公司IPS項(xiàng)目解決方案

1、XXX公司IPS項(xiàng)目解決方案上訊信息技術(shù)有限公司上海市浦東區(qū)達(dá)爾文路88號(hào)18號(hào)樓上訊信息大廈郵編：201203 電話傳真公司網(wǎng)址最后更新日期2011-6-21概述McAfee是全球最大的專業(yè)致力于網(wǎng)絡(luò)信息安全和管理的廠商，也是全球最有影響力的 十大網(wǎng)絡(luò)軟件公司之一。McAfee在全球75個(gè)國(guó)家設(shè)有分支機(jī)構(gòu)，6000多名雇員，授權(quán)代理商、分銷商、零售 商，發(fā)展增值代理(VAR ,并配合系統(tǒng)集成商為行業(yè)客戶服務(wù)。同時(shí)，在全球六大洲提供 咨詢(Consulting Service )、教育(Total Education Service )、產(chǎn)品支持(World Wide Product Supp

2、ort )等全面服務(wù)方案。McAfee擁有世界權(quán)威的反病毒緊急事務(wù)響應(yīng)小組(AVERT、IntruVert入侵防護(hù)響應(yīng) 小組及FoundStone漏洞分析小組，提供7/24的研發(fā)和支持服務(wù)，并且2006年在中國(guó)設(shè)立 了 NSP研發(fā)中心，McAfee密切關(guān)注網(wǎng)上安全問(wèn)題，為組織機(jī)構(gòu)提供整體的安全顧問(wèn)服 務(wù)，推出網(wǎng)上診室，是安全研究聯(lián)盟 SRA勺主要成員。與Cisco合作為學(xué)校培養(yǎng)網(wǎng)絡(luò)人 才，與Verisign和Entrust結(jié)成戰(zhàn)略聯(lián)盟提供PKIS支持，與Novell聯(lián)手提供完善的全面 集成的病毒防治能力的網(wǎng)絡(luò)解決方案。McAfee具有廣泛的聯(lián)盟伙伴，他們是 Microsoft ,IBM/Tiv

3、oli , HP, Dell , Compaq IBM GIS, IBM Lotus , Novell , PT, Seagate Sotware , Cisco System , ALOL Worldcom, GTEo在中國(guó)，McAfee建立了深圳研發(fā)中心及北京研發(fā)中心，來(lái)為中國(guó)的客戶提供更好更全 面的技術(shù)和產(chǎn)品服務(wù)。McAfee網(wǎng)絡(luò)入侵防護(hù)解決方案可為大型及分布式網(wǎng)絡(luò)提供保護(hù)，使它們免受攻擊。這 一網(wǎng)絡(luò)防護(hù)解決方案產(chǎn)品為 McAfee Network Security Platform ,提供基于網(wǎng)絡(luò)的入侵防 護(hù)功能。屢獲殊榮的 McAfee Network Security Platfo

4、rm專業(yè)網(wǎng)絡(luò)入侵檢測(cè)和保護(hù)設(shè)備系列集成了專利檢測(cè)技術(shù)、集中管理、靈活部署和業(yè)內(nèi)最高的千兆端口密度，從而使金融企 業(yè)、運(yùn)營(yíng)商和服務(wù)提供商以數(shù)千兆的速度部署最精確、最全面的實(shí)時(shí)攻擊防護(hù)解決方案。 由于解決方案的帶寬速度從每秒數(shù)百兆到每秒數(shù)千兆不等，因此，這些入侵防護(hù)解決方案 可以提供遍及整個(gè)網(wǎng)絡(luò)乃至分支機(jī)構(gòu)的前瞻性保護(hù)，確保業(yè)務(wù)的可用性，并保護(hù)關(guān)鍵資源 免受已知威脅、零時(shí)間攻擊、Dos/DDoS擊和加密攻擊的侵?jǐn)_。根據(jù)XXX公司網(wǎng)絡(luò)入侵防護(hù)設(shè)備IPS的功能和性能需求，我們推薦 McAfee的NSP網(wǎng) 絡(luò)入侵防護(hù)產(chǎn)品。具體細(xì)節(jié)為：(1) XXX公司：共采用4臺(tái)McAfee NSP M-2950千兆網(wǎng)

5、絡(luò)入侵防護(hù)設(shè)備，其中 2臺(tái)M-2950做Fail-over實(shí)現(xiàn)主備鏈路的高可用性，保障鏈路的入侵防護(hù)以及核心服務(wù) 器群數(shù)據(jù)安全，同時(shí)保證端口備份和性能冗余；(2)集中管理平臺(tái)：采用 Network Security Manager,實(shí)現(xiàn)對(duì)全部 NSP設(shè)備的統(tǒng)一管 理。在全球，McAfee NSP為市場(chǎng)和技術(shù)領(lǐng)先的網(wǎng)絡(luò)入侵防護(hù)產(chǎn)品，具使用 In-Line方式接 入到網(wǎng)絡(luò)中時(shí)，可以實(shí)現(xiàn)：(1)探測(cè)出黑客攻擊，并且實(shí)時(shí)阻斷黑客的攻擊；(2)探測(cè)出已知和未知的蠕蟲(chóng)，實(shí)時(shí)阻止這些蠕蟲(chóng)進(jìn)入網(wǎng)絡(luò)；(3)探測(cè)和阻擋當(dāng)前網(wǎng)絡(luò)訪問(wèn)中間諜軟件、木馬和廣告軟件威脅；(4)根據(jù)企業(yè)需要進(jìn)行BT等P2P應(yīng)用的阻擋，包括S

6、kype；(5)使用漏洞簽名和異常探測(cè)實(shí)現(xiàn)零時(shí)間的威脅探測(cè)防護(hù)，提供給算機(jī)網(wǎng)絡(luò)前瞻的保 護(hù)；(6)探測(cè)異常網(wǎng)絡(luò)流量，發(fā)現(xiàn)感染蠕蟲(chóng)病毒的計(jì)算機(jī)或者被黑客成功“穿透”的計(jì)算 機(jī)；(7)探測(cè)和阻擋DOS/DDOS攻擊，并且使用SYN Cookie技術(shù)確保服務(wù)器在SYN FloodDOS攻擊下，仍能提供正常的服務(wù)；(8)提供全面的安全防護(hù)功能，對(duì)超過(guò) 100種協(xié)議進(jìn)行解碼和分析，并提供 SSL加密攻 擊檢測(cè)、內(nèi)部防火墻、流量記錄、流量控制等多項(xiàng)安全功能。McAfee網(wǎng)絡(luò)入侵防護(hù)設(shè)備在接入網(wǎng)絡(luò)后，確保網(wǎng)絡(luò)性能沒(méi)有下降，以及提供最將強(qiáng)大的處理能力和檢測(cè)率，如下圖可參考 NSS Lab對(duì)各廠商IPS設(shè)備的評(píng)

7、測(cè)結(jié)果：數(shù)據(jù)來(lái)源：NSS Group從表中可以看到McAfee NSP提供了最小的網(wǎng)絡(luò)延遲及優(yōu)秀的處理性能。數(shù)據(jù)來(lái)源：NSS Labs 2010年IPS設(shè)備評(píng)測(cè)從表中可以看到McAfee NSP提供了最高的檢測(cè)率和最強(qiáng)的處理性能。2總體方案設(shè)計(jì)本方案根據(jù)XXX公司目前的信息安全建設(shè)狀況，借助 McAfee在信息安全領(lǐng)域的先進(jìn)技 術(shù)和解決方案，以動(dòng)態(tài)安全風(fēng)險(xiǎn)管理為基礎(chǔ)，提出了全面的信息安全解決方案及實(shí)施步 驟。其最大的特點(diǎn)是：以全面的量化安全風(fēng)險(xiǎn)為基礎(chǔ)，在系統(tǒng)和網(wǎng)絡(luò)層面構(gòu)建全面的安全 威脅防御體系，完善健全安全措施，當(dāng)安全風(fēng)險(xiǎn)等級(jí)變化時(shí)，風(fēng)險(xiǎn)管理管理系統(tǒng)提供詳細(xì) 的安全風(fēng)險(xiǎn)變化原因和補(bǔ)救措施，同

8、時(shí)，調(diào)整系統(tǒng)和網(wǎng)絡(luò)層面的防御策略，真正的做到全 面防御，有的放矢。風(fēng)險(xiǎn)管理的過(guò)程中，如何有效地消除威脅、降低風(fēng)險(xiǎn)是關(guān)鍵，因此，我們首先應(yīng)該建 立全面的系統(tǒng)和網(wǎng)絡(luò)防御體系。XXX公司目前已經(jīng)建立了基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，而 McAfee提供 的網(wǎng)絡(luò)入侵防護(hù)產(chǎn)品，可以幫助 XXX公司對(duì)抗未知的和將來(lái)出現(xiàn)的安全威脅，通過(guò) McAfee NSP (即IPS)構(gòu)建完善的企業(yè)安全邊界防御體系，在網(wǎng)絡(luò)邊界實(shí)時(shí)準(zhǔn)確的檢測(cè)和阻斷各類 網(wǎng)絡(luò)攻擊行為、DoS/DDoSt擊及未知的攻擊流量，并對(duì) P2R IM等應(yīng)用流量進(jìn)行管理，完 善整個(gè)XXX公司的網(wǎng)絡(luò)安全建設(shè)。本方案描述中涉及以下產(chǎn)品和解決方案：McAfee NSP:基于

9、ASIC及FPGA芯片的硬件網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，實(shí)時(shí)阻止黑客 攻擊、蠕蟲(chóng)病毒、間諜程序和 DOS/DDOS攻擊；McAfee安全風(fēng)險(xiǎn)管理體系：方案中還會(huì)結(jié)合 McAfee安全風(fēng)險(xiǎn)管理體系的發(fā)展前 景，介紹在XXX公司現(xiàn)有環(huán)境下的安全體系建設(shè)，從而使得各個(gè)安全產(chǎn)品協(xié)同工 作，增強(qiáng)網(wǎng)絡(luò)安全綜合防御能力。本方案論述了構(gòu)建XXX公司完整的安全風(fēng)險(xiǎn)管理體系所應(yīng)包含的各個(gè)方面，同時(shí)重點(diǎn) 論述了 XXX公司網(wǎng)絡(luò)邊界安全(即入侵防御系統(tǒng)-IPS)的建設(shè)和部署方案。XXX公司需求分析及部署方案需求分析隨著XXX公司業(yè)務(wù)的不斷擴(kuò)大，內(nèi)部網(wǎng)絡(luò)的發(fā)展，原本入侵防御系統(tǒng)已經(jīng)不能符合內(nèi) 部業(yè)務(wù)系統(tǒng)對(duì)Internet入口接入

10、的需求，故需要將原先的IPS設(shè)備升級(jí)至千兆入侵防御系統(tǒng)，增強(qiáng)企業(yè)內(nèi)部的核心應(yīng)用系統(tǒng)應(yīng)對(duì)黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒、后門木馬、DoS/DDoS等威脅的能力。部署方案1）部署建議我們建議M-2950設(shè)備1A-1B 口串接在防火墻和 DMZE換機(jī)之間，重點(diǎn)保護(hù)核心 服務(wù)器群的安全。因 McAfee NSP入侵防護(hù)系統(tǒng)是雙向檢測(cè)，這樣既保障核心服務(wù)器 群Internet出口的安全，又可以檢測(cè)內(nèi)部核心網(wǎng)絡(luò)到DMZE應(yīng)用程序流量；同時(shí)在備用鏈路上也架設(shè)一臺(tái) M-2950做Fail-over ,當(dāng)主鏈路出現(xiàn)故障網(wǎng)絡(luò)中斷時(shí)，自動(dòng) 故障轉(zhuǎn)移到備用鏈路，采用兩臺(tái)M-2950做HA而不是使用一臺(tái)IPS設(shè)備兩對(duì)端口，主

11、要也考慮不改變整體網(wǎng)絡(luò)的HA結(jié)構(gòu)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性。同時(shí)M-2950型號(hào)內(nèi)置4對(duì)fail-open 功能模塊（Bypass模塊），在采用In-Line方式部署時(shí)，防止因 設(shè)備故障而造成網(wǎng)絡(luò)中斷。鑒于另一 ISP接入線路能力及業(yè)務(wù)部署與上圖相同，建議可采用相同的防護(hù)方 式來(lái)進(jìn)行防護(hù)。2）管理建議由于核心業(yè)務(wù)應(yīng)用存在不同的網(wǎng)絡(luò)區(qū)域和應(yīng)用系統(tǒng)平臺(tái)，我們建議使用“虛擬IPS”技術(shù)的M-2950的剩余端口作 SPAN的方式，連接相應(yīng)的鏡像端CIDR表示方法對(duì)各個(gè)服務(wù)站點(diǎn) IP進(jìn)行不同的分類，細(xì)化檢測(cè)策略和 DoS/DDoS特征流量。比如 針對(duì)核心業(yè)務(wù)群中的 WEB服務(wù)，制定單獨(dú)的策略，提高 WEB服務(wù)

12、器對(duì)外服務(wù)的安全性。對(duì)于其他內(nèi)部網(wǎng)絡(luò)，我們建議使用口，可以檢測(cè)其他內(nèi)部網(wǎng)絡(luò)安全情況。對(duì)于多臺(tái)NSP設(shè)備，我們建議采用統(tǒng)一管理平臺(tái)NSP Manger ,這樣對(duì)以前 DoS等學(xué)習(xí)的情況，有利于策略的制定及分發(fā)。推薦的產(chǎn)品在本方案中我們推薦的是 NSP M-2950,其采用ASIC芯片純硬件架構(gòu)設(shè)計(jì)，可以 確保在IGbps的流量下進(jìn)行正常的異常流量探測(cè)、黑客攻擊探測(cè)阻斷（包括DOS/DDO敵擊探測(cè)阻斷、蠕蟲(chóng)病毒阻擋），并且確保造成的延遲在100微秒左右。產(chǎn)品清單：M-2950設(shè)備硬件及參數(shù)NSP M-2950實(shí)物圖吞吐性能：1.0Gbps探測(cè)端口密度：8個(gè)千兆檢測(cè)端口（固定銅線端口）12個(gè)千兆檢測(cè)

13、端口（ SFP端口）端口配置選項(xiàng)：10對(duì)In-line或者20個(gè)Span端口，或者混合端口支持：SFP mini- Gigabit連接器，端口 Bypass: 8個(gè)端口內(nèi)置，其余 6對(duì)需外置Fail-Open設(shè)備電源：雙冗余電源 -可選配置響應(yīng)端口：10個(gè)-用作IDS部署時(shí)攔截持續(xù)攻擊連接管理端口： 1 x 100/1000 Mbps管理端口高可用性：10A 用作 Heart beat signal provider并發(fā)連接支持：750,000虛擬 IPS / Firewall 策略：100 個(gè)McAfee NSP產(chǎn)品簡(jiǎn)介NSFS于完整的攻擊分析方法而構(gòu)建，并引入了業(yè)界最為全面的網(wǎng)絡(luò)攻擊特征檢

14、 測(cè)、異常檢測(cè)以及拒絕服務(wù)檢測(cè)技術(shù)，除了可以探測(cè)攻擊，還可以探測(cè)已知未知蠕 蟲(chóng)和后門程序。檢測(cè)及防御功能網(wǎng)絡(luò)攻擊特征檢測(cè)為了實(shí)現(xiàn)高性能的網(wǎng)絡(luò)攻擊特征檢測(cè)，NSP體系結(jié)構(gòu)不僅采用了創(chuàng)新的專利技術(shù)，而且集成了全面的狀態(tài)檢測(cè)引擎、完善的特征規(guī)范語(yǔ)言、“用戶自定義特征” 以及實(shí)時(shí)特征更新，確保了 NSP能夠提供并維護(hù)業(yè)界最為全面、更新最及時(shí)的攻擊 簽名數(shù)據(jù)庫(kù)，目前簽名特征超過(guò)4000種，解碼協(xié)議超過(guò)106種。1）特征規(guī)范語(yǔ)言NSP以專用的高水平特征規(guī)范語(yǔ)言為強(qiáng)大支持。NSP能夠從應(yīng)用程序軟件中分離出攻擊模式特征，在這個(gè)獨(dú)特的體系結(jié)構(gòu)中，將特征簡(jiǎn)單地轉(zhuǎn)換為表單項(xiàng)，從而可 以通過(guò)直觀的用戶界面實(shí)現(xiàn)實(shí)時(shí)更新

15、，并可被特征引擎立即使用。目前的IDS產(chǎn)品往往通過(guò)軟件“補(bǔ)丁程序”來(lái)提供新的特征，這不僅降低了部 署速度（必須根據(jù)整個(gè)IDS軟件應(yīng)用程序進(jìn)行質(zhì)量保證），而且也不利于安裝（必 須重新啟動(dòng)系統(tǒng)）。而 NSP通過(guò)從傳感器軟件中分離攻擊模式特征，從而確保了高 質(zhì)量的全新特征可以快速部署（無(wú)需重新啟動(dòng)系統(tǒng)）。同時(shí)，從傳感器應(yīng)用程序代 碼中分離特征也使得特征編寫人員能夠?qū)⒕性谔卣骶帉懙摹百|(zhì)量”上，而無(wú) 需考慮如何將特征構(gòu)建為應(yīng)用程序更新補(bǔ)丁。2）全面的狀態(tài)特征檢測(cè)引擎NSP體系結(jié)構(gòu)的特征檢測(cè)引擎引入了強(qiáng)大的上下文敏感檢測(cè)技術(shù)，在數(shù)據(jù)包中充 分利用了狀態(tài)信息，它通過(guò)使用多個(gè)令牌匹配來(lái)檢測(cè)超越了數(shù)據(jù)包界

16、限的攻擊特 征，或超出序列范圍的數(shù)據(jù)包流。3）用戶自定義網(wǎng)絡(luò)攻擊特征NSP使得網(wǎng)絡(luò)安全工程師能夠通過(guò)一個(gè)創(chuàng)新性的圖形用戶界面（GUI）來(lái)編寫自定義簽名，該界面能夠使用通過(guò)系統(tǒng)的協(xié)議分析功能所獲取的字段和數(shù)據(jù)，或者通 過(guò)NSP的分析機(jī)制收集的狀態(tài)信息。4）實(shí)時(shí)特征更新NSP提供的創(chuàng)新性實(shí)時(shí)特征更新極大地提升了管理軟件的性能，由IntruVert更新服務(wù)器提供的全新特征可以通過(guò)策略控制自動(dòng)發(fā)送到整個(gè)網(wǎng)絡(luò)，從而確保了新 的特征一經(jīng)創(chuàng)建，網(wǎng)絡(luò)即可獲得最新的防護(hù)功能。NSP體系結(jié)構(gòu)還允許網(wǎng)絡(luò)工程師決定何時(shí)，以及是否在整個(gè)網(wǎng)絡(luò)中部署最新的簽名。NSP系統(tǒng)無(wú)需重新設(shè)置或重新啟動(dòng)任何硬件以便激活新的簽名，因此

17、，它們能夠自動(dòng)地、實(shí)時(shí)地進(jìn)行部署。異常檢測(cè)異常檢測(cè)技術(shù)為NSP體系全面的簽名檢測(cè)過(guò)程提供了完美的補(bǔ)充，異常檢測(cè)技 術(shù)使得網(wǎng)絡(luò)工程師能夠?qū)ν话l(fā)威脅或首次攻擊進(jìn)行攔截，并創(chuàng)建出一套完整的“異 常檔案”，從而保護(hù)網(wǎng)絡(luò)免受當(dāng)前威脅和未來(lái)攻擊的騷擾。NSP體系結(jié)構(gòu)提供了業(yè)界最為先進(jìn)、最為全面的異常檢測(cè)方法一集成了針對(duì)統(tǒng)計(jì)數(shù)據(jù)、協(xié)議及應(yīng)用程序的異常檢測(cè)技術(shù)。異常/未知攻擊的例子包括新的蠕蟲(chóng)、蓄意的隱性攻擊、以及現(xiàn)有攻擊在新環(huán)境下的變種。異常檢測(cè)技術(shù)也有助于攔截拒絕服務(wù)攻擊（觀察服務(wù)質(zhì)量的變動(dòng)）和分布式DoS攻擊（NSP系統(tǒng)利用流量樣式變動(dòng)（例如TCP控制數(shù)據(jù)包的統(tǒng)計(jì)數(shù)據(jù)）來(lái)決定是否即將發(fā)生海量的數(shù)據(jù)流）。

18、我們將 在下面的部分具體討論拒絕服務(wù)攻擊。NSP體系結(jié)構(gòu)的異常檢測(cè)技術(shù)還能夠針對(duì)其它威脅提供保護(hù)，這包括：緩沖區(qū)溢 出攻擊、由木馬程序或內(nèi)部人員安裝的“后門”或惡意攻擊、利用低頻率進(jìn)行的隱 性掃描攻擊、通過(guò)網(wǎng)絡(luò)中的多個(gè)發(fā)送點(diǎn)傳送表面正常的數(shù)據(jù)包、以及內(nèi)部人員違反 安全策略（例如，在網(wǎng)絡(luò)中安裝游戲服務(wù)器或音樂(lè)存檔）。DoS/DDo數(shù)擊防御NSP檢測(cè)體系結(jié)構(gòu)的第三根“支柱”就是它完善的拒絕服務(wù)防護(hù)技術(shù)。1）自動(dòng)記憶以及基于閥值的檢測(cè)NSP體系結(jié)構(gòu)綜合利用了基于閥值的檢測(cè)技術(shù)和獲得專利的、具有自動(dòng)記憶功能 的基于配置文件的檢測(cè)技術(shù)，從而使拒絕服務(wù)檢測(cè)更具智能化。借助基于閥值的檢 測(cè)功能，網(wǎng)絡(luò)安全管理

19、員就能夠使用預(yù)先編寫的數(shù)據(jù)流量限制來(lái)確保服務(wù)器不會(huì)因 負(fù)載過(guò)重而宕機(jī)。同時(shí)，自動(dòng)記憶功能使得 NSP體系結(jié)構(gòu)能夠分析網(wǎng)絡(luò)使用方法和流量的模式， 了解合法網(wǎng)絡(luò)操作中發(fā)生的多種合法，但不常見(jiàn)的使用模式。兩種技術(shù)的結(jié)合確保了對(duì)各種 DoS攻擊的最高檢測(cè)準(zhǔn)確率一包括分布式拒絕 服務(wù)攻擊（即惡意程序員為了進(jìn)攻企業(yè)或政府網(wǎng)絡(luò)，同時(shí)對(duì)上百個(gè)，甚至上千個(gè)服 務(wù)器發(fā)起攻擊）。NSP準(zhǔn)確的DoS檢測(cè)技術(shù)具有非常重要的意義，因?yàn)楹芏嗑W(wǎng)站和網(wǎng)絡(luò)都曾經(jīng)歷 過(guò)合法的（有時(shí)是意外的）、極具吸引力的新程序、服務(wù)或應(yīng)用程序的流量沖擊。2）檢測(cè)技術(shù)的關(guān)聯(lián)性正如我們所看到的，NSP體系結(jié)構(gòu)提供了多種操作模式，使得系統(tǒng)能夠捕捉惡意

20、流量、提供全面的攻擊分析方法、實(shí)施完整的智能化簽名檢測(cè)、異常檢測(cè)以及拒絕 服務(wù)防護(hù)技術(shù)。NSP體系結(jié)構(gòu)的檢測(cè)關(guān)聯(lián)層連接著系統(tǒng)的簽名檢測(cè)、異常檢測(cè)以及拒絕服務(wù)檢測(cè) 功能一這種相互關(guān)聯(lián)性以及對(duì)可疑流量的交叉檢查功能確保了攻擊檢測(cè)的高度準(zhǔn) 確性。單一 NSP系統(tǒng)能夠?qū)Ψ阑饓Φ墓簿W(wǎng)段、專用網(wǎng)段以及DMZ網(wǎng)段進(jìn)行全面的保護(hù)，并提供這些網(wǎng)段之間的相互關(guān)聯(lián)性，從而能夠針對(duì)被攔截的網(wǎng)絡(luò)攻擊或者進(jìn)入 專用網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊提供準(zhǔn)確的詳細(xì)信息。入侵防護(hù)功能NSP體系結(jié)構(gòu)提供了業(yè)界最準(zhǔn)確的攻擊檢測(cè)功能，構(gòu)造了系統(tǒng)攻擊響應(yīng)機(jī)制的堅(jiān) 實(shí)基礎(chǔ)。沒(méi)有足夠響應(yīng)能力的IDS產(chǎn)品只能為網(wǎng)絡(luò)安全管理員提供有限的功能?，F(xiàn) 代的IDS產(chǎn)

21、品必須能夠檢測(cè)出攻擊，并提供偏轉(zhuǎn)和攔截惡意流量的方法。NSP體系結(jié)構(gòu)為網(wǎng)絡(luò)安全管理員提供了一整套手動(dòng)的和自動(dòng)的響應(yīng)措施，并以此 構(gòu)建起企業(yè)或政府機(jī)構(gòu)信息技術(shù)安全策略的基礎(chǔ)。NSP的入侵響應(yīng)機(jī)制就攻擊檢測(cè)來(lái)說(shuō)，NSP體系結(jié)構(gòu)使系統(tǒng)可以實(shí)現(xiàn)以下功能：1）攔截攻擊NSP體系結(jié)構(gòu)允許IDS以嵌入模式工作，因此，它能夠?qū)崟r(shí)地在攻擊源和目標(biāo) 之間攔截單一數(shù)據(jù)包、單一會(huì)話或數(shù)據(jù)流量，從而在進(jìn)程中攔截攻擊，而不會(huì)影響 任何其它流量2）終止會(huì)話NSP體系結(jié)構(gòu)允許針對(duì)目標(biāo)系統(tǒng)、攻擊者（或二者同時(shí)）重新設(shè)置并初始化TCR網(wǎng)絡(luò)安全工程師可以對(duì)發(fā)送給源和 /或目標(biāo)IP地址的重新設(shè)置數(shù)據(jù)包進(jìn)行配 置。3）修改防火墻策略N

22、SP體系結(jié)構(gòu)允許用戶在發(fā)生攻擊時(shí)重新配置網(wǎng)絡(luò)防火墻，方法是臨時(shí)改變用戶 指定的訪問(wèn)控制協(xié)議，同時(shí)向安全管理員發(fā)出警報(bào)。4）實(shí)時(shí)警報(bào)當(dāng)網(wǎng)絡(luò)流量違反了安全策略時(shí)，NSP體系結(jié)構(gòu)能夠?qū)崟r(shí)生成一個(gè)警報(bào)信息，并發(fā)送給管理系統(tǒng)。合理的警報(bào)配置是保持有效防護(hù)的關(guān)鍵所在。惡性攻擊（例如緩沖 區(qū)溢出以及拒絕服務(wù)）往往需要做出實(shí)時(shí)響應(yīng)，而對(duì)掃描和探測(cè)則可以通過(guò)日志進(jìn) 行記錄，并通過(guò)進(jìn)一步的研究確定其潛在的危害和攻擊源。網(wǎng)絡(luò)安全工程師能夠獲 得有關(guān)電子郵件、尋呼程序以及腳步警告的通知，該通知基于預(yù)先配置的嚴(yán)重性水 平或特定的攻擊類型，例如拒絕服務(wù)攻擊?；谀_步的警告允許對(duì)復(fù)雜的通知過(guò)程 進(jìn)行配置，從而能夠針對(duì)系統(tǒng)面

23、臨的攻擊向特定團(tuán)體或個(gè)人發(fā)出通知。NSP體系結(jié)構(gòu)還提供了一個(gè)“警報(bào)過(guò)濾器”，它允許網(wǎng)絡(luò)安全工程師根據(jù)安全事 件的來(lái)源或目標(biāo)進(jìn)行篩選。例如，當(dāng) IT部門通過(guò)一個(gè)自有IP地址執(zhí)行漏洞掃描 時(shí)，從該地址生成的事件就可以被過(guò)濾掉。5）對(duì)數(shù)據(jù)包進(jìn)行日志記錄在攻擊發(fā)生時(shí)，或攻擊發(fā)生之后，基于 NSP體系結(jié)構(gòu)的系統(tǒng)能夠首先捕獲數(shù)據(jù) 包，并對(duì)數(shù)據(jù)包進(jìn)行日志記錄，然后將該流量重新定向到一個(gè)空閑的系統(tǒng)端口，以便進(jìn)行詳細(xì)的合法性分析。這個(gè)數(shù)據(jù)包信息就是對(duì)觸發(fā)攻擊的實(shí)際網(wǎng)絡(luò)流量的記錄。數(shù)據(jù)被查看后，將轉(zhuǎn)換為libpcap 格式，以便進(jìn)行演示和說(shuō)明。類似于Ethereal （運(yùn)行于UNIX和Windows平臺(tái)的一款網(wǎng)絡(luò)

24、協(xié)議分析工具）的多種工具可以用來(lái)檢驗(yàn)數(shù)據(jù)包日志數(shù)據(jù)，以便對(duì)檢測(cè)到的事件進(jìn)行更為詳細(xì)的分析。NSP體系結(jié)構(gòu)的響應(yīng)機(jī)制提供了該產(chǎn)品平臺(tái)的基礎(chǔ)，安全管理員需要在此基礎(chǔ)上開(kāi)發(fā)出響應(yīng)措施、警報(bào)以及日志系統(tǒng)，以便為復(fù)雜的現(xiàn)代網(wǎng)絡(luò)提供最佳的防護(hù)。實(shí)時(shí)過(guò)濾蠕蟲(chóng)病毒和Spyware間諜程序在NSP的Signature中包含了蠕蟲(chóng)病毒、Spyware間諜程序、“特洛伊木馬”、后門程序的 Signature ,當(dāng)NSP采用In-Line方式部署時(shí)，能過(guò)過(guò)濾掉流經(jīng) NSP的這些惡意程序。而且NSP的郵件未知蠕蟲(chóng) Signature可以探測(cè)郵件中夾帶的未知蠕蟲(chóng)病毒，并且將其丟棄，從 而使得NSP可以對(duì)抗新的、將來(lái)出現(xiàn)的

25、蠕蟲(chóng)病毒。虛擬IPS虛擬IPS能夠?qū)SP探測(cè)器劃分為多個(gè)虛擬探測(cè)器，這些虛擬探測(cè)器可以使用不同的探測(cè)和 防護(hù)策略保護(hù)不同的 VLAN、子網(wǎng)和主機(jī)（包括自定義的攻擊選擇及相關(guān)響應(yīng)措施）。虛擬 IPS可 以根據(jù)一組IP地址、一個(gè)或多個(gè) VLAN標(biāo)記來(lái)定義，也可以通過(guò)探測(cè)器上的特定端口來(lái)定義。NSP體系結(jié)構(gòu)的虛擬IPS功能可以通過(guò)三種方法來(lái)實(shí)施。第一，將虛擬局域網(wǎng) （VLAN）標(biāo)志分 配給一組網(wǎng)絡(luò)資源；第二，使用無(wú)類別域內(nèi)路由（CIDR）標(biāo)志來(lái)保護(hù)一組IP地址；第三,將 NSP系統(tǒng)接口專門用于保護(hù)特定部門、地區(qū)機(jī)構(gòu)或組織職能部門的網(wǎng)絡(luò)資源?；贑IDR的VIPS實(shí)施能夠使用/32掩碼具體到單一主機(jī)

26、的水平。例如，可以使用單一主機(jī) 的特有策略來(lái)識(shí)別 DoS攻擊，并做出響應(yīng)。NSP的虛擬IPS功能典型的IDS/IPS只能支持一個(gè)傳感器一個(gè)策略，這將導(dǎo)致過(guò)多的誤報(bào)，或過(guò)多的傳感器部署。NSP創(chuàng)新的虛擬IPS功能能在一個(gè)傳感器上實(shí)現(xiàn)多個(gè)安全策略，可為保護(hù)各個(gè)特定環(huán)境而定義, 減少總體擁有成本。靈活的部署方式NSP支持完全實(shí)時(shí)攻擊阻斷的嵌入（In-Line ）模式，也支持傳統(tǒng)的 SPAN與HUB監(jiān)控接入方 式、TAP接入和端口群集接入模式。嵌入模式：NSP系統(tǒng)位于數(shù)據(jù)路徑上，活動(dòng)的流量必須通過(guò)它們。NSP系統(tǒng)通過(guò)實(shí)時(shí)攔截惡意流量來(lái)防止網(wǎng)絡(luò)攻擊。用戶可以全面自定義預(yù)防措施，例如自動(dòng)攔截針對(duì)特定 We

27、b服務(wù)器的DoS流量。高速的防護(hù)以及高度可用的操作使得NSP系統(tǒng)能夠部署在任務(wù)關(guān)鍵型環(huán)境中。In-line部署模式交換端口分析器（SPAN與集線器監(jiān)控：一臺(tái)或多臺(tái)網(wǎng)絡(luò)交換機(jī)的集線器端口或SPAN端口都可以連接到 NSP系統(tǒng)的檢測(cè)端口。傳感器可以使用同一端口來(lái)激活響應(yīng)措施，例如重新設(shè)置某個(gè) TCP連接。SPAN部署模式TA眼式：可對(duì)全雙工以太網(wǎng)鏈接的網(wǎng)絡(luò)通信進(jìn)行雙向監(jiān)控。通過(guò)完全捕獲某個(gè)一并提供所需NSP系統(tǒng)鏈接上的所有流量，可以更清楚的了解某個(gè)網(wǎng)絡(luò)攻擊的來(lái)源和本質(zhì) 的詳細(xì)信息，以便能夠?qū)ξ磥?lái)的攻擊進(jìn)行攔截。這種全雙工監(jiān)控能力使得能夠維護(hù)完整的狀態(tài)信息。響應(yīng)措施包括防火墻重新配置，以及通過(guò)專用響

28、應(yīng)端口來(lái)重新設(shè)置并初始化TCRTAP部署模式端口群集使得單一 NSP系統(tǒng)通過(guò)多個(gè)端口監(jiān)控的流量能夠“聚合”成一個(gè)流量流，以便進(jìn)行狀態(tài)分析和入侵分析。該功能對(duì)于非對(duì)稱路由環(huán)境尤其有用，因?yàn)檫@種環(huán)境下，請(qǐng)求數(shù)據(jù)包和響應(yīng)數(shù)據(jù)包可能會(huì)通過(guò)不同的鏈接進(jìn)行傳送。單一的 NSP 系統(tǒng)就能夠監(jiān)控多個(gè)鏈接，同時(shí)可以維護(hù)準(zhǔn)確的、完整的狀態(tài)信息。端口群集部署模式具備風(fēng)險(xiǎn)識(shí)別的入侵防御(1)集中應(yīng)對(duì)最有關(guān)聯(lián)的告警和攻擊，提供顯著的運(yùn)作效率(2)允許導(dǎo)入和關(guān)聯(lián) Foundstone風(fēng)險(xiǎn)評(píng)估信息實(shí)現(xiàn)優(yōu)先級(jí)的風(fēng)險(xiǎn)管理，同時(shí)也支持開(kāi)源漏洞掃 描系統(tǒng)Nessus通過(guò)具有風(fēng)險(xiǎn)識(shí)別功能的入侵防御系統(tǒng)，降低IT成本，并增加操作效率通

29、過(guò)識(shí)別并阻擋帶來(lái)最大威脅的攻擊，實(shí)現(xiàn)最大化安全效果，減少業(yè)務(wù)風(fēng)險(xiǎn)帶有風(fēng)險(xiǎn)識(shí)別功能的入侵防御系統(tǒng)內(nèi)置We段全保護(hù)(1)積極主動(dòng)從計(jì)算機(jī)虛擬攻擊，間諜軟件和惡意程序多方面保護(hù)Web瀏覽器和桌面-防止未授權(quán)訪問(wèn)及有害程序下載Web客戶端保護(hù)為McAfee邊界和系統(tǒng)保護(hù)解決方案提供其他層次的補(bǔ)充保護(hù)保護(hù)未打補(bǔ)丁的Web瀏覽器和客戶端避免計(jì)算機(jī)虛擬攻擊重大的減少helpdesk & IT成本，防止破壞隱私，保護(hù)數(shù)據(jù)保密性Web客戶端防護(hù)示意圖永遠(yuǎn)在線的管理平臺(tái)NSP安全管理系統(tǒng)(ISM)通過(guò)Active/Standby主備管理服務(wù)器技術(shù)提供了連續(xù)的，高可用 性的管理平臺(tái)(2)自動(dòng)失效故障切換和故障恢復(fù)技

30、術(shù)允許在關(guān)鍵配置數(shù)據(jù)出現(xiàn)失效事件時(shí)可獲得災(zāi)難恢復(fù)甚至在發(fā)生災(zāi)難或系統(tǒng)失效時(shí)，也能確保關(guān)鍵網(wǎng)絡(luò)保護(hù)的連續(xù)性支持共同災(zāi)難恢復(fù)策略，允許HA部署在備選數(shù)據(jù)中心管理平臺(tái)的備份SSL加密攻擊檢測(cè)SSL是一種流行的安全技術(shù)選擇，SSL在加密敏感信息的同時(shí) 連同機(jī)靈攻擊的攻擊也一同加密了，而NSP可以不測(cè)SSL機(jī)密數(shù)據(jù)中可能存在的攻擊行為：(1)將Web服務(wù)器或SSL終端加密的私鑰導(dǎo)入 NSP管理服務(wù)器NSP管理服務(wù)器用傳感器的公鑰地這些私鑰進(jìn)行加密(3)傳感器在啟動(dòng)時(shí)收到加密的私鑰(4)傳感器將SSL密鑰保存在內(nèi)在中，檢查 SSL流量中的攻擊領(lǐng)先的虛擬內(nèi)部防火墻McAfee NSP最早發(fā)展了 IPS的內(nèi)部

31、防火墻技術(shù)，幫助客戶避免重復(fù)投資：(1)傳統(tǒng)防火墻定義了網(wǎng)絡(luò)邊界NSP提供IPS +防火墻的整合(3)啟動(dòng)突破性的虛擬內(nèi)部防火墻(4)虛擬內(nèi)部防火墻提供更多層的內(nèi)部保護(hù)，使企業(yè)級(jí)策略得以執(zhí)行領(lǐng)先的內(nèi)部防火墻MCAfee NSP所獲最新國(guó)際獎(jiǎng)項(xiàng)以前獲得獎(jiǎng)項(xiàng)：最近獲得獎(jiǎng)項(xiàng)：邁克菲以其基于主機(jī)的產(chǎn)品聞名于世，是擁有成功的網(wǎng)絡(luò)安全產(chǎn)品的少數(shù)安全企業(yè)之一。McAfee M-8000 Network Security Platform 通過(guò)了 NSS Labs 的 10-Gbps 認(rèn)證，NSS Labs 是全 球領(lǐng)先的獨(dú)立安全和性能測(cè)試與認(rèn)證機(jī)構(gòu)。NSS Labs面向全行業(yè)開(kāi)展最全面的高性能安全驗(yàn)證。NS

32、S Labs表示：“M-8000的安全保護(hù)有效性幾乎在所有方面都拿到了滿分網(wǎng)絡(luò)IPS測(cè)試顯示了其應(yīng)對(duì)最新威脅的能力美國(guó)加利福尼亞州圣克拉拉市2009年8月3日電-邁克菲（納斯達(dá)克股票代碼：MFE日前宣布McAfee M-8000 Network Security Platform獲得著名的 NSS Labs頒發(fā)的“網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)金牌認(rèn)證”。McAfee M-8000是獲得這次2009年度NSS金牌認(rèn)證的兩款I(lǐng)PS設(shè)備之一。美國(guó)加利福尼亞州圣克拉拉市2009年4月20日電-邁克菲（納斯達(dá)克股票代碼：MFE日前宣布領(lǐng)先的研究機(jī)構(gòu) Gartner將邁克菲公司劃歸“ 2009年上半年網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)設(shè)備魔術(shù)象限”的領(lǐng)導(dǎo)者象限，該消息已于 2009年4月14日發(fā)布。 據(jù)Gartner解釋，劃歸領(lǐng)導(dǎo)者象限 的廠商“在行動(dòng)和愿景兩個(gè)方面都作出了努力，并取得了進(jìn)步?！?設(shè)備技術(shù)指標(biāo)一覽表McAfee入侵檢測(cè)系統(tǒng)技術(shù)指標(biāo)一覽表分項(xiàng)指標(biāo)指標(biāo)及說(shuō)明入侵保護(hù)系統(tǒng)：McAfee NSP M-2950攻擊特征條目，角領(lǐng)協(xié)議數(shù)量，CVE條目數(shù)攻擊特征：超過(guò)4000條解碼協(xié)議：超過(guò)106種CVE條目數(shù)：CVE漏洞