xxxx網(wǎng)絡(luò)安全解決方案2021年8月12日目錄TOC\o"1-5"\h\z\o"CurrentDocument"項(xiàng)目綜述 7\o"CurrentDocument"XXXX需求分析 82.1 項(xiàng)目背景 8\o"CurrentDocument"1.1 項(xiàng)目的必要性 8\o"CurrentDocument"需求分析 10\o"CurrentDocument"2.2.1 面臨的安全威脅問(wèn)題 10\o"CurrentDocument"2.2.2 生產(chǎn)網(wǎng)外聯(lián)區(qū) 12\o"CurrentDocument"2.2.3 移動(dòng)辦公區(qū) 13\o"CurrentDocument"2.2.4 互聯(lián)網(wǎng)接入?yún)^(qū) 13\o"CurrentDocument"結(jié)論 15\o"CurrentDocument"3解決方案 16\o"CurrentDocument"1 方案設(shè)計(jì)原則 16\o"CurrentDocument"3.2 XxxxNSP整體解決方案 17\o"CurrentDocument"3.2.1XXX部署方案 XX數(shù)據(jù)中心部署設(shè)備方案 研發(fā)中心部署設(shè)備方案 分支機(jī)構(gòu)部署設(shè)備方案 20\o"CurrentDocument"3.2.2分布式部署和集中管理平臺(tái) 分布式部署架構(gòu) 總部管理服務(wù)平臺(tái)的高可用設(shè)計(jì) 集中管理平臺(tái) 攻擊簽名庫(kù)更新升級(jí)方案 24\o"CurrentDocument"4Xxxx方案的設(shè)備型號(hào)及管理平臺(tái) 254.2 方案中XxxxNSP設(shè)備型號(hào)介紹 272.1 NS-9x00產(chǎn)品規(guī)格 錯(cuò)誤!未定義書簽。2.2 NS-7x50 產(chǎn)品規(guī)格 282.3 NS-5x00 nn2.4 NS-3x00 產(chǎn)品規(guī)格 30\o"CurrentDocument"3 XX數(shù)據(jù)中心NSM服務(wù)器配置建議 31\o"CurrentDocument"4 統(tǒng)一管理服務(wù)器Central Manager配置建議 31\o"CurrentDocument"5 XxxxNSP介紹 32\o"CurrentDocument"1 XxxxNSP設(shè)備 32\o"CurrentDocument"2 統(tǒng)一管理平臺(tái)(Central Manager)介紹 35\o"CurrentDocument"5.3 NSP的優(yōu)勢(shì) 36\o"CurrentDocument"1公司實(shí)力 36\o"CurrentDocument"3.2非特征檢測(cè)方式 36\o"CurrentDocument"與XXXX現(xiàn)有終端管理平臺(tái)EPO集成 37\o"CurrentDocument"NGIPS新技術(shù) 38za，全3S\o"CurrentDocument"群集和擴(kuò)展能力 39\o"CurrentDocument"3.7 全面支持IPv6 39\o"CurrentDocument"6 XxxxNSP功能介紹 43\o"CurrentDocument"1檢測(cè)及防御功能 43\o"CurrentDocument"6.1.1網(wǎng)絡(luò)攻擊特征檢測(cè) 43\o"CurrentDocument"6.1.3 DoS/DDoS攻擊防御 45\o"CurrentDocument"6.1.4 入侵防護(hù)功能 46\o"CurrentDocument"6.1.5 實(shí)時(shí)過(guò)濾蠕蟲病毒和Spyware間諜程序 47\o"CurrentDocument"6.1.6 虛擬IPS 48\o"CurrentDocument"6.1.7 靈活的部署方式 49\o"CurrentDocument"6.1.8 具備風(fēng)險(xiǎn)識(shí)別的入侵防御 51\o"CurrentDocument"6.1.9 內(nèi)置Web安全保護(hù) 52\o"CurrentDocument"6.1.10 SSL加密攻擊檢測(cè) 52\o"CurrentDocument"6.1.11 領(lǐng)先的虛擬內(nèi)部防火墻 53\o"CurrentDocument"6.1.12 流量控制 53\o"CurrentDocument"6.1.13 僵尸網(wǎng)絡(luò)流量監(jiān)控 54\o"CurrentDocument"6.2 第三方測(cè)評(píng) 56\o"CurrentDocument"6.2.1 Gartner測(cè)評(píng) 56\o"CurrentDocument"6.2.2 NSSLab評(píng)測(cè)報(bào)告 57\o"CurrentDocument"7服務(wù)承諾 58\o"CurrentDocument"硬件和軟件的售后技術(shù)支持和軟件服務(wù) 58\o"CurrentDocument"7.1.1服務(wù)的期限 58\o"CurrentDocument"7.1.2服務(wù)的支持方式 5電話技術(shù)支持 5在線支持 5白金企業(yè)支持 59\o"CurrentDocument"7.1.3產(chǎn)品和軟件的服務(wù)的內(nèi)容 6軟件產(chǎn)品更新升級(jí) 6 產(chǎn)品評(píng)估 6分析和警報(bào) 6其他白金服務(wù)內(nèi)容（參見服務(wù)管理） 62\o"CurrentDocument"7.1.4 產(chǎn)品和服務(wù)的響應(yīng) 6硬件產(chǎn)品更換的響應(yīng)規(guī)則 6問(wèn)題上報(bào)和回復(fù)的時(shí)間 62\o"CurrentDocument"7.2Xxxx原廠IDS/IPS白金企業(yè)服務(wù)管理 63\o"CurrentDocument"7.2.1 IDS/IPS項(xiàng)目白金企業(yè)服務(wù)管理定義 63\o"CurrentDocument"7.2.2 服務(wù)保障團(tuán)隊(duì)和角色 6技術(shù)服務(wù)經(jīng)理SAM 6產(chǎn)品專員 6現(xiàn)場(chǎng)技術(shù)支持工程師 6全球技術(shù)支持中心 64\o"CurrentDocument"2.3 服務(wù)流程簡(jiǎn)介 65\o"CurrentDocument"2.4 現(xiàn)場(chǎng)技術(shù)支持服務(wù) 65\o"CurrentDocument"2.5 重大變更現(xiàn)場(chǎng)支持服務(wù) 65\o"CurrentDocument"2.6 應(yīng)急服務(wù) 66\o"CurrentDocument"2.7 季度巡檢 66\o"CurrentDocument"培訓(xùn)服務(wù) 67\o"CurrentDocument"3.1 原廠提供的專業(yè)課程培訓(xùn) 67\o"CurrentDocument"3.2 項(xiàng)目培訓(xùn) 67\o"CurrentDocument"原廠提供的專家咨詢和專業(yè)化服務(wù) 67\o"CurrentDocument"項(xiàng)目集成商的人員駐點(diǎn)服務(wù) 68\o"CurrentDocument"7.5.1現(xiàn)場(chǎng)服務(wù)及駐點(diǎn)服務(wù)描述 687.5.2 月艮務(wù)目標(biāo) 68\o"CurrentDocument"7.5.3 服務(wù)工作內(nèi)容描述 68\o"CurrentDocument"7.5.4派駐現(xiàn)場(chǎng)的駐點(diǎn)工程師資質(zhì) 69\o"CurrentDocument"7.6 項(xiàng)目集成商的項(xiàng)目實(shí)施和部署及后期維護(hù)的服務(wù) 69\o"CurrentDocument"7.7 附相關(guān)資料和文檔 69\o"CurrentDocument"8.1 目標(biāo) 70\o"CurrentDocument"8.2 階段性目標(biāo)和分階段實(shí)施 71\o"CurrentDocument"8.2.1項(xiàng)目實(shí)施計(jì)劃 71\o"CurrentDocument"8.2.2 分階段實(shí)施說(shuō)明 7階段一項(xiàng)目準(zhǔn)備 7階段二試點(diǎn)安裝運(yùn)行 7階段三全公司推廣安裝運(yùn)行 7階段四維護(hù)和驗(yàn)收 74\o"CurrentDocument"3 實(shí)施團(tuán)隊(duì) 76\o"CurrentDocument"3.1 項(xiàng)目參與方 76\o"CurrentDocument"3.2 實(shí)施小組 76\o"CurrentDocument"3.3 項(xiàng)目組織架構(gòu) 77\o"CurrentDocument"人員培訓(xùn) 77\o"CurrentDocument"日常維護(hù)建議 81\o"CurrentDocument"8.5.1 升級(jí)周期建議 81\o"CurrentDocument"8.5.2 故障檢查排除 81\o"CurrentDocument"8.5.3 出現(xiàn)攻擊時(shí)應(yīng)急方案 868.5. 3.1大量攻擊 868.5. 3.2DoS攻擊 8傳感器操作 8響應(yīng)管理 8通過(guò)SPAN監(jiān)控內(nèi)網(wǎng) 881項(xiàng)目綜述本方案根據(jù)XXXX目前的信息安全建設(shè)狀況，借助Xxxx在信息安全領(lǐng)域的技術(shù)和解決方案，以動(dòng)態(tài)安全風(fēng)險(xiǎn)管理為基礎(chǔ)，提出了較完整的IDS/IPS解決方案及實(shí)施步驟。其最大的特點(diǎn)是：以全面的量化安全風(fēng)險(xiǎn)為基礎(chǔ)，在系統(tǒng)和網(wǎng)絡(luò)層面構(gòu)建全面的安全威脅防御體系，完善健全安全措施，當(dāng)安全風(fēng)險(xiǎn)等級(jí)變化時(shí)，風(fēng)險(xiǎn)管理管理系統(tǒng)提供詳細(xì)的安全風(fēng)險(xiǎn)變化原因和補(bǔ)救措施，同時(shí),調(diào)整系統(tǒng)和網(wǎng)絡(luò)層面的防御策略，真正的做到全面防御，有的放矢。風(fēng)險(xiǎn)管理的過(guò)程中，如何有效地消除威脅、降低風(fēng)險(xiǎn)是關(guān)鍵。我們建議通過(guò)一系列建設(shè)實(shí)現(xiàn)全面的系統(tǒng)和網(wǎng)絡(luò)防御體系。目前，XXXX已經(jīng)建立了一套比較系統(tǒng)的終端安全防御措施，而Xxxx提供的IDS/IPS網(wǎng)絡(luò)入侵防護(hù)產(chǎn)品和解決方案，可以幫助XXXX對(duì)抗未知的和將來(lái)出現(xiàn)的安全威脅。通過(guò)XxxxNSP（即IDS/IPS）構(gòu)建完善的XXXX安全邊界防御體系，在網(wǎng)絡(luò)邊界實(shí)時(shí)準(zhǔn)確的檢測(cè)和阻斷各類網(wǎng)絡(luò)攻擊行為、DoS/DDoS攻擊及未知的攻擊流量，并對(duì)P2P、IM等應(yīng)用流量進(jìn)行管理，完善整個(gè)網(wǎng)絡(luò)安全建設(shè)。2XXXX需求分析2.1項(xiàng)目背景根據(jù)XXXX等外部監(jiān)管要求，參考同業(yè)情況，結(jié)合XXXX當(dāng)前的實(shí)際情況，為全面提高網(wǎng)絡(luò)安全防護(hù)能力，XXXX計(jì)劃全公司統(tǒng)一實(shí)施網(wǎng)絡(luò)入侵檢測(cè)和防護(hù)（以下簡(jiǎn)稱IDS/IPS）體系建設(shè)。1.1項(xiàng)目的必要性1、確保全行網(wǎng)絡(luò)運(yùn)行安全，提升防護(hù)水平網(wǎng)絡(luò)入侵檢測(cè)防御技術(shù)是一種主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)。IDS/IPS系統(tǒng)能夠幫助應(yīng)用系統(tǒng)及時(shí)發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)的系統(tǒng)層面攻擊，增強(qiáng)系統(tǒng)管理員的安全管理能力，提高了信息安全保障系統(tǒng)整體架構(gòu)的完整性。隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的快速發(fā)展，針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊越來(lái)越普遍，蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)等各類網(wǎng)絡(luò)攻擊手法日趨復(fù)雜，網(wǎng)絡(luò)入侵檢測(cè)防御技術(shù)和產(chǎn)品也得到了快速發(fā)展。XxxxLabs在2017年第3季度收集的統(tǒng)計(jì)數(shù)據(jù)。其中數(shù)量最多的是新惡意軟件，達(dá)到5760萬(wàn)個(gè)新樣本的史上最高記錄，比第2季度增長(zhǎng)了10%?XxxxLabs樣本數(shù)據(jù)庫(kù)中的總數(shù)量現(xiàn)在已超過(guò)7.8億。本季度的新勒索軟件數(shù)量增長(zhǎng)了36%,主要源自Android鎖屏惡意軟件的大面積爆發(fā)。可以輕松獲得的漏洞利用工具包和黑市Web源加快了新惡意軟件的繁殖速度。惡意軟件總數(shù)量惡意軟件總數(shù)量iiillllNI季度季度季度季度季度季度季度季度年 年年2016-2017年前十大攻擊向?

（公開■的件&■）M*W.23?■■?■??■trnnaBDOoSMas^^■XRBS隨著xxxx各項(xiàng)業(yè)務(wù)的快速發(fā)展，信息系統(tǒng)的建設(shè)也處于加速發(fā)展中。網(wǎng)絡(luò)規(guī)模、數(shù)據(jù)流量在未來(lái)3-5年內(nèi)將有較大的增長(zhǎng)。這對(duì)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)在監(jiān)控部署規(guī)模、數(shù)據(jù)處理能力、入侵檢測(cè)防御能力等各個(gè)方面提出了更高的要求。為滿足業(yè)務(wù)信息系統(tǒng)的發(fā)展需要，有必要對(duì)公司現(xiàn)有IDS/IPS系統(tǒng)進(jìn)行全面的升級(jí)改造。2.符合有關(guān)監(jiān)管要求公安部、國(guó)家保密局等四部委于2007年聯(lián)合發(fā)布的《信息安全等級(jí)保護(hù)管理辦法》要求信息安全等級(jí)2級(jí)及以上級(jí)別的系統(tǒng)應(yīng)在網(wǎng)絡(luò)邊界處部署IDS/IPS設(shè)備監(jiān)視攻擊行為并在發(fā)生嚴(yán)重入侵事件時(shí)報(bào)警。人民銀行與銀監(jiān)會(huì)的相關(guān)規(guī)定均明確要求網(wǎng)絡(luò)區(qū)域，特別是重要業(yè)務(wù)網(wǎng)段應(yīng)部署入侵檢測(cè)系統(tǒng)/入侵防護(hù)系統(tǒng)，對(duì)網(wǎng)絡(luò)異常流量進(jìn)行監(jiān)控，監(jiān)視并記錄攻擊行為，保證在第一時(shí)間檢測(cè)到攻擊的發(fā)生，以及是對(duì)攻擊行為采取阻斷措施。2009年開始，銀監(jiān)會(huì)同時(shí)要求各股份制商業(yè)銀行每季度通過(guò)信息科技非現(xiàn)場(chǎng)監(jiān)管報(bào)表上報(bào)IDS/IPS部署信息情況，并作為評(píng)價(jià)個(gè)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理水平的依據(jù)要素之一。2.2需求分析隨著XXX信息系統(tǒng)的不斷發(fā)展壯大，網(wǎng)絡(luò)的規(guī)模和節(jié)點(diǎn)數(shù)量也在不斷增加。在網(wǎng)絡(luò)的發(fā)展過(guò)程中，XXX一直非常重視信息安全系統(tǒng)的規(guī)劃和建設(shè)。目前在實(shí)現(xiàn)了安全區(qū)域的初步劃分，并且采用網(wǎng)絡(luò)防火墻進(jìn)行了隔離，防止跨越安全邊界的非授權(quán)訪問(wèn)行為。但隨著外部環(huán)境的變化和網(wǎng)絡(luò)安全的威脅不斷增長(zhǎng)，已無(wú)法滿足現(xiàn)在的安全要求。已有的IDS設(shè)備又存在兩個(gè)嚴(yán)重的問(wèn)題：第一、部署體系和區(qū)域不夠完整，防護(hù)效果有限未能滿足監(jiān)管要求：第二、原有IDS設(shè)備維保中斷，無(wú)法保證后續(xù)使用，防護(hù)功能失效，存在較大隱患。2.2.1面臨的安全威脅問(wèn)題隨著互聯(lián)網(wǎng)的發(fā)展和網(wǎng)絡(luò)服務(wù)的拓展，越來(lái)越多的新型安全威脅在危害著我們的網(wǎng)絡(luò)，與此同時(shí)，客戶已經(jīng)建設(shè)的安全防護(hù)系統(tǒng)也存在著一些漏洞和不足，下邊我們就論述一下客戶面臨的安全威脅及存在的問(wèn)題。如下圖所示，目前的惡意攻擊行為主要以竊取機(jī)密數(shù)據(jù)，并獲取金錢為目的。入侵的手段千奇百怪，但是都是以隱蔽和低調(diào)的方式進(jìn)行。惡意軟件潛伏在用戶主機(jī)中，不斷滲透入侵內(nèi)部用戶的其他主機(jī)，從桌面系統(tǒng)和服務(wù)器上竊取機(jī)密信息。o?典型的攻擊過(guò)程通常是通過(guò)誘惑用戶訪問(wèn)某些惡意網(wǎng)站或資源，誘惑安裝惡意軟件，從而成功入侵某些用戶的桌面電腦，進(jìn)而通過(guò)各種途徑入侵其他同事的電腦，甚至管理員的電

腦，進(jìn)而可能入侵公司的服務(wù)器系統(tǒng)。并且不斷更新下載其他惡意軟件，進(jìn)行更深度的入侵。IPS作為網(wǎng)絡(luò)的監(jiān)控和防護(hù)系統(tǒng)，可以在任何上述階段檢測(cè)到惡意行為，管理員能夠及時(shí)發(fā)現(xiàn)內(nèi)部的惡意主機(jī)，并清除。防止惡意程序的擴(kuò)散和信息偷竊行為發(fā)生。I.面臨的外部安全威脅如下圖所示，當(dāng)前的網(wǎng)絡(luò)安全面臨多種安全威脅。1）黑客的攻擊入侵，造成信息泄露，或者破壞網(wǎng)絡(luò)、應(yīng)用和服務(wù)器系統(tǒng)，可能造成網(wǎng)絡(luò)、應(yīng)用和服務(wù)器系統(tǒng)癱瘓；2）蠕蟲病毒通過(guò)網(wǎng)絡(luò)、Email和網(wǎng)絡(luò)文件共享等多種方式傳播，植入0A網(wǎng)絡(luò)計(jì)算機(jī)后為黑客攻擊留下后門，同時(shí)造成網(wǎng)絡(luò)擁塞，甚至中斷：3）蠕蟲、惡意程序利用操作系統(tǒng)、應(yīng)用、Web服務(wù)器和郵件系統(tǒng)的弱點(diǎn)進(jìn)行傳播，植入計(jì)算機(jī)系統(tǒng)后為黑客攻擊留下后門，同樣，在傳播過(guò)程中，產(chǎn)生大量的TCP、UDP或ICMP垃圾信息，造成網(wǎng)絡(luò)擁塞，如SqlSlammer.Ni集成商a、“沖擊波”和Nachi蠕蟲病毒；4）面臨DOS/DDOS攻擊，造成網(wǎng)絡(luò)服務(wù)中斷；5）P2P、IM等特殊應(yīng)用缺乏管理和阻斷的手段;6）越來(lái)越多的新型應(yīng)用，如VoIP、SSL加密數(shù)據(jù)、IPv6等沒有相應(yīng)的防護(hù)手段；7）來(lái)自Internet各類安全威脅，沒有有效的手段進(jìn)行評(píng)估，并通過(guò)高效的措施將其阻斷。II.面臨的內(nèi)部安全威脅包括：據(jù)第三方組織的評(píng)測(cè)，40%的安全威脅都源自于內(nèi)部，常見的有：1）系統(tǒng)管理員離職前或者離職后惡意的破壞，如惡意的數(shù)據(jù)刪除，數(shù)據(jù)修改；2）惡意的竊取更高權(quán)限口令，常見的是每天進(jìn)行口令猜測(cè)，同時(shí)又不觸發(fā)報(bào)警；3）惡意的掃描，用來(lái)發(fā)現(xiàn)開放的端口、網(wǎng)絡(luò)和系統(tǒng)中的漏洞；4）惡意的針對(duì)漏洞的攻擊。5）客戶目前的內(nèi)部網(wǎng)絡(luò)也存在如上的安全威脅。2.2.2生產(chǎn)網(wǎng)外聯(lián)區(qū)外聯(lián)網(wǎng)絡(luò)接入?yún)^(qū)出口用于連接其他與XXXX有業(yè)務(wù)往來(lái)的外部網(wǎng)絡(luò)。外聯(lián)接入?yún)^(qū)存在如下潛在的安全風(fēng)險(xiǎn)和安全威脅：通過(guò)外聯(lián)網(wǎng)絡(luò)接入?yún)^(qū)接入的外部網(wǎng)絡(luò)相對(duì)比較獨(dú)立，自成一體，計(jì)算機(jī)的安全管理程度參差不齊，一些客戶機(jī)由于管理比較弱，比較容易遭受零日攻擊，很容易變成傀儡主機(jī)，成為病毒，蠕蟲和惡意程序傳播的攻擊跳板。根據(jù)Xxxx的統(tǒng)計(jì)，超過(guò)85%的垃圾郵件和將近100%的蠕蟲及惡意程序都是由這類僵尸計(jì)算機(jī)傳播的。一旦XXXX內(nèi)部網(wǎng)絡(luò)主機(jī)遭到惡意程序感染，可能帶來(lái)更多的其他問(wèn)題，比如惡意程序可能造成計(jì)算終端的性能下降甚至中斷，感染了惡意程序的主機(jī)又會(huì)成為新的傀儡主機(jī)，進(jìn)一步攻擊XXXX內(nèi)部其它網(wǎng)段的業(yè)務(wù)主機(jī)。另外，此類由外部網(wǎng)絡(luò)內(nèi)傀儡主機(jī)發(fā)起的攻擊以及病毒蠕蟲及惡意程序的傳播會(huì)造成大量的網(wǎng)絡(luò)異常流量，占用寶貴的帶寬，不但影響正常的業(yè)務(wù)交互性能，同時(shí)造成企業(yè)帶寬投資的浪費(fèi)。而IT管理團(tuán)隊(duì)需要花費(fèi)大量的時(shí)間和精力處理由此引發(fā)的各類安全問(wèn)題。綜上所述，目前外聯(lián)網(wǎng)絡(luò)接入?yún)^(qū)面臨的安全隱患如下：.缺乏對(duì)來(lái)自外聯(lián)網(wǎng)絡(luò)的傀儡主機(jī)發(fā)起的網(wǎng)絡(luò)惡意攻擊行為（包括病毒，蠕蟲,惡意程序傳播等）的第一時(shí)間的監(jiān)控，告警能力。.由于問(wèn)題主機(jī)不在生產(chǎn)網(wǎng)絡(luò)內(nèi)，缺乏有效響應(yīng)手段。通過(guò)防火墻只能實(shí)現(xiàn)訪問(wèn)控制保護(hù)功能，但是不能檢測(cè)基于特定應(yīng)用協(xié)議和安全漏洞的惡意攻擊行為和惡意程序（比如Conficker蠕蟲就是利用了微軟的遠(yuǎn)程服務(wù)的漏洞而發(fā)起的零日攻擊）；由于防火墻無(wú)法封閉此類攻擊的高段應(yīng)用端口，極易為木馬后門程序所利用。.2.3移動(dòng)辦公區(qū)XXXX移動(dòng)辦公區(qū)人員較為復(fù)雜，除內(nèi)部人員外，還包括外部運(yùn)維人員、訪客等，一旦不安全的計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)，可能帶來(lái)不安全因素。該區(qū)域存在如下潛在的安全風(fēng)險(xiǎn)和安全威脅：.不安全的計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)，帶來(lái)不安全因素；比如外部人員利用私接的個(gè)人筆記本電腦通過(guò)內(nèi)部網(wǎng)絡(luò)發(fā)起的目標(biāo)主機(jī)嗅探，口令猜測(cè)，目標(biāo)端口攻擊,造成信息泄露。.外部人員私接的個(gè)人筆記本電腦沒有安裝必要的系統(tǒng)安全補(bǔ)丁或者沒有安裝防病毒軟件或?qū)⑺浇庸P記本電腦帶到外面，感染病毒后又接回開發(fā)中心網(wǎng)絡(luò)導(dǎo)致蠕蟲病毒通過(guò)內(nèi)部網(wǎng)絡(luò)傳播，造成網(wǎng)絡(luò)擁塞，甚至中斷；.蠕蟲及惡意程序利用操作系統(tǒng)、應(yīng)用系統(tǒng)的弱點(diǎn)進(jìn)行傳播，植入計(jì)算機(jī)系統(tǒng)后為黑客攻擊留下后門，被惡意程序控制的計(jì)算終端可能存放有各類企業(yè)核心的信息及文檔，一旦泄露，后果不堪設(shè)想；.2.4互聯(lián)網(wǎng)接入?yún)^(qū)XXXX互聯(lián)網(wǎng)接入?yún)^(qū)用于與Internet連接進(jìn)行數(shù)據(jù)交換，而Inte門let則是各種最新病毒、零日攻擊、APT威脅的傳播源頭。雖然，XXXX會(huì)在接入?yún)^(qū)出口部署防火墻，但防火墻只能基于規(guī)則，控制進(jìn)出的端口、協(xié)議，無(wú)法分析分析網(wǎng)絡(luò)數(shù)據(jù)中是否存在惡意威脅。另外，內(nèi)部用戶終端上雖然會(huì)部署防病毒系統(tǒng)，但隨著惡意威脅的數(shù)量呈幾何級(jí)增長(zhǎng)，零日攻擊的傳播快速，APT威脅的難以發(fā)現(xiàn)，傳統(tǒng)防病毒的黑名單技術(shù)已難以應(yīng)對(duì)最新的威脅。而且終端用戶安全意識(shí)薄弱，客戶機(jī)比較容易遭受基于零日攻擊的病毒木馬的侵襲，上網(wǎng)不注意帶來(lái)的間諜木馬軟件等問(wèn)題非常普遍。一旦變成傀儡主機(jī)，就可能成為潛在的安全威脅節(jié)點(diǎn)。2.3結(jié)論根據(jù)以上的安全威脅分析，相關(guān)的安全需求可以歸納為以下幾方面：(1)加強(qiáng)網(wǎng)絡(luò)邊界的安全防護(hù)手段，準(zhǔn)確的檢測(cè)入侵行為，并能夠?qū)崟r(shí)阻斷攻擊；(2)能夠檢測(cè)出已知或未知的各種攻擊形式，并實(shí)時(shí)阻斷黑客攻擊；(3)能夠探測(cè)出已知和未知的蠕蟲、病毒及惡意代碼，準(zhǔn)確定位傳染源，并能夠阻斷蠕蟲通過(guò)網(wǎng)絡(luò)進(jìn)行傳播；(4)能夠檢測(cè)異常網(wǎng)絡(luò)流量，有效阻斷DoS/DDoS攻擊；(5)能夠檢測(cè)針對(duì)網(wǎng)絡(luò)的加密攻擊；(6)能夠?qū)φ麄€(gè)客戶網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)、準(zhǔn)確、全面的入侵防護(hù)；(7)通過(guò)整套IDS/IPS系統(tǒng)體系，及時(shí)識(shí)別網(wǎng)絡(luò)中的安全弱點(diǎn)，并且獲得具體的安全弱點(diǎn)的修補(bǔ)建議；(8)發(fā)現(xiàn)新的弱點(diǎn)和新的威脅時(shí)，能夠有手段在Internet入口及網(wǎng)絡(luò)邊界阻止這些威脅，實(shí)時(shí)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全；(9)需要依照全行的安全策略和管理策略，部署先進(jìn)高效的網(wǎng)絡(luò)入侵檢測(cè)防護(hù)產(chǎn)品,并從安全風(fēng)險(xiǎn)管理的角度出發(fā)，真正有的放矢地解決網(wǎng)絡(luò)安全問(wèn)題；在規(guī)劃目標(biāo)上建立一個(gè)信息安全管理體系，通過(guò)一定的基本原則和管理流程，整合好目前己經(jīng)部署和使用的安全產(chǎn)品，真正做到對(duì)安全風(fēng)險(xiǎn)的有效管理。根據(jù)合規(guī)和安全上的需求，XXXX現(xiàn)今需要對(duì)現(xiàn)有IDS/IPS系統(tǒng)進(jìn)行升級(jí)改造，建立起統(tǒng)一的區(qū)域化部署、集中式管理的IDS/IPS系統(tǒng)架構(gòu)，具備以10千兆以太網(wǎng)為骨干的網(wǎng)絡(luò)流量處理能力，安全防護(hù)覆蓋數(shù)據(jù)中心新、舊機(jī)房，滿足總行未來(lái)3-5年的網(wǎng)絡(luò)安全防護(hù)需求。最終實(shí)現(xiàn)減低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、提升數(shù)據(jù)中心可用性，滿足持續(xù)不斷的監(jiān)管合規(guī)要求。3解決方案針對(duì)XXXX的安全需求，Xxxx建議分別在XX數(shù)據(jù)中心、XX數(shù)據(jù)中心、研發(fā)中心、各級(jí)部署Xxxx的NSP系統(tǒng)，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和防護(hù)，并通過(guò)集中管理平臺(tái)進(jìn)行策略管理和安全監(jiān)控。3.1方案設(shè)計(jì)原則本次方案兼顧整體的安全性能，和整體安全體系建設(shè)、設(shè)備、系統(tǒng)的可靠性和可用性。方案設(shè)計(jì)依據(jù)以下原則：(1)方案設(shè)計(jì)始終考慮業(yè)務(wù)安全需求和投資的平衡；(2)方案設(shè)施后不影響現(xiàn)有網(wǎng)絡(luò)的安全性，不會(huì)降低現(xiàn)有系統(tǒng)的可靠性和可用性，不影響現(xiàn)有的系統(tǒng)和網(wǎng)絡(luò)性能；(3)入侵檢測(cè)和防護(hù)設(shè)備及各類安全設(shè)備探測(cè)準(zhǔn)確，最大限度減少錯(cuò)報(bào)和誤報(bào);(4)方案實(shí)施后，不影響現(xiàn)有的網(wǎng)絡(luò)和計(jì)算機(jī)性能；(5)在不增加現(xiàn)有工作量的基礎(chǔ)上，能夠提升安全管理工作的效率。3.2XxxxNSP整體解決方案3.2.1XXX部署方案1.1xx數(shù)據(jù)中心部署設(shè)備方案XXXX數(shù)據(jù)中心包括生產(chǎn)網(wǎng)外聯(lián)區(qū)、移動(dòng)辦公區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，我們建議分別部署2臺(tái)NS-7X00系統(tǒng)對(duì)3個(gè)區(qū)域的網(wǎng)絡(luò)進(jìn)行監(jiān)控和保護(hù)。1臺(tái)NS-7X00部署在生產(chǎn)網(wǎng)外聯(lián)區(qū)，對(duì)進(jìn)出流量進(jìn)行監(jiān)控。此處補(bǔ)充網(wǎng)絡(luò)拓?fù)鋱D通過(guò)在生產(chǎn)外聯(lián)區(qū)部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，可以為xxxx帶來(lái)如下好處：保護(hù)高風(fēng)險(xiǎn)應(yīng)用，抵御來(lái)自內(nèi)部終端的攻擊，利用NSP系統(tǒng)監(jiān)控和防御高風(fēng)險(xiǎn)攻擊以及注入攻擊行為。檢測(cè)所有從服務(wù)器向外的惡意行為，提前發(fā)現(xiàn)服務(wù)器的異常通訊（惡意通訊）。密切關(guān)注生產(chǎn)區(qū)內(nèi)部安全情況，檢測(cè)數(shù)據(jù)中心網(wǎng)絡(luò)通訊，及時(shí)發(fā)現(xiàn)惡意流量。利用IPS/IDS多點(diǎn)監(jiān)控，可以及時(shí)發(fā)現(xiàn)數(shù)據(jù)中心的異常惡意流量，及時(shí)控制和清除肉機(jī)，避免服務(wù)器被大規(guī)模入侵，避免從內(nèi)部引發(fā)大規(guī)模的DoS攻擊（如ARP攻擊）。1臺(tái)NS-7X00部署在移動(dòng)辦公區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)此處補(bǔ)充網(wǎng)絡(luò)拓?fù)鋱D通過(guò)在辦公區(qū)和互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，可以為XXXX帶來(lái)如下好處:辦公區(qū)的終端比較容易遭受基于零日攻擊的病毒木馬的侵襲，比如辦公終端上網(wǎng)不注意帶來(lái)的間諜軟件、木馬軟件、惡意插件等等問(wèn)題非常普遍。一旦變成傀儡主機(jī)，就可能成為潛在的安全威脅節(jié)點(diǎn)。通過(guò)部署NSP系統(tǒng)可以及時(shí)發(fā)現(xiàn)異常行為辦公的終端，例如惡意掃描網(wǎng)絡(luò)；攻擊本地終端和服務(wù)器行為；頻繁猜測(cè)AD密碼；消耗廣域網(wǎng)帶寬；快速定位中病毒終端；發(fā)現(xiàn)僵尸網(wǎng)絡(luò)流量。及時(shí)發(fā)現(xiàn)和處理有異常行為?；ヂ?lián)網(wǎng)是高風(fēng)險(xiǎn)區(qū)域，通過(guò)部署NSP系統(tǒng)，可以保護(hù)內(nèi)部的重要應(yīng)用；抵御來(lái)自互聯(lián)網(wǎng)的攻擊；監(jiān)控并防御高風(fēng)險(xiǎn)攻擊以及注入攻擊行為；檢測(cè)所有從服務(wù)器向外的惡意行為，提前發(fā)現(xiàn)服務(wù)器的異常通訊（惡意通訊）。對(duì)于研發(fā)中心，我們建議部署1臺(tái)NS-5X00系統(tǒng)，通過(guò)SPAN方式用來(lái)監(jiān)控來(lái)自內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵和惡意代碼的傳播。此處補(bǔ)充網(wǎng)絡(luò)拓?fù)鋱D研發(fā)中心人員較為復(fù)雜，除內(nèi)部開發(fā)人員外，也包括外部運(yùn)維人員，一旦不安全的計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)，可能帶來(lái)不安全因素。通過(guò)在研發(fā)區(qū)部署NSP系統(tǒng)可以為XXXX帶來(lái)如下好處：密切關(guān)注研發(fā)區(qū)內(nèi)部安全情況，檢測(cè)網(wǎng)絡(luò)通訊，及時(shí)發(fā)現(xiàn)惡意流量。利用IPS/IDS多點(diǎn)監(jiān)控，可以及時(shí)發(fā)現(xiàn)研發(fā)的異常惡意流量，及時(shí)控制和清除肉機(jī)，避免服務(wù)器被大規(guī)模入侵，避免從內(nèi)部引發(fā)大規(guī)模的DoS攻擊（如ARP攻擊）。研發(fā)區(qū)的終端比較混雜，可能受到零日攻擊的病毒木馬的侵襲，一旦變成傀儡主機(jī)，就可能成為潛在的安全威脅節(jié)點(diǎn)。通過(guò)部署NSP系統(tǒng)可以及時(shí)發(fā)現(xiàn)異常行為的終端，例如惡意掃描網(wǎng)絡(luò)；攻擊本地終端和服務(wù)器行為；頻繁猜測(cè)AD密碼；消耗廣域網(wǎng)帶寬；快速定位中病毒終端；發(fā)現(xiàn)僵尸網(wǎng)絡(luò)流量。及時(shí)發(fā)現(xiàn)和處理有異常行為。對(duì)于各級(jí)分支機(jī)構(gòu)，我們建議通過(guò)一臺(tái)NS-5X00設(shè)備監(jiān)控辦公區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)和生產(chǎn)外聯(lián)區(qū)。此處補(bǔ)充網(wǎng)絡(luò)拓?fù)鋱D保護(hù)生產(chǎn)區(qū)的重要應(yīng)用，抵御來(lái)自內(nèi)部終端的攻擊，監(jiān)控和防御高風(fēng)險(xiǎn)攻擊以及注入攻擊行為；檢測(cè)生產(chǎn)區(qū)服務(wù)器的向外的惡意行為，提前發(fā)現(xiàn)服務(wù)器的異常通訊（惡意通訊）；密切關(guān)注生產(chǎn)區(qū)內(nèi)部安全情況，檢測(cè)數(shù)據(jù)中心網(wǎng)絡(luò)通訊，及時(shí)發(fā)現(xiàn)惡意流量，及時(shí)發(fā)現(xiàn)數(shù)據(jù)中心的異常惡意流量，及時(shí)控制和清除肉機(jī),避免服務(wù)器被大規(guī)模入侵，避免從內(nèi)部引發(fā)大規(guī)模的DoS攻擊（如ARP攻擊）。辦公區(qū)的終端比較容易遭受基于零日攻擊的病毒木馬的侵襲，比如辦公終端上網(wǎng)不注意帶來(lái)的間諜軟件、木馬軟件、惡意插件等等問(wèn)題非常普遍。一旦變成傀儡主機(jī)，就可能成為潛在的安全威脅節(jié)點(diǎn)。通過(guò)部署NSP系統(tǒng)可以及時(shí)發(fā)現(xiàn)異常行為辦公的終端，例如惡意掃描網(wǎng)絡(luò)；攻擊本地終端和服務(wù)器行為；頻繁猜測(cè)AD密碼；消耗廣域網(wǎng)帶寬：快速定位中病毒終端；發(fā)現(xiàn)僵尸網(wǎng)絡(luò)流量。及時(shí)發(fā)現(xiàn)和處理有異常行為?；ヂ?lián)網(wǎng)是高風(fēng)險(xiǎn)區(qū)域，通過(guò)部署NSP系統(tǒng)，可以保護(hù)內(nèi)部的重要應(yīng)用；抵御來(lái)自互聯(lián)網(wǎng)的攻擊；監(jiān)控并防御高風(fēng)險(xiǎn)攻擊以及注入攻擊行為；檢測(cè)所有從服務(wù)器向外的惡意行為，提前發(fā)現(xiàn)服務(wù)器的異常通訊（惡意通訊）。3.2.2分布式部署和集中管理平臺(tái)分布式部署架構(gòu)XXXX總部和各分支機(jī)構(gòu)部署NSP設(shè)備。目前總部和分支之間的網(wǎng)絡(luò)帶寬是XMbps左右，管理服務(wù)器如集中部署在總部，則NSP和NSM之間的網(wǎng)絡(luò)通訊會(huì)影響生產(chǎn)網(wǎng)絡(luò)帶寬。因此方案在總部部署2臺(tái)NSM管理服務(wù)器（主備模式），而各分支機(jī)構(gòu)部署獨(dú)立的NSM管理服務(wù)器。設(shè)計(jì)的分布式部署架構(gòu)有如下優(yōu)勢(shì)：1、系統(tǒng)維護(hù)管理的權(quán)限下發(fā)給了各一級(jí)分支機(jī)構(gòu)的管理員，管理員可以第一時(shí)間響應(yīng)處理網(wǎng)絡(luò)中出現(xiàn)的安全威脅，；2、網(wǎng)絡(luò)監(jiān)控Sensor與管理服務(wù)器處于同一網(wǎng)路中，不會(huì)對(duì)專線生產(chǎn)網(wǎng)有任何帶寬方面的影響。此處補(bǔ)充網(wǎng)絡(luò)拓?fù)鋱D總部管理服務(wù)平臺(tái)的高可用設(shè)計(jì)總部數(shù)據(jù)中心（XX或XX）,我們建議部署2臺(tái)NSM管理服務(wù)器（主備方式）以實(shí)現(xiàn)高可用性和高可靠性。（l）NSP安全管理系統(tǒng)（NSM）通過(guò)Active/Standby主備管理服務(wù)器技術(shù)提供了連續(xù)的，高可用性的管理平臺(tái)；（2）自動(dòng)失效故障切換和故障恢復(fù)技術(shù)允許在關(guān)鍵配置數(shù)據(jù)出現(xiàn)失效事件時(shí)可獲得災(zāi)難恢復(fù)；?甚至在發(fā)生災(zāi)難或系統(tǒng)失效時(shí)，也能確保關(guān)鍵網(wǎng)絡(luò)保護(hù)的連續(xù)性?支持共同災(zāi)難恢復(fù)策略，允許HA部署在備選數(shù)據(jù)中心Sensorsinthedeployment此外，根據(jù)XXXX在該項(xiàng)目的管理規(guī)劃目標(biāo)，確?？傂械木W(wǎng)絡(luò)管理員能夠通過(guò)一個(gè)集中監(jiān)控的管理平臺(tái)，有效監(jiān)控各級(jí)分支機(jī)構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀，全方位掌控和管理全行安全威脅、，方案將在XX數(shù)據(jù)中心部署1臺(tái)專用的NSM統(tǒng)一管理平臺(tái)即中央管控平臺(tái)(CentralManagement)服務(wù)器，用以收集各級(jí)分支機(jī)構(gòu)IDS設(shè)備的網(wǎng)絡(luò)安全日志、做相應(yīng)的日志分析和關(guān)聯(lián)分析，以及全行的安全策略的部署和調(diào)整。此處補(bǔ)充網(wǎng)絡(luò)拓?fù)鋱D2.2.4攻擊簽名庫(kù)更新升級(jí)方案Xxxx的NSP針對(duì)網(wǎng)絡(luò)攻擊檢測(cè)有多種技術(shù)，其中簽名庫(kù)需要定期升級(jí)，為了保障簽名庫(kù)升級(jí)后系統(tǒng)的穩(wěn)定運(yùn)行，我們建議采用試點(diǎn)升級(jí)然后全行推廣的方式，具體步驟如下：XX數(shù)據(jù)中心管理運(yùn)維人員確認(rèn)最新簽名庫(kù)的版本，與Xxxx售后人員確認(rèn)并獲取升級(jí)建議。XX數(shù)據(jù)中心管理運(yùn)維人員手工下載最新簽名庫(kù)，并在試點(diǎn)設(shè)備上升級(jí)。建議選擇XX數(shù)據(jù)中心監(jiān)控辦公網(wǎng)的NS-7X00和研發(fā)中心的NS-5X00,如果二級(jí)分支機(jī)構(gòu)部署有NS-5X00,則選擇一家二級(jí)分支機(jī)構(gòu)。待升級(jí)簽名庫(kù)試運(yùn)行正常后，在全行推廣簽名庫(kù)的升級(jí)。此處補(bǔ)充網(wǎng)絡(luò)拓?fù)鋱D

4Xxxx方案的設(shè)備型號(hào)及管理平臺(tái)4.1推薦型號(hào)在本方案中，部署在XX數(shù)據(jù)中心、XX數(shù)據(jù)中心、成都數(shù)據(jù)中心的設(shè)備型號(hào)是XxxxNSPM-7X00；部署在研發(fā)中心、各分支機(jī)構(gòu)的設(shè)備型號(hào)是NS-XXXX。設(shè)備型號(hào)及配置的數(shù)量統(tǒng)計(jì)表位置說(shuō)明模塊數(shù)量XX數(shù)據(jù)中心設(shè)備型號(hào)NS-XXXXX交流冗余電源MFENetSecRedundantPwrSupplyX千兆電口模塊1000BTXminiGBIntrfcConv(SFP)CopperX萬(wàn)兆光口模塊OptionalXFPGbic(850nm)OptionalXFPGbic(1310nm)OptionalLong-rangeXFPGbic(1550nm)XXX數(shù)據(jù)中心管理服務(wù)器NSMX統(tǒng)一管理平臺(tái)CentralManager1設(shè)備型號(hào)NS-7X00X交流冗余電源MFENetSecRedundantPwrSupplyX千兆電口模塊1000BTXminiGBIntrfcConv(SFP)CopperX萬(wàn)兆光口模塊OptionalXFPGbic(850nm)OptionalXFPGbic(1310nm)OptionalLong-rangeXFPGbic(1550nm)X研發(fā)中心管理服務(wù)器NSM1

設(shè)備型號(hào)NS-5x00X交流冗余電源MFENetSecRedundantPwrSupplyX分支機(jī)構(gòu)管理服務(wù)器NSMX設(shè)備型號(hào)NS-5x00X交流冗余電源MFENetSecRedundantPwrSupplyX2方案中XxxxNSP設(shè)備型號(hào)介紹NetworkSecurityPlatformSpecifications總體性能大型ssla型吞(■于■人筋ssl■望團(tuán)少于行大髭■文件■或千兆位以大■線■口（內(nèi)。野第）叩)口伊“幼■定的以太網(wǎng)22(煲并■).嫩(復(fù)弁tt).充■笑開*.(內(nèi)關(guān)開放)■■內(nèi)■關(guān)開放)■可達(dá)■口■<□網(wǎng)WS外寸機(jī)基安■式英寸襄寸（聞 機(jī)餐安式英寸機(jī)■安裝式黃寸英寸（卻 英寸寸國(guó)mo■大功央可建可逸切逸冗余電!!再逸可逸用套電源M大)；聞■所■■閑■的大)(ITjMICBK)中面臺(tái)法住用的寤念絡(luò)含城中灣際）

pmi'傳件幽件晶體性罐■大吞吐■字節(jié)貌包）■■可達(dá)育可達(dá)■大并行霆報(bào)妙連搔在吞吐■■大計(jì)■導(dǎo)入的少于少于■館》統(tǒng)的勤■大配■文件敏aclwwb定千兆位以太網(wǎng)-（■口（內(nèi)故*先引國(guó)定1GisE(SFP)口（紳部"功式放皆鼎看件支拘）2用定的以太同一網(wǎng)絡(luò)網(wǎng)絡(luò)—以太網(wǎng)一一以太網(wǎng)■■■應(yīng)口管理口物理約觀尺寸機(jī)架安裳式英寸（寞）英寸英寸機(jī)弟安裝式英寸（克）英寸英寸■229.229.存催固毒■大功改意流電可選可逢元余電國(guó)建電?at（工作狀壬）,（多工作狀布）的對(duì)度（無(wú)冷■）工作時(shí)落工作時(shí)。到英尺安全認(rèn)證許可和網(wǎng)皆，0臺(tái)才虛了各個(gè)0家構(gòu)地區(qū)的■鼻.(美國(guó)).(加拿大)(國(guó)際通用)(歐，).

傳■■■件件住總體性健■大吞吐，字節(jié)立盤包）喜可達(dá)育可達(dá)■大井行連接依罐按跑吞吐■（基于雙流）—一■大泳計(jì)?！獙?dǎo)入的一一少于■孤弊系統(tǒng)的》■■大配文件口■速千兆位以太網(wǎng)■微■口（內(nèi)■被）一動(dòng)式故旁毫套件支畀）—定的以太網(wǎng)一一一—以太網(wǎng)——以太同—一存他端口物理第觀尺寸機(jī)架安矍式英寸（宜）英寸（）其寸（手）機(jī)梁安裝式英寸英寸（*）英寸（蹲）?■存儲(chǔ)■大功■流電冗余電——壬（工作狀冷）(*工作狀時(shí)遭及（無(wú)冷■）工作時(shí)，工作時(shí)MIX*英尺安全認(rèn)證許可相報(bào)者.球臺(tái)號(hào)直了昌個(gè)家相"息的■鼻.(貴國(guó))（加大）《■歸通用）4.3XX數(shù)據(jù)中心NSM服務(wù)器配置建議NSM管理平臺(tái)Windows、Linux系統(tǒng)，可以運(yùn)行在VMware平臺(tái)中，我們建議的配置如下：系統(tǒng)：WindowsServer2012R2StandardEnglishVersion或XxxxLinuxOperationSystem內(nèi)存：32GBCPU：IntelXeon2.8GHz2Processor硬盤：2x300GBSAS3.5(RAID-1)網(wǎng)卡：2個(gè)千兆位以太網(wǎng)卡4統(tǒng)一管理服務(wù)器CentralManager配置建議NSM管理平臺(tái)采用Windows系統(tǒng)，可以運(yùn)行在VMware平臺(tái)中,我們建議的配置如下：系統(tǒng)：WindowsServer2012R2StandardEnglishVersion或XxxxLinuxOperationSystem內(nèi)存：32GBCPU：IntelXeon2.8GHz2Processor硬盤：2x600GBSAS3.5(RAID-1)網(wǎng)卡：2個(gè)千兆位以太網(wǎng)卡XxxxNSP介紹1XxxxNSP設(shè)備Xxxx充分分析了各種最新的安全風(fēng)險(xiǎn)，對(duì)于組織在網(wǎng)絡(luò)層面所需要進(jìn)行的安全防護(hù)功能進(jìn)行了深入的研究，從而推出了新一代的網(wǎng)絡(luò)安全平臺(tái)：XxxxNetworkSecurityPlatform。XxxxNSP是全球領(lǐng)先的網(wǎng)絡(luò)安全威脅保護(hù)平臺(tái)，它能夠?qū)Ω鞣N流行的已知攻擊、針對(duì)最新漏洞的未知攻擊進(jìn)行有效阻斷，對(duì)于網(wǎng)絡(luò)管理員頭疼的拒絕服務(wù)攻擊進(jìn)行有效防御，并且集成了網(wǎng)絡(luò)惡意代碼防護(hù)能力。通過(guò)這一平臺(tái)，可以應(yīng)對(duì)組織所面臨的各種網(wǎng)絡(luò)安全威脅、，有效地幫助組織保護(hù)其信息資產(chǎn)的安全。Xxxx網(wǎng)絡(luò)安全平臺(tái)系統(tǒng)由傳感器(Sensor),管理器(Manager)兩部分組成。傳感器組件即Xxxx網(wǎng)絡(luò)安全平臺(tái)硬件設(shè)備，所有的Xxxx傳感器均通過(guò)后臺(tái)的NetworkSecurityManager(NSM)統(tǒng)一進(jìn)行管理。檢測(cè)到的安全事件一般以日志方式存放在NSM數(shù)據(jù)庫(kù)中。除了常規(guī)的入侵特征庫(kù)以外，XxxxNSP還采用了多達(dá)7種不依賴于特征的檢測(cè)技術(shù)，可以高效應(yīng)對(duì)各類已知和未知的攻擊和惡意代碼。XxxxNSP可以根據(jù)用戶的要求，靈活地部署在核心網(wǎng)絡(luò)、網(wǎng)關(guān)或內(nèi)部網(wǎng)絡(luò)中，XxxxNSP包括入侵防護(hù)功能(IPS)、拒絕服務(wù)攻擊防護(hù)以及高級(jí)惡意代碼防護(hù)功能，可以前瞻性地防護(hù)骨干網(wǎng)絡(luò)區(qū)域、重要服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)不受各種攻擊、木馬、僵尸網(wǎng)絡(luò)、蠕蟲病毒、惡件、拒絕服務(wù)攻擊、加密攻擊等威脅的影響。此外，XxxxNSP也可以其他主要的安全技術(shù)進(jìn)行整合，以進(jìn)一步提升網(wǎng)絡(luò)防護(hù)等級(jí)。如和Xxxx業(yè)界領(lǐng)先的VulnearbilityManager漏洞掃描產(chǎn)品進(jìn)行互動(dòng)，可以充分分析攻擊的有效性，免除管理員在數(shù)量眾多攻擊事件中尋找需要進(jìn)一步關(guān)注或處理的攻擊跡象。而和Xxxx的網(wǎng)絡(luò)行為分析(NTBA)產(chǎn)品進(jìn)行互動(dòng)，可以在發(fā)現(xiàn)流量異常時(shí)，通過(guò)XxxxNSP進(jìn)行流量清洗，充分結(jié)合流(Flow)層面和數(shù)據(jù)包(Packet)層面的分析和防護(hù)功能，提供宏觀和具體的不同視圖，保證組織網(wǎng)絡(luò)的健康有序。下面是NSP基本功能的簡(jiǎn)介。防御APT：NetworkSecurityPlatform會(huì)深入檢測(cè)流量中是否有惡意文件下載和僵尸程序。它將使用多種惡意軟件掃描選項(xiàng)來(lái)提供高級(jí)惡意軟件保護(hù)，其中包括嵌入式PDF仿真器，該工具可以檢查PDF下載中是否有零日java腳本威脅。它還會(huì)在NTBAappliance云中進(jìn)行分析的潛在惡意文件。然后，系統(tǒng)將在虛擬環(huán)境中執(zhí)行提交的文件。為了檢測(cè)僵尸程序，NetworkSecurityPlatform會(huì)在給定的時(shí)間段內(nèi)觀察主機(jī)，將不同流中的多個(gè)攻擊關(guān)聯(lián)起來(lái)。它還可以將攻擊信息轉(zhuǎn)發(fā)至NTBAAppliance,以便建立類似的關(guān)聯(lián)。NetworkSecurityPlatform會(huì)通過(guò)基于閾值和基于自學(xué)配置文件的檢測(cè)技術(shù)來(lái)檢測(cè)DoS和DDoSo此外，它還提供連接限制功能，可以限制主機(jī)能夠建立的連接數(shù)目。保護(hù)Web應(yīng)用程序：NetworkSecurityPlatform提供各種功能來(lái)保護(hù)您的Web應(yīng)用程序服務(wù)器。例如，它采用啟發(fā)式引擎來(lái)檢測(cè)SQL注入。NetworkSecurityPlatform可以檢查HTTP響應(yīng)以確保您的服務(wù)器未受侵害。如果您可以導(dǎo)入服務(wù)器的私鑰，則NetworkSecurityPlatformSensor將可以解密和分析SSL流量。檢測(cè)后，它將重新為流量加空應(yīng)用程序識(shí)別：NetworkSecurityPlatform可以識(shí)別遍歷網(wǎng)絡(luò)的應(yīng)用程序并根據(jù)您的配置對(duì)其執(zhí)行操作。因此，您可以允許或阻止您網(wǎng)絡(luò)上的特定應(yīng)用程序或應(yīng)用程序功能。例如，您可以阻止您網(wǎng)絡(luò)中騰訊QQ的連接，同時(shí)允許所有其他HTTP流量。識(shí)別用戶和用戶組：NetworkSecurityPlatform與XxxxLogonCollector集成以識(shí)別網(wǎng)絡(luò)中的WindowsAD用戶及其所屬的用戶組。這意味著您現(xiàn)在可以基于用戶，而非其IP地址（并不一定可靠）進(jìn)行控制。另外，動(dòng)態(tài)IP地址可能會(huì)因?yàn)橛脩羰菑霓k公室還是辦公室外部連接而有所不同。新一代IPS功能：NetworkSecurityPlatform提供如內(nèi)部防火墻和QoS等新一代IPS功能。您可以為不同網(wǎng)段創(chuàng)建不同的防火墻規(guī)則。您可以基于支持IPv6的傳統(tǒng)5元組創(chuàng)建規(guī)則。此外，您也可以基于應(yīng)用程序、應(yīng)用程序功能、WindowsAD用戶數(shù)據(jù)、地理位置和時(shí)間創(chuàng)建規(guī)則。這使您能夠控制網(wǎng)絡(luò)用戶的權(quán)限，不管他們是從家里、機(jī)場(chǎng)還是辦公室登錄。在檢查流量中是否有攻擊之前，Senor會(huì)先根據(jù)防火墻規(guī)則對(duì)其進(jìn)行評(píng)估。因此,您可以使用此功能來(lái)過(guò)濾必須檢測(cè)是否存在攻擊的流量。您可以基于與防火墻創(chuàng)建類似的條件創(chuàng)建QoS規(guī)則。這些規(guī)則可確保所需的網(wǎng)絡(luò)帶寬始終可用于您的業(yè)務(wù)應(yīng)用程序，并且不會(huì)被其他應(yīng)用程序（如社交網(wǎng)絡(luò)或視頻流處理應(yīng)用程序）消耗。生的風(fēng)險(xiǎn)。它將與XxxxePO和NTBA集成以識(shí)別網(wǎng)絡(luò)中每臺(tái)主機(jī)的設(shè)備類型和操作系統(tǒng)?，F(xiàn)在，您就可以知道網(wǎng)絡(luò)中的設(shè)備的類型。如果特定主機(jī)成為攻擊目標(biāo)，您也可以根據(jù)設(shè)備類型和操作系統(tǒng)評(píng)估該攻擊是否會(huì)產(chǎn)生影響。結(jié)合E1A,NSP能夠了解網(wǎng)絡(luò)流量和主機(jī)進(jìn)程的關(guān)聯(lián)關(guān)系，對(duì)網(wǎng)絡(luò)入侵進(jìn)行更加的準(zhǔn)確識(shí)別。云計(jì)算和虛擬化網(wǎng)絡(luò)安全防護(hù):NSP可以作為vNSP虛擬設(shè)備模式部署在VMwareESX±,對(duì)虛擬機(jī)之間的流量進(jìn)行檢測(cè)和攻擊攔截。vNSP還可以結(jié)合NSX實(shí)現(xiàn)將網(wǎng)絡(luò)入侵防護(hù)進(jìn)行靈活的資源調(diào)度?；谠频腎P和文件信譽(yù):為了保護(hù)您的網(wǎng)絡(luò)不受已知和近零日惡意軟件攻擊,NetworkSecurityPlatform已與XxxxGlobalThreatIntelligence集成。它可以檢查電子郵件、URL或文件是否為已知惡意軟件。它還可以在外部主機(jī)嘗試與網(wǎng)絡(luò)上的主機(jī)通信時(shí)檢查IP地址和端口的組合的信譽(yù)。2統(tǒng)一管理平臺(tái)(CentralManager)介紹XxxxNetworkSecurityCentralManager(CentralManager)允許用戶創(chuàng)建管理層次結(jié)構(gòu)，以跨多個(gè)XxxxNetworkSecurityManager集中創(chuàng)建、管理和分配策略。例如，可以在CentralManager中創(chuàng)建策略，并在添加到該CentralManager的所有XxxxNetworkSecurityManager(Manager)之間同步此策略。這樣可以避免在每個(gè)Manager上手動(dòng)自定義策略。CentralManager管理配置并將其全面推送到Managero配置將通過(guò)Manager間接推送到Sensoro假定您負(fù)責(zé)管理大型跨國(guó)公司中的全局安全操作。您希望將特定安全功能(包括IPS)的管理委托給公司的地區(qū)機(jī)構(gòu)，而地區(qū)機(jī)構(gòu)由專門的安全人員進(jìn)行管理。因此，您的目標(biāo)是在總部建立可以推送到每個(gè)區(qū)域的主IPS安全策略。McAfee更新服務(wù)看CentralManagerMcAfee更新服務(wù)看CentralManager在此情況下，您可以在總部使用CentralManager并為每個(gè)區(qū)域部署專用的Managero在使用CentralManager時(shí)，您的地區(qū)Manager可以添加自己的地區(qū)特定規(guī)則，但不能修改由CentralManager建立的任何配置。每個(gè)Manager都處理NetworkSecuritySensor的日常設(shè)備操作和事件管理。3NSP的優(yōu)勢(shì)3.1公司實(shí)力Xxxx是全球最大的專注與網(wǎng)絡(luò)安全的公司，擁有完整的從終端、網(wǎng)絡(luò)、內(nèi)容、移動(dòng)、合規(guī)性產(chǎn)品等解決方案。Xxxx的IPS超越了傳統(tǒng)的IDS/IPS提供了更復(fù)雜全面的安全解決方案，能夠整合其它Xxxx的產(chǎn)品：ePO；AdvancedThreatDetection,ThreatIntelligenceExchange,GTI等等。Xxxx擁有一個(gè)世界級(jí)的的GTI云安全技術(shù)，利用其廣泛的用戶群足跡實(shí)現(xiàn)云安全。3.2非特征檢測(cè)方式XxxxNSP提供多達(dá)七種不基于特征碼的方式進(jìn)行安全檢測(cè)的技術(shù)，從而保護(hù)網(wǎng)絡(luò)免受APT攻擊。經(jīng)第三方安全測(cè)試機(jī)構(gòu)AV-test測(cè)試，在關(guān)閉全部特征庫(kù)的情況下，僅僅依靠這七類引擎，NSP就可以檢測(cè)到99.98%的入侵和網(wǎng)絡(luò)惡意代碼行為。深度文件分析實(shí)時(shí)模擬引擎?網(wǎng)絡(luò)行為分析復(fù)雜僵尸檢測(cè) O0端點(diǎn)智能代理& 0?全球威脅智能感知高級(jí)威脅防護(hù)?全球威脅智能感知 NETWORKSECURITYPLATFORMXxxxNSP體系結(jié)構(gòu)提供了業(yè)界最為先進(jìn)、最為全面的異常檢測(cè)方法一集成了針對(duì)統(tǒng)計(jì)數(shù)據(jù)、協(xié)議及應(yīng)用程序的異常檢測(cè)技術(shù)。異常/未知攻擊的例子包括新的蠕蟲、蓄意的隱性攻擊、以及現(xiàn)有攻擊在新環(huán)境下的變種。異常檢測(cè)技術(shù)也有助于攔截拒絕服務(wù)攻擊（觀察服務(wù)質(zhì)量的變動(dòng)）和分布式DoS攻擊（XxxxNSP系統(tǒng)利用流量樣式變動(dòng)（例如TCP控制

數(shù)據(jù)包的統(tǒng)計(jì)數(shù)據(jù))來(lái)決定是否即將發(fā)生海量的數(shù)據(jù)流)。我們將在下面的部分具體討論拒絕服務(wù)攻擊。?XxxxNSP體系結(jié)構(gòu)的異常檢測(cè)技術(shù)還能夠針對(duì)其它威脅提供保護(hù)，這包括：緩沖區(qū)溢出攻擊、由木馬程序或內(nèi)部人員安裝的“后門”或惡意攻擊、利用低頻率進(jìn)行的隱性掃描攻擊、通過(guò)網(wǎng)絡(luò)中的多個(gè)發(fā)送點(diǎn)傳送表面正常的數(shù)據(jù)包。3.3與XXXX現(xiàn)有終端管理平臺(tái)EPO集成XxxxNSP管理平臺(tái)可以直接和ePO集成，提高網(wǎng)絡(luò)安全管理的效率。XxxxNSP提供良好的兼容性，并且提供開放的數(shù)據(jù)庫(kù)，可以和現(xiàn)有的信息安全管理平臺(tái)ePO實(shí)現(xiàn)整合和威脅主機(jī)信息查詢和安全事件關(guān)聯(lián)，包括：(1)實(shí)時(shí)查詢威脅主機(jī)相關(guān)運(yùn)行信息；(2)報(bào)警上報(bào)，使得信息安全管理平臺(tái)可以整合網(wǎng)絡(luò)邊界的各類安全預(yù)警信息;(3)報(bào)表提交，為信息安全管理平臺(tái)提供周全的各項(xiàng)數(shù)據(jù)；：((：((IP實(shí)時(shí)查詢威脅主機(jī)相關(guān)運(yùn)行信息通過(guò)XxxxNSP和XxxxNAC管理平臺(tái)即ePO的整合，管理員可以在第一時(shí)間知道被攻擊主機(jī)的詳細(xì)信息，包括：機(jī)器名、補(bǔ)丁狀況、安全產(chǎn)品狀態(tài)等。5.3.4NGIPS新技術(shù)Xxxx致力于發(fā)展下一代入侵防御技術(shù)(NGIPS),依托GTI這樣的全球信譽(yù)庫(kù)，Xxxx在NSP產(chǎn)品線上實(shí)現(xiàn)了文件信譽(yù)、IP信譽(yù)、URL信譽(yù)的多種識(shí)別和攔截手段。應(yīng)用庫(kù)支持上，Xxxx有了自己的AppPrism庫(kù)，目前支持超過(guò)1100多種應(yīng)用。TippingPoint的AppDV目前只能支持500多種應(yīng)用。Xxxx能夠提供NGIPS標(biāo)準(zhǔn)需要的收集網(wǎng)絡(luò)設(shè)備的Flow信息，通過(guò)比對(duì)分析歷史數(shù)據(jù)進(jìn)行異常探測(cè)的NetworkThreatBehaviorAnalysis(NTBA)產(chǎn)品。并且虛擬機(jī)版本免費(fèi)提供給Xxxx的NSP的客戶。5.3.5云安全技術(shù)Xxxx在信息安全領(lǐng)域有最為廣泛的產(chǎn)品，并且研究廣泛的實(shí)時(shí)安全問(wèn)題。Xxxx的云安全系統(tǒng)從這些廣泛的研究和產(chǎn)品部署中不斷積累最新的安全威脅。這點(diǎn)是競(jìng)爭(zhēng)對(duì)手無(wú)法比擬的。XxxxIPS利用云安全，識(shí)別惡意的互聯(lián)網(wǎng)IP地址，惡意程序和URL等。防止用戶與惡意站點(diǎn)通訊及下載惡意軟件。Xxxx公司有最廣泛的安全產(chǎn)品，以及涉足最廣泛的安全領(lǐng)域的研究，其主要優(yōu)勢(shì)包括：＞探測(cè)器利用信譽(yù)值評(píng)估流量安全＞每月有數(shù)億的查詢量＞提供多種信譽(yù)值：文件，IP,URL,協(xié)議地理位置＞結(jié)合云安全與本地特征碼，提高檢測(cè)準(zhǔn)確率＞抵御DDoS攻擊和連接數(shù)限制5.3.6群集和擴(kuò)展能力10G網(wǎng)絡(luò)不斷增長(zhǎng)的勢(shì)頭也帶來(lái)了重大挑戰(zhàn)發(fā)展一一尤其是監(jiān)控高速、高容量環(huán)境下的關(guān)鍵流量。對(duì)大多數(shù)組織來(lái)說(shuō)，記錄和檢測(cè)網(wǎng)絡(luò)流量，防止威脅和數(shù)據(jù)泄露對(duì)合規(guī)性和安全都至關(guān)重要。但如此密集的壓力威脅影響并限制了進(jìn)行監(jiān)控的設(shè)備的效果：包括流量記錄器和入侵防御及檢測(cè)系統(tǒng)（IPS和IDS）。Xxxx可以利用第三方負(fù)載均衡設(shè)備，可以把流量分擔(dān)到多個(gè)IPS設(shè)備進(jìn)行攻擊檢測(cè),處理能力可以擴(kuò)展至300GbpsoLoadBalancer1回TW“I1Sensors11|||LoadBalancer2Agure1.LoadBalancerconfiguration支持更多的高可用部署模式，例如N+1冗余IPS設(shè)備。支持非對(duì)稱流量檢測(cè)。非對(duì)稱流量會(huì)自動(dòng)通過(guò)源IP和目的IP的組合的hash值分配到相應(yīng)的IPS設(shè)備進(jìn)行檢測(cè)。5.3.7全面支持IPv6目前NSP從威脅檢測(cè)到系統(tǒng)管理可以全面支持IPv6,如下是各功能項(xiàng)針對(duì)IPv6的支持情況。

Table1ListoffeaturesthatsupportIPv6AddressesFeatureSensorManagement?Softwareimageupload -SensoradministrationviaSSH?traceupload ?IPv6/IPv4dualstackYesYesYesManagerDisasterRecovery[MDR]YesYesYesUserauthenticationviaLDAP/RadiusYesYesYesThirdpartyintegrationSyslogforwarding ?EmailSNMPtrapforwardingYesYesYesCentralManagerYesYesYesSensorhighavailabilityYesYesYesAttackdetectionExploitattackdeteaionReconnaissanceattackdetectionYesYesYesFeature8.1839.1SSLdecryptionYesYesYesSVNcookiesYesYesYesPacketloggingYesYesYesMPLStrafficinspectionYesYesYesStatelessinspectionYesYesYesDNSDoSprotectionYesYesYesAlertthrottlingYesYesYesAccessControlLists/Firewallpolicies[classic(ACLs)andadvancedpolicies]YesYesYesFirewallPolicy-RequireAuthenticationaccessrulesYesYesYesFirewallPolicy-IPv6-basedruleobjectsYesYesYesFirewallPolicy-ConvertingclassicFirewallpoliciestoadvancedYesYesYesQualityofServicepolicies-QoSvs.TrafficManagementYesYesYesVirtualization(VIDS)basedonVLANtagsYesYesYesVirtualization(VIDS)basedonCIDRinterfacesNoNoNoCustomattacksYesYesYesSnortsignaturesYesYesYesSensorresponseaaionsQuarantine(Exceptremediation)TCPresetYesYesYesAttackfiltersYesYesYesCustomizedruleobjectsforattackfiltersYesYesYesSmartBlockingofattacksincludinguseofIPReputationtoaugmentSmartBlockingNoNoNo

TunnelingIPv6in IPv4 - GREwithIPv6IPv6in IPv6 - IPv6withMPLSIPv4in IPv6 ? IPv6withVLANIPv4in IPv4 ? IPv6indoubleVLANYesYesYesJumboframeparsingYesYesYesPacketcapturewithnon-IPaddressrulesYesYesYesVLANbridgingYesYesYesSensorperformancemonitoringYesYesYesTrafficManagementYesYesYesOSfingerprintingNANANAPassiveDeviceProfiling-HTTPYesYesYesPassiveDeviceProfiling-DHCPNoNoNoPassiveDeviceProfiling-SYNandSYN+ACKNANANAActiveDeviceProfilingNANANAScanningexceptionsNANANAFeatureIPspoofingNoNoNoARPspoofingprotectionNANANATACACS+NoNoNoDoS/DDoSdetectionNoNoNoThreatAnalyzerlaunchusingIPv6addressesYesNANAAlertrelevanceYesYesYesDeviceWizardNANANANetflowExporttoNetworkThreatBehaviorAnalysis[NTBA]NoNoNoIntegrationwithMcAfeeePolicyOrchestratorNoNoNoIntegrationwithMcAfeeHostIntrusionPreventionNoNoNoIntegrationwithMcAfeeVulnerabilityManagerNoNoNoIntegrationwithMcAfeeGlobalThreatIntelligence(GTI)forIPReputationNoNoNoIntegrationwithMcAfeeGTIforFileReputation(formerlyMcAfeeArtemis)NANANAGTIParticipation(Callback)NoNoNoIntegrationwithMcAfeeEndpointIntelligenceAgent(EIA)NoNoNoIntegrationwithMcAfeeLogonCollector(MLC)NoNoNoDisplayofusernamesusingMLCNoNoNoIntegrationwithMcAfeeAdvancedThreatDefenseformalwaredetectionNoNoNoSensortoAdvancedThreatDefensecommunicationNoNoNoApplicationDetectionandVisualizationYesYesYesCorrelationtodetectbotnetsinIPSandNTBAYesYesYesAdvancedbotnetdetectionincludingBotCommandandControlserveractivitydeteaionYesYesYesAdvancedMalwareProtection(PDFEmulation,GTIFileReputation,BlacklistandWhitellist,GatewayAnti-MalwareEnginerunningonNTBA,AdvancedThreatDefense)YesYesYes

NetworkForensicsNoNoNoHigh-riskHostsYesYesYesThreatExplorerYesYesYesAttackLogNAYesYesConnectionLimitingPoliciesforTCRUDPandICMPfullconnect:supportedforprotocolbasedrules-notforGTIbasedrulesYesYesYesLayer?protocolfieldcapturewhenreportingalerts:HTTPURI,FTPUsername,etc.YesYesYesProtectionofWebApplicationServers-HeuristicsbasedSQLInjectionYesYesYesWebserverprotectionagainstDoSattacksYesYesYesAdvancedTrafficInspection(Base64,Chunkeddecoding,DCERPCfragmentation,Hexencoding,PDFcompression)YesYesYesHitlessReboot[M<8000,M-6050,M-4050,M-3050]NANANAHitlessReboot[NS3xOO,NS5xOO,NS7x00,NS9xOO]YesYesYesEnhancedPolicyManagementtosupportlargesetsofpoliciesNANANAOBSSLandWhitelistingNANAYesSecureTransferofFilesfromSensorCLINANANAFeatureURLsintheThreatAnalyzerNANANASupportforHeterogeneousEnvironments(ExceptNTBA)YesYesYesPacketInspeaionofVinualMachinesYesYesYesMonitoringsubsaiberandRADIUSaccountingtrafficYesYesYesInspectionofGTPTunneledTrafficYesYesYesXCClustersupponYesYesYesInspectionofX-Forwarder-ForIPAddressinAlertsandResponseAaionsYesYesYesQuarantineofclientIPsinXFFheaderYesYesYesXFFforTrueclientIPYesYesYesPeriodicinlinerestorefrombypassmodeNANANAManagerSDKAPIRESTsupportYesYesYesStatelessaccessrulesYesYesYesSimulatedBlockingYesYesYesGranularaccesscontrolforCUcommands(forTACACSuser)NoNoNoLatencyMonitorNANANASNMPv2SupportYesYesYesNTPclientNoNONoDisplaySensorCLIauditlogeventsintheManagerYesYesYesDefaultIPfortheSensormanagementportNoNoNoTACACS*userinauditlogsNoNONoAuditLogforwardingusingSNMPv3YesYesYesInlinefail-openportpairenablingduringSensorbootupNANANASyslognotificationYesYesYesSupportfor256SSLcertifkatesNANANATrafficPrioritizationYesYesYesNon-standardportvalidationthroughsignaturesetNANANASensorautorecoveryNANANADirectsyslogforwardingforIPSattackeventsNoNoNo2048*bitcertificatesforencryptionYesYesYes6XxxxNSP功能介紹XxxxNSP是使用最前沿技術(shù)，能夠在關(guān)鍵系統(tǒng)受到攻擊之前阻止“網(wǎng)絡(luò)”入侵行為的產(chǎn)品。具有高自動(dòng)化和易管理性，設(shè)計(jì)靈活，能夠分階段執(zhí)行，克服了老舊入侵檢測(cè)系統(tǒng)中固有的誤報(bào)率，也使用戶能夠配置合適的策略，以阻止獨(dú)特IT基礎(chǔ)架構(gòu)中的攻擊。XxxxNSP基于完整的攻擊分析方法，并引入了業(yè)界最為全面的網(wǎng)絡(luò)攻擊特征檢測(cè)、異常檢測(cè)以及拒絕服務(wù)攻擊檢測(cè)技術(shù)，除了可以防御已知攻擊，還可以防御未知的蠕蟲、攻擊和后門程序，抵御拒絕服務(wù)攻擊等。6.1檢測(cè)及防御功能6.1.1網(wǎng)絡(luò)攻擊特征檢測(cè)為了實(shí)現(xiàn)高性能的網(wǎng)絡(luò)攻擊特征檢測(cè)，NSP體系結(jié)構(gòu)不僅采用了創(chuàng)新的專利技術(shù),而且集成了全面的狀態(tài)檢測(cè)引擎、完善的特征規(guī)范語(yǔ)言、“用戶自定義特征”以及實(shí)時(shí)特征更新，確保了NSP能夠提供并維護(hù)業(yè)界最為全面、更新最及時(shí)的攻擊簽名數(shù)據(jù)庫(kù)，目前簽名特征超過(guò)4500種，解碼協(xié)議超過(guò)106種。（1）特征規(guī)范語(yǔ)言NSP以專用的高水平特征規(guī)范語(yǔ)言為強(qiáng)大支持。NSP能夠從應(yīng)用程序軟件中分離出攻擊模式特征，在這個(gè)獨(dú)特的體系結(jié)構(gòu)中，將特征簡(jiǎn)單地轉(zhuǎn)換為表單項(xiàng)，從而可以通過(guò)直觀的用戶界面實(shí)現(xiàn)實(shí)時(shí)更新，并可被特征引擎立即使用。目前的IDS產(chǎn)品往往通過(guò)軟件“補(bǔ)丁程序”來(lái)提供新的特征，這不僅降低了部署速度（必須根據(jù)整個(gè)IDS軟件應(yīng)用程序進(jìn)行質(zhì)量保證），而且也不利于安裝（必須重新啟動(dòng)系統(tǒng)）。而NSP通過(guò)從傳感器軟件中分離攻擊模式特征，從而確保了高質(zhì)量的全新特征可以快速部署（無(wú)需重新啟動(dòng)系統(tǒng)）。同時(shí)，從傳感器應(yīng)用程序代碼中分離特征也使得特征編寫人員能夠?qū)⒕性谔卣骶帉懙摹百|(zhì)量”上，而無(wú)需考慮如何將特征構(gòu)建為應(yīng)用程序更新補(bǔ)丁。（2）全面的狀態(tài)特征檢測(cè)引擎NSP體系結(jié)構(gòu)的特征檢測(cè)引擎引入了強(qiáng)大的上下文敏感檢測(cè)技術(shù)，在數(shù)據(jù)包中充分利用了狀態(tài)信息，它通過(guò)使用多個(gè)令牌匹配來(lái)檢測(cè)超越了數(shù)據(jù)包界限的攻擊特征，或超出序列范圍的數(shù)據(jù)包流。（3）用戶自定義網(wǎng)絡(luò)攻擊特征NSP使得網(wǎng)絡(luò)安全工程師能夠通過(guò)一個(gè)創(chuàng)新性的圖形用戶界面（GUD來(lái)編寫自定義簽名，該界面能夠使用通過(guò)系統(tǒng)的協(xié)議分析功能所獲取的字段和數(shù)據(jù)，或者通過(guò)NSP的分析機(jī)制收集的狀態(tài)信息。（4）實(shí)時(shí)特征更新NSP提供的創(chuàng)新性實(shí)時(shí)特征更新極大地提升了管理軟件的性能，由Xxxx更新服務(wù)器提供的全新特征可以通過(guò)策略控制自動(dòng)發(fā)送到整個(gè)網(wǎng)絡(luò)，從而確保了新的特征一經(jīng)創(chuàng)建，網(wǎng)絡(luò)即可獲得最新的防護(hù)功能。NSP體系結(jié)構(gòu)還允許網(wǎng)絡(luò)工程師決定何時(shí)，以及是否在整個(gè)網(wǎng)絡(luò)中部署最新的簽名。NSP系統(tǒng)無(wú)需重新設(shè)置或重新啟動(dòng)任何硬件以便激活新的簽名，因此，它們能夠自動(dòng)地、實(shí)時(shí)地進(jìn)行部署。6.1.2異常檢測(cè)異常檢測(cè)技術(shù)為NSP體系全面的簽名檢測(cè)過(guò)程提供了完美的補(bǔ)充，異常檢測(cè)技術(shù)使得網(wǎng)絡(luò)工程師能夠?qū)ν话l(fā)威脅或首次攻擊進(jìn)行攔截，并創(chuàng)建出一套完整的“異常檔案”,從而保護(hù)網(wǎng)絡(luò)免受當(dāng)前威脅和未來(lái)攻擊的騷擾。NSP體系結(jié)構(gòu)提供了業(yè)界最為先進(jìn)、最為全面的異常檢測(cè)方法一集成了針對(duì)統(tǒng)計(jì)數(shù)據(jù)、協(xié)議及應(yīng)用程序的異常檢測(cè)技術(shù)。異常/未知攻擊的例子包括新的蠕蟲、蓄意的隱性攻擊、以及現(xiàn)有攻擊在新環(huán)境下的變種。異常檢測(cè)技術(shù)也有助于攔截拒