《McAfee网络安全建议方案.doc》由会员分享,可在线阅读,更多相关《McAfee网络安全建议方案.doc(18页珍藏版)》请在三一办公上搜索。
1、XXXX自动化股份有限公司McAfee网络安全建议方案关于本文档内容范围本文档为XXXX自动化股份有限公司(以下简称XXXX公司)网络提供的安全建议方案,包括如下内容: McAfee Network Intrusion Prevention网络入侵防护系统,简称NIPS McAfee Web Gateway 网关内容安全防护系统,简称MWG McAfee Host Intrusion Prevention主机入侵防护系统,简称HIPS 现有McAfee产品的安全再巩固,涉及产品为VirusScan Enterprise和Antispyware Enterprise,分别简称VSE和ASE目 录
2、1概述42安全解决方案建议52.1McAfee Network Intrusion Prevention网络入侵防护方案52.1.1McAfee NIPS特点52.1.2McAfee NIPS功能82.1.3McAfee NIPS部署方式102.1.4McAfee NIPS产品规格型号112.2McAfee Web Gateway网关内容安全防护方案112.2.1McAfee MWG功能122.2.2McAfee MWG模块132.2.3McAfee MWG部署方式132.2.4McAfee MWG 产品规格型号152.3现有安全环境安全防护再巩固152.3.1McAfee Host Intr
3、usion Prevention主机入侵防护功能162.3.2McAfee Host Intrusion Prevention部署要求163方案总结181 概述随着计算机技术的发展,黑客和病毒技术也越来越先进,各类操作系统、应用软件出现的安全漏洞越来越多,从漏洞的发现到出现利用该漏洞的攻击时间越来越短,病毒变种会越来越快。网络安全便成为人们关注的话题,层出不穷的信息安全事件,不仅引起社会各界的重视,许多机关企业也开始重新审视信息安全问题,无不希望提早做好信息安全防护,以免成为下一波黑客攻击的目标。网络给人们带了的巨大利益同时也带来的绝大威胁,在这样的威胁情况下,要求我们的政府机关、大中小型企业
4、以及家庭和个人都重视网络信息安全,保护自己不被其他攻击者利用,保护自己的客户不被攻击者伤害,保护客户和员工的个人隐私。 XXXX公司网络环境非常复杂,需要访问互联网的终端机器数量很多,而当前互联网上木马病毒、恶意软件传播活动非常猖獗,它们可以通过U盘、网络、邮件、即时聊天工具、论坛挂马和网页挂马等方式传播到用户计算机上,影响用户系统的正常使用,用户的重要信息也会被其盗取。虽然XXXX已经具备较完善和健全的安全体系,可以对内部网络提供比较安全的上网环境,但当前互联网上木马、恶意程序等病毒的制作方法和转播方式呈现多样化的特点,且制作技术不断更新。这给已有的安全环境提出了更高的要求:一方面,要通过安
5、全手段或措施来抵御外部网络病毒威胁侵入到内部网络中,防止新病毒、新威胁进入内部网络中影响网络的正常使用;另一方面,由于员工之间掌握的安全知识和自身安全意识各不相同,即便阻挡了通过Internet传播到内部网络的病毒,但极少部分员工无意在内部网络传播病毒还是存在的现象,例如携带病毒的U盘在不同的计算机拷贝数据、发送含有病毒的邮件等。基于以上种种网络安全问题,我们将在本方案中为XXXX公司网路系统推荐业界先进的安全解决方案和安全产品,该方案将为XXXX公司网络系统提供McAfee深度安全防护体系。通过建立全系统的策略、管理、组织和安全技术体系,以McAfee先进的安全产品构建深度安全防护。使全网的
6、安全风险处于可管理、可控制状态下,保证XXXX公司内部网络的安全性。2 安全解决方案建议目前,XXXX公司已部署了McAfee终端安全病毒防护产品,环境如下1、 McAfee 集中管理平台ePolicy Orchestrator 4.5;2 、McAfee防病毒产品VirusScan Enterprise 8.7i;3、 McAfee防间谍产品Antispyware Enterprise 8.7i;对于已知的病毒和威胁,通过当前安全防护环境(VirusScan和Antispyware)就可以检测和查杀。而对于那些未知的木马或恶意程序等威胁,如果借助McAfee NIPS、MWG和HIPS来增加
7、防护会有更好的效果。它们可以弥补当前网络安全方面防护的不足。我们建议针对这些方面问题采取针对性的解决方案:一、 McAfee Network Intrusion Prevention网络入侵防护系统;二、 McAfee Web Gateway 网关内容安全防护系统;三、 McAfee Host Intrusion Prevention主机入侵防护系统;2.1 McAfee Network Intrusion Prevention网络入侵防护方案作为业界最成熟、最先进的网络入侵防护系统McAfee NIPS 能够准确检测和拦截入侵、拒绝服务(DoS)和分布式拒绝服务(DDoS) 等攻击,并防止网
8、络滥用。McAfee IPS网络入侵防护系统基于完整的攻击分析方法而构建,并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝服务检测技术,除了可以探测攻击,还可以探测已知未知蠕虫和后门程序。2.1.1 McAfee NIPS特点n 网络攻击特征检测为了实现高性能的网络攻击特征检测,NIPS 体系结构不仅采用了创新的专利技术,而且集成了全面的状态检测引擎、完善的特征规范语言、“用户自定义特征”以及实时特征更新,确保了 NIPS 能够提供并维护业界最为全面、更新最及时的攻击签名数据库。n 全面的状态特征检测引擎NIPS 体系结构的特征检测引擎引入了强大的上下文敏感检测技术,在数据包中充分利用
9、了状态信息,它通过使用多个令牌匹配来检测超越了数据包界限的攻击特征,或超出序列范围的数据包流。n 用户自定义网络攻击特征NIPS使得网络安全工程师能够通过一个创新性的图形用户界面(GUI)来编写自定义签名,该界面能够使用通过系统的协议分析功能所获取的字段和数据,或者通过 NIPS 的分析机制收集的状态信息。n 实时特征更新NIPS 提供的创新性实时特征更新极大地提升了管理软件的性能,由 McAfee更新服务器提供的全新特征可以通过策略控制自动发送到整个网络,从而确保了新的特征一经创建,网络即可获得最新的防护功能。NIPS体系结构还允许网络工程师决定何时,以及是否在整个网络中部署最新的签名。NI
10、PS系统无需重新设置或重新启动任何硬件以便激活新的签名,因此,它们能够自动地、实时地进行部署。n 异常检测异常检测技术为 NIPS体系结构全面的签名检测过程提供了完美的补充,异常检测技术使得网络工程师能够对突发威胁或首次攻击进行拦截,并创建出一套完整的“异常档案”,从而保护网络免受当前威胁和未来攻击的骚扰。NIPS体系结构提供了业界最为先进、最为全面的异常检测方法 集成了针对统计数据、协议及应用程序的异常检测技术。异常/未知攻击的例子包括新的蠕虫、蓄意的隐性攻击、以及现有攻击在新环境下的变种。异常检测技术也有助于拦截拒绝服务攻击(观察服务质量的变动)和分布式 DoS 攻击(NIPS 系统利用流
11、量样式变动(例如 TCP 控制数据包的统计数据)来决定是否即将发生海量的数据流)。NIPS体系结构的异常检测技术还能够针对其它威胁提供保护,这包括:缓冲区溢出攻击、由木马程序或内部人员安装的“后门”或恶意攻击、利用低频率进行的隐性扫描攻击、通过网络中的多个发送点传送表面正常的数据包、以及内部人员违反安全策略(例如,在网络中安装游戏服务器或音乐存档)。n 拒绝服务检测NIPS 检测体系结构的第三根“支柱”就是它完善的拒绝服务防护技术。自动记忆以及基于阀值的检测NIPS 体系结构综合利用了基于阀值的检测技术和获得专利的、具有自动记忆功能的基于配置文件的检测技术,从而使拒绝服务检测更具智能化。借助基
12、于阀值的检测功能,网络安全管理员就能够使用预先编写的数据流量限制来确保服务器不会因负载过重而宕机。同时,自动记忆功能使得 NIPS体系结构能够分析网络使用方法和流量的模式,了解合法网络操作中发生的多种合法,但不常见的使用模式。两种技术的结合确保了对各种 DoS 攻击的最高检测准确率 包括分布式拒绝服务攻击(即恶意程序员为了进攻企业或政府网络,同时对上百个,甚至上千个服务器发起攻击)。NIPS准确的 DoS 检测技术具有非常重要的意义,因为很多网站和网络都曾经历过合法的(有时是意外的)、极具吸引力的新程序、服务或应用程序的流量冲击。n 入侵防护NIPS体系结构提供了业界最准确的攻击检测功能,构造
13、了系统攻击响应机制的坚实基础。没有足够响应能力的 IDS 产品只能为网络安全管理员提供有限的功能。现代的 IDS 产品必须能够检测出攻击,并提供偏转和拦截恶意流量的方法。NIPS 体系结构为网络安全管理员提供了一整套手动的和自动的响应措施,并以此构建起企业机构信息技术安全策略的基础。2.1.2 McAfee NIPS功能就攻击检测来说,NIPS体系结构使系统可以实现以下功能:n 拦截攻击它能够实时地在攻击源和目标之间拦截单一数据包、单一会话或数据流量,从而在进程中拦截攻击,而不会影响任何其它流量。n 终止会话NIPS体系结构允许针对目标系统、攻击者(或二者同时)重新设置并初始化 TCP。网络安
14、全工程师可以对发送给源和/或目标 IP 地址的重新设置数据包进行配置。n 修改防火墙策略NIPS 体系结构允许用户在发生攻击时重新配置网络防火墙,方法是临时改变用户指定的访问控制协议,同时向安全管理员发出警报。n 实时警报当网络流量违反了安全策略时,NIPS 体系结构能够实时生成一个警报信息,并发送给管理系统。合理的警报配置是保持有效防护的关键所在。恶性攻击(例如缓冲区溢出以及拒绝服务)往往需要做出实时响应,而对扫描和探测则可以通过日志进行记录,并通过进一步的研究确定其潜在的危害和攻击源。网络安全工程师能够获得有关电子邮件、寻呼程序以及脚步警告的通知,该通知基于预先配置的严重性水平或特定的攻击
15、类型,例如拒绝服务攻击。基于脚步的警告允许对复杂的通知过程进行配置,从而能够针对系统面临的攻击向特定团体或个人发出通知。NIPS 体系结构还提供了一个“警报过滤器”,它允许网络安全工程师根据安全事件的来源或目标进行筛选。例如,当 IT 部门通过一个自有 IP 地址执行漏洞扫描时,从该地址生成的事件就可以被过滤掉。n 对数据包进行日志记录在攻击发生时,或攻击发生之后,基于NIPS体系结构的系统能够首先捕获数据包,并对数据包进行日志记录,然后将该流量重新定向到一个空闲的系统端口,以便进行详细的合法性分析。这个数据包信息就是对触发攻击的实际网络流量的记录。数据被查看后,将转换为 libpcap 格式
16、,以便进行演示和说明。类似于 Ethereal(运行于 UNIX 和 Windows 平台的一款网络协议分析工具)的多种工具可以用来检验数据包日志数据,以便对检测到的事件进行更为详细的分析。NIPS体系结构的响应机制提供了该产品平台的基础,安全管理员需要在此基础上开发出响应措施、警报以及日志系统,以便为复杂的现代网络提供最佳的防护。n 虚拟IDSNIPS传感器支持全新的、功能强大的虚拟 IDS (VIDS(TM)。 虚拟 IDS 能够将 NIPS传感器划分为多个虚拟传感器,这些虚拟传感器可以按照细化的安全策略(包括自定义的攻击选择及相关响应措施)进行全面的自定义。 VIDS 可以根据一组 IP
17、 地址、一个或多个 VLAN 标记来定义,也可以通过传感器上的特定端口来定义。虚拟IDS可以为内部的不同部门、不同地理位置的机构或职能部门分别设置虚拟 IDS 域,从而可以为每一个虚拟 IDS 设置各自的安全策略。这种方法为现代组织提供了极大的便利,使它们能够高效地管理分散的网络用户。NIPS 体系结构的虚拟 IDS 功能可以通过三种方法来实施。第一,将虚拟局域网 (VLAN) 标志分配给一组网络资源;第二,使用无类别域内路由 (CIDR) 标志来保护一组 IP 地址;第三,将 NIPS系统接口专门用于保护特定部门、地区机构或组织职能部门的网络资源。2.1.3 McAfee NIPS部署方式M
18、cAfee NIPS支持完全实时攻击阻断的嵌入(In-Line)模式,也支持传统的SPAN与HUB监控接入方式、TAP接入和端口群集接入模式。嵌入模式:NIPS系统位于数据路径上,活动的流量必须通过它们。NIPS 系统通过实时拦截恶意流量来防止网络攻击。用户可以全面自定义预防措施,例如自动拦截针对特定 Web 服务器的 DoS 流量。高速的防护以及高度可用的操作使得 NIPS系统能够部署在任务关键型环境中。交换端口分析器(SPAN)与集线器监控:一台或多台网络交换机的集线器端口或 SPAN 端口都可以连接到NIPS 系统的检测端口。传感器可以使用同一端口来激活响应措施,例如重新设置某个 TCP
19、 连接。TAP模式:可对全双工以太网链接的网络通信进行双向监控。通过完全捕获某个链接上的所有流量,可以更清楚的了解某个网络攻击的来源和本质 并提供所需的详细信息,以便能够对未来的攻击进行拦截。这种全双工监控能力使得NIPS系统能够维护完整的状态信息。响应措施包括防火墙重新配置,以及通过专用响应端口来重新设置并初始化 TCP。端口群集使得单一NIPS 系统通过多个端口监控的流量能够“聚合”成一个流量流,以便进行状态分析和入侵分析。该功能对于非对称路由环境尤其有用,因为这种环境下,请求数据包和响应数据包可能会通过不同的链接进行传送。单一的 NIPS 系统就能够监控多个链接,同时可以维护准确的、完整
20、的状态信息。2.1.4 McAfee NIPS产品规格型号根据XXXX公司网络带宽使用情况,我们推荐NIPS M-1450型号,此型号最大网络吞吐量为200Mbps,可满足当前网络入侵防护需求。2.2 McAfee Web Gateway网关内容安全防护方案MWG为McAfee上网代理行为管理产品,为企业办公人员提供安全、可控的上网代理服务,满足日常办公上网和安全管理需要,包括对于内部员工和第三方厂商的上网行为管理。MWG是Web 2.0业务模式下全球领先的内容管理安全解决方案 ,提供完整的安全功能 ,能防护Web 2.0流量的所有层面。不仅能满足企业用户对于URL类别过滤,病毒扫描,流量清洗
21、等企业上网行为管理,更强大的功能在于结合TrustedSource提供的URL信誉,通过内建的智能实时分析引擎和主动扫描引擎,快速发现Internet上每天增加的无数不良网站和恶意软件,如欺诈站点,木马下载,恶意动态代码等。根据安全机构和McAfee的联合调查,对Web2.0下的web安全网关提出了以下要求:1 能够处理双向流量2 包含智能分析引擎,能够实时分析回传内容,根据策略来强化网络安全3 支持URL信誉过滤,使用全球智能过滤技术4 支持SSL扫描,可以过滤HTTPS加密流量5 支持丰富的HTTP协议,包括HTTP方法过滤,URL规则过滤,HTTP内容过滤功能6 支持支持恶意代码和动态内
22、容主动扫描,强大的病毒防护能力。 MWG 除了用其他厂商代理产品具有的上网管理功能外,还融合了多个安全防护功能,如 URL 过滤器、反病毒、反垃圾邮件、反间谍软件、SSL 扫描仪等,完全融合为一个单一的易于管理的设备。2.2.1 McAfee MWG功能n 上网行为管理与传统的URL过滤不同,MWG采用了智能的SmartFilter URL 筛选器模块,该模块使用 TrustedSource 信誉技术,阻止从受感染的机器秘密“回呼”间谍软件网站和访问传播恶意软件的网站,并阻止下载受限制的可执行文件。n 反垃圾邮件使用 TrustedSource 连接控制技术阻止不想要的电子邮件,这些电子邮件常
23、常包含受感染的附件或者不适当的或受感染网站的链接。n 媒体类型阻止强大的媒体类型筛选器可靠地侦测真实的文件类型,防御规避现有策略或安全筛选器的伪装文件。企业可能想要禁止可能有害的(如未知的 ActiveX)、过于占用带宽的或影响生产效率的(如视频流)媒体类型。n 反恶意代码引擎安全的反恶意代码引擎可以极快地检查进出的流量,看是否包含已知特征码的病毒、间谍软件、傀儡程序或其它可能不想要的程序。n 恶意代码主动防御所有活动代码都要进行检查,看是否有验证码筛选器中的数字特征码。基于发布者或特征码的有效性阻止活动的代码。这个强大有效的方法可将不想要的活动代码阻隔在网络之外,同时仍允许来自已知的受信任之
24、常规维护升级或可执行文件。n 安全web cacheMcAfee 在web 2.0 环境中从新定义了web cache功能,能够实现为用户提供的缓存对象是经过主动扫描、安全信誉检查和病毒及恶意代码扫描的对象。并且在病毒特征更新后,系统自动对缓存的内容进行重新扫描。2.2.2 McAfee MWG模块McAfee的Web Gateway Web安全网关是集成了多种功能于一身的设备,代表了web通讯安全领域最先进的技术。MWG网关的主要模块描述如下图:2.2.3 McAfee MWG部署方式MWG可以支持多种部署形式,例如透明模式,代理模式,透明代理模式,WCCP方式, ICAP方式等,用户可以根
25、据的自己的网络拓扑选择合适的部署形式。以下仅对代理模式、透明模式和ICA模式部署进行描述: 代理模式用户端可以通过WPAD或者pac的方式来设置浏览器的代理设置,也可以通过手工的方式设置浏览器的代理到MWG,来提供Web流量的清洗和访问控制;也可以通过和Cisco路由器或者交换机配合实现WCCP的透明代理方式。 ICAP 模式如果网络中已经存在了一些代理网关,如BlueCoat, NetCache, ISA等设备,可以通个ICAP的方式来部署。设备在三种模式下工作的网络拓扑说明2.2.4 McAfee MWG 产品规格型号根据XXXX公司内部员工上网数量和基于上网安全因素,我们推荐WG-500
26、0型号为XXXX公司上网代理行为管理产品,此型号完全满足企业内部上网行为审计和Web安全访问管理。2.3 现有安全环境安全防护再巩固对于已知的病毒和威胁通过现有防病毒防护环境(VirusScan和Antispyware)就可以检测和查杀,而对于那些未知的木马或恶意程序等威胁,如果借助McAfee Host Intrusion Prevention(HIPS)主机入侵防护方案来增加防护会有更好的效果。McAfee Host Intrusion Prevention 8.0是一款集防火墙功能和 HIPS 于一身的主动防御和防火墙软件,可以通过ePO集中管理平台进行统一管理,统一查看HIPS事件监控
27、报告。 在它的保护下,操作系统运行的每一个程序,创建的每一个文件,用户第一时间都能清楚的知道,并决定是否允许其运行,这大大降低了病毒进入电脑的机率。HIPS不同处在于,它的应用程序控制功能可阻止未知程序运行,用户只运行信任、安全的程序,其他的一律阻止。当有病毒运行的时候会有提示, 它能够让用户控制哪些应用程序可以在目标计算机上运行,哪些禁止运行,并且可以在ePO中对危险的程序设置黑名单禁止其运行。2.3.1 McAfee Host Intrusion Prevention主机入侵防护功能McAfee HIPS由IPS、防火墙、应用程序控制、被阻挡主机等功能组成,主要功能如下:n 阻止未知应用程
28、序运行杀毒软件只能通过提取病毒样本,分析后公布病毒特征码查杀病毒,有一定的滞后性。McAfee HIPS不同处在于,它的应用程序控制功能可阻止未知程序运行,用户只运行信任、安全的程序,其他的一律阻止。当有病毒运行的时候会有提示, 它能够让用户控制哪些应用程序可以在目标计算机上运行,哪些禁止运行,并且可以在ePO中对危险的程序设置黑名单禁止其运行。n 保护系统注册表不被病毒修改没有安装HIPS的电脑,其注册表是不设防的,任何程序均可随意修改,包括重要和危险键值。例如,任何病毒都需要修改注册表,实现开机启动,有了HIPS就可以把这些键值保护起来。n 系统防火墙功能HIPS的防火墙可监控所有网络流量
29、,允许合法流量通过防火墙,基于签名的防护可以准确地识别和拦截已知恶意流量,功能包括:连接识别-根据系统接入网络的方式和位置采取不同级别的防护措施。例如,可以为直接接入 Internet 的用户制定较严格的规则,为接入企业域的用户制定较宽松的规则。连接隔离-在用户接入重要网络(如企业局域网)时拦截不安全网络上的所有流量。隔离模式-隔离模式有助于预防不安全的客户端感染网络中的其他客户端。2.3.2 McAfee Host Intrusion Prevention部署要求McAfee HIPS需要结合McAfee 集中管理平台ePO一起使用,部署HIPS后将能弥补防病毒软件在处理和预防病毒威胁方面的
30、不足,更有效的抵御木马程序、病毒的入侵和网络攻击。因HIPS的规则设定较为复杂,而且还涉及到客户端使用何种互动模式(三种方式:ePO完全定义、客户端自适应和客户端学习)的问题,因此建议先挑选一个管理比较严格、客户端使用软件比较固定的网段区域进行测试。HIPS部署所需要的测试环境要求如下:服务器硬件:内存 2GB 可用内存;建议为 4 GB。处理器 Intel 2GHz 或更高固定IP地址服务器软件:Windows 2003 Server With SP2Sql Server 2005 With SP2及以上McAfee ePO 4.5及以上McAfee Host Intrusion Preve
31、ntion 8.03 方案总结此建议方案中的产品为McAfee当前最先进、最稳定的安全产品,在全球拥有众多客户,建议XXXX公司在合适的时间安排测试,通过部署这些产品后相信会为贵单位网络层面安全和终端层面安全提供更为全面的安全防护和更为高效的工作效率。部署McAfee产品带来的益处: McAfee Network Intrusion Prevention网络入侵防护系统基于ASIC硬件的网络入侵防护系统,实时阻止黑客攻击、蠕虫病毒、间谍程序及DOS/DDOS攻击,并实现整合性的网络边界安全功能,准确、有效地保护各种网络。设备自身考虑了安全性、可靠性和高性能,它能够在设备掉电和连续系统故障发生时
32、自动接通网络,同时也支持双机热备等高可靠性的功能。 McAfee Web Gateway 网关内容安全防护系统可为XXXX公司提供安全、可控的上网代理服务,并满足日常办公上网和安全管理需要,包括对于内部员工和第三方厂商的上网管理。产品提供灵活的安全策略,配置产品的各种安全功能,并根据不同的部门组织和业务系统的要求,建立不同的安全措施;有很好的防毒能力,防毒和扫描对网页访问造成的延迟很小;支持下载和上传的双向过滤。丰富的报表功能能够满足查看员工的详细上网访问记录。提供丰富的报表功能,能够满足日常管理的需要。产品在性能上,可以通过cluster实现设备自身的负载均衡,无需第三方负载均衡设备,当系统出现故障时,cluster组成员快速接管任务,然后通过系统配置进行快速恢复故障系统,并通过报警信息通知管理员。 McAfee Host Intrusion Prevention主机入侵防护系统此产品为对桌面系统层面安全防护的补充,它和杀毒软件,杀木马软件一样,都是保护系统安全的。不同的是,它不是先中后杀,而是防患于未然。
