ips网络入侵防御方案模版.doc

网络入侵防护方案 合肥中方网络安全公司 2006年12月25日 文档说明 非常感谢上海XXXX（简称XXXX）给予McAfee公司机会参与《XXXX网络入侵防护》项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。 需要指出的是，本文档所涉及到的文字、图表等，仅限于McAfee公司和XXXX内部使用，未经McAfee公司书面许可，请勿扩散到第三方。 目 录 1 XXXX安全威胁分析 5 2 网络入侵防护设计方案 7 2.1 方案设计原则 7 2.2 网络入侵防护的部署方案 7 2.3 自动升级更新 9 2.4 报警和攻击阻断状态管理 9 2.5 报表管理 9 3 部署IPS后网络可靠性 11 4 IntruShield网络IPS的优势 13 4.1 双机热备份功能（HA） 13 4.2 虚拟IPS功能（VIPS） 13 4.3 实时过滤蠕虫病毒和Spyware间谍程序 14 4.4 独特的DOS/DDOS探测方式：自动学习记忆和基于阀值的探测方式 14 5 实施方案 15 5.1 循序渐进的分阶段实施 15 5.2 物理/环境要求 15 5.3 实施准备阶段－（2-4个工作日） 16 5.4 安装及配置阶段－（2个工作日） 17 5.5 DAP阶段一——30天 18 5.6 DAP阶段二——30天 19 5.7 DAP阶段三——1天 20 6 IntruShield网络入侵防护产品简介 21 6.1 网络攻击特征检测 21 6.2 异常检测 22 6.3 拒绝服务检测 23 6.4 入侵防护 24 6.5 实时过滤蠕虫病毒和Spyware间谍程序 26 6.6 虚拟IPS 27 6.7 灵活的部署方式 28 XXXX安全威胁分析 XXXX生产网络和OA网络架构如下图所示： 由图中可以看出，XXXX生产网络和OA通过两条千兆链路直接连接，中间没有任何防火墙或者网络隔离设备；而OA网络和Internet网络有直接的专线连接。 从网络结构来看，XXXX面临的外部威胁包括： 1）OA网络面临的外部威胁 a） 黑客的攻击入侵，造成信息泄露，或者破坏网络、应用和服务器系统，造成网络、应用和服务器系统瘫痪； b） 蠕虫病毒通过网络、Email和网络文件共享等多种方式传播，植入企业内部后为黑客攻击留下后门，同时造成网络拥塞，甚至中断，如NetSky、Mydoom等蠕虫病毒； c） 蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门，同样，在传播过程中，产生大量的TCP、UDP或ICMP垃圾信息，造成网络拥塞，如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。 d）面临来自OA网和Internet的黑客攻击，包括DOS/DDOS攻击的威胁，来自Internet或者办公网的DOS/DDOS攻击会造成网络服务中断。 e）OA用户文件拷贝，Internet访问带来：病毒、蠕虫、间谍程序、后门程序和特洛伊木马的威胁 f）来自Internet的Spyware的威胁 2）同样生产网络面临着内外部网络的威胁，因为，生产网络和OA网络间没有任何防火墙或者安全隔离设备，因此，生产网的威胁包括： a）来自Internet的黑客攻击，造成设计或者客户数据的泄密，或者信息篡改，造成信息完整性被破坏； b）来自Internet和OA网络的蠕虫、病毒和Spyware的威胁 c）来自Internet的DOS/DDOS攻击，造成计算机网络瘫痪，导致业务中断； d）来自OA网络内部的恶意攻击，造成中心数据破坏或被窃取，甚至造成业务中断。 e）来自OA网络的越权访问机密信息，造成信息泄密。 因此，中信国际迫切需要在Internet和OA网络之间，OA网络和生产网络之间部署网络入侵防护设备，以实现： 探测出黑客攻击，并且实时阻断黑客的攻击； 能够探测出已知和未知的蠕虫，实时阻止这些蠕虫进入OA网络和生产网络； 探测来自Internet或者OA网络由于蠕虫病毒引起的异常网络流量，阻止进入生产网络网络； 阻止对生产网络的DOS/DDOS攻击 网络入侵防护设计方案 方案设计原则 在Internet和OA网络间，特别是OA网络和生产网络间采用IPS时，必须依据以下原则： 探测准确：不会出现误报和漏报 可靠性：确保网络不会因为设备故障而造成中断 IPS部署后，不出现性能瓶颈 业务安全需求和投资的平衡 网络入侵防护的部署方案 根据XXXX的网络架构，需要部署网络入侵防护设备的地方包括： Internet网络和OA网之间； OA网络和生产网络之间； 如下图所示。 OA网络和Internet之间的网络入侵防护部署： 采用一台IntruShield 120