1 1 XX 網(wǎng)站安全解決方案網(wǎng)站安全解決方案 網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案 上海恒馳信息技術(shù)有限上海恒馳信息技術(shù)有限 1 2 目目 錄錄 1企業(yè)面臨的威脅 1 4 1 1應(yīng)用安全的重要性 1 4 2應(yīng)用安全解決方案 2 6 2 1XX 網(wǎng)站現(xiàn)狀 2 6 2 2客戶網(wǎng)絡(luò)現(xiàn)狀分析 2 6 2 3XX 網(wǎng)站安全解決方案 2 7 3部署的產(chǎn)品 3 9 3 1Hillstone 公司簡介 3 9 3 1 1面向應(yīng)用的高性能防火墻需求 3 10 3 1 2技術(shù)先進(jìn)性和實用性原則 3 14 3 1 3高可靠性原則 3 14 3 1 4易于擴(kuò)展和升級的原則 3 14 3 1 5管理和維護(hù)的方便性 3 15 3 1 6網(wǎng)絡(luò)安全方案設(shè)計 3 15 3 1 7方案描述 3 15 3 2IntruShield 網(wǎng)絡(luò)入侵防護(hù)產(chǎn)品簡介 3 17 3 2 1網(wǎng)絡(luò)攻擊特征檢測 3 17 3 2 2異常檢測 3 19 3 2 3拒絕服務(wù)檢測 3 19 3 2 4入侵防護(hù) 3 20 3 2 5實時過濾蠕蟲病毒和 Spyware 間諜程序 3 23 1 3 3 2 6虛擬 IPS 3 23 3 2 7靈活的部署方式 3 24 1 4 1 企企業(yè)業(yè)面面臨臨的的威威脅脅 隨著計算機(jī)與網(wǎng)絡(luò)通信技術(shù)的發(fā)展 越來越多的企業(yè)活動建立在計算機(jī)網(wǎng)絡(luò)信息系統(tǒng) 的基礎(chǔ)上 在信息和網(wǎng)絡(luò)被廣泛應(yīng)用的今天 Internet 上的商務(wù)和經(jīng)濟(jì)活動的增多對網(wǎng)絡(luò) 系統(tǒng)的安全提出了很高的要求 任何一個網(wǎng)絡(luò)管理或使用者都非常清楚 所有被使用的計 算機(jī)網(wǎng)絡(luò)都必然存在被有意或無意的攻擊和破壞之風(fēng)險 InternetInternet 攻擊行為來自于以下方面 攻擊行為來自于以下方面 a 黑客有目的的遠(yuǎn)程攻擊入侵 造成信息泄露 或者破壞網(wǎng)絡(luò) 應(yīng)用和服務(wù)器系統(tǒng) 造成網(wǎng)絡(luò) 應(yīng)用和服務(wù)器系統(tǒng)癱瘓 b 蠕蟲病毒通過網(wǎng)絡(luò) Email 和網(wǎng)絡(luò)文件共享等多種方式傳播 植入服務(wù)器后為黑 客攻擊留下后門 同時造成網(wǎng)絡(luò)擁塞 甚至中斷 如 NetSky Mydoom 等蠕蟲病毒 c 蠕蟲利用操作系統(tǒng) 應(yīng)用 Web 服務(wù)器和郵件系統(tǒng)的弱點進(jìn)行傳播 植入計算機(jī) 系統(tǒng)后為黑客攻擊留下后門 同樣 在傳播過程中 產(chǎn)生大量的 TCP UDP 或 ICMP 垃圾 信息 造成網(wǎng)絡(luò)擁塞 如 Sql Slammer Nimda 沖擊波 和 Nachi 蠕蟲病毒 d DOS DDOS 攻擊的威脅 會造成網(wǎng)絡(luò)服務(wù)中斷 e 網(wǎng)絡(luò)異常流量 1 1 應(yīng)應(yīng)用用安安全全 的的重重要要性性 隨著計算機(jī)與網(wǎng)絡(luò)通信技術(shù)的發(fā)展 越來越多的企業(yè)活動建立在計算機(jī)網(wǎng)絡(luò)信息系統(tǒng) 的基礎(chǔ)上 而 Internet 在世界范圍內(nèi)的迅速普及 使企業(yè)內(nèi)部網(wǎng)絡(luò)聯(lián)入世界范圍的 Internet 的要求越來越迫切 Internet 上的商務(wù)和經(jīng)濟(jì)活動的增多對網(wǎng)絡(luò)系統(tǒng)的安全提出了很高的 要求 解決這些問題的難度也越來越大 來自 Internet 的威脅越來越頻繁 不斷出現(xiàn)的網(wǎng) 絡(luò)攻擊 網(wǎng)絡(luò)病毒 間諜軟件 木馬程序 并呈不斷上升的趨勢 這不僅影響了計算機(jī)網(wǎng) 絡(luò)系統(tǒng)的實際應(yīng)用 還給企業(yè)和個人帶來了信息和經(jīng)濟(jì)的損失 而且還極大地動搖了用戶 1 5 的信心 我們能使用計算機(jī)來處理我們的重要信息嗎 通過部署網(wǎng)絡(luò)防火墻設(shè)備 實現(xiàn) 通過部署網(wǎng)絡(luò)防火墻設(shè)備 實現(xiàn) 1 把內(nèi)網(wǎng)服務(wù)器和 Internet 做物理隔離 拒絕非法訪問 2 基于服務(wù)器的發(fā)布 映射服務(wù)器特定端口 給 Internet 用戶提供服務(wù) 3 嚴(yán)格的策略的控制 在 web 服務(wù)器和 Internet 的連接部分我們部署一臺 HillStone 系列防火墻 連接 Internet 的 ISP 鏈路被直接連接到 HillStone 防火墻上 內(nèi)部 web 服務(wù)器需通過 HillStone 防火墻連接到 Internet 為了內(nèi)部服務(wù)器 我們需要將防火墻上的端口根據(jù)需要劃分到不同安全級別的安全區(qū) 域 到 Internet 的鏈路端口劃分到 UnTrust 區(qū)域 Trust 區(qū)域端口連內(nèi)部網(wǎng)的交換機(jī) 將防火墻設(shè)置為 NAT 模式 這樣就可以保護(hù)內(nèi)部的私有網(wǎng)段 SA 系列防火墻有著強(qiáng) 大的 NAT 功能 我們可以根據(jù)需要靈活的設(shè)置 NAT 包括 1 對 1 的 NAT 基于端口的 NAT 源地址 NAT 和基于目的的 NAT 等 HillStone 有著強(qiáng)大的訪問控制策略設(shè)置方法 可以有效保護(hù)內(nèi)部網(wǎng)絡(luò)對 Internet 的訪 問 和公司對互聯(lián)網(wǎng)提供的各種服務(wù) 通過部署網(wǎng)絡(luò)入侵防護(hù)設(shè)備 實現(xiàn) 通過部署網(wǎng)絡(luò)入侵防護(hù)設(shè)備 實現(xiàn) 1 探測出黑客攻擊 并且實時阻斷黑客的攻擊 2 能夠探測出已知和未知的蠕蟲 實時阻止這些蠕蟲進(jìn)入自來水公司網(wǎng)絡(luò) 3 探測異常網(wǎng)絡(luò)流量 阻止進(jìn)入自來水公司網(wǎng)絡(luò) 4 探測和阻擋 DOS DDOS 攻擊 McAfee IntruShield IPS 既能實時阻擋黑客攻擊 又能阻擋中 高威脅蠕蟲病毒 并且具有完整的阻擋 DDOS 攻擊的能力 包括對抗 Syn Flood 的 Syn Cookie 技術(shù) 因此 在自來水公司 Internet 接入位置部署一臺入侵防護(hù)設(shè)備既作為網(wǎng)絡(luò)入侵防護(hù)設(shè)備 同時又 作為防 DOS DDOS 設(shè)備 用以探測和過濾黑客攻擊 網(wǎng)絡(luò)異常流量 異常流量包括蠕蟲病毒 和蠕蟲病毒傳播導(dǎo)致的異常流量入 Nach Ping Sql Slammer 異常流量等 另一大類當(dāng)前網(wǎng) 絡(luò)的異常流量是由 Botnet 僵尸網(wǎng)絡(luò)攻擊引起的異常流量 這類流量和傳統(tǒng)的 DOS DDOS 攻 擊不一樣 DOS DDOS 攻擊 2 6 2 應(yīng)應(yīng)用用安安全全解解決決方方案案 2 1 XX 網(wǎng)網(wǎng)站站現(xiàn)現(xiàn)狀狀 XX 網(wǎng)站是托管在 IDC 機(jī)房 Internet 接入交換機(jī) 服務(wù)器設(shè)置公網(wǎng) IP 地址 無任何 安全措施 web 服務(wù)器完全暴露在公網(wǎng)上 存在很大的安全隱患 還時常遭受黑客的攻擊 導(dǎo)致正常訪問的中斷 XX 網(wǎng)站拓?fù)浣Y(jié)構(gòu)示意圖如下所示 2 2 客客戶戶網(wǎng)網(wǎng)絡(luò)絡(luò) 現(xiàn)現(xiàn)狀狀分分析析 面臨的外部安全威脅 面臨的外部安全威脅 1 黑客的攻擊入侵 造成信息泄露 或者破壞網(wǎng)絡(luò) 應(yīng)用和服務(wù)器系統(tǒng) 可能造成 網(wǎng)絡(luò) 應(yīng)用和服務(wù)器系統(tǒng)癱瘓 2 蠕蟲病毒通過網(wǎng)絡(luò) Email 和網(wǎng)絡(luò)文件共享等多種方式傳播 植入網(wǎng)站計算機(jī)后為 2 7 黑客攻擊留下后門 同時造成網(wǎng)絡(luò)擁塞 甚至中斷 3 3 蠕蟲 惡意程序利用操作系統(tǒng) 應(yīng)用 Web 服務(wù)器和郵件系統(tǒng)的弱點進(jìn)行傳播 植 入計算機(jī)系統(tǒng)后為黑客攻擊留下后門 同樣 在傳播過程中 產(chǎn)生大量的 TCP UDP 或 ICMP 垃圾信息 造成網(wǎng)絡(luò)擁塞 如 Sql Slammer Ni 集成商 a 沖 擊波 和 Nachi 蠕蟲病毒 4 面臨 DOS DDOS 攻擊 造成網(wǎng)絡(luò)服務(wù)中斷 5 P2P IM 等特殊應(yīng)用缺乏管理和阻斷的手段 6 越來越多的新型應(yīng)用 如 VoIP SSL 加密數(shù)據(jù) IPv6 等沒有相應(yīng)的防護(hù)手段 7 來自 Internet 各類安全威脅 沒有有效的手段進(jìn)行評估 并通過高效的措施將其 阻斷 2 3 XX 網(wǎng)網(wǎng)站站安安全全解解決決方方案案 基于 XX 網(wǎng)站以上問題 上海恒馳信息有限公司處于負(fù)責(zé)的態(tài)度建議客戶從網(wǎng)關(guān)處部 署一整套安全防護(hù)系列產(chǎn)品來完善企業(yè)網(wǎng)站的安全建設(shè) 其中包括 1 Hillstone 安全防火墻 2 McAfee IntruShield 入侵檢測設(shè)備 根據(jù)以上的安全威脅分析 我們需要采取相應(yīng)措施解決這些安全問題 因此 安全需 求可以歸納為以下幾方面 1 設(shè)定嚴(yán)格的策略控制 阻止非授權(quán)的訪問 2 加強(qiáng)網(wǎng)絡(luò)邊界的安全防護(hù)手段 準(zhǔn)確的檢測入侵行為 并能夠?qū)崟r阻斷攻擊 3 能夠檢測出已知或未知的各種攻擊形式 實時阻斷黑客攻擊 4 能夠探測出已知和未知的蠕蟲 病毒及惡意代碼 準(zhǔn)確定位傳染源 并能夠阻斷 蠕蟲通過網(wǎng)絡(luò)進(jìn)行傳播 5 能夠檢測異常網(wǎng)絡(luò)流量 有效阻斷 DoS DDoS 攻擊 2 8 6 能夠檢測針對網(wǎng)絡(luò)的加密攻擊 7 能夠?qū)φ麄€客戶網(wǎng)絡(luò)進(jìn)行實時 準(zhǔn)確 全面的入侵防護(hù) 8 通過現(xiàn)有系統(tǒng)或新購產(chǎn)品 及時識別網(wǎng)絡(luò)中的安全弱點 并且獲得具體的安全弱 點的修補(bǔ)建議 9 發(fā)現(xiàn)新的弱點和新的威脅時 能夠有手段在 Internet 入口及網(wǎng)絡(luò)邊界阻止這些威 脅 實時保護(hù)內(nèi)部網(wǎng)絡(luò)的安全 10 需要依照全行的安全策略和管理策略 部署先進(jìn)高效的網(wǎng)絡(luò)入侵防護(hù)產(chǎn)品 并從 安全風(fēng)險管理的角度出發(fā) 真正有的放矢地解決網(wǎng)絡(luò)安全問題 11 最后 客戶更需要建立一個信息安全管理體系 通過一定的基本原則和管理流程 整合好目前已經(jīng)部署和使用的安全產(chǎn)品 真正做到對安全風(fēng)險的有效管理 產(chǎn)品部署之后的網(wǎng)絡(luò)示意圖如下 3 9 3 部部署署的的產(chǎn)產(chǎn)品品 3 1Hillstone 公公司司簡簡介介 山石網(wǎng)科通信技術(shù) 北京 有限公司 以下簡稱 山石網(wǎng)科 創(chuàng)建于 2006 年 是網(wǎng) 絡(luò)安全領(lǐng)域的代表企業(yè)之一 公司總部位于中國北京 并在美國硅谷設(shè)有研發(fā)中心 山石 網(wǎng)科積累了多年網(wǎng)絡(luò)安全產(chǎn)品研發(fā)和市場運做經(jīng)驗 專注于信息安全 是專業(yè)的新一代安是專業(yè)的新一代安 全網(wǎng)絡(luò)設(shè)備提供商 全網(wǎng)絡(luò)設(shè)備提供商 目前 山石網(wǎng)科擁有員工 200 余人 其中博士 碩士占 30 以上 公司的核心團(tuán)隊由 來自 Juniper Cisco Netscreen Fortinet 和 H3C 等中外著名企業(yè)的精英組成 具備先進(jìn)的 技術(shù)經(jīng)驗和豐富的企業(yè)管理經(jīng)驗 公司總注冊資金 475 萬美金 設(shè)有系統(tǒng)架構(gòu)部 系統(tǒng)運 營 部 軟件系統(tǒng)部 渠道銷售部 售前售后技術(shù)部等部門 并且已經(jīng)通過投資 控股和合 作等形式 在亞太區(qū)形成了良性發(fā)展的產(chǎn)業(yè)和營銷體系 自成立以來 山石網(wǎng)科就以 貼近市場 貼近客戶 快速把握并滿足客戶需求 為己 任 用產(chǎn)品和方案來幫助客戶獲得網(wǎng)絡(luò)安全 從而實現(xiàn)自身的企業(yè)價值 山石 網(wǎng)科憑借其 獨特的服務(wù)精神和強(qiáng)大的技術(shù)實力 以國際一流的技術(shù)打造適合中國本土化應(yīng)用需求的高 性能產(chǎn)品 并提供高性價比的新一代網(wǎng)絡(luò)安全整體解決方案 服 務(wù)于中國高速發(fā)展的網(wǎng)絡(luò) 市場 作為產(chǎn)業(yè)鏈中至關(guān)重要的一環(huán) 山石網(wǎng)科勇于創(chuàng)新 公司的 SR 系列安全路由器和 SA 系列安全網(wǎng)關(guān)產(chǎn)品 已經(jīng)為網(wǎng)絡(luò)安全領(lǐng)域樹立 了新的安全網(wǎng)絡(luò)產(chǎn)品質(zhì)量水平 在國內(nèi) 各大中小型企業(yè)及各高校中擁有了強(qiáng)大的客戶群體 并贏得了用戶的高度肯定 在網(wǎng)絡(luò)時代的今天 山石網(wǎng)科愿與所有客戶 合作伙伴一起 在探索與實踐中國網(wǎng)絡(luò) 安全穩(wěn)健和諧發(fā)展的新長征中 攜手共贏 3 10 3 3 1 1 1 1面面向向應(yīng)應(yīng)用用的的高高性性能能防防火火墻墻需需求求 傳統(tǒng)防火墻以網(wǎng)絡(luò)層防護(hù)為主 軟硬件的設(shè)計圍繞著網(wǎng)絡(luò)層的安全防護(hù)展開 產(chǎn)品經(jīng) 過了第一代純軟件防火墻系統(tǒng) 基于 PC 架構(gòu)的第二代硬件防火墻系統(tǒng)和第三代的基于 ASIC 和 NP 網(wǎng)絡(luò)處理器 純硬件防火墻系統(tǒng) 第三代基于 ASIC 和 NP 架構(gòu)的防火墻可 以實現(xiàn)高性能的網(wǎng)絡(luò)安全防護(hù) 對于應(yīng)用層的安全防護(hù)無能為力 應(yīng)用層完全依靠通用 CPU 進(jìn)行處理 包括目前流行的 UTM 產(chǎn)品 一旦打開應(yīng)用層安全防護(hù)功能 如 P2P IM 安全控制 IPS Web 過濾 防病毒以及防垃圾郵件等內(nèi)容過濾功能 性能會急劇下降 無法滿足用戶實際的網(wǎng)絡(luò)安全需求 基于以上原因 Hillstone 全線產(chǎn)品采用了創(chuàng)新的新一代網(wǎng)絡(luò)安全架構(gòu) 硬件平臺采用 64 位高性能的多核處理器 Multi Core CPU 多達(dá) 16 核 內(nèi)部傳輸采用高達(dá) 24Gbps 高 速交換總線 其網(wǎng)絡(luò)安全的處理能力達(dá)到了一個新的起點 比如 安全產(chǎn)品中重要參數(shù)之 一的每秒新建會話數(shù)是目前業(yè)界最高性能的基于 ASIC 和 NP 架構(gòu)安全產(chǎn)品的 5 到 10 倍 64 位專用高性能多核處理器的多核并行處理能力為應(yīng)用層內(nèi)容安全功能提供了強(qiáng)大的保障 同時又避免了純 ASIC 和 NP 安全系統(tǒng)對會話可管理能力和流量控制能力弱的弊病 由于 新一代 64 位多核處理器 Multi Core CPU 集成了 IPSec VPN SSL VPN TCP QoS 壓縮 解壓縮以及其他安全功能的芯片級硬件加速功能 使得 Hillstone 安全產(chǎn)品具有強(qiáng)大 高效的 VPN 和應(yīng)用層安全處理能力 采用創(chuàng)新的新一代網(wǎng)絡(luò)安全架構(gòu)的 Hillstone 安全產(chǎn) 品提供了更高 更可靠 更穩(wěn)定和更安全的綜合處理能力 開創(chuàng)了新一代網(wǎng)絡(luò)安全的新紀(jì) 元 多達(dá) 16 核的專用 64 位 MIPS 處理器具有強(qiáng)大的應(yīng)用層安全處理能力 眾所周知 應(yīng) 用層安全的效率很大程度上依賴于 CPU 的處理能力 即使基于 ASIC NP 架構(gòu)的安全系 3 11 統(tǒng)一旦要處理應(yīng)用層的數(shù)據(jù)也必須依賴于 CPU 而目前安全產(chǎn)品在 CPU 資源上有很大瓶 頸 因此有些廠商已經(jīng)放棄 ASIC NP 架構(gòu)而采用純 CPU 的架構(gòu) Hillstone 采用多核處 理器 使得該硬件架構(gòu)充分考慮到了應(yīng)用安全和網(wǎng)絡(luò)安全的平衡 在某些性能指標(biāo)上有了 質(zhì)的飛越 如作為安全網(wǎng)絡(luò)產(chǎn)品重要指標(biāo)之一的每秒新建連接數(shù)最高達(dá)到了 20 萬 秒 同時結(jié)合內(nèi)部高速交換總線和多核 64 位專用處理器 Hillstone 安全產(chǎn)品具有了強(qiáng)大的應(yīng) 用安全處理能力和可擴(kuò)展能力 為集成更多的應(yīng)用安全提供了強(qiáng)大的資源保障 強(qiáng)健的專用實時 64 位并行操作系統(tǒng) Robust Specific Real time Operating System Hillstone 全線產(chǎn)品采用專用多線程實時 64 位并行操作系統(tǒng) 多線程的并行處理能力 和模塊化的結(jié)構(gòu)易于集成和擴(kuò)展安全功能 專用的安全加固的 64 位操作系統(tǒng)針對新一代 多核處理器安全架構(gòu)進(jìn)行了全面的優(yōu)化和安全加固 極大地提高了系統(tǒng)的處理效率 系統(tǒng) 穩(wěn)定性和安全性 模塊化和多線程的處理機(jī)制 為 Hillstone 新一代的網(wǎng)絡(luò)安全系統(tǒng)提供了 極大的可擴(kuò)展能力 包括支持更多核處理器和集成更多安全功能 眾所周知 操作系統(tǒng)是整個安全設(shè)備的核心和基礎(chǔ) 安全產(chǎn)品的操作系統(tǒng)必須具有很 強(qiáng)的抗攻擊能力 而基于軟件的安全系統(tǒng)采用的是通用的操作系統(tǒng) 通用操作系統(tǒng)會暴露 大量的操作系統(tǒng)漏洞 安全系統(tǒng)再強(qiáng)大 操作系統(tǒng)的漏洞會直接導(dǎo)致這個系統(tǒng)的崩潰 目 前 專用定制的操作系統(tǒng)被廣泛采用 Hillstone 安全產(chǎn)品均采用定制的專用操作系統(tǒng) StoneOS StoneOS 具有 64 位實時并行處理能力 其核心針對 Hillstone 硬件產(chǎn)品進(jìn)行了 全面優(yōu)化 使得系統(tǒng)具有更高的處理效率和穩(wěn)定性 模塊化的系統(tǒng)結(jié)構(gòu)易于繼承更多的安 3 12 全功能 系統(tǒng)具有極強(qiáng)的伸縮性和可擴(kuò)展性 任何獨立的安全模塊出現(xiàn)問題都不會影響整 個系統(tǒng)的運行 高可靠性和穩(wěn)定性 High Reliability and Stability 積累多年被證實的專業(yè)硬件安全產(chǎn)品研發(fā)和市場經(jīng)驗 Hillstone 新一代網(wǎng)絡(luò)安全產(chǎn)品 在軟硬件的可靠性和穩(wěn)定性上都有了進(jìn)一步提高 全面優(yōu)化的軟硬件系統(tǒng)帶來高可靠性和 穩(wěn)定性 這為網(wǎng)絡(luò)流量和網(wǎng)絡(luò)攻擊日益膨脹的企業(yè) IT 環(huán)境提供了強(qiáng)大的保障 Hillstone 安 全產(chǎn)品最大程度上確保企業(yè)關(guān)鍵業(yè)務(wù)的不間斷運行 提高用戶的競爭力 最低的總體擁有成本 Lowest TCO Hillstone 全線產(chǎn)品提供了非常友好的使用和管理界面 部署簡單 易于維護(hù)和管理 靈活的特性可以滿足不同用戶不同應(yīng)用環(huán)境的需求 獨特創(chuàng)新的新一代網(wǎng)絡(luò)安全架構(gòu)提供 給用戶最大化的可擴(kuò)展能力 最大化地保護(hù)用戶投資 Hillstone 安全產(chǎn)品解決方案特點 創(chuàng)新的新一代網(wǎng)絡(luò)安全架構(gòu) 高性能的綜合安全系統(tǒng) 高可靠性和擴(kuò)展性 高性價比 豐富的安全特性 3 13 最低的 TCO 友好和易于使用的管理界面 細(xì)粒度的安全參數(shù)調(diào)整 杰出的內(nèi)容安全綜合處理能力 靈活的部署特性 易于部署和維護(hù) 全面的產(chǎn)品線 滿足不同用戶的需求 專業(yè)的技術(shù)支持和銷售團(tuán)隊 P2P IM 應(yīng)用的安全控制和細(xì)粒化管理 根據(jù)企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀以及未來系統(tǒng)的結(jié)構(gòu)發(fā)展 我們認(rèn)為著重考慮企業(yè)的 B S 結(jié)構(gòu)應(yīng)用特點 是防火墻系統(tǒng)技術(shù)指標(biāo)設(shè)計的主要依據(jù) 眾所周知 防火墻作為網(wǎng)絡(luò)設(shè)備 對網(wǎng)絡(luò)性能影響最為主要的是兩個參數(shù)指標(biāo) 一個 是防火墻的 TCP 連接處理能力 并發(fā)會話處理數(shù) 另一個是防火墻對網(wǎng)絡(luò)數(shù)據(jù)流量的吞 吐能力 帶寬參數(shù) B S 結(jié)構(gòu)的應(yīng)用系統(tǒng)雖然具有管理簡單 客戶端開發(fā) 使用和維護(hù)的成本很低的優(yōu)點 但是在網(wǎng)絡(luò)上 B S 結(jié)構(gòu)應(yīng)用系統(tǒng)將會給網(wǎng)絡(luò)帶來巨大的網(wǎng)絡(luò)流動數(shù)據(jù)處理壓力 而且是并 發(fā)的 具體來說 B S 結(jié)構(gòu)的應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上使用 會給網(wǎng)絡(luò)防火墻帶來數(shù)倍甚至數(shù)十 倍于 C S 結(jié)構(gòu)應(yīng)用系統(tǒng)的并發(fā) TCP 會話數(shù)量 而且這些會話絕大部分是包長很短的 垃圾 IP 包 而這些垃圾包必然對網(wǎng)絡(luò)設(shè)備的負(fù)載有著極大影響 隨著 Internet 的不斷普及 新的網(wǎng)絡(luò)應(yīng)用層出不窮 并且對于網(wǎng)絡(luò)帶寬的占用日益增 高 如網(wǎng)絡(luò)視頻 網(wǎng)絡(luò)游戲 BT 下載等 企業(yè)網(wǎng)絡(luò)中運行著大量的關(guān)鍵應(yīng)用 這些關(guān)鍵應(yīng) 用很多都要求極低的網(wǎng)絡(luò)延遲 而網(wǎng)絡(luò)中大量的娛樂應(yīng)用不斷吞占著有限的網(wǎng)絡(luò)帶寬 嚴(yán) 重影響著關(guān)鍵應(yīng)用的使用 同時安全和速度始終是兩個對立面的事物 追求更高的網(wǎng)絡(luò)安 全是需要以犧牲網(wǎng)絡(luò)通訊速度為代價的 而追求更高的網(wǎng)絡(luò)通訊速度則需要降低網(wǎng)絡(luò)安全 標(biāo)準(zhǔn) 在目前依賴于網(wǎng)絡(luò)應(yīng)用的時代 能夠做到應(yīng)用層的安全檢測以及安全防護(hù)功能是所 有安全廠商的目標(biāo) 由于應(yīng)用層的檢測需要進(jìn)行深度的數(shù)據(jù)包解析 而使用傳統(tǒng)網(wǎng)絡(luò)平臺 所帶來的網(wǎng)絡(luò)延遲將是不可接受的 好的安全功能同樣需要好的硬件平臺去實現(xiàn) 通過對各類防火墻的比較分析 我們認(rèn)為目前面向 B S 結(jié)構(gòu)應(yīng)用 高性能的硬件防火 3 14 墻是最為明智的選擇 3 1 2技技術(shù)術(shù)先先進(jìn)進(jìn)性性和和實實用用性性原原則則 網(wǎng)絡(luò)安全方案中采用技術(shù) 具有一定的前瞻性 符合一定時期內(nèi)網(wǎng)絡(luò)安全技術(shù)發(fā)展的 趨勢 并在今后一定的時期內(nèi)處于領(lǐng)先地位 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計必須遵循先進(jìn)性和成熟性 由于 IT 行業(yè)的技術(shù)更新?lián)Q代很快 為了保證網(wǎng)絡(luò)能夠滿足今后一段時間內(nèi)應(yīng)用的發(fā)展 在 選擇網(wǎng)絡(luò)安全技術(shù)和設(shè)備時不僅要考慮先進(jìn)性 也要考慮技術(shù)的成熟性 同時更要考慮接 入業(yè)務(wù)的特點等多方面的因素 一種新技術(shù)在剛出現(xiàn)時往往有很大不穩(wěn)定和不確定因素 需要有一個發(fā)展 逐步完善和實踐檢驗的過程 經(jīng)常有一些技術(shù)在剛出現(xiàn)時被宣傳和評價 很高 但在一段時間后發(fā)現(xiàn)存在很多問題 甚至很快退出市場 用戶采用了這種技術(shù) 往 往會因為設(shè)備廠商轉(zhuǎn)產(chǎn)停產(chǎn)等問題 無法對網(wǎng)絡(luò)擴(kuò)展升級 最終造成前期投資的浪費 一 種新的技術(shù)產(chǎn)品在剛出現(xiàn)時一般價格都非常高 所以選擇使用一種新的技術(shù)的最佳時機(jī)應(yīng) 該是在這種技術(shù)在市場上已經(jīng)得到較為廣泛的應(yīng)用 并且在使用中得到肯定之后 雖然這 時的技術(shù)可能已經(jīng)不是最新的技術(shù) 但技術(shù)已經(jīng)成熟 設(shè)備的性能價格比更高 所以選擇 網(wǎng)絡(luò)技術(shù)和設(shè)備時不要去追求最新最好 應(yīng)該遵循先進(jìn)性和實用性相結(jié)合 并找出其中的 平衡點 3 1 3高高可可靠靠性性原原則則 由于網(wǎng)絡(luò)對數(shù)據(jù)傳輸?shù)膶崟r性的要求 對網(wǎng)絡(luò)的傳輸環(huán)節(jié)要求很高 因而要求選用的 網(wǎng)絡(luò)安全設(shè)備具有相當(dāng)高的可靠性 要達(dá)到電信級標(biāo)準(zhǔn) 具備 99 999 的可靠性 建設(shè)一 個運行穩(wěn)定可靠的現(xiàn)代化網(wǎng)絡(luò)系統(tǒng) 網(wǎng)絡(luò)中任何一臺安全設(shè)備或任何一條安全設(shè)備上的線 路發(fā)生故障都不會導(dǎo)致通過該安全設(shè)備互聯(lián)的兩個網(wǎng)絡(luò)無法通訊 并且能夠保證在不影響 網(wǎng)絡(luò)正常運行的情況下完成對網(wǎng)絡(luò)故障的檢測和排除 3 1 4易易于于擴(kuò)擴(kuò)展展和和升升級級的的原原則則 網(wǎng)絡(luò)及數(shù)據(jù)通信技術(shù)發(fā)展速度快 新的設(shè)備不斷面世 新業(yè)務(wù)也將逐步運行在新的數(shù) 3 15 據(jù)網(wǎng)上 用戶對帶寬的需求必將增長 需要將網(wǎng)絡(luò)系統(tǒng)擴(kuò)容 因此在網(wǎng)絡(luò)設(shè)計時應(yīng)充分考 慮將來網(wǎng)絡(luò)的擴(kuò)容和升級問題 隨著企業(yè)的發(fā)展擴(kuò)大 網(wǎng)絡(luò)的系統(tǒng)性能的需要將不斷提高 網(wǎng)絡(luò)的規(guī)模也會不斷擴(kuò)展 而隔離網(wǎng)絡(luò)的安全設(shè)備也同樣需要擴(kuò)容和升級 所以在設(shè)計網(wǎng)絡(luò)時 要充分考慮到網(wǎng)絡(luò)安 全設(shè)備的可擴(kuò)展性 為了保護(hù)用戶的投資 設(shè)計應(yīng)保證至少若干年內(nèi)網(wǎng)絡(luò)的升級和擴(kuò)展不 需要更換主要網(wǎng)絡(luò)安全設(shè)備 只通過增加一些模塊就可以實現(xiàn)網(wǎng)絡(luò)性能和規(guī)模的擴(kuò)展 滿 足今后幾年業(yè)務(wù)發(fā)展的需要 3 1 5管管理理和和維維護(hù)護(hù)的的方方便便性性 網(wǎng)絡(luò)系統(tǒng)中的所有安全設(shè)備均應(yīng)是可管理的 支持遠(yuǎn)程監(jiān)控和故障的過程診斷和恢復(fù) 可通過網(wǎng)管軟件方便地監(jiān)控網(wǎng)絡(luò)運行的實時情況 對出現(xiàn)的問題及時處理和解決 3 3 1 1 6 6網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全方方案案設(shè)設(shè)計計 3 1 7方方案案描描述述 為了 XX 網(wǎng)站對外提供的服務(wù) 建議在當(dāng)前企業(yè)的 web 網(wǎng)站 Internet 出口處使用 HillStone 防火墻來進(jìn)行安全保護(hù) 用 Hillsonte SA 系列防火墻作為鏈路接入設(shè)備 為了保 護(hù)內(nèi)部網(wǎng)絡(luò) 我們建議防火墻用 NAT 模式 隱藏內(nèi)部私有網(wǎng)段 1 在網(wǎng)站和 Internet 的連接部分我們部署一臺 HillStone SA 防火墻 連接 Internet 的 ISP 鏈路被直接連接到 Hillstone SA 防火墻上 內(nèi)部用戶需通過核心交換機(jī)連 接到 Hillstone SA 防火墻內(nèi)網(wǎng)口 防火墻做 NAT 模式 2 為了保護(hù)內(nèi)部的主機(jī)和服務(wù)器 我們需要將防火墻上的端口根據(jù)需要劃分到不同 安全級別的安全區(qū)域 到 Internet 的鏈路端口劃分到 UnTrust 區(qū)域 Trust 區(qū)域 端口連內(nèi)部網(wǎng)的核心交換機(jī) 3 將防火墻設(shè)置為 NAT 模式 這樣就可以保護(hù)內(nèi)部的私有網(wǎng)段 Hillstone SA 防火 墻有著強(qiáng)大的 NAT 功能 我們可以根據(jù)需要靈活的設(shè)置 NAT 包括 1 對 1 的 NAT 基于端口的 NAT 源地址 NAT 和基于目的的 NAT 等 3 16 4 防火墻訪問控制策略的設(shè)定 在防火墻上設(shè)置訪問控制策略 不允許內(nèi)網(wǎng)主機(jī)訪 問 Internet 或者禁止外部對內(nèi)部的非正常形式的訪問 或依據(jù)需求開放某些端 口和應(yīng)用 HillStone 有著強(qiáng)大的訪問控制策略設(shè)置方法 可以有效保護(hù)內(nèi)部網(wǎng) 絡(luò)對 Internet 的訪問 和公司對互聯(lián)網(wǎng)提供的各種服務(wù) 5 HillStone 防火墻提供 VPN 功能 外部和遠(yuǎn)程的人員可以通過 VPN 隧道與防火墻 內(nèi)的計算機(jī)建立連接 方案可以實現(xiàn) 方案可以實現(xiàn) 通過 HillStone 防火墻 能夠有效保護(hù)內(nèi)部網(wǎng)絡(luò)的安全和對外提供的服務(wù)安全 Hillstone SA 防火墻的 64 位專用多核并行處理器能夠避免純 ASIC 和 NP 安全系統(tǒng)會話可 管理能力和流量控制能力弱的弊病 為 VPN 和應(yīng)用層內(nèi)容安全功能提供強(qiáng)大的處理能力保 障 整個網(wǎng)絡(luò)安全的到了保證 HillStone 防火墻將有效保護(hù)內(nèi)部網(wǎng)絡(luò) 我們能夠有效阻 止外界對公司內(nèi)部和服務(wù)的 DOS 攻擊 以及 4 7 層的應(yīng)用層攻擊 HILLSTONE 提供了強(qiáng)大的帶寬管理功能 可以按照源和目標(biāo) IP 址或者地址組 應(yīng)用程 序 端口等 對流量進(jìn)行分級和處理 QOS 帶寬管理確保了服務(wù)質(zhì)量 保證關(guān)鍵應(yīng)用的高性 能 可以根據(jù)具體參數(shù)對流量類型進(jìn)行區(qū)分 并確定如何恰當(dāng)?shù)靥幚砹髁款愋?從而對內(nèi)部 的用戶進(jìn)行高效的帶寬管理 VPN 功能可以保證遠(yuǎn)程接入用戶對內(nèi)網(wǎng)訪問的安全性 HillStoneHillStone 的解決方案有如下優(yōu)點 的解決方案有如下優(yōu)點 提供專業(yè)的網(wǎng)絡(luò)安全服務(wù) HillStone 是一家專業(yè)的網(wǎng)絡(luò)安全設(shè)備廠商 具備多年安全設(shè)備研發(fā)和售后經(jīng)驗 能夠為用戶提供最及時最有效的安全解決方案 高性能的防火墻和防攻擊能力 HillStone SA 系列提供超強(qiáng)的防火墻吞吐能力 能夠滿足企業(yè)網(wǎng)絡(luò)中所有網(wǎng)絡(luò)環(huán) 境的吞吐要求 同時 SA 系列內(nèi)置了防攻擊模塊 能夠有效地避免網(wǎng)絡(luò)攻擊對企 業(yè)網(wǎng)絡(luò)的影響 3 17 先進(jìn)的應(yīng)用層管控機(jī)制 HillStone SA 系列產(chǎn)品能夠為用戶提供先進(jìn)的應(yīng)用層管控技術(shù) 包括 URL 過濾 帶寬管理 P2P IM 管理等等 能夠使用戶在保證網(wǎng)絡(luò)連通的前提下更細(xì)粒度的管 控自己的網(wǎng)絡(luò) 提供高性能的應(yīng)用層解決方案 HillStone 產(chǎn)品采用專用的 64 位多核處理器 能夠為應(yīng)用層數(shù)據(jù)處理提供前所未 有的性能支持 保證在高吞吐高流量的情況下從容有效地進(jìn)行應(yīng)用層的管控 提高企業(yè)網(wǎng)絡(luò)部署的靈活性和擴(kuò)展性 隨著企業(yè)發(fā)展 企業(yè)網(wǎng)絡(luò)也會不斷發(fā)展變化 HillStone 企業(yè)網(wǎng)絡(luò)解決方案能夠 憑借 HillStone 產(chǎn)品的多種智能化的功能實現(xiàn) 全面協(xié)助企業(yè)網(wǎng)絡(luò)應(yīng)用的演變 在企業(yè)網(wǎng)絡(luò)的特定網(wǎng)絡(luò)安全環(huán)境下 通過 HillStone 產(chǎn)品的部署 靈活的進(jìn)行功 能擴(kuò)展 最大化的保證了企業(yè)網(wǎng)絡(luò)的靈活性和擴(kuò)展性 降低系統(tǒng)維護(hù)難度和成本 憑借多種人性化管理維護(hù)方式和 HillStone 集中管理功能的實現(xiàn) HillStone 企 業(yè)網(wǎng)絡(luò)解決方案能夠極大的降低系統(tǒng)的維護(hù)難度和成本 結(jié)合 HillStone 專業(yè)本 地化廠家技術(shù)支持和研發(fā)隊伍 能夠為企業(yè)應(yīng)用提供最優(yōu)質(zhì)的專業(yè)技術(shù)保障 3 2 IntruShield 網(wǎng)網(wǎng)絡(luò)絡(luò)入入侵侵防防護(hù)護(hù)產(chǎn)產(chǎn)品品簡簡介介 IntruShield 基于完整的攻擊分析方法而構(gòu)建 并引入了業(yè)界最為全面的網(wǎng)絡(luò)攻擊特征 檢測 異常檢測以及拒絕服務(wù)檢測技術(shù) 除了可以探測攻擊 還可以探測已知未知蠕蟲和 后門程序 3 2 1 網(wǎng)網(wǎng)絡(luò)絡(luò)攻攻擊擊特特征征檢檢測測 為了實現(xiàn)高性能的網(wǎng)絡(luò)攻擊特征檢測 IntruShield 體系結(jié)構(gòu)不僅采用了創(chuàng)新的專利技 術(shù) 而且集成了全面的狀態(tài)檢測引擎 完善的特征規(guī)范語言 用戶自定義特征 以及實時 3 18 特征更新 確保了 IntruShield 能夠提供并維護(hù)業(yè)界最為全面 更新最及時的攻擊簽名數(shù)據(jù) 庫 特征規(guī)范語言特征規(guī)范語言 IntruShield 以專用的高水平特征規(guī)范語言為強(qiáng)大支持 IntruShield 能夠從應(yīng)用程序軟 件中分離出攻擊模式特征 在這個獨特的體系結(jié)構(gòu)中 將特征簡單地轉(zhuǎn)換為表單項 從而 可以通過直觀的用戶界面實現(xiàn)實時更新 并可被特征引擎立即使用 目前的 IDS 產(chǎn)品往往通過軟件 補(bǔ)丁程序 來提供新的特征 這不僅降低了部署速 度 必須根據(jù)整個 IDS 軟件應(yīng)用程序進(jìn)行質(zhì)量保證 而且也不利于安裝 必須重新啟動 系統(tǒng) 而 IntruShield 通過從傳感器軟件中分離攻擊模式特征 從而確保了高質(zhì)量的全新 特征可以快速部署 無需重新啟動系統(tǒng) 同時 從傳感器應(yīng)用程序代碼中分離特征也使得 特征編寫人員能夠?qū)⒕性谔卣骶帉懙?質(zhì)量 上 而無需考慮如何將特征構(gòu)建為應(yīng) 用程序更新補(bǔ)丁 全面的狀態(tài)特征檢測引擎全面的狀態(tài)特征檢測引擎 IntruShield 體系結(jié)構(gòu)的特征檢測引擎引入了強(qiáng)大的上下文敏感檢測技術(shù) 在數(shù)據(jù)包中 充分利用了狀態(tài)信息 它通過使用多個令牌匹配來檢測超越了數(shù)據(jù)包界限的攻擊特征 或 超出序列范圍的數(shù)據(jù)包流 用戶自定義網(wǎng)絡(luò)攻擊特征用戶自定義網(wǎng)絡(luò)攻擊特征 IntruShield 使得網(wǎng)絡(luò)安全工程師能夠通過一個創(chuàng)新性的圖形用戶界面 GUI 來編寫 自定義簽名 該界面能夠使用通過系統(tǒng)的協(xié)議分析功能所獲取的字段和數(shù)據(jù) 或者通過 IntruShield 的分析機(jī)制收集的狀態(tài)信息 實時特征更新實時特征更新 3 19 IntruShield 提供的創(chuàng)新性實時特征更新極大地提升了管理軟件的性能 由 IntruVert 更新服務(wù)器提供的全新特征可以通過策略控制自動發(fā)送到整個網(wǎng)絡(luò) 從而確保了新的特征 一經(jīng)創(chuàng)建 網(wǎng)絡(luò)即可獲得最新的防護(hù)功能 IntruShield 體系結(jié)構(gòu)還允許網(wǎng)絡(luò)工程師決定何 時 以及是否在整個網(wǎng)絡(luò)中部署最新的簽名 IntruShield 系統(tǒng)無需重新設(shè)置或重新啟動任 何硬件以便激活新的簽名 因此 它們能夠自動地 實時地進(jìn)行部署 3 2 2 異異常常檢檢測測 異常檢測技術(shù)為 IntruShield 體系結(jié)構(gòu)全面的簽名檢測過程提供了完美的補(bǔ)充 異常檢 測技術(shù)使得網(wǎng)絡(luò)工程師能夠?qū)ν话l(fā)威脅或首次攻擊進(jìn)行攔截 并創(chuàng)建出一套完整的 異常 檔案 從而保護(hù)網(wǎng)絡(luò)免受當(dāng)前威脅和未來攻擊的騷擾 IntruShield 體系結(jié)構(gòu)提供了業(yè)界最為先進(jìn) 最為全面的異常檢測方法 集成了針對 統(tǒng)計數(shù)據(jù) 協(xié)議及應(yīng)用程序的異常檢測技術(shù) 異常 未知攻擊的例子包括新的蠕蟲 蓄意的 隱性攻擊 以及現(xiàn)有攻擊在新環(huán)境下的變種 異常檢測技術(shù)也有助于攔截拒絕服務(wù)攻擊 觀察服務(wù)質(zhì)量的變動 和分布式 DoS 攻擊 IntruShield 系統(tǒng)利用流量樣式變動 例如 TCP 控制數(shù)據(jù)包的統(tǒng)計數(shù)據(jù) 來決定是否即將發(fā)生海量的數(shù)據(jù)流 我們將在下面的部分 具體討論拒絕服務(wù)攻擊 IntruShield 體系結(jié)構(gòu)的異常檢測技術(shù)還能夠針對其它威脅提供保護(hù) 這包括 緩沖區(qū) 溢出攻擊 由木馬程序或內(nèi)部人員安裝的 后門 或惡意攻擊 利用低頻率進(jìn)行的隱性掃 描攻擊 通過網(wǎng)絡(luò)中的多個發(fā)送點傳送表面正常的數(shù)據(jù)包 以及內(nèi)部人員違反安全策略 例如 在網(wǎng)絡(luò)中安裝游戲服務(wù)器或音樂存檔 3 2 3 拒拒絕絕服服務(wù)務(wù)檢檢測測 IntruShield 檢測體系結(jié)構(gòu)的第三根 支柱 就是它完善的拒絕服務(wù)防護(hù)技術(shù) 自動記憶以及基于閥值的檢測自動記憶以及基于閥值的檢測 3 20 IntruShield 體系結(jié)構(gòu)綜合利用了基于閥值的檢測技術(shù)和獲得專利的 具有自動記憶功 能的基于配置文件的檢測技術(shù) 從而使拒絕服務(wù)檢測更具智能化 借助基于閥值的檢測功 能 網(wǎng)絡(luò)安全管理員就能夠使用預(yù)先編寫的數(shù)據(jù)流量限制來確保服務(wù)器不會因負(fù)載過重而 宕機(jī) 同時 自動記憶功能使得 IntruShield 體系結(jié)構(gòu)能夠分析網(wǎng)絡(luò)使用方法和流量的模式 了解合法網(wǎng)絡(luò)操作中發(fā)生的多種合法 但不常見的使用模式 兩種技術(shù)的結(jié)合確保了對各種 DoS 攻擊的最高檢測準(zhǔn)確率 包括分布式拒絕服務(wù) 攻擊 即惡意程序員為了進(jìn)攻企業(yè)或政府網(wǎng)絡(luò) 同時對上百個 甚至上千個服務(wù)器發(fā)起攻 擊 IntruShield 準(zhǔn)確的 DoS 檢測技術(shù)具有非常重要的意義 因為很多網(wǎng)站和網(wǎng)絡(luò)都曾經(jīng) 歷過合法的 有時是意外的 極具吸引力的新程序 服務(wù)或應(yīng)用程序的流量沖擊 檢測技術(shù)的關(guān)聯(lián)性檢測技術(shù)的關(guān)聯(lián)性 正如我們所看到的 IntruShield 體系結(jié)構(gòu)提供了多種操作模式 使得系統(tǒng)能夠捕捉惡 意流量 提供全面的攻擊分析方法 實施完整的智能化簽名檢測 異常檢測以及拒絕服務(wù) 防護(hù)技術(shù) IntruShield 體系結(jié)構(gòu)的檢測關(guān)聯(lián)層連接著系統(tǒng)的簽名檢測 異常檢測以及拒絕服務(wù)檢 測功能 這種相互關(guān)聯(lián)性以及對可疑流量的交叉檢查功能確保了攻擊檢測的高度準(zhǔn)確性 單一 IntruShield 系統(tǒng)能夠?qū)Ψ阑饓Φ墓簿W(wǎng)段 專用網(wǎng)段以及 DMZ 網(wǎng)段進(jìn)行全面 的保護(hù) 并提供這些網(wǎng)段之間的相互關(guān)聯(lián)性 從而能夠針對被攔截的網(wǎng)絡(luò)攻擊或者進(jìn)入專 用網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊提供準(zhǔn)確的詳細(xì)信息 3 21 3 2 4 入入侵侵防防護(hù)護(hù) IntruShield 體系結(jié)構(gòu)提供了業(yè)界最準(zhǔn)確的攻擊檢測功能 構(gòu)造了系統(tǒng)攻擊響應(yīng)機(jī)制的 堅實基礎(chǔ) 沒有足夠響應(yīng)能力的 IDS 產(chǎn)品只能為網(wǎng)絡(luò)安全管理員提供有限的功能 現(xiàn)代 的 IDS 產(chǎn)品必須能夠檢測出攻擊 并提供偏轉(zhuǎn)和攔截惡意流量的方法 IntruShield 體系結(jié)構(gòu)為網(wǎng)絡(luò)安全管理員提供了一整套手動的和自動的響應(yīng)措施 并以 此構(gòu)建起企業(yè)或政府機(jī)構(gòu)信息技術(shù)安全策略的基礎(chǔ) 就攻擊檢測來說 IntruShield 體系結(jié)構(gòu)使系統(tǒng)可以實現(xiàn)以下功能 A 攔截攻擊攔截攻擊 IntruShield 體系結(jié)構(gòu)允許 IDS 以嵌入模式工作 因此 它能夠?qū)崟r地在攻擊源和目 標(biāo)之間攔截單一數(shù)據(jù)包 單一會話或數(shù)據(jù)流量 從而在進(jìn)程中攔截攻擊 而不會影響任何 其它流量 B 終止會話終止會話 3 22 IntruShield 體系結(jié)構(gòu)允許針對目標(biāo)系統(tǒng) 攻擊者 或二者同時 重新設(shè)置并初始化 TCP 網(wǎng)絡(luò)安全工程師可以對發(fā)送給源和 或目標(biāo) IP 地址的重新設(shè)置數(shù)據(jù)包進(jìn)行配置 C 修改防火墻策略修改防火墻策略 IntruShield 體系結(jié)構(gòu)允許用戶在發(fā)生攻擊時重新配置網(wǎng)絡(luò)防火墻 方法是臨時改變用 戶指定的訪問控制協(xié)議 同時向安全管理員發(fā)出警報 D 實時警報實時警報 當(dāng)網(wǎng)絡(luò)流量違反了安全策略時 IntruShield 體系結(jié)構(gòu)能夠?qū)崟r生成一個警報信息 并 發(fā)送給管理系統(tǒng) 合理的警報配置是保持有效防護(hù)的關(guān)鍵所在 惡性攻擊 例如緩沖區(qū)溢 出以及拒絕服務(wù) 往往需要做出實時響應(yīng) 而對掃描和探測則可以通過日志進(jìn)行記錄 并 通過進(jìn)一步的研究確定其潛在的危害和攻擊源 網(wǎng)絡(luò)安全工程師能夠獲得有關(guān)電子郵件 尋呼程序以及腳步警告的通知 該通知基于預(yù)先配置的嚴(yán)重性水平或特定的攻擊類型 例 如拒絕服務(wù)攻擊 基于腳步的警告允許對復(fù)雜的通知過程進(jìn)行配置 從而能夠針對系統(tǒng)面 臨的攻擊向特定團(tuán)體或個人發(fā)出通知 IntruShield 體系結(jié)構(gòu)還提供了一個 警報過濾器 它允許網(wǎng)絡(luò)安全工程師根據(jù)安全事 件的來源或目標(biāo)進(jìn)行篩選 例如 當(dāng) IT 部門通過一個自有 IP 地址執(zhí)行漏洞掃描時 從 該地址生成的事件就可以被過濾掉 E 對數(shù)據(jù)包進(jìn)行日志記錄對數(shù)據(jù)包進(jìn)行日志記錄 在攻擊發(fā)生時 或攻擊發(fā)生之后 基于 IntruShield 體系結(jié)構(gòu)的系統(tǒng)能夠首先捕獲數(shù)據(jù) 包 并對數(shù)據(jù)包進(jìn)行日志記錄 然后將該流量重新定向到一個空閑的系統(tǒng)端口 以便進(jìn)行 詳細(xì)的合法性分析 這個數(shù)據(jù)包信息就是對觸發(fā)攻擊的實際網(wǎng)絡(luò)流量的記錄 數(shù)據(jù)被查看 后 將轉(zhuǎn)換為 libpcap 格式 以便進(jìn)行演示和說明 類似于 Ethereal 運行于 UNIX 和 Windows 平臺的一款網(wǎng)絡(luò)協(xié)議分析工具 的多種工具可以用來檢驗數(shù)據(jù)包日志數(shù)據(jù) 以便 3 23 對檢測到的事件進(jìn)行更為詳細(xì)的分析 IntruShield 體系結(jié)構(gòu)的響應(yīng)機(jī)制提供了該產(chǎn)品平臺的基礎(chǔ) 安全管理員需要在此基礎(chǔ) 上開發(fā)出響應(yīng)措施 警報以及日志系統(tǒng) 以便為復(fù)雜的現(xiàn)代網(wǎng)絡(luò)提供最佳的防護(hù) 3 2 5 實實時時過過濾濾蠕蠕蟲蟲病病毒毒和和Spyware 間間諜諜程程序序 在 IntruS