Download - Sec.4 有效協助企業內部網路行為管理-奕瑞 eden
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
『有效協助企業內部網路行為管理』 賽博龍
人員識別管理 新世代防火牆
奕瑞科技 黃茂勳 [email protected]
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
什麼是
”人員身份識別管理”新世代防火牆
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
舊時代 防火牆 or UTM
一般Firewall 驗證條件
• IP
• Network
一般Firewall 授權的政策
• NAT
•允許通訊協定 • 到達目的地 •允許或阻擋
一般Firewall 相關稽核
• 不易解讀的 記錄與報表
電腦
員工 or 來賓?
不知道是誰存取? 沒有安全管理政策? 需要專業知識解讀?
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
Cyberoam 人員識別管理 新世代防火牆
用戶登入
Cyberoam
驗證
• User ID
• IP Address
•Network
• MAC ID
• Session ID
•上述條件Group
Cyberoam
授權的政策
• 可登入時間 • 網路下載流量限制 • 安全政策 • 網頁內容過濾 • 網路應用程式管理 • QoS頻寬管理 • IM 管控 •掃毒 •防垃圾郵件散播 •政策路由 Policy Route
Cyberoam
相關稽核
• 顯示身份的 記錄與報表 •可查詢關鍵字
Cyberoam Layer 8 的優勢
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
”人員身分識別管理”管理概念
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
傳統式的Wi-Fi 沒有網路分區
Internet
Firewall - Router
Wi-Fi Router
員工
來賓
會計/ERP 軟體主機
分享的網路硬碟 公用 Pre-Shared key
Switch
• 來賓可存取內部網路
• 產生資料竊取的風險
• 無法監控網路網路的存取行為
• 網路濫用的風險
• 導致內部中毒
ACME CORPORATION
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
Cyberoam Wi-Fi 可分割來賓與員工網路存取 達到真正無線分區
Internet
Switch
CR15wi
員工
將員工與來賓在網路做區隔
Layer 8 驗證技術
來賓有限制的存取
只可以上網
不能使用內部網路資源
記錄所有使用者的身分驗證基礎報表
Layer 8 優勢
來賓 ACME Guest
ACME Employees
會計/ERP 軟體主機
分享的網路硬碟
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
討論主題
■ 一級政府機關 (Gateway Mode) 客戶需求 客戶環境 解決方案
■大型醫學中心 (Bridge Mode) 客戶需求 客戶環境 解決方案
■ MIS的心聲 奕瑞科技聽到了
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
Case 1 : 一級政府機關
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
客戶需求 源起….有一天…..該單位MIS工程師阿男的想法
又到了寫簽呈準備採購防火牆維護費用,每年都要花這些錢,對單位網路保護措施好像沒有多大的幫助?!
打電話去問竟然要幾百萬?入侵偵測系統設備、掃毒閘道還有網頁內容過濾,哪來的經費啊?
主管跟我說,隔壁那個機關的MIS架設資安網路環境,得到模範表揚,聽說他們主管升簡任了,阿男你去問看看要怎樣把資安網路環境架設好?
把舊有的防火牆換成UTM好了,但UTM設備這麼多,但哪一家的產品才能管理“人”,效能又好?
MIS工程師 阿男
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
MIS工程師阿男的壓力
不要以為裝無辜就可以解決問題,快去想想辦法。
出一張嘴主管 小宋
我已經在想辦法了,不要再唸了。你知道現在在幾樓嗎?
我等一下就跳給你看。
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
真正的解決辦法--Cyberoam
不要以為裝可愛就可以幫我解決問題,剛剛搭電梯你應該知道現在在幾樓吧。
Cyberoam的專業功能與奕瑞的服務態度肯定能協助貴單位解決問題。
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
伺服器約 100 部
個人電腦約700部
外部單位電腦約200部
對外網路頻寬30M
客戶的相關環境
MIS阿男對新防火牆期望的管控
防火牆 : 支援多路對外網路
閘道掃毒 : http ftp smtp pop3 imap
入侵偵測 : 對外服務主機的保護
網頁內容過濾 : 禁止IM與P2P使用 禁止上非關上班網站
VPN : 可整合其他外部單位
報表 : 即時與統計報表
HA : 設備持續運作
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
解決方案 ( Gateway Mode )
Mobile
Users
DMZ
Zone
Wan
Zone
Lan Zone
防火牆 : 支援多路對外網路
閘道掃毒 : http https ftp smtp pop3 imap
入侵偵測 : 對外服務主機的保護
網頁內容過濾 : 禁止IM與P2P使用 禁止上非關上班網站
VPN : 可整合其他外部單位
報表 : 即時與統計報表
HA : 設備持續運作
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
Cyberoam上線後網路管理上遇到的問題
阿男,幫我開啟MSN,很多長官都需要使用。
還好Cyberoam
夠彈性,不然這麼多需求,我真的要去跳樓了。
阿男,等一下我要去開資訊安全會議,報表呢?
阿男,對外網路頻寬不是很大嗎?為什麼現在網路這麼慢?你最好找出來誰在佔用頻寬?
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
• 想知道誰在佔用頻寬?
• 找到誰佔用頻寬,即時限定頻寬或是阻擋該連線?
• 瀏覽網站排行榜?誰上這些網站?
• 入侵偵測系統的特徵碼,可以自訂我自己需要的規則嗎?
• 面對這些網路攻擊,如何彙整報表給長官知道?
• 開啟特定權限給特殊人員?
•上班有人下載mp3或是玩遊戲,可不可以分群組管控?
• 臨時人員只能允許下載多少流量?設定下載頻寬?
• 多人特定使用單一電腦(IP),該怎麼管控?
• 客製化的阻擋畫面?
• 需要通過ISO27001 & ISO27005的認證,Log是否可以匯出? 保存時間是否符合規定?
阿男 面對Cyberoam上線後網路管理上遇到的問題
您的問題可能不只這些?
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
阿男 如何利用Cyberaom解決這些棘手的問題?
各位觀眾,請看我大顯神通吧,接下來的畫面將告訴各位Cyberoam的彈性與報表的精密。
時間的彈性
IDP的彈性
IAP的彈性
頻寬管理的彈性
使用者管理的彈性
套用所有功能的彈性
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
時間彈性
定義不同的週期設定,可彈性套用在防火牆、不同網站、應用程式功能上
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
入侵偵測的彈性 自行決定要偵測或阻擋 各種攻擊特徵碼分類
可定義多個入侵偵測政策
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
網站分類過濾的彈性
內建多個網頁分類過濾政策,也可依需求客製化
自訂不同的網頁類型 關鍵字 URL 都支援
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
應用程式過濾的彈性
支援多種P2P或應用程式,也可以自訂阻擋或允許
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
客製化的阻擋畫面
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
頻寬管理的彈性
多種頻寬Policy可供選擇,亦可以自行定義
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
使用者管理的彈性 可整合多種不同的人員身份資料庫 做到Single Sign On
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
Cyberoam彈性的最終目的 : 讓每個人或群組有自己的Policy
不同的方向性、身分、電腦或群組
不同的服務與時間週期
不同的入侵偵測策略
不同的網頁過濾策略
不同的入侵偵測防禦
不同的即時通訊策略
不同的掃毒策略
不同的頻寬策略
要不要記錄
不同的路由策略
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
設定不複雜 非常簡單的設定概念
設定每一項想要管理 的安全策略 Policy Ex: 頻寬Policy 程式管理Policy IM管理Policy 網頁分類Policy 入侵偵測Policy 掃毒管理Policy 時間管理Policy
套用到想要管理的物件 Ex: 電腦 (群組) 人員 (群組) MAC (群組) 防火牆規則
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
精密報表 長官,您想要看的報表,系統都有內建,也可以匯出文字檔與圖形擋,重點是這是免費的。
即時查詢誰在佔用頻寬 瀏覽網站排名 下載流量排名 IDP攻擊排名 病毒報表的統計 遵循規範的報表
阿男,這真的是太神奇了。
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
精密報表系統
可匯出多種格式
可查詢某段日期的相關報表
各種報表的分類
不同型態的報表
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
即時發現誰在使用網路 IP 或 使用者 的排行 每個欄位都可以再排序
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
即時發現誰在使用網路
依不同的管理政策 彈性記錄 有無阻擋 或 允許
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
即時發現誰在使用網路
資訊周全 還能篩選 : 使用者、IP、時間、觸犯規則內容
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
瀏覽網站排名
每個網站點進去還可以看見哪些人曾上過這個網站 網頁看不慣,可匯出EXCEL、PDF
不是只有Top10,要多少有多少
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
入侵偵測防禦報表
可依攻擊行為分類產生報表
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
防毒報表 哪些病毒 哪些使用者 哪些網站
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
需要遵循法令的報表? 稽核有什麼好怕的?
提供五種遵循國際標準的報表 照著這些資料印出來,稽核不用怕
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
Case 2 : 大型醫學中心
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
客戶需求 源起….阿男來到了另一個新單位
我絕對不是因為跳樓才到醫院服務的!
這裡用的掃毒軟體偵測率好低,可是防毒軟體合約還有一年才能換。
這裡每個醫生都好大牌,叫他們的NB裝防毒軟體也是為他們好,偏偏就是有人忙昏頭沒時間裝,NB中毒就哇哇叫。
上次去聽一場研討會,建議將網路分成三個架構,中間多一層掃毒保護應該至少可買個保險,如果醫生忘記更新病毒碼,還可以將常用的通訊協定做掃毒,再去找Cyberoam解決吧。
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
MIS工程師阿男的壓力
垃圾郵件太多了,順便過濾一下。
真是見鬼了,到哪都遇到你。換你要拜託我了吧!
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
伺服器約 150 部
個人電腦約2000部
手提電腦約150部
對外網路頻寬60M
客戶的相關環境
MIS阿俊對掃毒牆期望的管控
閘道掃毒 : http ftp smtp pop3
垃圾郵件阻擋 : smtp pop3
入侵偵測 : 對外服務主機的保護
網頁內容過濾 : 禁止IM與P2P使用 禁止上非關上班網站
報表 : 病毒統計報表
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
解決方案 ( Bridge Mode )
Users
Router
Firewall
閘道掃毒 : http https ftp smtp pop3 imap
入侵偵測 : 對外服務主機的保護
網頁內容過濾 : 禁止應用程式
禁止IM與P2P使用 禁止上非關上班網站
報表 : 病毒統計報表
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
老闆與MIS的心聲 奕瑞科技聽見了
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
Cyberoam CR UTM 硬體型號
Large Enterprises
- CR 1500i
- CR 1000i
- CR 750ia
- CR 500ia
Small to Medium Enterprises
- CR 300i
- CR 200i
- CR 100ia
- CR 50ia
Remote Offices
- CR 35ia
- CR 35wi
- CR 25ia
- CR 25wi
- CR 15wi
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
Cyberoam帶來意想不到的價值
• 落實人員上網行為管控
• 降低學習負擔 : 不用花時間學習多台設備 • 降低建置成本 : 不需購置多台設備達到網路防護
• 降低建置風險 : 不需要整合多款不同的設備
• 完整報表 : 提供完整可靠與可用的訊息
• 彈性管理 : 個別的電腦與使用者套用適當政策
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
您可以放心的Cyberoam
• 掃毒能力 : 史上最強Kaspersky
• 整合能力 : 程式大國 印度 最堅強的支援
• 服務態度 : 奕瑞科技的承諾
• 國際認證 :
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.
無所不能 的 網路安全
阿男,你真是太棒了。
在座的各位,你們還在等什麼,趕快連絡奕瑞科技吧!
Question/Answer Session