IPS整体解决方案

经典word整理文档，仅参考，双击此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！国家电网公司信息网络安全等级保护设备IPS入侵防护系统解决方案建议书目录1典型网络风险分析................................................................................................41.1病毒、蠕虫泛滥...............................................................................................41.2操作系统和应用软件漏洞隐患.......................................................................41.3系统安全配置薄弱...........................................................................................51.4各种DS和DDS攻击的带来的威胁.........................................................5OO1.5与工作无关的网络行为...................................................................................62安全产品及解决方案效能分析............................................................................62.1传统安全技术的薄弱之处...............................................................................62.1.1防火墙........................................................................................................72.1.2入侵检测....................................................................................................72.1.3补丁管理....................................................................................................72.2入侵防御系统简介...........................................................................................83领信信息安全保障解决方案介绍........................................................................93.1领信信息安全保障体系...................................................................................93.2安氏领信入侵防御系统介绍..........................................................................113.2.1...................................................................113.2.2..................................................................123.2.3......................................................143.2.4..................................................................IPS的学习适应期阶段....................................................................IPS的Inline模式工作阶段............................................................174入侵防御系统部署建议......................................................................................174.1系统组件说明.................................................................................................174.1.1集中部署方式..........................................................................................184.1.2分布部署方式..........................................................................................194.1.3部署准备..................................................................................................204.2边界防护部署.................................................................................................2124.3重点防护部署.................................................................................................215入侵防御系统安全策略配置与应用..................................................................226项目过渡方案及应急预案..................................................................................236.1过渡方案.........................................................................................................236.2应急预案.........................................................................................................247工程实施方案......................................................................................................257.1分工界面.........................................................................................................257.2工程设计.........................................................................................................267.3产品生产及出厂验收.....................................................................................267.4设备运输、包装与到货安排.........................................................................267.5到货验收.........................................................................................................277.6安装调试及系统集成.....................................................................................287.7系统测试.........................................................................................................287.8初步验收.........................................................................................................287.9系统试运行.....................................................................................................287.10最终验收.....................................................................................................287.11工程实施进度表.........................................................................................298系统验收测试计划..............................................................................................308.1系统上线测试.................................................................................................308.2用户管理功能.................................................................................................318.3引擎工作模式配置.........................................................................................318.4组件管理.........................................................................................................318.5策略配置.........................................................................................................328.6威胁事件收集显示.........................................................................................328.7攻击检测能力.................................................................................................338.8系统升级能力.................................................................................................338.9日志报表.........................................................................................................3431常运行和业务的正常开展构成严重威胁，主要表现在：效的完成安全防护，特别是对新类型新变种的防护技术总要相对落后于新病毒、新蠕虫的入侵。系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中，特别是INTERNET带来无法估量的损失。45DoSDDoSDOS和DDOS攻击可以被分为两类：一种是利用网络协议的固有缺陷或实现上的弱TeardropLandKoD和Winnuke；对第一种DOS攻击可以通过打补丁的方法来防御，但对付第二种DOS和DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。DOS和DDOS攻击会耗尽用户宝贵的网络和系统资源，使依赖计算机网络2004美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。权威调查机构IDC的统计表明：30％～40％的工作时间内发生的企业员工网络访问行为是与业务无关的，比如游戏、聊天、视频、P2P下载等等；另一项调查表明：1/3的员工曾在上班时间玩电脑游戏；EmuleBT等P2P应用和MSNQQ等即时通信软件在很多网络中被不加访问行为导致企业信息系统被入侵和机密资料被窃，引起法律责任和诉讼风险。2全威胁不断涌现，如蠕虫病毒肆意泛滥、系统漏洞层出不穷、漏洞利用(vulnerabilityexploit)的时间日益缩短,甚至可能出现零日攻击(zero-dayexploit),同时很多入侵和攻击由网络层逐渐向应用层发展,给检测和识别这些威胁带来了6绝大多数人在谈到网络安全时，首先会想到防火墙。防火墙目前已经得到攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单个方面：码，比如针对WEB服务的CodeRed蠕虫等。中的攻击行为。入侵检测系统IDS（IntrusionDetectionSystem）是近几年来发展起来的络技术的发展，IDS受到新的挑战：IDSIDS无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS无能为力。蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS无法把攻击防御在企业网络之外。12006年7月11日开始停止为多个老版本的Windows操作系统提供技术支持，这意7味着全球将有超过7000万名Windows用户面临网络攻击和恶意代码的危险，因为他们无法继续从微软获得安全更新。2段时间对系统造成破坏；3、某些系统和应用由于自身的原因（如非授权软件、程序冲突等等）不适合打补丁，这样自身即使存在漏洞，也无法得到修复；针对以上技术和产品面对新的安全威胁所暴露出来的薄弱之处,作为有效的整体安全体系的重要组成和有效补充,入侵防御系统IPS（IntrusionPreventionSystem）作为新一代安全防护产品应运而生。基于目前网络安全形势的严峻，入侵防御系统IPS（IntrusionPreventionSystem）作为新一代安全防护产品应运而生。入侵防御系统/IPS提供一种主动的、实时的防护，其设计旨在对常规网络流使它们无法造成损失，而不是简单地在监测到恶意流量的同时或之后发出警报。IPS是通过直接串联到网络链路中而实现这一功能的，即IPS接收到外部数据断，而不把攻击流量放进内部网络。从IPS的工作原理来看，IPS有几个主要的特点：为企业网络提供虚拟补丁IPS预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量，使攻会受到损失。IPS确保企业的安全。提供流量净化8造成网络瘫痪、BT,电驴等P2P下载造成网络带宽资源严重占用等。IPS过滤正常流量中的恶意流量，为网络加速，还企业一个干净、可用的网络环境。提供反间谍能力企业机密数据被窃取，个人信息甚至银行账户被盗，令许多企业和个人蒙受重大损失。IPS可以发现并阻断间谍软件的活动，保护企业机密。总的来说,入侵防御系统IPS的设计侧重访问控制，注重主动防御，而不仅仅是检测和日志记录，解决了入侵检测系统IDS的不足，为企业提供了一个全新的网络安全保护解决方案。3“信息安全是一条链，其强度取决于链上最弱的一环(著名安全专家BruceSchneier语御体系，就要从保护、检测、响应等多个环节以及网络和基础设施、网络边界、障能力，保证安全体系中不存在薄弱的环节。求、能力来源三个维度深刻揭示了信息安全保障的内涵：网络基础设施，网络边界，局域计算环境，支持性基础设施；信息的机密性，完整性，可用性，可控性，不可否认性需求是信息安全的基本属需求；9领信入侵防御系统的主要功能可以总结为几个方面，如下图所示：阻止间谍软件的威胁，保护企业机密。量的事件分析工作中解脱出来，有效减轻攻击报警处理的压力。IPS的检测模块与内置防火墙模块的完美集成使得产品具有更安全可靠/防护LinktrustIPS基于漏洞存在的攻击检测技术，结合基于特征匹配的检测技术，极大地提高检测的准确性，降低误报率。LinktrustIPS独有的协议识别技术能够识别近100种包括后门、木马、IM、网络游戏在内的应用层协议，不仅可以更有效的检测通过动态端口LinktrustIPS出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击，达到接近100%的检测准确率和几乎为零的误报率。LinktrustIPS能够有效防御拒绝服务攻击DoS，阻止攻击者消耗网络资源、中止服务。优异的产品性能LinktrustIPS专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。LinktrustIPS依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有线速的分析与处理能力。高可靠、可扩展LinktrustIPSFailbypass）机制，当出现软件故障、硬件故障、电源故障时，系统自动切换到直通状态以保障网络可用性，避免单点故障。LinktrustIPS支持双机热备HAActive-Standby还支持Active-ActiveLinktrustIPS的工作模式灵活多样，支持inline主动防御、旁路检测、以及bypass方式，能够快速部署在几乎所有的网络环境中提供了向导式的自定义报表功能，用户可以根据网络的实际情况制定出符合自身需求的报表模版1透明学习模式（InlineBridging首次部署时对用户网络环境的学习与策略优化阶段。2服务保障模式（Inline所有会话过程进行检测，并产生对不符合安全策略的内容进行告警和适当的防御。当进入IPS引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的擎也会采用透明转发或Bypass当引擎正处在Rebootbypass功能支持）当引擎正在执行“策略应用”命令，或正在编译签名时。（非bypass功能支持）当引擎失去电源，或意外掉电时该项需要网卡硬件支持)当出现任何硬件故障，导致引擎无法工作时该项需要网卡硬件支持)当检测引擎由于某种原因而意外失效时（如：死机，系统崩溃等）(该项需要网卡硬件支持)数据转发延迟超时后数据直接被转发（非bypass功能支持）3Inline会按照安全策略的要求对通信内容进行检测并作出反应，区别在于当进入IPS据包会被丢弃以保障通信的安全性，在此模式下bypass功能将被禁用。4旁路模式（PassiveIDS部署模式，采用旁路监听方式部属；安氏领信提供一整套的入侵保护解决方案，具有良好可扩展性的LinktrustIPS网络核心至边缘及分支机构的全面保护，适用于不同环境不同企业的安全需求。入侵防御系统通常部署在网络中的关键位置,这样对入侵防御系统自身的安装配置提出了很高的要求,为了更好的让领信入侵防御系统适应用户的网络环境,发挥更高的防御能力,我们推荐用户将入侵防御系统的上线分为两个阶段:第一阶段:IPS的学习适应期阶段，采用透明学习模式（Inline）;第二阶段:IPSInline;其中InlineInlineInline故障或失效的情况下仍然保证网络的可用性。IPS的学习适应期阶段入侵防御系统和入侵检测系统在部署方式上的区别为IPS工作于Inline模式，而IDS工作于旁路监听模式，但并不意味着只要将IPS放置于网络的出口处，设置为inline模式，让它直接对攻击或可疑行为进行丢弃就可以了，通常情况下，在IPS以Iiline模式部署后，都需要一段时间的学习适应，才能正确无误的担当起主动防护的重任。之所以IPS需要一个学习适应的过程，主要是因为：防止IPS设备误阻挡合法的数据流量根据被保护网络的流量，调整各项攻击阈值参数（threshold）根据被保护网络环境，调整需要检测的攻击特征项目在这个阶段,IPS以Inline模式工作，只检测攻击并告警，不进行阻断IPS的工作模式设置为InlineBridgingIPS以Inline模式串接在被保护网络之前，所有进出被保护网络的数据包都会通过IPS的检查，正常的流量才会允许进入被保护网络。在该模式下，IPS的检测引擎将根据安全策略对网络中通过的数据进行检测，如果用户设置了对攻击数据包的阻断功能，IPS会产生相应的阻断报警，但签名特征库和阈值等参数做出调整，减少IPS产生误报的可能性另外在此模式下，用户可以观察IPS设备的加入会不会对原有的网络应用产生影响，以确保IPS的性能能够满足原有网络应用的需求。IPS的Inline模式工作阶段IPS能够以Inline方式正常运行，并且不会阻断正常合法的网络数据包，这时候就可以开启IPS的防御功能，进入阻断攻击、全面防御的阶段。在此阶段中有两种模式可以供不同安全要求的用户使用：1InlineFail-passthrough模式适用于对网络应用的连续性要求高于对网络安全性要求的用户，在此模式下，如果IPS不能正常检测攻击时或出现故障，将使用Bypass和超时转发技术优先保证用户业务的连续性。2InlineFail-severed模式适用于对网络安全要求高于对网络应用连续性要求的用户，在此模式下，如果IPS不能正常检测攻击或出现故障，将拒绝所有数据包的通过，优先保证被保护网络中数据的安全。4安氏领信提供一整套的入侵保护解决方案，具有良好可扩展性的LinktrustIPS的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，实现从企业网络核心至边缘及分支机构的全面保护，适用于不同环境不同企业的安全需求。Console(控制台)控制台是LinkTrustIPS系统中进行各种配置管理、日志（包括安全事件、系统Windows的应用程序，提供友好的用户图形管理界面和多级别的数据访问控制。为保证数据传输的安全性，在控制台和事件收集服务器之间采用了加密通信。事件收集服务器是LinkTrustIPS的一个关键组件，为整个系统的管理核心。主要有三方面的功能：LogServer（日志服务器）日志服务器是LinkTrustIPS的日志数据管理组件。主要负责各类日志数据的存LogServer需要集成第三方数据库软件一起协同工作，数据库软件目前支持微软SQLServer数据库。Sensor（传感器）Report（报表）传感器部署在需要保护的网段上，对网段上流过的数据流进行检测，识别攻击特征，报告可疑事件，阻止攻击事件的进一步发生或给予其它相应响应。报表和查询工具作为IPS统计数据和显示数据的功能。报表能够关联多个数据库，给出一份综合的数据报表。查询工具提供查询安全事件的详细信息。LinkTrustIPS需要安装的组件：✓()✓Event-Collector✓✓LogServer✓Report✓SensorLinkTrustIPS方式，在这种方式下，LinkTrustIPS管理组件控制台、数据库（包括MSDE数据库和LogServer等操作，在保证IPS性能的基础上充分节省了用户的资源。网络入口点。关键网络组件。远程网络。网络大小和复杂度。考虑安全策略限制。5安全策略是一个文件，其中包含称为“安全事件签名”的一列项目，这些项信息。策略控制传感器的以下行为：1.传感器检测的安全事件的种类。2.每一事件的级别，事件按照风险级别划分为四类：高风险、中风险、低风险和信息。3.传感器对安全事件的响应方式，目前共有9种响应方式。传感器使用策略来控制其所监测的内容，并对监测到的事件作出响应。传感器安装、配置好后，需要为传感器配置策略，这样传感器才能正常的工作。您可以使用系统管理平台所附带的预定义策略，也可以从预定义策略派生新的策略。略直接应用。考虑到用户的不同需求，系统管理平台提供了用户自定义策略的其关心的部分攻击签名进行微调，以便更符合用户的需要。缺省的安全策略模板类型：在防火墙之外非军事区(DMZ)InternetHTTPFTPSMTPDNS有MaximumCoverage果，这就涉及到对系统自带的安全策略模板进行定制、修改与补充，在C3.2.4模板进行修改和调整，以适应周围的网络环境，达到最佳的检测效果。61、系统上线及割接2、过渡工作模式的选择与应用IPS的部署将尽可能不影响现有的网络及应用环境，但所有产品的部署使用都有一个过渡期，为此我们建议按C3.2.4节建议的部署流程，首先将产品配置为在线学习模式，此模式对流量只检测，不阻断，不会影响原有业务的运行，对个比较清晰的理解后，在转入支持的工作模式。3、正常工作模式IPS能够以Inline方式正常运行，并且不会阻断正常合法的网络数据包，这时候就可以开启IPS的防御功能，进入阻断攻击、全面防御的阶段。在此阶段中有两种模式可以供不同安全要求的用户使用：1InlineFail-passthrough模式适用于对网络应用的连续性要求高于对网络安全性要求的用户，在此模式下，如果IPS不能正常检测攻击时或出现故障，将使用Bypass和超时转发技术优先保证用户业务的连续性。2InlineFail-severed模式适用于对网络安全要求高于对网络应用连续性要求的用户，在此模式下，如果IPS不能正常检测攻击或出现故障，将拒绝所有数据包的通过，优先保证被保护网络中数据的安全。拟定如下应急预案：1对每种风险给出风险处置方案；2、制定回退计划，确保当出现严重故障无法恢复后，网络能够恢复到以前的状态，领信入侵防御系统具备BYPASS功能，当出现系统故障后会将硬件自动旁商技术人员按应急预案及合同规定进行处理。7本项目需要甲方提供机架，相应以太网络设备（交换机或HUB等）及安装软件产品之设备间互连网线。工程界面如下图所示：电源、地、告警线交流电源柜机架网管硬件设备集成软硬件设备买方责任卖方责任注：1.上述工程界面图中，实线部分由安氏领信提供并负责安装，国信中心负责协调其工作；虚线部分由国信中心/相应集成商提供。2.本次工程除如上界面图进行安装、调测外，安氏领信还提供与其它互连设备的连通测试等工作。3正常工作的电源连线以及两根标准以太网RJ45连线。硬件设备环境要求：电压86－240V工作：0℃至50℃；高度10000英尺/3000米-20℃至70℃；高度30000英尺/9000米相对湿度（工作）相对湿度（存储）工作：10－90％非冷凝储存：5－95％非冷凝7.2工程设计选派代表和我方的技术人员共同设计方案，共同设计的内容包括工程实施内容、进度计划安排、责任分工、节点检查控制、工程验收等。我方将对提交的技术规范和其它技术文件的任何偏差、错误或遗漏负责。7.3产品生产及出厂验收标对其产品进行抽检，确保产品在出厂前是完全合格的。7.4设备运输、包装与到货安排则开始将各个设备通过机要/人工押运方式到达施工现场，并承担相应的运输和货物运抵最终交货地点的所有风险承担全部责任。将适合远程海运、空运和内陆运输，并能有效地防潮、防湿、防震、防锈并能够内都包括一套详细的装箱单、质量、数量证明。我方将协同设备供应商在货物包装四个相邻侧面的显著位置用不可擦除的油漆和明显的中文做出以下标记：1.收货人2.合同号3.发货标记4.收货人编号5.目的地6.货物名称、品目号和箱号7.8.尺寸（长度宽度高度我方根据货物的特点和运输的不同要求，在包装箱上清楚的注明“小心轻/[mm）计算的长*宽*高]，并对运输、装运中必须注意的事项（如最大堆叠层数、防雨、此面朝前或朝上、小心轻放、保持干燥等）做出明显标记。我方将在装运发货后48小时之内，通过传真通知用户。在该通知中将明确日期、存贮要求（如是否需要铲车卸货等）以及其它注意事项等。存贮要求（如是否需要铲车卸货等）以及其它注意事项等。最终目的地。7.5到货验收号、规格、外型、外观、包装、随机资料文件符合标书指定的要求。所有的合同设备到达指定地点后，我们将在用户方监督下检查产品的型号、规格、数量、外型、外观、包装及资料、文件（如装箱单、保修单、随箱介质等）是否与合同完全一致。设备开箱后按设备清单清点部件。验货后双方签署验货报告。7.6安装调试及系统集成括硬件及软件）及开通，工程监理组协助配合。设备安装，调测所需工具，仪表及安装材料均由设备供应商提供。7.7系统测试工作，按照招标书的功能和性能要求完成系统集成。7.8初步验收认。初步验收通过后，由双方代表共同签署初步验收证书。7.9系统试运行期为初步验收合格后货物开始无故障运行满47.10最终验收1代表共同进行最终验收。最终验收的验收标准和方法由我方在最终验收前提供，并经用户方确认。最终验收通过后，由双方代表共同签署最终验收。格的项目管理，保证项目管理的科学性、效率和质量。任务了解项目背景、总体要求对整个系统进行分析确定项目子系统分解目标项目启动项目管理流程确定了解项目需求确定项目实施方案、进度及相关方案制定工程界面制订验收计划项目协调会确定库存设备组织我方及设备供应商的设备生产对设备进行出厂验收设备到货组织验收用户协调会安装调试现场培训系统测试系统初验第五阶段试运行人天系统试运行集中培训系统维护人天交验收测试全部文本移交按本项目要求，制定工程进度表如下：3第第第第第第第第第第月周周周周周周周周周周一年后时123456789间任后务1233456678注：加粗实线表示任务跨越时间及需求工作日数量88.1系统上线测试测试目的：测试IPS系统能否正常加电、上线测试步骤：1）引擎上架，连接网线，加电，对引擎进行初始化配置2）安装管理控制台和事件收集器，数据库3）在控制台页面中添加引擎，观察连接与初始化信息测试结果：引擎可以正确初始化并被控制台管理测试结论：通过（