IDP解决方案.docx

IDP解决方案.docx

《IDP解决方案.docx》由会员分享，可在线阅读，更多相关《IDP解决方案.docx（19页珍藏版）》请在冰豆网上搜索。

IDP解决方案

XXX

应用网站安全保护建议

一、背景资料

XXX应用网站承担…

目前，网站没有设置基本的保护…

二、面临的挑战及应对建议

近两年来，来自每一个方面的资料显示出一个非常明显的结论，企业网络受到的内外威胁，尤其是导致网络和应用系统瘫痪的恶性事件，大部分来自于应用层的攻击，例如病毒、蠕虫和黑客攻击。

如何解决来自应用层威胁的问题，已经成了每一个需要实施网络安全系统的用户首先必须考虑解决的问题。

传统的网络防火墙主要解决：

（1）网络二到四层的攻击和威胁问题；

（2）安全区域的划分和隔离；（3）地址转换（NAT）；等问题。

虽然有部分厂商的防火墙引入了应用层检测技术（目前最常用和成熟的技术是DI------深层检测技术），但是受产品原型设计技术和硬件平台性能的限制，在相当长的一段时间内，防火墙产品还不能完全承担应用层的检测和保护重担，而且最终的产品功能还是要在应用层增加独立的防护系统。

（以下的比较表格可以了解）。

面对目前最为头痛和急需应付的应用层威胁问题，应用网站应该在网络应用模式允许的情况下，在保证二到四层的防护基本具备的前提下，首先考虑实施应用层的保护系统，建议选用目前业内最为成熟的应用层保护系统—Juniper公司的IDP产品。

三、应用层保护系统的选择

保护应用网站的关键是在网站的出入口实施相应的应用层网络安全控制系统，该系统在网络的出入口最大可能地实现：

（1）拦截对网站构成严重威胁的恶意访问（包括未授权访问）；

（2）防止拒绝服务（DoS）攻击；

（3）遏制和隔离病毒/蠕虫等恶意流量的攻击；

（4）识别和拦截应用攻击；

（5）防止非善意的网络侦察；

（6）监控进出网站的访问和流量；

（7）迅速定位来自内部的恶意流量源和未授权访问发起点。

1、应用层保护系统应该具备的技术和条件

根据网站应用层保护系统（或俗称应用层防火墙）需要实现的目标，无论从功能上或技术上，应用层保护系统应该具备以下一些条件：

（1）可以解读、分析网络层和应用层形态的网络流量数据包，使之具备检查应用层数据的基本能力，同时也可以分析网络层数据；

（2）针对应用层数据报特征的多种检测技术——多重检测技术：

数据包状态签名技术和及时的更新提供

应用层协议异常检查技术

网络数据流量异常检查技术

后门检测技术

网络蜜罐引诱（反侦察）技术

网络哄骗检测技术

第二层攻击检测技术

同步泛洪检测技术

混合式攻击检测技术

（3）可以不断更新和数量足够多的应用数据匹配特征库，并且提供客户化的匹配特征用户定制能力；

（4）优化的策略设置功能，强大的事件跟踪和记录功能，为使用者提供完善的分析数据和报告。

2、选择JuniperIDP

无论从应用的要求、产品和功能的成熟程度，或者是技术先进性的角度考虑，选择Juniper网络公司的IDP作为网站的保护系统是最为合适的选择。

理由之一：

Juniper公司的IDP在业界内有多个“第一”，如下：

1st–Securitydevicethatdetectsandpreventsattackbydroppingmaliciouspackets

1st–Multi-MethodDetection（MMD）maximizesattackdetectionwithinasingleproduct

1st–StatefulSignatureDetection（SSD）lookforattacksinrelevanttraffictoreducefalsealarms

1st–Centralized,Rule-basedManagementforanIntrusionDetectionSolution

1st–SupportofAllInstantMessagingProtocolstoProtecttheNetworkfromPotentialExploits

理由之二：

JuniperIDP在所有同类产品的竞争对手中，是最为用户接受的产品，因此也就拥有最多的用户，如下第三方的统计报告结果：

JuniperNetworks–1stintermsofunitsshipped（Source:

Infonetics,8/04）

在过去的一个季度，全球用户购买使用的每100台攻击防护系统中，有37台来自Juniper公司的IDP。

理由之三：

IDP在保护应用网站方面，具有传统防火墙不可比拟的优势，如下表：

比较项

IDP

防火墙

说明

工作模式

4种

3种

工作OSI层次

2～7层

2～4层

signature是否开放式

是

否

开放模式的signature允许客户查看、修改并触发响应方式

signature允许客户定制

是

否

客户可以根据自己的需求来定制Signature

可集中管理

是

否

IDPManager可以管理10台以上IDP

管理模式

3层

1层

网络实时监控能力

强

一般

IDP可以解读100种应用层协议，并且有很强的日志记录功能，在做网络保护同时，是一个非常理想的网络实时监控和事件收集系统

报表

多、丰富

少

signature定义的准确性

高

低

IDP的context定义有100种以上的选项，而FireWall只有20来种

signature的数目

>2000

<1000

检测技术

8+1种

2种

P2P及时协议的检测

全部

部分

FireWall只能关闭相应的端口

高可用性－HA

是

是

高可用性－Cluster

是

否

可多台IDP集群

安全响应级别

5级

3级

Action

9种

2种

IDP:

None,Ignore,DropPacket,DropConnection,CloseClient&Server,CloseClient,CloseServer,Relay,Passive

NetworkHoneyPot

是

否

　网络蜜罐，提供反侦察能力

常见攻击的防御

已知－CodeRed

是

是

未知的七层攻击

是

否

缓冲区溢出

是

部分

后门式攻击

是

否

Reconnaissance-nmap

是

是

ScriptKiddies-TelnetRoot

是

部分

假冒IP

9种Action

屏蔽IPAddress

DOS攻击

是

部分

理由之四：

JuniperIDP与防火墙相比较（即便是增加了DI功能的防火墙），有足够多的针对应用层的匹配比对特征数量，而且用户可以因应应用要求自定义特征，因此对于已知特征的攻击或是未知的攻击，IDP的防御效率远远超过防火墙。

下表是IDP与对付应用层威胁能力最好的、带DI功能的防火墙，在应付攻击特征种类和数量方面的比较。

协议/攻击特征种类

攻击特征匹配数量

DI防火墙

IDP

应用定制

1

54

聊天室：

AIM/ICQ/MSN/Yahoo/IRC

11

99

数据库定制

1

55

DNS

24

73

DOS

10

54

FTP

49

84

HTTP

246

623

IMAP

14

31

MS-RPC

25

46

NETBIOS

37

60

P2P

30

68

POP3

88

123

SCAN

4

230

ShellCode

6

68

SMB

23

50

SMTP

91

201

特洛伊木马程序

5

297

Virus

38

>98

VoIP

2

6

蠕虫

26

>61

CHARGEN

0

2

DHCP

0

29

DISCARD

0

2

DDoS

0

37

ECHO

0

4

FINGER

0

17

Gopher

0

10

ICMP

0

17

IDENT

0

11

IKE

0

10

IP

0

13

LDAP

0

76

LPR

0

37

MISC

0

2

NFS

0

25

NNTP

0

8

NTP

0

29

OS

0

14

PortMapper

0

13

Radius

0

20

REXEC

0

6

RLOGIN

0

11

RPC

0

25

RSH

0

10

RTSP

0

7

RUSERS

0

16

SNMP

0

84

SNMPTrap

0

24

SSH

0

21

SSL

0

28

Syslog

0

15

TCP

0

75

TELNET

0

46

TFTP

0

21

VNC

0

31

WHOIS

0

4

X11

0

1

（累计）

731

>3182

理由之五：

JuniperIDP为用户提供强大的网络监控和记录功能，使用户能够及时了解网络状况，如访问流量、所使用的协议等等信息（详细见附件）。

附件：

IDP产品简介

Juniper网络公司入侵检测和防护（Juniper网络公司IDP）解决方案可提供在线攻击防护功能来防止蠕虫、病毒和特洛伊。

Juniper网络公司IDP采用了多种检测方法和强大的签名定制功能，可以有效地识别并阻止您网络中的攻击，从而最大限度地缩短处理入侵的时间并降低成本。

Juniper网络公司IDP集成了应用程序和网络档案来为管理员提供网络活动的最新评估结果，帮助他们避免一般IDS/IPS解决方案试运行和错误部署过程中存在的不确定性因素。

Juniper网络公司IDP使您可以快速而自信地部署在线攻击防护功能。

在线部署时，Juniper网络公司IDP可以在网络和应用级攻击造成任何损坏之前有效地识别并阻止这些攻击，从而最大限度地缩短处理入侵的时间并降低成本。

网络中出现攻击时，Juniper网络公司IDP可以提供强大的攻击报告和分析功能来加快攻击检测流程，从而最大限度地降低攻击对您的网络的危害。

Juniper网络公司IDP不仅可以帮助您保护网络免受攻击，而且可以为IT人员提供有关在他们不知情的情况下添加到网络中的恶意服务器和应用的信息。

掌握了这些信息，IT人员就可以通过修改安全策略来有效地保护网络。

Juniper网络公司IDP可以提供以下功能：

网络和应用级流量数据的按需视图；

内置工具，可在攻击的任何阶段连接相关数据点；

使用同一个产品，以便迅速采取措施来防止或控制攻击

Juniper网络公司IDP采用一种基于规则的管理方法来进行控制，从而部署先进的攻击防护功能来检测攻击并防止它们影响网络。

利用Juniper网络公司IDP，IT部门就可以轻松地解决以下问题。

存在的问题

Juniper网络公司IDP解决方案

由于缺乏网络和应用级活动的全面反馈信息，管理人员无法部署在线防护功能，而攻击防护解决方案是以嗅探器模式或被动模式部署的，削弱了解决方案的优势。

Juniper网络公司IDP可通过EnterpriseSecurityProfiler（ESP）加快在线防护功能的部署。

ESP是Juniper网络公司IDP中的一个模块，可以提供任何其它解决方案都无法比拟的网络和应用级数据视图。

借助详尽的应需网络和应用级数据视图，管理员就可以迅速了解网络中发生的情况，然后使用Juniper网络