IPS整体解决方案文档格式.doc

1、2.1.1防火墙72.1.2入侵检测72.1.3补丁管理72.2入侵防御系统简介83领信信息安全保障解决方案介绍93.1领信信息安全保障体系93.2安氏领信入侵防御系统介绍113.2.1领信入侵防御系统主要功能113.2.2领信入侵防御系统产品特点123.2.3领信入侵防御系统支持的工作模式143.2.4入侵防御系统推荐部署流程153.2.4.1IPS的学习适应期阶段163.2.4.2IPS的Inline模式工作阶段174入侵防御系统部署建议174.1系统组件说明174.1.1集中部署方式184.1.2分布部署方式194.1.3部署准备204.2边界防护部署214.3重点防护部署215入侵防御

2、系统安全策略配置与应用226项目过渡方案及应急预案236.1过渡方案236.2应急预案247工程实施方案257.1分工界面257.2工程设计267.3产品生产及出厂验收267.4设备运输、包装与到货安排267.5到货验收277.6安装调试及系统集成287.7系统测试287.8初步验收287.9系统试运行287.10最终验收287.11工程实施进度表298系统验收测试计划308.1系统上线测试308.2用户管理功能318.3引擎工作模式配置318.4组件管理318.5策略配置328.6威胁事件收集显示328.7攻击检测能力338.8系统升级能力338.9日志报表34341 典型网络风险分析通过对

3、大量企业网络的安全现状和已有安全控制措施进行深入分析，我们发现很多企业网络中仍然存在着大量的安全隐患和风险，这些风险对企业网络的正常运行和业务的正常开展构成严重威胁，主要表现在：1.1 病毒、蠕虫泛滥目前，企业网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点，即使再先进的防病毒软件、入侵检测技术也不能独立有效的完成安全防护，特别是对新类型新变种的防护技术总要相对落后于新病毒、新蠕虫的入侵。病毒、蠕虫很容易通过各种途径侵入企业的内部网络，除了利用企业网络安全防护措施的漏洞外，最大的威胁却是来自于网络用户的各种危险的应用：不安装杀毒软件；安装杀毒软件但未能及时升级；网

4、络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中，特别是INTERNET；移动用户计算机连接到各种情况不明网络环境后，在没有采取任何措施情况下又连入企业网络；终端用户在使用各种数据介质、软件介质时都可能将病毒、蠕虫在不知不觉中带入到企业网络中，给企业信息基础设施、企业业务带来无法估量的损失。1.2 操作系统和应用软件漏洞隐患企业网络多由数量庞大、种类繁多的软件系统组成，有系统软件、数据库系统、应用软件等等，尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂，每一个软件系统都有不可避免的潜在的或已知的软件漏洞，每天软件开发者都在生产漏洞，每时每刻都可

5、能有软件漏洞被发现被利用。无论哪一部分的漏洞被利用，都会给企业带来危害，轻者危及个别设备，重者漏洞成为攻击整个企业网络的跳板，危及整个企业网络安全，即使安全防护已经很完备的企业网络也会由于一个联网用户个人终端PC机存在漏洞而丧失其整体安全防护能力。在与在与黑客的速度竞赛中，企业用户正处在越来越被动的地位，针对这些漏洞的补丁从补丁程序开发、测试、验证、再到最终的部署可能需要几天甚至几十天时间， 而黑客攻击的速度却越来越快,例如著名的CodeRed蠕虫扩散到全球用了12个小时；而SQL SLAMMER感染全世界90%有漏洞的机器则只用了10分钟； 1.3 系统安全配置薄弱一个安全的网络应该执行良好

6、的安全配置策略，例如，账号策略、审核策略、口令策略、匿名访问限制、建立拨号连接限制策略等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用，但在实际的网络环境中，这些安全配置却被忽视，尤其是那些网络的终端用户，从而导致软件系统的安全配置“软肋”，有时可能将严重的配置漏洞完全暴露给整个外部，使黑客可以长驱直入。1.4 各种DoS和DDoS攻击的带来的威胁除了由于操作系统和网络协议存在漏洞和缺陷，而可能遭受攻击外，现在IT部门还会拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS和DDOS攻击可以被分为两类：一种是利用网络协议的固有缺陷或实现上的弱点来进行

7、攻击，与漏洞攻击相似。这类供给典型的例子如Teardrop、Land、KoD和Winnuke；对第一种DOS攻击可以通过打补丁的方法来防御，但对付第二种攻击就没那么简单了，另一类DOS和DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。DOS和DDOS攻击会耗尽用户宝贵的网络和系统资源，使依赖计算机网络的正常业务无法进行，严重损害企业的声誉并造成极大的经济损失，据2004 美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。1.5 与工作无关的网络行为权威调查机构IDC的统计表明：

8、3040的工作时间内发生的企业员工网络访问行为是与业务无关的，比如游戏、聊天、视频、P2P下载等等；另一项调查表明：1/3的员工曾在上班时间玩电脑游戏；Emule、BT等P2P应用和MSN、QQ等即时通信软件在很多网络中被不加控制的使用，使大量宝贵的带宽资源被业务无关流量消耗。这些行为无疑会浪费网络资源、降低劳动生产率、增加企业运营成本支出，并有可能因为不良的网络访问行为导致企业信息系统被入侵和机密资料被窃，引起法律责任和诉讼风险。2 安全产品及解决方案效能分析2.1 传统安全技术的薄弱之处当前随着网络软硬件技术的快速发展，网络信息安全问题日益严重，新的安全威胁不断涌现，如蠕虫病毒肆意泛滥、系

9、统漏洞层出不穷、漏洞利用（vulnerability exploit）的时间日益缩短,甚至可能出现零日攻击（zero-day exploit）,同时很多入侵和攻击由网络层逐渐向应用层发展,给检测和识别这些威胁带来了困难。面临诸多安全问题，传统的安全产品和解决方案显示出其薄弱和不足之处。2.1.1 防火墙绝大多数人在谈到网络安全时，首先会想到“防火墙”。防火墙目前已经得到了广泛的部署，用户一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要。传统防火墙的不足主要体现在以下几个方面：l 防火墙

10、作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。l 有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。2.1.2 入侵检测入侵检测系统IDS（ Intrusion Detection System）是近几年来发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象。它弥补了防火墙的某些缺陷，但随着网络技术的发展，IDS受到新的挑战：l IDS旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS无法有效阻断攻击，比如蠕虫爆发造成企业

11、网络瘫痪，IDS无能为力。l 蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS无法把攻击防御在企业网络之外。2.1.3 补丁管理补丁管理是重要的主动防御手段，但补丁管理同时也存在一些局限性，例如：1、对于某些操作系统，将不再能够获得厂商提供的支持。例如微软宣布将从2006年7月11日开始停止为多个老版本的Windows 操作系统提供技术支持，这意味着全球将有超过7000万名Windows用户面临网络攻击和恶意代码的危险，因为他们无法继续从微软获得安全更新。2、补丁从漏洞发现、操作系统开发补丁

12、、测试补丁、发布补丁到用户接收补丁、局部更新测试补丁到大范围更新补丁需要一定的时间周期，即所谓空窗期，在空窗期内用户的系统漏洞无法得到有效的防御，而恶意的程序和代码有可能利用这段时间对系统造成破坏；3、某些系统和应用由于自身的原因（如非授权软件、程序冲突等等）不适合打补丁，这样自身即使存在漏洞，也无法得到修复；针对以上技术和产品面对新的安全威胁所暴露出来的薄弱之处,作为有效的整体安全体系的重要组成和有效补充,入侵防御系统IPS（Intrusion Prevention System）作为新一代安全防护产品应运而生。2.2 入侵防御系统简介基于目前网络安全形势的严峻，入侵防御系统IPS（Intr

13、usion Prevention System）作为新一代安全防护产品应运而生。入侵防御系统/IPS提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在监测到恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中而实现这一功能的，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。从IPS的工作原理来看，IPS有几个主要的特点：l 为企业网络提供虚拟补丁IPS预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶

14、意流量，使攻击无法到达目的主机，这样即使没有及时安装最新的安全补丁，企业网络仍然不会受到损失。IPS给企业提供了时间缓冲，在厂商就新漏洞提供补丁和更新之前确保企业的安全。l 提供流量净化目前企业网络遭受到越来越多的流量消耗类型的攻击方式，比如蠕虫。病毒造成网络瘫痪、 BT,电驴等P2P下载造成网络带宽资源严重占用等。IPS过滤正常流量中的恶意流量，为网络加速，还企业一个干净、可用的网络环境。l 提供反间谍能力 企业机密数据被窃取，个人信息甚至银行账户被盗，令许多企业和个人蒙受重大损失。IPS可以发现并阻断间谍软件的活动，保护企业机密。总的来说,入侵防御系统IPS的设计侧重访问控制，注重主动防御，而不仅仅是检测和日志记录，解决了入侵检测系统IDS的不足，为企业提供了一个全新的网络安全保护解决方案。3 领信信息安全保障解决方案介绍3.1 领信信息安全保障体系“信息安全是一条链，其强度取决于链上最弱的一环（著名安全专家Bruce Schneier语）”这句话深刻阐明了整体安全的重要性。为了建设一个有效的安全防御体系，就要从保护、检测、响应等多个环节以及网络和基础设施、网络边界、终端环境等多个层次全面考虑，综合防范，这样才能提高网络整体的信息安全保障能力，保证安全体系中不存在薄弱的环节。安氏领信基于对信息安全