【2、IPS】网神SecIPS 3600入侵防御系统解决方案.docx

《【2、IPS】网神SecIPS 3600入侵防御系统解决方案.docx》由会员分享，可在线阅读，更多相关《【2、IPS】网神SecIPS 3600入侵防御系统解决方案.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 网神SecIPS 3600入侵防御系统 解决方案网神信息技术（北京）股份有限公司2016年4月解决方案网神SecIPS 3600入侵防御系统网神信息技术（北京）股份有限公司 第1页l 版权声明Copyright 2006-2016 网神信息技术（北京）股份有限公司 （“网神”） 版权所有，侵权必究。未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。l 文档信息文档名称网神SecIPS 3600入侵防御系统解决方案扩散范围销售/售前/客服/渠道商/用户文档版本号V11.5.1作者李广龙日期2016/4初审人付海涛复审人目录1信息安全现状及需求分析11.

2、1信息安全现状11.2需求分析21.3XXXX用户面临的问题（根据特定用户需求修改）21.4XXXX用户当前网络环境（根据特定用户需求修改）22网神入侵防御解决方案32.1针对应用程序防护32.2针对网络架构防护32.3针对性能保护33方案部署43.1部署拓扑（根据特定用户环境修改）43.2系统优化调整43.3部署网神入侵防御系统所能产生的价值（根据实际再调整）54网神入侵防御系统介绍64.1新一代的检测分析技术64.2优异的产品性能84.3高可用性94.4对攻击事件的取证能力94.5强大的管理和报表功能91 信息安全现状及需求分析1.1 信息安全现状通过对大量用户网络的安全现状和已有安全控制

3、措施进行深入分析，我们发现很多用户网络中仍然存在着大量的安全隐患和风险，这些风险对用户网络的正常运行和业务的正常开展构成严重威胁，主要表现在：操作系统和应用软件漏洞隐患用户网络多由数量庞大、种类繁多的软件系统组成，有系统软件、数据库系统、应用软件等等，尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂，每一个软件系统都有不可避免的潜在的或已知的软件漏洞，每天软件开发者都在生产漏洞，每时每刻都可能有软件漏洞被发现被利用。无论哪一部分的漏洞被利用，都会给企业带来危害，轻者危及个别设备，重者漏洞成为攻击整个用户网络的跳板，危及整个用户网络安全，即使安全防护已经很完备的用户网络也会由于一个联网用

4、户个人终端PC机存在漏洞而丧失其整体安全防护能力。各种DoS和DDoS攻击的带来的威胁除了由于操作系统和网络协议存在漏洞和缺陷，而可能遭受攻击外，现在IT部门还会拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS和DDOS攻击会耗尽用户宝贵的网络和系统资源，使依赖计算机网络的正常业务无法进行，严重损害企业的声誉并造成极大的经济损失。与工作无关的网络行为权威调查机构IDC的统计表明：3040的工作时间内发生的企业员工网络访问行为是与业务无关的，比如游戏、聊天、视频、P2P下载等等；另一项调查表明：1/3的员工曾在上班时间玩电脑游戏；Emule、BT等P2P应用和MSN、QQ等即

5、时通信软件在很多网络中被不加控制的使用，使大量宝贵的带宽资源被业务无关流量消耗。这些行为无疑会浪费网络资源、降低劳动生产率、增加企业运营成本支出，并有可能因为不良的网络访问行为导致企业信息系统被入侵和机密资料被窃，引起法律责任和诉讼风险。1.2 需求分析根据以上的安全威胁分析，我们需要采取相应措施消除这些安全隐患，因此，安全需求可以归纳为以下几方面：1) 加强网络边界的安全防护手段，准确的检测入侵行为，并能够实时阻断攻击；2) 防御来自外部的攻击和病毒传播；3) 加强网络带宽管控及上网行为管理。1.3 XXXX用户面临的问题（根据特定用户需求修改）用户实际遇到的网络问题（比如政策建设要求，出现

6、过安全事件等？）1.4 XXXX用户当前网络环境（根据特定用户需求修改）用户网络拓扑图2 网神入侵防御解决方案网神SecIPS 3600入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、垃圾邮件、DDoS/DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。2.1 针对应用程序防护网神SecIPS 3600入侵防御系统提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护，如：蠕虫与木马程序。利用深层检测应用层数据包的技术，网神SecIPS 3600入侵防御系统可

7、以分辨出合法与有害的封包内容。最新型的攻击可以透过伪装成合法应用的技术，轻易的穿透防火墙。而网神SecIPS 3600入侵防御系统运用重组TCP 流量以检视应用层数据包内容的方式，以辨识合法与恶意的数据流。大部分的入侵防御系统都是针对已知的攻击进行防御，然而网神SecIPS 3600入侵防御系统运用漏洞基础的过滤机制，可以防范所有已知与未知形式的攻击。2.2 针对网络架构防护路由器、交换器、DNS 服务器以及防火墙都是有可能被攻击的网络设备，如果这些网络设备被攻击导致停机，那么所有企业中的关键应用程序也会随之停摆。而网神SecIPS 3600入侵防御系统的网络架构防护机制提供了一系列的网络漏洞

8、过滤器以保护网络设备免于遭受攻击。2.3 针对性能保护是用来保护网络带宽及主机性能，免于被非法的应用程序占用正常的网络性能。如果网络链路拥塞，那么重要的应用程序数据将无法在网络上传输。非商用的应用程序，如点对点文档共享 (P2P)应用或实时通讯软件 (IM) 将会快速的耗尽网络的带宽，通过对具体应用的有效控制，能够从根本上缓解因上述问题的涌现给网络链路带来的压力。3 方案部署3.1 部署拓扑（根据特定用户环境修改）SecIPS 3600部署方式。下图1显示的是最具代表性的部署网络拓扑结构。经过安全需求分析，用户一般比较关注的是内网边界、数据中心、服务器区，那么可以在这些区域部署独立的入侵防御系

9、统。用户如果需要增加监控区域只需要选择多端口的高端入侵检测设备即可满足需求。图1 部署网络拓扑图3.2 系统优化调整为了让IPS能准确无误的保护您的网络，部署IPS设备应该按照以下的两个阶段进行。第一阶段，IPS以监测模式工作，只检测攻击并告警，不进行阻断。首先，将IPS的工作模式设置为IPS监视模式，在该模式下，IPS的检测引擎将根据安全策略对网络中通过的数据进行检测，如果用户设置了对攻击数据包的阻断功能，IPS会产生相应的阻断报警，但是不会采取任何阻断或流量控制操作。这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段，根据检测到的网络中可能出现的攻击行为，对攻击签名特征库和阈值等

10、参数做出调整，减少IPS产生误报的可能性。另外在此模式下，用户可以观察IPS设备的加入会不会对原有的网络应用产生影响，以确保IPS的性能能够满足原有网络应用的需求。第二阶段，IPS以Inline模式工作，全面检测，全面防护。在经过第一阶段的学习、调整和适应后，已经可以确认IPS能够以监视方式正常运行，并且不会阻断正常合法的网络数据包，这时候就可以开启IPS的防御功能，进入阻断攻击、全面防御的阶段。3.3 部署网神入侵防御系统所能产生的价值（根据实际再调整）部署网神入侵防御系统能够为您带来如下价值：全面的L2-L7层防御能力网神SecIPS 3600入侵防御系统提供扩展至用户端、服务器、及第二至

11、第七层的网络型攻击防护。利用深层检测应用层数据包的技术，可以分辨出合法与有害的封包内容。针对网络架构防护路由器、交换器、DNS 服务器以及防火墙都是有可能被攻击的网络设备，如果这些网络设备被攻击导致停机，那么所有企业中的关键应用程序也会随之停摆。而网神SecIPS 3600入侵防御系统的网络架构防护机制提供了一系列的网络漏洞过滤器以保护网络设备免于遭受攻击。针对带宽性能保护是用来保护网络带宽及主机性能，免于被非法的应用程序占用正常的网络性能。如果网络链路拥塞，那么重要的应用程序数据将无法在网络上传输。非商用的应用程序，如点对点文档共享 (P2P)应用或实时通讯软件 (IM) 将会快速的耗尽网络

12、的带宽，通过对具体应用的有效控制，能够从根本上缓解因上述问题的涌现给网络链路带来的压力。4 网神入侵防御系统介绍4.1 新一代的检测分析技术网神SecIPS 3600检测引擎结合了异常检测与攻击特征数据库检测的技术，它同时也包含了深层数据包检查能力，除了检查第四层数据包外，更能深入检查到第七层的数据包内容，以阻挡恶意攻击的穿透，同时不影响正常程序的工作。 网神SecIPS 3600的检测引擎提供多种检测模式来保证准确度，并且在不影响网络性能的状况下，提供客户最佳的保护；在网神SecIPS 3600上使用的检测方法包括： 状态模式检测（Stateful Detection） 许多的攻击是试图推翻

13、通讯协议状态。基于多年TCP/IP的研究，网神SecIPS 3600开发了一个状态检查引擎来分析协议状态，并且防止malformed数据包攻击网络。 攻击特征数据库模式检测（Signature-based Detection） 网神SecIPS 3600检测与保护针对应用协议和脆弱系统的攻击，具有超过2600条的攻击特征数据库，这些攻击特征数据库是由深具网络安全经验的网神安全服务队所开发制定。 缓冲区溢出检测（Buffer-overflow Detection） 缓冲区溢出是一种黑客经常利用的通用技术，例如冲击波攻击就是利用微软的RPC DCOM漏洞感染网络上数百万的主机。 网神SecIPS

14、3600可以通过内置特征库阻挡缓冲区溢出攻击，阻止黑客取得非法的授权进入网络。 木马/后门检测（Trojan/Backdoor Detection） 黑客使用木马和后门程序取得非法授权进入个人计算机或服务器。基于现有的木马和后门程序的技术，网神SecIPS 3600可以通过内置特征库检测并防止木马和后门程序。 拒绝服务/分布式拒绝服务检测（DoS/DDoS Detection） 黑客可以在不需要任何授权的情况下发送大量的数据包进入网络，这些流量可以是单一个数据包或是自动发送分布式拒绝服务攻击的工具所产生的攻击信号，一些蠕虫也可以发送大量的扫描讯号进入网络，网神SecIPS 3600利用拒绝服务

15、/分布式拒绝服务检测机制防止此类型的所有攻击。 访问控制检测（Access Control Detection） 一些会造成敏感信息泄漏的网络行为是非常危险的，网神SecIPS 3600利用攻击特征数据库来防止这些行为的发生，网神SecIPS 3600也提供最大的灵活性，让客户可以定制专属的策略。此项功能可让客户自行制定网络第三层至第七层的防御策略。 Web攻击检测（Web Attack Detection） Web服务在全世界被广泛地使用，但是却发现相当多的弱点，利用这些弱点是相当容易的，信息可以通过因特网自由分享，为了防止黑客利用Web服务的弱点，网神SecIPS 3600可以针对Web服

16、务器的弱点进行保护。弱点扫描/探测检测（Vulnerability Scan/Probe Detection） 为了得到信息和系统的漏洞，黑客会在网络上发送检查数据包来扫描系统，网神SecIPS 3600可以检测出这些弱点扫描/探测的数据包，并提供最好的保护。 基于邮件的攻击检测（Mail-based Attack Detection） 基于邮件的攻击在现在是很普通的，例如W32/Mydoom引起全世界几十亿的金融损失，网神SecIPS 3600提供SMTP过滤功能及病毒数据库以防止病毒侵入邮件服务器。 蠕虫检测（Worm Detection） 网络蠕虫会如此的令人讨厌是因为它能够迅速的繁殖，

17、并因此引起全世界网络的异常甚至是瘫痪，网神SecIPS 3600能够阻挡蠕虫的攻击，保障网络的安全与干净。 异常检测（Anomaly Detection） 协议异常检测（Protocol Anomaly Detection） 网神安全团队研究与分析因特网的协议和标准，一般的因特网服务器遵循这些标准提供稳定的服务，黑客经常利用破坏这些标准协议的方式强迫进入，网神SecIPS 3600检测并清除这些异常数据包，保障服务器免遭受这些未知数据包的攻击。 流量异常检测（Traffic Anomaly Detection） 当网络被攻击时，网络流量异常的增加是很正常的，依据多年网络攻击事件处理的经验，网神

18、安全团队建立了最佳的规则，并将此统计分析方法整合进网神SecIPS 3600，提供最佳的检测与防御。 扫描/探测检测（Scan/Probe Detection） 扫描是黑客了解网络拓朴与主机状态的一种方式，主机/端口扫描是黑客决定下一步攻击方式的重要因素，网神SecIPS 3600会在黑客试图扫描时即检测并加以防御，隐藏黑客想要取得的信息并保障整个网络的安全。 洪流检测（Flooding Detection） 网络洪流攻击会造成服务器与网络设备许多不必要的负荷，有时这些攻击可以造成核心路由器的死机，使得网络系统完全瘫痪，网神SecIPS 3600能够检测并阻挡此类的攻击事件，保护服务器及网络系

19、统。 拒绝服务/分布式拒绝服务检测（DoS/DDoS Detection） 拒绝服务/分布式拒绝服务攻击是网络管理员的恶梦，网神SecIPS 3600能分析网络流量来检测与阻挡拒绝服务/分布式拒绝服务的攻击。 其它领域的检测（Other Detection Scopes） 网神SecIPS 3600提供网络应用层检测技术控制多种网络行为： 实时聊天程序（Instant Messenger） 网神SecIPS 3600是一个网络第七层设备，能够检测出网络第七层应用层的不同行为，例如QQ、MSN的聊天、QQ、MSN文件传输、QQ、MSN电视会议等，它们不以某些特定端口提供服务，一般防火墙无法做管理

20、控制，网神SecIPS 3600能够针对不同的行为分别做出不同的处理。分开制定安全策略，使得IT经理能有效地管理他们的安全策略。 流媒体和在线下载程序（P2P） P2P流媒体和在线下载程序会严重消耗网络带宽，并造成网络速度变慢，通过使用P2P在线下载程序也可能对外泄漏内部机密信息，网神SecIPS 3600是一个网络第七层的设备，可以轻易的检测出迅雷、网际快车等各种P2P在线下载程序和 PPStream、QQLive 等流媒体应用程序，IT经理能有效地通过网神SecIPS 3600管理他们的安全策略。 4.2 优异的产品性能网神SecIPS 3600入侵防御系统采用专门设计了安全、可靠、高效的

21、硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。 网神SecIPS 3600入侵防御系统依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有线速的分析与处理能力。 网神SecIPS 3600入侵防御系统支持应用保护、网络架构保护和性能保护，彻底防护各种网络攻击行为：间谍软件/木马、蠕虫、DoS和DDoS、以及各种入侵行为。4.3 高可用性网神SecIPS 3600入侵防御系统支持失效开放（Fail bypass）机制，当出现软件故障、硬件故障、电源故障时，

22、系统bypass电口自动切换到直通状态以保障网络可用性，避免单点故障，不会成为业务的阻断点。 网神SecIPS 3600入侵防御系统的工作模式灵活多样，支持inline主动防御、旁路检测方式，能够快速部署在各种网络环境中。4.4 对攻击事件的取证能力 网络入侵防御系统除了需要能检测辨别出各种网络入侵攻击，保护网络及服务器主机的安全外，还需要提供完整的取证信息，提供客户追查黑客攻击的来源，这些信息需包括入侵攻击的数据包种类、来源IP地址、攻击的时间等信息。 网神SecIPS 3600可提供客户最完整的攻击事件记录信息，这些信息包括黑客攻击的目标主机、攻击的时间、攻击的手法种类、攻击的次数、黑客攻

23、击的来源IP地址，客户可从内建的报表系统功能中，很轻易的搜寻到所需要的详细信息，而不需额外再添购一些软件。4.5 强大的管理和报表功能网络入侵防御系统主要的功能之一便是对黑客的入侵攻击事件提供实时的检测与预警及完整的分析报告，因此一个好的网络入侵防御系统，除了要依照黑客入侵攻击的严重程度，提出实时性的入侵攻击严重程度的警报外，更要将这些攻击事件加以汇总分析，并制作成各种分析报表，以便客户能依照分析报表所提供的信息加以分析，进而强化内部网络的安全措施，防范黑客进一步的入侵攻击，此外这些报表也要能加以整合打印，提供决策主管对于整体安全策略考虑时的参考。 网神SecIPS 3600主动式网络入侵防御系统中包含一套完整的报表系统，提供了多用户可同时使用的报表界面，可以查询、打印所有检测到的网络攻击事件及系统事件，其中不仅可以检视攻击事件的攻击名称、攻击严重程度、攻击时间、攻击来源及被攻击对象等信息外，另外也提供攻击事件的各式统计图与条形图分析。网神信息技术（北京）股份有限公司 第10页