1、McAfee入侵防御系统NSP处理方案为XXX企业设计署名:Author Name, Title, Group or Department, Company2024年5月29日文档说明很感谢XXX给McAfee企业机会参与此次安全防护项目,并期望本文档所提供处理方案能在整个项目计划和建设中发挥应有作用。需要指出是,本文档所包含到文字、图表等,仅限于McAfee企业和XXX内部使用,未经McAfee企业书面许可,请勿扩散到第三方。目 录1方案概述62*用户信息安全现实状况及需求分析72.1信息安全现实状况72.1.1防病毒系统现实状况及其功效72.1.2IDS系统现实状况及其功效82.2目前信息
2、安全威胁特点和问题82.2.1面临安全威胁92.2.2现有安全方法不足102.2.3存在安全问题112.3需求分析113*用户安全风险管理设计方案133.1McAfee安全风险管理体系133.1.1安全风险133.1.2McAfee安全风险管理方法论143.2*用户安全建设步骤164McAfee NSP入侵防护产品技术方案174.1方案设计标准174.2入侵防护系统介绍174.2.1McAfee NSP184.2.2McAfee NSP系统功效184.3*用户NSP布署方案204.3.1布署部分一204.3.2布署部分二214.3.3布署部分三214.4推荐产品225方案优势245.1检测及防
3、御功效245.1.1网络攻击特征检测245.1.2异常检测255.1.3DoS/DDoS攻击防御255.1.4入侵防护功效265.2实时过滤蠕虫病毒和Spyware间谍程序285.3虚拟IPS285.4灵活布署方法295.5含有风险识别入侵防御315.6内置Web安全保护325.7永远在线管理平台335.8SSL加密攻击检测335.9领先虚拟内部防火墙345.10流量控制345.11主机隔离功效355.12应用程序识别355.13僵尸网络流量监控355.14云安全365.15IPS群集和负载分担方案375.16当地语言支持385.17McAfee NSP所获最新国际奖项38第三部分 实施及工程
4、进度计划41第四部分 人员培训计划42第五部分 设备技术指标一览表43第六部分 成功案例471中国关键用户:482国外关键用户:501 方案概述本方案依据*用户现在信息安全建设情况,借助McAfee在信息安全领域优异技术和处理方案,以动态安全风险管理为基础,提出了全方面信息安全处理方案及实施步骤。其最大特点是:以全方面量化安全风险为基础,在系统和网络层面构建全方面安全威胁防御体系,完善健全安全方法,当安全风险等级改变时,风险管理管理系统提供具体安全风险改变原因和补救方法,同时,调整系统和网络层面防御策略,真正做到全方面防御,有放矢。风险管理过程中,怎样有效地消除威胁、降低风险是关键,所以,我们
5、首先应该建立全方面系统和网络防御体系。用户现在已经建立了一套比较系统终端安全防御方法,而McAfee提供优异网络入侵防护产品,能够帮助用户对抗未知和未来出现安全威胁,经过McAfee NSP(即IPS)构建完善企业安全边界防御体系,在网络边界实时正确检测和阻断各类网络攻击行为、DoS/DDoS攻击及未知攻击流量,并对P2P、IM等应用流量进行管理,完善整个用户网络安全建设。本方案描述中包含以下产品和处理方案:(1) McAfee NSP:基于ASIC及FPGA芯片硬件网络入侵防护系统,实时阻止黑客攻击、蠕虫病毒、间谍程序和DOS/DDOS攻击;(2) McAfee 终端安全产品:关键是用户现在
6、已经使用VirusScan Enterprise等终端安全产品,抵御病毒、蠕虫、恶意程序、黑客攻击;(3) 用户现有安全产品:包含用户现在已经布署网络入侵检测系统(IDS)、防火墙及信息安全管理平台;(4) McAfee风险管了处理方案:方案中还会结合McAfee安全风险管理体系,介绍在用户现有环境下安全体系建设方案,从而使得各个安全产品协同工作,增强网络安全综合防御能力。本方案叙述了构建用户完整安全风险管理体系所应包含各个方面,同时关键叙述了用户网络边界安全(即入侵防御系统-IPS)建设和布署方案。2 *用户信息安全现实状况及需求分析2.1 信息安全现实状况伴随*用户信息系统不停发展壮大,网
7、络规模和节点数量也在不停增加。在网络发展过程中,*用户一直很重视信息安全系统计划和建设,已经建成了很全方面终端安全防御体系,并布署了覆盖全国IDS监控网络。*用户现在在数据中心布署了防病毒系统控制中心,并对各个分企业防病毒系统建设和管理提供支持;在总企业及全国各个关键分企业布署了IDS系统,实时监控网络内部安全事件;并经过信息安全管理平台进行安全设备信息搜集和实时监控,下边我们从这多个方面简单回顾一下*用户信息安全建设情况。2.1.1 防病毒系统现实状况及其功效现在McAfee企业网络防病毒产品,经过ePO安全管理平台实现集中化管理,降低了整体安全风险,病毒事件数得到控制,现有防病毒体系关键能
8、够达成以下多个目标:(1) 确保用户端安全,有效查杀终端上各类病毒、蠕虫、恶意程序;(2) 主动病毒防护,McAfee防病毒用户端依据漏洞能够阻挡未知蠕虫病毒;(3) Spyware过滤,McAfee防病毒系统集成了业界最强大Spyware探测清除模块;(4) Windows平台微软安全补丁安装状态检测和报警,而且提供具体报表;(5) 能够自动探测未受保护计算机;(6) 对网络内应用服务器进行全方面防护,包含Unix/Linux服务器,从而切断病毒在服务器内寄生和传输;(7) 经过分层防病毒管理服务器实现分布式自动更新和分层分地域分权管理;(8) 病毒爆发响应机制,经过端口锁定、文件、文件夹锁
9、定和通知功效,使得在病毒爆发阻止和病毒爆发快速响应方面含有完善有效技术手段,并结合完善技术服务体系,确保病毒不会大规模爆发。2.1.2 IDS系统现实状况及其功效在*用户网络中布署IDS系统,能够实现:(1) 对内网发生黑客攻击事件进行报警;(2) 对内网蠕虫爆发事件进行预警定位;(3) 监控内部网络安全情况,统计发生安全事件;(4) 定位内部网络安全事件源头,查找对应责任人。2.2 目前信息安全威胁特点和问题伴随互联网发展和网络服务拓展,越来越多新型安全威胁在危害着我们网络,和此同时,用户已经建设安全防护系统也存在着部分漏洞和不足,下边我们就叙述一下用户面临安全威胁及存在问题。以下图所表示,
10、现在恶意攻击行为关键以窃取机密数据,并获取金钱为目标。入侵手段千奇百怪,不过全部是以隐蔽和低调方法进行。恶意软件潜伏在用户主机中,不停渗透入侵内部用户其它主机,从桌面系统和服务器上窃取机密信息。经典攻击过程通常是经过诱惑用户访问一些恶意网站或资源,诱惑安装恶意软件,从而成功入侵一些用户桌面电脑,进而经过多种路径入侵其它同事电脑,甚至管理员电脑,进而可能入侵企业服务器系统。而且不停更新下载其它恶意软件,进行更深度入侵。IPS 作为网络监控系统,能够在任何上述阶段检测到恶意行为,管理员能够立即发觉内部恶意主机,并清除。预防恶意程序扩散和信息偷窃行为发生。2.2.1 面临安全威胁I. 面临外部安全威
11、胁包含:1) 黑客攻击入侵,造成信息泄露,或破坏网络、应用和服务器系统,可能造成网络、应用和服务器系统瘫痪;2) 蠕虫病毒经过网络、Email和网络文件共享等多个方法传输,植入OA网络计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中止;3) 蠕虫、恶意程序利用操作系统、应用、Web服务器和邮件系统弱点进行传输,植入计算机系统后为黑客攻击留下后门,一样,在传输过程中,产生大量TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slammer、Ni集成商a、“冲击波”和Nachi蠕虫病毒;4) 面临DOS/DDOS攻击,造成网络服务中止;5) P2P、IM等特殊应用缺乏管理和阻断手段;6
12、) 越来越多新型应用,如VoIP、SSL加密数据、IPv6等没有对应防护手段;7) 来自Internet各类安全威胁,没有有效手段进行评定,并经过高效方法将其阻断。II. 面临内部安全威胁包含:据第三方组织评测,40%安全威胁全部源自于内部,常见有:1) 系统管理员离职前或离职后恶意破坏,如恶意数据删除,数据修改;2) 恶意窃取更高权限口令,常见是天天进行口令猜测,同时又不触发报警;3) 恶意扫描,用来发觉开放端口、网络和系统中漏洞;4) 恶意针对漏洞攻击。5) 用户现在内部网络也存在如上安全威胁。2.2.2 现有安全方法不足I. 缺乏网络边界安全防御手段现在已经布署网络防病毒系统,取得了不错
13、整体防护效果,不过仍然存在部分安全漏洞:(1) 处理终端病毒问题,难以抵御各类复杂网络攻击行为;(2) 侧重于终端安全防御,没措施保护各类网络设备和基础架构;(3) 难以抵御DoS/DDoS攻击;(4) 不能处理网络层面安全问题,在关键网络边界没有有效检测和防御手段。II. IDS系统不足:IDS系统即使能够检测内部网络安全事件,不过有多个致命弱点:(1) 不能够实时阻断各类攻击行为及安全威胁,不能第一时间处理安全问题;(2) 只能被动报警或通知;(3) 检测正确性难以保障;(4) 不能提供实时正确边界安全防护,难以抵御DoS/DDoS攻击;(5) 是一个被动安全手段;III. 防火墙系统不足
14、已经布署防火墙系统只是实现网络访问控制功效,而不会识别网络数据中是否存在攻击行为和安全威胁,何况防火墙系统更轻易被成功DoS/DDoS攻击。2.2.3 存在安全问题总而言之,用户现在仍然面临部分安全威胁,而且现有安全方法难以处理,安全问题关键表现在:(1) 网络层面攻击行为没有有效防御手段,不能在边界实时阻断黑客攻击;(2) 边界安全方法不完善,各类外部安全威胁全部可能经过网络边界进入网络;(3) 没有有效DoS/DDoS攻击防护手段;(4) 没能将现有安全方法整合成为一个高效体系进行管理,对安全风险管理不够全方面。2.3 需求分析依据以上安全威胁分析,我们需要采取对应方法处理这些安全问题,所
15、以,安全需求能够归纳为以下几方面:(1) 加强网络边界安全防护手段,正确检测入侵行为,并能够实时阻断攻击;(2) 能够检测出已知或未知多种攻击形式,实时阻断黑客攻击;(3) 能够探测出已知和未知蠕虫、病毒及恶意代码,正确定位传染源,并能够阻断蠕虫经过网络进行传输;(4) 能够检测异常网络流量,有效阻断DoS/DDoS攻击;(5) 能够检测针对网络加密攻击;(6) 能够对整个用户网络进行实时、正确、全方面入侵防护;(7) 经过现有系统或新购产品,立即识别网络中安全弱点,而且取得具体安全弱点修补提议;(8) 发觉新弱点和新威胁时,能够有手段在Internet入口及网络边界阻止这些威胁,实时保护内部
16、网络安全;(9) 需要依据全行安全策略和管理策略,布署优异高效网络入侵防护产品,并从安全风险管理角度出发,真正有放矢地处理网络安全问题;(10) 最终,*用户更需要建立一个信息安全管理体系,经过一定基础标准和管理步骤,整合好现在已经布署和使用安全产品,真正做到对安全风险有效管理。3 *用户安全风险管理设计方案3.1 McAfee安全风险管理体系实际上,任何企业信息安全问题最终全部是问了降低关键信息资产面临安全风险,避免这些信息资产因为安全威胁而受到损失。所以,McAfee提议*用户在考虑信息安全体系建设过程中,应该首先依据本身情况,结合国际优异安全风险管理步骤,明确安全风险三个关键方面及控制手
17、段,有计划有步骤加强整个信息安全体系建设,才能达成最好效果。3.1.1 安全风险我们之所以要处理安全问题,是因为信息网络存在被病毒、黑客攻击等各类安全威胁攻击可能性,也就是说存在安全风险,并随时可能所以给企业造成财产、时间、声誉上损失,而依据权威机构(数据起源:Gartner)分析,安全风险得大小关键取决于以下三个方面:图1 Gartner安全风险公式也就是说,当企业含有了信息化关键资产(比如有很关键数据保留在服务器上),这些资产存在弱点和漏洞(比如微软操作系统漏洞或空口令),又存在被安全威胁攻击可能(比如病毒、黑客攻击等等),就会给企业造成损失。而McAfee认为,一个企业想要处理好信息安全
18、问题,也一定要从这三个方面入手,也就是从有效控制安全风险入手,企业安全风险和这三个方面紧密相关,也只有同时处理好这三个方面问题,才可能真正确实保信息系统安全。下面就结合*用户实际情况,叙述一下McAfee信息安全风险管理方法论,和在*用户信息安全建设现阶段意义所在。3.1.2 McAfee安全风险管理方法论McAfee依据安全风险特点和三个关键要素,提出了安全风险管理方法论,其关键思想是依据企业基础环境,在全方面统计资产数量和整合现有安全方法基础上,正确地评定资产存在安全漏洞和现实状况,并经过系统和网络层面安全防御手段有效抵御安全威胁。(1) 安全风险管理方法论McAfee SRM(Secur
19、e Risk Management)安全风险管理步骤以下图所表示:图2 McAfee SRM风险管理简单步骤如上图所表示,不管企业现在现实情况怎样,全部需要一套有效安全风险管理步骤,需要“制订合理可行安全策略”“有效地评定可能存在安全风险”“经过各类安全防护方法抵御安全威胁”“能够真正符合企业信息安全要求”。而在实现McAfee安全风险管理过程中,我们需要经过不一样安全防护方法和手段,才能达成比很好效果,以下图所表示:图3 McAfee SRM体系需要产品和工具经过这些系统防护、网络防护、安全风险管理产品和手段,建设完整安全风险管理体系能够帮助企业: 一直遵守确定安全政策; 基于安全风险管理,
20、整合网内现有安全防护产品; 提供全方面实时防护手段来正确检测并阻止安全威胁; 一直一致地衡量法规遵从性标准,最终帮助企业达成既定安全目标和安全标准。总而言之,传统安全产品(防病毒、防火墙等),只是去抵御安全威胁,却忽略了对整体安全风险考虑,而McAfee安全风险管理体系考虑到了可能影响企业安全风险三个关键要素,而且能够结合现有安全产品,经过完善安全风险管理步骤帮助企业实时控制整体安全风险,真正处理安全问题。3.2 *用户安全建设步骤总而言之,McAfee提议*用户基于网络现实状况,分析现有安全产品和方法,有计划有步骤完善本身安全风险管理体系,而且制订对应安全策略和安全管理条例,做到有放矢,逐步
21、完善。基于*用户现在信息安全建设情况,我们提议在构建安全风险管理体系时候,能够遵照一个成功建设次序和步骤:(1) 首先,构建完善终端安全体系,因为终端安全是基础,任何安全威胁最终影响到全部是终端系统,同时,终端面正确病毒等威胁数量最多,并处理好统一管理问题;(2) 其次,是构建完善网络防护体系,如防火墙、入侵防护系统、垃圾邮件过滤系统等,从网络层面第一时间抵御安全威胁,同时,还要防御各类终端难以防御网络攻击行为;(3) 最终,当已经建立了高效威胁防护体系以后,需要建立全方面资产管理和风险管理体系,整合现有安全设备和步骤,形成成熟完备动态安全风险管理体系,加强整体安全风险可控性。现在,*用户已经
22、布署了终端安全防护产品,而且在网络层面也布署了对应安全方法(IDS、防火墙),不过,由需求分析我们能够看出,现在还没有应对网络攻击有效手段,下一节,我们具体叙述一下IPS产品在整个安全风险管理体系当中关键意义。4 McAfee NSP入侵防护产品技术方案McAfee NSP:基于ASIC芯片及FPGA网络入侵防护设备,完全透明布署在网络中,探测端口没有IP地址,不需要和网络设备和防火墙互动,其本身能够正确探测到攻击,直接丢弃攻击数据包和Drop攻击Session;为了确保探测正确性,NSP采取了深层状态包检测技术、异常探测、SSL加密攻击探测、Buffer Overflow攻击探测和DOS/D
23、DOS攻击探测多个引擎;设备本身考虑了安全性、可靠性和高性能,它能够在设备掉电和连续系统故障发生时自动接通网络,同时也支持双机热备等高可靠性功效。4.1 方案设计标准方案首先要考虑是整体安全性能,其次要考虑整体安全体系建设、设备、系统可靠性和可用性,所以,方案设计依据以下标准:(1) 方案设计一直考虑业务安全需求和投资平衡;(2) 方案设施后不会影响用户现有网络安全性,不会降低现有系统可靠性和可用性,不影响现有系统和网络性能;(3) 入侵防护设备及各类安全设备探测正确,不会出现误报和漏报;(4) 可靠性:确保网络不会因为设备故障而造成中止;(5) 方案实施后,不能影响现有网络和计算机性能;(6
24、) 在不增加现有工作量基础上,能够提升安全管理工作效率。4.2 入侵防护系统介绍绝大多数人在谈到网络安全时,首先会想到“防火墙”。防火墙得到了广泛布署,并被作为多层安全体系结构第一层防护,它关键是作为一个访问控制设备,许可特定协议(比如 HTTP、DNS、SMTP)在一组源地址和目标地址之间传输。作为访问策略增强一个组成部分,防火墙通常是经过检验数据包头来制订流量决议。通常来说,它们并不能检验数据包全部内容,所以,也无法检测或拦截嵌入到一般流量中恶意代码。需要注意是,路由器也是经过数据包过滤来实现防护功效,所以,它提供也是一个不完善保护。即使说基于防火墙和路由器数据包过滤是全方面网络安全拓扑结
25、构必需组件,但仅靠它们是远远不够。现在防护方法所固有不足促进了一个新安全产品发展,我们称之为入侵防护系统 (Intrusion prevention system)。4.2.1 McAfee NSPMcAfeeNSP是全球首个产品化IPS设备,它能够对已知攻击、未知攻击和拒绝服务攻击进行检测和防御,满足多种企业网络安全要求。McAfee NSP能够经过布署业内最全方面、最成熟网络 IPS 处理方案来降低企业安全风险。 NSP 是基于 ASIC芯片及FPGA设备,可前瞻性地防护终端和关键网络基础设施不受已知攻击、Zero-day攻击、DOS/DDOS 攻击和加密攻击威胁,也不受间谍软件、VoIP
26、 漏洞、botnet、网络蠕虫、恶意软件、网络钓鱼诈骗攻击、木马和 P2P 等应用程序威胁。同时,NSP 也是业界首个风险感知 IPS 处理方案,它能够有效地结合Foundstone或第三方风险评定工具,识别并拦截针对您网络资产最相关安全威胁和攻击,可最大程度地保障安全,增加绩效。 NSP 无和伦比技术、深度数据包检测和无延迟特征,可在攻击抵达其目标前抢先将其拦截,可为整个网络环境提供优异正确性和业务关键性能。NSP 集成、易于管理平台可提供广泛资产保护,最大程度地确保业务可用性,同时将安全成本降至最低。现在来说,用户进行有效全方面防护,切实保护网络关键安全最有效方法就是布署网络入侵防护系统进
27、行主动防护,以提升系统面临入侵时防护能力。4.2.2 McAfee NSP系统功效McAfee NSP是使用最前沿技术,能够在关键系统受到攻击之前阻止“网络”入侵行为产品。含有高自动化和易管理性,设计灵活,能够分阶段实施,克服了破旧入侵检测系统中固有误报率,也使用户能够配置适宜策略,以阻止独特 IT 基础架构中攻击。McAfee NSP基于完整攻击分析方法,并引入了业界最为全方面网络攻击特征检测、异常检测和拒绝服务攻击检测技术,除了能够防御已知攻击,还能够防御未知蠕虫、攻击和后门程序,抵御拒绝服务攻击等。McAfee NSP关键功效能够概括为:(1) 防护多种威胁l 防护已知攻击为了实现高性能
28、网络攻击特征检测,McAfee NSP 体系采取创新专利技术,而且集成了全方面状态检测引擎、完善特征规范语言、“用户自定义特征”和实时特征更新,确保能够提供并维护业界最为全方面、更新最立即攻击署名数据库。l 异常检测-防护未知攻击异常检测技术为 McAfee NSP全方面署名检测功效提供了完美补充,异常检测技术使得网络工程师能够对突发威胁或首次攻击进行拦截,并创建出一套完整“异常档案”,从而保护网络免受未知攻击骚扰。l 防护拒绝服务攻击McAfee NSP体系综合应用多个DoS/DDoS防护技术,处理可能面临拒绝服务攻击威胁。l 入侵防护McAfee NSP为网络安全管理员提供了一整套手动和自
29、动响应方法,并以此构建企业信息安全策略基础。能够实现以下响应功效:n 拦截攻击;n 终止会话;n 修改防火墙策略;n 开启网络访问控制策略;n 实时警报;n 对数据包进行日志统计。(2) 布署McAfee NSP能够灵活布署在网络边界和关键,进行整体防护;能够串接在网络当中,直接丢弃攻击包,做到主动防护;还要拥有多端口处理能力。(3) 影响 NSP不对已经有网络环境造成影响,而且确保本身绝对安全。(4) 投入能够极大地节省成本,取得最好投资回报。(5) McAfee NSP系统拥有以下特点:安全体系:经过NSP布署,将现在网络安全方法整合成一个整体防护系统,做到对网络情况从不知到已知,对入侵防
30、护从事后到事前;可靠性:NSP不会因为系统本身出现故障而影响整个网络正常运行;安全性:NSP在保障网络和应用安全同时,能够确保本身安全,不会因为本身安全机制存在问题而造成整个安全平台存在漏洞;开放性:NSP含有开放性特点,确保了不一样厂家不一样产品能够集成到安全系统中来,并确保安全系统整体性、互补性,和多种应用安全可靠运行。可扩缩性:NSP含有可扩缩性,能适应网络规模改变;4.3 *用户NSP布署方案经过和*用户深入沟通和设备测试,在现有网络环境中,我们提议根据以下方法布署McAfee NSP设备:4.3.1 布署部分一*1) 布署提议布署位置:数据中心入口处布署IPS设备;保护高风险应用,抵
31、御来自内部终端攻击:利用IPS阻断高风险攻击和注入攻击行为;检测全部从服务器向外恶意行为,提前发觉服务器异常通讯(恶意通讯)。亲密关注数据中心内部安全情况,检测数据中心网络通讯,立即发觉恶意流量。利用IPS/IDS多点监控,能够立即发觉数据中心异常恶意流量,立即控制和清除肉机,避免服务器被大规模入侵,避免从内部引发大规模DoS攻击(如ARP攻击)。保护AD服务器,预防恶意猜密码:IPS能够检测到用户认证频度,对恶意猜密码行为能够进行阻断,或隔离用户端一段时间。避免造成AD账号锁定。4.3.2 布署部分二*1) 布署提议布署位置:在广域网接入点和互联网出口布署IPS设备外地终端安全性较低,较难管
32、控。利用IDS/IPS能够立即发觉异常行为终端, 比如恶意扫描网络;攻击当地终端和服务器行为;频繁猜测AD密码;消耗广域网带宽。快速定位中病毒终端,避免病毒在网络上传输发觉僵尸网络流量。立即发觉和处理有异常行为4.3.3 布署部分三*1) 布署提议布署位置:DMZ数据中心入口处布署IPS设备保护高风险应用,抵御来自互联网攻击:利用IPS阻断高风险攻击和注入攻击行为;检测全部从服务器向外恶意行为,提前发觉服务器异常通讯(恶意通讯)。亲密关注数据中心内部安全情况,检测数据中心网络通讯,立即发觉恶意流量。利用IPS/IDS多点监控,能够立即发觉数据中心异常恶意流量,立即控制和清除肉机,避免服务器被大
33、规模入侵,避免从内部引发大规模DoS攻击(如ARP攻击)。4.4 推荐产品在本方案中我们推荐是M 3050(电信级网络入侵防护系统)及NSP M1450(边界级入侵防护系统),其采取ASIC芯片纯硬件架构设计,能够确保在1Gbps及200Mbps流量下进行正常异常流量探测、黑客攻击探测阻断(包含DOS/DDOS攻击探测阻断、蠕虫病毒阻挡),而且确保造成延迟在100微秒左右。经过在网络当中布署集中管理平台NSP Manager,对全部入侵防护设备进行统一管理和升级。(1) M3050设备硬件及参数探测端口密度:8个千兆检测端口,4个万兆端口端口支持:SFP mini- Gigabit连接器 (
34、SX , LX , TX ), XFP端口 Bypass: 经过外部Fail-Open设备 电源:双冗余电源 可移动响应端口: 1个 用作IDS布署时拦截连续攻击连接管理端口: 1 x 1000 Mbps 管理端口并发连接支持: 750,000虚拟 IPS / Firewall 策略: 1000个(2) M1450设备硬件及参数图11 M 1450探测端口密度:8个千兆兆检测端口 端口 Bypass: 内置Fail-Open功效响应端口: 1 个 用作IDS布署时拦截连续攻击连接管理端口: 1 x 100 Mbps 管理端口并发连接支持: 80,000虚拟 IPS / Firewall 策略:
35、 32个(3) NSP Manager功效NSP Manager是McAfee入侵防护系统集中管理平台,经过NSP Manager能够对多台入侵防护设备实现统一管理、策略分发及升级,依据需要,也能够在不一样物理地点布署多套NSP Manager。5 方案优势NSP基于完善攻击分析方法,并引入了业界最为全方面网络攻击特征检测、异常检测和拒绝服务检测技术,除了能够探测攻击,还能够探测已知未知蠕虫和后门程序。5.1 检测及防御功效5.1.1 网络攻击特征检测为了实现高性能网络攻击特征检测,NSP 体系结构不仅采取了创新专利技术,而且集成了全方面状态检测引擎、完善特征规范语言、“用户自定义特征”和实时
36、特征更新,确保了 NSP 能够提供并维护业界最为全方面、更新最立即攻击署名数据库,现在署名特征超出4500种,解码协议超出106种。(1) 特征规范语言NSP以专用高水平特征规范语言为强大支持。NSP 能够从应用程序软件中分离出攻击模式特征,在这个独特体系结构中,将特征简单地转换为表单项,从而能够经过直观用户界面实现实时更新,并可被特征引擎立即使用。现在 IDS 产品往往经过软件“补丁程序”来提供新特征,这不仅降低了布署速度(必需依据整个 IDS 软件应用程序进行质量确保),而且也不利于安装(必需重新开启系统)。而 NSP 经过从传感器软件中分离攻击模式特征,从而确保了高质量全新特征能够快速布
37、署(无需重新开启系统)。同时,从传感器应用程序代码中分离特征也使得特征编写人员能够将精力集中在特征编写“质量”上,而无需考虑怎样将特征构建为应用程序更新补丁。(2) 全方面状态特征检测引擎NSP 体系结构特征检测引擎引入了强大上下文敏感检测技术,在数据包中充足利用了状态信息,它经过使用多个令牌匹配来检测超越了数据包界限攻击特征,或超出序列范围数据包流。(3) 用户自定义网络攻击特征NSP 使得网络安全工程师能够经过一个创新性图形用户界面(GUI)来编写自定义署名,该界面能够使用经过系统协议分析功效所获取字段和数据,或经过 NSP 分析机制搜集状态信息。(4) 实时特征更新NSP 提供创新性实时
38、特征更新极大地提升了管理软件性能,由 IntruVert 更新服务器提供全新特征能够经过策略控制自动发送到整个网络,从而确保了新特征一经创建,网络即可取得最新防护功效。NSP 体系结构还许可网络工程师决定何时,和是否在整个网络中布署最新署名。NSP 系统无需重新设置或重新开启任何硬件方便激活新署名,所以,它们能够自动地、实时地进行布署。5.1.2 异常检测异常检测技术为 NSP 体系全方面署名检测过程提供了完美补充,异常检测技术使得网络工程师能够对突发威胁或首次攻击进行拦截,并创建出一套完整“异常档案”,从而保护网络免受目前威胁和未来攻击骚扰。NSP 体系结构提供了业界最为优异、最为全方面异常
39、检测方法 集成了针对统计数据、协议及应用程序异常检测技术。异常/未知攻击例子包含新蠕虫、蓄意隐性攻击、和现有攻击在新环境下变种。异常检测技术也有利于拦截拒绝服务攻击(观察服务质量变动)和分布式 DoS 攻击(NSP 系统利用流量样式变动(比如 TCP 控制数据包统计数据)来决定是否立即发生海量数据流)。我们将在下面部分具体讨论拒绝服务攻击。NSP 体系结构异常检测技术还能够针对其它威胁提供保护,这包含:缓冲区溢出攻击、由木马程序或内部人员安装“后门”或恶意攻击、利用低频率进行隐性扫描攻击、经过网络中多个发送点传送表面正常数据包、和内部人员违反安全策略(比如,在网络中安装游戏服务器或音乐存档)。
40、5.1.3 DoS/DDoS攻击防御NSP 检测体系结构第三根“支柱”就是它完善拒绝服务防护技术。(1) 自动记忆和基于阈值检测NSP 体系结构综合利用了基于阈值检测技术和取得专利、含有自动记忆功效基于配置文件检测技术,从而使拒绝服务检测更具智能化。借助基于阈值检测功效,网络安全管理员就能够使用预先编写数据流量限制来确保服务器不会因负载过重而宕机。同时,自动记忆功效使得 NSP 体系结构能够分析网络使用方法和流量模式,了解正当网络操作中发生多个正当,但不常见使用模式。两种技术结合确保了对多种 DoS 攻击最高检测正确率 包含分布式拒绝服务攻击(即恶意程序员为了进攻企业或政府网络,同时对上百个,
41、甚至上千个服务器提议攻击)。NSP 正确 DoS 检测技术含有很关键意义,因为很多网站和网络全部曾经历过正当(有时是意外)、极具吸引力新程序、服务或应用程序流量冲击。(2) 检测技术关联性正如我们所看到,NSP 体系结构提供了多个操作模式,使得系统能够捕捉恶意流量、提供全方面攻击分析方法、实施完整智能化署名检测、异常检测和拒绝服务防护技术。NSP 体系结构检测关联层连接着系统署名检测、异常检测和拒绝服务检测功效 这种相互关联性和对可疑流量交叉检验功效确保了攻击检测高度正确性。单一 NSP 系统能够对防火墙公共网段、专用网段和 DMZ 网段进行全方面保护,并提供这些网段之间相互关联性,从而能够针
42、对被拦截网络攻击或进入专用网络网络攻击提供正确具体信息。5.1.4 入侵防护功效NSP 体系结构提供了业界最正确攻击检测功效,结构了系统攻击响应机制坚实基础。没有足够响应能力 IDS 产品只能为网络安全管理员提供有限功效。现代 IDS 产品必需能够检测出攻击,并提供偏转和拦截恶意流量方法。NSP 体系结构为网络安全管理员提供了一整套手动和自动响应方法,并以此构建起企业或政府机构信息技术安全策略基础。图 17 NSP入侵响应机制就攻击检测来说,NSP 体系结构使系统能够实现以下功效:(1) 拦截攻击NSP 体系结构许可 IDS 以嵌入模式工作,所以,它能够实时地在攻击源和目标之间拦截单一数据包、
43、单一会话或数据流量,从而在进程中拦截攻击,而不会影响任何其它流量。(2) 终止会话NSP 体系结构许可针对目标系统、攻击者(或二者同时)重新设置并初始化 TCP。网络安全工程师能够对发送给源和/或目标 IP 地址重新设置数据包进行配置。(3) 修改防火墙策略NSP 体系结构许可用户在发生攻击时重新配置网络防火墙,方法是临时改变用户指定访问控制协议,同时向安全管理员发出警报。(4) 实时警报当网络流量违反了安全策略时,NSP 体系结构能够实时生成一个警报信息,并发送给管理系统。合理警报配置是保持有效防护关键所在。恶性攻击(比如缓冲区溢出和拒绝服务)往往需要做出实时响应,而对扫描和探测则能够经过日
44、志进行统计,并经过深入研究确定其潜在危害和攻击源。网络安全工程师能够取得相关电子邮件、寻呼程序和脚步警告通知,该通知基于预先配置严重性水平或特定攻击类型,比如拒绝服务攻击。基于脚步警告许可对复杂通知过程进行配置,从而能够针对系统面临攻击向特定团体或个人发出通知。NSP 体系结构还提供了一个“警报过滤器”,它许可网络安全工程师依据安全事件起源或目标进行筛选。比如,当 IT 部门经过一个自有 IP 地址实施漏洞扫描时,从该地址生成事件就能够被过滤掉。(5) 对数据包进行日志统计在攻击发生时,或攻击发生以后,基于 NSP 体系结构系统能够首先捕捉数据包,并对数据包进行日志统计,然后将该流量重新定向到
45、一个空闲系统端口,方便进行具体正当性分析。这个数据包信息就是对触发攻击实际网络流量统计。数据被查看后,将转换为 libpcap 格式,方便进行演示和说明。类似于 Ethereal(运行于 UNIX 和 Windows 平台一款网络协议分析工具)多个工具能够用来检验数据包日志数据,方便对检测到事件进行更为具体分析。NSP 体系结构响应机制提供了该产品平台基础,安全管理员需要在此基础上开发出响应方法、警报和日志系统,方便为复杂现代网络提供最好防护。5.2 实时过滤蠕虫病毒和Spyware间谍程序在NSPSignature中包含了蠕虫病毒、Spyware间谍程序、“特洛伊木马”、后门程序Signat
46、ure,当NSP采取In-Line方法布署时,能过过滤掉流经NSP这些恶意程序。而且NSP邮件未知蠕虫Signature能够探测邮件中夹带未知蠕虫病毒,而且将其丢弃,从而使得NSP能够对抗新、未来出现蠕虫病毒。5.3 虚拟IPS虚拟IPS能够将 NSP 探测器划分为多个虚拟探测器,这些虚拟探测器能够使用不一样探测和防护策略保护不一样VLAN、子网和主机(包含自定义攻击选择及相关响应方法)。虚拟IPS能够依据一组 IP 地址、一个或多个 VLAN 标识来定义,也能够经过探测器上特定端口来定义。NSP 体系结构虚拟 IPS 功效能够经过三种方法来实施。第一,将虚拟局域网 (VLAN) 标志分配给一组网络资源;第二,使用无类别域内路由 (CIDR) 标志来保护一组 IP 地址;第三,将 NSP 系统接口专门用于保护特定部门、地域机构或组织职能部门网络资源。基于 CIDR VIPS 实施能够使用 /32 掩码具体到单一主机水平。比如,能够使用单一主机特有策略来识别 DoS 攻击,并做出响应。图18 NSP虚拟IPS功效经典IDS/IPS只能支持一个传感器一个策略,这将造成过多误报,或过多传感器布署。NSP创新虚拟IPS功效能在一个传感器上实现多个安全策略,可为保护各个特定环境而定义,降低总体拥有成本。5.4 灵活布署方法NSP支持完全实时攻击阻断嵌入(In
浙ICP备2021020529号-1 | 浙B2-20240490 
