XXX公司IPS项目解决方案

《XXX公司IPS项目解决方案》由会员分享，可在线阅读，更多相关《XXX公司IPS项目解决方案（27页珍藏版）》请在金锄头文库上搜索。

1、 XXX公司IPS项目解决方案XXX公司IPS项目解决方案上讯信息技术有限公司上海市浦东区达尔文路88号18号楼上讯信息大厦邮编:201203电话:86-21-51905999传真:86-21-51905959公司网址:最后更新日期 2011-6-2目 录1概述32总体方案设计63XXX公司需求分析及部署方案73.1需求分析73.2部署方案73.3推荐的产品84McAfee NSP产品简介104.1检测及防御功能104.1.1网络攻击特征检测104.1.2异常检测114.1.3DoS/DDoS攻击防御124.1.4入侵防护功能134.2实时过滤蠕虫病毒和Spyware间谍程序144.3虚拟IP

2、S154.4灵活的部署方式164.5具备风险识别的入侵防御174.6内置Web安全保护184.7永远在线的管理平台194.8SSL加密攻击检测204.9领先的虚拟内部防火墙204.10McAfee NSP所获最新国际奖项215设备技术指标一览表246成功案例267供应商及实施人员组成261 概述McAfee是全球最大的专业致力于网络信息安全和管理的厂商，也是全球最有影响力的十大网络软件公司之一。McAfee在全球75个国家设有分支机构，6000多名雇员，授权代理商、分销商、零售商，发展增值代理（VAR），并配合系统集成商为行业客户服务。同时，在全球六大洲提供咨询（Consulting Serv

3、ice）、教育（Total Education Service）、产品支持（World Wide Product Support）等全面服务方案。McAfee拥有世界权威的反病毒紧急事务响应小组（AVERT）、IntruVert入侵防护响应小组及FoundStone漏洞分析小组，提供7/24的研发和支持服务，并且2006年在中国设立了NSP研发中心， McAfee密切关注网上安全问题，为组织机构提供整体的安全顾问服务，推出网上诊室，是安全研究联盟SRA的主要成员。与Cisco合作为学校培养网络人才，与Verisign和Entrust结成战略联盟提供PKIS支持，与Novell联手提供完善的全面

4、集成的病毒防治能力的网络解决方案。McAfee具有广泛的联盟伙伴，他们是Microsoft，IBM/Tivoli，HP，Dell，Compaq，IBM GIS，IBM Lotus，Novell，PT，Seagate Sotware，Cisco System，ALOL，Worldcom，GTE等。在中国，McAfee建立了深圳研发中心及北京研发中心，来为中国的客户提供更好更全面的技术和产品服务。McAfee网络入侵防护解决方案可为大型及分布式网络提供保护，使它们免受攻击。这一网络防护解决方案产品为McAfee Network Security Platform，提供基于网络的入侵防护功能。屡获殊

5、荣的McAfee Network Security Platform专业网络入侵检测和保护设备系列集成了专利检测技术、集中管理、灵活部署和业内最高的千兆端口密度，从而使金融企业、运营商和服务提供商以数千兆的速度部署最精确、最全面的实时攻击防护解决方案。由于解决方案的带宽速度从每秒数百兆到每秒数千兆不等，因此，这些入侵防护解决方案可以提供遍及整个网络乃至分支机构的前瞻性保护，确保业务的可用性，并保护关键资源免受已知威胁、零时间攻击、Dos/DDoS攻击和加密攻击的侵扰。 根据XXX公司网络入侵防护设备IPS的功能和性能需求，我们推荐McAfee的NSP网络入侵防护产品。具体细节为：(1) XXX

6、公司：共采用4台McAfee NSP M-2950千兆网络入侵防护设备，其中2台M-2950做Fail-over实现主备链路的高可用性，保障链路的入侵防护以及核心服务器群数据安全，同时保证端口备份和性能冗余；(2) 集中管理平台：采用Network Security Manager，实现对全部NSP设备的统一管理。在全球，McAfee NSP为市场和技术领先的网络入侵防护产品，其使用In-Line方式接入到网络中时，可以实现：(1) 探测出黑客攻击，并且实时阻断黑客的攻击；(2) 探测出已知和未知的蠕虫，实时阻止这些蠕虫进入网络；(3) 探测和阻挡当前网络访问中间谍软件、木马和广告软件威胁；(

7、4) 根据企业需要进行BT等P2P应用的阻挡，包括Skype；(5) 使用漏洞签名和异常探测实现零时间的威胁探测防护，提供给算机网络前瞻的保护；(6) 探测异常网络流量，发现感染蠕虫病毒的计算机或者被黑客成功“穿透”的计算机；(7) 探测和阻挡DOS/DDOS攻击，并且使用SYN Cookie技术确保服务器在SYN Flood DOS攻击下，仍能提供正常的服务；(8) 提供全面的安全防护功能，对超过100种协议进行解码和分析，并提供SSL加密攻击检测、内部防火墙、流量记录、流量控制等多项安全功能。McAfee网络入侵防护设备在接入网络后，确保网络性能没有下降，以及提供最将强大的处理能力和检测率

8、，如下图可参考NSS Lab对各厂商IPS设备的评测结果：数据来源：NSS Group从表中可以看到McAfee NSP提供了最小的网络延迟及优秀的处理性能。数据来源：NSS Labs 2010年 IPS设备评测从表中可以看到McAfee NSP提供了最高的检测率和最强的处理性能。2 总体方案设计本方案根据XXX公司目前的信息安全建设状况，借助McAfee在信息安全领域的先进技术和解决方案，以动态安全风险管理为基础，提出了全面的信息安全解决方案及实施步骤。其最大的特点是：以全面的量化安全风险为基础，在系统和网络层面构建全面的安全威胁防御体系，完善健全安全措施，当安全风险等级变化时，风险管理管理

9、系统提供详细的安全风险变化原因和补救措施，同时，调整系统和网络层面的防御策略，真正的做到全面防御，有的放矢。风险管理的过程中，如何有效地消除威胁、降低风险是关键，因此，我们首先应该建立全面的系统和网络防御体系。XXX公司目前已经建立了基础的网络架构，而McAfee提供的网络入侵防护产品，可以帮助XXX公司对抗未知的和将来出现的安全威胁，通过McAfee NSP（即IPS）构建完善的企业安全边界防御体系，在网络边界实时准确的检测和阻断各类网络攻击行为、DoS/DDoS攻击及未知的攻击流量，并对P2P、IM等应用流量进行管理，完善整个XXX公司的网络安全建设。本方案描述中涉及以下产品和解决方案：(

10、1) McAfee NSP：基于ASIC及FPGA芯片的硬件网络入侵防护系统，实时阻止黑客攻击、蠕虫病毒、间谍程序和DOS/DDOS攻击；(2) McAfee 安全风险管理体系：方案中还会结合McAfee安全风险管理体系的发展前景，介绍在XXX公司现有环境下的安全体系建设，从而使得各个安全产品协同工作，增强网络安全综合防御能力。本方案论述了构建XXX公司完整的安全风险管理体系所应包含的各个方面，同时重点论述了XXX公司网络边界安全（即入侵防御系统-IPS）的建设和部署方案。3 XXX公司需求分析及部署方案3.1 需求分析随着XXX公司业务的不断扩大，内部网络的发展，原本入侵防御系统已经不能符合

11、内部业务系统对Internet入口接入的需求，故需要将原先的IPS设备升级至千兆入侵防御系统，增强企业内部的核心应用系统应对黑客攻击、蠕虫、网络病毒、后门木马、DoS/DDoS等威胁的能力。3.2 部署方案1) 部署建议我们建议M-2950设备1A-1B口串接在防火墙和DMZ交换机之间，重点保护核心服务器群的安全。因McAfee NSP入侵防护系统是双向检测，这样既保障核心服务器群Internet出口的安全，又可以检测内部核心网络到DMZ区应用程序流量；同时在备用链路上也架设一台M-2950做Fail-over，当主链路出现故障网络中断时，自动故障转移到备用链路，采用两台M-2950做HA而不

12、是使用一台IPS设备两对端口，主要也考虑不改变整体网络的HA结构，实现网络的高可用性。同时M-2950型号内置4对fail-open功能模块（Bypass模块），在采用In-Line方式部署时，防止因设备故障而造成网络中断。鉴于另一ISP接入线路能力及业务部署与上图相同，建议可采用相同的防护方式来进行防护。2) 管理建议由于核心业务应用存在不同的网络区域和应用系统平台，我们建议使用“虚拟IPS”技术的CIDR表示方法对各个服务站点IP进行不同的分类，细化检测策略和DoS/DDoS特征流量。比如针对核心业务群中的WEB服务，制定单独的策略，提高WEB服务器对外服务的安全性。对于其他内部网络，我们

13、建议使用M-2950的剩余端口作SPAN的方式，连接相应的镜像端口，可以检测其他内部网络安全情况。对于多台NSP设备，我们建议采用统一管理平台NSP Manger，这样对以前DoS等学习的情况，有利于策略的制定及分发。3.3 推荐的产品在本方案中我们推荐的是NSP M-2950，其采用ASIC芯片纯硬件架构设计，可以确保在1Gbps的流量下进行正常的异常流量探测、黑客攻击探测阻断（包括DOS/DDOS攻击探测阻断、蠕虫病毒阻挡），并且确保造成的延迟在100微秒左右。产品清单：设备设备描述数量1 Sensor M-29504M-2950设备硬件及参数NSP M-2950实物图吞吐性能：1.0Gb

14、ps探测端口密度：8个千兆检测端口（固定铜线端口） 12个千兆检测端口（SFP端口）端口配置选项： 10 对In-line或者20个Span端口，或者混合端口支持：SFP mini- Gigabit连接器，端口 Bypass: 8个端口内置，其余6对需外置Fail-Open设备 电源：双冗余电源 可选配置响应端口： 10 个 用作IDS部署时拦截持续攻击连接管理端口： 1 x 100/1000 Mbps 管理端口高可用性：10A用作Heart beat signal provider并发连接支持: 750,000虚拟 IPS / Firewall 策略: 100个4 McAfee NSP产品简

15、介NSP基于完整的攻击分析方法而构建，并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝服务检测技术，除了可以探测攻击，还可以探测已知未知蠕虫和后门程序。4.1 检测及防御功能4.1.1 网络攻击特征检测为了实现高性能的网络攻击特征检测，NSP 体系结构不仅采用了创新的专利技术，而且集成了全面的状态检测引擎、完善的特征规范语言、“用户自定义特征”以及实时特征更新，确保了 NSP 能够提供并维护业界最为全面、更新最及时的攻击签名数据库，目前签名特征超过4000种，解码协议超过106种。1) 特征规范语言NSP以专用的高水平特征规范语言为强大支持。NSP 能够从应用程序软件中分离出攻击模式特征，在这个独特的体系结构中，将特征简单地转换为表单项，从而可以通过直观的用户界面实现实时更新，并可被特征引擎立即使用。目前的 IDS 产品往往通过软件“补丁程序”来提供新的特征，这不仅降低了部署速度（必