IDP解决方案.docx

1、IDP解决方案XXX应用网站安全保护建议一、背景资料XXX应用网站承担目前，网站没有设置基本的保护二、面临的挑战及应对建议近两年来，来自每一个方面的资料显示出一个非常明显的结论，企业网络受到的内外威胁，尤其是导致网络和应用系统瘫痪的恶性事件，大部分来自于应用层的攻击，例如病毒、蠕虫和黑客攻击。如何解决来自应用层威胁的问题，已经成了每一个需要实施网络安全系统的用户首先必须考虑解决的问题。传统的网络防火墙主要解决：（1）网络二到四层的攻击和威胁问题；（2）安全区域的划分和隔离；（3）地址转换（NAT）；等问题。虽然有部分厂商的防火墙引入了应用层检测技术（目前最常用和成熟的技术是DI - 深层检测技

2、术），但是受产品原型设计技术和硬件平台性能的限制，在相当长的一段时间内，防火墙产品还不能完全承担应用层的检测和保护重担，而且最终的产品功能还是要在应用层增加独立的防护系统。（以下的比较表格可以了解）。面对目前最为头痛和急需应付的应用层威胁问题，应用网站应该在网络应用模式允许的情况下，在保证二到四层的防护基本具备的前提下，首先考虑实施应用层的保护系统，建议选用目前业内最为成熟的应用层保护系统 Juniper公司的IDP产品。三、应用层保护系统的选择保护应用网站的关键是在网站的出入口实施相应的应用层网络安全控制系统，该系统在网络的出入口最大可能地实现：（1）拦截对网站构成严重威胁的恶意访问（包括未

3、授权访问）；（2）防止拒绝服务（DoS）攻击；（3）遏制和隔离病毒/蠕虫等恶意流量的攻击；（4）识别和拦截应用攻击；（5）防止非善意的网络侦察；（6）监控进出网站的访问和流量；（7）迅速定位来自内部的恶意流量源和未授权访问发起点。1、应用层保护系统应该具备的技术和条件根据网站应用层保护系统（或俗称应用层防火墙）需要实现的目标，无论从功能上或技术上，应用层保护系统应该具备以下一些条件：（1）可以解读、分析网络层和应用层形态的网络流量数据包，使之具备检查应用层数据的基本能力，同时也可以分析网络层数据；（2）针对应用层数据报特征的多种检测技术多重检测技术： 数据包状态签名技术和及时的更新提供 应用层

4、协议异常检查技术 网络数据流量异常检查技术 后门检测技术 网络蜜罐引诱（反侦察）技术 网络哄骗检测技术 第二层攻击检测技术 同步泛洪检测技术 混合式攻击检测技术（3）可以不断更新和数量足够多的应用数据匹配特征库，并且提供客户化的匹配特征用户定制能力；（4）优化的策略设置功能，强大的事件跟踪和记录功能，为使用者提供完善的分析数据和报告。 2、选择Juniper IDP无论从应用的要求、产品和功能的成熟程度，或者是技术先进性的角度考虑，选择Juniper网络公司的IDP作为网站的保护系统是最为合适的选择。理由之一：Juniper 公司的IDP在业界内有多个“第一”，如下：1st Security

5、device that detects and prevents attack by dropping malicious packets 1st Multi-Method Detection (MMD) maximizes attack detection within a single product1st Stateful Signature Detection (SSD) look for attacks in relevant traffic to reduce false alarms1st Centralized, Rule-based Management for an Int

6、rusion Detection Solution1st Support of All Instant Messaging Protocols to Protect the Network from Potential Exploits理由之二：Juniper IDP在所有同类产品的竞争对手中，是最为用户接受的产品，因此也就拥有最多的用户，如下第三方的统计报告结果： Juniper Networks 1st in terms of units shipped（Source: Infonetics, 8/04）在过去的一个季度，全球用户购买使用的每100台攻击防护系统中，有37台来自Junipe

7、r公司的IDP。理由之三： IDP在保护应用网站方面，具有传统防火墙不可比拟的优势，如下表：比较项IDP防火墙说明工作模式4种3种工作OSI层次27层24层signature是否开放式是否开放模式的signature允许客户查看、修改并触发响应方式signature允许客户定制是否客户可以根据自己的需求来定制Signature可集中管理是否IDP Manager可以管理10台以上IDP管理模式3层1层网络实时监控能力强一般IDP可以解读100种应用层协议，并且有很强的日志记录功能，在做网络保护同时，是一个非常理想的网络实时监控和事件收集系统报表多、丰富少signature定义的准确性高低IDP

8、的context定义有100种以上的选项，而FireWall只有20来种signature的数目200098VoIP26蠕虫2661CHARGEN02DHCP029DISCARD02DDoS037ECHO04FINGER017Gopher010ICMP017IDENT011IKE010IP013LDAP076LPR037MISC02NFS025NNTP08NTP029OS014PortMapper013Radius020REXEC06RLOGIN011RPC025RSH010RTSP07RUSERS016SNMP084SNMP Trap024SSH021SSL028Syslog015TCP07

9、5TELNET046TFTP021VNC031WHOIS04X1101（累计）731 3182理由之五： Juniper IDP为用户提供强大的网络监控和记录功能，使用户能够及时了解网络状况，如访问流量、所使用的协议等等信息（详细见附件）。附件：IDP产品简介Juniper网络公司入侵检测和防护(Juniper网络公司IDP)解决方案可提供在线攻击防护功能来防止蠕虫、病毒和特洛伊。Juniper网络公司IDP采用了多种检测方法和强大的签名定制功能，可以有效地识别并阻止您网络中的攻击，从而最大限度地缩短处理入侵的时间并降低成本。 Juniper网络公司IDP集成了应用程序和网络档案来为管理员提供

10、网络活动的最新评估结果，帮助他们避免一般IDS/IPS解决方案试运行和错误部署过程中存在的不确定性因素。Juniper网络公司IDP使您可以快速而自信地部署在线攻击防护功能。在线部署时，Juniper网络公司IDP可以在网络和应用级攻击造成任何损坏之前有效地识别并阻止这些攻击，从而最大限度地缩短处理入侵的时间并降低成本。网络中出现攻击时，Juniper网络公司IDP可以提供强大的攻击报告和分析功能来加快攻击检测流程，从而最大限度地降低攻击对您的网络的危害。Juniper网络公司IDP不仅可以帮助您保护网络免受攻击，而且可以为IT人员提供有关在他们不知情的情况下添加到网络中的恶意服务器和应用的信

11、息。掌握了这些信息，IT人员就可以通过修改安全策略来有效地保护网络。Juniper网络公司IDP可以提供以下功能： 网络和应用级流量数据的按需视图； 内置工具，可在攻击的任何阶段连接相关数据点； 使用同一个产品，以便迅速采取措施来防止或控制攻击 Juniper网络公司IDP采用一种基于规则的管理方法来进行控制，从而部署先进的攻击防护功能来检测攻击并防止它们影响网络。利用Juniper网络公司IDP，IT部门就可以轻松地解决以下问题。存在的问题Juniper网络公司 IDP解决方案由于缺乏网络和应用级活动的全面反馈信息，管理人员无法部署在线防护功能，而攻击防护解决方案是以嗅探器模式或被动模式部署的，削弱了解决方案的优势。Juniper网络公司IDP可通过Enterprise Security Profiler (ESP)加快在线防护功能的部署。ESP是Juniper网络公司IDP中的一个模块，可以提供任何其它解决方案都无法比拟的网络和应用级数据视图。借助详尽的应需网络和应用级数据视图，管理员就可以迅速了解网络中发生的情况，然后使用Juniper网络