网络入侵检测解决方案

1、NetpowerXXXX入侵检测系统解决方案北京中科网威信息技术有限公司200X年X月目录前言 21.1. 设计目标 31.2. 安全宗旨 31.3. 项目集成原则 3网络安全性分析4物理层安全体系61.1. 电磁泄露 61.2. 恶意的物理破坏 71.3. 电力终端 71.4. 安全拓扑结构 71.5. 安全旁路问题 81.6. 解决措施 84 .网络层安全体系94.1. 外网攻击 104.2. 内网攻击与监控 124.3. 网络设备的安全 134.4. VLAN安全保密 144.5. 入侵取证问题 155 .应用层安全体系165.1. 操作系统安全 165.1.1. 服务器系统安全解决措施

2、（主要针对Linux） 165.1.2. 服务器系统安全解决措施（主要针对Windows） 175.1.3. 主机安全的解决方案 186 . 网络入侵检测系统196.1. 单一防火墙功能的不足 196.2.入侵检测系统的功能和优点206.3. 入侵检测系统选型 206.4. 入侵检测系统部署 236.5. 中科网威”网威”网络入侵检测系统产品介绍 257 .XXXX调通中心安全系统网络安全拓扑效果图 错误！未定义书签。前言此文档就XXXXM通中心网络安全方面做全面的规划和设计，从而确定软件、硬件体系的组成及各部分的作用，和应用程序的连接等，从而对整个网络的安全 部分规划、采购起指导性作用。此文

3、档将从物理层、网络层、应用层、管理层等几个方面就xxxXM通中心网络安全进行具体描述。1.1. 设计目标最大可能的保护其所辖的网络和系统可以得到充分的信任， 可以获得良好的 管理。总体目标是在不影响中心网络正常工作的前提下， 实现对中心网络的全面 安全及加固。根据xxxXS通中心网的要求及国家涉密计算机系统安全要求，提供包括整 体安全策略、评估、规划、设计、部署、管理、紧急响应以及配套服务组成的网 络安全整体解决方案。1.2. 安全宗旨建设和服务应遵循如下原则：设计中将以国家涉密计算机系统安全要求为根本采用国内最先进，符合涉密系统安全要求的安全设备和产品严格遵守中华人民共和国保密局、公安部相关

4、法律和法规严格遵守国家涉密计算机系统安全保密规范我国各级安全主管部门还颁布了一系列条例和规定。本项目遵守国内的 这些安全条例和规定。1.3. 项目集成原则策略性建立中心的安全体系，需要先制定完整的、一致性的信息安全策略体系，并 将且将安全策略体系和其他企业策略相协调。综合性和整体jF从系统综合的整体角度充分考虑此次中心网络安全招标项目，制定有效、可行的安全措施，建立完整的安全防范体系。尽量降低对原有网络、系统性能的影响由于安全设置的增加，必将影响网络和系统的性能，包括对网络传输速率的 影响，对系统本身资源的消耗等。因此需要平衡双方的利弊，提出最为适当的安 全解决建议。避免复杂性安全解决方案不会

5、使原网络结构的复杂程度增加，并使操作与维护简单化。 安全体系的建立也不会对中心的结构做出根本性的修改。扩展性、适应性一安全解决方案能够随着中心网络性能及安全需求的变化而变化，要容易适 应、容易修改。兼容性安全管理工具应能够和其它系统管理工具有效兼容。保障安全系统自身的安全安全产品和系统都有能力在合理范围内保障系统自身的安全。稳定性总体设计方案需保证运行过程中的稳定、顺畅，不对应用系统造成危害。2 .网络安全性分析当前，全球性的信息化、网络化进程正在飞速发展，网络技术正逐步改变着 各行各业传统的生产和管理方式，网络应用日新月异。网络在提高生产和管理效 率的同时，也给各类涉密信息网络的安全保密系统

6、建设、 应用和管理提出了新的 要求。作为xxxXM通中心安全系统的网上形象和网上办公系统，保证网上信息的 安全性、可靠性，保证网络的正常运行，不被不法分子破坏、窜改是整个纪检监 察计算机网络系统中非常重要的一个组成部分。XXXX调通中心安全系统常涉及的，无论是门户系统，数据流、数据中心和 公共服务，这些都需要网络安全的支持，从用户的登陆认证，非法行为的监控，门户网站的抗攻击性，数据中心的操作安全性等多个方面都离不开网络安全系统的支持。网络安全整体建设中的某个被忽略的部位弱势，势必影响系统整体的安全水平，为了对抗各种攻击破坏，避免因为安全隐患而引发的安全事故，通过深入分析全国xxxXM通中心安全

7、系统的安全需求，建议目前的网络安全系统管理应从 下列方面入手着重解决。提供针对网络安全问题的保障，着重对于目前网络上流行的攻击形式，攻击手段进行防护，同时考虑系统冗余。对XXXX调通中心可能出现的攻击行为进行监控、取证，适当情况下可以根据监控的内容对攻击者进行跟踪，必要时可根据此结果进行法律起诉。对内部可信任网段内主机进行严格限制，及时发现并阻断非法外联行 为。对于网络安全设备的统一管理问题。包括统一管理、配置，收集不同系统上的日志资料，进行时间分析。对于整个XXXX调通中心安全系统的接入问题进行管理，确保涉密网络 与非涉密网络的物理隔离问题。定制全网统一的病病毒策略，实现全网范围内的病毒防御

8、。基于数字证书的服务。包括证书的统一管理，可信服务，用户分级，与 应用系统无间结合等多个方面。对于网络安全事件的紧急响应，包括 7X24小时的紧急响应。提供对于网络正常运行的安全服务、培训、安全管理规定等。建立一个安全网络需要从软件、硬件，产品、服务等多个方面协同协作，搭建起一个完整的安全保障系统。从用户登陆系统的开始就做到身份认证、行为监控、日志记录等工作；对边界网络实行严格的访问控制策略；在敏感信息节点对数据的监听、分析，对违反安全策略的行为进行响应；并定期主动对系统网络中服务器进行安全评估，消除安全隐患，防范于未然，为上层的门户系统、网上政务系统的正常运行提供彻底的保护，对于可能给系统造

9、成损害的每一个地方做全满考虑，为XXXX3通中心安全系统的正常运行保驾护航。3 .物理层安全体系这里说的物理层指的是物理连接方面的安全，尤其指的是不同密级之间网络 的连接规范，保证从物理结构上的安全。分支内容主要包含以下几个方面：电磁泄漏恶意的物理破坏电力中断安全拓扑结构安全旁路问题3.1. 电磁泄露电磁泄漏主要发生在由双绞线连接的物理设备之间，由于双绞线传输数据时周围产生的磁场可被还原，故如果出现刻意的针对电磁泄漏而进行的监听行为， 则可能防不胜防。由于此种入侵的方式非常隐蔽，可以不用进入办公区域、不用进行数据传输、不用发生人员方面的接触而获取数据的特点，所以是国家保密局等安全部分非常重视的

10、一种基本防护。对于这种攻击的防护手段已经非常成熟，分别对应不同的实际环境予以选择:现状解决方法没有屏蔽室建立屏敝室光纤网络（条件所限无法建立屏蔽室）不用做电磁防护措施Utp双绞线网络（条件所限无法建立屏蔽 室）需要针对线路做加密，保密局后相关 产品表格i安全环境选择表上面提到的问题还只是电磁泄漏防护的一种解决方案,由于xxxXS通中心网络是涉密网，不需要面向广大市民服务，所以对于电磁防护的问题还需针对现 状进行分析，原则是对于重要的、涉密的设备进行防护。3.2. 恶意的物理破坏所有交换机设备均封闭在单独的房间内，这些房间主要由网络技术部系统管理人员负责维护管理，在物理上实现了安全保护。中心局域

11、网主要的5 类双绞线都布设在地下封闭的金属槽或天花板上封闭的PVC 曹内，遭人为破坏的可能性较小。对于网络线路，主要通过专用测试仪和网络管理软件如Cisco works 2000等来进行监测，管理人员能够及时发现线路阻断等异常故障。3.3. 电力终端网络中心应重点考虑电力中断的问题，由于数据中心存放了非常多的设备，包括小型机、网络设备、pc服务器等，所以电力问题要非常重视，最好能准备两路不同源的电路，因为重要的服务器等设备均有双电源冗余的设计，双电源是网络正常运行的有力保障。重要设备应具有在线式ups控制了全部重要计算机系统的电源管理；并且 安装了针对UNIX和WinNT服务器的自动关机程序，

12、一旦断电时间接近UP薪能承受的延时服务时间的70%，则发出指令自动关闭主要的服务器。3.4. 安全拓扑结构安全拓扑结果应该说是安全体系的一个很重要的组成部分。针对XXXXJM通中心网络的环境分析：由于此系统涉及涉密网络与非涉密网络之间的连接，也有外网与非涉密网的连接，故拓扑结果非常复杂，需要集成商方面针对不同的接入形式做具体分析，并将接入方式去分为物理隔离、逻辑隔离、基于物理隔离的数据交换等几种不同形式，原则上所有内部单位与数据中心的连接均应用防火墙进行逻辑隔离，保证可信的数据传输及对非法访问的拒绝。物理隔离：完全网络上的隔离，对于涉密网与非涉密网之间的连接，无设备逻辑隔离：使用防火墙进行数据

13、交换方面的审查，通行可信数据，拒绝非法请求。针对XXXXH通中心外网与内网之间的连接。给予物理隔离的数据交换：使用基于物理隔离的数据交换进行数据交换方面的审查，通行可信数据，拒绝非法请求。此项方式是防火墙模式的进一步提高，此处对涉密外网有比较高的要求时选用的设备，但是由于原理限制，大大降低网络速度。3.5. 安全旁路问题安全旁路问题是涉密网建设的非常重要的组成部分，针对不同的单位有相应的解决手段。在政府等办公部门主要针对的是物理隔离的内部网络的员工拨号行为，针对研究所等机构主要是软盘，USB设备对于数据的Copy问题，由于目前 XXXX调通中心网络是公众外网，所以对此部分只是做简单提及，解决方

14、式为内 部解决。对于上述内容的管理除了技术上的投入以外还需要进行专门的管理制度上的制定，具体细则请参见管理制度篇。3.6. 解决措施物理层安全应面临的风险主要是环境安全和设备、设施安全问题。为保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏，应采取适当的保护措施。在环境安全上，主要考虑受灾防护和机房区域安全。为此在中心机房内，要施行严格的保安制度，配备好安防和消防等设备。(1) 环境安全保密解决措施：在安置服务器的机房出入口设立门禁系统，分配权限和密码，仅持有权限和密码的人才可以进入机房；管理上要求能够进出机房的人员政治和技术可靠。配备

15、防火器材，合理的布置在机房的四周，做到防范于未然，一旦出现明火现象，可在机房内将其扑灭。在机房内设立摄像监控系统，24 小时监控录像机房内的人员行为，记录影像并标记时间，为可能存在的人为破坏提供比对的证据。重要服务器机房内应充分利用现有的工业空调系统，将机房内温度保持在服务器硬件的平均工作温度下。所有通信线路应尽量安置在防火的 PVC曹内，安置在天花板等人不能直 接接触的地方。(2) 设备安全保密解决措施：建议中心在机房内安置电磁干扰发射仪。中心骨干网络为千兆，骨干为光纤结构，不存在电磁泄漏的问题。中心的桌面应用目前仍是百兆，使用 UTP1接，存在线路泄漏问题。为 止匕，使用UTPife路电磁

16、泄漏干扰仪连接在线路的两端进行电磁发射干扰。(3) 介质安全保密解决措施：介质安全主要体现在存储介质上面如磁带机、光盘和硬盘存储器，机密成果数据的存储介质需要异地保存；在中心设立专门的介质存放室(至少与机房不在一个房间内或一个楼层) ，介质存放室也应做好门禁系统，配备防火器材和空调恒温系统；介质存放室的进出人员应接受严格登记和审核，并在管理上要求政治和技术可靠；对存放在纸上的重要机密信息应严格保存，可以和介质一起放在介质室内，对作废的文件应使用碎纸机或送往纸浆厂监控处理。四 . 网络层安全体系这里说的网络层指的是网络设备上的安全，以及专门执行网络安全功能的相应设备， 尤其指的是数据传输时的安全

17、问题。物理层网络安全体系是现代网络安全体系种非常重要的组成部分，可以说是网络安全的核心，众多的黑客攻击的手段和方法都是针对网络层而开展的，因此网络层安全体系的建设是网络安全建设的重要组成部分。目前的网络安全体系不仅仅是一种安全设备，一种安全手段就可以实现的，随着黑客技术的不断成熟安全体系已经发展成为了多产品，多手段相结合的方式， 也只有多重手段的综合运用才能从整体上实现安全的防护，在安全领域是适用木桶原则的，如果有哪个领域是我们没有考虑到的，则那个部分则最有可能成为被入侵的环节。鉴于目前网络安全技术在国内已经十分成熟，技术上不存在壁垒，故推荐使用国内的安全产品，以防止政府部门由于使用国外产品导

18、致的敏感时期安全设备可能被国外黑客利用，造成不必要的损失情况出现。由于网络层安全体系涉及的内容非常丰富，本章将针对下面列表中的内容做逐一的分析，并给出解决措施。外网攻击内网攻击加密传输安全旁路问题4.1. 外网攻击从外网进行的攻击行为可以说是不胜枚举，近年来国内外出现的大量的网络安全事件 （经媒体报道过的）可以说应用了目前所有的攻击形式，有各种形式的Flood攻击，Ping of death 、Syn flood、DOS DDO潴，此类攻击尤其针对网站，破坏性是不容置疑的，发生在2001 年的五一中美黑客大战就是运用上面攻击形式的结果，致使美国白宫网站不能访问达4 小时之久。除此之外还有数不清

19、的木马攻击，操作系统漏洞，对于应用服务的授权的和未授权的访问等，所有这些问题如果用头疼医头、脚疼医脚的方式就会变得捉襟见肘，最好的解决方案是在内网和外网的交汇处设置防火墙，保证内网、外网的之间访问的安全性及抵抗攻击。卜面用一个简单图示来描绘防火墙的应用InternetDMZ区图表1防火墙的应用简图上图中的DM型:我们可以假想为门户网站的防治区域， 而内网则放置我们的 数据库服务器等更加重要的服务器，同时与其它局、委、办的连接也在内网进行, 同时我们还应对防火墙的访问策略做简单配置：外网DM2EDM2E内网内网DM2EDM2E外网一些其它各个部分之间的访问完全禁止这样数据的传输达成了一个安全通道

20、，即数据访问时：外网 DMZ内网; 回应数据时：内网DMZ外网，内外网之间完全禁止访问，这样即使出现什么安全问题也不会直接将内网中的数据泄漏给外网。下面给出就XXXXM通中心网络建设中防火墙部分应具有的相关功能：支持百兆网络可以实现双机备份双电源冗余至少500, 000的并发连接数支持广泛协议，能够满足视频会议的需求支持单级、多级，统一、分散的管理方式 灵活的定义访问策略 支持路由、透明、混合模式的应用对 DOS、 DDO、S Ping of death 、 Syn flood 、 land 等攻击的专门防护能够实现在线升级用户分级管理数据包内容过滤 详细的日志 由于目前对于防火墙设备的采购和

21、网络拓扑还不清楚，故目前只提供一些技术参数，仅供参考。4.2. 内网攻击与监控数据中心涉密网络内部应用系统平台多且复杂，从技术和管理角度分析，安全隐患也是存在的。内部网络的监管需要技术和管理上并进才可保证安全。来自系统内部人员的攻击是很难防范的，内部工作人员本身在重要应用系统上都有一定的使用权限，并且对系统应用非常清楚，一次试探性的攻击演练都可能会对应用造成系统瘫痪的影响，这种行为单单依靠工具的检测是很难彻底避免的，主要依靠建立完善的管理制度和处罚措施来解决。在中心的内部局域网内，可能存在的攻击者可以将自己的ip 地址改为他人的地址发起攻击，这种做法往往会让管理人员转移调查目标，难以发现真正发

22、起攻击的人。攻击者也可将自己的网卡换掉，修改 mac地址和ip地址向服务器发 起攻击，攻击完后再回到以前的设置，这些问题是目前 XXXXS通中心的安全手 段所解决不了的。在局域网上，用户安全意识不强，口令设置缺乏科学性，易猜测，且更换频率低， 个别人甚至半年以上才更换一次。这为非法用户盗取数据库资源提供了可能。部分UNIX或WindowsNT/2000的命令可以实时检测网络数据包的传输情况，对于 telnet ,rlogin 这些不加密的网络应用，用户登录口令很容易被发现和窃 取。主机操作系统漏洞和错误的系统设置也能导致非法访问的出现。入侵检测是对入侵行为的监测和控制，它通过监视计算机网络或系

23、统的运行， 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，一旦发现攻击能够发出警报并采取相应的措施，如阻断，跟踪等。同时，记录受到攻击的过程，为网络或系统的恢复和追查攻击的来源提供基本数据。此外， 网络入侵检测产品不能完全满足要求，一些发生在服务器或入侵行为和异常现象也会带来不可估量的损失，我们同样建议在服务器Linux 上安装能够监测系统资源(文件，内存)和入侵行为的主机入侵检测系统。(1) 网络入侵检测系统安全解决措施：在骨干交换机上设置一个监听端口span,在交换机上指定该span端口可以监听服务器所在的端口号或vlan ， 然后将网络入侵检测的引擎探头(硬件引擎)分别接在

24、两个span 端口上。将引擎的管理端安装在网管工作站上，并将引擎的管理端口接在交换机上即可。(2) 对入侵检测系统的技术需求比较简单，简述如下：无 IP 侦测引擎支持百兆环境多样的接入方式多样的相应方式，邮件、声音、互动等和防火墙实现联动，能处理复杂问题支持单级、多级的系统管理提供对大型数据库的支持策略库支持在线升级支持 IP 碎片重组数大于50,000支持TCPa还原连接数大于800,000有效工作的流量范围大于70M4.3. 网络设备的安全作为骨干交换设备的交换机往往也是攻击者发起攻击的对象，一旦交换机被攻击（ dos） ， 整个网络可能存在瘫痪的严重后果。交换机内依赖的是固有的网络操作系

25、统ios （网络设备操作系统），解决交换机的安全性问题也应依靠口令和自身漏洞修补等多方面来考虑。中心互连设备中使用了大量的路由、交换设备。他们都支持SNM前单网管协议，并且目前我们的监控体系是符合 SNMPJ、议来实现监控功能的，这些设备 都维护着一个含有设备运行状态、接口信息等资料的MIBS库，运行着SNMP勺主机或设备可以称为SNMPAGENT SNMPf理端和代理端的通信验证问题仅仅取决 于两个 Community 值，一个是 Read Only （R。值，另一个是 Read /Write （RW） 值，拥有RO值的管理端可以查看设备的一些信息包括名称、接口、 ip地址等； 拥有RW直的

26、管理端则可以完全管理该设备。 令人担忧的是，大多支持snmp的互 连设备都是处于运行模式，至少有一个 RO勺默认值为PUBLIC这样会泄漏很多 重要信息。另外，拥有RW默认值的设备在互联网上也是很多。加之SNMPV版本本身的安全验证能力很低，所以极易收到攻击，从而导致互连设备的瘫痪和流量不正常，如果没有冗余设备，那样整个内部网络就会瘫痪。互连设备的弱管理口令，IOS版本太低也会使交换设备受到入侵和拒绝服务 攻击，导致不能正常工作。网络设备的安全性主要从管理终端口令、IOS系统漏洞和SNMP勺COMMUNITY 值问题入手。（1） 内网网络设备安全保密解决措施：从官方站点下载交换机的最新ios

27、版本，要做到及时升级；加强vty和console的管理口令强度，并且口令要求使用 md5加密存储； 加强 enable 和 secret 密码的强度，要求超过8 个字符（字母和数字）的长度，并且和一般的vty 和 console 口令不能相同；加强snmp网管的private 和public 的community值的强度； 对vty终端和snmp的连接进行安全访问控制，制定访问控制列表，仅 允许网管主机的连接访问。4.4. VLAN安全保密在中心内网的骨干三层交换机上进行 VLAN划分，配置三层路由，并配置路Access List ）列表，这样做的优点有：广播流量限制：允许三层路由的单VLAN

28、中的通信广播（寻址）不会散布到其他VLAN中，极大的提高了网络带宽的利用率和工作效率；初级访问控制：划分 VLAN的网络中，如果没有三层路由访问控制的许可，将不能访问其他VLAN中的系统。（1）内网安全VLANgU分解决措施：在中心骨干交换机上按不同应用划分 VLAN并配置三层路由，按照应用和职责配置访问控制列表access-list ，重点保护内网中重要的部门vlan ，在其它交换机上配置trunk on ，使其识别骨干交换机的vlan 划分和安全策略配置；将网络设备的管理IP设置在受保护的Vlan中，并修改ACL使得其它网段的主机无法远程登陆到交换机系统；登陆交换机后对链路实施加密传输，保

29、证信息不被窃取4.5. 入侵取证问题安全这个概念永远没有绝对，攻击和防范是一个有先后次序的概念，总是先有新发现的攻击手法，然后才会有针对该技术的防范，入侵检测就是这个原理，总是定义已有的攻击特征进行攻击判断，IDS的学习功能也都是针对现有攻击的变种手法进行学习和发现。人们很难保证现有的安全措施能够应付新的攻击，信息安全和现实世界的安全都是如此。攻击取证就显得尤为重要，在可能出现的攻击事件发生后，找出攻击者的身份及其攻击所采用的手段是非常重要的事，其一可以帮助找出系统和现行的安全体制中的弱点，其二是找出攻击者后追究责任。（1） 攻击取证解决措施：在重要服务其所在交换机上同样设立一个span 端口

30、，监听整个交换机的数据流量（和 nids 的实施一样）， 将攻击取证系统（黑匣子）接在 span端口上，将管理控制端装在网管机器上就可；一旦新的攻击发生，系统遭到入侵，管理员可以通过管理端察看取证系统地分析结果，最终判断攻击步骤，手法和攻击者的地址。（2） 取证系统的是网络入侵检测、系统日志和相关软件联合作用的结果。五 . 应用层安全体系本措施是为了保证信息的保密性、完整性、可控性、可用性和抗抵赖性，涉密系统需要采用多种安全保密技术，如身份鉴别、信息加密、信息完整性校验、抗抵赖、安全审计、入侵监控、数据库安全、网络防病毒等。5.1. 操作系统安全中心服务器操作系统中以Linux 和 windo

31、ws 2000 Advanced Server 为主，故系统的安全主要以此两种操作系统的加固为主。Windows 9x系统仅具有D1级的安全性，文件一旦在局域网上共享，根据系统管理员日常考察，普通用户设置访问口令的情形不多，并常常是面向所有用户共享。尽管中心设置了VLAN， 但对于水平稍高的内部黑客，还是难以防护。目前已经不再使用Windows 9X 系统。Windows2000 系统和 Linux 系统。由于广泛的应用，发现的安全性问题比较多，几乎每隔一段时间就有关于windows 2000 和 Linux 的漏洞信息发布在互联网上。在系统用户安全上面，可以考虑使用系统平台自身的安全特性，如

32、限制超级用户的数目、增强密码强度、定期察看LOG日志文件、对登录情况进行审计的手段可以做到。我们也将根据经验，针对一些常见的漏洞和错误配置对服务器平台进行安全加固，这些主要是通过打补丁、健壮配置和使用第三方安全监控工具来实现。5.1.1. 服务器系统安全解决措施(主要针对Linux )针对 Linux 系统，先打上官方提供的所有补丁包；调整TCP/IP的内核参数，提高系统抗攻击性；使用漏洞扫描和评估系统扫描这些Linux 系统，对出现的不安全配置进行纠正，对发现存在安全漏洞的系统服务应及时进行升级；加强 Linux 系统的安全配置问题基本上可从以下几个方面考虑，其一是考虑本地eeprom的安全

33、，将eeprom的安全级别至少提升至 comman故别，这样在服务器的启动阶段可以阻止匿名进入光盘启动单用户模式，做法可以通过在 console 下键入 eeprom security-mode=command 来实现；其二是在CD纤境下使用 Admintool或修改/etc/inetd.conf 或修改/etc/rc*.d 下的服务启动文件来关闭一些与应用无关的服务；其三是使用/usr/sbin/ndd-set来改变一些tcp的内核运行参数，可以在不启动系统的情况下更改内核的安全配置；在 Linux 上使用 tripwire 对系统的主要配置程序文件如login 等进行保护，我们使用trip

34、wire 默认的保护文件列表，制定相应的保护策略，对系统进行保护；利用中心现有的备份设备对Linux 系统进行定期完全或增量备份，这样做的好处是可以在万一被破坏后能进行完全恢复；激活尝试登陆失败记录有效；审查 root 属主的 setgid 和 setuid 程序；调整TCP/IP的序列号产生法；禁止ROO用户远程登陆；必要时采用主机入侵检测系统。5.1.2. 服务器系统安全解决措施（主要针对Windows）所有的 windows 2000 客户机应至少打上service pack3 ，并打上一些新发现的漏洞补丁；使用漏洞扫描和评估系统评估，对发现的安全配置和漏洞进行及时修补，使用网络漏洞扫描

35、和评估系统加强 windows2000 系统 的 口令管 理 力度，可能的 情 况下不要使用administrator 作为管理员用户名，可以尝试改名，最好拥有两个管理员账号，然后建立针对管理员账号的锁定策略，禁用一些安全性较低的账号如guest 的本地登录能力；在 nfs 客户机上设立普通用户帐号，由中心的网络管理员控制nfs 客户机上的系统管理员帐号，一般人员使用普通账号登录；使用漏洞扫描和评估系统；对在 Windows2000Server 上运行的程序进行检查，防止出现应用系统的帐户权限与操作系统相重合的现象出现；关闭不必要的服务，在提高系统资源的同时降低可能存在的安全隐患；检查系统启动

36、程序，确保无木马等危害系统运行的程序自动运行；使用个人防火墙及防病毒软件保护系统；如果不是必要，关闭远程系统管理；修改应用服务执行者的权限，最好不要有超级用户权限；修改注册表键值，关闭缓存用户信息；如果有必要则使用NTFSt件系统；设定安全策略；设定审计及日志信息；最好禁用Netbios 服务；删除所有不必要的应用服务的示例文件；必要时采用主机监控系统。5.1.3. 主机安全的解决方案主机安全问题有其特定的问题，由于操作系统的问题是随着时间的延续而逐渐出现的，不是在进行一次安全加固后就可以解决的，所以使用安全工具是非常好的解决方法。对于工具的选择是一个非常重要的，下面列举出比较重要的几个因素：

37、能及时从网络进行升级；能针对Windows、 Unix 两种的操作系统进行评估；提供定时扫描功能；能带帐户进行扫描；能随问题给出解决方案； 完善的分类报表功能；六 . 网络入侵检测系统6.1. 单一防火墙功能的不足经过防火墙的部署后，企业网络的安全水平有了很大的提高，能够抵御来自外部网络的大部分攻击。但是防火墙也有其功能上的不足，一台单一的防火墙并不能形成一套安全的体系。防火墙的不足主要体现在以下几个方面：虽然部署了防火墙，对网络起到了很好的保护作用，但是毕竟有很多服务要对外开放，所以很多攻击手法是防火墙无法阻挡的。比如对WebServer的基于异常URL的攻击，具体体现的例子有 CodeRe

38、d Nimda等等很多。如何及早发现这类攻击方式并处理，是必须解决的问题之一；防火墙虽然可以挡住大部分攻击，但是通常无法留下细节的攻击记录，这对分析攻击行为以及调查取证带来了很大困难，而入侵检测系统刚好可以解决这一问题；防火墙对其发现的入侵行为的报警功能种类不够丰富，可能会影响对入侵行为的响应速度；防火墙不能防止它所保护的内部网络中同一网段之内的相互攻击；由于防火墙具有以上一些缺陷，所以部署了防火墙的网络安全体系还有进一步完善的需要。而网络型入侵检测系统正好可以弥补防火墙的这些缺陷，同防火墙密切的配合，共同保障网络的安全。入侵检测系统是对入侵行为的监测和控制，它通过监视计算机网络或系统的运行，

39、 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，一旦发现攻击能够发出警报并采取相应的措施，如阻断，跟踪等。同时，记录受到攻击的过程，为网络或系统的恢复和追查攻击的来源提供基本数据。6.2. 入侵检测系统的功能和优点入侵检测的功能和优点主要体现在以下几个方面：能在网络中基于内容的检测，能够在对看似合法访问的信息中发现攻击的信息（比如隐藏在URL中的攻击行为），并做出相应的处理；能够对网络的入侵行为进行详细完整的记录，为以后的调查取证提供了有力的保障；对发现的入侵行为有多种灵活的处理方式，比如：中断非法连接、发出电子邮件或传呼警告等等；不仅可以检测来自外部的攻击，还可以检测来自内部的

40、相互攻击；6.3. 入侵检测系统选型网络入侵检测系统是企业安全防护体系的重要补充，那么我们需要什么样的网络入侵检测系统? 我们根据客户对网络入侵检测系统的要求以及我方自身对产品的了解和经验，认为一个优秀的网络入侵检测系统产品应该满足以下几个方面要求：? 优秀的攻击发现能力? 分布部署能力? 集中管理能力? 易于安装使用? 自身安全性好下面我们就网络入侵检测系统产品选型问题提出自己的建议。经过对国内外流行产品的分析，我们决定推荐使用中科网威”网威”网络入侵检测系统。 ”网威”网络入侵检测系统是一款基于网络的实时入侵侦测及响应系统， 它监控网络传输并自动检测和响应可疑的行为，在系统受到危害之前截取

41、和响应安全漏洞和攻击行为，从而最大程度地为企业网络提供安全。中科网威”网威”网络入侵检测系统的开发受益于中国科学院的核心技术， 具有很高的技术水 平，获得广大用户的好评。中科网威”网威”网络入侵检测系统有以下特点：功能特点1 ”网威”IDS 具有 3 种工作模式，能够满足用户各种网络结构要求：单网卡抓包双网卡抓包网桥模式2. “网威" IDS提供多种响应方式。根据用户定义，IDS警报事件在经过系统 过滤后进行及时响应，包括实时切断连接会话、重新配置防火墙，彻底屏蔽攻击、给管理员发送电子邮件、发送SNMPTrap 报警、控制台实时显示、数据库记录等等。性能特点1 .在协议分析的基础上，

42、采用IP数据包分片重组、TC吸据流还原、应用 解码等技术分析、检测，能够识别各种伪装或变形的，降低漏报率，同时去除干扰，减少误报率。2 将“正则表达式 ”应用在针对特征值的模式匹配检测中， 大大减短检测周 期。3网络引擎软件由三个模块组成，保证了模块相对独立，引擎稳定高效。模块间采用缓冲机制，确保高带宽下数据丢失率低。管理特点1 引擎的集中管理：管理员在中央控制台可以直接控制各个引擎的行为，包括启动、停止、添加、删除引擎，也可以按照引擎查看、删除、查询实时警报。2引擎和控制台的双向连接方式：”网威”IDS 支持控制台同时作为客户端和服务器（即同时从一个网络引擎拉数据和向另外一个引擎推数据），这

43、使得网络引擎和控制台的部署可以满足复杂网络拓扑的实际需求。3可指定重点监控对象4分级的用户管理5.提供OpenlDS接口：为了提高网络安全产品之间协同工作、动态防护的互操作性，中科网威提供了入侵侦测系统与防火墙互动的开放接口-OpenIDS6支持大型数据库存储：控制台允许用户将警报的信息改用大型数据库来存取、管理，如 MS SQL Server等。易用性特点1多种预制的策略模板：系统默认提供六种模板，并且支持用户自定义模板，允许用户将自己定义的模板和系统的模板进行导入导出的操作。2完善的策略自定义功能3丰富的报表类型：”网威”网络入侵侦测系统提供了非常简便的全中文入侵警报统计和报表工具。3报警

44、信息的归并4全中文界面5在线升级能力：系统支持在线远程升级策略库，使系统的策略库时刻保持防范的最前沿。自身安全性特点1 通过串口管理引擎2网络引擎操作系统强化安全：网络引擎运行于安全操作系统并经过严格配置。3.专门设计的抗DoS攻击能力：具备防御针对IDS的拒绝服务攻击，采用 的重复事件过滤技术和其他监控手段，使得针对IDS的DoSfc击的冲击降到最低。4采集网卡无IP5所有通信都进行认证和加密全面的产品资质认证中科网威”网威”网络入侵检测系统具有如下的产品资质认证， 为用户提供满意的产品：? 公安部销售许可证? 国家信息安全测评认证证书? 国家保密局技术鉴定? 军用信息产品安全资质认证基于以

45、上原因，我们选择了中科网威”网威”网络入侵检测系统。6.4. 入侵检测系统部署企业网络虽然进行边界保护，但仅是一个被动防御的行为，对来自应用层的攻击缺乏有效的监控手段，我们建议在服务器群部分和重要网段部署中科网威”网威”网络入侵检测系统， 对来自应用层或绕过防火墙、对服务器群的功击进行监控和阻截。“网威”入侵检测系统分别部署在监控网段的交换机之上， 通过端口镜像，对交换机上的所有数据进行监控和分析。同时在网管网段配置一台”网威”入侵检测的中央控制台，对网络中部署的 “网威”网络入侵检测系统进行集中的管理和监控。1) “网威”网络入侵检测系统分为引擎与控制台两个部分。引擎系统为一硬件设备，放在监

46、控网段的交换机上；而控制台软件安装在内部网管工作站上。2) IDS工作时，需要在交换机上配置 PortMirror功能，将其他端口流量映射某一端口上，引擎连接在交换机上该镜像端口，由于IDS 系统采用数据缓冲技术，而不是存储/转发技术，所以不会影响网络性能;3) 网管网段需要配置一台PCServer,安装NIDS控制台，作为入侵检测系统的控制台;4) “网威”网络入侵检测系统引擎能对检测到的所有进出被保护网段 的访问行为并及时通知控制台并依据控制台的指令做出相应的反应(如报警、阻断等)，同时“网威”入侵检测系统还能和“长城”等 防火墙进行联动，即若入侵检测系统的引擎检测到违规的访问行为将 通知

47、防火墙，防火墙将根据收到的信息自动生成动态过虑规则，将该 违规访问行为进行阻断，并通知引擎。“网威”网络入侵检测系统部署结构，如下图所示:网管网段1网段nJ IJ网段2网段1图表“网威”入侵检测部署图6.5. 中科网威”网威”网络入侵检测系统产品介绍6.5.1.1. 系统简介“网威”网络入侵侦测系统是由北京中科网威信息技术有限公司积累多年的安全产品开发经验，在充分调研国内外相关产品和精心准备的基础上独立开发的一款基于网络的实时入侵侦测及响应系统。“网威”系列产品在产品的检测能力、 响应能力以及系统自身的保护能力等方面都进行了精心的设计。该系统作为防火墙的重要补充，与防火墙组成动态防御、预警系统

48、，它能够监视10M/100M/1000MW域以太网上传输的所有网络数据信息，根据用户指定的保护目标及检测策略对网络上传输的数据进行深度分析，当可疑行为或攻击行为发生时立即产生警报，同时根据用户需要能采取多种响应措施，包括立即切断连接会话、重新配置防火墙、发送SNMPTrap 消息、发送电子邮件等。系统采用引擎/控制台结构，网络引擎（以专用硬件形式提供）部署于网络中各个关键点，通过网络和中央控制台（运行于Windows平台）交换信息。网络引擎软件部分运行于安全操作系统之上，负责网络数据的数据获取、分析、 检测，对警报进行过滤和实时响应，并发送给控制台进行显示和记录；控制台负责警报信息的实时显示、

49、记录、查阅等，并支持用户定制检测、响应策略和控制网络引擎。6.5.1.2. 主要功能“网威”网络入侵侦测系统具备一般网络入侵侦测系统的主要功能， 同时针对网络入侵侦测系统面临的威胁和网络入侵侦测系统发展方向开发出多项具有针对性的新功能，此外该系统对于国内外流行的防火墙（包括中科网威“长城”防火墙）提供互动接口，具有较完备的检测、响应、互动能力，是一款高效实用的入侵防范工具，它的具体功能如下：5 2 1 引擎集中管理功能管理员在中央控制台可以直接控制各个引擎的行为，包括启动、停止、 添加、删除引擎，也可以按照引擎查看、删除、查询实时警报。此外，在必要的时候用户还可以通过串口连接引擎主机，通过专用

50、界面对引擎进行控制，包括启动、停止、查看 / 设置网络接口状态、查看引擎运行状态以及系统维护等。5 2 2 策略管理功能策略管理功能为用户提供了一个根据不同网段的危险程度，灵活配置安全策略的工具。网络管理员可以利用策略管理功能，轻松地针对特定的引擎定制策略，以满足不同的网段对网络安全的要求，同时可以自定义规则。网络管理员还可以通过“对象管理”菜单， 方便地对已经制定的策略进行网络对象，服务对象，响应方式以及响应对象修改。同时， 策略管理功能还向用户提供了入侵侦测规则的扩充能力，网络管理员可以根据自己需要定制入侵侦测规则，直接应用于网络引擎，很快实现网络管理员的安全意图。5 2 3 实时入侵侦测

51、功能能实时识别各种基于网络的攻击及其变形，包括DoS攻击、CGI攻击、溢出攻击、 后门探测和活动等。检测攻击或者可疑行为是一般入侵侦测系统的必要功能， 但是大多存在着误报率和漏报率较高的问题， ”网威”网络入侵侦测系统部分的解决了这个问题，通过深入的应用协议分析去除干扰并还原攻击本来面目，成功的降低了误报率和漏报率，使得大量使用“安全扫描”类的黑客工具进行的变形攻击毫无效果，同时去除了干扰，降低了误报率并减轻了检测引擎的工作压力，有利于提高性能。目前可以检测26大类， 1000余种攻击行为及其变形。5 2 4警报过滤功能能根据定制的条件，过滤重复警报事件，减轻传输与响应的压力，同时还能保证警报

52、信息不被遗漏。它能够明显缓解目前针对网络入侵侦测系统的DoS攻击,使得系统能够保持不间断稳定工作。5 2 5 实时响应功能根据用户定义，警报事件在经过系统过滤后进行及时响应，包括实时切断连接会话、 重新配置防火墙，彻底屏蔽攻击、给管理员发送电子邮件、发送 SNMPTrap报警、控制台实时显示、数据库记录等等。5 2 6防火墙互动开放接口OpenIDS为了提高网络安全产品之间协同工作、动态防护的互操作性，中科网威提供了入侵侦测系统与防火墙互动的开放接口一OpenlDS通过OpenlDS,可以根据设定好的阻断时间，通知防火墙选择的进行相应IP 地址、协议端口的阻断。OpenlDS现提供两种接口方式

53、：开发包和可运行的Agent （目前支持Linux）,不需要防火墙厂商进行二次开发。目前可以和”网威”网络入侵侦测系统实现互动的防火墙有包括： 中科网威“长城”防火墙、联想“网御”防火墙、 CheckPoint FireWall-1 和天融信防火 墙等。5 2 7 报表统计和数据库维护功能“网威”网络入侵侦测系统提供了非常简便的入侵警报统计和报表工具。 用户可以根据各种可选条件，例如：引发报警数据包的源IP 地址、目的IP 地址、源端口号、目的端口号、警报产生的时间、危险级别等等，使用单一条件或者复合条件进行查询，当警报信息数量大、信息来源广泛的时候，网络管理员可以很轻松的对警报信息进行分类，

54、从而突出显示网络管理员需要的信息。控制台程序长时间工作后会产生大量的冗余信息，通过压缩数据库，可以使数据库变得更精简，使程序工作效率更高，更稳定。 当数据库达到一定大小的时候， 通过”网威”网络入侵侦测系统的历史数据维护程序， 网络管理员可以根据自己的需要导出某一个确切时间范围内的数据，进行备份，以保证程序的正常运行和日后的查看。数据导入功能则可以将备份的数据导入程序数据库，来查看历史警报信息。5 2 8 强大的策略模板管理功能系统默认提供六种模板，并且支持用户自定义模板，允许用户将自己定义的模板和系统的模板进行导入导出的操作。5 2 9 提供大型数据库转换支持控制台允许用户将警报的信息改用大型数据库来存取、管理，如MS SQLServer 等。5 2 10策略库的在线升级支持系统支持在线远程