互联网服务器安全解决方案

1、1.1.1服务器安全解决方案Trend Micro Deep Security发大发发大发啊方案是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防数据泄露和业务中断，符合包括PCI在内的关键法规和标准，并有助于应当今经济形势之要求降低运营成本。DeepSecurity 解决方案使系统能够自我防 御，并经过优化，能够帮助您保护机密数据并确保应用程序的可用性。趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下6大模块的安全控制：1.基于主机的IDS/IPS防护未知漏洞，被未知攻击 防护已知攻击 防护零日攻击，确保未知漏洞不会被利用2. Web应

2、用防护防护web应用程序的弱点和漏洞防护Web应用程序的历史记录 支持PCI规范。3. 应用程序控制侦测通过非标准端口进行通讯相关协议限制和设定哪些应用程序能通过网络被访问侦测和阻断恶意软件通过网络进行访问4. 基于主机的防火墙5. 一致性检查和监控重要的操作系统和应用程序文件控制（文件，目录，注册表以及键值等等） 监控制定的目录 灵活并且主动实用的监控审计日志和报表6. 日志检查和审计搜集操作系统和应用程序的日志，便于安全检查和审计可疑行为侦测搜集安全行为相关的管理员设定 产品特点数据中心服务器安全架构必须解决不断变化的IT架构问题，包括虚拟化和整合、新服务交付模式以及云计算。

3、对于所有这些数据中心模式，DeepSecurity 解决方案可帮助：.1通过以下方式预防数据泄露和业务中断在服务器自身位置提供一道防线-无论是物理服务器、虚拟服务器还是云服务器针对Web和企业应用程序以及操作系统中的已知和未知漏洞进行防护， 并阻止对这些系统的攻击帮助您识别可疑活动及行为，并采取主动或预防性的措施.2通过以下方式实现合规性满足六大PCI合规性要求（包括Web应用程序安全、文件完整性监控和 服务器日志收集）及其他各类合规性要求提供记录了所阻止的攻击和策略合规性状态的详细可审计报告，缩短了支持审计所需的准备时间.3通过以下方式支持降低运营成

4、本提供漏洞防护，以便能够对安全编码措施排定优先级，并且可以更具成本效益地实施未预定的补丁为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供 必要的安全性以单个集中管理的软件代理提供全面的防护-消除了部署多个软件客户端的必要性及相关成本.4全面易管理的安全性Deep Security 解决方案使用不同的模块满足了关键服务器和应用程序的 防护要求：Deep Security 模块据中心要求深度数据包检查防 火墙宀完 整性监 控日 志审计IDS/IPSWeb应用程序 防护应用 程序控制服务器防护-预防已知攻击和零日攻击-安装补丁之前对漏洞进行防护oWeb应用程序防护-预防S

5、QL注入、跨站点脚本攻击及强力攻击等Internet 攻击-满足PCI DSS 6.5 要求-Web应用程序防火墙o虚拟化安全-预防已知攻击和零日攻击-安装补丁之前对漏洞进行防护-VMware vCenter 集成增强了可见性和管理oo可疑行为检测-预防侦察扫描-检测是否在不合适的端口上使用允许的协议-针对可能发岀攻击信号的操作系统及应用程序错误发岀 警报-针对关键操作系统及应用程序更改发岀警报o云计算安全-使用防火墙策略隔离虚拟机器-预防已知攻击和零日攻击-安装补丁之前对漏洞进行防护o合规性报告-有关对关键服务器所做的所有更改的可见性和审计记录-检查和关联重要安全事件并将其转发到日志记录服务

6、 器，以便进行补救、报告和存档-有关配置、检测到的活动及已阻止的活动的报告ooo=基本 o =优势 产品模块及功能Deep Security 解决方案使您能够部署一个或多个防护模块，提供恰好适 度的防护以满足不断变化的业务需求。 您可以通过部署全面防护创建自我防御的 服务器和虚拟机， 也可以从完整性监控模块着手发现可疑行为。 所有模块功能都 通过单个 Deep Security 代理部署到服务器或虚拟机，该 Deep Security 代理 由 Deep Security 管理器软件集中管理，并在物理、虚拟和云计算环境之间保 持一致。.1 深度数据包检查 （DPI）

7、 引擎实现入侵检测和防御、Web应用程序防护以及应用程序控制该解决方案的高性能深度数据包检查引擎可检查所有出入通信流（包括 SSL 通信流）中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。 该引擎可在检测或防御模式下运行， 以保护操作系统和企业应用程序的漏洞。 它 可保护 Web 应用程序，使其免受应用层攻击， 包括 SQL 注入攻击和跨站点脚本 攻击。详细事件提供了十分有价值的信息， 包括攻击者、 攻击时间及意图利用的 漏洞。发生事件时， 可通过警报自动通知管理员。 DPI 用于入侵检测和防御、 Web 应用程序防护以及应用程序控制。.2 入侵检测和防御 （IDS/I

8、PS）在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时 保护，使其免受已知攻击和零日攻击漏洞规则可保护已知漏洞（如 Microsoft 披露的漏洞），使其免受无数次 的漏洞攻击。 Deep Security 解决方案对超过 100 种应用程序（包括数据库、 Web电子邮件和FTP服务器）提供开箱即用的漏洞防护。在数小时内即可提供 可对新发现的漏洞进行防护的规则， 无需重新启动系统即可在数分钟内将这些规 则应用到数以千计的服务器上：智能规则通过检测包含恶意代码的异常协议数据， 针对攻击未知漏洞的漏 洞攻击行为提供零日防护。漏洞攻击规则可停止已知攻击和恶意软件， 类似于传统的防病毒

9、软件， 都 使用签名来识别和阻止已知的单个漏洞攻击。由于趋势科技是 Microsoft 主动保护计划 (MAPP) 的现任成员， Deep Security 解决方案可在每月安全公告发布前提前从 Microsoft 收到漏洞信息。 这种提前通知有助于预测新出现的威胁， 并通过安全更新为双方客户快速有效地 提供更及时的防护。.3 WEB 应用程序安全Deep Security 解决方案符合有关保护 Web 应用程序及其处理数据的PCI要求6.6。Web应用程序防护规则可防御 SQL注入攻击、跨站点脚本攻击 及其他 Web 应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护。该

10、解决方案使用智能规则识别并阻止常见的 Web 应用程序攻击。根据客户要求进 行的一项渗透测试，我们发现，部署 Deep Security 的 SaaS 数据中心可对其 Web 应用程序和服务器中发现的 99% 的高危险性漏洞提供防护。.4 应用程序控制应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制 能力。这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。.5 防火墙减小物理和虚拟服务器的受攻击面Deep Security 防火墙软件模块具有企业级、双向性和状态型特点。它可 用于启用正确的服务器运行所必需的端口和协议上的通信， 并阻止其他所有

11、端口 和协议，降低对服务器进行未授权访问的风险。其功能如下：虚拟机隔离： 使虚拟机能够隔离在云计算或多租户虚拟环境中， 无需修改 虚拟交换机配置即可提供虚拟分段。细粒度过滤： 通过实施有关 IP 地址、 Mac 地址、 端口及其他内容的防火 墙规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于 IP 的协议：通过支持全数据包捕获简化了故障排除， 并且 可提供宝贵的分析见解，有助于了解增加的防火墙事件-TCP、UDR ICMP等。侦察检测：检测端口扫描等活动。还可限制非 IP 通信流，如 ARP 通信 流。灵活的控制： 状态型防火墙较为灵活， 可在适当时以一种受控制的方式完 全绕过检查

12、。 它可解决任何网络上都会遇到的通信流特征不明确的问题， 此问题 可能出于正常情况，也可能是攻击的一部分。预定义的防火墙配置文件：对常见企业服务器类型（包括 Web、LDAP、DHCP、 FTP 和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致 地部署防火墙策略。可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告， Deep Security 防火墙软件模块可捕获和跟踪配置更改 （如策略更改内容及更改者） ， 从而提供详细的审计记录。.6 完整性监控监控未授权的、意外的或可疑的更改Deep Security 完整性监控软件模块可监控关键的操作系统和应用程

13、序文 件（如目录、注册表项和值） ，以检测可疑行为。其功能如下：按需或预定检测：可预定或按需执行完整性扫描。广泛的文件属性检查： 使用开箱即用的完整性规则可对文件和目录针对多 方面的更改进行监控，包括：内容、属性（如所有者、权限和大小）以及日期与 时间戳。还可监控对 Windows 注册表键值、访问控制列表以及日志文件进行的 添加、修改或删除操作，并提供警报。此功能适用于 PCI DSS 10.5.5 要求。可审计的报告：完整性监控模块可显示 Deep Security 管理器仪表板中 的完整性事件、 生成警报并提供可审计的报告。 该模块还可通过 Syslog 将事件 转发到安全信息和事件管理

14、 （SIEM） 系统。安全配置文件分组： 可为各组或单个服务器配置完整性监控规则， 以简化监控规则集的部署和管理基准设置： 可创建基准安全配置文件用于比较更改， 以便发出警报并确定 相应的操作。灵活实用的监控： 完整性监控模块提供了灵活性和控制性， 可针对您的独 特环境优化监控活动。这包括在扫描参数中包含 / 排除文件或通配符文件名以及 包含/ 排除子目录的功能。此外，还可根据独特的要求灵活创建自定义规则。.7 日志审计查找日志文件中隐藏的重要安全事件并了解相关信息使用 Deep Security 日志审计软件模块可收集并分析操作系统和应用程 序日志，以查找安全事件。 日志审计规

15、则优化了对多个日志条目中隐藏的重要安 全事件进行识别的能力。 这些事件随后会转发到一个 SIEM 系统或集中式的日志 记录服务器，以便进行关联、报告和存档。 DeepSecurity 代理还会将事件信息 转发到 Deep Security 管理器。日志审计模块的部分优势如下：可疑行为检测：该模块可检测服务器上可能发生的可疑行为。 收集您的整个环境中的事件： DeepSecurity 日志审计模块能够收集许多 事件并将其关联起来， 这些事件包括： Microsoft Windows、Linux 和 Solaris 平 台间的事件；来自 Web 服务器、邮件服务器、 SSHD、Samba、Micr

16、osoft FTP 等 的应用程序事件；自定义应用程序日志事件。关联不同事件： 收集各种警告、 错误和信息事件并将其关联起来， 包括系 统消息（如磁盘已满、通信错误、服务事件、关机和系统更新）、应用程序事件 （如帐户登录 / 注销/ 故障/锁定、应用程序错误和通信错误）、管理员操作（如 管理员登录 / 注销/ 故障/ 锁定、策略更改和帐户更改）。有关合规性的可审计报告： 可生成安全事件的完整审计记录， 以帮助满足 合规性要求，如 PCI 10.6 。 产品原理及架构Deep Security 解决方案架构包含三个组件：Deep Security 代理，部署在受保护的服务器或虚拟机

17、上。DeepSecurity管理器，提供集中式策略管理、发布安全更新并通过警报 和报告进行监控。安全中心，是一种托管门户，专业漏洞研究团队针对新出现的威胁通过该门户开发规则更新，然后由Deep Security 管理 器定期发布这些更新。.1工作原理Deep Security 代理接收来自 DeepSIEM 系统。DeepSecuritySecurity 管理器的安全配置，通常是一个安全配 置文件。该安全配置包含对服务器强制执行的深 度数据包检查、防火墙、完整性监控及日志审计 规则。只需通过执行建议的扫描即可确定对服务 器分配哪些规则，此过程将扫描服务器上已安装 的软件并建议需要

18、采用哪些规则保护服务器。对 所有规则监控活动都创建事件，随后这些事件将 发送到Deep Security 管理器，或者同时也发送到代理和 Deep Security管理器之间的所有通信都受到相互验证的 SSL所保护。Deep Security 管理器对安全中心发出轮询，以确定是否存在新的安全更 新。存在新的更新时，DeepSecurity 管理器将获取该更新，然后便可通过手动 或自动方式将该更新应用于需要其额外保护的服务器。DeepSecurity管理器和安全中心之间的通信也受到相互验证的 SSL所保护。Deep Security 管理器还 连接到IT基础架构的其他元素，以简化管理。DeepS

19、ecurity 管理器可连接到 VMwarevCenter，也可连接到 Microsoft Active Directory 等目录，以获取服 务器配置和分组信息。Deep Security 管理器还拥有Web服务API，可用于程 式化地访问功能。安全中心对漏洞信息的公共和私有源都进行监控，以保护客户正在使用的操作系统和应用程序.2 Deep Security 管理器Deep Security 解决方案提供实用且经过验证的控制，可解决棘手的安全 问题。有关操作且具有可行性的安全不仅让您的组织获知安全事件， 还可帮助了 解安全事件。在许多情况下，这种安全就是提供有关事件发起者、内容

20、、时间和 位置的信息， 以便组织可以正确理解事件然后执行相应操作， 而不仅仅是告诉组 织安全控制本身执行了什么操作。 DeepSecurity 管理器软件满足了安全和操作 双重要求，其功能如下：集中式的、基于 Web 的管理系统：通过一种熟悉的、资源管理器风格的 用户界面创建和管理安全策略， 并跟踪记录威胁以及为响应威胁而采取的预防措 施。详细报告： 内容详尽的详细报告记录了未遂的攻击， 并提供有关安全配置 和更改的可审计历史记录。建议扫描： 识别服务器和虚拟机上运行的应用程序， 并建议对这些系统应 用哪些过滤器，从而确保提供事半功倍的正确防护。风险排名：可根据资产价值和漏洞信息查看安全事件。

21、基于角色的访问： 可使多个管理员 （每个管理员具有不同级别的权限） 对 系统的不同方面进行操作并根据各自的角色接收相应的信息。可自定义的仪表板： 使管理员能够浏览和追溯至特定信息， 并监控威胁及 采取的预防措施。可创建和保存多个个性化视图。预定任务：可预定常规任务（如报告、更新、备份和目录同步）以便自动 完成。.3 Deep Security 代理Deep Security 代理是 Deep Security 解决方案中的一个基于服务器的软 件组件，实现了 IDS/IPS、Web应用程序防护、应用程序控制、防火墙、完整性 监控以及日志审计。 它可通过监控出入通信流中是否存在协议偏

22、离、 发出攻击信 号的内容或违反策略的情况，对服务器或虚拟机实行防御。必要时，DeepSecurity 代理会通过阻止恶意通信流介入威胁并使之无效。 安全中心安全中心是 Deep Security 解决方案中不可或缺的一部分。 它包含一支由 安全专家组成的动态团队， 这些专家在发现各种新的漏洞和威胁时便提供及时快 速的响应， 从而帮助客户对最新威胁做到防患于未然； 同时， 安全中心还包含一 个用于访问安全更新和信息的客户门户。 安全中心专家采用一套由复杂的自动化 工具所支持的严格的六步快速响应流程：监控：对超过 100 个公共、私有和政府数据源进行系统化的持续监控， 以识别新的相

23、关威胁和漏洞， 并将其关联起来。 安全中心研究人员利用与不同组 织的关系，获取有关漏洞的早期（有时是预发布）信息，从而向客户提供及时、 准确的防护。这些来源包括 Microsoft 、Oracle 及其他供应商顾问、 SANS、CERT、 Bugtraq 、 VulnWatch、PacketStorm 以及 Securiteam 。确定优先级：然后根据客户风险评估及服务等级协议确定漏洞的优先级， 以作进一步分析。分析：对漏洞执行深入分析，确定需要采取的必要防护措施。 开发和测试：然后开发出可对漏洞实行防护的软件过滤器以及可推荐过滤 器的规则， 并进行广泛的测试， 以便最大限度地降低误测率， 并

24、确保客户能够快 速、顺利地部署这些过滤器和规则。交付：将新过滤器作为安全更新交付给客户。 当新的安全更新发布时， 客 户将通过 Deep Security 管理器中的警报立即收到通知。然后就可以将这些过 滤器自动或手动应用于相应的服务器。通信：通过可提供有关新发现安全漏洞的详细描述的安全顾问， 可实现与 客户之间的持续通信。.1.1 主动研究进一步增强防护此外，安全中心团队还执行持续不断的研究，以改进总体防护机制。该项 工作受到漏洞和威胁响应过程中发现的结果和趋势的强烈影响。 这些结果还影响 新过滤器和规则的创建方式，以及现有防护机制的质量，最终改进总体防护。.1.

25、2 保护各种漏洞安全中心开发并提供可保护商业现成应用程序和自定义 Web 应用程序的 过滤器。漏洞攻击和漏洞过滤器是被动式的， 因为它们用于在发现已知漏洞时做 出响应。相反， 智能过滤器提供主动式的防护。 完整性监控过滤器检查各种系统 组件及其特定属性， 并在达到特定触发条件时向管理员发出警报。 可监控的部分 组件包括系统目录、文件、 Windows 注册表、用户帐户、端口和网络共享。日志 审计过滤器解析来自操作系统和第三方应用程序的日志， 并在发生了特定事件时 向管理员发出警报。.1.3 安全中心门户 安全中心门户向客户提供对产品相关信息和支持的单个安全访问点， 这些信息和支持

26、包 括：安全更新安全顾问漏洞中的 CVSS 评分信息Microsoft Tuesday 的警报摘要漏洞高级搜索漏洞（包括那些未受 Third Brigade 保护的漏洞）的完全披露 每个漏洞的补丁信息RSS 提要故障票据软件下载产品文档 产品部署和集成Deep Security 解决方案专为快速的企业部署而设计。它利用现有基础架构并与之集成，以帮助实现更高的操作效率，并支持降低运营成本PH8UHRVE 眄 VIRTUCUXJOCCMPUTlIMQVMware 集成：与 VMware vCenter 和 ESX Server 的紧密集成，使得组 织和操作信息可以从 vCenter 和 ESX 节点导入到 Deep Security 管理器，并 将详细完备的安全应用于企业的 VMware 基础架构。SIEM 集成：通过多个集成选项向 SIEM 提供详细的服务器级安全事件， 这 些选项包括 ArcSight 、Intellitactics、NetIQ 、RSAEnvision 、Q1Labs、LogLogic及其他系统。目录集成：与企业目录集成，包括 Microsoft Acti