XX网站安全解决方案.doc

1 1 XX 网站安全解决方案网站安全解决方案 网络安全解决方案网络安全解决方案 上海恒驰信息技术有限上海恒驰信息技术有限 1 2 目目 录录 1企业面临的威胁 1 4 1 1应用安全的重要性 1 4 2应用安全解决方案 2 6 2 1XX 网站现状 2 6 2 2客户网络现状分析 2 6 2 3XX 网站安全解决方案 2 7 3部署的产品 3 9 3 1Hillstone 公司简介 3 9 3 1 1面向应用的高性能防火墙需求 3 10 3 1 2技术先进性和实用性原则 3 14 3 1 3高可靠性原则 3 14 3 1 4易于扩展和升级的原则 3 14 3 1 5管理和维护的方便性 3 15 3 1 6网络安全方案设计 3 15 3 1 7方案描述 3 15 3 2IntruShield 网络入侵防护产品简介 3 17 3 2 1网络攻击特征检测 3 17 3 2 2异常检测 3 19 3 2 3拒绝服务检测 3 19 3 2 4入侵防护 3 20 3 2 5实时过滤蠕虫病毒和 Spyware 间谍程序 3 23 1 3 3 2 6虚拟 IPS 3 23 3 2 7灵活的部署方式 3 24 1 4 1 企企业业面面临临的的威威胁胁 随着计算机与网络通信技术的发展 越来越多的企业活动建立在计算机网络信息系统 的基础上 在信息和网络被广泛应用的今天 Internet 上的商务和经济活动的增多对网络 系统的安全提出了很高的要求 任何一个网络管理或使用者都非常清楚 所有被使用的计 算机网络都必然存在被有意或无意的攻击和破坏之风险 InternetInternet 攻击行为来自于以下方面 攻击行为来自于以下方面 a 黑客有目的的远程攻击入侵 造成信息泄露 或者破坏网络 应用和服务器系统 造成网络 应用和服务器系统瘫痪 b 蠕虫病毒通过网络 Email 和网络文件共享等多种方式传播 植入服务器后为黑 客攻击留下后门 同时造成网络拥塞 甚至中断 如 NetSky Mydoom 等蠕虫病毒 c 蠕虫利用操作系统 应用 Web 服务器和邮件系统的弱点进行传播 植入计算机 系统后为黑客攻击留下后门 同样 在传播过程中 产生大量的 TCP UDP 或 ICMP 垃圾 信息 造成网络拥塞 如 Sql Slammer Nimda 冲击波 和 Nachi 蠕虫病毒 d DOS DDOS 攻击的威胁 会造成网络服务中断 e 网络异常流量 1 1 应应用用安安全全 的的重重要要性性 随着计算机与网络通信技术的发展 越来越多的企业活动建立在计算机网络信息系统 的基础上 而 Internet 在世界范围内的迅速普及 使企业内部网络联入世界范围的 Internet 的要求越来越迫切 Internet 上的商务和经济活动的增多对网络系统的安全提出了很高的 要求 解决这些问题的难度也越来越大 来自 Internet 的威胁越来越频繁 不断出现的网 络攻击 网络病毒 间谍软件 木马程序 并呈不断上升的趋势 这不仅影响了计算机网 络系统的实际应用 还给企业和个人带来了信息和经济的损失 而且还极大地动摇了用户 1 5 的信心 我们能使用计算机来处理我们的重要信息吗 通过部署网络防火墙设备 实现 通过部署网络防火墙设备 实现 1 把内网服务器和 Internet 做物理隔离 拒绝非法访问 2 基于服务器的发布 映射服务器特定端口 给 Internet 用户提供服务 3 严格的策略的控制 在 web 服务器和 Internet 的连接部分我们部署一台 HillStone 系列防火墙 连接 Internet 的 ISP 链路被直接连接到 HillStone 防火墙上 内部 web 服务器需通过 HillStone 防火墙连接到 Internet 为了内部服务器 我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区 域 到 Internet 的链路端口划分到 UnTrust 区域 Trust 区域端口连内部网的交换机 将防火墙设置为 NAT 模式 这样就可以保护内部的私有网段 SA 系列防火墙有着强 大的 NAT 功能 我们可以根据需要灵活的设置 NAT 包括 1 对 1 的 NAT 基于端口的 NAT 源地址 NAT 和基于目的的 NAT 等 HillStone 有着强大的访问控制策略设置方法 可以有效保护内部网络对 Internet 的访 问 和公司对互联网提供的各种服务 通过部署网络入侵防护设备 实现 通过部署网络入侵防护设备 实现 1 探测出黑客攻击 并且实时阻断黑客的攻击 2 能够探测出已知和未知的蠕虫 实时阻止这些蠕虫进入自来水公司网络 3 探测异常网络流量 阻止进入自来水公司网络 4 探测和阻挡 DOS DDOS 攻击 McAfee IntruShield IPS 既能实时阻挡黑客攻击 又能阻挡中 高威胁蠕虫病毒 并且具有完整的阻挡 DDOS 攻击的能力 包括对抗 Syn Flood 的 Syn Cookie 技术 因此 在自来水公司 Internet 接入位置部署一台入侵防护设备既作为网络入侵防护设备 同时又 作为防 DOS DDOS 设备 用以探测和过滤黑客攻击 网络异常流量 异常流量包括蠕虫病毒 和蠕虫病毒传播导致的异常流量入 Nach Ping Sql Slammer 异常流量等 另一大类当前网 络的异常流量是由 Botnet 僵尸网络攻击引起的异常流量 这类流量和传统的 DOS DDOS 攻 击不一样 DOS DDOS 攻击 2 6 2 应应用用安安全全解解决决方方案案 2 1 XX 网网站站现现状状 XX 网站是托管在 IDC 机房 Internet 接入交换机 服务器设置公网 IP 地址 无任何 安全措施 web 服务器完全暴露在公网上 存在很大的安全隐患 还时常遭受黑客的攻击 导致正常访问的中断 XX 网站拓扑结构示意图如下所示 2 2 客客户户网网络络 现现状状分分析析 面临的外部安全威胁 面临的外部安全威胁 1 黑客的攻击入侵 造成信息泄露 或者破坏网络 应用和服务器系统 可能造成 网络 应用和服务器系统瘫痪 2 蠕虫病毒通过网络 Email 和网络文件共享等多种方式传播 植入网站计算机后为 2 7 黑客攻击留下后门 同时造成网络拥塞 甚至中断 3 3 蠕虫 恶意程序利用操作系统 应用 Web 服务器和邮件系统的弱点进行传播 植 入计算机系统后为黑客攻击留下后门 同样 在传播过程中 产生大量的 TCP UDP 或 ICMP 垃圾信息 造成网络拥塞 如 Sql Slammer Ni 集成商 a 冲 击波 和 Nachi 蠕虫病毒 4 面临 DOS DDOS 攻击 造成网络服务中断 5 P2P IM 等特殊应用缺乏管理和阻断的手段 6 越来越多的新型应用 如 VoIP SSL 加密数据 IPv6 等没有相应的防护手段 7 来自 Internet 各类安全威胁 没有有效的手段进行评估 并通过高效的措施将其 阻断 2 3 XX 网网站站安安全全解解决决方方案案 基于 XX 网站以上问题 上海恒驰信息有限公司处于负责的态度建议客户从网关处部 署一整套安全防护系列产品来完善企业网站的安全建设 其中包括 1 Hillstone 安全防火墙 2 McAfee IntruShield 入侵检测设备 根据以上的安全威胁分析 我们需要采取相应措施解决这些安全问题 因此 安全需 求可以归纳为以下几方面 1 设定严格的策略控制 阻止非授权的访问 2 加强网络边界的安全防护手段 准确的检测入侵行为 并能够实时阻断攻击 3 能够检测出已知或未知的各种攻击形式 实时阻断黑客攻击 4 能够探测出已知和未知的蠕虫 病毒及恶意代码 准确定位传染源 并能够阻断 蠕虫通过网络进行传播 5 能够检测异常网络流量 有效阻断 DoS DDoS 攻击 2 8 6 能够检测针对网络的加密攻击 7 能够对整个客户网络进行实时 准确 全面的入侵防护 8 通过现有系统或新购产品 及时识别网络中的安全弱点 并且获得具体的安全弱 点的修补建议 9 发现新的弱点和新的威胁时 能够有手段在 Internet 入口及网络边界阻止这些威 胁 实时保护内部网络的安全 10 需要依照全行的安全策略和管理策略 部署先进高效的网络入侵防护产品 并从 安全风险管理的角度出发 真正有的放矢地解决网络安全问题 11 最后 客户更需要建立一个信息安全管理体系 通过一定的基本原则和管理流程 整合好目前已经部署和使用的安全产品 真正做到对安全风险的有效管理 产品部署之后的网络示意图如下 3 9 3 部部署署的的产产品品 3 1Hillstone 公公司司简简介介 山石网科通信技术 北京 有限公司 以下简称 山石网科 创建于 2006 年 是网 络安全领域的代表企业之一 公司总部位于中国北京 并在美国硅谷设有研发中心 山石 网科积累了多年网络安全产品研发和市场运做经验 专注于信息安全 是专业的新一代安是专业的新一代安 全网络设备提供商 全网络设备提供商 目前 山石网科拥有员工 200 余人 其中博士 硕士占 30 以上 公司的核心团队由 来自 Juniper Cisco Netscreen Fortinet 和 H3C 等中外著名企业的精英组成 具备先进的 技术经验和丰富的企业管理经验 公司总注册资金 475 万美金 设有系统架构部 系统运 营 部 软件系统部 渠道销售部 售前售后技术部等部门 并且已经通过投资 控股和合 作等形式 在亚太区形成了良性发展的产业和营销体系 自成立以来 山石网科就以 贴近市场 贴近客户 快速把握并满足客户需求 为己 任 用产品和方案来帮助客户获得网络安全 从而实现自身的企业价值 山石 网科凭借其 独特的服务精神和强大的技术实力 以国际一流的技术打造适合中国本土化应用需求的高 性能产品 并提供高性价比的新一代网络安全整体解决方案 服 务于中国高速发展的网络 市场 作为产业链中至关重要的一环 山石网科勇于创新 公司的 SR 系列安全路由器和 SA 系列安全网关产品 已经为网络安全领域树立 了新的安全网络产品质量水平 在国内 各大中小型企业及各高校中拥有了强大的客户群体 并赢得了用户的高度肯定 在网络时代的今天 山石网科愿与所有客户 合作伙伴一起 在探索与实践中国网络 安全稳健和谐发展的新长征中 携手共赢 3 10 3 3 1 1 1 1面面向向应应用用的的高高性性能能防防火火墙墙需需求求 传统防火墙以网络层防护为主 软硬件的设计围绕着网络层的安全防护展开 产品经 过了第一代纯软件防火墙系统 基于 PC 架构的第二代硬件防火墙系统和第三代的基于 ASIC 和 NP 网络处理器 纯硬件防火墙系统 第三代基于 ASIC 和 NP 架构的防火墙可 以实现高性能的网络安全防护 对于应用层的安全防护无能为力 应用层完全依靠通用 CPU 进行处理 包括目前流行的 UTM 产品 一旦打开应用层安全防护功能 如 P2P IM 安全控制 IPS Web 过滤 防病毒以及防垃圾邮件等内容过滤功能 性能会急剧下降 无法满足用户实际的网络安全需求 基于以上原因 Hillstone 全线产品采用了创新的新一代网络安全架构 硬件平台采用 64 位高性能的多核处理器 Multi Core CPU 多达 16 核 内部传输采用高达 24Gbps 高 速交换总线 其网络安全的处理能力达到了一个新的起点 比如 安全产品中重要参数之 一的每秒新建会话数是目前业界最高性能的基于 ASIC 和 NP 架构安全产品的 5 到 10 倍 64 位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障 同时又避免了纯 ASIC 和 NP 安全系统对会话可管理能力和流量控制能力弱的弊病 由于 新一代 64 位多核处理器 Multi Core CPU 集成了 IPSec VPN SSL VPN TCP QoS 压缩 解压缩以及其他安全功能的芯片级硬件加速功能 使得 Hillstone 安全产品具有强大 高效的 VPN 和应用层安全处理能力 采用创新的新一代网络安全架构的 Hillstone 安全产 品提供了更高 更可靠 更稳定和更安全的综合处理能力 开创了新一代网络安全的新纪 元 多达 16 核的专用 64 位 MIPS 处理器具有强大的应用层安全处理能力 众所周知 应 用层安全的效率很大程度上依赖于 CPU 的处理能力 即使基于 ASIC NP 架构的安全系 3 11 统一旦要处理应用层的数据也必须依赖于 CPU 而目前安全产品在 CPU 资源上有很大瓶 颈 因此有些厂商已经放弃 ASIC NP 架构而采用纯 CPU 的架构 Hillstone 采用多核处 理器 使得该硬件架构充分考虑到了应用安全和网络安全的平衡 在某些性能指标上有了 质的飞越 如作为安全网络产品重要指标之一的每秒新建连接数最高达到了 20 万 秒 同时结合内部高速交换总线和多核 64 位专用处理器 Hillstone 安全产品具有了强大的应 用安全处理能力和可扩展能力 为集成更多的应用安全提供了强大的资源保障 强健的专用实时 64 位并行操作系统 Robust Specific Real time Operating System Hillstone 全线产品采用专用多线程实时 64 位并行操作系统 多线程的并行处理能力 和模块化的结构易于集成和扩展安全功能 专用的安全加固的 64 位操作系统针对新一代 多核处理器安全架构进行了全面的优化和安全加固 极大地提高了系统的处理效率 系统 稳定性和安全性 模块化和多线程的处理机制 为 Hillstone 新一代的网络安全系统提供了 极大的可扩展能力 包括支持更多核处理器和集成更多安全功能 众所周知 操作系统是整个安全设备的核心和基础 安全产品的操作系统必须具有很 强的抗攻击能力 而基于软件的安全系统采用的是通用的操作系统 通用操作系统会暴露 大量的操作系统漏洞 安全系统再强大 操作系统的漏洞会直接导致这个系统的崩溃 目 前 专用定制的操作系统被广泛采用 Hillstone 安全产品均采用定制的专用操作系统 StoneOS StoneOS 具有 64 位实时并行处理能力 其核心针对 Hillstone 硬件产品进行了 全面优化 使得系统具有更高的处理效率和稳定性 模块化的系统结构易于继承更多的安 3 12 全功能 系统具有极强的伸缩性和可扩展性 任何独立的安全模块出现问题都不会影响整 个系统的运行 高可靠性和稳定性 High Reliability and Stability 积累多年被证实的专业硬件安全产品研发和市场经验 Hillstone 新一代网络安全产品 在软硬件的可靠性和稳定性上都有了进一步提高 全面优化的软硬件系统带来高可靠性和 稳定性 这为网络流量和网络攻击日益膨胀的企业 IT 环境提供了强大的保障 Hillstone 安 全产品最大程度上确保企业关键业务的不间断运行 提高用户的竞争力 最低的总体拥有成本 Lowest TCO Hillstone 全线产品提供了非常友好的使用和管理界面 部署简单 易于维护和管理 灵活的特性可以满足不同用户不同应用环境的需求 独特创新的新一代网络安全架构提供 给用户最大化的可扩展能力 最大化地保护用户投资 Hillstone 安全产品解决方案特点 创新的新一代网络安全架构 高性能的综合安全系统 高可靠性和扩展性 高性价比 丰富的安全特性 3 13 最低的 TCO 友好和易于使用的管理界面 细粒度的安全参数调整 杰出的内容安全综合处理能力 灵活的部署特性 易于部署和维护 全面的产品线 满足不同用户的需求 专业的技术支持和销售团队 P2P IM 应用的安全控制和细粒化管理 根据企业网络应用系统的现状以及未来系统的结构发展 我们认为着重考虑企业的 B S 结构应用特点 是防火墙系统技术指标设计的主要依据 众所周知 防火墙作为网络设备 对网络性能影响最为主要的是两个参数指标 一个 是防火墙的 TCP 连接处理能力 并发会话处理数 另一个是防火墙对网络数据流量的吞 吐能力 带宽参数 B S 结构的应用系统虽然具有管理简单 客户端开发 使用和维护的成本很低的优点 但是在网络上 B S 结构应用系统将会给网络带来巨大的网络流动数据处理压力 而且是并 发的 具体来说 B S 结构的应用系统在网络上使用 会给网络防火墙带来数倍甚至数十 倍于 C S 结构应用系统的并发 TCP 会话数量 而且这些会话绝大部分是包长很短的 垃圾 IP 包 而这些垃圾包必然对网络设备的负载有着极大影响 随着 Internet 的不断普及 新的网络应用层出不穷 并且对于网络带宽的占用日益增 高 如网络视频 网络游戏 BT 下载等 企业网络中运行着大量的关键应用 这些关键应 用很多都要求极低的网络延迟 而网络中大量的娱乐应用不断吞占着有限的网络带宽 严 重影响着关键应用的使用 同时安全和速度始终是两个对立面的事物 追求更高的网络安 全是需要以牺牲网络通讯速度为代价的 而追求更高的网络通讯速度则需要降低网络安全 标准 在目前依赖于网络应用的时代 能够做到应用层的安全检测以及安全防护功能是所 有安全厂商的目标 由于应用层的检测需要进行深度的数据包解析 而使用传统网络平台 所带来的网络延迟将是不可接受的 好的安全功能同样需要好的硬件平台去实现 通过对各类防火墙的比较分析 我们认为目前面向 B S 结构应用 高性能的硬件防火 3 14 墙是最为明智的选择 3 1 2技技术术先先进进性性和和实实用用性性原原则则 网络安全方案中采用技术 具有一定的前瞻性 符合一定时期内网络安全技术发展的 趋势 并在今后一定的时期内处于领先地位 网络安全系统设计必须遵循先进性和成熟性 由于 IT 行业的技术更新换代很快 为了保证网络能够满足今后一段时间内应用的发展 在 选择网络安全技术和设备时不仅要考虑先进性 也要考虑技术的成熟性 同时更要考虑接 入业务的特点等多方面的因素 一种新技术在刚出现时往往有很大不稳定和不确定因素 需要有一个发展 逐步完善和实践检验的过程 经常有一些技术在刚出现时被宣传和评价 很高 但在一段时间后发现存在很多问题 甚至很快退出市场 用户采用了这种技术 往 往会因为设备厂商转产停产等问题 无法对网络扩展升级 最终造成前期投资的浪费 一 种新的技术产品在刚出现时一般价格都非常高 所以选择使用一种新的技术的最佳时机应 该是在这种技术在市场上已经得到较为广泛的应用 并且在使用中得到肯定之后 虽然这 时的技术可能已经不是最新的技术 但技术已经成熟 设备的性能价格比更高 所以选择 网络技术和设备时不要去追求最新最好 应该遵循先进性和实用性相结合 并找出其中的 平衡点 3 1 3高高可可靠靠性性原原则则 由于网络对数据传输的实时性的要求 对网络的传输环节要求很高 因而要求选用的 网络安全设备具有相当高的可靠性 要达到电信级标准 具备 99 999 的可靠性 建设一 个运行稳定可靠的现代化网络系统 网络中任何一台安全设备或任何一条安全设备上的线 路发生故障都不会导致通过该安全设备互联的两个网络无法通讯 并且能够保证在不影响 网络正常运行的情况下完成对网络故障的检测和排除 3 1 4易易于于扩扩展展和和升升级级的的原原则则 网络及数据通信技术发展速度快 新的设备不断面世 新业务也将逐步运行在新的数 3 15 据网上 用户对带宽的需求必将增长 需要将网络系统扩容 因此在网络设计时应充分考 虑将来网络的扩容和升级问题 随着企业的发展扩大 网络的系统性能的需要将不断提高 网络的规模也会不断扩展 而隔离网络的安全设备也同样需要扩容和升级 所以在设计网络时 要充分考虑到网络安 全设备的可扩展性 为了保护用户的投资 设计应保证至少若干年内网络的升级和扩展不 需要更换主要网络安全设备 只通过增加一些模块就可以实现网络性能和规模的扩展 满 足今后几年业务发展的需要 3 1 5管管理理和和维维护护的的方方便便性性 网络系统中的所有安全设备均应是可管理的 支持远程监控和故障的过程诊断和恢复 可通过网管软件方便地监控网络运行的实时情况 对出现的问题及时处理和解决 3 3 1 1 6 6网网络络安安全全方方案案设设计计 3 1 7方方案案描描述述 为了 XX 网站对外提供的服务 建议在当前企业的 web 网站 Internet 出口处使用 HillStone 防火墙来进行安全保护 用 Hillsonte SA 系列防火墙作为链路接入设备 为了保 护内部网络 我们建议防火墙用 NAT 模式 隐藏内部私有网段 1 在网站和 Internet 的连接部分我们部署一台 HillStone SA 防火墙 连接 Internet 的 ISP 链路被直接连接到 Hillstone SA 防火墙上 内部用户需通过核心交换机连 接到 Hillstone SA 防火墙内网口 防火墙做 NAT 模式 2 为了保护内部的主机和服务器 我们需要将防火墙上的端口根据需要划分到不同 安全级别的安全区域 到 Internet 的链路端口划分到 UnTrust 区域 Trust 区域 端口连内部网的核心交换机 3 将防火墙设置为 NAT 模式 这样就可以保护内部的私有网段 Hillstone SA 防火 墙有着强大的 NAT 功能 我们可以根据需要灵活的设置 NAT 包括 1 对 1 的 NAT 基于端口的 NAT 源地址 NAT 和基于目的的 NAT 等 3 16 4 防火墙访问控制策略的设定 在防火墙上设置访问控制策略 不允许内网主机访 问 Internet 或者禁止外部对内部的非正常形式的访问 或依据需求开放某些端 口和应用 HillStone 有着强大的访问控制策略设置方法 可以有效保护内部网 络对 Internet 的访问 和公司对互联网提供的各种服务 5 HillStone 防火墙提供 VPN 功能 外部和远程的人员可以通过 VPN 隧道与防火墙 内的计算机建立连接 方案可以实现 方案可以实现 通过 HillStone 防火墙 能够有效保护内部网络的安全和对外提供的服务安全 Hillstone SA 防火墙的 64 位专用多核并行处理器能够避免纯 ASIC 和 NP 安全系统会话可 管理能力和流量控制能力弱的弊病 为 VPN 和应用层内容安全功能提供强大的处理能力保 障 整个网络安全的到了保证 HillStone 防火墙将有效保护内部网络 我们能够有效阻 止外界对公司内部和服务的 DOS 攻击 以及 4 7 层的应用层攻击 HILLSTONE 提供了强大的带宽管理功能 可以按照源和目标 IP 址或者地址组 应用程 序 端口等 对流量进行分级和处理 QOS 带宽管理确保了服务质量 保证关键应用的高性 能 可以根据具体参数对流量类型进行区分 并确定如何恰当地处理流量类型 从而对内部 的用户进行高效的带宽管理 VPN 功能可以保证远程接入用户对内网访问的安全性 HillStoneHillStone 的解决方案有如下优点 的解决方案有如下优点 提供专业的网络安全服务 HillStone 是一家专业的网络安全设备厂商 具备多年安全设备研发和售后经验 能够为用户提供最及时最有效的安全解决方案 高性能的防火墙和防攻击能力 HillStone SA 系列提供超强的防火墙吞吐能力 能够满足企业网络中所有网络环 境的吞吐要求 同时 SA 系列内置了防攻击模块 能够有效地避免网络攻击对企 业网络的影响 3 17 先进的应用层管控机制 HillStone SA 系列产品能够为用户提供先进的应用层管控技术 包括 URL 过滤 带宽管理 P2P IM 管理等等 能够使用户在保证网络连通的前提下更细粒度的管 控自己的网络 提供高性能的应用层解决方案 HillStone 产品采用专用的 64 位多核处理器 能够为应用层数据处理提供前所未 有的性能支持 保证在高吞吐高流量的情况下从容有效地进行应用层的管控 提高企业网络部署的灵活性和扩展性 随着企业发展 企业网络也会不断发展变化 HillStone 企业网络解决方案能够 凭借 HillStone 产品的多种智能化的功能实现 全面协助企业网络应用的演变 在企业网络的特定网络安全环境下 通过 HillStone 产品的部署 灵活的进行功 能扩展 最大化的保证了企业网络的灵活性和扩展性 降低系统维护难度和成本 凭借多种人性化管理维护方式和 HillStone 集中管理功能的实现 HillStone 企 业网络解决方案能够极大的降低系统的维护难度和成本 结合 HillStone 专业本 地化厂家技术支持和研发队伍 能够为企业应用提供最优质的专业技术保障 3 2 IntruShield 网网络络入入侵侵防防护护产产品品简简介介 IntruShield 基于完整的攻击分析方法而构建 并引入了业界最为全面的网络攻击特征 检测 异常检测以及拒绝服务检测技术 除了可以探测攻击 还可以探测已知未知蠕虫和 后门程序 3 2 1 网网络络攻攻击击特特征征检检测测 为了实现高性能的网络攻击特征检测 IntruShield 体系结构不仅采用了创新的专利技 术 而且集成了全面的状态检测引擎 完善的特征规范语言 用户自定义特征 以及实时 3 18 特征更新 确保了 IntruShield 能够提供并维护业界最为全面 更新最及时的攻击签名数据 库 特征规范语言特征规范语言 IntruShield 以专用的高水平特征规范语言为强大支持 IntruShield 能够从应用程序软 件中分离出攻击模式特征 在这个独特的体系结构中 将特征简单地转换为表单项 从而 可以通过直观的用户界面实现实时更新 并可被特征引擎立即使用 目前的 IDS 产品往往通过软件 补丁程序 来提供新的特征 这不仅降低了部署速 度 必须根据整个 IDS 软件应用程序进行质量保证 而且也不利于安装 必须重新启动 系统 而 IntruShield 通过从传感器软件中分离攻击模式特征 从而确保了高质量的全新 特征可以快速部署 无需重新启动系统 同时 从传感器应用程序代码中分离特征也使得 特征编写人员能够将精力集中在特征编写的 质量 上 而无需考虑如何将特征构建为应 用程序更新补丁 全面的状态特征检测引擎全面的状态特征检测引擎 IntruShield 体系结构的特征检测引擎引入了强大的上下文敏感检测技术 在数据包中 充分利用了状态信息 它通过使用多个令牌匹配来检测超越了数据包界限的攻击特征 或 超出序列范围的数据包流 用户自定义网络攻击特征用户自定义网络攻击特征 IntruShield 使得网络安全工程师能够通过一个创新性的图形用户界面 GUI 来编写 自定义签名 该界面能够使用通过系统的协议分析功能所获取的字段和数据 或者通过 IntruShield 的分析机制收集的状态信息 实时特征更新实时特征更新 3 19 IntruShield 提供的创新性实时特征更新极大地提升了管理软件的性能 由 IntruVert 更新服务器提供的全新特征可以通过策略控制自动发送到整个网络 从而确保了新的特征 一经创建 网络即可获得最新的防护功能 IntruShield 体系结构还允许网络工程师决定何 时 以及是否在整个网络中部署最新的签名 IntruShield 系统无需重新设置或重新启动任 何硬件以便激活新的签名 因此 它们能够自动地 实时地进行部署 3 2 2 异异常常检检测测 异常检测技术为 IntruShield 体系结构全面的签名检测过程提供了完美的补充 异常检 测技术使得网络工程师能够对突发威胁或首次攻击进行拦截 并创建出一套完整的 异常 档案 从而保护网络免受当前威胁和未来攻击的骚扰 IntruShield 体系结构提供了业界最为先进 最为全面的异常检测方法 集成了针对 统计数据 协议及应用程序的异常检测技术 异常 未知攻击的例子包括新的蠕虫 蓄意的 隐性攻击 以及现有攻击在新环境下的变种 异常检测技术也有助于拦截拒绝服务攻击 观察服务质量的变动 和分布式 DoS 攻击 IntruShield 系统利用流量样式变动 例如 TCP 控制数据包的统计数据 来决定是否即将发生海量的数据流 我们将在下面的部分 具体讨论拒绝服务攻击 IntruShield 体系结构的异常检测技术还能够针对其它威胁提供保护 这包括 缓冲区 溢出攻击 由木马程序或内部人员安装的 后门 或恶意攻击 利用低频率进行的隐性扫 描攻击 通过网络中的多个发送点传送表面正常的数据包 以及内部人员违反安全策略 例如 在网络中安装游戏服务器或音乐存档 3 2 3 拒拒绝绝服服务务检检测测 IntruShield 检测体系结构的第三根 支柱 就是它完善的拒绝服务防护技术 自动记忆以及基于阀值的检测自动记忆以及基于阀值的检测 3 20 IntruShield 体系结构综合利用了基于阀值的检测技术和获得专利的 具有自动记忆功 能的基于配置文件的检测技术 从而使拒绝服务检测更具智能化 借助基于阀值的检测功 能 网络安全管理员就能够使用预先编写的数据流量限制来确保服务器不会因负载过重而 宕机 同时 自动记忆功能使得 IntruShield 体系结构能够分析网络使用方法和流量的模式 了解合法网络操作中发生的多种合法 但不常见的使用模式 两种技术的结合确保了对各种 DoS 攻击的最高检测准确率 包括分布式拒绝服务 攻击 即恶意程序员为了进攻企业或政府网络 同时对上百个 甚至上千个服务器发起攻 击 IntruShield 准确的 DoS 检测技术具有非常重要的意义 因为很多网站和网络都曾经 历过合法的 有时是意外的 极具吸引力的新程序 服务或应用程序的流量冲击 检测技术的关联性检测技术的关联性 正如我们所看到的 IntruShield 体系结构提供了多种操作模式 使得系统能够捕捉恶 意流量 提供全面的攻击分析方法 实施完整的智能化签名检测 异常检测以及拒绝服务 防护技术 IntruShield 体系结构的检测关联层连接着系统的签名检测 异常检测以及拒绝服务检 测功能 这种相互关联性以及对可疑流量的交叉检查功能确保了攻击检测的高度准确性 单一 IntruShield 系统能够对防火墙的公共网段 专用网段以及 DMZ 网段进行全面 的保护 并提供这些网段之间的相互关联性 从而能够针对被拦截的网络攻击或者进入专 用网络的网络攻击提供准确的详细信息 3 21 3 2 4 入入侵侵防防护护 IntruShield 体系结构提供了业界最准确的攻击检测功能 构造了系统攻击响应机制的 坚实基础 没有足够响应能力的 IDS 产品只能为网络安全管理员提供有限的功能 现代 的 IDS 产品必须能够检测出攻击 并提供偏转和拦截恶意流量的方法 IntruShield 体系结构为网络安全管理员提供了一整套手动的和自动的响应措施 并以 此构建起企业或政府机构信息技术安全策略的基础 就攻击检测来说 IntruShield 体系结构使系统可以实现以下功能 A 拦截攻击拦截攻击 IntruShield 体系结构允许 IDS 以嵌入模式工作 因此 它能够实时地在攻击源和目 标之间拦截单一数据包 单一会话或数据流量 从而在进程中拦截攻击 而不会影响任何 其它流量 B 终止会话终止会话 3 22 IntruShield 体系结构允许针对目标系统 攻击者 或二者同时 重新设置并初始化 TCP 网络安全工程师可以对发送给源和 或目标 IP 地址的重新设置数据包进行配置 C 修改防火墙策略修改防火墙策略 IntruShield 体系结构允许用户在发生攻击时重新配置网络防火墙 方法是临时改变用 户指定的访问控制协议 同时向安全管理员发出警报 D 实时警报实时警报 当网络流量违反了安全策略时 IntruShield 体系结构能够实时生成一个警报信息 并 发送给管理系统 合理的警报配置是保持有效防护的关键所在 恶性攻击 例如缓冲区溢 出以及拒绝服务 往往需要做出实时响应 而对扫描和探测则可以通过日志进行记录 并 通过进一步的研究确定其潜在的危害和攻击源 网络安全工程师能够获得有关电子邮件 寻呼程序以及脚步警告的通知 该通知基于预先配置的严重性水平或特定的攻击类型 例 如拒绝服务攻击 基于脚步的警告允许对复杂的通知过程进行配置 从而能够针对系统面 临的攻击向特定团体或个人发出通知 IntruShield 体系结构还提供了一个 警报过滤器 它允许网络安全工程师根据安全事 件的来源或目标进行筛选 例如 当 IT 部门通过一个自有 IP 地址执行漏洞扫描时 从 该地址生成的事件就可以被过滤掉 E 对数据包进行日志记录对数据包进行日志记录 在攻击发生时 或攻击发生之后 基于 IntruShield 体系结构的系统能够首先捕获数据 包 并对数据包进行日志记录 然后将该流量重新定向到一个空闲的系统端口 以便进行 详细的合法性分析 这个数据包信息就是对触发攻击的实际网络流量的记录 数据被查看 后 将转换为 libpcap 格式 以便进行演示和说明 类似于 Ethereal 运行于 UNIX 和 Windows 平台的一款网络协议分析工具 的多种工具可以用来检验数据包日志数据 以便 3 23 对检测到的事件进行更为详细的分析 IntruShield 体系结构的响应机制提供了该产品平台的基础 安全管理员需要在此基础 上开发出响应措施 警报以及日志系统 以便为复杂的现代网络提供最佳的防护 3 2 5 实实时时过过滤滤蠕蠕虫虫病病毒毒和和Spyware 间间谍谍程程序序 在 IntruS