XXX客户网络McAfee IntruShield实施方案.docVIP

XXX客户网络McAfee IntruShield实施方案 ***客户网络 McAfee IntruShield实施方案 McAfee公司上海办事处 Tel: 021-614758878 2006年5月26日 目录 31 实施人员组成 311.1 参与方 31.2 实施小组 52 实施条件 52.1 实施环境 62.2 实施设备概述 62.3 产品参数 72.4 McAfee IntruShield的部署模式 93 实施步骤 93.1 ***客户IntruShield部署方案 103.2 实施准备阶段 123.3 安装及配置阶段 9133.4 试运行阶段 154 项目验收 165 其他技术工作 1 实施人员组成 参与方 ***客户： ***客户（以下简称“***客户”）根据其网络现状准备项目实施所需的环境和工具，并指定专人配合相关技术人员的实施及运行维护期的工作。 项目集成商： 项目集成商成立专门的项目小组，制定具体的实施计划，并根据实施计划协助***客户完成项目的实施工作。 McAfee 公司： McAfee公司作为厂家在项目的实施及运行和维护阶段将提供专业的技术支持，确保产品安装配置的成功并为运行和维护过程中产生的问题提供帮助，同时厂家将提供800 电话技术支持。 实施小组 成员组成 项目经理： 负责整个项目实施过程的协调和管理，确保项目实施的正常顺利进行。 实施人员: 完成具体设备的安装实施工作。 实施小组的职责： 项目的实施：制定具体项目的实施计划，在***客户的配合下进行McAfee公司产品的安装和配置等相关的实施服务并随时解决可能发生的各种问题； 技术支持与服务：在系统运行和维护期为用户提供完善的技术支持与服务，确保系统正常可靠的运行； 控制项目的质量：通过“尽可能预见可能发生的问题”、“客户满意程度评价表”等措施制定计划来确保项目的质量。 实施条件 实施环境 ***客户网络拓扑图如下： 图 1 ***客户网络拓扑 实施设备概述 ***客户需要部署6台McAfee的IntruShield 4000，来实现： 实时阻当黑客攻击、蠕虫病毒、蠕虫病毒引起的异常流量、Spayware间谍程序、后门程序和特洛伊木马进入网络； 记录显示异常计算机的IP地址，异常的计算机包括：感染了蠕虫病毒的计算机，发送异常流量的计算机，被黑客成功攻击后植入后门程序的计算机； 探测出已知和未知的蠕虫，实时阻止这些蠕虫进入网络，特别是防止蠕虫病毒、后门程序和特洛伊木马进入核心网络； 阻止对***客户内部网络和服务器系统的DOS/DDOS攻击； 入侵探测防护设备自身还需要有内部防火墙的功能，通过网络ACL阻止异常计算机访问核心服务器。 产品参数 IntruShield 4000的主要参数为： 参数 IntruShield 4000 整体性能 高达2Gbps 并发会话状态维护 1,000,000 千兆以太网检测端口 4 快速以太网检测端口 0 专用快速以太网响应端口 2 内嵌网络接口 含（针对快速以太网端口） 失效开放 是 虚拟系统数量 1000 端口群集 是 McAfee IntruShield的部署模式 嵌入模式： McAfee IntruShield 系统直接部署在数据链路上，网络流量必须通过硬件Sensor。McAfee IntruShield 系统通过实时拦截恶意流量来防止网络攻击。用户可以全面自定义预防措施，例如自动拦截针对网络核心的 DoS 流量。高速的防护以及高度可用的操作使得 McAfee IntruShield 系统能够部署在关键的网络环境中。 图 2 嵌入模式部署 交换端口分析器（SPAN）与集线器监控： 一台或多台网络交换机的集线器端口或 SPAN 端口都可以连接到 McAfee IntruShield 系统的检测端口。传感器可以使用同一端口来激活响应措施，例如重新设置某个 TCP 连接。 图 3 SPAN模式部署 TAP模式： 可对全双工以太网链接的网络通信进行双向监控。通过完全捕获某个链接上的所有流量，可以更清楚的了解某个网络攻击的来源和本质，并提供所需的详细信息，以便能够对未知的攻击进行拦截。这种全双工监控能力使得 McAfee IntruShield 系统能够维护完整的状态信息。响应措施包括防火墙重新配置，以及通过专用响应端口来重新设置并初始化 TCP。 图 4 Tap模式部署 端口群集： 单一 McAfee IntruShield 系统通过多个端口监控的流量能够“聚合”成一个流量流，以便进行状态分析和入侵分析。该功能对于非对称路由环境尤其有用，因为这种环境下，请求数据包和响应数据包可能会通过不同的链接进