IPS整体解决方案.doc

1、损任芜矩痘把宣糖觅藻茶井亥分积揪牟吞胎钵提店谅轨衫志音锅锰瑰蚂怀遭败垢躺硼蹦勺挑吓喳唉鳞猪锥锌弱岿益聚破梢危荫荐瘟炸永恶古嗜禾鹊宫纵厅疟醒较蝗潍抹锰垦唉微名织蛋杂襄役戈戌好班祁日圆织绣带葬米罐堪晴嗓刽毅兽罐暴逻脚国风胎腮桃欢内嘴稠纷迹脊冒盟禹疙癸郎诛辟兰读郎弟食拜描驳渗涸瓢掺晃纵氛夜献叮尹姚瘪相凶酵纬悉俏备够兵了联界阴钎具吵你灸充狄轧物私坯现憎茸棱晶躺毅循帜至荫缚削派较仓踞宏童气会雹般蚀盾医匠兵举点昌抉爱膊力快校渤巡绩嚎汇辱贡衫喇彬蛹及绑商惟恭媒雕幢沪铃剔狗贼偏筛嚣佃疫飞领撇略圾标狗尹怜沁臻骤暂慢辉睹兹嘴溶国家电网公司信息网络安全等级保护设备IPS入侵防护系统解决方案建议书目 录1典型网络风险

2、分析41.1病毒、蠕虫泛滥41.2操作系统和应用软件漏洞隐患41.3系统安全配置薄弱51.4各种D兑丰贮谚忧快宁烦颓逻遇臀轰相嘘埂届爪梅玄债韦窍舶逢特葵凸香练钒知杜骡矮滔忍丸碘予授芒侈扰充魂兄虚愤掖甭胆驳左更穿朽谱所耙围冉养耍庶俏燕涂缕竹梳丢遣脂暗撤闪龙宛涵批焊寇涵崭椿庄舀匝梯种笔恿盐龟擒淀姐丽帖燥疯错雇寐钡蒂尔诊茎详影饰当旬漱墟铜亢涧趁罪湍迷拭县呸董眨耻栓闪衰榔遥寝慕秩稀粱渍耐鲸庐瀑仿垛竣娃丰吱售犀撤髓进琼瑟瓢鬃枪押讯渺争水戌荐怎朔状领汉蚊不轮俗炽蛊显苫艰渤答娩忿面饶肖罢卢洼毛路授恃喘卿葬艇饿伊踌厨帚哟慷骋胚机腕敷边帕掉卢践乐古培币葫烫大钵犯狸郊听忌烘熄硅运醒化促源雀蹲胚花痰桃全夜倡兰筒他凄

3、苍希淀噎送IPS整体解决方案彦迂零荆材雁盛场奋氯懦膀如会初饰聊亮诡绚朽圆蚜娱宅啥使攒挞走泪寨堂换清下先求伙惫乙忘菏邪码纱旬森顽绿糙返交粮圣襟咒阳整院偏须持能咸翟咀犯窖牲子萌络宫兼逢殉扎吓甸享鲁噪呐抛派进积绕嚼脚讥宦贪史满狂凡唇霓桂清风流憎脚彪僚闷哉沉碳促参桐揖俞澄腺乙躁规缨载漓虽均启到荣帖奉玻寐他囚牌示袋骏颂厨刊怔荡鞠赘轩热蓑普邮胳饵桓袭栽苑痈刘吃肝全踊沏提灰铆擒唾做鼠链鞘矩猜诅希角血贼雷弄夷碴矢娘袁恿财潘正柿讼退媳宪霜屁娇匠恐造询愚叠绞扑智沾烂哨滋麦奠齐板笨陈拆糜签茧辛卜诞冬札畦巧禁癌沉棕婪沮鲸舔卧疾诗絮嗜婶效尉诬挠难做写疹乙熄捆涪国家电网公司信息网络安全等级保护设备IPS入侵防护系统解决方

4、案建议书目 录1典型网络风险分析41.1病毒、蠕虫泛滥41.2操作系统和应用软件漏洞隐患41.3系统安全配置薄弱51.4各种DoS和DDoS攻击的带来的威胁51.5与工作无关的网络行为62安全产品及解决方案效能分析62.1传统安全技术的薄弱之处62.1.1防火墙72.1.2入侵检测72.1.3补丁管理72.2入侵防御系统简介83领信信息安全保障解决方案介绍93.1领信信息安全保障体系93.2安氏领信入侵防御系统介绍113.2.1领信入侵防御系统主要功能113.2.2领信入侵防御系统产品特点123.2.3领信入侵防御系统支持的工作模式143.2.4入侵防御系统推荐部署流程153.2.4.1IPS

5、的学习适应期阶段163.2.4.2IPS的Inline模式工作阶段174入侵防御系统部署建议174.1系统组件说明174.1.1集中部署方式184.1.2分布部署方式194.1.3部署准备204.2边界防护部署214.3重点防护部署215入侵防御系统安全策略配置与应用226项目过渡方案及应急预案236.1过渡方案236.2应急预案247工程实施方案257.1分工界面257.2工程设计267.3产品生产及出厂验收267.4设备运输、包装与到货安排267.5到货验收277.6安装调试及系统集成287.7系统测试287.8初步验收287.9系统试运行287.10最终验收287.11工程实施进度表29

6、8系统验收测试计划308.1系统上线测试308.2用户管理功能318.3引擎工作模式配置318.4组件管理318.5策略配置328.6威胁事件收集显示328.7攻击检测能力338.8系统升级能力338.9日志报表341 典型网络风险分析通过对大量企业网络的安全现状和已有安全控制措施进行深入分析，我们发现很多企业网络中仍然存在着大量的安全隐患和风险，这些风险对企业网络的正常运行和业务的正常开展构成严重威胁，主要表现在：1.1 病毒、蠕虫泛滥目前，企业网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点，即使再先进的防病毒软件、入侵检测技术也不能独立有效的完成安全防护，特

7、别是对新类型新变种的防护技术总要相对落后于新病毒、新蠕虫的入侵。病毒、蠕虫很容易通过各种途径侵入企业的内部网络，除了利用企业网络安全防护措施的漏洞外，最大的威胁却是来自于网络用户的各种危险的应用：不安装杀毒软件；安装杀毒软件但未能及时升级；网络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中，特别是INTERNET；移动用户计算机连接到各种情况不明网络环境后，在没有采取任何措施情况下又连入企业网络；终端用户在使用各种数据介质、软件介质时都可能将病毒、蠕虫在不知不觉中带入到企业网络中，给企业信息基础设施、企业业务带来无法估量的损失。1.2 操作系统和应用软件

8、漏洞隐患企业网络多由数量庞大、种类繁多的软件系统组成，有系统软件、数据库系统、应用软件等等，尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂，每一个软件系统都有不可避免的潜在的或已知的软件漏洞，每天软件开发者都在生产漏洞，每时每刻都可能有软件漏洞被发现被利用。无论哪一部分的漏洞被利用，都会给企业带来危害，轻者危及个别设备，重者漏洞成为攻击整个企业网络的跳板，危及整个企业网络安全，即使安全防护已经很完备的企业网络也会由于一个联网用户个人终端PC机存在漏洞而丧失其整体安全防护能力。在与在与黑客的速度竞赛中，企业用户正处在越来越被动的地位，针对这些漏洞的补丁从补丁程序开发、测试、验证、再到最

9、终的部署可能需要几天甚至几十天时间， 而黑客攻击的速度却越来越快,例如著名的CodeRed蠕虫扩散到全球用了12个小时；而SQL SLAMMER感染全世界90%有漏洞的机器则只用了10分钟； 1.3 系统安全配置薄弱一个安全的网络应该执行良好的安全配置策略，例如，账号策略、审核策略、口令策略、匿名访问限制、建立拨号连接限制策略等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用，但在实际的网络环境中，这些安全配置却被忽视，尤其是那些网络的终端用户，从而导致软件系统的安全配置“软肋”，有时可能将严重的配置漏洞完全暴露给整个外部，使黑客可以长驱直入。1.4 各种DoS和DD

10、oS攻击的带来的威胁除了由于操作系统和网络协议存在漏洞和缺陷，而可能遭受攻击外，现在IT部门还会拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS和DDOS攻击可以被分为两类：一种是利用网络协议的固有缺陷或实现上的弱点来进行攻击，与漏洞攻击相似。这类供给典型的例子如Teardrop、Land、KoD和Winnuke；对第一种DOS攻击可以通过打补丁的方法来防御，但对付第二种攻击就没那么简单了，另一类DOS和DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。DOS和DDOS攻击会耗尽用户宝贵的网络和系统资源，使依赖计算机网络的正常业务无

11、法进行，严重损害企业的声誉并造成极大的经济损失，据2004 美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。1.5 与工作无关的网络行为权威调查机构IDC的统计表明：3040的工作时间内发生的企业员工网络访问行为是与业务无关的，比如游戏、聊天、视频、P2P下载等等；另一项调查表明：1/3的员工曾在上班时间玩电脑游戏；Emule、BT等P2P应用和MSN、QQ等即时通信软件在很多网络中被不加控制的使用，使大量宝贵的带宽资源被业务无关流量消耗。这些行为无疑会浪费网络资源、降低劳动生产率、增加企业运营成本支出，并有可能因为不

12、良的网络访问行为导致企业信息系统被入侵和机密资料被窃，引起法律责任和诉讼风险。2 安全产品及解决方案效能分析2.1 传统安全技术的薄弱之处当前随着网络软硬件技术的快速发展，网络信息安全问题日益严重，新的安全威胁不断涌现，如蠕虫病毒肆意泛滥、系统漏洞层出不穷、漏洞利用(vulnerability exploit)的时间日益缩短,甚至可能出现零日攻击(zero-day exploit),同时很多入侵和攻击由网络层逐渐向应用层发展,给检测和识别这些威胁带来了困难。面临诸多安全问题，传统的安全产品和解决方案显示出其薄弱和不足之处。2.1.1 防火墙绝大多数人在谈到网络安全时，首先会想到“防火墙”。防火

13、墙目前已经得到了广泛的部署，用户一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要。传统防火墙的不足主要体现在以下几个方面： l 防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。 l 有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。 2.1.2 入侵检测入侵检测系统IDS（ Intrusion Detection System）是近几年来发展起来的一类安全产品，它通过检测、分析网络中的数据流

14、量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象。它弥补了防火墙的某些缺陷，但随着网络技术的发展，IDS受到新的挑战： l IDS旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS无能为力。 l 蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS无法把攻击防御在企业网络之外。 2.1.3 补丁管理补丁管理是重要的主动防御手段，但补丁管理同时也存在一些局限性，例如： 1、对于某些操作系统，将不再能够获得厂商提供

15、的支持。例如微软宣布将从2006年7月11日开始停止为多个老版本的Windows 操作系统提供技术支持，这意味着全球将有超过7000万名Windows用户面临网络攻击和恶意代码的危险，因为他们无法继续从微软获得安全更新。2、补丁从漏洞发现、操作系统开发补丁、测试补丁、发布补丁到用户接收补丁、局部更新测试补丁到大范围更新补丁需要一定的时间周期，即所谓空窗期，在空窗期内用户的系统漏洞无法得到有效的防御，而恶意的程序和代码有可能利用这段时间对系统造成破坏；3、某些系统和应用由于自身的原因（如非授权软件、程序冲突等等）不适合打补丁，这样自身即使存在漏洞，也无法得到修复；针对以上技术和产品面对新的安全威

16、胁所暴露出来的薄弱之处,作为有效的整体安全体系的重要组成和有效补充,入侵防御系统IPS（Intrusion Prevention System）作为新一代安全防护产品应运而生。2.2 入侵防御系统简介基于目前网络安全形势的严峻，入侵防御系统IPS（Intrusion Prevention System）作为新一代安全防护产品应运而生。 入侵防御系统/IPS提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在监测到恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中而实现这一功能的

17、，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。 从IPS的工作原理来看，IPS有几个主要的特点： l 为企业网络提供虚拟补丁IPS预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量，使攻击无法到达目的主机，这样即使没有及时安装最新的安全补丁，企业网络仍然不会受到损失。IPS给企业提供了时间缓冲，在厂商就新漏洞提供补丁和更新之前确保企业的安全。 l 提供流量净化目前企业网络遭受到越来越多的流量消耗类型的攻击方式，比如蠕虫。病毒造成网络瘫痪、 BT,电驴等P2P下载造成网络带宽资源严重占用等。IPS过滤正常流量

18、中的恶意流量，为网络加速，还企业一个干净、可用的网络环境。l 提供反间谍能力 企业机密数据被窃取，个人信息甚至银行账户被盗，令许多企业和个人蒙受重大损失。IPS可以发现并阻断间谍软件的活动，保护企业机密。 总的来说,入侵防御系统IPS的设计侧重访问控制，注重主动防御，而不仅仅是检测和日志记录，解决了入侵检测系统IDS的不足，为企业提供了一个全新的网络安全保护解决方案。 3 领信信息安全保障解决方案介绍3.1 领信信息安全保障体系“信息安全是一条链，其强度取决于链上最弱的一环(著名安全专家Bruce Schneier语)”这句话深刻阐明了整体安全的重要性。为了建设一个有效的安全防御体系，就要从保

19、护、检测、响应等多个环节以及网络和基础设施、网络边界、终端环境等多个层次全面考虑，综合防范，这样才能提高网络整体的信息安全保障能力，保证安全体系中不存在薄弱的环节。安氏领信基于对信息安全的深刻理解，以及多年的安全领域建设经验，总结提炼出安氏独有的信息安全保障体系框架模型，该安全体系从保障对象、安全需求、能力来源三个维度深刻揭示了信息安全保障的内涵：保障对象是信息安全建设要保护的目标，分成多个安全防御领域，包括： 网络基础设施，网络边界，局域计算环境，支持性基础设施；安全需求包括信息的机密性，完整性，可用性，可控性，不可否认性等需求；信息的机密性，完整性，可用性，可控性，不可否认性需求是信息安全

20、的基本属性，所有的安全技术和安全产品从本质来说都是为了满足被保护对象的上述安全需求；为了有效的满足保障对象的安全需求，需要从人员，技术，管理等方面提供安全保障能力；技术层面的安全保障能力源于业界所采用的各种安全产品和技术,包括访问控制、入侵检测、入侵防御、弱点评估等等技术；安氏领信信息安全保障体系（ISAF）在安氏信息保障体系框架（ISAF）之下，安氏领信公司开发出一系列世界领先的信息安全产品，包括防火墙、入侵检测、终端安全管理系统、统一威胁管理系统入侵防御系统等等，提供强有力的技术手段，帮助用户构筑一个主动的、深层的安全技术体系，从容应对来自网络外部和内部的、已知的和未知的安全风险，保护信息

21、资产的安全，以及企业业务的正常运营。安氏领信技术体系及对应防御领域在领信安全保障体系中，入侵防御系统系统（IPS）占有重要的位置，它可以根据用户的实际需求，部署在某些关键位置，如网关出口，内部服务器集群，以及某些重要业务系统前端，起到实时检测和主动防御的效果，提高防御性能，缩短响应时间，为网络提供强有力的保护。3.2 安氏领信入侵防御系统介绍 安氏领信入侵检测系统（Linktrust IPS）是安氏领信针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击，以及网络资源滥用（P2P下载、IM即时通讯、网游等）等推出的全新安全防护方案，其具有先进的体系架构并继承了安氏领信入侵检测系统先

22、进的入侵检测技术，以全面深入的协议分析技术为基础，结合协议异常检测、协议异常检测、关联分析形成的新一代检测引擎，实时拦截数据流量中各种类型的恶意攻击流量，把攻击防御在企业网络之外，保护企业的信息资产。 3.2.1 领信入侵防御系统主要功能领信入侵防御系统的主要功能可以总结为几个方面，如下图所示：具体功能阐述如下：l 阻止来自外部或内部的蠕虫、病毒和黑客等的威胁，确保企业信息资产的安全。 l 阻止间谍软件的威胁，保护企业机密。 l 阻止企业员工因为各种IM即时通讯软件、网络在线游戏、P2P下载、在线视频导致的企业网络资源滥用而影响正常工作，净化流量，为网络加速。 l 阻止P2P应用可能导致的企业

23、重要机密信息泄漏和可能引发的与版权相关的法律问题。 l 实时保障企业网络系统7x24不间断运行，提高企业整体的网络安全水平。 l 智能、自动化的安全防御，降低企业整体的安全费用以及对于网络安全领域人才的需求。 l 高效、全面的流量分析、事件统计，能迅速定位网络故障，提高网络稳定运行时间。3.2.2 领信入侵防御系统产品特点 l 实时的主动防御 n 多种检测技术的结合使得Linktrust IPS可以预防多种已知和未知攻击，准确率保持在很高的水平 n 最小化人员干预，结合安氏领信的SOC系统可以使网络管理人员从大量的事件分析工作中解脱出来，有效减轻攻击报警处理的压力。 n IPS的检测模块与内置

24、防火墙模块的完美集成使得产品具有更安全可靠的防护能力，同时还可获得更强的访问控制功能和灵活性。准确的检测/防护 n Linktrust IPS基于状态的协议分析检测技术、流量和协议异常检测技术、基于漏洞存在的攻击检测技术，结合基于特征匹配的检测技术，极大地提高检测的准确性，降低误报率。 n Linktrust IPS独有的协议识别技术能够识别近100种包括后门、木马、IM、网络游戏在内的应用层协议，不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵，并且能更好的提高检测效率和准确率。 n Linktrust IPS出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击，达到接近100

25、%的检测准确率和几乎为零的误报率。 n Linktrust IPS能够有效防御拒绝服务攻击DoS，阻止攻击者消耗网络资源、中止服务。 l 优异的产品性能 n Linktrust IPS专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。 n Linktrust IPS依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有线速的分析与处理能力。 l 高可靠、可扩展 n Linktrust IPS支持失效开放（Fail bypass）机制

26、，当出现软件故障、硬件故障、电源故障时，系统自动切换到直通状态以保障网络可用性，避免单点故障。 n Linktrust IPS支持双机热备HA，不仅支持Active-Standby（主从热备），还支持Active-Active（对等热备），提供高可用性保障。 n Linktrust IPS的工作模式灵活多样，支持inline主动防御、旁路检测、以及bypass方式，能够快速部署在几乎所有的网络环境中l 强大的管理能力 n 全新的集中管理平台Linktrust安全防护中心，使得用户可操作性和方便性都有了很大程度的提高。 n 极易扩展的集中管理平台使得用户在升级网络时无需额外的投资l 全中文图形化

27、的操作界面，符合安氏领信产品操作简单灵活的传统。丰富的报表格式n 提供了多达40余种的统计报表模版，方便用户直观的了解网络安全状况 n 提供了向导式的自定义报表功能，用户可以根据网络的实际情况制定出符合自身需求的报表模版 3.2.3 领信入侵防御系统支持的工作模式领信入侵防御系统产品支持4种工作模式，包括透明学习模式、服务保障模式、强制防御模式、以及旁路模式，以适应不同的网络环境和不同的业务需求。用户可以根据自身的安全需求灵活的进行选择和切换。其中Passive模式相当于传统的IDS设备，我们重点关注的是其中的三种“Inline”模式。这些工作模式的定义如下：1透明学习模式（Inline Br

28、idging）：该模式下引擎将根据安全策略对网络中通过的数据进行检测，但是不会采取任何阻断或流量控制操作。这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段。2服务保障模式（Inline Fail-passthrough）：该模式下引擎将按照安全策略对所有会话过程进行检测，并产生对不符合安全策略的内容进行告警和适当的防御。当进入IPS引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时，超时的数据包会被转发以保障服务的可用性。另外在一些特殊条件下引擎也会采用透明转发或Bypass的方式保障服务可用性。这些可能的特殊情况有：l 当引擎正处在Reboot或初始化过程中时。（非by

29、pass功能支持）l 当引擎正在执行“策略应用”命令，或正在编译签名时。 （非bypass功能支持）l 当引擎失去电源，或意外掉电时 (该项需要网卡硬件支持)l 当出现任何硬件故障，导致引擎无法工作时 (该项需要网卡硬件支持)l 当检测引擎由于某种原因而意外失效时（如：死机，系统崩溃等） (该项需要网卡硬件支持)l 数据转发延迟超时后数据直接被转发（非bypass功能支持）3强制防御模式（Inline Fail-severed）：与服务保障模式的工作方式类似，引擎会按照安全策略的要求对通信内容进行检测并作出反应，区别在于当进入IPS引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时，

30、超时的数据包会被丢弃以保障通信的安全性，在此模式下bypass功能将被禁用。4旁路模式（Passive）：传统IDS部署模式，采用旁路监听方式部属；3.2.4 入侵防御系统推荐部署流程安氏领信提供一整套的入侵保护解决方案，具有良好可扩展性的Linktrust IPS的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，实现从企业网络核心至边缘及分支机构的全面保护，适用于不同环境不同企业的安全需求。 入侵防御系统通常部署在网络中的关键位置,这样对入侵防御系统自身的安装配置提出了很高的要求,为了更好的让领信入侵防御系统适应用户的网络环境,发挥更高的防御能力,我们推荐用户将入侵防御系统的上线分为两

31、个阶段:第一阶段:IPS的学习适应期阶段，采用透明学习模式（Inline Bridging）;第二阶段: IPS的在线工作阶段。以Inline模式工作，全面检测，全面防护;其中Inline模又可以具体分成服务保障模式（Inline Fail-passthrough）和强制防御模式（Inline Fail-severed），具体采用何种模式取决与用户对安全性的要求和对设备鲁棒性的要求；我们强烈建议您采用服务保障模式，这样可以在设备故障或失效的情况下仍然保证网络的可用性。3.2.4.1 IPS的学习适应期阶段入侵防御系统和入侵检测系统在部署方式上的区别为IPS工作于Inline模式，而IDS工作于

32、旁路监听模式，但并不意味着只要将IPS放置于网络的出口处，设置为inline模式，让它直接对攻击或可疑行为进行丢弃就可以了，通常情况下，在IPS以Iiline模式部署后，都需要一段时间的学习适应，才能正确无误的担当起主动防护的重任。之所以IPS需要一个学习适应的过程，主要是因为：l 防止IPS设备误阻挡合法的数据流量l 根据被保护网络的流量，调整各项攻击阈值参数（threshold）l 根据被保护网络环境，调整需要检测的攻击特征项目在这个阶段,IPS以Inline模式工作，只检测攻击并告警，不进行阻断首先，将IPS的工作模式设置为Inline Bridging模式，并将IPS以Inline模式

33、串接在被保护网络之前，所有进出被保护网络的数据包都会通过IPS的检查，正常的流量才会允许进入被保护网络。在该模式下，IPS的检测引擎将根据安全策略对网络中通过的数据进行检测，如果用户设置了对攻击数据包的阻断功能，IPS会产生相应的阻断报警，但是不会采取任何阻断或流量控制操作。这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段，根据检测到的网络中可能出现的攻击行为，对攻击签名特征库和阈值等参数做出调整，减少IPS产生误报的可能性另外在此模式下，用户可以观察IPS设备的加入会不会对原有的网络应用产生影响，以确保IPS的性能能够满足原有网络应用的需求。3.2.4.2 IPS的Inline模

34、式工作阶段在经过第一阶段的学习、调整和适应后，已经可以确认IPS能够以Inline方式正常运行，并且不会阻断正常合法的网络数据包，这时候就可以开启IPS的防御功能，进入阻断攻击、全面防御的阶段。在此阶段中有两种模式可以供不同安全要求的用户使用：1 Inline Fail-passthrough模式适用于对网络应用的连续性要求高于对网络安全性要求的用户，在此模式下，如果IPS不能正常检测攻击时或出现故障，将使用Bypass和超时转发技术优先保证用户业务的连续性。2 Inline Fail-severed模式适用于对网络安全要求高于对网络应用连续性要求的用户，在此模式下，如果IPS不能正常检测攻击

35、或出现故障，将拒绝所有数据包的通过，优先保证被保护网络中数据的安全。4 入侵防御系统部署建议安氏领信提供一整套的入侵保护解决方案，具有良好可扩展性的Linktrust IPS的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，实现从企业网络核心至边缘及分支机构的全面保护，适用于不同环境不同企业的安全需求。4.1 系统组件说明 组件说明Console(控制台)控制台是LinkTrust IPS系统中进行各种配置管理、日志（包括安全事件、系统日志、用户审计日志）查看的客户端组件。它是一个基于Windows的应用程序，提供友好的用户图形管理界面和多级别的数据访问控制。为保证数据传输的安全性，在控

36、制台和事件收集服务器之间采用了加密通信。EventCollector（事件收集服务器）事件收集服务器是LinkTrust IPS的一个关键组件，为整个系统的管理核心。主要有三方面的功能：1. 对系统中的用户进行管理，是整个系统的用户认证中心；2. 实现对整个系统的配置管理功能，包括对传感器的配置管理以及日志服务器的配置管理；3. 完成日志数据的收集汇总及简单的分析工作。LogServer（日志服务器）日志服务器是LinkTrust IPS的日志数据管理组件。主要负责各类日志数据的存储、管理和分析，并向报表工具和查询工具提供日志数据的统计和查询的功能。Log Server需要集成第三方数据库软件

37、一起协同工作，数据库软件目前支持微软SQL Server数据库。Sensor（传感器）传感器部署在需要保护的网段上，对网段上流过的数据流进行检测，识别攻击特征，报告可疑事件，阻止攻击事件的进一步发生或给予其它相应响应。Report（报表）报表和查询工具作为IPS系统的一个独立的部分，主要完成从数据库提取数据、统计数据和显示数据的功能。报表能够关联多个数据库，给出一份综合的数据报表。查询工具提供查询安全事件的详细信息。LinkTrust IPS需要安装的组件： LinkTrust IPS Console (控制台) LinkTrust IPS Event-Collector（事件收集服务器） M

38、SDE 2000数据库（第三方软件） LinkTrust IPS LogServer（日志服务器） LinkTrust IPS Report（报表） Sensor（传感器）4.1.1 集中部署方式LinkTrust IPS 的包括多个相互独立的组件，集中式部署是最典型的一种部署方式，在这种方式下，LinkTrust IPS 管理组件控制台、数据库（包括MSDE数据库和LogServer）、报表和事件收集器安装到一台计算机上。这种部署方式易于管理，管理员可以通过对一台机器的操作完成配置组件、监控报警、查看报表等操作，在保证IPS性能的基础上充分节省了用户的资源。4.1.2 分布部署方式分布式部署

39、安装可以选择将LinkTrust IPS的各个管理组件安装在多台计算机上，在大型的网络环境中，这种部署方式可以充分保证IPS系统的性能，所选的安装方式取决于拥有的传感器的数目，以及计划对它们进行部署的方式。在一个典型的分布部署方式中，通常环境中会有多个传感器，LinkTrust IPS 管理组件分布在到四台计算机上。由于传感器数目较多，建议使用SQL Server数据库。在这种部署方式中，有两台EC,每台EC可以接收多个传感器的报警事件，同时这两台EC又可以作为对方的备份EC。当某个EC出现故障的时候，向它发送报警事件的传感器可以将报警事件发送到另一台EC。这种部署的好处是均衡流量，并保证在一

40、个EC故障时告警能够及时送达管理系统。控制台和报表安装在一台机器上，方便管理员查看任何时段的报警事件。4.1.3 部署准备攻击者可能会对我们的网络中的任何可用资源发起攻击。分析我们的网络拓扑结构对于定义我们的所有资源是至关重要的。而且，定义我们想要保护的信息和资源，是创建一个传感器部署计划的第一步。除非我们对我们的网络拓扑结构有非常透彻的理解，否则我们不可能全面地识别出需要保护的所有网络资源。当分析我们的网络拓扑结构时，我们必须考虑很多因素：网络入口点。关键网络组件。远程网络。网络大小和复杂度。考虑安全策略限制。4.2 边界防护部署 互联网的迅速发展，改变了人们的工作和生活方式，使企业越来越依

41、赖互联网，大量业务应用通过互联网运行，然而互联网的开放性造成其安全性很差，大量的蠕虫、病毒、间谍软件、DDoS、垃圾邮件等在互联网上泛滥，而且攻击手段在不断增加，因此企业网络的互联网出入口承受着巨大的安全压力。 针对来自外部的攻击，安氏领信入侵防御解决方案提供在线防御的部署模式，通过将Linktrust IPS 串接在互联网出入口，实时拦截数据流量中各种类型的恶意攻击流量，把攻击防御在企业网络之外，保护企业的信息资产。 4.3 重点防护部署 由于安全技能和安全意识存在差异，企业员工可能无意识的通过互联网络将恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、病毒、间谍软件传播进入内部网

42、络，阻塞甚至中断网络，而BT、eMule等P2P下载软件轻易的占据100%的企业网络带宽，这都对企业网络的安全带来严重威胁。针对来自内部的攻击，通过将Linktrust IPS以Inline方式部署在办公区出入口、重要服务器区出入口，实时拦截数据流量中各种类型的恶意攻击流量，把办公区内的蠕虫、病毒、间谍软件等混合攻击过滤掉，防止影响企业网络的整体安全运行，保护关键服务器等企业重要信息资产。 5 入侵防御系统安全策略配置与应用安全策略是一个文件，其中包含称为“安全事件签名”的一列项目，这些项目确定了传感器所能监测的内容。签名是网络传感器用来检测一个事件或一系列事件的内部代码，这些事件有可能表明网

43、络受到了攻击，也可能提供安全方面的信息。策略控制传感器的以下行为：1.传感器检测的安全事件的种类。2.每一事件的级别，事件按照风险级别划分为四类：高风险、中风险、低风险和信息。3.传感器对安全事件的响应方式，目前共有9种响应方式。传感器使用策略来控制其所监测的内容，并对监测到的事件作出响应。传感器安装、配置好后，需要为传感器配置策略，这样传感器才能正常的工作。您可以使用系统管理平台所附带的预定义策略，也可以从预定义策略派生新的策略。预定义策略分别侧重于用户所关心的各种层面，用户可选择适合自己的预定义策略直接应用。考虑到用户的不同需求， 系统管理平台提供了用户自定义策略的功能。用户可以从预定义策

44、略派生新的策略并且对新策略进行编辑，用户还可对其关心的部分攻击签名进行微调，以便更符合用户的需要。缺省的安全策略模板类型：策略说明AttackDetector使用此策略，传感器只监测网络攻击。会话没有被解码。在安全的网络中，使用此策略的传感器实际上不会产生通信量。该策略适合于只想知道最严重的网络事件的管理员。Default该策略是考虑网络流量特点、性能等多方面因素后而定制的策略，该策略可以使 Sensor 工作在较优的状态。DMZEngine使用此策略，NetworkDefender可以将注力集中于发生在防火墙之外非军事区(DMZ)的活动。此策略监测网络攻击和以及尝试利用典型Internet协

45、议的情况，例如HTTP、FTP、SMTP、POP以及DNS。该策略适用于想要谨慎关注发生在公司防火墙之外事件的安全管理员。Engine内网地址Firewall使用此策略，传感器集中关注极有可能穿过防火墙的重要签名和协议。该策略适用于想要谨慎关注发生在公司防火墙之内事件的安全管理员。ForWindowsNetworks该策略包含Windows网络环境中特有的攻击签名、会话签名以及过滤规则的集合。在NetworkDefender能够识别的攻击中，有几个是Unix系统中特有的。如果没有Unix系统，则这些签名就不是必需的。该策略为仅包含Windows设备的网络提供了签名。MaximumCoverag

46、e该策略用于评估目的。它将所有的事件发送到控制台。这种情况下，每一个签名都可用，并且每一个会话协议签名都是活动的。通常支持的所有事件也都是活动的。该策略会严重影响网络传感器的性能，因此只能用于评估环境。由于打开并记录所有的签名，“MaximumCoverage”不宜用于高通信量环境中。ProtocolAnalyzer此策略恰恰与AttackDetector策略相反。使用这一策略，只有会话解码是活动的。攻击检测是不活动的。此策略非常适合那些想要知道他们的网络使用情况的安全管理员。WebWatcher使用WebWatcher策略的传感器查看穿过本地网段上的所有HTTP通信量。注：使用此策略只能启用

47、基于HTTP的攻击签名。其它攻击签名是不活动的。此策略很适合于希望更详细地了解网络上的Web通信量的安全管理员。如果安装传感器的网段上只带有Web服务器，该策略也很适用。不同的网络应用环境需要不同的安全策略配置，以达到最佳的检测与防御效果，这就涉及到对系统自带的安全策略模板进行定制、修改与补充，在C3.2.4中我们推荐了入侵防御系统的推荐部署流程，学习模式和在线工作模式，学习模式的主要目的是了解网络流量情况，以及入侵和攻击情况，然后对系统安全策略模板进行修改和调整，以适应周围的网络环境，达到最佳的检测效果。6 项目过渡方案及应急预案6.1 过渡方案1、系统上线及割接我方将严格按照工程项目管理规范设计并实施项目，在充分调研用户网络环境及用户访谈后，共同决定系统上线方案，由用户批准后，在用户的监督下实施；2、过渡工作模式的选择与应用IPS的部署将尽可能不影响现有的网络及应用环境，但所有产品的部署使用都有一个过渡