公司IPS项目解决方案

1、XXX公司IPS项目解决方案上讯信息技术有限公司上海市浦东区达尔文路88号18号楼上讯信息大厦邮编：201203 电话传真公司网址最后更新日期2011-6-21概述McAfee是全球最大的专业致力于网络信息安全和管理的厂商，也是全球最有影响力的 十大网络软件公司之一。McAfee在全球75个国家设有分支机构，6000多名雇员，授权代理商、分销商、零售 商，发展增值代理(VAR ,并配合系统集成商为行业客户服务。同时，在全球六大洲提供 咨询(Consulting Service )、教育(Total Education Service )、产品支持(World Wide Product Supp

2、ort )等全面服务方案。McAfee拥有世界权威的反病毒紧急事务响应小组(AVERT、IntruVert入侵防护响应 小组及FoundStone漏洞分析小组，提供7/24的研发和支持服务，并且2006年在中国设立 了 NSP研发中心，McAfee密切关注网上安全问题，为组织机构提供整体的安全顾问服 务，推出网上诊室，是安全研究联盟 SRA勺主要成员。与Cisco合作为学校培养网络人 才，与Verisign和Entrust结成战略联盟提供PKIS支持，与Novell联手提供完善的全面 集成的病毒防治能力的网络解决方案。McAfee具有广泛的联盟伙伴，他们是 Microsoft ,IBM/Tiv

3、oli , HP, Dell , Compaq IBM GIS, IBM Lotus , Novell , PT, Seagate Sotware , Cisco System , ALOL Worldcom, GTEo在中国，McAfee建立了深圳研发中心及北京研发中心，来为中国的客户提供更好更全 面的技术和产品服务。McAfee网络入侵防护解决方案可为大型及分布式网络提供保护，使它们免受攻击。这 一网络防护解决方案产品为 McAfee Network Security Platform ,提供基于网络的入侵防 护功能。屡获殊荣的 McAfee Network Security Platfo

4、rm专业网络入侵检测和保护设备系列集成了专利检测技术、集中管理、灵活部署和业内最高的千兆端口密度，从而使金融企 业、运营商和服务提供商以数千兆的速度部署最精确、最全面的实时攻击防护解决方案。 由于解决方案的带宽速度从每秒数百兆到每秒数千兆不等，因此，这些入侵防护解决方案 可以提供遍及整个网络乃至分支机构的前瞻性保护，确保业务的可用性，并保护关键资源 免受已知威胁、零时间攻击、Dos/DDoS击和加密攻击的侵扰。根据XXX公司网络入侵防护设备IPS的功能和性能需求，我们推荐 McAfee的NSP网 络入侵防护产品。具体细节为：(1) XXX公司：共采用4台McAfee NSP M-2950千兆网

5、络入侵防护设备，其中 2台M-2950做Fail-over实现主备链路的高可用性，保障链路的入侵防护以及核心服务 器群数据安全，同时保证端口备份和性能冗余；(2)集中管理平台：采用 Network Security Manager,实现对全部 NSP设备的统一管 理。在全球，McAfee NSP为市场和技术领先的网络入侵防护产品，具使用 In-Line方式接 入到网络中时，可以实现：(1)探测出黑客攻击，并且实时阻断黑客的攻击；(2)探测出已知和未知的蠕虫，实时阻止这些蠕虫进入网络；(3)探测和阻挡当前网络访问中间谍软件、木马和广告软件威胁；(4)根据企业需要进行BT等P2P应用的阻挡，包括S

6、kype；(5)使用漏洞签名和异常探测实现零时间的威胁探测防护，提供给算机网络前瞻的保 护；(6)探测异常网络流量，发现感染蠕虫病毒的计算机或者被黑客成功“穿透”的计算 机；(7)探测和阻挡DOS/DDOS攻击，并且使用SYN Cookie技术确保服务器在SYN FloodDOS攻击下，仍能提供正常的服务；(8)提供全面的安全防护功能，对超过 100种协议进行解码和分析，并提供 SSL加密攻 击检测、内部防火墙、流量记录、流量控制等多项安全功能。McAfee网络入侵防护设备在接入网络后，确保网络性能没有下降，以及提供最将强大的处理能力和检测率，如下图可参考 NSS Lab对各厂商IPS设备的评

7、测结果：数据来源：NSS Group从表中可以看到McAfee NSP提供了最小的网络延迟及优秀的处理性能。数据来源：NSS Labs 2010年IPS设备评测从表中可以看到McAfee NSP提供了最高的检测率和最强的处理性能。2总体方案设计本方案根据XXX公司目前的信息安全建设状况，借助 McAfee在信息安全领域的先进技 术和解决方案，以动态安全风险管理为基础，提出了全面的信息安全解决方案及实施步 骤。其最大的特点是：以全面的量化安全风险为基础，在系统和网络层面构建全面的安全 威胁防御体系，完善健全安全措施，当安全风险等级变化时，风险管理管理系统提供详细 的安全风险变化原因和补救措施，同

8、时，调整系统和网络层面的防御策略，真正的做到全 面防御，有的放矢。风险管理的过程中，如何有效地消除威胁、降低风险是关键，因此，我们首先应该建 立全面的系统和网络防御体系。XXX公司目前已经建立了基础的网络架构，而 McAfee提供 的网络入侵防护产品，可以帮助 XXX公司对抗未知的和将来出现的安全威胁，通过 McAfee NSP (即IPS)构建完善的企业安全边界防御体系，在网络边界实时准确的检测和阻断各类 网络攻击行为、DoS/DDoSt击及未知的攻击流量，并对 P2R IM等应用流量进行管理，完 善整个XXX公司的网络安全建设。本方案描述中涉及以下产品和解决方案：McAfee NSP:基于

9、ASIC及FPGA芯片的硬件网络入侵防护系统，实时阻止黑客 攻击、蠕虫病毒、间谍程序和 DOS/DDOS攻击；McAfee安全风险管理体系：方案中还会结合 McAfee安全风险管理体系的发展前 景，介绍在XXX公司现有环境下的安全体系建设，从而使得各个安全产品协同工 作，增强网络安全综合防御能力。本方案论述了构建XXX公司完整的安全风险管理体系所应包含的各个方面，同时重点 论述了 XXX公司网络边界安全(即入侵防御系统-IPS)的建设和部署方案。XXX公司需求分析及部署方案需求分析随着XXX公司业务的不断扩大，内部网络的发展，原本入侵防御系统已经不能符合内 部业务系统对Internet入口接入

10、的需求，故需要将原先的IPS设备升级至千兆入侵防御系统，增强企业内部的核心应用系统应对黑客攻击、蠕虫、网络病毒、后门木马、DoS/DDoS等威胁的能力。部署方案1）部署建议我们建议M-2950设备1A-1B 口串接在防火墙和 DMZE换机之间，重点保护核心 服务器群的安全。因 McAfee NSP入侵防护系统是双向检测，这样既保障核心服务器 群Internet出口的安全，又可以检测内部核心网络到DMZE应用程序流量；同时在备用链路上也架设一台 M-2950做Fail-over ,当主链路出现故障网络中断时，自动 故障转移到备用链路，采用两台M-2950做HA而不是使用一台IPS设备两对端口，主

11、要也考虑不改变整体网络的HA结构，实现网络的高可用性。同时M-2950型号内置4对fail-open 功能模块（Bypass模块），在采用In-Line方式部署时，防止因 设备故障而造成网络中断。鉴于另一 ISP接入线路能力及业务部署与上图相同，建议可采用相同的防护方 式来进行防护。2）管理建议由于核心业务应用存在不同的网络区域和应用系统平台，我们建议使用“虚拟IPS”技术的M-2950的剩余端口作 SPAN的方式，连接相应的镜像端CIDR表示方法对各个服务站点 IP进行不同的分类，细化检测策略和 DoS/DDoS特征流量。比如 针对核心业务群中的 WEB服务，制定单独的策略，提高 WEB服务

12、器对外服务的安全性。对于其他内部网络，我们建议使用口，可以检测其他内部网络安全情况。对于多台NSP设备，我们建议采用统一管理平台NSP Manger ,这样对以前 DoS等学习的情况，有利于策略的制定及分发。推荐的产品在本方案中我们推荐的是 NSP M-2950,其采用ASIC芯片纯硬件架构设计，可以 确保在IGbps的流量下进行正常的异常流量探测、黑客攻击探测阻断（包括DOS/DDO敌击探测阻断、蠕虫病毒阻挡），并且确保造成的延迟在100微秒左右。产品清单：M-2950设备硬件及参数NSP M-2950实物图吞吐性能：1.0Gbps探测端口密度：8个千兆检测端口（固定铜线端口）12个千兆检测

13、端口（ SFP端口）端口配置选项：10对In-line或者20个Span端口，或者混合端口支持：SFP mini- Gigabit连接器，端口 Bypass: 8个端口内置，其余 6对需外置Fail-Open设备电源：双冗余电源 -可选配置响应端口：10个-用作IDS部署时拦截持续攻击连接管理端口： 1 x 100/1000 Mbps管理端口高可用性：10A 用作 Heart beat signal provider并发连接支持：750,000虚拟 IPS / Firewall 策略：100 个McAfee NSP产品简介NSFS于完整的攻击分析方法而构建，并引入了业界最为全面的网络攻击特征检

14、 测、异常检测以及拒绝服务检测技术，除了可以探测攻击，还可以探测已知未知蠕 虫和后门程序。检测及防御功能网络攻击特征检测为了实现高性能的网络攻击特征检测，NSP体系结构不仅采用了创新的专利技术，而且集成了全面的状态检测引擎、完善的特征规范语言、“用户自定义特征” 以及实时特征更新，确保了 NSP能够提供并维护业界最为全面、更新最及时的攻击 签名数据库，目前签名特征超过4000种，解码协议超过106种。1）特征规范语言NSP以专用的高水平特征规范语言为强大支持。NSP能够从应用程序软件中分离出攻击模式特征，在这个独特的体系结构中，将特征简单地转换为表单项，从而可 以通过直观的用户界面实现实时更新

15、，并可被特征引擎立即使用。目前的IDS产品往往通过软件“补丁程序”来提供新的特征，这不仅降低了部 署速度（必须根据整个IDS软件应用程序进行质量保证），而且也不利于安装（必 须重新启动系统）。而 NSP通过从传感器软件中分离攻击模式特征，从而确保了高 质量的全新特征可以快速部署（无需重新启动系统）。同时，从传感器应用程序代 码中分离特征也使得特征编写人员能够将精力集中在特征编写的“质量”上，而无 需考虑如何将特征构建为应用程序更新补丁。2）全面的状态特征检测引擎NSP体系结构的特征检测引擎引入了强大的上下文敏感检测技术，在数据包中充 分利用了状态信息，它通过使用多个令牌匹配来检测超越了数据包界

16、限的攻击特 征，或超出序列范围的数据包流。3）用户自定义网络攻击特征NSP使得网络安全工程师能够通过一个创新性的图形用户界面（GUI）来编写自定义签名，该界面能够使用通过系统的协议分析功能所获取的字段和数据，或者通 过NSP的分析机制收集的状态信息。4）实时特征更新NSP提供的创新性实时特征更新极大地提升了管理软件的性能，由IntruVert更新服务器提供的全新特征可以通过策略控制自动发送到整个网络，从而确保了新 的特征一经创建，网络即可获得最新的防护功能。NSP体系结构还允许网络工程师决定何时，以及是否在整个网络中部署最新的签名。NSP系统无需重新设置或重新启动任何硬件以便激活新的签名，因此

17、，它们能够自动地、实时地进行部署。异常检测异常检测技术为NSP体系全面的签名检测过程提供了完美的补充，异常检测技 术使得网络工程师能够对突发威胁或首次攻击进行拦截，并创建出一套完整的“异 常档案”，从而保护网络免受当前威胁和未来攻击的骚扰。NSP体系结构提供了业界最为先进、最为全面的异常检测方法一集成了针对统计数据、协议及应用程序的异常检测技术。异常/未知攻击的例子包括新的蠕虫、蓄意的隐性攻击、以及现有攻击在新环境下的变种。异常检测技术也有助于拦截拒绝服务攻击（观察服务质量的变动）和分布式DoS攻击（NSP系统利用流量样式变动（例如TCP控制数据包的统计数据）来决定是否即将发生海量的数据流）。

18、我们将 在下面的部分具体讨论拒绝服务攻击。NSP体系结构的异常检测技术还能够针对其它威胁提供保护，这包括：缓冲区溢 出攻击、由木马程序或内部人员安装的“后门”或恶意攻击、利用低频率进行的隐 性扫描攻击、通过网络中的多个发送点传送表面正常的数据包、以及内部人员违反 安全策略（例如，在网络中安装游戏服务器或音乐存档）。DoS/DDo数击防御NSP检测体系结构的第三根“支柱”就是它完善的拒绝服务防护技术。1）自动记忆以及基于阀值的检测NSP体系结构综合利用了基于阀值的检测技术和获得专利的、具有自动记忆功能 的基于配置文件的检测技术，从而使拒绝服务检测更具智能化。借助基于阀值的检 测功能，网络安全管理

19、员就能够使用预先编写的数据流量限制来确保服务器不会因 负载过重而宕机。同时，自动记忆功能使得 NSP体系结构能够分析网络使用方法和流量的模式， 了解合法网络操作中发生的多种合法，但不常见的使用模式。两种技术的结合确保了对各种 DoS攻击的最高检测准确率一包括分布式拒绝 服务攻击（即恶意程序员为了进攻企业或政府网络，同时对上百个，甚至上千个服 务器发起攻击）。NSP准确的DoS检测技术具有非常重要的意义，因为很多网站和网络都曾经历 过合法的（有时是意外的）、极具吸引力的新程序、服务或应用程序的流量冲击。2）检测技术的关联性正如我们所看到的，NSP体系结构提供了多种操作模式，使得系统能够捕捉恶意

20、流量、提供全面的攻击分析方法、实施完整的智能化签名检测、异常检测以及拒绝 服务防护技术。NSP体系结构的检测关联层连接着系统的签名检测、异常检测以及拒绝服务检测 功能一这种相互关联性以及对可疑流量的交叉检查功能确保了攻击检测的高度准 确性。单一 NSP系统能够对防火墙的公共网段、专用网段以及DMZ网段进行全面的保护，并提供这些网段之间的相互关联性，从而能够针对被拦截的网络攻击或者进入 专用网络的网络攻击提供准确的详细信息。入侵防护功能NSP体系结构提供了业界最准确的攻击检测功能，构造了系统攻击响应机制的坚 实基础。没有足够响应能力的IDS产品只能为网络安全管理员提供有限的功能。现 代的IDS产

21、品必须能够检测出攻击，并提供偏转和拦截恶意流量的方法。NSP体系结构为网络安全管理员提供了一整套手动的和自动的响应措施，并以此 构建起企业或政府机构信息技术安全策略的基础。NSP的入侵响应机制就攻击检测来说，NSP体系结构使系统可以实现以下功能：1）拦截攻击NSP体系结构允许IDS以嵌入模式工作，因此，它能够实时地在攻击源和目标 之间拦截单一数据包、单一会话或数据流量，从而在进程中拦截攻击，而不会影响 任何其它流量2）终止会话NSP体系结构允许针对目标系统、攻击者（或二者同时）重新设置并初始化TCR网络安全工程师可以对发送给源和 /或目标IP地址的重新设置数据包进行配 置。3）修改防火墙策略N

22、SP体系结构允许用户在发生攻击时重新配置网络防火墙，方法是临时改变用户 指定的访问控制协议，同时向安全管理员发出警报。4）实时警报当网络流量违反了安全策略时，NSP体系结构能够实时生成一个警报信息，并发送给管理系统。合理的警报配置是保持有效防护的关键所在。恶性攻击（例如缓冲 区溢出以及拒绝服务）往往需要做出实时响应，而对扫描和探测则可以通过日志进 行记录，并通过进一步的研究确定其潜在的危害和攻击源。网络安全工程师能够获 得有关电子邮件、寻呼程序以及脚步警告的通知，该通知基于预先配置的严重性水 平或特定的攻击类型，例如拒绝服务攻击。基于脚步的警告允许对复杂的通知过程 进行配置，从而能够针对系统面

23、临的攻击向特定团体或个人发出通知。NSP体系结构还提供了一个“警报过滤器”，它允许网络安全工程师根据安全事 件的来源或目标进行筛选。例如，当 IT部门通过一个自有IP地址执行漏洞扫描 时，从该地址生成的事件就可以被过滤掉。5）对数据包进行日志记录在攻击发生时，或攻击发生之后，基于 NSP体系结构的系统能够首先捕获数据 包，并对数据包进行日志记录，然后将该流量重新定向到一个空闲的系统端口，以便进行详细的合法性分析。这个数据包信息就是对触发攻击的实际网络流量的记录。数据被查看后，将转换为libpcap 格式，以便进行演示和说明。类似于Ethereal （运行于UNIX和Windows平台的一款网络

24、协议分析工具）的多种工具可以用来检验数据包日志数据，以便对检测到的事件进行更为详细的分析。NSP体系结构的响应机制提供了该产品平台的基础，安全管理员需要在此基础上开发出响应措施、警报以及日志系统，以便为复杂的现代网络提供最佳的防护。实时过滤蠕虫病毒和Spyware间谍程序在NSP的Signature中包含了蠕虫病毒、Spyware间谍程序、“特洛伊木马”、后门程序的 Signature ,当NSP采用In-Line方式部署时，能过过滤掉流经 NSP的这些恶意程序。而且NSP的邮件未知蠕虫 Signature可以探测邮件中夹带的未知蠕虫病毒，并且将其丢弃，从 而使得NSP可以对抗新的、将来出现的

25、蠕虫病毒。虚拟IPS虚拟IPS能够将NSP探测器划分为多个虚拟探测器，这些虚拟探测器可以使用不同的探测和 防护策略保护不同的 VLAN、子网和主机（包括自定义的攻击选择及相关响应措施）。虚拟 IPS可 以根据一组IP地址、一个或多个 VLAN标记来定义，也可以通过探测器上的特定端口来定义。NSP体系结构的虚拟IPS功能可以通过三种方法来实施。第一，将虚拟局域网 （VLAN）标志分 配给一组网络资源；第二，使用无类别域内路由（CIDR）标志来保护一组IP地址；第三,将 NSP系统接口专门用于保护特定部门、地区机构或组织职能部门的网络资源。基于CIDR的VIPS实施能够使用/32掩码具体到单一主机

26、的水平。例如，可以使用单一主机 的特有策略来识别 DoS攻击，并做出响应。NSP的虚拟IPS功能典型的IDS/IPS只能支持一个传感器一个策略，这将导致过多的误报，或过多的传感器部署。NSP创新的虚拟IPS功能能在一个传感器上实现多个安全策略，可为保护各个特定环境而定义, 减少总体拥有成本。灵活的部署方式NSP支持完全实时攻击阻断的嵌入（In-Line ）模式，也支持传统的 SPAN与HUB监控接入方 式、TAP接入和端口群集接入模式。嵌入模式：NSP系统位于数据路径上，活动的流量必须通过它们。NSP系统通过实时拦截恶意流量来防止网络攻击。用户可以全面自定义预防措施，例如自动拦截针对特定 We

27、b服务器的DoS流量。高速的防护以及高度可用的操作使得NSP系统能够部署在任务关键型环境中。In-line部署模式交换端口分析器（SPAN与集线器监控：一台或多台网络交换机的集线器端口或SPAN端口都可以连接到 NSP系统的检测端口。传感器可以使用同一端口来激活响应措施，例如重新设置某个 TCP连接。SPAN部署模式TA眼式：可对全双工以太网链接的网络通信进行双向监控。通过完全捕获某个一并提供所需NSP系统链接上的所有流量，可以更清楚的了解某个网络攻击的来源和本质 的详细信息，以便能够对未来的攻击进行拦截。这种全双工监控能力使得能够维护完整的状态信息。响应措施包括防火墙重新配置，以及通过专用响

28、应端口来重新设置并初始化TCRTAP部署模式端口群集使得单一 NSP系统通过多个端口监控的流量能够“聚合”成一个流量流，以便进行状态分析和入侵分析。该功能对于非对称路由环境尤其有用，因为这种环境下，请求数据包和响应数据包可能会通过不同的链接进行传送。单一的 NSP 系统就能够监控多个链接，同时可以维护准确的、完整的状态信息。端口群集部署模式具备风险识别的入侵防御(1)集中应对最有关联的告警和攻击，提供显着的运作效率(2)允许导入和关联 Foundstone风险评估信息实现优先级的风险管理，同时也支持开源漏洞扫 描系统Nessus通过具有风险识别功能的入侵防御系统，降低IT成本，并增加操作效率通

29、过识别并阻挡带来最大威胁的攻击，实现最大化安全效果，减少业务风险带有风险识别功能的入侵防御系统内置We段全保护(1)积极主动从计算机虚拟攻击，间谍软件和恶意程序多方面保护Web浏览器和桌面-防止未授权访问及有害程序下载Web客户端保护为McAfee边界和系统保护解决方案提供其他层次的补充保护保护未打补丁的Web浏览器和客户端避免计算机虚拟攻击重大的减少helpdesk & IT成本，防止破坏隐私，保护数据保密性Web客户端防护示意图永远在线的管理平台NSP安全管理系统(ISM)通过Active/Standby主备管理服务器技术提供了连续的，高可用 性的管理平台(2)自动失效故障切换和故障恢复技

30、术允许在关键配置数据出现失效事件时可获得灾难恢复甚至在发生灾难或系统失效时，也能确保关键网络保护的连续性支持共同灾难恢复策略，允许HA部署在备选数据中心管理平台的备份SSL加密攻击检测SSL是一种流行的安全技术选择，SSL在加密敏感信息的同时 连同机灵攻击的攻击也一同加密了，而NSP可以不测SSL机密数据中可能存在的攻击行为：(1)将Web服务器或SSL终端加密的私钥导入 NSP管理服务器NSP管理服务器用传感器的公钥地这些私钥进行加密(3)传感器在启动时收到加密的私钥(4)传感器将SSL密钥保存在内在中，检查 SSL流量中的攻击领先的虚拟内部防火墙McAfee NSP最早发展了 IPS的内部

31、防火墙技术，帮助客户避免重复投资：(1)传统防火墙定义了网络边界NSP提供IPS +防火墙的整合(3)启动突破性的虚拟内部防火墙(4)虚拟内部防火墙提供更多层的内部保护，使企业级策略得以执行领先的内部防火墙MCAfee NSP所获最新国际奖项以前获得奖项：最近获得奖项：迈克菲以其基于主机的产品闻名于世，是拥有成功的网络安全产品的少数安全企业之一。McAfee M-8000 Network Security Platform 通过了 NSS Labs 的 10-Gbps 认证，NSS Labs 是全 球领先的独立安全和性能测试与认证机构。NSS Labs面向全行业开展最全面的高性能安全验证。NS

32、S Labs表示：“M-8000的安全保护有效性几乎在所有方面都拿到了满分网络IPS测试显示了其应对最新威胁的能力美国加利福尼亚州圣克拉拉市2009年8月3日电-迈克菲（纳斯达克股票代码：MFE日前宣布McAfee M-8000 Network Security Platform获得着名的 NSS Labs颁发的“网络入侵防护系统金牌认证”。McAfee M-8000是获得这次2009年度NSS金牌认证的两款IPS设备之一。美国加利福尼亚州圣克拉拉市2009年4月20日电-迈克菲（纳斯达克股票代码：MFE日前宣布领先的研究机构 Gartner将迈克菲公司划归“ 2009年上半年网络入侵防护系统设备魔术象限”的领导者象限，该消息已于 2009年4月14日发布。 据Gartner解释，划归领导者象限 的厂商“在行动和愿景两个方面都作出了努力，并取得了进步。”5设备技术指标一览表McAfee入侵检测系统技术指标一览表分项指标指标及说明入侵保护系统：McAfee NSP M-2950攻击特征条目，角领协议数量，CVE条目数攻击特征：超过4000条解码协议：超过106种CVE条目数：CVE漏洞