BLUECOAT 安全WEB网关产品及解决方案
合集下载
BlueCoat介绍 - 应用安全
安全的内容和应用传递市场领导者
– 500+员工; 年销售额$146M – 30,000+ 专用设备交换全球 4,000用户 – 在安全的内容和应用传递市场#1 (IDC)
加速和安全的集成解决方案
3
全球主要机构信任 Blue Coat
Financial Services Health & Pharmaceuticals
建议、指导和强制等高粒度策略能够控制到用户级
– – – –
11
支持过滤数据库以外的自定义分类 定义allow/deny列表、跨越和例外 自定义的splash, disclaimer, exception和 warning页面 在各种环境中提供对User ID的透明认证
应用3:网关防御“间谍软件” 应用 :网关防御“间谍软件”
用户
公网
加速Web内容
– 处理高峰或瞬间通讯 – 处理动态和静态内容 – 减少Web服务器的SSL处理的负载
Blue Coat SG Blue Coat AV
简化操作
– 可扩展的、优化的专用设备 – 性价比超过Web服务器
15
数据中心
Web 服务器
竞争分析
MicroSoft - ISA Server
6
BlueCoat 安全代理专用设备
BlueCoat SG解决方案 – 逻辑功能示意 解决方案企业策略Fra bibliotek理ISS
技术伙伴
SSL 代理
ProxyAV
安全服务 控制策略 代理服务 专用系统
URL过滤 过滤
Web病毒扫描 反间谍软件 病毒扫描
IM, Streaming 和 P2P 控制
带宽管理
策略处理引擎(通过可视化策略管理器 实现) 策略处理引擎(通过可视化策略管理器VPM实现) 实现 用户认证、访问授权、 用户认证、访问授权、日志审计 SGOS 面向对象的操作系统, 面向对象的操作系统,具有高速缓存功能
BluecatSolution解决方案
Bluecat ——保障您的核心基础网络服务Bluecat 公司简介BlueCat公司成立于2001年,总部设在加拿大多伦多,公司在欧洲,北美,南美,澳洲和亚洲均有设立子公司和销售办事处。
目前,BlueCat公司拥有超过300名员工,可365*24为用户提供最专业的基础网络核心服务保障。
BlueCat公司是专注于DDI(DHCP/DNS/IPAM)领域的领先网络管理设备供应商。
BlueCat公司是DDI市场的技术领导者,Bluecat公司在2005年推出了全球第一台IPAM专有硬件平台,2008年第一家支持DNSSEC,2009年率先支持Vmware虚拟化的DDI解决方案,同时也是目前唯一一家支持所有虚拟化解决方案的DDI产品提供商。
Bluecat公司的DDI 解决方案,全面覆盖DDI产品市场,并提供集成化的全面解决方案,连续多年被Gartner 评为“Strong Positive”评级,是无可争议的DDI产品技术领导者。
今天,BlueCat公司和其获奖无数的Proteus IPAM(IP地址管理)平台和Adonis系列的DNS / DHCP设备已经成功部署和满足了包括中小型企业,教育机构,政府,军事,金融服务,零售管理等在内的全球各行各业的需求。
未来,BlueCat公司的使命是向用户提供功能强大的和有预见技术的DNS,DHCP和IPAM(IP地址管理)产品解决方案。
通过产品和技术聚焦,无畏的产品创新和提供业界最好的服务与技术支持,Bluecat将提供智能,简单,可扩展的DNS,DHCP和IPAM的解决方案,使企业降低IT管理成本,加速新IP业务的推出,更好的管理不断发展和变化的企业网络。
一、网络基础服务综述互联网的出现,笔记本、手机、IPAD等移动终端的发明,WEB2.0的发展,使得企业的工作和业务模式也越来越依托于自己的IT网络。
然而,随着IP网络的爆炸性增长和依赖于IP 的各种移动设备的大量普及,在不增加IT人员和成本的前提下,传统的电子表格,手工流程和自主开发的解决方案无法跟上和适应企业IT的迅速发展,企业很难完善的管理他们不断增长的IT网络基础服务和各种移动终端的流动性IP需求。
BlueCoat被Gartner评为安全网关魔力象限“领导者”
行一次 h a s h 运算 , 看看是否 等于 此 c o o ie k 。如果相等 , 直接完
成3 次握手 ;
③ 增加最大半连 接数 ,通过适 当增大未连接队列空间也 可以缓解这种压 力; ④ 缩短超时时间
通 过 缩短 重传 超 时 时 间 ( 一般 是第一次重传超时时 间) 和
技 术 论 坛
计 算 机 粤 网 络 创 新 生 活
6 1
通过 分析 抓获 的 T C P 数 据 包 , 可 以 发 现 大 量 序列号 ) 给 客户 端 , 如果收到客户端 的 AC K包 , 服务器将客户 S YN RC V D 的 半 连 接 ,由 此可 以证 明 系统 遭 到 了 S Y N F l o o d 端的 A C K序列号减去 1 得到 c o o ie k 比较值 , 并将 上 述 要 素 进
【 2 l 杨 段 生, 王 松. 基 于 网络 攻 击 的 几 种 典 型 方 式及 其 安 全 防
范对策[ J ] . 楚雄师范学院学报, 2 0 0 4 ( 1 9 ) 3 : 1 4 —1 8 .
【 3 】 李 鹏, 王绍棣, 王汝传. 网络主动攻击核心技 术研 究与实现
Ⅱ 】 . 信 息安 全 与通 信 保 密 , 2 0 0 7 ( 3 ) : 1 1 3 — 1 1 5 .
c o o k i e 。当服 务器遭 受 S Y N 攻击使得 b a c k l o g队列满时 , 服务
器并不拒 绝新 的 S YN 请 求 , 而 是 回复 c o o k i e ( 回复包 的 S YN
研 究o 1 . 计算机 安全, 2 0 0 9  ̄) : 4 4 - 4 6 .
5防御 S Y N攻 击的方法
Bluecoat 代理、缓存解决方案
Blue Coat公司简介
• 成立于1996年,专注于Web加速(Acceleration)
– – 加速Web应用…加速互联网应用 创新的代理缓存专用设备,含并行对象获取、自适应主动更新等专利技术
•
2002年扩展Web安全及策略控制(Policy Control & Security)
– 高性能引擎及丰富的策略架构使Web活动可见,从而控制用户、内容、及应用
• 由于不能理解应用,因此不能预防或发现常用 的钓鱼技术
传统的URL过滤不能防止带宽滥用
• 不足的方面…
– 屏蔽了对业务有用的内容 – 在阻挡P2P、Skype、流媒体视频URL等 方面不够有效 – 不能根据应用进行带宽整形或带宽管理
一句话,解决方案应该是…
“Dynamic”
具备动态特征的体系= 最高程度的覆盖面
剖析网页
•一个网页由多个Object组成
•Object由URL指定
并行获取技术(Pipelining) CacheOS 的对象 Pipelining
TM
2sec
After parsing After parsing
7.25sec
Internet
基于对象的存储——专为缓存而设计
•高负载下快速磁盘访问
1. 企业用户访问URL 2. Blue Coat SG 利用 本地的BCWF 评估 URL,其中的94%能在 不到8ms内完成 3. 前一天夜里分类过的URL可在 70ms内评估完成 Internet
BCWF
4. 98+% 的未分类 不良站点由DRTR 进行分类,一般情况 下不到 <200ms
Local BCWF
Source: Gartner
bluecoat操作手册
策略选项
策略执行次序
(越前面优先级越低)
上移 下移
缺省策略设置
跟踪所有策略执行 (用于Debugging)
跟踪策略执行
start transaction
CPL Evaluation Trace: <Proxy>
MATCH:
MATCH:
authenticate(islandldap)
ALLOW condition=realstreams condition=GROUP2
分组号 越小优先级越高,高 优先级的Gateway全部失 效,才选用低优先级的
Gateway编辑界面 :由New和Edit生 成
Gateway的IP地址
权重:按权重 比例分配负载
静态路由配置
选择静态路由设置方式
URL 本地文件 文本编辑 安装 显示路由表 显示源路由设置文件
静态路由表是一个文本文件,每行包含:IP地址、子网掩码、网关IP, 例如:192.168.1.0 255.255.255.0 192.168.1.1
改变浏览器提示
直接设定Proxy IP 使用SG中缺省的PAC文 件进行Proxy设置 使用加速的PAC文件进 行Proxy设置 使用URL指定的PAC文 件进行代理设置
用户端浏览器配 置建议
PAC文件
•Default PAC file, URL: https://x.x.x.x:8082/proxy_pac_file
Policy Files:策略文件,所 有策略配置均在系统中对应 到一个策略文件,该选项包 括对文件方式的配置和备份 、恢复等 Visual Policy Manager:可 视化策略管理器,通过可视 化界面配置访问控制策略
BLUECOAT 安全WEB网关产品及解决方案
12
高效的加速 ——基于对象的CACHE
高负载下快速磁盘访问
– – – – URL Hash表 一次磁盘I/O实现对象的存取 连续存储无碎片 无需硬盘交换
Logo.gif
Arc.gif
访问频率记忆
– 90%左右从内存直接提供
Watch.gif
Logo.gif Watch.gif Arc.gif Text.gif
非标准协议的应用均能够通过HTTP、Socks或TCP Tunnel (透明方式下)实现代理上网
Blue Coat Confidential – Internal Use Only Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 10
ICAP ICAP+ S-ICAP
ProxyClient
Internet
ProxySG
BlueCoat URL 过滤
安全方面的认证
ICAP S-ICAP
统一报表
• Blue Coat • SurfControl • Websense • Smartfilter • Envision
FIPS 140-2 EAL2 NIST
领先的企业客户声誉
15,000 个客户 占据安全 Web 网关领域内 44% 的市场份额* 在 Fortune® 全球 500 强企业 以及一级服务提供商及电信公 司中,86% 都是长期的老 客户
差异化的资产和经验
开放、基于策略的结构,同类 最佳的解决方案
全球超过 2,000 个渠道合作 伙伴
通过ICSA安全认证的代理专用设备,意味着Blue Coat SG不需防火 墙来保护
BlueCoat荣获由IPv6论坛颁发的IPv6应用解决方案先锋奖
1令 方案 … . 算 机 应 用研 究 , 09 2 () 7 67 8 : 3 计 2 0 ,6 3: 1- 1 .
各 不相 同且 不重 复 , 证 了 每 次 传 输 的 认 证 数 据 不相 同 , 以 保 所
攻 击 者 重放 已经截 获 的信 息 也 无法 进 行 重 放 攻击 。
案 先锋 奖 。BleCo t P 6W 实 现 应 用 、 务 和 内 容 服 在 Iv P 4和 I v 环 境 下 的安 全 和 无缝 迁 P6 移。 因此 企 业 能 够 在 不 影 响 业 务 连续 性 的 情 况下 部 署 Iv 。 P 6
( 新 方 案 在 整 个 验 证 过程 中 传 送 的 信 息 经 过 密 钥 加 密 2)
【】 滨 , 远 洋. 6王 张 一次 性 口令 身份 认 证 方案 的分 析 与 改进
【】 计 算机 工程 , 0 63 (4 :4 - 5. J. 20 ,2 1) 19 1 0 【] 7 司渐 美, 晨 辉 , 刚. 程 动 态 口令 认证 方案 的 研 究 与改 金 刘 远 进 … . 算机 应 用 与 软件 ,0 82 ( . 计 2 0, 59 )
防 止 重 放 攻 击 , 且 能 够抵 御 冒充 服 务 器 攻 击 , 传 输 的信 息 而 对
后 将 步骤 ( 中使 用 服 务器 公 钥 对 T 解 密 的 内容 中取 出 Ro计 2)
进 行 保护 等 功 能 。
算 Vt i w1 o , e’ ( R ) 生成 D =E K (e' e1 并 将 D = P 1 S p Vr Vr), ,
、
【】 4 孟艳 红, 李雅 红 , 静 . 种 简单 的远 程 动 态 口令 认证 方案 黄 一 [】 沈 阳工业 大学 学报 , 05 2 ( : 47 . J. 2 0, 7 1 7 - 6 )
各 不相 同且 不重 复 , 证 了 每 次 传 输 的 认 证 数 据 不相 同 , 以 保 所
攻 击 者 重放 已经截 获 的信 息 也 无法 进 行 重 放 攻击 。
案 先锋 奖 。BleCo t P 6W 实 现 应 用 、 务 和 内 容 服 在 Iv P 4和 I v 环 境 下 的安 全 和 无缝 迁 P6 移。 因此 企 业 能 够 在 不 影 响 业 务 连续 性 的 情 况下 部 署 Iv 。 P 6
( 新 方 案 在 整 个 验 证 过程 中 传 送 的 信 息 经 过 密 钥 加 密 2)
【】 滨 , 远 洋. 6王 张 一次 性 口令 身份 认 证 方案 的分 析 与 改进
【】 计 算机 工程 , 0 63 (4 :4 - 5. J. 20 ,2 1) 19 1 0 【] 7 司渐 美, 晨 辉 , 刚. 程 动 态 口令 认证 方案 的 研 究 与改 金 刘 远 进 … . 算机 应 用 与 软件 ,0 82 ( . 计 2 0, 59 )
防 止 重 放 攻 击 , 且 能 够抵 御 冒充 服 务 器 攻 击 , 传 输 的信 息 而 对
后 将 步骤 ( 中使 用 服 务器 公 钥 对 T 解 密 的 内容 中取 出 Ro计 2)
进 行 保护 等 功 能 。
算 Vt i w1 o , e’ ( R ) 生成 D =E K (e' e1 并 将 D = P 1 S p Vr Vr), ,
、
【】 4 孟艳 红, 李雅 红 , 静 . 种 简单 的远 程 动 态 口令 认证 方案 黄 一 [】 沈 阳工业 大学 学报 , 05 2 ( : 47 . J. 2 0, 7 1 7 - 6 )
Bluecoat产品介绍
Blue Coat 产品套件获得全面的应用可视性、加速及安全性您是否需要随时随地为用户交付应用?Blue Coat 应用交付网络 (ADN) 基础架构可以帮助您满足员工的各类需求。
借助应用交付网络,您可以在分布式企业中交付快速、安全且可用的应用,同时控制不断增加的网络管理成本应用程序性能监控、广域网优化与安全 Web 网关技术于一身,可为您提供用户和应用性能的全面可视性和控制能力。
因此,您可以交付出色的关键应用和信息,以便在竞争极其激烈的全球经济环境下获得成功。
应用交付网络是一个 IT 基础层,可以在任意网络上随时随地优化和保护所有用户的信息流。
应用交付网络集应用程序性能监控、广域网优化与安全 Web 网关技术于一身,可为您提供用户和应用性能的全面可视性和控制能力因此,您可以交付出色的关键应用和信息,以便在竞争极其激烈的全球经济环境下获得成功了解更多信息,请点击下面的链接或阅读产品概述手册Blue Coat ProxySGBlue Coat帮助企业保持“好”员工不在互联网上做“坏”事。
Blue Coat公司专注于提供安全的代理专用设备,提供互联网访问的可见性,并据此管理Web通讯,以保护企业网络免受间谍软件侵害的风险,并且能防止员工访问不合适的网页、不恰当地使用即时通讯工具、滥用流媒体及点对点文件下载,从而提高Web的安全及性能。
Blue Coat专用代理设备的使用量已超过20000台,已被许多世界上最具影响力的组织和机构所信任。
Blue Coat全球总部设于美国硅谷的Sunnyvale,成立于1996年。
市场随着企业越来越依赖于互联网与客户、合作伙伴和员工进行通讯,Blue Coat具有巨大的成长机遇。
Web浏览器已成为关键的业务通讯和信息交流的通用工具,但它同时也增加了企业的安全风险,如:∙由于间谍软件导致PC崩溃使支持中心的服务量大幅增加;∙由于员工访问不恰当的Web内容而导致生产力降低及潜在的法律风险;∙由于个人Web邮件的使用,使病毒出入网络有了新的“后门”;∙P2P和流媒体的滥用耗尽了网络的带宽;∙员工工作效率的下降;当企业内所有用户都使用Web浏览器时,不管是有意还是无意,每个用户都有可能而且有办法去访问一些对企业网络基础设施有害的内容。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Sanboxing(沙盒) 安全威胁扫描
WebPulse w/BCWF
用户登录 • SSO w/I.E. 6 and up
ProxyAV,CAS 安全威胁扫描
上网内容缓存加速
企业 内网 SSL 通信监控
• Certificate Emulation • HW Acceleration • Decryption for ICAP & DLP
7
PROXY SG介绍
真正的代理专用设备
SGOS不是出自 Windows或Unix通用系统
– 无需加固,无需补丁
– 没有安全方面的隐患
– 冷启动<60秒,热启动<10秒
安全的、面向对象的专用操作系统
– 基于对象的存储(比文件系统快三倍以上,高流量时性能平稳) – 自适应的主动更新算法(保持缓存内容最新) – 对象并行获取技术(解决浏览器会话数限制) – 高速策略处理引擎,集成安全功能
反向代理解决方案
Blue Coat Confidential – Internal Use Only
Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
6
PROXY SG工作模式及部属方式
指定代理(Explicit Proxy)
通过ICSA安全认证的代理专用设备,意味着Blue Coat SG不需防火 墙来保护
Blue Coat Confidential – Internal Use Only Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 8
用户认证与授权
ASP
Blue Coat SG
Corporate Network
External Apps
• • • • • •
代表用户管理SSL会话 进行证书管理和鉴定 终止所有进入Proxy的SSL会话 确定和检查所有SSL通讯内容 运用相应的安全控制和策略 加速SSL性能
Internal Users
Blue Coat SG Restores IT Visibility and Control and Makes SSL Safe Again
3
代理构架基础上WEB应用安全、高速解决方案
统计报表
云安全
防病毒/木马,沙盒
数据信息 防泄漏
传输优化、加速
Kaspersky McAfee Panda Sophos
Bandwidth Mgmt Protocol Optimiz. Caching/Acceler. Stream Splitting
WebFilter
2sec
After parsing
After parsing
7.25sec
Internet
Blue Coat Confidential – Internal Use Only
Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
14
BLUE COAT 解决SSL问题
Proxy ip
Transparent (dest-ip=OCS)
Proxy, Transparent or
Send Client IP (IP Spoofing)
Blue Coat Confidential – Internal Use Only
Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
非标准协议的应用均能够通过HTTP、Socks或TCP Tunnel (透明方式下)实现代理上网
Blue Coat Confidential – Internal Use Only Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 10
12
高效的加速 ——基于对象的CACHE
高负载下快速磁盘访问
– – – – URL Hash表 一次磁盘I/O实现对象的存取 连续存储无碎片 无需硬盘交换
Logo.gif
Arc.gif
访问频率记忆
– 90%左右从内存直接提供
Watch.gif
Logo.gif Watch.gif Arc.gif Text.gif
精细的WEB访问控制策略
精细的WEB访问策略触发机制
• 用户源IP、网段;目标IP、网段 • 用户名、分组、认证域 • HTTP请求头的特征(如:浏览器版本、“木马” 传输特征等) • HTTP应答头的特征(如:对各种Spoofing的检测) • 目标URL、域 • 网站(URL)分类(针对全球网站的80个分类,覆 盖50种语言) • Web应用及操作 • 访问的内容类型 • 客户端通讯协议 • 访问时间 • 用户登入次数 • 相关系统的健康检查结果 • …………
Text.gif
System Data
Blue Coat Confidential – Internal Use Only Copyright © 2013 Blue Coat Systems Inc. All Rightห้องสมุดไป่ตู้ Reserved. 13
高效的加速
并行获取技术(Pipelining)
Blue Coat Confidential – Internal Use Only Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 15
过滤 WEB 内容
Blue Coat WebFilter
– 覆盖面、准确性、和动态URL过滤引擎
Blue Coat SG内容检测和控制
– – – – – 限制信息上传 检查/改写/禁止协议头信息 控制 MIME 类型和文件后缀 剔除和替换动态内容 对协议实施方法级控制
Blue Coat WebFilter on Blue Coat SG combines high-quality URL filtering and comprehensive web content controls for unmatched performance and security.
ProxyClient
安全Web网关/代理服务器: 策略 性能
认证
单点控制
ProxySG
Blue Coat Confidential – Internal Use Only
Director
Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 4
BLUECOAT 安全WEB网关产品及解决方案
Blue Coat Confidential – Internal Use Only
Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
1
今天的BLUE COAT
确立的市场地位
全球 32 个国家,1,300 多位 员工
Blue Coat Confidential – Internal Use Only
DLP 数据泄露防护 (even HTTPS)
Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 5
代理构架基础上WEB应用安全、高速解决方案
正向代理解决方案
强健的用户认证支持
– 支持和所有主流的用户认证服务器集成,实现用户认证和授权 – IWA、LDAP、RADIUS、Local、Certificate、Sequences、CA eTrust SiteMinder、 Oracle COREid™ 、策略替代、 Novell – 支持和Microsoft域及Novell认证域集成的单点登录(SSO), – 支持多重认证域的集成 – 支持基于Form的验证,方便企业定制化用户认证页面 – 基于IP、Cookie和基于Session认证
全球高级威胁及情报网络– 全球每天 10 亿多个请求 全球统一的内部部署及云服务
全面洞察网络及应用
大数据安全情报与分析的主要 供应商,提高威胁保护。 132 项已授权专利,63 项正 在申请中的专利
Blue Coat Confidential – Internal Use Only
ICAP ICAP+ S-ICAP
ProxyClient
Internet
ProxySG
BlueCoat URL 过滤
安全方面的认证
ICAP S-ICAP
统一报表
• Blue Coat • SurfControl • Websense • Smartfilter • Envision
FIPS 140-2 EAL2 NIST
– 浏览器配置ProxySG的IP或Hostname为代理 – PAC 文件: 脚本自动配置 – 自动探测(通过DNS 或DHCP)
透明代理(Transparent Proxy)
– 透明网桥(串接) – 策略路由、WCCP(单臂) – 缺省网关(单臂或串接)
Explicity Proxy (dest-ip=SG)
Blue Coat Confidential – Internal Use Only
Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
9
完整的代理支持
完整的Proxy支持
– 标准的HTTP、SOCKS(v4/v5)代理 – HTTPS