《ips网络入侵防御方案模版.docx》由会员分享,可在线阅读,更多相关《ips网络入侵防御方案模版.docx(28页珍藏版)》请在三一办公上搜索。
1、合肥中方网络安全公司2019年10月28日0 McAfee文档说明非常感谢上海XXXX (简称XXXX)给予McAfee公司机会参与XXXX网络入 侵防护项目,并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是,本文档所涉及到的文字、图表等,仅限于McAfee公司和XXXX内部 使用,未经McAfee公司书面许可,请勿扩散到第三方。1 安全威胁分析52 网络入侵防护设计方案72.1 方案设计原则72.2 网络入侵防护的部署方案72.3 自动升级更新92.4 报警和攻击阻断状态管理92.5 报表管理93 部署IPS后网络可靠性114 IntruShield 网络 I
2、PS 的优势134.1 双机热备份功能(HA)134.2 虚拟 IPS 功能(VIPS)134.3 实时过滤蠕虫病毒和Spyware间谍程序144.4 独特的DOS/DDOS探测方式:自动学习记忆和基于阀值的探测方式145 实施方案155.1 循序渐进的分阶段实施155.2 物理/环境要求155.3 实施准备阶段一(2-4个工作日)165.4 安装及配置阶段一(2个工作日)175.5 DAP阶段一30天185.6 DAP阶段二30天195.7DAP阶段三一一1天206IntruShield 网络入侵防护产品简介216.1 网络攻击特征检测216.2 异常检测226.3 拒绝服务检测236.4
3、入侵防护246.5 实时过滤蠕虫病毒和Spyware间谍程序266.6 虚拟 IPS266.7 灵活的部署方式271 XXXX安全威胁分析XXXX生产网络和OA网络架构如下图所示:由图中可以看出,XXXX生产网络和OA通过两条千兆链路直接连接,中间没有任 何防火墙或者网络隔离设备;而OA网络和Internet网络有直接的专线连接。从网络结构来看,XXXX面临的外部威胁包括:1) OA网络面临的外部威胁a) 黑客的攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,造成网 络、应用和服务器系统瘫痪;b) 蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入企业内部后 为黑客攻击留下
4、后门,同时造成网络拥塞,甚至中断,如NetSky、Mydoom等蠕虫病毒;c) 蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算 机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃 圾信息,造成网络拥塞,如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。d) 面临来自OA网和Internet的黑客攻击,包括DOS/DDOS攻击的威胁,来自Internet 或者办公网的DOS/DDOS攻击会造成网络服务中断。e) OA用户文件拷贝,Internet访问带来:病毒、蠕虫、间谍程序、后门程序和特洛 伊木马的威胁。来自Inte
5、rnet的Spyware的威胁2)同样生产网络面临着内外部网络的威胁,因为,生产网络和OA网络间没有任何 防火墙或者安全隔离设备,因此,生产网的威胁包括:3)来自1 nternet的黑客攻击,造成设计或者客户数据的泄密,或者信息篡改,造成信 息完整性被破坏;6)来自Internet和OA网络的蠕虫、病毒和Spyware的威胁。)来自Internet的DOS/DDOS攻击,造成计算机网络瘫痪,导致业务中断;来自OA网络内部的恶意攻击,造成中心数据破坏或被窃取,甚至造成业务中断。)来自OA网络的越权访问机密信息,造成信息泄密。因此,中信国际迫切需要在Internet和OA网络之间,OA网络和生产网
6、络之间部署网 络入侵防护设备,以实现:1)探测出黑客攻击,并且实时阻断黑客的攻击;2)能够探测出已知和未知的蠕虫,实时阻止这些蠕虫进入OA网络和生产网络;3)探测来自Internet或者OA网络由于蠕虫病毒引起的异常网络流量,阻止进入生产 网络网络;4)阻止对生产网络的DOS/DDOS攻击2网络入侵防护设计方案2.1方案设计原则在Internet和OA网络间,特别是OA网络和生产网络间采用IPS时,必须依据以下原则:1) 探测准确:不会出现误报和漏报2) 可靠性:确保网络不会因为设备故障而造成中断3) IPS部署后,不出现性能瓶颈4) 业务安全需求和投资的平衡2.2网络入侵防护的部署方案根据X
7、XXX 的网络架构,需要部署网络入侵防护设备的地方包括:1) Internet网络和OA网之间;2) OA网络和生产网络之间;如下图所示。Intrushield Manager1) OA网络和Internet之间的网络入侵防护部署:采用一台IntruShield 1200,以嵌入方式(In-Line)部署在OA网络核心交换机和Internet防火墙后。管理端口连接到核心交换机快速以太网端口,通过IntruShield进行集中管理。2)OA网络和生产网络间的IPS部署采用两台IntruShield 3000,每台IntruShield 3000以图中方式,采用嵌入方式部署在生产 网和OA网在之间
8、。两台IntruShield 3000通过各自的6B端口使用千兆连接,作为双机热备 的心跳线,每台IntruShield 3000的处理能力均为1GBPS,所以可以确保不会出现性能瓶颈, 通过HA心跳线连接,实现两台IntruShield 3000的双机热备份,确保网络可靠性。如果连 接生产网和OA网络间使用非对程路由,则两台IntruShield 3000使用Port Clustering (端口 群集)方式部署。两台IntruShield 3000的Manager端口,连接到交换机,通过IntruShield Manager进行统一的集中管理,通过IntruShield Manager进行
9、报警浏览、配置和策略管理、 升级更新管理和报表管理。2.3自动升级更新IntruShield 3000 和 IntruShield 1200 的自动更新由 IntruShield Manager 进行。IntruShield Manager 自动从 Internet 下载更新,通过在 IntruShield Manager 上设置由 Manager 到 Sensor 的自动更新计划,对Sensor进行自动更新。2.4报警和攻击阻断状态管理报警管理通过部署在OA网络上的IntruShield Manager进行集中管理。报警保存在 IntruShield Manager 的数据库中。IntruS
10、hield Manager的报警管理器具有现实黑客攻击结果、实时阻止结果和数据“Drill Down ”功能。在报警管理器中还可以显示对当前攻击的实时阻断统计。2.5报表管理通过IntruShield Manager可以灵活地产生所有网络入侵防护Sensor或选择的Sensor的 报表,除了已建好的固定格式、内容的报表外,用户还可以自定义各种报表,报表输出格式 有PDF和HTML格式两种。通过IntruShield Manager的报表Schedule每周一定期向安全管理员发送上周的攻击和网 络异常报表。3部署IPS后网络可靠性IntruShield In-Line部署时的可靠性保证通过以下技
11、术实现:1)端口的Fail-Open功能2)双机热备HA功能3)冗余电源4)Layer 2 Passthur 功能5)循序渐进的部署方式下面详细介绍这些技术:1)Fail-Open故障时接通线路功能Fail-Open功能确保设备硬件故障或掉电时网络自动切换到直通状态,若是光纤则 自动切换到外部光纤直通方式,如下图:IntruShieid 2600600 Mbps asgregote2)双机热备HA双机热备HA是IntruShield内置支持的功能,两台IntruShield Sensor设备通过心跳线”传递状态,在主设备停止响应时自动切换到备用设备,其原理如下图:IntruShield 400
12、0Server Farm3) Layer 2 Passthur 功能Layer 2 Passthru (第二层放行)功能:若IntruShield Sensor在设定的时间内发生多 次重大故障报警(Critical),此功能便可让Sensor进入网络第二层放行模式,也就是故 障时接通线路模式(Fail-Open)。这项功能可防止IntruShield Sensor部署在高可用网络 时,由于故障,Sensor成为网络性能瓶颈。根据预先的设定,当IntruShield Sensor遇到重大运行错误,例如Suspended task或 者“hung” processor时,IntruShield S
13、ensor就会重新启动(reboot)。若侦测器持续遇到 重大错误(Critical),则每遇到一项重大错误Sensor就会重新启动一次,若Sensor没有人 严密监视,则重复的重新开机动作将会使IntruShield Sensor造成网络性能瓶颈。Layer 2 Passthru (第二层放行)动作可让设置IntruShield Sensor在限定时间内发生的重大故障 次数阈值,超过这个阈值就强制Sensor进入故障时接通线路模式(Fail-Open模式)。例 如,可以设定成5分钟内连续发生3次重大故障就启用第二层放行功能(Layer 2Passthru)。若在第1、3与4分钟分别发生一次故
14、障,第2层放行模式就会启用。4 IntruShield网络IPS的优势4.1双机热备份功能(HA)在OLAP业务环境或者数据中心,网络一般采用HA结构或者Load Balance, 以避免单点故障造成业务中断。McAfee IntruShield提供了完全的HA功能,以 支持HA网络环境或者Load Balance网络环境。IntruShield 4000Server Farm如上图,在HA环境中两台McAfee IntruShield通过Response端口连接的“心 跳线”探测对方的状态,当“Stand-by”状态的IntruShield探测到对方停止响应 时,自己立即激活进入“Activ
15、e”状态。如上图,当配置非对称路由时,链路处于Load Balance状态时,只需将两台 IntruShield 配置成 Port Clustering,并且连接 IntruShield Response 端口作为“心 跳线”,即可进行Load Balance和完整的Session跟踪。4.2虚拟IPS功能(VIPS )虚拟IPS能够将IntruShield探测器划分为多个虚拟探测器,这些虚拟探测器可以使用 不同的探测和防护策略保护不同的VLAN、子网和主机(包括自定义的攻击选择及相关响应 措施)。VIPS可以根据一组IP地址、一个或多个VLAN标记来定义,也可以通过探测 器上的特定端口来定义
16、。IntruShield体系结构的虚拟IPS功能可以通过三种方法来实施。第一,将虚拟局域网 (VLAN)标志分配给一组网络资源;第二,使用无类别域内路由(CIDR)标志来保护一组IP 地址;第三,将IntruShield系统接口专门用于保护特定部门、地区机构或组织职能部门的 网络资源。基于CIDR的VIPS实施能够使用/32掩码具体到单一主机的水平。例如,可以使用 单一主机的特有策略来识别DoS攻击,并做出响应。4.3实时过滤蠕虫病毒和Spyware间谍程序在IntruShield的Signature中包含了蠕虫病毒、Spyware间谍程序、“特洛伊木马”、后 门程序的Signature,当I
17、ntruShield采用In-Line方式部署时,能过过滤掉流经IntruShield的 这些恶意程序,而且还能过滤由蠕虫病毒引起的异常网络力量,如Nachi Ping等。而且IntruShield的邮件未知蠕虫Signature可以探测邮件中夹带的未知蠕虫病毒,并且 将其丢弃,从而使得IntruShield可以对抗新的、将来出现的蠕虫病毒。4.4独特的DOS/DDOS探测方式:自动学习记忆和基于阀值的探测方式IntruShield综合利用了基于阀值的DOS/DDOS检测技术和获得专利的、具有自动学习 记忆功能的基于配置文件的检测技术,从而使DOS拒绝服务检测更具智能化。借助基于阀 值的检测功
18、能,网络安全管理员就能够使用预先编写的数据流量限制来确保服务器不会因 负载过重而宕机。自动学习记忆功能使得IntruShield体系结构能够分析网络使用方法和流量的模式,了 解合法网络操作中发生的多种合法,但不常见的使用模式。两种技术的结合确保了对各种DoS攻击的最高检测准确率一包括分布式拒绝服务 攻击(即恶意程序员为了进攻企业或政府网络,同时对上百个,甚至上千个服务器发起攻击)。5实施方案5.1循序渐进的分阶段实施为了确保IPS的部署不影响XXXX网络的可靠性和可用性,McAfee建议采用循序渐 进的分阶段部署方式:第一阶段:采用SPAN方式,部署一个月后,评估设备的可靠性、准确性和性能;第
19、二阶段:在第一阶段成功的基础上,采用In-Line的方式和HA部署,但不做任何攻 击实时阻断;第三阶段:运行一个月后,评估准确性、性能和可靠性和才开始进行攻击阻断。上述三个阶段,McAfee提供DAP (Deployment Assistant Program),免费提供两个月的 McAfee白金服务,以确保部署的成功。实施细节如下:5.2物理/环境要求电源100-240VAC (50/60Hz)后备电源250W运行环境温度范围0-40摄氏度运行环境湿度范围5%-95%高度1-10,000 英尺安全证书美国ECL3,CB许可使用所有国家EMI证书FCC 第 15 部分,A 类(CFR47)美国
20、 ICES-003CISPR22 A 类(国际)5.3实施准备阶段一(2-4个工作日)实施环境主要工作负责人时间分 配网络环境 准备准备好3台IntruShield所需的IP地址。控制台IP地址:1个Sensor Manager端口地址:3个客户0.5个工作日准备独立的控制台服务器,服务器性能 良好,无故障。客户需要连接的网络线路准备;设备自带光盘及配置线准备。客户交换机需要检测的数据确认;完成交换机数据到检测端口的镜像工 作;客 户/McAfeeIntruShield控制台的安 装安装Windows 2000 Server央文操作系统并安装SP4以及最新的系统补丁;CPU 最低 2.6GHz
21、;内存空间1G;硬盘空间80G。客户1个工作 日参照安装手册,安装所需软件; IntruShield自带数据库,因此无须安装专口 的数据库软件。客 户/McAfee服务器操作系统的各项安全设置。客 户/McAfee统一操作系统时间,以方便通讯数据的SSL加密。客户IntruShiel d Sensor 的安 装Sensor的配置数据线,电源线,自带网 线及各种配件的准备。客 户/McAfee0.5个工作日确认Sensor在机架上的位置,将2台客 户IntruShield 3000和一台 1200探测Sensor上 架安装完毕。/McAfee防火墙的 配置在IntruShield控制台和Sens
22、or的通讯链 路之间,如果有硬件或者软件防火墙,则需 要对防火墙进行相应配置;参考设备安装手册,开启8551,8552 和8553端口,以便于控制台和Sensor之间的 数据交换。客 户/McAfee0.5个工作日5.4安装及配置阶段一(2个工作日)实施工作主要内容负责人时间分 配IntruShieldManager 安装进行Windows2000系统所需要 的相关配置。McAfee0.5个工作日按照合理步骤安装Manager软 件McAfee设定IntruShield用户权限,其中 包括用户管理员、日志分析员及策略 配置人员等。McAfee安装自带数据库,以便于报警日 志的存储。McAfee
23、配置Sensor属性,准备进行连 接。McAfeeIntruShieldSensor配置配置Sensor IP地址。McAfee0.5个工作日设定检测端口属性,开启端口的 功能。McAfeeSensor的其他属性设定。McAfee设置同Manager的连接参数。McAfee同Manager建立连接,并测试。McAfee策略配置检查设备连接情况是否正常,以 便于应用最新的策略配置。McAfee1个工作 日根据网络目前的情况,合理配置 策略。McAfee设置自学习模式及周期。McAfee设置各种响应方式。McAfee配置策略自动升级计划。McAfee设置D oS/DD oS检测模式。McAfee定
24、制报表上报计划。McAfee将Sensor的内置系统及策略库 升级至最新版本。McAfee显示端安装合适的Java版本,进行显示 测试。McAfee0.5个工作日基本功能测试。McAfee5.5 DAP阶段30天内容主要内容负责人主要问题报警在局域网中进行http/ftp等协议事件的测 试,察看报警是否正常?McAfee在部署为Span模式后,攻击事件报警是否正常?McAfee日志及报表定制报表的生成是否正常?McAfee报警信息保存入库是否正常?McAfee报警趋势动态显示及分析是否正常?McAfee策略策略库的自动升级是否正常?McAfee策略的自动下发是否正常?McAfee策略的定制修改
25、是否正常?McAfee用户权限权限控制是否合理、正常?McAfee运行状况IntruShield Sensor的运行是否正常?McAfeeIntruShield Sensor的性能是否满足网络性能的要求?McAfee5.6 DAP 阶段二30 天内容主要内容负责人主要问题评估探测准确性客户/McAfee性能客户/McAfeeSensor可靠性客户/McAfee修改成In-Line方式部署修改ISM配置McAfee更改Sensor部署方式到In-LineMcAfee配置两台IntruShield 3000的HAMcAfee策略修改权限控制是否合理、正常?McAfee5.7 DAP阶段三1天内容主
26、要内容负责人主要问题评估探测准确性客户/McAfee性能客户/McAfeeSensor可靠性客户McAfee修改成实时攻击阻断修改ISM配置McAfee修改策略配置McAfee观察报警管理器中的攻击是否被阻止客户 /McAfee6 IntruShield网络入侵防护产品简介IntruShield基于完整的攻击分析方法而构建,并引入了业界最为全面的网络攻击特征检 测、异常检测以及拒绝服务检测技术,除了可以探测攻击,还可以探测已知未知蠕虫和后门 程序。6.1网络攻击特征检测为了实现高性能的网络攻击特征检测,IntruShield体系结构不仅采用了创新的专利技 术,而且集成了全面的状态检测引擎、完善
27、的特征规范语言、“用户自定义特征”以及实时 特征更新,确保了 IntruShield能够提供并维护业界最为全面、更新最及时的攻击签名数据 库。特征规范语言IntruShield以专用的高水平特征规范语言为强大支持。IntruShield能够从应用程序软件 中分离出攻击模式特征,在这个独特的体系结构中,将特征简单地转换为表单项,从而可以 通过直观的用户界面实现实时更新,并可被特征引擎立即使用。目前的IDS产品往往通过软件“补丁程序”来提供新的特征,这不仅降低了部署速度 (必须根据整个IDS软件应用程序进行质量保证),而且也不利于安装(必须重新启动系 统)。而IntruShield通过从传感器软件
28、中分离攻击模式特征,从而确保了高质量的全新特征 可以快速部署(无需重新启动系统)。同时,从传感器应用程序代码中分离特征也使得特征 编写人员能够将精力集中在特征编写的“质量”上,而无需考虑如何将特征构建为应用程序 更新补丁。全面的状态特征检测引擎IntruShield体系结构的特征检测引擎引入了强大的上下文敏感检测技术,在数据包中充 分利用了状态信息,它通过使用多个令牌匹配来检测超越了数据包界限的攻击特征,或超出 序列范围的数据包流。用户自定义网络攻击特征IntruShield使得网络安全工程师能够通过一个创新性的图形用户界面(GUI)来编写自 定义签名,该界面能够使用通过系统的协议分析功能所获
29、取的字段和数据,或者通过 IntruShield的分析机制收集的状态信息。实时特征更新IntruShield提供的创新性实时特征更新极大地提升了管理软件的性能,由IntruVert更 新服务器提供的全新特征可以通过策略控制自动发送到整个网络,从而确保了新的特征一经 创建,网络即可获得最新的防护功能。IntruShield体系结构还允许网络工程师决定何时,以 及是否在整个网络中部署最新的签名。IntruShield系统无需重新设置或重新启动任何硬件以 便激活新的签名,因此,它们能够自动地、实时地进行部署。6.2异常检测异常检测技术为IntruShield体系结构全面的签名检测过程提供了完美的补充
30、,异常检 测技术使得网络工程师能够对突发威胁或首次攻击进行拦截,并创建出一套完整的“异常档 案”,从而保护网络免受当前威胁和未来攻击的骚扰。IntruShield体系结构提供了业界最为先进、最为全面的异常检测方法一集成了针对统 计数据、协议及应用程序的异常检测技术。异常/未知攻击的例子包括新的蠕虫、蓄意的隐 性攻击、以及现有攻击在新环境下的变种。异常检测技术也有助于拦截拒绝服务攻击(观察 服务质量的变动)和分布式DoS攻击(IntruShield系统利用流量样式变动(例如TCP控 制数据包的统计数据)来决定是否即将发生海量的数据流)。我们将在下面的部分具体讨论 拒绝服务攻击。IntruShie
31、ld体系结构的异常检测技术还能够针对其它威胁提供保护,这包括:缓冲区溢 出攻击、由木马程序或内部人员安装的“后门”或恶意攻击、利用低频率进行的隐性扫描攻 击、通过网络中的多个发送点传送表面正常的数据包、以及内部人员违反安全策略(例如, 在网络中安装游戏服务器或音乐存档)。6.3拒绝服务检测IntruShield检测体系结构的第三根“支柱”就是它完善的拒绝服务防护技术。自动记忆以及基于阀值的检测IntruShield体系结构综合利用了基于阀值的检测技术和获得专利的、具有自动记忆功能 的基于配置文件的检测技术,从而使拒绝服务检测更具智能化。借助基于阀值的检测功能, 网络安全管理员就能够使用预先编写
32、的数据流量限制来确保服务器不会因负载过重而宕机。同时,自动记忆功能使得IntruShield体系结构能够分析网络使用方法和流量的模式, 了解合法网络操作中发生的多种合法,但不常见的使用模式。两种技术的结合确保了对各种DoS攻击的最高检测准确率一包括分布式拒绝服务 攻击(即恶意程序员为了进攻企业或政府网络,同时对上百个,甚至上千个服务器发起攻击)。IntruShield准确的DoS检测技术具有非常重要的意义,因为很多网站和网络都曾经历 过合法的(有时是意外的)、极具吸引力的新程序、服务或应用程序的流量冲击。检测技术的关联性正如我们所看到的,IntruShield体系结构提供了多种操作模式,使得系
33、统能够捕捉恶意 流量、提供全面的攻击分析方法、实施完整的智能化签名检测、异常检测以及拒绝服务防护 技术。IntruShield体系结构的检测关联层连接着系统的签名检测、异常检测以及拒绝服务检测功能一这种相互关联性以及对可疑流量的交叉检查功能确保了攻击检测的高度准确性。单一 IntruShield系统能够对防火墙的公共网段、专用网段以及DMZ网段进行全面的 保护,并提供这些网段之间的相互关联性,从而能够针对被拦截的网络攻击或者进入专用网 络的网络攻击提供准确的详细信息。6.4入侵防护IntruShield体系结构提供了业界最准确的攻击检测功能,构造了系统攻击响应机制的坚 实基础。没有足够响应能力
34、的IDS产品只能为网络安全管理员提供有限的功能。现代的 IDS产品必须能够检测出攻击,并提供偏转和拦截恶意流量的方法。IntruShield体系结构为网络安全管理员提供了一整套手动的和自动的响应措施,并以此 构建起企业或政府机构信息技术安全策略的基础。Alwllngi*Attaclkipd ServerDifO-p AttiBEluModify Firewall PgllcvLog Pikcktfts* LnUwShlal就攻击检测来说,IntruShield体系结构使系统可以实现以下功能:A. 拦截攻击IntruShield体系结构允许IDS以嵌入模式工作,因此,它能够实时地在攻击源和目标
35、之间拦截单一数据包、单一会话或数据流量,从而在进程中拦截攻击,而不会影响任何其它 流量。B. 终止会话IntruShield体系结构允许针对目标系统、攻击者(或二者同时)重新设置并初始化TCP。 网络安全工程师可以对发送给源和/或目标IP地址的重新设置数据包进行配置。C. 修改防火墙策略IntruShield体系结构允许用户在发生攻击时重新配置网络防火墙,方法是临时改变用户 指定的访问控制协议,同时向安全管理员发出警报。D. 实时警报当网络流量违反了安全策略时,IntruShield体系结构能够实时生成一个警报信息,并发 送给管理系统。合理的警报配置是保持有效防护的关键所在。恶性攻击(例如缓冲
36、区溢出以 及拒绝服务)往往需要做出实时响应,而对扫描和探测则可以通过日志进行记录,并通过进 一步的研究确定其潜在的危害和攻击源。网络安全工程师能够获得有关电子邮件、寻呼程序 以及脚步警告的通知,该通知基于预先配置的严重性水平或特定的攻击类型,例如拒绝服务 攻击。基于脚步的警告允许对复杂的通知过程进行配置,从而能够针对系统面临的攻击向特 定团体或个人发出通知。IntruShield体系结构还提供了一个“警报过滤器”,它允许网络安全工程师根据安全事 件的来源或目标进行筛选。例如,当IT部门通过一个自有IP地址执行漏洞扫描时,从该 地址生成的事件就可以被过滤掉。E.对数据包进行日志记录在攻击发生时,
37、或攻击发生之后,基于IntruShield体系结构的系统能够首先捕获数据 包,并对数据包进行日志记录,然后将该流量重新定向到一个空闲的系统端口,以便进行详 细的合法性分析。这个数据包信息就是对触发攻击的实际网络流量的记录。数据被查看后, 将转换为libpcap格式,以便进行演示和说明。类似于Ethereal(运行于UNIX和 Windows 平台的一款网络协议分析工具)的多种工具可以用来检验数据包日志数据,以便对检测到的 事件进行更为详细的分析。IntruShield体系结构的响应机制提供了该产品平台的基础,安全管理员需要在此基础上 开发出响应措施、警报以及日志系统,以便为复杂的现代网络提供最
38、佳的防护。6.5实时过滤蠕虫病毒和Spyware间谍程序在IntruShield的Signature中包含了蠕虫病毒、Spyware间谍程序、“特洛伊木马”、后 门程序的Signature,当IntruShield采用In-Line方式部署时,能过过滤掉流经IntruShield的 这些恶意程序。而且IntruShield的邮件未知蠕虫Signature可以探测邮件中夹带的未知蠕虫病毒,并且 将其丢弃,从而使得IntruShield可以对抗新的、将来出现的蠕虫病毒。6.6虚拟IPSIntruShield传感器支持全新的、功能强大的虚拟IPS (VIPS(TM)。虚拟IPS能够将IntruShi
39、eld传感器划分为多个虚拟传感器,这些虚拟传感器可以按照细化的安全策略(包括 自定义的攻击选择及相关响应措施)进行全面的自定义。VIPS可以根据一组IP地址、一 个或多个VLAN标记来定义,也可以通过传感器上的特定端口来定义。虚拟IPS可以为内部的不同部门、不同地理位置的机构或职能部门分别设置虚拟IPS 域,从而可以为每一个虚拟IPS设置各自的安全策略。这种方法为现代组织提供了极大的 便利,使它们能够高效地管理分散的网络用户。IntruShield 1400 支持 32 个虚拟 IPS,IntruShield 3000 支持 1000 个虚拟 IPSIntruShield体系结构的虚拟IPS功
40、能可以通过三种方法来实施。第一,将虚拟局域网 (VLAN)标志分配给一组网络资源;第二,使用无类别域内路由(CIDR)标志来保护一组IP 地址;第三,将IntruShield系统接口专门用于保护特定部门、地区机构或组织职能部门的 网络资源。基于CIDR的VIPS实施能够使用/32掩码具体到单一主机的水平。例如,可以使用 单一主机的特有策略来识别DoS攻击,并做出响应。6.7灵活的部署方式IntruShield支持完全实时攻击阻断的嵌入(In-Line)模式,也支持传统的SPAN与HUB监控接入方式、TAP接入和端口群集接入模式。嵌入模式:IntruShield系统位于数据路径上,活动的流量必须
41、通过它们dntruShield系统通过实时拦截恶意流量来防止网络攻击。用户可以全面自定义预防措施,例如自动拦截针对特定Web服务器的DoS流量。高速的 防护以及高度可用的操作使得IntruShield系统能够部署在任务关键型环境中。交换端口分析器(SPAN)与集线器监控: 一台或多台网络交换机的集线器端口或 SPAN端口都可以连接到IntruShield系 统的检测端口。传感器可以使用同一端口来激活响应措施,例如重新设置某个TCP 连接。TAP模式:可对全双工以太网链接的网络通 信进行双向监控。通过完全捕获某个链接 上的所有流量,可以更清楚的了解某个网 络攻击的来源和本质一并提供所需的详 细信息,以便能够对未来的攻击进行拦截。 这种全双工监控能力使得IntruShield系 统能够维护完整的状态信息。响应措施包括防火墙重新配置,以及通过专用响应端口来重新 设置并初始化TCP。的、完整的状态信息。端口群集使得单一 IntruShield系统通过多个端口监控的流量能够“聚合”成一个流量 流,以便进行状态分析和入侵分析。该功能 对于非对称路由环境尤其有用,因为这种环 境下,请求数据包和响应数据包可能会通过 不同的链接进行传送。单一的IntruShield系 统就能够监控多个链接,同时可以维护准确
