IPS整体解决方案.doc

国家电网公司 信息网络安全等级保护设备 IPS 入侵防护系统 解决方案建议书 目 录 1 典型网络风险分析 4 1 1 病毒 蠕虫泛滥 4 1 2 操作系统和应用软件漏洞隐患 4 1 3 系统安全配置薄弱 5 1 4 各种 DOS 和 DDOS 攻击的带来的威胁 5 1 5 与工作无关的网络行为 6 2 安全产品及解决方案效能分析 6 2 1 传统安全技术的薄弱之处 6 2 1 1 防火墙 7 2 1 2 入侵检测 7 2 1 3 补丁管理 7 2 2 入侵防御系统简介 8 3 领信信息安全保障解决方案介绍 9 3 1 领信信息安全保障体系 9 3 2 安氏领信入侵防御系统介绍 11 3 2 1 领信入侵防御系统主要功能 11 3 2 2 领信入侵防御系统产品特点 12 3 2 3 领信入侵防御系统支持的工作模式 14 3 2 4 入侵防御系统推荐部署流程 15 3 2 4 1 IPS 的学习适应期阶段 16 3 2 4 2 IPS 的 Inline 模式工作阶段 17 4 入侵防御系统部署建议 17 4 1 系统组件说明 17 4 1 1 集中部署方式 18 4 1 2 分布部署方式 19 4 1 3 部署准备 20 4 2 边界防护部署 21 4 3 重点防护部署 21 5 入侵防御系统安全策略配置与应用 22 6 项目过渡方案及应急预案 23 6 1 过渡方案 23 6 2 应急预案 24 7 工程实施方案 25 7 1 分工界面 25 7 2 工程设计 26 7 3 产品生产及出厂验收 26 7 4 设备运输 包装与到货安排 26 7 5 到货验收 27 7 6 安装调试及系统集成 28 7 7 系统测试 28 7 8 初步验收 28 7 9 系统试运行 28 7 10 最终验收 28 7 11 工程实施进度表 29 8 系统验收测试计划 30 8 1 系统上线测试 30 8 2 用户管理功能 31 8 3 引擎工作模式配置 31 8 4 组件管理 31 8 5 策略配置 32 8 6 威胁事件收集显示 32 8 7 攻击检测能力 33 8 8 系统升级能力 33 8 9 日志报表 34 1 典型网络风险分析 通过对大量企业网络的安全现状和已有安全控制措施进行深入分析 我们 发现很多企业网络中仍然存在着大量的安全隐患和风险 这些风险对企业网络 的正常运行和业务的正常开展构成严重威胁 主要表现在 1 1 病毒 蠕虫泛滥 目前 企业网络面临的病毒 蠕虫威胁具有传播速度快 范围广 破坏性 大 种类多 变化快等特点 即使再先进的防病毒软件 入侵检测技术也不能 独立有效的完成安全防护 特别是对新类型新变种的防护技术总要相对落后于 新病毒 新蠕虫的入侵 病毒 蠕虫很容易通过各种途径侵入企业的内部网络 除了利用企业网络 安全防护措施的漏洞外 最大的威胁却是来自于网络用户的各种危险的应用 不安装杀毒软件 安装杀毒软件但未能及时升级 网络用户在安装完自己的办 公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中 特别是 INTERNET 移动用户计算机连接到各种情况不明网络环境后 在没有 采取任何措施情况下又连入企业网络 终端用户在使用各种数据介质 软件介 质时都可能将病毒 蠕虫在不知不觉中带入到企业网络中 给企业信息基础设 施 企业业务带来无法估量的损失 1 2 操作系统和应用软件漏洞隐患 企业网络多由数量庞大 种类繁多的软件系统组成 有系统软件 数据库 系统 应用软件等等 尤其是存在于广大终端用户办公桌面上的各种应用软件 不胜繁杂 每一个软件系统都有不可避免的潜在的或已知的软件漏洞 每天软 件开发者都在生产漏洞 每时每刻都可能有软件漏洞被发现被利用 无论哪一 部分的漏洞被利用 都会给企业带来危害 轻者危及个别设备 重者漏洞成为 攻击整个企业网络的跳板 危及整个企业网络安全 即使安全防护已经很完备 的企业网络也会由于一个联网用户个人终端 PC 机存在漏洞而丧失其整体安全 防护能力 在与在与黑客的速度竞赛中 企业用户正处在越来越被动的地位 针对这些漏洞的补丁从补丁程序开发 测试 验证 再到最终的部署可能需要 几天甚至几十天时间 而黑客攻击的速度却越来越快 例如著名的 CodeRed 蠕 虫扩散到全球用了 12 个小时 而 SQL SLAMMER 感染全世界 90 有漏洞的机 器则只用了 10 分钟 1 3 系统安全配置薄弱 一个安全的网络应该执行良好的安全配置策略 例如 账号策略 审核策 略 口令策略 匿名访问限制 建立拨号连接限制策略等等 这些安全配置的 正确应用对于各种软件系统自身的安全防护的增强具有重要作用 但在实际的 网络环境中 这些安全配置却被忽视 尤其是那些网络的终端用户 从而导致 软件系统的安全配置 软肋 有时可能将严重的配置漏洞完全暴露给整个外部 使黑客可以长驱直入 1 4 各种 DoS 和 DDoS 攻击的带来的威胁 除了由于操作系统和网络协议存在漏洞和缺陷 而可能遭受攻击外 现在 IT 部门还会拒绝服务攻击 DoS 和分布式拒绝服务攻击 DDoS 的挑战 DOS 和 DDOS 攻击可以被分为两类 一种是利用网络协议的固有缺陷或实现 上的弱点来进行攻击 与漏洞攻击相似 这类供给典型的例子如 Teardrop Land KoD 和 Winnuke 对第一种 DOS 攻击可以通过打补丁的方 法来防御 但对付第二种攻击就没那么简单了 另一类 DOS 和 DDOS 利用看 似合理的海量服务请求来耗尽网络和系统的资源 从而使合法用户无法得到服 务的响应 DOS 和 DDOS 攻击会耗尽用户宝贵的网络和系统资源 使依赖计算机网络 的正常业务无法进行 严重损害企业的声誉并造成极大的经济损失 据 2004 美国 CSI FBI 的计算机犯罪和安全调研分析 DOS 和 DDOS 攻击已成为对企 业损害最大的犯罪行为 超出其他各种犯罪类型两倍 1 5 与工作无关的网络行为 权威调查机构 IDC 的统计表明 30 40 的工作时间内发生的企业员工 网络访问行为是与业务无关的 比如游戏 聊天 视频 P2P 下载等等 另一 项调查表明 1 3 的员工曾在上班时间玩电脑游戏 Emule BT 等 P2P 应用和 MSN QQ 等即时通信软件在很多网络中被不 加控制的使用 使大量宝贵的带宽资源被业务无关流量消耗 这些行为无疑会 浪费网络资源 降低劳动生产率 增加企业运营成本支出 并有可能因为不良 的网络访问行为导致企业信息系统被入侵和机密资料被窃 引起法律责任和诉 讼风险 2 安全产品及解决方案效能分析 2 1 传统安全技术的薄弱之处 当前随着网络软硬件技术的快速发展 网络信息安全问题日益严重 新的 安全威胁不断涌现 如蠕虫病毒肆意泛滥 系统漏洞层出不穷 漏洞利用 vulnerability exploit 的时间日益缩短 甚至可能出现零日攻击 zero day exploit 同时很多入侵和攻击由网络层逐渐向应用层发展 给检测和识别这些威胁带来了 困难 面临诸多安全问题 传统的安全产品和解决方案显示出其薄弱和不足之 处 2 1 1 防火墙 绝大多数人在谈到网络安全时 首先会想到 防火墙 防火墙目前已经得 到了广泛的部署 用户一般采用防火墙作为安全保障体系的第一道防线 防御 黑客攻击 但是 随着攻击者知识的日趋成熟 攻击工具与手法的日趋复杂多 样 单纯的防火墙已经无法满足企业的安全需要 传统防火墙的不足主要体现 在以下几个方面 防火墙作为访问控制设备 无法检测或拦截嵌入到普通流量中的恶意攻击 代码 比如针对 WEB 服务的 Code Red 蠕虫等 有些主动或被动的攻击行为是来自防火墙内部的 防火墙无法发现内部网 络中的攻击行为 2 1 2 入侵检测 入侵检测系统 IDS Intrusion Detection System 是近几年来发展起来的 一类安全产品 它通过检测 分析网络中的数据流量 从中发现网络系统中是 否有违反安全策略的行为和被攻击的迹象 它弥补了防火墙的某些缺陷 但随 着网络技术的发展 IDS 受到新的挑战 IDS 旁路在网络上 当它检测出黑客入侵攻击时 攻击已到达目标造成损 失 IDS 无法有效阻断攻击 比如蠕虫爆发造成企业网络瘫痪 IDS 无能为 力 蠕虫 病毒 DDoS 攻击 垃圾邮件等混合威胁越来越多 传播速度加快 留给人们响应的时间越来越短 使用户来不及对入侵做出响应 往往造成 企业网络瘫痪 IDS 无法把攻击防御在企业网络之外 2 1 3 补丁管理 补丁管理是重要的主动防御手段 但补丁管理同时也存在一些局限性 例如 1 对于某些操作系统 将不再能够获得厂商提供的支持 例如微软宣布将从 2006 年 7 月 11 日开始停止为多个老版本的 Windows 操作系统提供技术支持 这意味着全球将有超过 7000 万名 Windows 用户面临网络攻击和恶意代码的危 险 因为他们无法继续从微软获得安全更新 2 补丁从漏洞发现 操作系统开发补丁 测试补丁 发布补丁到用户接收补丁 局部更新测试补丁到大范围更新补丁需要一定的时间周期 即所谓空窗期 在 空窗期内用户的系统漏洞无法得到有效的防御 而恶意的程序和代码有可能利 用这段时间对系统造成破坏 3 某些系统和应用由于自身的原因 如非授权软件 程序冲突等等 不适合打 补丁 这样自身即使存在漏洞 也无法得到修复 针对以上技术和产品面对新的安全威胁所暴露出来的薄弱之处 作为有效的 整体安全体系的重要组成和有效补充 入侵防御系统 IPS Intrusion Prevention System 作为新一代安全防护产品应运而生 2 2 入侵防御系统简介 基于目前网络安全形势的严峻 入侵防御系统 IPS Intrusion Prevention System 作为新一代安全防护产品应运而生 入侵防御系统 IPS 提供一种主动的 实时的防护 其设计旨在对常规网络 流量中的恶意数据包进行检测 阻止入侵活动 预先对攻击性的流量进行自动 拦截 使它们无法造成损失 而不是简单地在监测到恶意流量的同时或之后发 出警报 IPS 是通过直接串联到网络链路中而实现这一功能的 即 IPS 接收到 外部数据流量时 如果检测到攻击企图 就会自动地将攻击包丢掉或采取措施 将攻击源阻断 而不把攻击流量放进内部网络 从 IPS 的工作原理来看 IPS 有几个主要的特点 为企业网络提供虚拟补丁 IPS 预先 自动拦截黑客攻击 蠕虫 网络病毒 DDoS 等恶意流量 使 攻击无法到达目的主机 这样即使没有及时安装最新的安全补丁 企业网络仍 然不会受到损失 IPS 给企业提供了时间缓冲 在厂商就新漏洞提供补丁和更 新之前确保企业的安全 提供流量净化 目前企业网络遭受到越来越多的流量消耗类型的攻击方式 比如蠕虫 病 毒造成网络瘫痪 BT 电驴等 P2P 下载造成网络带宽资源严重占用等 IPS 过 滤正常流量中的恶意流量 为网络加速 还企业一个干净 可用的网络环境 提供反间谍能力 企业机密数据被窃取 个人信息甚至银行账户被盗 令许多企业和个人蒙 受重大损失 IPS 可以发现并阻断间谍软件的活动 保护企业机密 总的来说 入侵防御系统 IPS 的设计侧重访问控制 注重主动防御 而不仅 仅是检测和日志记录 解决了入侵检测系统 IDS 的不足 为企业提供了一个全 新的网络安全保护解决方案 3 领信信息安全保障解决方案介绍 3 1 领信信息安全保障体系 信息安全是一条链 其强度取决于链上最弱的一环 著名安全专家 Bruce Schneier 语 这句话深刻阐明了整体安全的重要性 为了建设一个有效的安全 防御体系 就要从保护 检测 响应等多个环节以及网络和基础设施 网络边 界 终端环境等多个层次全面考虑 综合防范 这样才能提高网络整体的信息 安全保障能力 保证安全体系中不存在薄弱的环节 安氏领信基于对信息安全的深刻理解 以及多年的安全领域建设经验 总 结提炼出安氏独有的信息安全保障体系框架模型 该安全体系从保障对象 安 全需求 能力来源三个维度深刻揭示了信息安全保障的内涵 保障对象是信息安全建设要保护的目标 分成多个安全防御领域 包括 网络基础设施 网络边界 局域计算环境 支持性基础设施 安全需求包括信息的机密性 完整性 可用性 可控性 不可否认性等需 求 信息的机密性 完整性 可用性 可控性 不可否认性需求是信息安全的 基本属性 所有的安全技术和安全产品从本质来说都是为了满足被保护对象的 上述安全需求 为了有效的满足保障对象的安全需求 需要从人员 技术 管理等方面提 供安全保障能力 技术层面的安全保障能力源于业界所采用的各种安全产品和 技术 包括访问控制 入侵检测 入侵防御 弱点评估等等技术 安氏领信信息安全保障体系 ISAF 在安氏信息保障体系框架 ISAF 之下 安氏领信公司开发出一系列世界 领先的信息安全产品 包括防火墙 入侵检测 终端安全管理系统 统一威胁 管理系统入侵防御系统等等 提供强有力的技术手段 帮助用户构筑一个主动 的 深层的安全技术体系 从容应对来自网络外部和内部的 已知的和未知的 安全风险 保护信息资产的安全 以及企业业务的正常运营 安氏领信技术体系及对应防御领域 在领信安全保障体系中 入侵防御系统系统 IPS 占有重要的位置 它 可以根据用户的实际需求 部署在某些关键位置 如网关出口 内部服务器集 群 以及某些重要业务系统前端 起到实时检测和主动防御的效果 提高防御 性能 缩短响应时间 为网络提供强有力的保护 3 2 安氏领信入侵防御系统介绍 安氏领信入侵检测系统 Linktrust IPS 是安氏领信针对目前流行的蠕虫 病毒 间谍软件 垃圾邮件 DDoS 等黑客攻击 以及网络资源滥用 P2P 下 载 IM 即时通讯 网游等 等推出的全新安全防护方案 其具有先进的体系架 构并继承了安氏领信入侵检测系统先进的入侵检测技术 以全面深入的协议分 析技术为基础 结合协议异常检测 协议异常检测 关联分析形成的新一代检 测引擎 实时拦截数据流量中各种类型的恶意攻击流量 把攻击防御在企业网 络之外 保护企业的信息资产 3 2 1 领信入侵防御系统主要功能 领信入侵防御系统的主要功能可以总结为几个方面 如下图所示 具体功能阐述如下 阻止来自外部或内部的蠕虫 病毒和黑客等的威胁 确保企业信息资产的 安全 阻止间谍软件的威胁 保护企业机密 阻止企业员工因为各种 IM 即时通讯软件 网络在线游戏 P2P 下载 在线 视频导致的企业网络资源滥用而影响正常工作 净化流量 为网络加速 阻止 P2P 应用可能导致的企业重要机密信息泄漏和可能引发的与版权相关 的法律问题 实时保障企业网络系统 7x24 不间断运行 提高企业整体的网络安全水平 智能 自动化的安全防御 降低企业整体的安全费用以及对于网络安全领 域人才的需求 高效 全面的流量分析 事件统计 能迅速定位网络故障 提高网络稳定 运行时间 3 2 2 领信入侵防御系统产品特点 实时的主动防御 多种检测技术的结合使得 Linktrust IPS 可以预防多种已知和未知攻击 准确率保持在很高的水平 最小化人员干预 结合安氏领信的 SOC 系统可以使网络管理人员从大 量的事件分析工作中解脱出来 有效减轻攻击报警处理的压力 IPS 的检测模块与内置防火墙模块的完美集成使得产品具有更安全可靠 的防护能力 同时还可获得更强的访问控制功能和灵活性 准确的检测 防护 Linktrust IPS 基于状态的协议分析检测技术 流量和协议异常检测技术 基于漏洞存在的攻击检测技术 结合基于特征匹配的检测技术 极大地 提高检测的准确性 降低误报率 Linktrust IPS 独有的协议识别技术能够识别近 100 种包括后门 木马 IM 网络游戏在内的应用层协议 不仅可以更有效的检测通过动态端 口或者智能隧道等进行的恶意入侵 并且能更好的提高检测效率和准确 率 Linktrust IPS 出色的协议异常检测针对检测未知的溢出攻击与拒绝服务 攻 击 达到接近 100 的检测准确率和几乎为零的误报率 Linktrust IPS 能够有效防御拒绝服务攻击 DoS 阻止攻击者消耗网络 资源 中止服务 优异的产品性能 Linktrust IPS 专门设计了安全 可靠 高效的硬件运行平台 硬件平台 采用严格的设计和工艺标准 保证了高可靠性 独特的硬件体系结构大 大提升了处理能力 吞吐量 操作系统经过优化和安全性处理 保证系 统的安全性和抗毁性 Linktrust IPS 依赖先进的体系架构 高性能专用硬件 在实际网络环境 部署中性能表现优异 具有线速的分析与处理能力 高可靠 可扩展 Linktrust IPS 支持失效开放 Fail bypass 机制 当出现软件故障 硬 件故障 电源故障时 系统自动切换到直通状态以保障网络可用性 避 免单点故障 Linktrust IPS 支持双机热备 HA 不仅支持 Active Standby 主从热备 还支持 Active Active 对等热备 提供高可用性保障 Linktrust IPS 的工作模式灵活多样 支持 inline 主动防御 旁路检测 以及 bypass 方式 能够快速部署在几乎所有的网络环境中 强大的管理能力 全新的集中管理平台 Linktrust 安全防护中心 使得用户可操作性和方 便性都有了很大程度的提高 极易扩展的集中管理平台使得用户在升级网络时无需额外的投资 全中文图形化的操作界面 符合安氏领信产品操作简单灵活的传统 丰富 的报表格式 提供了多达 40 余种的统计报表模版 方便用户直观的了解网络安全状 况 提供了向导式的自定义报表功能 用户可以根据网络的实际情况制定出 符合自身需求的报表模版 3 2 3 领信入侵防御系统支持的工作模式 领信入侵防御系统产品支持 4 种工作模式 包括透明学习模式 服务保障 模式 强制防御模式 以及旁路模式 以适应不同的网络环境和不同的业务需 求 用户可以根据自身的安全需求灵活的进行选择和切换 其中 Passive 模式 相当于传统的 IDS 设备 我们重点关注的是其中的三种 Inline 模式 这些工作模式的定义如下 1 透明学习模式 Inline Bridging 该模式下引擎将根据安全策略对网络中 通过的数据进行检测 但是不会采取任何阻断或流量控制操作 这种模式主要 用于首次部署时对用户网络环境的学习与策略优化阶段 2 服务保障模式 Inline Fail passthrough 该模式下引擎将按照安全策略 对所有会话过程进行检测 并产生对不符合安全策略的内容进行告警和适当的 防御 当进入 IPS 引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制 的时延时 超时的数据包会被转发以保障服务的可用性 另外在一些特殊条件 下引擎也会采用透明转发或 Bypass 的方式保障服务可用性 这些可能的特殊 情况有 当引擎正处在 Reboot 或初始化过程中时 非 bypass 功能支持 当引擎正在执行 策略应用 命令 或正在编译签名时 非 bypass 功能支持 当引擎失去电源 或意外掉电时 该项需要网卡硬件支持 当出现任何硬件故障 导致引擎无法工作时 该项需要网卡硬件支持 当检测引擎由于某种原因而意外失效时 如 死机 系统崩溃等 该 项需要网卡硬件支持 数据转发延迟超时后数据直接被转发 非 bypass 功能支持 3 强制防御模式 Inline Fail severed 与服务保障模式的工作方式类似 引 擎会按照安全策略的要求对通信内容进行检测并作出反应 区别在于当进入 IPS 引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时 超 时的数据包会被丢弃以保障通信的安全性 在此模式下 bypass 功能将被禁用 4 旁路模式 Passive 传统 IDS 部署模式 采用旁路监听方式部属 3 2 4 入侵防御系统推荐部署流程 安氏领信提供一整套的入侵保护解决方案 具有良好可扩展性的 Linktrust IPS 的部署方式灵活多样 能够快速部署在几乎所有的网络环境中 实现从企 业网络核心至边缘及分支机构的全面保护 适用于不同环境不同企业的安全需 求 入侵防御系统通常部署在网络中的关键位置 这样对入侵防御系统自身的安 装配置提出了很高的要求 为了更好的让领信入侵防御系统适应用户的网络环境 发挥更高的防御能力 我们推荐用户将入侵防御系统的上线分为两个阶段 第一阶段 IPS 的学习适应期阶段 采用透明学习模式 Inline Bridging 第二阶段 IPS 的在线工作阶段 以 Inline 模式工作 全面检测 全面防护 其中 Inline 模又可以具体分成服务保障模式 Inline Fail passthrough 和 强制防御模式 Inline Fail severed 具体采用何种模式取决与用户对安全性 的要求和对设备鲁棒性的要求 我们强烈建议您采用服务保障模式 这样可以 在设备故障或失效的情况下仍然保证网络的可用性 3 2 4 1 IPS 的学习适应期阶段 入侵防御系统和入侵检测系统在部署方式上的区别为 IPS 工作于 Inline 模 式 而 IDS 工作于旁路监听模式 但并不意味着只要将 IPS 放置于网络的出口 处 设置为 inline 模式 让它直接对攻击或可疑行为进行丢弃就可以了 通常 情况下 在 IPS 以 Iiline 模式部署后 都需要一段时间的学习适应 才能正确 无误的担当起主动防护的重任 之所以 IPS 需要一个学习适应的过程 主要是因为 防止 IPS 设备误阻挡合法的数据流量 根据被保护网络的流量 调整各项攻击阈值参数 threshold 根据被保护网络环境 调整需要检测的攻击特征项目 在这个阶段 IPS 以 Inline 模式工作 只检测攻击并告警 不进行阻断 首先 将 IPS 的工作模式设置为 Inline Bridging 模式 并将 IPS 以 Inline 模式串接在被保护网络之前 所有进出被保护网络的数据包都会通过 IPS 的检 查 正常的流量才会允许进入被保护网络 在该模式下 IPS 的检测引擎将根据安全策略对网络中通过的数据进行检 测 如果用户设置了对攻击数据包的阻断功能 IPS 会产生相应的阻断报警 但是不会采取任何阻断或流量控制操作 这种模式主要用于首次部署时对用户 网络环境的学习与策略优化阶段 根据检测到的网络中可能出现的攻击行为 对攻击签名特征库和阈值等参数做出调整 减少 IPS 产生误报的可能性 另外在此模式下 用户可以观察 IPS 设备的加入会不会对原有的网络应用 产生影响 以确保 IPS 的性能能够满足原有网络应用的需求 3 2 4 2 IPS 的 Inline 模式工作阶段 在经过第一阶段的学习 调整和适应后 已经可以确认 IPS 能够以 Inline 方式正常运行 并且不会阻断正常合法的网络数据包 这时候就可以开启 IPS 的防御功能 进入阻断攻击 全面防御的阶段 在此阶段中有两种模式可以供不同安全要求的用户使用 1 Inline Fail passthrough 模式适用于对网络应用的连续性要求高于对网络安 全性要求的用户 在此模式下 如果 IPS 不能正常检测攻击时或出现故障 将 使用 Bypass 和超时转发技术优先保证用户业务的连续性 2 Inline Fail severed 模式 适用于对网络安全要求高于对网络应用连续性要求 的用户 在此模式下 如果 IPS 不能正常检测攻击或出现故障 将拒绝所有数 据包的通过 优先保证被保护网络中数据的安全 4 入侵防御系统部署建议 安氏领信提供一整套的入侵保护解决方案 具有良好可扩展性的Linktrust IPS的部署方式灵活多样 能够快速部署在几乎所有的网络环境中 实现从企 业网络核心至边缘及分支机构的全面保护 适用于不同环境不同企业的安全需 求 4 1 系统组件说明 组件 说明 Console 控制台 控制台是 LinkTrust IPS 系统中进行各种配置管理 日志 包括安全事件 系 统日志 用户审计日志 查看的客户端组件 它是一个基于 Windows 的应用 程序 提供友好的用户图形管理界面和多级别的数据访问控制 为保证数据传 输的安全性 在控制台和事件收集服务器之间采用了加密通信 EventCollector 事件收集服务器 事件收集服务器是 LinkTrust IPS 的一个关键组件 为整个系统的管理核心 主要有三方面的功能 1 对系统中的用户进行管理 是整个系统的用户认证中心 2 实现对整个系统的配置管理功能 包括对传感器的配置管理 以及日志服务器的配置管理 3 完成日志数据的收集汇总及简单的分析工作 LogServer 日志服务器 日志服务器是 LinkTrust IPS 的日志数据管理组件 主要负责各类日志数据的 存储 管理和分析 并向报表工具和查询工具提供日志数据的统计和查询的功 能 Log Server 需要集成第三方数据库软件一起协同工作 数据库软件目前支 持微软 SQL Server 数据库 Sensor 传感器 传感器部署在需要保护的网段上 对网段上流过的数据流进行检测 识别攻击 特征 报告可疑事件 阻止攻击事件的进一步发生或给予其它相应响应 Report 报表 报表和查询工具作为 IPS 系统的一个独立的部分 主要完成从数据库提取数据 统计数据和显示数据的功能 报表能够关联多个数据库 给出一份综合的数据 报表 查询工具提供查询安全事件的详细信息 LinkTrust IPS 需要安装的组件 LinkTrust IPS Console 控制台 LinkTrust IPS Event Collector 事件收集服务器 MSDE 2000 数据库 第三方软件 LinkTrust IPS LogServer 日志服务器 LinkTrust IPS Report 报表 Sensor 传感器 4 1 1 集中部署方式 LinkTrust IPS 的包括多个相互独立的组件 集中式部署是最典型的一种部 署方式 在这种方式下 LinkTrust IPS 管理组件控制台 数据库 包括 MSDE 数据库和 LogServer 报表和事件收集器安装到一台计算机上 这种部 署方式易于管理 管理员可以通过对一台机器的操作完成配置组件 监控报警 查看报表等操作 在保证 IPS 性能的基础上充分节省了用户的资源 4 1 2 分布部署方式 分布式部署安装可以选择将 LinkTrust IPS 的各个管理组件安装在多台计算 机上 在大型的网络环境中 这种部署方式可以充分保证 IPS 系统的性能 所 选的安装方式取决于拥有的传感器的数目 以及计划对它们进行部署的方式 在一个典型的分布部署方式中 通常环境中会有多个传感器 LinkTrust IPS 管理组件分布在到四台计算机上 由于传感器数目较多 建议使用 SQL Server 数据库 在这种部署方式中 有两台 EC 每台 EC 可以接收多个传感器 的报警事件 同时这两台 EC 又可以作为对方的备份 EC 当某个 EC 出现故障 的时候 向它发送报警事件的传感器可以将报警事件发送到另一台 EC 这种 部署的好处是均衡流量 并保证在一个 EC 故障时告警能够及时送达管理系统 控制台和报表安装在一台机器上 方便管理员查看任何时段的报警事件 4 1 3 部署准备 攻击者可能会对我们的网络中的任何可用资源发起攻击 分析我们的网络 拓扑结构对于定义我们的所有资源是至关重要的 而且 定义我们想要保护的 信息和资源 是创建一个传感器部署计划的第一步 除非我们对我们的网络拓 扑结构有非常透彻的理解 否则我们不可能全面地识别出需要保护的所有网络 资源 当分析我们的网络拓扑结构时 我们必须考虑很多因素 网络入口点 关键网络组件 远程网络 网络大小和复杂度 考虑安全策略限制 4 2 边界防护部署 互联网的迅速发展 改变了人们的工作和生活方式 使企业越来越依赖互 联网 大量业务应用通过互联网运行 然而互联网的开放性造成其安全性很差 大量的蠕虫 病毒 间谍软件 DDoS 垃圾邮件等在互联网上泛滥 而且攻 击手段在不断增加 因此企业网络的互联网出入口承受着巨大的安全压力 针对来自外部的攻击 安氏领信入侵防御解决方案提供在线防御的部署模 式 通过将 Linktrust IPS 串接在互联网出入口 实时拦截数据流量中各种类型 的恶意攻击流量 把攻击防御在企业网络之外 保护企业的信息资产 4 3 重点防护部署 由于安全技能和安全意识存在差异 企业员工可能无意识的通过互联网络 将恶意代码下载到内部网络执行 甚至将 Internet 上的蠕虫 病毒 间谍软件 传播进入内部网络 阻塞甚至中断网络 而 BT eMule 等 P2P 下载软件轻易 的占据 100 的企业网络带宽 这都对企业网络的安全带来严重威胁 针对来自内部的攻击 通过将 Linktrust IPS 以 Inline 方式部署在办公区出 入口 重要服务器区出入口 实时拦截数据流量中各种类型的恶意攻击流量 把办公区内的蠕虫 病毒 间谍软件等混合攻击过滤掉 防止影响企业网络的 整体安全运行 保护关键服务器等企业重要信息资产 5 入侵防御系统安全策略配置与应用 安全策略是一个文件 其中包含称为 安全事件签名 的一列项目 这些 项目确定了传感器所能监测的内容 签名是网络传感器用来检测一个事件或一 系列事件的内部代码 这些事件有可能表明网络受到了攻击 也可能提供安全 方面的信息 策略控制传感器的以下行为 1 传感器检测的安全事件的种类 2 每一事件的级别 事件按照风险级别划分为四类 高风险 中风险 低 风险和信息 3 传感器对安全事件的响应方式 目前共有 9 种响应方式 传感器使用策略来控制其所监测的内容 并对监测到的事件作出响应 传 感器安装 配置好后 需要为传感器配置策略 这样传感器才能正常的工作 您可以使用系统管理平台所附带的预定义策略 也可以从预定义策略派生新的 策略 预定义策略分别侧重于用户所关心的各种层面 用户可选择适合自己的 预定义策略直接应用 考虑到用户的不同需求 系统管理平台提供了用户自定 义策略的功能 用户可以从预定义策略派生新的策略并且对新策略进行编辑 用户还可对其关心的部分攻击签名进行微调 以便更符合用户的需要 缺省的安全策略模板类型 策略 说明 AttackDetector 使用此策略 传感器只监测网络攻击 会话没有被解 码 在安全的网络中 使用此策略的传感器实际上不 会产生通信量 该策略适合于只想知道最严重的网络 事件的管理员 Default 该策略是考虑网络流量特点 性能等多方面因素后而 定制的策略 该策略可以使 Sensor 工作在较优的状 态 DMZEngine 使用此策略 NetworkDefender 可以将注力集中于发生在防火墙之外非军事区 DMZ 的活动 此策略监测网 络攻击和以及尝试利用典型 Internet 协议的情况 例如 HTTP FTP SMTP POP 以及 DNS 该策略适用于 想要谨慎关注发生在公司防火墙之外事件的安全管理 员 Engine 内网地址 Firewall 使用此策略 传感器集中关注极有可能穿过防火墙的 重要签名和协议 该策略适用于想要谨慎关注发生在 公司防火墙之内事件的安全管理员 ForWindowsNetworks 该策略包含 Windows 网络环境中特有的攻击签名 会 话签名以及过滤规则的集合 在 NetworkDefender 能 够识别的攻击中 有几个是 Unix 系统中特有的 如果 没有 Unix 系统 则这些签名就不是必需的 该策略为 仅包含 Windows 设备的网络提供了签名 MaximumCoverage 该策略用于评估目的 它将所有的事件发送到控制台 这种情况下 每一个签名都可用 并且每一个会话协 议签名都是活动的 通常支持的所有事件也都是活动 的 该策略会严重影响网络传感器的性能 因此只能 用于评估环境 由于打开并记录所有的签名 MaximumCoverage 不宜用于高通信量环境中 ProtocolAnalyzer 此策略恰恰与 AttackDetector 策略相反 使用这一策略 只有会话解码是活动的 攻击检测是不活动的 此策 略非常适合那些想要知道他们的网络使用情况的安全 管理员 WebWatcher 使用 WebWatcher 策略的传感器查看穿过本地网段上 的所有 HTTP 通信量 注 使用此策略只能启用基于 HTTP 的攻击签名 其它攻击签名是不活动的 此策 略很适合于希望更详细地了解网络上的 Web 通信量的 安全管理员 如果安装传感器的网段上只带有 Web 服 务器 该策略也很适用 不同的网络应用环境需要不同的安全策略配置 以达到最佳的检测与防御 效果 这就涉及到对系统自带的安全策略模板进行定制 修改与补充 在 C3 2 4 中我们推荐了入侵防御系统的推荐部署流程 学习模式和在线工作模式 学习 模式的主要目的是了解网络流量情况 以及入侵和攻击情况 然后对系统安全 策略模板进行修改和调整 以适应周围的网络环境 达到最佳的检测效果 6 项目过渡方案及应急预案 6 1 过渡方案 1 系统上线及割接 我方将严格按照工程项目管理规范设计并实施项目 在充分调研用户网络 环境及用户访谈后 共同决定系统上线方案 由用户批准后 在用户的监督下 实施 2 过渡工作模式的选择与应用 IPS 的部署将尽可能不影响现有的网络及应用环境 但所有产品的部署使 用都有一个过渡期 为此我们建议按 C3 2 4 节建议的部署流程 首先将产品配 置为在线学习模式 此模式对流量只检测 不阻断 不会影响原有业务的运行 对网络没有影响 在经过一段时间的学习 对网络流量组成 攻击分类等等有 了一个比较清晰的理解后 在转入支持的工作模式 3 正常工作模式 在经过第一阶段的学习 调整和适应后 已经可以确认 IPS 能够以 Inline 方式正常运行 并且不会阻断正常合法的网络数据包 这时候就可以开启 IPS 的防御功能 进入阻断攻击 全面防御的阶段 在此阶段中有两种模式可以供不同安全要求的用户使用 1 Inline Fail passthrough 模式适用于对网络应用的连续性要求高于对网络安 全性要求的用户 在此模式下 如果 IPS 不能正常检测攻击时或出现故障 将 使用 Bypass 和超时转发技术优先保证用户业务的连续性 2 Inline Fail severed 模式 适用于对网络安全要求高于对网络应用连续性要求 的用户 在此模式下 如果 IPS 不能正常检测攻击或出现故障 将拒绝所有数 据包的通过 优先保证被保护网络中数据的安全 6 2 应急预案 为了确保发生系统故障或认为失误 影响网络的可用性和业务的运行 我 们拟定如下应急预案 1 制定系统变更与风险规避计划 分析系统部署对原网络可能带来的各种风险 对每种风险给出风险处置方案 2 制定回退计划 确保当出现严重故障无法恢复后 网络能够恢复到以前的状 态 领信入侵防御系统具备 BYPASS 功能 当出现系统故障后会将硬件自动旁 路 这样就将网络完全恢复至问题未出现前的状态 或者可以将系统下线 由 厂商技术人员按应急预案及合同规定进行处理 7 工程实施方案 7 1 分工界面 本项目需要甲方提供机架 相应以太网络设备 交换机或 HUB 等 及安 装软件产品之设备间互连网线 工程界面如下图所示 交 流 电 源 柜 网 管 硬 件 设 备 机 架 集 成 软 硬 件 设 备 电 源 地 告 警 线 买 方 责 任 卖 方 责 任 注 1 上述工程界面图中 实线部分由安氏领信提供并负责安装 国信中心负 责协调其工作 虚线部分由国信中心 相应集成商提供 2 本次工程除如上界面图进行安装 调测外 安氏领信还提供与其它互连 设备的连通测试等工作 3 所有网络安全硬件产品 包括防火墙 入侵检测等 安氏公司提供保 证正常工作的电源连线以及两根标准以太网 RJ45 连线 国信中心需提供符合国家标准的电源环境及设备要求范围内的机房环境 温度及湿度 硬件设备环境要求 电压 86 240V 温度 工作 工作 0 至 50 高度 10000 英尺 3000 米 温度 存储 储存 20 至 70 高 度 30000 英尺 9000 米 相对湿度 工作 工作 10 90 非冷凝 相对湿度 存储 储存 5 95 非冷凝 7 2 工程设计 当合同签订之后 我方将严格按合同条款执行实施工程建设 用户方也可 以选派代表和我方的技术人员共同设计方案 共同设计的内容包括工程实施内 容 进度计划安排 责任分工 节点检查控制 工程验收等 我方将对提交的技术规范和其它技术文件的任何偏差 错误或遗漏负责 7 3 产品生产及出厂验收 设备供应商的产品 我公司将要求其提供产品生产许可 在其他工程项目 中的使用情况报告 及产品的出厂检验报告 另外 我公司还将按照产品的技 术指标对其产品进行抽检 确保产品在出厂前是完全合格的 7 4 设备运输 包装与到货安排 到货安排 设备运输 物流管理是项目管理的一个重点 也是保障整体工 程成功的关键 因此 我方将重点给予控制和管理 所采购的设备通过出厂检 验后 则开始将各个设备通过机要 人工押运方式到达施工现场 并承担相应的 运输和保险费用 以确保承担合同所列的全部货物安全运抵最终目的地 我方 将对直至货物运抵最终交货地点的所有风险承担全部责任 货物包装 为保证货物安全抵达各地 我公司将严格遵守招标文件中对包 装的相关要求 除非合同中另有规定 所提供的货物将采用标准的出口包装 包装将适合远程海运 空运和内陆运输 并能有效地防潮 防湿 防震 防锈 并能够经受野蛮装卸 确保货物安全无损地到达施工现场 因不充分或不适当 的包装导致的腐蚀 损坏及丢失的责任将由设备供应商承担 我方提供的每个 产品包装箱内都包括一套详细的装箱单 质量 数量证明 我方将协同设备供 应商在货物包装四个相邻侧面的显著位置用不可擦除的油漆和明显的中文做出 以下标记 1 收货人 2 合同号 3 发货标记 4 收货人编号 5 目的地 6 货物名称 品目号和箱号 7 毛重 净重 公斤 8 尺寸 长度 宽度 高度 用厘米表示 我方根据货物的特点和运输的不同要求 在包装箱上清楚的注明 小心轻 放 此端朝上 请勿倒置 保持干燥 等字样和其它的适当标志 货物运输 我方将在包装箱上进行清晰的标记 以标明产品的合同号 类 型 产地 最终运抵目的地 包装箱序号 箱数 总重量 净重 每箱尺寸 按毫 米 mm 计算的长 宽 高 并对运输 装运中必须注意的事项 如最大堆叠 层数 防雨 此面朝前或朝上 小心轻放 保持干燥等 做出明显标记 我方将在装运发货后 48 小时之内 通过传真通知用户 在该通知中将明 确通知用户本次运抵的货单编号 产品名称 包装箱数目 运抵口岸以及确切 发运日期 存贮要求 如是否需要铲车卸货等 以及其它注意事项等 我方将以挂号方式向甲方和相关子项目单位各邮寄三份具体的装箱清单 内容应包括货单编号 产品名称 数量 包装箱数目 运抵口岸以及确切发运 日期 存贮要求 如是否需要铲车卸货等 以及其它注意事项等 我方将承担全部的运保费用 以确保承担合同中所列出的全部货物安全运 抵最终目的地 7 5 到货验收 标准 在项目单位指定地点对设备进行开箱验收 检查设备数量 产品的 型号 规格 外型 外观 包装 随机资料文件符合标书指定的要求 所有的 合同设备到达指定地点后 我们将在用户方监督下检查产品的型号 规格 数 量 外型 外观 包装及资料 文件 如装箱单 保修单 随箱介质等 是否 与合同完全一致 设备开箱后按设备清单清点部件 验货后双方签署验货报告 7 6 安装调试及系统集成 全部设备到货并验收后 由我方协同设备供应商进行设备的安装 调试 包括硬件及软件 及开通 工程监理组协助配合 设备安装 调测所需工具 仪表及安装材料均由设备供应商提供 7 7 系统测试 将按照设备供应商提供的测试方案 在我方的监督指导下进行 我方人员 将参加测试 按照用户方的要求在指定的地点依据投标书的性能指标完成安装 调试工作 按照招标书的功能和性能要求完成系统集成 7 8 初步验收 合同货物在项目现场进行安装调试后 进行初步验收 由我方与用户方代 表共同进行 初步验收的验收标准和方法由我方在初步验收前提供 并经用户 方确认 初步验收通过后 由双方代表共同签署初步验收证书 7 9 系统试运行 初步验收合格后 根据双方签订的合同内容与进行合同货物试运行 试运 行期为初步验收合格后货物开始无故障运行满 4 周 运行期间无重大故障 为 具备最终验收条件 如遇重大故障 试运行时间将从排除故障之日起 重新开 始计算 7 10 最终验收 合同项目在试运行完毕后 具备最终验收条件 在 1 周内 由我方与用户 方代表共同进行最终验收 最终验收的验收标准和方法由我方在最终验收前提 供 并经用户方确认 最终验收通过后 由双方代表共同签署最终验收 7 11 工程实施进度表 安氏领信对每个技术服务项目的实施都按照以下环节进行项目分解 通过 严格的项目管理 保证项目管理的科学性 效率和质量 进度 阶段 名称 时间 任务 第一阶段 项目分析 人天 了解项目背景 总体要求 对整个系统进行分析 确定项目子系统 分解目标 第二阶段 工程设计 人天 项目启动 项目管理流程确定 了解项目需求 确定项目实施方案 进度及相关方 案 制定工程界面 制订验收计划 项目协调会 第三阶段 组织设备生 产及出厂验 收 人天 确定库存设备 组织我方及设备供应商的设备生产 对设备进行出厂验收 第三阶段 运输及到货 验收 人天 设备到货 组织验收 第四阶段 安全系统集 人天 用户协调会 成 安装调试 现场培训 系统测试 系统初验 第五阶段 试运行 人天 系统试运行 集中培训 系统维护 第六阶段 系统验收 移交 人天 验收测试 全部文本移交 按本项目要求 制定工程进度表如下 第 1 周 第 2 周 第 3 周 第 4 周 第 5 周 第 6 周 第 7 周 第 8 周 第 9 周 第 10 周 3 月 后 一 年 后 1 合同生效 2 技术联络会 3 方案设计 3 技术培训 4 发货 5 安装调试 6 现场培训 6 初步验收 7 运行期 3 个 月 8 项目终验 注 加粗实线表示任务跨越时间及需求工作日数量 时 间任 务 8 系统验收测试计划 8 1 系统上线测试 测试目的 测试 IPS 系统能否正常加电 上线 测试步骤 1 引擎上架 连接网线 加电 对引擎进行初始化配置 2 安装管理控制台和事件收集器 数据库 3 在控制台页面中添加引擎 观察连接与初始化信息 测试结果 引擎可以正确初始化并被控制台管理 测试结论 通过 未通过 8 2 用户管理功能 测试目的 验证领信入侵防御系统 IPS 的用户管理功能 测试步骤 1 使用默认管理帐户登陆管理控制台 2 添加新帐户 赋予所有功能管理权 3 使用新帐户登陆 验证是否可使用所有功能 测试结果 IPS 可以正常管理用户 测试结论 通过 未通过 8 3 引擎工作模式配置 测试目的 测试领信入侵防御系统是否支持多种工作模式 测试步骤 1 在引擎管理页面中 选择并设置引擎工作模式 在线学习模式 2 在引擎管理页面中 选择并设置引擎工作模式 强制防御模式 3 在引擎管理页面中 选择并设置引擎工作模式 服务保障模式 4 在引擎管理页面中 选择并设置引擎工作模式 旁路监听模式 测试结果 根据用户的需求 IPS 引擎可以工作在不同模式下 测试结论 通过 未通过 8 4 组件管理 测试目的 测试 IPS 所有相关组件可以正确通信并管理 测试步骤 1 在组件窗口点击鼠标右键 选择添加新组件 选择添加 Log Server 2 右键点击添加的数据库 配置数据库容量信息 3 再添加新组件 选择传感器 在弹出的窗口填写传感器配置信息 4 选择 连接测试 成功后点击确定 开始同步签名 分发策略 测试结果 产品应支持组件自动发现 可以正确管理组件 正常显示组件信息 测试结论 通过 未通过 8 5 策略配置 测试目的 验证 IPS 策略管理功能 新建策略组 编辑保存分发策略 测试步骤 1 点击策略标签 观察策略管理界面 2 在左侧窗口点击鼠标右键 选择 编辑锁定 在预定义策略组 上点 击右键 选择派生 填写新策略名称 生成新策略 3 查看中间栏策略的信息 右侧窗口上方为响应信息 下方为每个签名的详 细解释 4 在中间栏选择添加 www 签名中的选项 保存修改好的策略 解除编 辑锁定 5 在组件窗口相应传感器上点击右键 选择分发策略 将编辑好的新策略分 发到传感器上 6 查看传感器信息 新策略已经正常使用 测试结果 IPS 可正常添加 修改 分发策略 测试结论 通过 未通过 8 6 威胁事件收集显示 测试目的 查看 IPS 系统显示安全事件是否正常 测试步骤 1 进入安全事件窗口 左侧为事件 右上图表 右下详细信息 2 点选左侧事件窗口的标签 查看显示是否正常 3 双击右下的事件 查看弹出的详细信息 测试结果 IPS 可正常以各种方式显示事件 测试结论 通过 未通过 8 7 攻击检测能力 测试目的 查看 IPS 系统检测并阻断各种类型的攻击 如 预攻击探测扫描 后门攻击 应用服务攻击等等的能力 测试步骤 1 使用 NMAP 工具扫描及 Blade 发送攻击包 检查 IPS 的响应 2 使用针对 DNS FTP HTTP IGMP IMAP NETBIOS RPC SMTP 等多种知名应用协议的攻击工具 检查 IPS 的响应 3 使用 Backdoor Blade runner 0 80a Backdoor F Backdoor 1 3 等后门工 具 检查 IPS 的响应 测试结果 IPS 系统能够准确报警并进行阻断 测试结论 通过 未通过 8 8 系统升级能力 测试目的 查看 IPS 系统能否通过网络或本地的方式进行升级 测试步骤 1 如果可在线升级 观察下载升级包的方式是否采取了加密 认证等方式来 保证安全 2 查看测试产品最新的三个升级包 观察这些升级包何时正式发布 包中包 含的新攻击的个数 记录升级间隔时间 3 测试能否在控制台上对 IPS 引擎进行升级包的远程升级 4 将升级包下载到本地 在本地控制台选择 手工导入 通过离线方式进行 升级 测试结果 领信 IPS 系统具备多种升级方式 测试结论 通过 未通过 8 9 日志报表 测试目的 查看 IPS 报表查询与数据检索功能 测试步骤 1 点击报表按钮 出现报表系统登陆界面 输入帐户登陆 2 点选各种报表 观察生成是否正常 3 点击查询按钮 登陆数据库查询系统 4 添加查询 输入查询条件 在这里选择按时间查询 5 观察查询结果 测试结果 IPS 系统能够正常查询显示以前保留的数据 能够正常生成显示报表 测试结论 通过 未通过