H3C主动式入侵防御系统解决方案Word下载.docx

1、网络规模：网络上的应用：未来发展规划：二、IT部门面临的挑战IT部门对企业高效运营和快速发展的贡献毋庸置疑，种种益处自不必多言，但是如果网络崩溃、应用瘫痪，损失将令人痛心，甚至无法弥补，IT部门也将承受极大的压力，所以保证网络和应用系统安全、可靠和高效的运行成为IT部门的关键任务。要实现上述目标，首先，让我们来对网络和系统运行面临的挑战做出详细的分析。系统漏洞：无可厚非，软件开发人员在开发一个系统的时候，将实现相应的功能作为首要的任务，而且他们在编写和调试程序时通常仅考虑用户正常使用的情况，而对误用和恶意使用这些例外和异常情况处理考虑不周之处，也就形成了系统漏洞，或称系统的弱点。系统已不再是孤

2、立的系统，而是通过网络互联的系统，即组成了计算机网络，计算机网络的使用者中有专业水平很高但思想并不纯洁的群体，他们利用这些漏洞对系统展开入侵和攻击，导致对网络和应用系统极大威胁，使网络和系统的使用和拥有者遭受严重的损失。自计算机紧急事件相应组（CERT）与1995年开始对系统漏洞进行跟踪以来，截止08年7月份，已公开的漏洞累计达4万多个，其中80可以被远程利用。下图是微软08年6月份公开的部分漏洞。典型的漏洞例子如MS SQL的缓冲区溢出漏洞，即03年1月爆发的SQL Slammer蠕虫攻击的对象，该蠕虫在10分钟内在整个互联网传播，击毁令人难以置信数量的服务器，更为严重的是影响了13个根DN

3、S中的5个。另外一个不幸是MS RPC DCOM缓冲区溢出漏洞，也就是臭名昭著的Blaster攻击的对象，相信很多用户对此都有体会。其实漏洞不只MS Windows有，路由器等网络设备的操作系统，如CISCO IOS，以及网络安全设备，如Check Point FW1也有。如此多的漏洞，对IT部门意味着什么？安全小组必须采取行动获得补丁程序、测试、最后将其部署在服务器上，为什么不直接给服务器打补丁呢？因为不能保证补丁对应用系统没有影响，为了以防万一，必须对补丁程序进行测试和验证，然后才允许将其投入生产系统。从补丁程序获得、测试和验证，再到最终的部署，完成这一系列任务需要多长时间？答案是，可能需

4、要几个小时到几天，而在此期间攻击可能已经发生，损失已无法挽回。针对Web的攻击：攻击者除了利用操作系统、浏览器、数据库、Web服务器、ASP/PHP等基础软件漏洞实现攻击外，还经常利用Web应用程序开发过程当中对网页输入缺乏有效检查的网页漏洞进行攻击，最常用的方式是SQL注入攻击、跨站脚本攻击，经常造成网页挂马、网页篡改、帐号被盗、网络钓鱼等严重后果，给企业形象、企业财产都造成重大损失。下图是过去几年的中国大陆被篡改网页数量的统计图。拒绝服务攻击和分布式拒绝服务攻击：除了由于操作系统和网络协议存在漏洞和缺陷，而可能遭受攻击外，现在IT部门还会拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS

5、）的挑战。DOS和DDOS攻击可以被分为两类：一种是利用网络协议的固有缺陷或实现上的弱点来进行攻击，与漏洞攻击相似。这类攻击典型的例子如Teardrop、Land、KoD和Winnuke；对第一种DOS攻击可以通过打补丁的方法来防御，但对付第二种攻击就没那么简单了，另一类DOS和DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起，在攻击目标的CPU速度不高、内存有限、网络带宽有限的情况下效果是明显的。随着网络和系统性能的大幅提高，CPU的主频已达数G，服务器的内存通常在2G以上，此外网络的吞吐能力已达万兆，单机发起的DoS攻击

6、好比孤狼斗猛虎，没有什么威胁。狼的习性是群居，一只固然势单力薄，但如果群起而攻之，恐怕猛虎也难抵挡，这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话，攻击者使用10台攻击机、100台呢共同发起攻击呢？DDoS就是利用大量的傀儡机来发起攻击，积少成多超过网络和系统的能力的极限，最终击溃高性能的网络和系统。常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已发现的DOS攻击程序有ICMP Smurf、UDP 反弹，而典型的DDOS攻击程序有Zombie、TFN2K、Trino

7、o 和 Stacheldraht。DOS和DDOS攻击会耗尽用户宝贵的网络和系统资源，使依赖计算机网络的正常业务无法进行，严重损害企业的声誉并造成极大的经济损失，使IT部门承受极大的压力。例如，2000年2月7-9日爆发的“数字珍珠港事件”，据2006美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。零时差攻击：零时差攻击（Zero-day Attack）是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。显而易见，零时差攻击对应用系统和网络的威胁和损害令人恐怖，这相

8、当于在用户没有任何防备的情况下，黑客发起了闪电战，可能在极短的时间内摧毁关键的应用系统及令网络瘫痪。回顾历史，可以发现从系统漏洞、协议弱点被发现到用户遭受攻击的时间正快速缩短，即零时差攻击的可能性越来越大，如下图所示：从2003年7月16日微软公布RPC DCOM 缓冲区溢出安全漏洞（MS03-026）到8月11-13日Blast蠕虫摧毁大约140万台主机的时间大约是1个月（26天），而到Witty蠕虫，时间缩短到48小时。再来看最近发生的事情，2005-8-5日微软公布了6个安全漏洞，其中三个是严重漏洞，如下所示：（1） MS05-038Cumulative Security Update

9、for Internet Explorer（Rating: Critical）（2） MS05-039Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege（3） MS05-040Vulnerability in Windows Telephony Service Could Allow Remote Code Execution Important）（4） MS05-041Vulnerability in Remote Desktop Protocol Could

10、Allow Denial of Service Moderate）（5） MS05-042Vulnerabilities in Kerberos Could Lead to Elevation of Privilege（6） MS05-043Vulnerability in Print Spooler Service Could Allow Remote Code Execution不幸的是，在第二天，即24小时内就出现了针对上面第二个漏洞的攻击。这对IT部门确实构成了极大的压力，因为测试、评估及部署漏洞补丁需要数天时间，而此时攻击已出现并可能随时到来。间谍软件：间谍软件（英文名称为“spyw

11、are”）是一种来自互联网的，能够在用户不知情的情况下偷偷进行非法安装（安装后很难找到其踪影），并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件在安装时什么都不显示，运行时用户也不知晓，删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动，并已经建立了一个进入个人电脑的通道，很容易对用户电脑做后续的攻击。间谍软件能够消耗计算能力，使计算机崩溃，并使用户被淹没在网络广告的汪洋大海中。它还能够窃取密码、信用卡号和其它机密数据。作为互联网用户，应该对此保持警惕了。最新统计显示，在过去的12个月中，全球感染间谍软件的企业数量增长了近50%。在100人以上的企业中，有17%的企业网络

12、中藏有间谍软件，如键盘跟踪程序等。间谍软件可分为两类，一类是“广告型间谍软件”。与其他软件一同安装，或通过ActiveX控件安装，用户并不知道它的存在。记录用户的姓名、性别、年龄、密码、域、电话号码、邮件地址、VPN、Web浏览记录、网上购物活动、硬件或软件设置等信息。 这类间谍软件还会改变目标系统的行为，诸如霸占IE首页与改变搜寻网页的设定，让系统联机到用户根本不会去的广告网站，以致计算机屏幕不停弹跳出各式广告。而且软件设置简单，只要填写自己的邮件地址和设置一下运行即可。另一类被称为“监视型间谍软件”，它具有记录键盘操作的键盘记录器功能和屏幕捕获功能，可以用来在后台记录下所有用户的系统活动，

13、比如网站访问、程序运行、网络聊天记录、键盘输入包括用户名和密码、桌面截屏快照等。主要被企业、私人侦探、司法机构、间谍机构等使用。间谍软件的恶行不仅让机密信息曝光，对产能亦造成负面冲击，同时也拖累系统资源，诸如瓜分其它应用软件的频宽与内存，导致系统没来由减速。间谍软件在未来将会变得更具威胁性，不仅可以窃取口令、信用卡号，而且还可以偷走各种类型的身份信息，用于一些更加险恶的目的，如捕捉和传送Word和Excel文档，窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道，那么用户面临的危险将是不可想象的。协议异常和违规：在一切正常的情况下，两个系统间该如何进行某种数据交换，协议都对其进行了定义。由

14、于某些服务器不能有效处理异常流量，许多攻击会通过违反应用层协议，使黑客得以进行拒绝服务（DoS）攻击，或者获得对服务器的根本访问权限。通过执行协议RFC或标准，我们可以阻止这种攻击。除处理违反协议的情况外，这种机制还可截获命令中的非法参数，阻止许多缓冲溢出攻击的发生。比如根据RFC 2821，在一个正常的SMTP连接过程中，只有在客户端至少发送过一个“RCPT TO”请求命令之后，客户端发送“DATA”请求命令才是合法的。侦测和扫描：刺探是利用各种手段尝式取得目标系统的敏感信息的行为，这些敏感信息包括系统安全状况、系统状态、服务信息、数据资料等；采用工具对系统进行规模化、自动化的刺探工作称为扫

15、描。其工具称为扫描器。 扫描器最初是提供给管理员的一些极具威力的网络工具，利用它，网管员可以获得当前系统信息和安全状况。正是因为扫描器能有效的获取系统信息，因此也成为黑客最喜欢的工具。黑客利用扫描器的自动化和规模化的特性，只要简单的几步操作，即可搜集到目标信息。网络和滥用在较短的时间内，互联网“杀手级”应用已经从电子邮件、网络浏览演变为点对点（Peer-to-Peer，P2P）应用。在音乐和电影数字化技术不断成熟的条件下，用户可以从互联网上轻松并免费获得这些数据文件，这使得P2P应用程序成为互联网上下载最多的软件之一。他们共享着成千上万Petabytes的数据（1PetaBytes=100万G

16、B）。如此大量的数据传输，已足以使网络阻塞并耗尽所有的可用带宽。近来有研究表明，P2P流量大约占用服务提供商多达60%的网络带宽。P2P应用使得企业网络基础结构的流量负担沉重。这些应用消耗了大量的网络资源，同时妨碍关键业务的访问。另外，黑客会设法利用P2P应用漏洞来攻击巨大的P2P应用用户群，对系统及网络带来严重的安全隐患。同时，由于用户下载受版权保护的资源，P2P应用也带来了严峻的法律问题，使接入业务提供商背上了沉重的法律包袱。因此，对高速网络的管理人员而言，这些应用不啻于为他们带来了传输、安全以及法律方面的噩梦。为避免网络带宽消耗过大及恶意攻击，可以采用入侵防御系统来控制P2P应用和网络流

17、量。安全管理：用户网络为业务发展提供了良好的IT保障作用，但随着网络的扩展，应用的增加，正面临前所未有的挑战，特别是在网络安全方面。如何保证整个网络乃至应用系统安全、稳定和高效的运行，已成为网络部门的首要任务。虽然，网络中已部署了防火墙，但是，在网络的运行维护中，IT部门仍然会发现网络的带宽利用率居高不下，而实际上，主要业务的占用带宽不会达到这样的数量。当初租用带宽时，已考虑到了未来的发展并预留一定余量，可见有未知的流量侵吞了带宽，所以网络中很可能存在大量的蠕虫病毒产生非法流量、也不排除有BT等应用的可能，这是目前各宽带网络都可能存在的问题。并不是当初网络设计不周，而是自2003年以来，蠕虫、

18、点到点，入侵技术日益滋长的结果，而这些有害代码总是伪装成正常业务进行传播，目前用户可选的主要防火墙的软硬件设计，仅按照其工作在L2-L4设计，不具有对数据流进行综合、深度监测的能力，所以无法有效识别伪装成正常业务的非法流量。这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰，而且职工的PC都需要访问Internet，同时又必须访问业务系统，所以存在被病毒感染和黑客控制的可能，对生产系统的威胁很大。三、主动式防御系统的发明及价值仅有防火墙是不够的：从1990开始，随着Internet的快速发展，网络安全的问题也逐步为人们所重视，从最初采用简单的访问控制列表，到部署防火

19、墙来保护周界安全。从1993年防火墙被广泛地部署在各种网络中。虽然，网络中已部署了防火墙，但是，在网络的运行维护中，IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢，只好提升带宽并升级服务器喽，可过不了多久问题再次出现。而实际上，业务增长速度并没有这样快，业务流量占用带宽不会达到这样的数量，这是目前各大公司网络都可能存在的问题。并不是当初网络设计不周，而是自2003年以来，蠕虫、点到点，入侵技术日益滋长并演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考虑，不具有对数据流进行综合、

20、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络，如下图所示：这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上，员工的PC都既需要访问Internet又必须访问公司的业务系统，所以存在被病毒感染和黑客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽，P2P等应用，利用80端口进行协商，然后利用开放的UDP进行大量文件共享，导致机密泄漏和网络拥塞，对公司业务系统的危害极大。为了能够让防火墙具备深入的监测能力，许多厂商都基于现有的平台增加了L

21、4-L7分析能力，但问题是仅仅将上千个基于简单模式匹配过滤器同时打开来完成对数据包的L4-L7深入检测时，防火墙的在数据流量较大时会迅速崩溃，或虽可以勉强工作，却引入很大的处理延时，造成业务系统性能的严重下降，所以基于现有防火墙体系结构增加深入包检测功能的方案存在严重的性能问题。IDS的不作为：由于已经部署的防火墙从能力和性能上都不具备对大量流量进行综合、深入分析的能力，自2000年开始，许多用户在网络中部署了入侵检测系统。 IDS确实为防止入侵和控制非法流量具有开创意义，然而，在实际的应用中，用户发现其存在严重不足：IDS是一个被动的监听者，而不能采取有效的行动立即阻止针对系统漏洞的攻击、屏

22、蔽蠕虫和病毒、防御DOS攻击以及限制P2P等非法应用，当IDS报警的时候，攻击已经发生而损失已不可避免，如下图所示：为了弥补IDS的先天不足，一种称之为IDS和防火墙联动的方案出现了，但在实际应用中，从IDS发现问题到通过开放接口向防火墙发送策略更新信息，再到最终防火墙激活新的策略所耗费的时间仍无法满足用户对高安全性的要求，特别是在攻击流量激增的情况下，这种方案几乎无法奏效，所以其可行性存在很大问题。误报（False Positives）和漏报（False Negatives）问题，已有的IDS实现方法都是采用检测软件运行在通用或专用主机上的体系结构。这种架构的问题在于当网络的流量较大时，ID

23、S的处理能力无法完成对所有流量的综合和深入分析，从而出现较多的漏报。除由于性能原因产生漏报外，由于运行IDS的主机的网卡工作在杂收模式，采用诸如AntiSniff的技术可以发现网络中IDS的存在，攻击者随后可以采用隐秘攻击技术躲过IDS的监测，这是因为IDS采用主机架构并使用简单模式匹配技术，如著名的Snort，这种方法对检测病毒是很有效的，因为病毒的特征基本固定，但隐秘攻击技术能够实现同样的攻击目的却不出现IDS可识别的攻击的特征，即并不在攻击代码中出现某些特殊的字符的特点，这样就欺骗了IDS。另外一个问题是误报，IDS有时会将正常的访问识别为攻击并进行报警。分析和管理问题，IT部门为了及时

24、发现入侵，必须对IDS的告警和日志进行分析，发现入侵行为，然后采取相应的防护措施，但随着网络的带宽从2M，发展到100M，直至1000M，IDS产生的报告越来越多，IT部门已疲于应付如此多的告警，对保证网络安全感到力不从心，特别是在零时差攻击日益增多情况下，如何采取及时防御措施，成为IT部门面临的极大挑战。主动式入侵防御系统成就网络安全的未来：如上文所述，防火墙加IDS的方案存在无法识别高层攻击、漏报和误报、响应速度慢、性能不高以及运行维护管理复杂等缺陷，显然这些问题使IT部门无法完成支持日益增长的安全需求的关键任务。在这种充满挑战的环境下，IT部门急需能够保护应用系统、网络基础设施和性能的利

25、器，而能够帮助IT部门实现这些关键任务的解决方案只有主动式入侵防御系统，即Intrusion Prevention System IPS。H3C IPS入侵防御系统是华三公司开发的业界领先的IPS产品，已拥有500多个包括银行数据中心、中南海政务网等在内顶级的高端应用，以及5000多家客户群体。H3C IPS入侵防御系统以在线的方式部署在客户网络的关键路径上，通过对数据流进行2到7层的深度分析，能精确、实时地识别和阻断蠕虫、病毒、木马、SQL注入、跨站脚本攻击、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼等安全威胁；并且，H3C IPS入侵防御系统还开创性地将专业防病毒技术融入到IPS

26、中来，通过集成卡巴斯基的病毒特征库，可全面防止网络型病毒、文件型病毒、复合型病毒通过网络进行扩散传播。同时，T1000-A还具有P2P、IM等网络滥用流量的识别和限制功能以及URL过滤功能。针对零时差攻击，华三提供数字疫苗服务，能够在攻击发生之前，将新的IPS特征库和病毒特征库快速部署在IPS中，这些新的特征库实际起到了虚拟软件补丁的作用，客户不必为服务器打补丁就可以完成攻击防御，从而实现了系统正常运行时间的最大化，其价值可想而知。同时，H3C IPS入侵防御系统通过领先的多核MIPS硬件架构设计以及专利的FIRST（注：FIRST，Full Inspection with Rigorous

27、State Test，基于精确状态的全面检测）检测引擎设计，确保IPS设备不会成为性能瓶颈。H3C IPS入侵防御系统还通过双电源、掉电保护、二层回退、双机冗余等高可靠性设计，保证IPS设备在任何情况下都不会成为网络业务的故障点。四、部署主动入侵防御系统的建议针对入侵、病毒、蠕虫、注入和拒绝服务攻击的新特点，必须采用创新的硬件和软件技术来应对 主动入侵防御系统。主动入侵防御系统是对目前单一防火墙安全防护体系的必要补充，是防范网络应用层攻击的最有利的武器。部署的总体方案：以典型的企业园区网为例，入侵防御系统的部署总体方案如下图所示。建议首先在数据中心部署1-2台SecPath T1000-A，以

28、保护核心数据的安全，SecPath T1000-A可抵御来自内网的误用或有意攻击，提供服务器漏洞防护。在互联网出口也需要部署IPS设备，拥有保护防火墙等网络基础设施，防御互联网对企业园区网的攻击，同时，还可对互联网出口带宽进行精细控制，防止带宽滥用，另外，H3C的IPS设备还可提供URL过滤功能，以限制园区网办公用户对工作无关网站的访问。同时，根据信息资产的重要性和安全威胁的严重程度，可以在DMZ区、广域网边界、内部子网边界都可考虑部署IPS设备。保护网络应用的安全：H3C IPS提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护，如：病毒、蠕虫、SQL注入、跨站脚本攻击、与木马程序。利

29、用深层检测应用层数据包的技术，H3C IPS可以分辨出合法与有害的数据包内容。最新型的攻击可以透过伪装成合法应用的技术，轻易的穿透防火墙。而H3C IPS 运用重组TCP 流量以检视应用层数据包内容的方式，以辨识合法与恶意的数据流。大部分的入侵防御系统都是针对已知的攻击进行防御，然而H3C IPS运用漏洞基础的过滤机制，可以防范所有已知与未知形式的攻击。可以保护企业应用系统和信息资产的安全性。保护网络应用的业务连续性：路由器、交换器、DNS 服务器以及防火墙都是有可能被攻击的网络设备，如果这些网络设备被攻击导致停机，那么所有企业中的关键应用程序也会随之停摆。而H3C IPS提供了一系列的网络漏

30、洞特征规则以保护网络设备免于遭受攻击。此外，H3C IPS也提供异常流量统计机制的过滤器，对于超过”基准线”的正常网络流量，可以针对其通讯协议或应用程序特性来进行警示、限制流量或隔离流量等行动。如此一来可以预防DDoS 及其它溢出式流量攻击所造成的网络断线或阻塞。同时H3C IPS还针对各种网络应用提供保护，保证应用系统不会遭受攻击者的DoS攻击而无法提供业务。保护网络应用的性能：H3C IPS可用来保护网络带宽及主机性能，免于被非法的应用程序占用正常的网络性能。如果网络链路拥塞，那么重要的应用程序数据将无法在网络上传输。非商用的应用程序，如点对点文档共享 （P2P）应用或实时通讯软件 （IM

31、） 将会快速的耗尽网络的带宽，或是 VoIP需要有备保证的带宽 （SIP, H.323 or MGCP），H3C IPS通过识别P2P、IM、网络多媒体、网游等网络滥用流量并进行细粒度的限流或阻断，以给企业的关键应用保证带宽。五、H3C IPS的特点和优势强大的入侵抵御能力：H3C IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品，特征库数量已达10000+。配合H3C FIRST（Full Inspection with Rigorous State Test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。专业的病毒查杀：H3C IPS集成卡巴斯基防病毒引擎，内置卡巴斯基专业病毒库。采用第二代启发式代码分析技术、独特的实时监控脚本病毒拦截技术等多种最尖端的反病毒技术，能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。零时差的应用保护：H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库