IPS解決方案建議(共26頁)

1、精選優(yōu)質文檔-傾情為你奉上采用入侵防御系統(tǒng)增強網(wǎng)絡安全建議目 錄圖例1. 需求分析1.1 權威研究報告指出系統(tǒng)入侵/滲透是目前最大的安全威脅VanDyke Software 組織的一次廣泛而具有影響力的調查顯示，66% 的公司認為系統(tǒng)滲透是政府、組織和企業(yè)所面臨的最大威脅。 該項調查還顯示，被調查企業(yè)所經(jīng)歷的最為嚴重的八種威脅分別是：病毒（占 78%）、系統(tǒng)滲透（占 50%）、DoS (占 40%)、內部人員錯誤操作（占 29%）、電子欺詐（占 28%）、數(shù)據(jù)或網(wǎng)絡故障（占 20%）以及內部人員的非法訪問（占 16%）。 圖 1 權威調查揭示2/3的受訪者認為系統(tǒng)滲透/入侵是面臨的最大安全威脅

2、1.2 現(xiàn)有的安全架構無法應對系統(tǒng)入侵的新威脅雖然在被調查的企業(yè)中，有 86% 已經(jīng)部署了防火墻（老實說，相對于時代的發(fā)展和今天的大環(huán)境，這個數(shù)字低得讓人無法接受），但很明顯，防火墻面對很多入侵行為仍然無計可施。普通的防火墻設計旨在拒絕那些明顯可疑的網(wǎng)絡流量（例如，企業(yè)的安全策略完全禁止 Telnet 訪問，但仍有某些用戶試圖通過 Telnet 訪問某個設備），但仍允許某些流量通過（例如，發(fā)送到內部 Web 服務器的 Web 流量）。 圖 2 現(xiàn)有的FW無法識別攔截應用層面攻擊問題在于，很多攻擊都會嘗試利用那些外圍防火墻允許通過的協(xié)議的漏洞，而且，一旦 Web 服務器遭到攻擊，攻擊者會以此為跳

3、板繼續(xù)對其它內部服務器發(fā)起攻擊。一旦服務器上被安裝了“rootkit”或“后門”，那么黑客們就能夠在未來的任何時間里“大搖大擺”地訪問這臺機器。 一般來說，我們僅將防火墻部署在網(wǎng)絡外圍。但很多攻擊，無論是全球性攻擊還是其它類型的攻擊，往往都是從組織內部發(fā)起的。虛擬專用網(wǎng)、便攜式計算機以及無線網(wǎng)絡都能夠接入到內部網(wǎng)絡，而且經(jīng)常會越過防火墻。入侵檢測系統(tǒng)在檢測可疑活動時可能很有效，但卻不能提供對攻擊的防護。臭名昭著的蠕蟲（例如 Slammer 和 Blaster）都具有驚人的傳播速度，當系統(tǒng)發(fā)出警報時，蠕蟲實際上已經(jīng)導致了損失，而且正在飛速地向外擴散。圖 3 攻擊歷史回顧提醒我們蠕蟲的快速傳播曾造

4、成巨大損失1.3 安全缺口在擴大隨之網(wǎng)絡和應用的不斷發(fā)展，安全的需求也在不斷增長，而我們現(xiàn)有的安全能力卻沒有提高，造成安全缺口不斷在擴大，如下圖所示：圖 4 安全缺口在不斷擴大1.4 系統(tǒng)和網(wǎng)絡安全面臨的實際問題依靠現(xiàn)有的FW、IDS等安全設備，我們已經(jīng)不能及時掌握網(wǎng)絡和系統(tǒng)的安全狀況，也無法及時攔截攻擊和進行補救。下面是一些亟待解決的問題：1. FW、IDS已經(jīng)不能保護應用安全，攻擊能夠穿透防火墻，比如SQL注入攻擊，而我們不可能將SQL使用的TCP端口在防火墻上關閉，因為這樣會將正常的SQL操作也阻斷。這說明FW不能對數(shù)據(jù)流作深度分析，不能檢測到應用層面的攻擊，僅起到訪問控制的作用，而ID

5、S雖然能夠監(jiān)測到攻擊，但是卻不能夠及時自動的攔截攻擊，需要大量的人工干預，效率較低。2. 網(wǎng)絡中的設備和系統(tǒng)越來越多，同時，這些設備和系統(tǒng)使用的操作系統(tǒng)和應用軟件存在的漏洞也不斷被發(fā)現(xiàn)，應用層面的攻擊正是利用了這些漏洞，比如，微軟已經(jīng)公布了很多Web 服務器軟件 IIS和數(shù)據(jù)庫軟件 MS-SQL的系統(tǒng)漏洞，而這些系統(tǒng)被廣泛采用，如何為這些設備和系統(tǒng)及時打補丁(修補漏洞)成為一件必須解決的問題。3. 來自于外部的攻擊越來越多，而且發(fā)展成為零日攻擊（Zero-day Attacks），加之黑客工具泛濫，如果存在漏洞的系統(tǒng)沒有及時打補丁，則潛在被攻擊的可能性極大。4. P2P、IM、Game、流媒體

6、等次要應用占用大量網(wǎng)絡帶寬而影響關鍵應用。5. 不清楚誰或者哪些設備在對我們的網(wǎng)站進行攻擊。6. 針對上述威脅缺乏有效的、自動化的、高性能的解決方案，IT人員工作壓力巨大。2. 問題解決之道 采用IPS增強網(wǎng)絡安全FW不能檢測應用層面的攻擊，而IDS（入侵檢測系統(tǒng)）雖能檢測卻不能及時、有效攔截攻擊，所以我們需要一種既能夠檢測攻擊，又能夠攔截攻擊的方案 入侵防御系統(tǒng)，部署在網(wǎng)絡的關鍵位置。入侵防護系統(tǒng)完全是前瞻性的防御機制，它們的設計旨在對常規(guī)網(wǎng)絡流量中的惡意數(shù)據(jù)包進行檢測（這是目前的防火墻產(chǎn)品無法做到的）、阻止入侵活動、預先對攻擊性的流量進行自動攔截，使它們無法造成損失，而不是在傳送惡意流量的

7、同時或之后，簡單地發(fā)出警報。圖 5 IPS提供主動和自動化的安全防護網(wǎng)絡使用者和管理員不再被下面這些麻煩所困擾：網(wǎng)絡屢遭攻擊后需要進行大量的清理工作但無法徹底清理干凈而復發(fā)；需要在短時間內緊急為大量的服務器打補丁以避免危害面積擴大；泛濫的P2P、IM等“流氓”流量大量侵占了寶貴的帶寬使得關鍵業(yè)務中斷；DoS/DDoS攻擊致使Internet通路堵塞并且導致關鍵服務器宕機。3. IPS部署方案設計3.1 設計原則設計遵循高安全性、高性能、高可靠性和易于管理兼顧的原則。在部署IPS時，需要考慮以下幾點：1. 誤報率和漏報率：這兩個指標應該趨近于零，因為誤報較高必然影響正常業(yè)務，造成人為阻斷，而漏報

8、較高就會大大降低安全效能。一方面，根據(jù)目前系統(tǒng)的情況，作一些有針對性地模擬攻擊測試來考察誤報率和漏報率，另一方面，可以參考一些權威機構的評測報告，如NSS、ICSA。2. 攻擊防護的廣度：低誤報率和漏報率保證了IPS的精度、但還必須能夠防護可能多的攻擊，根據(jù)CERT對今年的漏洞統(tǒng)計，一個好的IPS應該能夠支持3000種上攻擊，能夠保護Windows、Unix/Linux等操作系統(tǒng)、Oracle、SQL等各種數(shù)據(jù)庫、Web等應用軟件漏洞。3. 性能考慮：由于IPS在線部署，我們還必須檢驗其吞吐能力和延時，而這里考察的條件是安全策略大部分都開啟情況下的應用層面的吞吐能力，而不僅僅是像測試路由器和交

9、換機性能那樣檢查三層轉發(fā)性能。部署在千兆鏈路上的IPS其7層處理能力不應該小于800Mbps（真實網(wǎng)絡流量下），而處理延遲應該和千兆交換機相當，即150 200微妙之間。具體評測方法可以借助專業(yè)測試儀器并參考權威機構的評測方法和報告。4. 可靠性：雖然各廠商都聲稱自己的產(chǎn)品具有4個9甚至5個9的高可靠性，但是假定設備在某種情況下過載（CPU利用率超過90%、吞吐能力下降、處理延遲達到秒級），則設備本身需要具備某種自我檢測機制，及時發(fā)現(xiàn)過載，超過某個閾值后自動將安全處理器短路，或者稱為內置旁路功能。5. 安全研究能力和服務：上述考量關注產(chǎn)品的本身，實際上還必須考察設備制造廠商的安全研究能力和服務

10、水平，因為IPS最重要的是提供了一個專家系統(tǒng)并不斷對攻擊特征庫進行更新。具有較強安全研究能力的廠商都擁有業(yè)界知名的專門的安全研究專家，建立一套完整的安全漏洞跟蹤研究、攻擊過濾器研發(fā)體系。除本公司的安全研究團隊外，業(yè)界領先的廠商還創(chuàng)建了廣泛招攬人才的公開安全研究組織。對產(chǎn)品的服務考察上，需要關注攻擊特征庫更新是否及時，是否能夠防御零日攻擊。特征的包的更新應自動完成，最好是利用內容發(fā)布網(wǎng)絡（CDN）進行分發(fā),并發(fā)送提醒郵件給安全管理人員，而更新的頻率一周應至少一次。6. 易于管理：提供即插即用的配置功能，提供安全策略設置的缺省建議，即對數(shù)千個安全防護規(guī)則按照安全風險級別給出設置建議。提供集中式網(wǎng)管

11、，實現(xiàn)安全策略的集中定義和分發(fā)，支持安全規(guī)則的自動下載，更新和分發(fā)。支持豐富的日志、統(tǒng)計和報告功能。3.2 IPS部署設計3.2.1 總體部署方案如下圖所示圖 6 IPS部署總體設計3.2.2 IPS的工作模式TippingPoint IPS的設計遵循了一個很重要的原則：無縫部署?；谶@個原則，無論對已經(jīng)建成的網(wǎng)絡，還是正在建設中的網(wǎng)絡，都可以很容易地將TippingPoint IPS嵌入進任何部分，并且不會對網(wǎng)絡的拓撲、性能、運行帶來任何改動。從邏輯上來看，TippingPoint IPS就好像一根智能的線，這根智能的線卻從根本上解決了困擾網(wǎng)絡的安全問題。圖 7 靈活部署- 從核心到邊界這樣

12、的無縫部署主要體現(xiàn)在以下方面：l 嵌入式部署（in-line）模型保證最簡化的部署步驟，而不需要進行交換機鏡像等復雜的配置，更不需要更改網(wǎng)絡拓撲。l 檢測接口不需要IP地址，也不需要MAC地址，一旦接入網(wǎng)絡，立刻開始保護網(wǎng)絡；同時保證自身對攻擊源是隱身的，增強整網(wǎng)的安全性。l 高性能、低時延使得TippingPoint IPS無論被部署在網(wǎng)絡核心還是邊緣，都可以提供線速的精確檢測和實時阻斷能力，對網(wǎng)絡業(yè)務的效率沒有任何的損傷。同時，流量限制能力保證關鍵應用的優(yōu)先級。l 提供攻擊過濾器的推薦配置，實現(xiàn)了即插即用，經(jīng)過精心分析、調試、驗證的數(shù)字疫苗可以在不經(jīng)任何調整的情況下正常工作，無需任何調整即

13、可抵御已知的網(wǎng)絡威脅，堪稱專家系統(tǒng)。3.2.3 安全防護設計得益于我們獨到的和技術領先的硬件和過濾器家族，我們能夠提供以下三個主要的安全防護： 應用防護 網(wǎng)絡架構防護 性能防護圖 8 TippingPoint IPS三大應用場景 應用防護TippingPoint IPS的一大應用是部署在數(shù)據(jù)中心和DMZ前，一旦IPS在線工作，對關鍵業(yè)務和應用的安全防護將得到顯著增強。圖 9 IPS 部署 應用防護IPS最核心的功能就是保護各種應用系統(tǒng)，比如Web 服務、數(shù)據(jù)庫、郵件系統(tǒng)、存儲系統(tǒng)，以及Windows、Unix/Linux等各種操作系統(tǒng)。由于各種系統(tǒng)存在弱點和漏洞，而攻擊正是針對這

14、些漏洞的探測和利用行為，IPS必須能夠保護這些弱點/漏洞。TippingPoint的IPS提供虛擬軟件補丁功能：IT部門承擔著測試、部署補丁，防御零日攻擊的重任，也承擔了極大壓力。TippingPoint的IPS虛擬軟件補丁采用了漏洞防護過濾器技術，能夠對數(shù)據(jù)流進行深度檢測以發(fā)現(xiàn)攻擊并具有極高的精準性，即使其保護的服務器沒有打補丁也不會被攻擊，同時保證調用存在漏洞進程的正常業(yè)務運行。目前的版本提供1200個漏洞過濾器，能夠保護Windows、Unix/Linux等操作系統(tǒng)、Oracle、SQL等各種數(shù)據(jù)庫、Web等應用軟件漏洞。圖 10 虛擬軟件補丁針對局機關政務公開網(wǎng)站、網(wǎng)上業(yè)務系統(tǒng)、郵件等

15、各種Web和應用服務器較多的特點，我們還提供增強的SQL 注入攻擊、PHP Include攻擊和XSS跨站腳本攻擊防御服務，防止主頁被篡改，數(shù)據(jù)庫數(shù)據(jù)被破壞。 SQL 注入 跨站腳本 PHP 文件包含.SQL 注入攻擊防御：SQL注入是利用web站點的弱點來攻擊后端數(shù)據(jù)庫的攻擊，所以我們會在安全策略執(zhí)行點對HTTP請求中有關SQL語句的語法和參數(shù)進行檢查，及時發(fā)現(xiàn)惡意的SQL請求，并在策略策略執(zhí)行點立即將其攔截。目前可以提供100多種SQL注入攔截手段。PHP include 攻擊防御：現(xiàn)在很多論壇和網(wǎng)站都使用PHP程序開發(fā)的，而由于PHP漏洞的問題，面臨PHP include各種攻擊的威脅。

16、如果漏洞被利用，攻擊者能夠講惡意的PHP 。代碼強行插入到被攻擊的PHP應用里。我們能夠提供防護各種針對php軟件（如，phpBB、PHPNuke，MyPHP、Claroline、Cacti PHP）的PHP include 攻擊?？缯灸_本攻擊防御：Web服務安全另一大威脅是跨站腳本攻擊 XSS/CSS (Cross Site Script) attack。它利用網(wǎng)頁及cookies漏洞，攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達到惡意用戶的特殊目的。比如通過跨站構造一個表單，表單的內容則為利用程序的備份功能或者加管理員等功能

17、得到一個高權限。開放Web軟件安全計劃(Open Web Application Security Project,OWASP)甚至將其列為2007年Web安全威脅之首。XSS攻擊的一個典型案例是PDF閱讀器Adobe Acrobat Reader上的跨站腳本攻擊。我們目前提供防御30多種XSS攻擊的服務。3.2.4 網(wǎng)絡架構防護一方面，構成網(wǎng)絡基礎的路由器、交換機、防火墻等設備本身的操作系統(tǒng)也被發(fā)現(xiàn)存在弱點/漏洞，所以IPS必須能夠識別和攔截這些針對網(wǎng)絡設備本身漏洞的攻擊。另一方面，DDoS攻擊會產(chǎn)生大量和正常應用一樣的攻擊流量，這可能導致路由器、交換機、防火墻因過載而癱瘓，進而造成網(wǎng)絡阻斷

18、，網(wǎng)上應用也隨即中斷，所以IPS應該具有一定的DDoS防護功能。圖 11 IPS部署 網(wǎng)絡架構防護當需要對網(wǎng)絡架構進行防護時，IPS可以部署在網(wǎng)絡邊界、核心、主要網(wǎng)段，以及遠程分支/辦公室的關鍵網(wǎng)絡上，如上圖所示。 性能防護網(wǎng)絡上有各種應用，這其中也包括是用次要的，或者業(yè)務管理策略不允許的應用，如點對點文檔共享 (P2P)應用或即使消息軟件 (IM)。IPS的性能保護功能就是保護網(wǎng)絡帶寬及主機性能，阻斷或者限制應用程序占用網(wǎng)絡或者系統(tǒng)資源，防止網(wǎng)絡鏈路擁塞導致關鍵應用程序數(shù)據(jù)將無法在網(wǎng)絡上傳輸。P2P就是允許大量用戶之間直接互連進行信息共享，而不是像過去那樣都必須連接到服務器去進

19、行信息交換和共享，所以P2P重要特點是改變互聯(lián)網(wǎng)現(xiàn)在的以大網(wǎng)站為中心的狀態(tài)、采用分布式的架構進行信息發(fā)布、共享和存儲。P2P應用給網(wǎng)絡帶來的問題主要有兩個，第一，P2P應用實現(xiàn)大量用戶的文件共享，用戶越多建立的連接就越多，而且每個人既是客戶端又是服務器，即同時進行下載和上傳，所以對網(wǎng)絡帶寬占用很大，必然影響到郵件、在線交易，網(wǎng)絡視頻等關鍵應用；第二，P2P采用UDP端點交換信息、傳送數(shù)據(jù)，而且采用了NAT穿透技術，所以用FW很難控制P2P應用，而這可能成為機密信息泄漏的便捷通道。圖 12 IPS部署- 性能防護作性能防護時，IPS一般部署在網(wǎng)絡邊界、主要網(wǎng)段和遠程辦公室的關鍵路徑上。3.3 網(wǎng)

20、管設計圖 13 IPS安全管理設計如上圖所示，在數(shù)據(jù)中心部署一臺TippingPoint 安全管理系統(tǒng)（SMS）管理全部35臺IPS，一臺SMS能夠管理100臺以上設備，缺省配置管理25臺設備的license，本次需要增加管理10臺設備的額外license。SMS管理IPS采用帶外管理方式，即通過IPS專用的管理口（以太網(wǎng)），如上圖中虛線所示，因為IPS的業(yè)務端口是透明的，沒有任何IP地址。本次需要為SMS和這些IPS分配專用的管理IP地址，而且在路由上要保證SMS到各IPS可達，并且在相關FW和路由器上放開SMS和IPS通信使用的IP和TCP/UDP端口，具體配置請參照SMS和IPS用戶手冊

21、。TippingPoint IPS解決方案提供三種管理方式：l SMS Security Management System，面向規(guī)模部署的綜合管理中心l LSM Local Security Manager，面向獨立部署的嵌入式管理軟件l CLI Command Line Interface，面向專業(yè)用戶的命令行管理工具圖 14 安全管理系統(tǒng)TippingPoint SMS是為管理IPS集群而專門開發(fā)的管理系統(tǒng)軟件，它預裝在1U的高性能服務器中交付用戶使用。一臺SMS能夠管理很多臺IPS，其主要任務是發(fā)現(xiàn)、監(jiān)控、配置和診斷在網(wǎng)絡中部署的IPS設備，同時為管理員生成詳細的報表，以支撐網(wǎng)絡安全狀

22、況的評估和診斷。SMS管理系統(tǒng)基于安全Java技術開發(fā)，整個SMS管理體系由以下三部分構成：l 安全的Java的客戶端l SMS服務器l 被管理的IPS集群SMS管理體系可以提供：l IPS設備清單和運行狀況報表l 數(shù)字疫苗自動下載和分發(fā)l 攻擊攔截統(tǒng)計l 安全趨勢報表l 實時流量分析與圖形報表l 網(wǎng)絡主機與服務統(tǒng)計報表SMS中的一個非常有用的部件是儀表板，如下圖所示：網(wǎng)絡架構管理性能管理應用管理圖 15 SMS儀表板借助以上這些全景式的分析功能，網(wǎng)絡的安全狀況管理不再是令管理員頭痛的問題：在全景式分析報表中，管理員可以輕松的看到所有IPS當前的性能狀況報包括告警事件更新和需要關注的潛在問題。

23、TippingPoint 隨機提供本地安全管理器（LSM）和命令行接口（CLI）。在基于Web的安全而易用的管理介面上，用戶能夠完成各項管理、配置、監(jiān)控和基本報表任務。圖 16 本地安全管理系統(tǒng)3.3.1 可靠性設計TippingPoint IPS 具有極高的可靠性，其被設計成在網(wǎng)絡出錯、設備自身故障、甚至完全掉電的情況下，仍然能夠保證流量以線速通過的高可靠設備。l 物理級保護和掉電事故保護按照電信級標準設計的TippingPoint IPS采用冗余電源供電，并且支持在線更換。圖 17 掉電旁路保護設備 - ZPHA掉電保護設備ZPHA（Zero Power High Availability）是TippingPoint IPS的輔助設備。該設備可以在IPS電源全部實效的情況下，自動旁路IPS，直接轉發(fā)流量；當SMS監(jiān)測到IPS掉電并發(fā)出告警、管理員恢復電源供給后，ZPHA又會自動禁止旁路功能令流量將再度流經(jīng)IPS接受檢測。冗余電源和ZPHA可以保證被IPS保護的網(wǎng)絡不會因為引入IPS而出現(xiàn)物理級的單點故障。按照本次招標的要求，我們?yōu)镈MZ區(qū)的IPS（A01-01）配備了ZPHA，如下圖所示：圖 18 DMZ區(qū)IPS高可靠性設計l 系統(tǒng)軟件故障保護圖 19 內置系統(tǒng)故障旁路內置的監(jiān)測模塊持續(xù)地監(jiān)測IPS的安全和管理引擎，一旦探測到系統(tǒng)故障，IPS能自動地，或者由管理員干預，回退