1、XX网站安全处理方案网络安全处理方案上海恒驰信息技术有限目 录1企业面临威胁1-41.1应用安全关键性1-42应用安全处理方案2-62.1XX网站现实状况2-62.2用户网络现实状况分析2-62.3XX网站安全处理方案2-73布署产品3-93.1Hillstone企业介绍3-93.1.1面向应用高性能防火墙需求3-103.1.2技术优异性和实用性标准3-143.1.3高可靠性标准3-143.1.4易于扩展和升级标准3-143.1.5管理和维护方便性3-153.1.6网络安全方案设计3-153.1.7方案描述3-153.2IntruShield网络入侵防护产品介绍3-173.2.1网络攻击特征检
2、测3-173.2.2异常检测3-193.2.3拒绝服务检测3-193.2.4入侵防护3-203.2.5实时过滤蠕虫病毒和Spyware间谍程序3-233.2.6虚拟IPS3-233.2.7灵活布署方法3-241 企业面临威胁伴随计算机和网络通信技术发展,越来越多企业活动建立在计算机网络信息系统基础上。在信息和网络被广泛应用今天,Internet上商务和经济活动增多对网络系统安全提出了很高要求,任何一个网络管理或使用者全部很清楚,全部被使用计算机网络全部肯定存在被有意或无意攻击和破坏之风险。Internet攻击行为来自于以下方面:a)黑客有目标远程攻击入侵,造成信息泄露,或破坏网络、应用和服务器
3、系统,造成网络、应用和服务器系统瘫痪;b)蠕虫病毒经过网络、Email和网络文件共享等多个方法传输,植入服务器后为黑客攻击留下后门,同时造成网络拥塞,甚至中止,如NetSky、Mydoom等蠕虫病毒;c)蠕虫利用操作系统、应用、Web服务器和邮件系统弱点进行传输,植入计算机系统后为黑客攻击留下后门,一样,在传输过程中,产生大量TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。d)DOS/DDOS攻击威胁,会造成网络服务中止。e)网络异常流量1.1 应用安全关键性伴随计算机和网络通信技术发展,越来越多企业活动建立在计算机网络信息
4、系统基础上。而Internet在世界范围内快速普及,使企业内部网络联入世界范围Internet要求越来越迫切。Internet上商务和经济活动增多对网络系统安全提出了很高要求,处理这些问题难度也越来越大。来自Internet威胁越来越频繁,不停出现网络攻击,网络病毒,间谍软件,木马程序,并呈不停上升趋势。这不仅影响了计算机网络系统实际应用,还给企业和个人带来了信息和经济损失,而且还极大地动摇了用户信心。“我们能使用计算机来处理我们关键信息吗”。经过布署网络防火墙设备,实现:1. 把内网服务器和Internet做物理隔离,拒绝非法访问2. 基于服务器公布,映射服务器特定端口,给Internet用
5、户提供服务3. 严格策略控制在web服务器和Internet连接部分我们布署一台HillStone系列防火墙。 连接InternetISP链路被直接连接到HillStone防火墙上,内部web服务器需经过HillStone防火墙连接到Internet。为了内部服务器,我们需要将防火墙上端口依据需要划分到不一样安全等级安全区域: 到Internet链路端口划分到UnTrust区域,Trust区域端口连内部网交换机。将防火墙设置为NAT模式。这么就能够保护内部私有网段,SA系列防火墙有着强大NAT功效,我们能够依据需要灵活设置NAT,包含1对1NAT,基于端口NAT,源地址NAT和基于目标NAT等
6、。HillStone有着强大访问控制策略设置方法,能够有效保护内部网络对Internet访问,和企业对互联网提供多种服务。经过布署网络入侵防护设备,实现:1. 探测出黑客攻击,而且实时阻断黑客攻击;2. 能够探测出已知和未知蠕虫,实时阻止这些蠕虫进入自来水企业网络;3. 探测异常网络流量,阻止进入自来水企业网络;4. 探测和阻挡DOS/DDOS攻击McAfee IntruShield(IPS)既能实时阻挡黑客攻击,又能阻挡中、高威胁蠕虫病毒,而且含有完整阻挡DDOS攻击能力,包含对抗Syn FloodSyn-Cookie技术。所以,在自来水企业Internet接入位置布署一台入侵防护设备既作为
7、网络入侵防护设备、同时又作为防DOS/DDOS设备,用以探测和过滤黑客攻击,网络异常流量(异常流量包含蠕虫病毒和蠕虫病毒传输造成异常流量入Nach Ping、Sql Slammer异常流量等,另一大类目前网络异常流量是由Botnet僵尸网络攻击引发异常流量,这类流量和传统DOS/DDOS攻击不一样)、DOS/DDOS攻击。2 应用安全处理方案2.1 XX网站现实状况XX网站是托管在IDC机房,Internet接入交换机,服务器设置公网IP地址,无任何安全方法,web服务器完全暴露在公网上,存在很大安全隐患,还时常遭受黑客攻击,造成正常访问中止。XX网站拓扑结构示意图以下所表示:2.2 用户网络
8、现实状况分析面临外部安全威胁:1. 黑客攻击入侵,造成信息泄露,或破坏网络、应用和服务器系统,可能造成网络、应用和服务器系统瘫痪;2. 蠕虫病毒经过网络、Email和网络文件共享等多个方法传输,植入网站计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中止;3. 蠕虫、恶意程序利用操作系统、应用、Web服务器和邮件系统弱点进行传输,植入计算机系统后为黑客攻击留下后门,一样,在传输过程中,产生大量TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slammer、Ni集成商a、“冲击波”和Nachi蠕虫病毒;4. 面临DOS/DDOS攻击,造成网络服务中止;5. P2P、IM等特殊应用缺乏
9、管理和阻断手段;6. 越来越多新型应用,如VoIP、SSL加密数据、IPv6等没有对应防护手段;7. 来自Internet各类安全威胁,没有有效手段进行评定,并经过高效方法将其阻断。2.3 XX网站安全处理方案基于XX网站以上问题,上海恒驰信息处于负责态度提议用户从网关处布署一整套安全防护系列产品来完善企业网站安全建设,其中包含:1. Hillstone安全防火墙2. McAfee IntruShield 入侵检测设备依据以上安全威胁分析,我们需要采取对应方法处理这些安全问题,所以,安全需求能够归纳为以下几方面:(1) 设定严格策略控制,阻止非授权访问;(2) 加强网络边界安全防护手段,正确检
10、测入侵行为,并能够实时阻断攻击;(3) 能够检测出已知或未知多种攻击形式,实时阻断黑客攻击;(4) 能够探测出已知和未知蠕虫、病毒及恶意代码,正确定位传染源,并能够阻断蠕虫经过网络进行传输;(5) 能够检测异常网络流量,有效阻断DoS/DDoS攻击;(6) 能够检测针对网络加密攻击;(7) 能够对整个用户网络进行实时、正确、全方面入侵防护;(8) 经过现有系统或新购产品,立即识别网络中安全弱点,而且取得具体安全弱点修补提议;(9) 发觉新弱点和新威胁时,能够有手段在Internet入口及网络边界阻止这些威胁,实时保护内部网络安全;(10) 需要依据全行安全策略和管理策略,布署优异高效网络入侵防
11、护产品,并从安全风险管理角度出发,真正有放矢地处理网络安全问题;(11) 最终,用户更需要建立一个信息安全管理体系,经过一定基础标准和管理步骤,整合好现在已经布署和使用安全产品,真正做到对安全风险有效管理。产品布署以后网络示意图以下:3 布署产品3.1 Hillstone企业介绍山石网科通信技术(北京)(以下简称“山石网科”)创建于,是网络安全领域代表企业之一,企业总部在中国北京,并在美国硅谷设有研发中心。山石网科积累了多年网络安全产品研发和市场运做经验,专注于信息安全,是专业新一代安全网络设备提供商。 现在,山石网科拥有职员200余人,其中博士、硕士占30%以上,企业关键团体由来自 Juni
12、per、Cisco、Netscreen、Fortinet和H3C等中外著名企业精英组成,含有优异技术经验和丰富企业管理经验。企业总注册资金475万美金,设有系统架构部,系统运行 部,软件系统部,渠道销售部,售前售后技术部等部门,而且已经经过投资、控股和合作等形式,在亚太区形成了良性发展产业和营销体系。 自成立以来,山石网科就以“贴近市场,贴近用户,快速把握并满足用户需求”为己任,用产品和方案来帮助用户取得网络安全,从而实现本身企业价值。山石 网科凭借其独特服务精神和强大技术实力,以国际一流技术打造适合中国本土化应用需求高性能产品,并提供高性价比新一代网络安全整体处理方案,服 务于中国高速发展网
13、络市场。作为产业链中至关关键一环,山石网科勇于创新,企业SR系列安全路由器和SA系列安全网关产品,已经为网络安全领域树立 了新安全网络产品质量水平,在中国各大中小型企业及各高校中拥有了强大用户群体,并赢得了用户高度肯定。在网络时代今天,山石网科愿和全部用户、合作伙伴一起,在探索和实践中国网络安全稳健友好发展新长征中,携手共赢!3.1.1 面向应用高性能防火墙需求传统防火墙以网络层防护为主,软硬件设计围绕着网络层安全防护展开,产品经过了第一代纯软件防火墙系统、基于PC架构第二代硬件防火墙系统和第三代基于ASIC和NP(网络处理器)纯硬件防火墙系统。第三代基于ASIC和NP架构防火墙能够实现高性能
14、网络安全防护,对于应用层安全防护无能为力,应用层完全依靠通用CPU进行处理,包含现在流行UTM产品,一旦打开应用层安全防护功效,如P2P/IM安全控制、IPS、Web过滤、防病毒和防垃圾邮件等内容过滤功效,性能会急剧下降,无法满足用户实际网络安全需求。基于以上原因,Hillstone全线产品采取了创新新一代网络安全架构,硬件平台采取64位高性能多核处理器Multi-Core CPU(多达16核),内部传输采取高达24Gbps高速交换总线,其网络安全处理能力达成了一个新起点:比如,安全产品中关键参数之一每秒新建会话数是现在业界最高性能基于ASIC和NP架构安全产品5到10倍!64位专用高性能多核
15、处理器多核并行处理能力为应用层内容安全功效提供了强大保障,同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱弊病。因为新一代64位多核处理器Multi-Core CPU集成了IPSec VPN、SSL VPN、TCP、QoS、压缩/解压缩和其它安全功效芯片级硬件加速功效,使得Hillstone安全产品含有强大高效VPN和应用层安全处理能力。采取创新新一代网络安全架构Hillstone安全产品提供了更高、更可靠、更稳定和更安全综合处理能力,开创了新一代网络安全新纪元。多达16核专用64位MIPS处理器含有强大应用层安全处理能力,众所周知,应用层安全效率很大程度上依靠于CPU处理
16、能力,即使基于ASICNP架构安全系统一旦要处理应用层数据也必需依靠于CPU,而现在安全产品在CPU资源上有很大瓶颈,所以有些厂商已经放弃ASICNP架构而采取纯CPU架构。Hillstone采取多核处理器,使得该硬件架构充足考虑到了应用安全和网络安全平衡,在一些性能指标上有了质飞越,如作为安全网络产品关键指标之一每秒新建连接数最高达成了20万秒,同时结合内部高速交换总线和多核64位专用处理器,Hillstone安全产品含有了强大应用安全处理能力和可扩展能力,为集成更多应用安全提供了强大资源保障。强壮专用实时64位并行操作系统(Robust Specific Real time Operati
17、ng System)Hillstone全线产品采取专用多线程实时64位并行操作系统,多线程并行处理能力和模块化结构易于集成和扩展安全功效,专用安全加固64位操作系统针对新一代多核处理器安全架构进行了全方面优化和安全加固,极大地提升了系统处理效率、系统稳定性和安全性。模块化和多线程处理机制,为Hillstone新一代网络安全系统提供了极大可扩展能力,包含支持更多核处理器和集成更多安全功效。 众所周知,操作系统是整个安全设备关键和基础,安全产品操作系统必需含有很强抗攻击能力,而基于软件安全系统采取是通用操作系统,通用操作系统会暴露大量操作系统漏洞,安全系统再强大,操作系统漏洞会直接造成这个系统瓦解
18、。现在,专用定制操作系统被广泛采取。Hillstone安全产品均采取定制专用操作系统StoneOS。StoneOS含有64位实时并行处理能力,其关键针对Hillstone硬件产品进行了全方面优化,使得系统含有更高处理效率和稳定性。模块化系统结构易于继承更多安全功效,系统含有极强伸缩性和可扩展性。任何独立安全模块出现问题全部不会影响整个系统运行。高可靠性和稳定性(High Reliability and Stability) 积累多年被证实专业硬件安全产品研发和市场经验,Hillstone新一代网络安全产品在软硬件可靠性和稳定性上全部有了深入提升。全方面优化软硬件系统带来高可靠性和稳定性,这为网
19、络流量和网络攻击日益膨胀企业IT环境提供了强大保障。Hillstone安全产品最大程度上确保企业关键业务不间断运行,提升用户竞争力。最低总体拥有成本(Lowest TCO)Hillstone全线产品提供了很友好使用和管理界面,布署简单、易于维护和管理。灵活特征能够满足不一样用户不一样应用环境需求。独特创新新一代网络安全架构提供给用户最大化可扩展能力,最大化地保护用户投资。Hillstone安全产品处理方案特点:l 创新新一代网络安全架构l 高性能综合安全系统l 高可靠性和扩展性l 高性价比l 丰富安全特征l 最低TCOl 友好和易于使用管理界面l 细粒度安全参数调整l 杰出内容安全综合处理能力
20、l 灵活布署特征,易于布署和维护l 全方面产品线,满足不一样用户需求l 专业技术支持和销售团体l P2P/IM应用安全控制和细粒化管理依据企业网络应用系统现实状况和未来系统结构发展,我们认为着重考虑企业B/S结构应用特点,是防火墙系统技术指标设计关键依据。众所周知,防火墙作为网络设备,对网络性能影响最为关键是两个参数指标,一个是防火墙TCP连接处理能力(并发会话处理数),另一个是防火墙对网络数据流量吞吐能力(带宽参数)。B/S结构应用系统即使含有管理简单,用户端开发、使用和维护成本很低优点,不过在网络上B/S结构应用系统将会给网络带来巨大网络流动数据处理压力,而且是并发。具体来说,B/S结构应
21、用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统并发TCP会话数量,而且这些会话绝大部分是包长很短“垃圾”IP包。而这些垃圾包肯定对网络设备负载有着极大影响。伴随Internet不停普及,新网络应用层出不穷,而且对于网络带宽占用日益增高,如网络视频、网络游戏、BT下载等。企业网络中运行着大量关键应用,这些关键应用很多全部要求极低网络延迟,而网络中大量娱乐应用不停吞占着有限网络带宽,严重影响着关键应用使用。同时安全和速度一直是两个对立面事物。追求更高网络安全是需要以牺牲网络通讯速度为代价,而追求更高网络通讯速度则需要降低网络安全标准。在现在依靠于网络应用时代,能够做到应用
22、层安全检测和安全防护功效是全部安全厂商目标。因为应用层检测需要进行深度数据包解析,而使用传统网络平台所带来网络延迟将是不可接收。好安全功效一样需要好硬件平台去实现。经过对各类防火墙比较分析,我们认为现在面向B/S结构应用、高性能硬件防火墙是最为明智选择。3.1.2 技术优异性和实用性标准网络安全方案中采取技术,含有一定前瞻性,符合一定时期内网络安全技术发展趋势,并在以后一定时期内处于领先地位。网络安全系统设计必需遵照优异性和成熟性。因为IT行业技术更新换代很快,为了确保网络能够满足以后一段时间内应用发展,在选择网络安全技术和设备时不仅要考虑优异性,也要考虑技术成熟性,同时更要考虑接入业务特点等
23、多方面原因。一个新技术在刚出现时往往有很大不稳定和不确定原因,需要有一个发展、逐步完善和实践检验过程,常常有部分技术在刚出现时被宣传和评价很高,但在一段时间后发觉存在很多问题,甚至很快退出市场。用户采取了这种技术,往往会因为设备厂商转产停产等问题,无法对网络扩展升级,最终造成前期投资浪费。一个新技术产品在刚出现时通常价格全部很高,所以选择使用一个新技术最好时机应该是在这种技术在市场上已经得到较为广泛应用,而且在使用中得到肯定以后。即使这时技术可能已经不是最新技术,但技术已经成熟,设备性能价格比更高。所以选择网络技术和设备时不要去追求最新最好,应该遵照优异性和实用性相结合,并找出其中平衡点。3.
24、1.3 高可靠性标准因为网络对数据传输实时性要求,对网络传输步骤要求很高。所以要求选择网络安全设备含有相当高可靠性,要达成电信级标准,含有99.999%可靠性。建设一个运行稳定可靠现代化网络系统,网络中任何一台安全设备或任何一条安全设备上线路发生故障全部不会造成经过该安全设备互联两个网络无法通讯,而且能够确保在不影响网络正常运行情况下完成对网络故障检测和排除。3.1.4 易于扩展和升级标准网络及数据通信技术发展速度快、新设备不停面世,新业务也将逐步运行在新数据网上,用户对带宽需求必将增加,需要将网络系统扩容,所以在网络设计时应充足考虑未来网络扩容和升级问题。伴随企业发展扩大,网络系统性能需要将
25、不停提升,网络规模也会不停扩展,而隔离网络安全设备也一样需要扩容和升级。所以在设计网络时,要充足考虑到网络安全设备可扩展性,为了保护用户投资,设计应确保最少若干年内网络升级和扩展不需要更换关键网络安全设备,只经过增加部分模块就能够实现网络性能和规模扩展,满足以后几年业务发展需要。3.1.5 管理和维护方便性网络系统中全部安全设备均应是可管理,支持远程监控和故障过程诊疗和恢复。可经过网管软件方便地监控网络运行实时情况,对出现问题立即处理和处理。3.1.6 网络安全方案设计3.1.7 方案描述为了XX网站对外提供服务,提议在目前企业web网站Internet出口处使用HillStone防火墙来进行
26、安全保护,用Hillsonte SA系列防火墙作为链路接入设备。为了保护内部网络,我们提议防火墙用NAT模式,隐藏内部私有网段。1. 在网站和Internet连接部分我们布署一台HillStone SA防火墙。 连接InternetISP链路被直接连接到Hillstone SA防火墙上,内部用户需经过关键交换机连接到Hillstone SA防火墙内网口,防火墙做NAT模式。2. 为了保护内部主机和服务器,我们需要将防火墙上端口依据需要划分到不一样安全等级安全区域: 到Internet链路端口划分到UnTrust区域,Trust区域端口连内部网关键交换机。3. 将防火墙设置为NAT模式。这么就能
27、够保护内部私有网段, Hillstone SA防火墙有着强大NAT功效,我们能够依据需要灵活设置NAT,包含1对1NAT,基于端口NAT,源地址NAT和基于目标NAT等。4. 防火墙访问控制策略设定。在防火墙上设置访问控制策略,不许可内网主机访问Internet。或严禁外部对内部非正常形式访问(或依据需求开放一些端口和应用)。HillStone有着强大访问控制策略设置方法,能够有效保护内部网络对Internet访问,和企业对互联网提供多种服务。5. HillStone 防火墙提供VPN功效,外部和远程人员能够经过VPN隧道和防火墙内计算机建立连接。方案能够实现:经过HillStone防火墙,能
28、够有效保护内部网络安全和对外提供服务安全。Hillstone SA防火墙64位专用多核并行处理器能够避免纯ASIC和NP安全系统会话可管理能力和流量控制能力弱弊病,为VPN和应用层内容安全功效提供强大处理能力保障。整个网络安全到了确保,HillStone防火墙将有效保护内部网络,我们能够有效阻止外界对企业内部和服务DOS攻击,和47层应用层攻击。HILLSTONE提供了强大带宽管理功效,能够根据源和目标IP址或地址组、应用程序、端口等 对流量进行分级和处理。QOS带宽管理确保了服务质量,确保关键应用高性能,能够依据具体参数对流量类型进行区分,并确定怎样合适地处理流量类型,从而对内部用户进行高效
29、带宽管理。VPN功效能够确保远程接入用户对内网访问安全性。HillStone处理方案有以下优点:l 提供专业网络安全服务HillStone是一家专业网络安全设备厂商,含有多年安全设备研发和售后经验,能够为用户提供最立即最有效安全处理方案。l 高性能防火墙和防攻击能力HillStone SA系列提供超强防火墙吞吐能力,能够满足企业网络中全部网络环境吞吐要求。同时,SA系列内置了防攻击模块,能够有效地避免网络攻击对企业网络影响。l 优异应用层管控机制HillStone SA系列产品能够为用户提供优异应用层管控技术,包含URL过滤、带宽管理、P2P/IM管理等等,能够使用户在确保网络连通前提下更细粒
30、度管控自己网络。l 提供高性能应用层处理方案HillStone产品采取专用64位多核处理器,能够为应用层数据处理提供前所未有性能支持,确保在高吞吐高流量情况下从容有效地进行应用层管控。l 提升企业网络布署灵活性和扩展性伴随企业发展,企业网络也会不停发展改变。HillStone企业网络处理方案能够凭借HillStone产品多个智能化功效实现,全方面帮助企业网络应用演变。在企业网络特定网络安全环境下,经过HillStone产品布署,灵活进行功效扩展,最大化确保了企业网络灵活性和扩展性。l 降低系统维护难度和成本凭借多个人性化管理维护方法和HillStone集中管理功效实现,HillStone企业网
31、络处理方案能够极大降低系统维护难度和成本。结合HillStone专业当地化厂家技术支持和研发队伍,能够为企业应用提供最优质专业技术保障。3.2 IntruShield网络入侵防护产品介绍IntruShield基于完整攻击分析方法而构建,并引入了业界最为全方面网络攻击特征检测、异常检测和拒绝服务检测技术,除了能够探测攻击,还能够探测已知未知蠕虫和后门程序。3.2.1 网络攻击特征检测为了实现高性能网络攻击特征检测,IntruShield 体系结构不仅采取了创新专利技术,而且集成了全方面状态检测引擎、完善特征规范语言、“用户自定义特征”和实时特征更新,确保了 IntruShield 能够提供并维护
32、业界最为全方面、更新最立即攻击署名数据库。特征规范语言IntruShield以专用高水平特征规范语言为强大支持。IntruShield 能够从应用程序软件中分离出攻击模式特征,在这个独特体系结构中,将特征简单地转换为表单项,从而能够经过直观用户界面实现实时更新,并可被特征引擎立即使用。现在 IDS 产品往往经过软件“补丁程序”来提供新特征,这不仅降低了布署速度(必需依据整个 IDS 软件应用程序进行质量确保),而且也不利于安装(必需重新开启系统)。而 IntruShield 经过从传感器软件中分离攻击模式特征,从而确保了高质量全新特征能够快速布署(无需重新开启系统)。同时,从传感器应用程序代码
33、中分离特征也使得特征编写人员能够将精力集中在特征编写“质量”上,而无需考虑怎样将特征构建为应用程序更新补丁。全方面状态特征检测引擎IntruShield 体系结构特征检测引擎引入了强大上下文敏感检测技术,在数据包中充足利用了状态信息,它经过使用多个令牌匹配来检测超越了数据包界限攻击特征,或超出序列范围数据包流。用户自定义网络攻击特征IntruShield 使得网络安全工程师能够经过一个创新性图形用户界面(GUI)来编写自定义署名,该界面能够使用经过系统协议分析功效所获取字段和数据,或经过 IntruShield 分析机制搜集状态信息。实时特征更新IntruShield 提供创新性实时特征更新极
34、大地提升了管理软件性能,由 IntruVert 更新服务器提供全新特征能够经过策略控制自动发送到整个网络,从而确保了新特征一经创建,网络即可取得最新防护功效。IntruShield 体系结构还许可网络工程师决定何时,和是否在整个网络中布署最新署名。IntruShield 系统无需重新设置或重新开启任何硬件方便激活新署名,所以,它们能够自动地、实时地进行布署。3.2.2 异常检测异常检测技术为 IntruShield 体系结构全方面署名检测过程提供了完美补充,异常检测技术使得网络工程师能够对突发威胁或首次攻击进行拦截,并创建出一套完整“异常档案”,从而保护网络免受目前威胁和未来攻击骚扰。Intr
35、uShield 体系结构提供了业界最为优异、最为全方面异常检测方法 集成了针对统计数据、协议及应用程序异常检测技术。异常/未知攻击例子包含新蠕虫、蓄意隐性攻击、和现有攻击在新环境下变种。异常检测技术也有利于拦截拒绝服务攻击(观察服务质量变动)和分布式 DoS 攻击(IntruShield 系统利用流量样式变动(比如 TCP 控制数据包统计数据)来决定是否立即发生海量数据流)。我们将在下面部分具体讨论拒绝服务攻击。IntruShield 体系结构异常检测技术还能够针对其它威胁提供保护,这包含:缓冲区溢出攻击、由木马程序或内部人员安装“后门”或恶意攻击、利用低频率进行隐性扫描攻击、经过网络中多个发
36、送点传送表面正常数据包、和内部人员违反安全策略(比如,在网络中安装游戏服务器或音乐存档)。3.2.3 拒绝服务检测IntruShield 检测体系结构第三根“支柱”就是它完善拒绝服务防护技术。自动记忆和基于阀值检测IntruShield 体系结构综合利用了基于阀值检测技术和取得专利、含有自动记忆功效基于配置文件检测技术,从而使拒绝服务检测更具智能化。借助基于阀值检测功效,网络安全管理员就能够使用预先编写数据流量限制来确保服务器不会因负载过重而宕机。同时,自动记忆功效使得 IntruShield 体系结构能够分析网络使用方法和流量模式,了解正当网络操作中发生多个正当,但不常见使用模式。两种技术结
37、合确保了对多种 DoS 攻击最高检测正确率 包含分布式拒绝服务攻击(即恶意程序员为了进攻企业或政府网络,同时对上百个,甚至上千个服务器提议攻击)。IntruShield 正确 DoS 检测技术含有很关键意义,因为很多网站和网络全部曾经历过正当(有时是意外)、极具吸引力新程序、服务或应用程序流量冲击。检测技术关联性正如我们所看到,IntruShield 体系结构提供了多个操作模式,使得系统能够捕捉恶意流量、提供全方面攻击分析方法、实施完整智能化署名检测、异常检测和拒绝服务防护技术。IntruShield 体系结构检测关联层连接着系统署名检测、异常检测和拒绝服务检测功效 这种相互关联性和对可疑流量
38、交叉检验功效确保了攻击检测高度正确性。单一 IntruShield 系统能够对防火墙公共网段、专用网段和 DMZ 网段进行全方面保护,并提供这些网段之间相互关联性,从而能够针对被拦截网络攻击或进入专用网络网络攻击提供正确具体信息。3.2.4 入侵防护IntruShield 体系结构提供了业界最正确攻击检测功效,结构了系统攻击响应机制坚实基础。没有足够响应能力 IDS 产品只能为网络安全管理员提供有限功效。现代 IDS 产品必需能够检测出攻击,并提供偏转和拦截恶意流量方法。IntruShield 体系结构为网络安全管理员提供了一整套手动和自动响应方法,并以此构建起企业或政府机构信息技术安全策略基
39、础。就攻击检测来说,IntruShield 体系结构使系统能够实现以下功效:A. 拦截攻击IntruShield 体系结构许可 IDS 以嵌入模式工作,所以,它能够实时地在攻击源和目标之间拦截单一数据包、单一会话或数据流量,从而在进程中拦截攻击,而不会影响任何其它流量。B. 终止会话IntruShield 体系结构许可针对目标系统、攻击者(或二者同时)重新设置并初始化 TCP。网络安全工程师能够对发送给源和/或目标 IP 地址重新设置数据包进行配置。C. 修改防火墙策略IntruShield 体系结构许可用户在发生攻击时重新配置网络防火墙,方法是临时改变用户指定访问控制协议,同时向安全管理员发
40、出警报。D. 实时警报当网络流量违反了安全策略时,IntruShield 体系结构能够实时生成一个警报信息,并发送给管理系统。合理警报配置是保持有效防护关键所在。恶性攻击(比如缓冲区溢出和拒绝服务)往往需要做出实时响应,而对扫描和探测则能够经过日志进行统计,并经过深入研究确定其潜在危害和攻击源。网络安全工程师能够取得相关电子邮件、寻呼程序和脚步警告通知,该通知基于预先配置严重性水平或特定攻击类型,比如拒绝服务攻击。基于脚步警告许可对复杂通知过程进行配置,从而能够针对系统面临攻击向特定团体或个人发出通知。IntruShield 体系结构还提供了一个“警报过滤器”,它许可网络安全工程师依据安全事件
41、起源或目标进行筛选。比如,当 IT 部门经过一个自有 IP 地址实施漏洞扫描时,从该地址生成事件就能够被过滤掉。E. 对数据包进行日志统计在攻击发生时,或攻击发生以后,基于 IntruShield 体系结构系统能够首先捕捉数据包,并对数据包进行日志统计,然后将该流量重新定向到一个空闲系统端口,方便进行具体正当性分析。这个数据包信息就是对触发攻击实际网络流量统计。数据被查看后,将转换为 libpcap 格式,方便进行演示和说明。类似于 Ethereal(运行于 UNIX 和 Windows 平台一款网络协议分析工具)多个工具能够用来检验数据包日志数据,方便对检测到事件进行更为具体分析。Intru
42、Shield 体系结构响应机制提供了该产品平台基础,安全管理员需要在此基础上开发出响应方法、警报和日志系统,方便为复杂现代网络提供最好防护。3.2.5 实时过滤蠕虫病毒和Spyware间谍程序在IntruShieldSignature中包含了蠕虫病毒、Spyware间谍程序、“特洛伊木马”、后门程序Signature,当IntruShield采取In-Line方法布署时,能过过滤掉流经IntruShield这些恶意程序。而且IntruShield邮件未知蠕虫Signature能够探测邮件中夹带未知蠕虫病毒,而且将其丢弃,从而使得IntruShield能够对抗新、未来出现蠕虫病毒。3.2.6 虚
43、拟IPSIntruShield 传感器支持全新、功效强大虚拟 IPS (VIPS(TM)。 虚拟 IPS 能够将 IntruShield 传感器划分为多个虚拟传感器,这些虚拟传感器能够根据细化安全策略(包含自定义攻击选择及相关响应方法)进行全方面自定义。 VIPS 能够依据一组 IP 地址、一个或多个 VLAN 标识来定义,也能够经过传感器上特定端口来定义。虚拟IPS能够为内部不一样部门、不一样地理位置机构或职能部门分别设置虚拟 IPS 域,从而能够为每一个虚拟 IPS 设置各自安全策略。这种方法为现代组织提供了极大便利,使它们能够高效地管理分散网络用户。IntruShield 1400支持3
44、2个虚拟IPS,IntruShield 3000支持1000个虚拟IPSIntruShield 体系结构虚拟 IPS 功效能够经过三种方法来实施。第一,将虚拟局域网 (VLAN) 标志分配给一组网络资源;第二,使用无类别域内路由 (CIDR) 标志来保护一组 IP 地址;第三,将 IntruShield 系统接口专门用于保护特定部门、地域机构或组织职能部门网络资源。基于 CIDR VIPS 实施能够使用 /32 掩码具体到单一主机水平。比如,能够使用单一主机特有策略来识别 DoS 攻击,并做出响应。3.2.7 灵活布署方法IntruShield支持完全实时攻击阻断嵌入(In-Line)模式,也
45、支持传统SPAN和HUB监控接入方法、TAP接入和端口群集接入模式。嵌入模式:IntruShield 系统在数据路径上,活动流量必需经过它们。IntruShield 系统经过实时拦截恶意流量来预防网络攻击。用户能够全方面自定义预防方法,比如自动拦截针对特定 Web 服务器 DoS 流量。高速防护和高度可用操作使得 IntruShield 系统能够布署在任务关键型环境中。交换端口分析器(SPAN)和集线器监控:一台或多台网络交换机集线器端口或 SPAN 端口全部能够连接到 IntruShield 系统检测端口。传感器能够使用同一端口来激活响应方法,比如重新设置某个 TCP 连接。TAP模式:可对
46、全双工以太网链接网络通信进行双向监控。经过完全捕捉某个链接上全部流量,能够更清楚了解某个网络攻击起源和本质 并提供所需具体信息,方便能够对未来攻击进行拦截。这种全双工监控能力使得 IntruShield 系统能够维护完整状态信息。响应方法包含防火墙重新配置,和经过专用响应端口来重新设置并初始化 TCP。端口群集使得单一 IntruShield 系统经过多个端口监控流量能够“聚合”成一个流量流,方便进行状态分析和入侵分析。该功效对于非对称路由环境尤其有用,因为这种环境下,请求数据包和响应数据包可能会经过不一样链接进行传送。单一 IntruShield 系统就能够监控多个链接,同时能够维护正确、完整状态信息。
浙ICP备2021020529号-1 | 浙B2-20240490 
