火墙防火墙1 1Switch Switch x 2 x 2 Switch Switch x 2x 2Switch Switch x 2x 2入侵防御入侵防御器器1 1WAF1WAF1防火墙防火墙2 2入侵防御入侵防御器器2 2WAF2WAF21.众多的串联设备，带来众多的故障点2.安全设备的升级维护需要

4、中断网络3.增加或删除设备需要中断网络4.任一设备出现瓶颈可能引起网络中断5.出口设备的故障排查非常复杂6.高带宽的网络骨干很难部署安全产品7.SSL加密流量带来安全产品性能和网络整体安全性的问题无法有效部署安全工具就无法防御无法有效部署安全工具就无法防御1.流量采集资源有限2.安全工具流量获取难3.虚拟化、容器流量采集4.私有云、公有云流量采集5.不相关流量消耗安全工具资源无数据源就无法发现安全无数据源就无法发现安全6当前发现与防御体系的问题发现面临的挑战防御面临的挑战安全事件的发现与防御需要什么技术保障互联网互联网RoutersRouters“Spine”“Spine”SwitchesSw

5、itches“Leaf”“Leaf”SwitchesSwitches虚拟化虚拟化服务器群服务器群安全产品安全产品、方案、方案发布平台发布平台:一个一个构构造高效益安全系统的基础。造高效益安全系统的基础。IntrusionDetectionSystemData Loss PreventionEmail Threat DetectionIPS(Inline)Anti-Malware(Inline)Forensics信息梳理平台信息梳理平台按应用类型进行按应用类型进行提取，进行有提取，进行有目标性的检测目标性的检测提供提供加密流量的加密流量的可视性，保障加密可视性，保障加密流量不含有威胁流量不含有威

6、胁Inline bypass 为为多层安全架构环境多层安全架构环境提供可视性提供可视性全网完整覆盖：全网完整覆盖：物理网与虚拟网物理网与虚拟网不抽样不抽样的元数据的元数据生成生成，改善信息，改善信息的准确度的准确度技盟安全交付平台互联网互联网边界路由边界路由“Spine”“Spine”交换机交换机“Leaf”“Leaf”交换机交换机虚拟化虚拟化、私有云、私有云、容器环境等容器环境等上网行为管理上网行为管理数据丢失保护数据丢失保护邮件安全邮件安全IPS(串接串接)防毒墙防毒墙(串接串接)审计取证审计取证Security Delivery PlatformIsolation of applicat

7、ions for targeted inspectionVisibility to encrypted traffic for threat detectionInline bypass for connected security applicationsA completenetwork-wide reach:physical and virtualScalable metadata extraction for improved forensicsHawkHawk 采集采集元数据元数据应用过滤应用过滤SSLSSL解密解密流量编排流量编排9应用智能技术深化数据削减RawPacketsSec

8、urity App100%100%元数据100%100%10%10%100%100%筛选35%35%35%35%元数据40%40%4%4%无关流量25%25%0%0%X10技盟安全发布平台带来的效果 全面可视 精细化流量监测 增强安全工具效率传统安全可视化项目企业网络Security ToolSecurity ToolSecurity ToolSecurity Tool无关流量相关流量技盟安全发布平台Security ToolSecurity ToolSecurity ToolSecurity Tool企业网络相关流量 部分可视 无法选择流量 安全工具效率低场景一：看得见才能谈安全技盟数据源交

9、付：数据包物理网络、虚拟网络、容器、云环境采集+优化11应用场景+全流量安全工具 IDS 上网行为 流量取证 旁路DDoS+安全交付平台价值 提升可视范围（东西南北）安全工具不需要考虑格式转换 安全工具减少误报多报 安全工具提升价值+技盟提供 东西向流量 南北向流量 精细过滤 流量优化（去重、标签管理等）流量解密提升安全工具可视性安全交付平台-全面采集，流量优化+特定流量安全工具 DLP 网络准入 WAF，邮件网关等旁路部署+安全交付平台价值 提升可视范围（东西南北）安全工具不需要考虑格式转换 安全工具减少误报多报 安全工具提升价值+技盟提供 东西向流量 南北向流量 精细过滤 流量优化（去重、

10、标签管理等）流量解密 应用过滤提升安全工具可视性安全交付平台-全面采集，应用过滤14虚拟环境可视化东西向流量 可视化呈现能力RemotesitesPublic cloudInternet南/北向 可视化东/西向 可视化Common Common Leaf SwitchLeaf SwitchVMVMVMVMVMVMSERVERHypervisorVMVMVMVMVMVMSERVERHypervisor场景二：数据深度挖掘技盟数据源交付：元数据物理网络、虚拟网络、容器、云环境采集+优化15应用场景元数据需求Top Players:Top Players:Next Tier:Next Tier:Ot

11、hers:Others:+大数据安全分析平台 SIME SoC 态势感知+安全交付平台价值 大数据分析平台提供准确数据源 提供API，实现按需提取数据 减少误报 提升数据分析能力 提升分析效率+技盟提供 Syslog格式 全面流量采集 实时流量转日志 加密流量解密后转换 3200种协议，5500个以上数据元素提供真实准确数据源安全交付平台-元数据元数据生成能力超过5500种以上的数据元素Data CollectorApplicationPresentationSessionTransportNetworkData LinkPhysical+应用细节应用细节应用识别(Salesforce,soc

12、ial media,messaging)应用详情(RDP,SMB,SQL command,ActiveSync User)+应用交易和状态应用交易和状态HTTP URI and response codesDNS Request/ResponsesIMAP/SMTP details+网络和传输层网络和传输层5-元组 细节IP 会话对1819Consuming Application MetadataIPFIX or CEF formats+Identify Security Anomalies using SIEM Integration Suspicious Remote Connectio

13、ns High Privilege User Activity Abnormal Login Activity HTTP Client Errors Rogue DNS and DHCP Servers Weak Cryptography RDP Attacks SMB Attacks Time Window Analysis场景三：提升安全工具防御能力技盟流量编排21应用场景安全交付平台-流量编排T1T2T3T3T3T1T2T3网 络 团 队网 络 团 队最大化可用性和弹性最大化可用性和弹性 简化网络设备部署 最大化工具效率 减少网络故障点 硬件BYPASS 保障网络连通 通过状况检查防备工

14、具失效提升高可用性安 全 团 队安 全 团 队最大化安全敏捷性最大化安全敏捷性 无缝添加，删除，升级工具：降低风险和安全性 灵活将工具从在线模式迁移到旁路模式（反之亦然）轻松检查非对称网络流量 将内联，带外，工具和数据集成到一个通用平台二层安全设备典型的串接部署二层安全设备典型的串接部署痛点痛点 部署复杂效率低 单点故障点多 工具效率低 缺乏安全部署的灵活性 故障排查困难+可编排安全工具 DDoS IPS WAF 垃圾邮件防护 APT+安全交付平台价值 安全工具性能提升 加密流量可视 构建安全资源池 安全工具上线、下线零断网 PoC对生产环境无影响 安全工具故障自动恢复业务+技盟提供 仅安全工

15、具需要的流量 DDoS可提供仅入向流量 WAF仅提供http相关流量 SSL 解密提升安全工具性能安全交付平台-流量编排Inline Bypass:优化inline架构的效率和弹性IPSWAFATPATPATPT1T2T3E.g.WAN routerE.g.FirewallE.g.IPS x2E.g.WAFE.g.ATP x3E.g.Core switch 插槽形式 物理bypass保护1 混合介质/支持1G,10G,40G,100G 逻辑bypass能力2 健康检测 工具故障时触发预设操作4单机,资源池,服务链58UI界面+API 自定义流量编排3Many to 1Many to Many6

16、流量负载逻辑bypassN+1 冗余灵活添加/删除工具ATP=Advanced Threat Protection IPSSSL 加解密72425技盟解决方案与合作伙伴最佳实践：NPM/APM 代表厂商代表厂商:Dynatrace,NetScout,Riverbed 华青、科来、天旦、Sloarwinds等 功能:分析网络性能、应用性能、业务质量等 Gigamon信息梳理平台提供：信息梳理平台提供：全网可视，包含物理网络和虚拟网络 集群技术 Flow-Mapping 专利技术 数据包去重 数据包截短 标签剥离 SSL 解密 应用场景应用场景:任何需要不丢包给到分析工具的场景、全网部署、流量优化

17、。ApplicationSession Filtering433443124业务质量监测NPMAPM26技盟解决方案与合作伙伴最佳实践：IPS,NGFW,DPI 代表厂商代表厂商:Palo Alto,Check Point，深信服，网康，山石等 功能功能:状态检测防火墙功能DPI功能IPS功能等Gigamon信息梳理平台提供：信息梳理平台提供：全网可视，包括分支机构 NetFlow 记录可提供 URL和DNS信息 流量梳理与优化 负载均衡 SSL 解密 失效恢复机制 应用场景应用场景:旁挂部署,SSL 解密,防火墙选型,产品选型测试27技盟解决方案与合作伙伴最佳实践：SI

18、EM/态势感知等平台 代表厂商代表厂商:IBM,HP,SPLUNK,Intel Security(McAfee),LogRhythm 功能:从不同的源收集日志、事件或其它网络数据，关联分析，产生安全及合规报告 Gigamon信息梳理平台提供：信息梳理平台提供：提供更丰富的未取样的数据源 高可扩展性 支持包含 URL/DNS记录的扩展NetFlow 记录 支持CDP SSL 解密 产品联动 应用场景应用场景:已经部署SIEM，需要进行更深入的可视性、安全、审计要求NetworkPerformanceSecurityNetFlowCollectorTraffic DataNetFlow Stats

19、NetFlow GenerationFlow Mapping28技盟解决方案与合作伙伴最佳实践：IPS/IDS 代表厂商代表厂商:Cisco,HP,IBM，启明、绿盟等 功能:对流量进行实时深度安全检测 Gigamon信息梳理平台提供：信息梳理平台提供：按需流量可视 监测模式至在线模式转换 负载均衡 SSL 解密 失效保护 应用场景应用场景:IPS新购升级，扩容，Inline部署IDS模式部署模式部署RouterFirewallSwitchIDSSSLDecryptionTAPServer Rack(Physical/Virtual)IPS模式部署模式部署RouterFirewallSwitc

20、hIPSSSLDecryptionServer Rack(Physical/Virtual)29技盟解决方案与合作伙伴最佳实践：安全网关 代表厂商代表厂商:Email:Cisco,Proofpoint,Web:Zscaler,BlueCoat,WebSense 功能:web 安全,邮件安全，DLP 数据丢失保护 Gigamon信息梳理平台提供：信息梳理平台提供：全网可视，包括虚拟网络和分支机构 通过结合ASF功能，可以优化性能，提高安全检测能力 SSL 解密 应用场景应用场景:安全集中监控,DMZ虚拟化安全监测,分支机构安全监控DLP at remote sitesRouterRouterHQ

21、DatabaseDLPSSL DecryptionTAPBranchApplicationSession Filtering43344312430技盟解决方案与合作伙伴最佳实践：WAF 代表厂商代表厂商:Imperva,fortinet 功能:web 安全防护 Gigamon信息梳理平台提供：信息梳理平台提供：ASF 提供性能优化 Bypass模块提供失效保护 一键转换模式：监测模式转换至在线模式 在线模式可扩展性能 SSL 解密 应用场景应用场景:任何部署WAF的客户.部署WAF担心性能.RouterFirewallSwitchWAFsData Center(Web A

22、ppsl)31技盟解决方案与合作伙伴最佳实践：APT，沙箱等 代表厂商代表厂商:Arbor Networks;Blue Coat;Check Point;Cisco;Cyphort;Damballa;FireEye;Fortinet;General Dynamics;General Dynamics Fidelis Cybersecurity Solutions;Lancope;Lastline;LightCyber;McAfee;Palo Alto Networks;Proofpoint;RSA Security Analytics,Trend Micro;Vectra Networks;W

23、ebsense;Zscaler 功能:其利用一个虚拟沙箱来检测包括企图窃取数据或禁用安全机制在内的恶意行为 Gigamon信息梳理平台提供：信息梳理平台提供：全网可视，包括虚拟化和分支机构 加速在线部署 通过结合AFI功能，可以优化性能，提高安全检测能力 SSL 解密 应用场景应用场景:选型测试、虚拟化内流量需要监测、任何需要部署ATD的项目Email Threat DetectionForensicsVirtualWorkloadsGigaVUE-FMProduction NetworkSecurity 功能Virtual Traffic Policies“REST”APIsInternet

24、IntrusionDetectionSystemData Loss Prevention技盟安全交付平台提供整体优势串接安全SSL 解密MetadataSSL 解密App 内容过滤MetadataSSL 解密App 内容过滤串接安全安全防护GigaSECURE SDP 安全交付平台安全交付平台635241基础安全FirewallSegmentation态势感知及人工智能Artificial IntelligenceCognitive Solutions主动拦截 FirewallIPSRouters大数据分析Big Data Machine LearningEMERGING TECHNOLOGY实时防护态势感知关联分析A U T O M A T E DA U T O M A T E D主动防御R E S T A P I