2011/4/15 道成資訊研討會 道成資訊 張賜賢

1. 無所不能 的 網路安全
『有效協助企業內部網路行為管理』
賽博龍
人員識別管理 新世代防火牆
奕瑞科技 黃茂勳
eden@eraysecure.com.tw
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

2. 無所不能 的 網路安全
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

3. 無所不能 的 網路安全
什麼是
”人員身份識別管理”新世代防火牆
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

4. 無所不能 的 網路安全
舊時代 防火牆 or UTM
一般Firewall 一般Firewall 一般Firewall
驗證條件 授權的政策 相關稽核
電腦
員工 or 來賓? • IP • NAT • 不易解讀的
• Network •允許通訊協定 記錄與報表
• 到達目的地
•允許或阻擋
不知道是誰存取? 沒有安全管理政策? 需要專業知識解讀?
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

5. 無所不能 的 網路安全
Cyberoam Layer 8 的優勢
Cyberoam 人員識別管理 新世代防火牆
Cyberoam Cyberoam Cyberoam
驗證 授權的政策 相關稽核
用戶登入 • User ID • 可登入時間 • 顯示身份的
• IP Address • 網路下載流量限制 記錄與報表
•Network • 安全政策 •可查詢關鍵字
• MAC ID • 網頁內容過濾
• Session ID • 網路應用程式管理
•上述條件Group • QoS頻寬管理
• IM 管控
•掃毒
•防垃圾郵件散播
•政策路由 Policy Route
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

6. 無所不能 的 網路安全
”人員身分識別管理”管理概念
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

7. 無所不能 的 網路安全
傳統式的Wi-Fi 沒有網路分區
• 來賓可存取內部網路
Internet
• 產生資料竊取的風險
• 無法監控網路網路的存取行為
• 網路濫用的風險
• 導致內部中毒
Firewall - Router
Switch
ACME CORPORATION
Wi-Fi Router
分享的網路硬碟 公用 Pre-Shared key
會計/ERP 軟體主機
員工
來賓
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

8. 無所不能 的 網路安全
Cyberoam Wi-Fi 可分割來賓與員工網路存取 達到真正無線分區
 將員工與來賓在網路做區隔
Internet
 Layer 8 驗證技術
 來賓有限制的存取
只可以上網
不能使用內部網路資源
 記錄所有使用者的身分驗證基礎報表
Switch
CR15wi
Layer 8 優勢
ACME Employees
分享的網路硬碟
員工
會計/ERP 軟體主機
來賓 ACME Guest
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

9. 無所不能 的 網路安全
討論主題
■ 一級政府機關 (Gateway Mode)
客戶需求
客戶環境
解決方案
■大型醫學中心 (Bridge Mode)
客戶需求
客戶環境
解決方案
■ MIS的心聲 奕瑞科技聽到了
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

10. 無所不能 的 網路安全
Case 1 : 一級政府機關
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

11. 無所不能 的 網路安全
客戶需求  源起….有一天…..該單位MIS工程師阿男的想法
 把舊有的防火牆換

 主管跟我說，隔壁
打電話去問竟然要
 成UTM好了，但
又到了寫簽呈準備
那個機關的MIS架設
幾百萬?入侵偵測
UTM設備這麼多，
採購防火牆維護費
資安網路環境，得
系統設備、掃毒閘
但哪一家的產品才
用，每年都要花這
到模範表揚，聽說
道還有網頁內容過
能管理“人”，效
些錢，對單位網路
他們主管升簡任了，
濾，哪來的經費啊?
能又好?
保護措施好像沒有
阿男你去問看看要
多大的幫助?!
怎樣把資安網路環
境架設好?
MIS工程師 阿男
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

12. 無所不能 的 網路安全
MIS工程師阿男的壓力
 我已經在想辦法了，
不要再唸了。你知
道現在在幾樓嗎?
我等一下就跳給你
看。
 不要以為裝無辜
就可以解決問題，
快去想想辦法。
出一張嘴主管 小宋
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

13. 無所不能 的 網路安全
真正的解決辦法--Cyberoam
 Cyberoam的專業功
能與奕瑞的服務態度
肯定能協助貴單位解  不要以為裝可愛
決問題。 就可以幫我解決
問題，剛剛搭電
梯你應該知道現
在在幾樓吧。
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

14. 無所不能 的 網路安全
客戶的相關環境
伺服器約 100 部
個人電腦約700部
外部單位電腦約200部
對外網路頻寬30M
MIS阿男對新防火牆期望的管控
防火牆 : 支援多路對外網路
閘道掃毒 : http ftp smtp pop3 imap
入侵偵測 : 對外服務主機的保護
網頁內容過濾 : 禁止IM與P2P使用
禁止上非關上班網站
VPN : 可整合其他外部單位
報表 : 即時與統計報表
HA : 設備持續運作
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

15. 無所不能 的 網路安全
防火牆 : 支援多路對外網路
解決方案 ( Gateway Mode ) 閘道掃毒 : http https ftp smtp pop3 imap
入侵偵測 : 對外服務主機的保護
網頁內容過濾 : 禁止IM與P2P使用
Wan 禁止上非關上班網站
Zone VPN : 可整合其他外部單位
報表 : 即時與統計報表
HA : 設備持續運作
Mobile DMZ
Users Zone
Lan Zone
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

16. 無所不能 的 網路安全
Cyberoam上線後網路管理上遇到的問題
 還好Cyberoam
夠彈性，不然這
麼多需求，我真
的要去跳樓了。
 阿男，對外網路頻
 阿男，幫我開啟
阿男，等一下我
寬不是很大嗎?為什
麼現在網路這麼慢?
MSN，很多長官
要去開資訊安全
你最好找出來誰在
都需要使用。
會議，報表呢?
佔用頻寬?
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

17. 無所不能 的 網路安全
阿男 面對Cyberoam上線後網路管理上遇到的問題
• 想知道誰在佔用頻寬?
• 找到誰佔用頻寬，即時限定頻寬或是阻擋該連線?
• 瀏覽網站排行榜?誰上這些網站?
• 入侵偵測系統的特徵碼，可以自訂我自己需要的規則嗎?
您的問題可能不只這些?
• 面對這些網路攻擊，如何彙整報表給長官知道?
• 開啟特定權限給特殊人員?
•上班有人下載mp3或是玩遊戲，可不可以分群組管控?
• 臨時人員只能允許下載多少流量?設定下載頻寬?
• 多人特定使用單一電腦(IP)，該怎麼管控?
• 客製化的阻擋畫面?
• 需要通過ISO27001 & ISO27005的認證，Log是否可以匯出? 保存時間是否符合
規定?
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

18. 無所不能 的 網路安全
阿男 如何利用Cyberaom解決這些棘手的問題?
 各位觀眾，請看我
大顯神通吧，接下
來的畫面將告訴各
位Cyberoam的彈
性與報表的精密。
時間的彈性
IDP的彈性
IAP的彈性
頻寬管理的彈性
使用者管理的彈性
套用所有功能的彈性
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

19. 無所不能 的 網路安全
時間彈性
定義不同的週期設定，可彈性套用在防火牆、不同
網站、應用程式功能上
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

20. 無所不能 的 網路安全
入侵偵測的彈性
可定義多個入侵偵測政策
各種攻擊特徵碼分類 自行決定要偵測或阻擋
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

21. 無所不能 的 網路安全
網站分類過濾的彈性
內建多個網頁分類過濾政策，也可依需求客製化
自訂不同的網頁類型 關鍵字 URL 都支援
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

22. 無所不能 的 網路安全
應用程式過濾的彈性
支援多種P2P或應用程式，也可以自訂阻擋或允許
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

23. 無所不能 的 網路安全
客製化的阻擋畫面
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

24. 無所不能 的 網路安全
頻寬管理的彈性
多種頻寬Policy可供選擇，亦可以自行定義
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

25. 無所不能 的 網路安全
使用者管理的彈性
可整合多種不同的人員身份資料庫
做到Single Sign On
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

26. 無所不能 的 網路安全
Cyberoam彈性的最終目的 : 讓每個人或群組有自己的Policy
不同的方向性、身分、電腦或群組
不同的服務與時間週期
不同的入侵偵測策略
不同的網頁過濾策略
不同的入侵偵測防禦
不同的即時通訊策略
不同的掃毒策略
不同的頻寬策略
不同的路由策略
要不要記錄
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

27. 無所不能 的 網路安全
設定不複雜 非常簡單的設定概念
設定每一項想要管理 套用到想要管理的物件
的安全策略 Policy
Ex: Ex:
頻寬Policy 電腦 (群組)
程式管理Policy 人員 (群組)
IM管理Policy MAC (群組)
網頁分類Policy 防火牆規則
入侵偵測Policy
掃毒管理Policy
時間管理Policy
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

28. 無所不能 的 網路安全
精密報表
 長官，您想要看的
報表，系統都有內
建，也可以匯出文
字檔與圖形擋，重
點是這是免費的。
 阿男，這真的
是太神奇了。
即時查詢誰在佔用頻寬
瀏覽網站排名
下載流量排名
IDP攻擊排名
病毒報表的統計
遵循規範的報表
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

29. 無所不能 的 網路安全
精密報表系統
各種報表的分類 可查詢某段日期的相關 可匯出多種格
報表 式
不同型態的報表
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

30. 無所不能 的 網路安全
即時發現誰在使用網路
IP 或 使用者 的排行 每個欄位都可以再排序
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

31. 無所不能 的 網路安全
即時發現誰在使用網路
依不同的管理政策 彈性記錄
有無阻擋 或 允許
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

32. 無所不能 的 網路安全
即時發現誰在使用網路
資訊周全 還能篩選 : 使用者、IP、時間、觸犯規則內容
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

33. 無所不能 的 網路安全
瀏覽網站排名
網頁看不慣，可匯出EXCEL、PDF
不是只有Top10，要多少有多少
每個網站點進去還可以看見哪些人曾上過這個網站
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

34. 無所不能 的 網路安全
入侵偵測防禦報表
可依攻擊行為分類產生報表
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

35. 無所不能 的 網路安全
防毒報表 哪些病毒 哪些使用者 哪些網站
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

36. 無所不能 的 網路安全
需要遵循法令的報表? 稽核有什麼好怕的?
提供五種遵循國際標準的報表
照著這些資料印出來，稽核不用怕
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

37. 無所不能 的 網路安全
Case 2 : 大型醫學中心
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

38. 無所不能 的 網路安全
客戶需求  源起….阿男來到了另一個新單位
 上次去聽一場研討
 這裡每個醫生都好
會，建議將網路分
 這裡用的掃毒
大牌，叫他們的NB
 我絕對不是 成三個架構，中間
軟體偵測率好
裝防毒軟體也是為
因為跳樓才 多一層掃毒保護應
低，可是防毒
他們好，偏偏就是
到醫院服務 該至少可買個保險，
軟體合約還有
的!有人忙昏頭沒時間
如果醫生忘記更新
一年才能換。
裝，NB中毒就哇哇
病毒碼，還可以將
叫。 常用的通訊協定做
掃毒，再去找
Cyberoam解決吧。
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

39. 無所不能 的 網路安全
MIS工程師阿男的壓力
 垃圾郵件
太多了，
順便過濾
一下。
 真是見鬼了，
到哪都遇到
你。換你要
拜託我了吧!
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

40. 無所不能 的 網路安全
客戶的相關環境
伺服器約 150 部
個人電腦約2000部
手提電腦約150部
對外網路頻寬60M
MIS阿俊對掃毒牆期望的管控
閘道掃毒 : http ftp smtp pop3
垃圾郵件阻擋 : smtp pop3
入侵偵測 : 對外服務主機的保護
網頁內容過濾 : 禁止IM與P2P使用
禁止上非關上班網站
報表 : 病毒統計報表
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

41. 無所不能 的 網路安全
解決方案 ( Bridge Mode ) 閘道掃毒 : http https ftp smtp pop3 imap
入侵偵測 : 對外服務主機的保護
網頁內容過濾 : 禁止應用程式
禁止IM與P2P使用
禁止上非關上班網站
Router 報表 : 病毒統計報表
Firewall
Users
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

42. 無所不能 的 網路安全
老闆與MIS的心聲
奕瑞科技聽見了
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

43. 無所不能 的 網路安全
Cyberoam CR UTM 硬體型號
 Large Enterprises
- CR 1500i
- CR 1000i
- CR 750ia
- CR 500ia
 Small to Medium Enterprises
- CR 300i
- CR 200i
- CR 100ia
- CR 50ia
 Remote Offices
- CR 35ia
- CR 35wi
- CR 25ia
- CR 25wi
- CR 15wi
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

44. 無所不能 的 網路安全
Cyberoam帶來意想不到的價值
• 落實人員上網行為管控
• 降低學習負擔 : 不用花時間學習多台設備
• 降低建置成本 : 不需購置多台設備達到網路防護
• 降低建置風險 : 不需要整合多款不同的設備
• 完整報表 : 提供完整可靠與可用的訊息
• 彈性管理 : 個別的電腦與使用者套用適當政策
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

45. 無所不能 的 網路安全
您可以放心的Cyberoam
• 掃毒能力 : 史上最強Kaspersky
• 整合能力 : 程式大國 印度 最堅強的支援
• 服務態度 : 奕瑞科技的承諾
• 國際認證 :
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.

46. 無所不能 的 網路安全
Question/Answer Session
在座的各位，
阿男，你真 你們還在等
是太棒了。 什麼，趕快
連絡奕瑞科
技吧!
www.cyberoam.com.tw © Copyright 2010 Elitecore Technologies Ltd. All Rights Reserved.