1、XX网站安全解决方案网络安全解决方案上海恒驰信息技术有限目 录1企业面临的威胁1-41.1应用安全的重要性1-42应用安全解决方案2-62.1XX网站现状2-62.2客户网络现状分析2-62.3XX网站安全解决方案2-73部署的产品3-93.1Hillstone公司简介3-93.1.1面向应用的高性能防火墙需求3-103.1.2技术先进性和实用性原则3-143.1.3高可靠性原则3-143.1.4易于扩展和升级的原则3-143.1.5管理和维护的方便性3-153.1.6网络安全方案设计3-153.1.7方案描述3-153.2IntruShield网络入侵防护产品简介3-173.2.1网络攻击特
2、征检测3-173.2.2异常检测3-193.2.3拒绝服务检测3-193.2.4入侵防护3-203.2.5实时过滤蠕虫病毒和Spyware间谍程序3-233.2.6虚拟IPS3-233.2.7灵活的部署方式3-241 企业面临的威胁随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。在信息和网络被广泛应用的今天,Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,任何一个网络管理或使用者都非常清楚,所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。Internet攻击行为来自于以下方面:a)黑客有目的的远程攻击入侵,造成信息泄
3、露,或者破坏网络、应用和服务器系统,造成网络、应用和服务器系统瘫痪;b)蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入服务器后为黑客攻击留下后门,同时造成网络拥塞,甚至中断,如NetSky、Mydoom等蠕虫病毒;c)蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。d)DOS/DDOS攻击的威胁,会造成网络服务中断。e)网络异常流量1.1 应用安全的重要性随着计算机与网络通信技术的发
4、展,越来越多的企业活动建立在计算机网络信息系统的基础上。而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切。Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。来自Internet的威胁越来越频繁,不断出现的网络攻击,网络病毒,间谍软件,木马程序,并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用,还给企业和个人带来了信息和经济的损失,而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗”。通过部署网络防火墙设备,实现:1. 把内网服务器和Internet做物理隔离,
5、拒绝非法访问2. 基于服务器的发布,映射服务器特定端口,给Internet用户提供服务3. 严格的策略的控制在web服务器和Internet的连接部分我们部署一台HillStone系列防火墙。 连接Internet的ISP链路被直接连接到HillStone防火墙上,内部web服务器需通过HillStone防火墙连接到Internet。为了内部服务器,我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区域: 到Internet的链路端口划分到UnTrust区域,Trust区域端口连内部网的交换机。将防火墙设置为NAT模式。这样就可以保护内部的私有网段,SA系列防火墙有着强大的NAT功能,我
6、们可以根据需要灵活的设置NAT,包括1对1的NAT,基于端口的NAT,源地址NAT和基于目的的NAT等。HillStone有着强大的访问控制策略设置方法,可以有效保护内部网络对Internet的访问,和公司对互联网提供的各种服务。通过部署网络入侵防护设备,实现:1. 探测出黑客攻击,并且实时阻断黑客的攻击;2. 能够探测出已知和未知的蠕虫,实时阻止这些蠕虫进入自来水公司网络;3. 探测异常网络流量,阻止进入自来水公司网络;4. 探测和阻挡DOS/DDOS攻击McAfee IntruShield(IPS)既能实时阻挡黑客攻击,又能阻挡中、高威胁蠕虫病毒,并且具有完整的阻挡DDOS攻击的能力,包括
7、对抗Syn Flood的Syn-Cookie技术。因此,在自来水公司Internet接入位置部署一台入侵防护设备既作为网络入侵防护设备、同时又作为防DOS/DDOS设备,用以探测和过滤黑客攻击,网络异常流量(异常流量包括蠕虫病毒和蠕虫病毒传播导致的异常流量入Nach Ping、Sql Slammer异常流量等,另一大类当前网络的异常流量是由Botnet僵尸网络攻击引起的异常流量,这类流量和传统的DOS/DDOS攻击不一样)、DOS/DDOS攻击。2 应用安全解决方案2.1 XX网站现状XX网站是托管在IDC机房,Internet接入交换机,服务器设置公网IP地址,无任何安全措施,web服务器完
8、全暴露在公网上,存在很大的安全隐患,还时常遭受黑客的攻击,导致正常访问的中断。XX网站拓扑结构示意图如下所示:2.2 客户网络现状分析面临的外部安全威胁:1. 黑客的攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,可能造成网络、应用和服务器系统瘫痪;2. 蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入网站计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中断;3. 蠕虫、恶意程序利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slamme
9、r、Ni集成商a、“冲击波”和Nachi蠕虫病毒;4. 面临DOS/DDOS攻击,造成网络服务中断;5. P2P、IM等特殊应用缺乏管理和阻断的手段;6. 越来越多的新型应用,如VoIP、SSL加密数据、IPv6等没有相应的防护手段;7. 来自Internet各类安全威胁,没有有效的手段进行评估,并通过高效的措施将其阻断。2.3 XX网站安全解决方案基于XX网站以上问题,上海恒驰信息有限公司处于负责的态度建议客户从网关处部署一整套安全防护系列产品来完善企业网站的安全建设,其中包括:1. Hillstone安全防火墙2. McAfee IntruShield 入侵检测设备根据以上的安全威胁分析,
10、我们需要采取相应措施解决这些安全问题,因此,安全需求可以归纳为以下几方面:(1) 设定严格的策略控制,阻止非授权的访问;(2) 加强网络边界的安全防护手段,准确的检测入侵行为,并能够实时阻断攻击;(3) 能够检测出已知或未知的各种攻击形式,实时阻断黑客攻击;(4) 能够探测出已知和未知的蠕虫、病毒及恶意代码,准确定位传染源,并能够阻断蠕虫通过网络进行传播;(5) 能够检测异常网络流量,有效阻断DoS/DDoS攻击;(6) 能够检测针对网络的加密攻击;(7) 能够对整个客户网络进行实时、准确、全面的入侵防护;(8) 通过现有系统或新购产品,及时识别网络中的安全弱点,并且获得具体的安全弱点的修补建
11、议;(9) 发现新的弱点和新的威胁时,能够有手段在Internet入口及网络边界阻止这些威胁,实时保护内部网络的安全;(10) 需要依照全行的安全策略和管理策略,部署先进高效的网络入侵防护产品,并从安全风险管理的角度出发,真正有的放矢地解决网络安全问题;(11) 最后,客户更需要建立一个信息安全管理体系,通过一定的基本原则和管理流程,整合好目前已经部署和使用的安全产品,真正做到对安全风险的有效管理。产品部署之后的网络示意图如下:3 部署的产品3.1 Hillstone公司简介山石网科通信技术(北京)有限公司(以下简称“山石网科”)创建于2006年,是网络安全领域的代表企业之一,公司总部位于中国
12、北京,并在美国硅谷设有研发中心。山石网科积累了多年网络安全产品研发和市场运做经验,专注于信息安全,是专业的新一代安全网络设备提供商。 目前,山石网科拥有员工200余人,其中博士、硕士占30%以上,公司的核心团队由来自 Juniper、Cisco、Netscreen、Fortinet和H3C等中外著名企业的精英组成,具备先进的技术经验和丰富的企业管理经验。公司总注册资金475万美金,设有系统架构部,系统运营 部,软件系统部,渠道销售部,售前售后技术部等部门,并且已经通过投资、控股和合作等形式,在亚太区形成了良性发展的产业和营销体系。 自成立以来,山石网科就以“贴近市场,贴近客户,快速把握并满足客
13、户需求”为己任,用产品和方案来帮助客户获得网络安全,从而实现自身的企业价值。山石 网科凭借其独特的服务精神和强大的技术实力,以国际一流的技术打造适合中国本土化应用需求的高性能产品,并提供高性价比的新一代网络安全整体解决方案,服 务于中国高速发展的网络市场。作为产业链中至关重要的一环,山石网科勇于创新,公司的SR系列安全路由器和SA系列安全网关产品,已经为网络安全领域树立 了新的安全网络产品质量水平,在国内各大中小型企业及各高校中拥有了强大的客户群体,并赢得了用户的高度肯定。在网络时代的今天,山石网科愿与所有客户、合作伙伴一起,在探索与实践中国网络安全稳健和谐发展的新长征中,携手共赢!3.1.1
14、 面向应用的高性能防火墙需求传统防火墙以网络层防护为主,软硬件的设计围绕着网络层的安全防护展开,产品经过了第一代纯软件防火墙系统、基于PC架构的第二代硬件防火墙系统和第三代的基于ASIC和NP(网络处理器)纯硬件防火墙系统。第三代基于ASIC和NP架构的防火墙可以实现高性能的网络安全防护,对于应用层的安全防护无能为力,应用层完全依靠通用CPU进行处理,包括目前流行的UTM产品,一旦打开应用层安全防护功能,如P2P/IM安全控制、IPS、Web过滤、防病毒以及防垃圾邮件等内容过滤功能,性能会急剧下降,无法满足用户实际的网络安全需求。基于以上原因,Hillstone全线产品采用了创新的新一代网络安
15、全架构,硬件平台采用64位高性能的多核处理器Multi-Core CPU(多达16核),内部传输采用高达24Gbps高速交换总线,其网络安全的处理能力达到了一个新的起点:比如,安全产品中重要参数之一的每秒新建会话数是目前业界最高性能的基于ASIC和NP架构安全产品的5到10倍!64位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障,同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。由于新一代64位多核处理器Multi-Core CPU集成了IPSec VPN、SSL VPN、TCP、QoS、压缩/解压缩以及其他安全功能的芯片级硬件加速功能,使
16、得Hillstone安全产品具有强大高效的VPN和应用层安全处理能力。采用创新的新一代网络安全架构的Hillstone安全产品提供了更高、更可靠、更稳定和更安全的综合处理能力,开创了新一代网络安全的新纪元。多达16核的专用64位MIPS处理器具有强大的应用层安全处理能力,众所周知,应用层安全的效率很大程度上依赖于CPU的处理能力,即使基于ASICNP架构的安全系统一旦要处理应用层的数据也必须依赖于CPU,而目前安全产品在CPU资源上有很大瓶颈,因此有些厂商已经放弃ASICNP架构而采用纯CPU的架构。Hillstone采用多核处理器,使得该硬件架构充分考虑到了应用安全和网络安全的平衡,在某些性
17、能指标上有了质的飞越,如作为安全网络产品重要指标之一的每秒新建连接数最高达到了20万秒,同时结合内部高速交换总线和多核64位专用处理器,Hillstone安全产品具有了强大的应用安全处理能力和可扩展能力,为集成更多的应用安全提供了强大的资源保障。强健的专用实时64位并行操作系统(Robust Specific Real time Operating System)Hillstone全线产品采用专用多线程实时64位并行操作系统,多线程的并行处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效率
18、、系统稳定性和安全性。模块化和多线程的处理机制,为Hillstone新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。 众所周知,操作系统是整个安全设备的核心和基础,安全产品的操作系统必须具有很强的抗攻击能力,而基于软件的安全系统采用的是通用的操作系统,通用操作系统会暴露大量的操作系统漏洞,安全系统再强大,操作系统的漏洞会直接导致这个系统的崩溃。目前,专用定制的操作系统被广泛采用。Hillstone安全产品均采用定制的专用操作系统StoneOS。StoneOS具有64位实时并行处理能力,其核心针对Hillstone硬件产品进行了全面优化,使得系统具有更高的处理
19、效率和稳定性。模块化的系统结构易于继承更多的安全功能,系统具有极强的伸缩性和可扩展性。任何独立的安全模块出现问题都不会影响整个系统的运行。高可靠性和稳定性(High Reliability and Stability) 积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone新一代网络安全产品在软硬件的可靠性和稳定性上都有了进一步提高。全面优化的软硬件系统带来高可靠性和稳定性,这为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。Hillstone安全产品最大程度上确保企业关键业务的不间断运行,提高用户的竞争力。最低的总体拥有成本(Lowest TCO)Hillstone全线
20、产品提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性可以满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。Hillstone安全产品解决方案特点:l 创新的新一代网络安全架构l 高性能的综合安全系统l 高可靠性和扩展性l 高性价比l 丰富的安全特性l 最低的TCOl 友好和易于使用的管理界面l 细粒度的安全参数调整l 杰出的内容安全综合处理能力l 灵活的部署特性,易于部署和维护l 全面的产品线,满足不同用户的需求l 专业的技术支持和销售团队l P2P/IM应用的安全控制和细粒化管理根据企业网络应用系统的现状以及未
21、来系统的结构发展,我们认为着重考虑企业的B/S结构应用特点,是防火墙系统技术指标设计的主要依据。众所周知,防火墙作为网络设备,对网络性能影响最为主要的是两个参数指标,一个是防火墙的TCP连接处理能力(并发会话处理数),另一个是防火墙对网络数据流量的吞吐能力(带宽参数)。B/S结构的应用系统虽然具有管理简单,客户端开发、使用和维护的成本很低的优点,但是在网络上B/S结构应用系统将会给网络带来巨大的网络流动数据处理压力,而且是并发的。具体来说,B/S结构的应用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统的并发TCP会话数量,而且这些会话绝大部分是包长很短的“垃圾”IP包。
22、而这些垃圾包必然对网络设备的负载有着极大影响。随着Internet的不断普及,新的网络应用层出不穷,并且对于网络带宽的占用日益增高,如网络视频、网络游戏、BT下载等。企业网络中运行着大量的关键应用,这些关键应用很多都要求极低的网络延迟,而网络中大量的娱乐应用不断吞占着有限的网络带宽,严重影响着关键应用的使用。同时安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所
23、带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。通过对各类防火墙的比较分析,我们认为目前面向B/S结构应用、高性能的硬件防火墙是最为明智的选择。3.1.2 技术先进性和实用性原则网络安全方案中采用技术,具有一定的前瞻性,符合一定时期内网络安全技术发展的趋势,并在今后一定的时期内处于领先地位。网络安全系统设计必须遵循先进性和成熟性。由于IT行业的技术更新换代很快,为了保证网络能够满足今后一段时间内应用的发展,在选择网络安全技术和设备时不仅要考虑先进性,也要考虑技术的成熟性,同时更要考虑接入业务的特点等多方面的因素。一种新技术在刚出现时往往有很大不稳定和不确定因素,需要有一个
24、发展、逐步完善和实践检验的过程,经常有一些技术在刚出现时被宣传和评价很高,但在一段时间后发现存在很多问题,甚至很快退出市场。用户采用了这种技术,往往会因为设备厂商转产停产等问题,无法对网络扩展升级,最终造成前期投资的浪费。一种新的技术产品在刚出现时一般价格都非常高,所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用,并且在使用中得到肯定之后。虽然这时的技术可能已经不是最新的技术,但技术已经成熟,设备的性能价格比更高。所以选择网络技术和设备时不要去追求最新最好,应该遵循先进性和实用性相结合,并找出其中的平衡点。3.1.3 高可靠性原则由于网络对数据传输的实时性的要求
25、,对网络的传输环节要求很高。因而要求选用的网络安全设备具有相当高的可靠性,要达到电信级标准,具备99.999%的可靠性。建设一个运行稳定可靠的现代化网络系统,网络中任何一台安全设备或任何一条安全设备上的线路发生故障都不会导致通过该安全设备互联的两个网络无法通讯,并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除。3.1.4 易于扩展和升级的原则网络及数据通信技术发展速度快、新的设备不断面世,新业务也将逐步运行在新的数据网上,用户对带宽的需求必将增长,需要将网络系统扩容,因此在网络设计时应充分考虑将来网络的扩容和升级问题。随着企业的发展扩大,网络的系统性能的需要将不断提高,网络的
26、规模也会不断扩展,而隔离网络的安全设备也同样需要扩容和升级。所以在设计网络时,要充分考虑到网络安全设备的可扩展性,为了保护用户的投资,设计应保证至少若干年内网络的升级和扩展不需要更换主要网络安全设备,只通过增加一些模块就可以实现网络性能和规模的扩展,满足今后几年业务发展的需要。3.1.5 管理和维护的方便性网络系统中的所有安全设备均应是可管理的,支持远程监控和故障的过程诊断和恢复。可通过网管软件方便地监控网络运行的实时情况,对出现的问题及时处理和解决。3.1.6 网络安全方案设计3.1.7 方案描述为了XX网站对外提供的服务,建议在当前企业的web网站Internet出口处使用HillSton
27、e防火墙来进行安全保护,用Hillsonte SA系列防火墙作为链路接入设备。为了保护内部网络,我们建议防火墙用NAT模式,隐藏内部私有网段。1. 在网站和Internet的连接部分我们部署一台HillStone SA防火墙。 连接Internet的ISP链路被直接连接到Hillstone SA防火墙上,内部用户需通过核心交换机连接到Hillstone SA防火墙内网口,防火墙做NAT模式。2. 为了保护内部的主机和服务器,我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区域: 到Internet的链路端口划分到UnTrust区域,Trust区域端口连内部网的核心交换机。3. 将防火墙
28、设置为NAT模式。这样就可以保护内部的私有网段, Hillstone SA防火墙有着强大的NAT功能,我们可以根据需要灵活的设置NAT,包括1对1的NAT,基于端口的NAT,源地址NAT和基于目的的NAT等。4. 防火墙访问控制策略的设定。在防火墙上设置访问控制策略,不允许内网主机访问Internet。或者禁止外部对内部的非正常形式的访问(或依据需求开放某些端口和应用)。HillStone有着强大的访问控制策略设置方法,可以有效保护内部网络对Internet的访问,和公司对互联网提供的各种服务。5. HillStone 防火墙提供VPN功能,外部和远程的人员可以通过VPN隧道与防火墙内的计算机
29、建立连接。方案可以实现:通过HillStone防火墙,能够有效保护内部网络的安全和对外提供的服务安全。Hillstone SA防火墙的64位专用多核并行处理器能够避免纯ASIC和NP安全系统会话可管理能力和流量控制能力弱的弊病,为VPN和应用层内容安全功能提供强大的处理能力保障。整个网络安全的到了保证,HillStone防火墙将有效保护内部网络,我们能够有效阻止外界对公司内部和服务的DOS攻击,以及47层的应用层攻击。HILLSTONE提供了强大的带宽管理功能,可以按照源和目标IP址或者地址组、应用程序、端口等 对流量进行分级和处理。QOS带宽管理确保了服务质量,保证关键应用的高性能,可以根据
30、具体参数对流量类型进行区分,并确定如何恰当地处理流量类型,从而对内部的用户进行高效的带宽管理。VPN功能可以保证远程接入用户对内网访问的安全性。HillStone的解决方案有如下优点:l 提供专业的网络安全服务HillStone是一家专业的网络安全设备厂商,具备多年安全设备研发和售后经验,能够为用户提供最及时最有效的安全解决方案。l 高性能的防火墙和防攻击能力HillStone SA系列提供超强的防火墙吞吐能力,能够满足企业网络中所有网络环境的吞吐要求。同时,SA系列内置了防攻击模块,能够有效地避免网络攻击对企业网络的影响。l 先进的应用层管控机制HillStone SA系列产品能够为用户提供
31、先进的应用层管控技术,包括URL过滤、带宽管理、P2P/IM管理等等,能够使用户在保证网络连通的前提下更细粒度的管控自己的网络。l 提供高性能的应用层解决方案HillStone产品采用专用的64位多核处理器,能够为应用层数据处理提供前所未有的性能支持,保证在高吞吐高流量的情况下从容有效地进行应用层的管控。l 提高企业网络部署的灵活性和扩展性随着企业发展,企业网络也会不断发展变化。HillStone企业网络解决方案能够凭借HillStone产品的多种智能化的功能实现,全面协助企业网络应用的演变。在企业网络的特定网络安全环境下,通过HillStone产品的部署,灵活的进行功能扩展,最大化的保证了企
32、业网络的灵活性和扩展性。l 降低系统维护难度和成本凭借多种人性化管理维护方式和HillStone集中管理功能的实现,HillStone企业网络解决方案能够极大的降低系统的维护难度和成本。结合HillStone专业本地化厂家技术支持和研发队伍,能够为企业应用提供最优质的专业技术保障。3.2 IntruShield网络入侵防护产品简介IntruShield基于完整的攻击分析方法而构建,并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝服务检测技术,除了可以探测攻击,还可以探测已知未知蠕虫和后门程序。3.2.1 网络攻击特征检测为了实现高性能的网络攻击特征检测,IntruShield 体系结构
33、不仅采用了创新的专利技术,而且集成了全面的状态检测引擎、完善的特征规范语言、“用户自定义特征”以及实时特征更新,确保了 IntruShield 能够提供并维护业界最为全面、更新最及时的攻击签名数据库。特征规范语言IntruShield以专用的高水平特征规范语言为强大支持。IntruShield 能够从应用程序软件中分离出攻击模式特征,在这个独特的体系结构中,将特征简单地转换为表单项,从而可以通过直观的用户界面实现实时更新,并可被特征引擎立即使用。目前的 IDS 产品往往通过软件“补丁程序”来提供新的特征,这不仅降低了部署速度(必须根据整个 IDS 软件应用程序进行质量保证),而且也不利于安装(
34、必须重新启动系统)。而 IntruShield 通过从传感器软件中分离攻击模式特征,从而确保了高质量的全新特征可以快速部署(无需重新启动系统)。同时,从传感器应用程序代码中分离特征也使得特征编写人员能够将精力集中在特征编写的“质量”上,而无需考虑如何将特征构建为应用程序更新补丁。全面的状态特征检测引擎IntruShield 体系结构的特征检测引擎引入了强大的上下文敏感检测技术,在数据包中充分利用了状态信息,它通过使用多个令牌匹配来检测超越了数据包界限的攻击特征,或超出序列范围的数据包流。用户自定义网络攻击特征IntruShield 使得网络安全工程师能够通过一个创新性的图形用户界面(GUI)来
35、编写自定义签名,该界面能够使用通过系统的协议分析功能所获取的字段和数据,或者通过 IntruShield 的分析机制收集的状态信息。实时特征更新IntruShield 提供的创新性实时特征更新极大地提升了管理软件的性能,由 IntruVert 更新服务器提供的全新特征可以通过策略控制自动发送到整个网络,从而确保了新的特征一经创建,网络即可获得最新的防护功能。IntruShield 体系结构还允许网络工程师决定何时,以及是否在整个网络中部署最新的签名。IntruShield 系统无需重新设置或重新启动任何硬件以便激活新的签名,因此,它们能够自动地、实时地进行部署。3.2.2 异常检测异常检测技术
36、为 IntruShield 体系结构全面的签名检测过程提供了完美的补充,异常检测技术使得网络工程师能够对突发威胁或首次攻击进行拦截,并创建出一套完整的“异常档案”,从而保护网络免受当前威胁和未来攻击的骚扰。IntruShield 体系结构提供了业界最为先进、最为全面的异常检测方法 集成了针对统计数据、协议及应用程序的异常检测技术。异常/未知攻击的例子包括新的蠕虫、蓄意的隐性攻击、以及现有攻击在新环境下的变种。异常检测技术也有助于拦截拒绝服务攻击(观察服务质量的变动)和分布式 DoS 攻击(IntruShield 系统利用流量样式变动(例如 TCP 控制数据包的统计数据)来决定是否即将发生海量的
37、数据流)。我们将在下面的部分具体讨论拒绝服务攻击。IntruShield 体系结构的异常检测技术还能够针对其它威胁提供保护,这包括:缓冲区溢出攻击、由木马程序或内部人员安装的“后门”或恶意攻击、利用低频率进行的隐性扫描攻击、通过网络中的多个发送点传送表面正常的数据包、以及内部人员违反安全策略(例如,在网络中安装游戏服务器或音乐存档)。3.2.3 拒绝服务检测IntruShield 检测体系结构的第三根“支柱”就是它完善的拒绝服务防护技术。自动记忆以及基于阀值的检测IntruShield 体系结构综合利用了基于阀值的检测技术和获得专利的、具有自动记忆功能的基于配置文件的检测技术,从而使拒绝服务检
38、测更具智能化。借助基于阀值的检测功能,网络安全管理员就能够使用预先编写的数据流量限制来确保服务器不会因负载过重而宕机。同时,自动记忆功能使得 IntruShield 体系结构能够分析网络使用方法和流量的模式,了解合法网络操作中发生的多种合法,但不常见的使用模式。两种技术的结合确保了对各种 DoS 攻击的最高检测准确率 包括分布式拒绝服务攻击(即恶意程序员为了进攻企业或政府网络,同时对上百个,甚至上千个服务器发起攻击)。IntruShield 准确的 DoS 检测技术具有非常重要的意义,因为很多网站和网络都曾经历过合法的(有时是意外的)、极具吸引力的新程序、服务或应用程序的流量冲击。检测技术的关
39、联性正如我们所看到的,IntruShield 体系结构提供了多种操作模式,使得系统能够捕捉恶意流量、提供全面的攻击分析方法、实施完整的智能化签名检测、异常检测以及拒绝服务防护技术。IntruShield 体系结构的检测关联层连接着系统的签名检测、异常检测以及拒绝服务检测功能 这种相互关联性以及对可疑流量的交叉检查功能确保了攻击检测的高度准确性。单一 IntruShield 系统能够对防火墙的公共网段、专用网段以及 DMZ 网段进行全面的保护,并提供这些网段之间的相互关联性,从而能够针对被拦截的网络攻击或者进入专用网络的网络攻击提供准确的详细信息。3.2.4 入侵防护IntruShield 体系
40、结构提供了业界最准确的攻击检测功能,构造了系统攻击响应机制的坚实基础。没有足够响应能力的 IDS 产品只能为网络安全管理员提供有限的功能。现代的 IDS 产品必须能够检测出攻击,并提供偏转和拦截恶意流量的方法。IntruShield 体系结构为网络安全管理员提供了一整套手动的和自动的响应措施,并以此构建起企业或政府机构信息技术安全策略的基础。就攻击检测来说,IntruShield 体系结构使系统可以实现以下功能:A. 拦截攻击IntruShield 体系结构允许 IDS 以嵌入模式工作,因此,它能够实时地在攻击源和目标之间拦截单一数据包、单一会话或数据流量,从而在进程中拦截攻击,而不会影响任何
41、其它流量。B. 终止会话IntruShield 体系结构允许针对目标系统、攻击者(或二者同时)重新设置并初始化 TCP。网络安全工程师可以对发送给源和/或目标 IP 地址的重新设置数据包进行配置。C. 修改防火墙策略IntruShield 体系结构允许用户在发生攻击时重新配置网络防火墙,方法是临时改变用户指定的访问控制协议,同时向安全管理员发出警报。D. 实时警报当网络流量违反了安全策略时,IntruShield 体系结构能够实时生成一个警报信息,并发送给管理系统。合理的警报配置是保持有效防护的关键所在。恶性攻击(例如缓冲区溢出以及拒绝服务)往往需要做出实时响应,而对扫描和探测则可以通过日志进
42、行记录,并通过进一步的研究确定其潜在的危害和攻击源。网络安全工程师能够获得有关电子邮件、寻呼程序以及脚步警告的通知,该通知基于预先配置的严重性水平或特定的攻击类型,例如拒绝服务攻击。基于脚步的警告允许对复杂的通知过程进行配置,从而能够针对系统面临的攻击向特定团体或个人发出通知。IntruShield 体系结构还提供了一个“警报过滤器”,它允许网络安全工程师根据安全事件的来源或目标进行筛选。例如,当 IT 部门通过一个自有 IP 地址执行漏洞扫描时,从该地址生成的事件就可以被过滤掉。E. 对数据包进行日志记录在攻击发生时,或攻击发生之后,基于 IntruShield 体系结构的系统能够首先捕获数
43、据包,并对数据包进行日志记录,然后将该流量重新定向到一个空闲的系统端口,以便进行详细的合法性分析。这个数据包信息就是对触发攻击的实际网络流量的记录。数据被查看后,将转换为 libpcap 格式,以便进行演示和说明。类似于 Ethereal(运行于 UNIX 和 Windows 平台的一款网络协议分析工具)的多种工具可以用来检验数据包日志数据,以便对检测到的事件进行更为详细的分析。IntruShield 体系结构的响应机制提供了该产品平台的基础,安全管理员需要在此基础上开发出响应措施、警报以及日志系统,以便为复杂的现代网络提供最佳的防护。3.2.5 实时过滤蠕虫病毒和Spyware间谍程序在In
44、truShield的Signature中包含了蠕虫病毒、Spyware间谍程序、“特洛伊木马”、后门程序的Signature,当IntruShield采用In-Line方式部署时,能过过滤掉流经IntruShield的这些恶意程序。而且IntruShield的邮件未知蠕虫Signature可以探测邮件中夹带的未知蠕虫病毒,并且将其丢弃,从而使得IntruShield可以对抗新的、将来出现的蠕虫病毒。3.2.6 虚拟IPSIntruShield 传感器支持全新的、功能强大的虚拟 IPS (VIPS(TM)。 虚拟 IPS 能够将 IntruShield 传感器划分为多个虚拟传感器,这些虚拟传感器
45、可以按照细化的安全策略(包括自定义的攻击选择及相关响应措施)进行全面的自定义。 VIPS 可以根据一组 IP 地址、一个或多个 VLAN 标记来定义,也可以通过传感器上的特定端口来定义。虚拟IPS可以为内部的不同部门、不同地理位置的机构或职能部门分别设置虚拟 IPS 域,从而可以为每一个虚拟 IPS 设置各自的安全策略。这种方法为现代组织提供了极大的便利,使它们能够高效地管理分散的网络用户。IntruShield 1400支持32个虚拟IPS,IntruShield 3000支持1000个虚拟IPSIntruShield 体系结构的虚拟 IPS 功能可以通过三种方法来实施。第一,将虚拟局域网
46、(VLAN) 标志分配给一组网络资源;第二,使用无类别域内路由 (CIDR) 标志来保护一组 IP 地址;第三,将 IntruShield 系统接口专门用于保护特定部门、地区机构或组织职能部门的网络资源。基于 CIDR 的 VIPS 实施能够使用 /32 掩码具体到单一主机的水平。例如,可以使用单一主机的特有策略来识别 DoS 攻击,并做出响应。3.2.7 灵活的部署方式IntruShield支持完全实时攻击阻断的嵌入(In-Line)模式,也支持传统的SPAN与HUB监控接入方式、TAP接入和端口群集接入模式。嵌入模式:IntruShield 系统位于数据路径上,活动的流量必须通过它们。In
47、truShield 系统通过实时拦截恶意流量来防止网络攻击。用户可以全面自定义预防措施,例如自动拦截针对特定 Web 服务器的 DoS 流量。高速的防护以及高度可用的操作使得 IntruShield 系统能够部署在任务关键型环境中。交换端口分析器(SPAN)与集线器监控:一台或多台网络交换机的集线器端口或 SPAN 端口都可以连接到 IntruShield 系统的检测端口。传感器可以使用同一端口来激活响应措施,例如重新设置某个 TCP 连接。TAP模式:可对全双工以太网链接的网络通信进行双向监控。通过完全捕获某个链接上的所有流量,可以更清楚的了解某个网络攻击的来源和本质 并提供所需的详细信息,以便能够对未来的攻击进行拦截。这种全双工监控能力使得 IntruShield 系统能够维护完整的状态信息。响应措施包括防火墙重新配置,以及通过专用响应端口来重新设置并初始化 TCP。3.3 端口群集使得单一 IntruShield 系统通过多个端口监控的流量能够“聚合”成一个流量流,以便进行状态分析和入侵分析。该功能对于非对称路由环境尤其有用,因为这种环境下,请求数据包和响应数据包可能会通过不同的链接进行传送。单一的 IntruShield 系统就能够监控多个链接,同时可以维护准确的、完整的状态信息。合同管理制度