入侵检测部署专项方案.docVIP

入侵检测布署方案 需求分析 利用防火墙技术，经过仔细配置，通常能够在内外网之间提供安全网络保护，降低了网络安全风险，不过入侵者可寻求防火墙背后可能敞开后门，或入侵者也可能就在防火墙内。经过布署安全方法，要实现主动阻断针对信息系统多种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，能防御针对操作系统漏洞攻击，能够实现应用层安全防护，保护关键信息资产免受攻击危害。 针对网络具体情况和行业特点，我们得到入侵检测需求包含以下多个方面： 入侵检测要求 能够对攻击行为进行检测，是对入侵检测设备关键需求，要求能够检测种类包含：基于特征检测、异常行为检测（包含针对多种服务器攻击等）、可移动存放设备检测等等。 本身安全性要求 作为网络安全设备，入侵检测系统必需含有很高安全性，配置文件需要加密保留，管理台和探测器之间通讯必需采取加密方法，探测器要能够去除协议栈，而且能够抵御多种攻击。 日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对用户端、服务器端不一样地址和不一样服务协议流量分析。能够选择不一样时间间隔生成报表，反应用户在一定时期内受到攻击类型、严重程度、发生频率、攻击起源等信息，使管理员随时对网络安全情况有正确了解。能够依据管理员选择，定制不一样形式报表。 实时响应要求 当入侵检测报警系统发觉网络入侵和内部违规操作时，将针对预先设置规则，对事件进行实时应急响应。依据不一样等级入侵行为能做出不一样方法告警，用以提醒管理人员立即发觉问题，并采取有效方法，控制事态发展。报警信息要分为不一样等级：对有入侵动机行为向用户显示提醒信息、对严重违规现象实施警告通知、对极其危险攻击可经过网管或互动防火墙进行立即阻断、和向安全管理中心汇报。另外，必需在基于规则和对应报警条件下，对不合适网络流量进行拦截。 联动要求 入侵检测系统必需能够和防火墙实现安全联动，当入侵检测系统发觉攻击行为时，能够立即通知防火墙，防火墙依据入侵检测发送来消息，动态生成安全规则，将可疑主机阻挡在网络之外，实现动态防护体系！深入提升网络安全性。 方案设计 网络入侵检测系统在有敏感数据需要保护网络上，经过实时侦听网络数据流，寻求网络违规模式和未授权网络访问尝试。当发觉网络违规行为和未授权网络访问时，网络监控系统能够依据系统安全策略做出反应，包含实时报警、事件登录，或实施用户自定义安全策略等。 入侵检测系统能够布署在网络中关键，这里我们提议在网络中采取入侵检测系统，监视并统计网络中全部访问行为和操作，有效预防非法操作和恶意攻击。同时，入侵检测系统还能够形象地重现操作过程，可帮助安全管理员发觉网络安全隐患。 需要说明是，IDS是对防火墙很有必需附加而不仅仅是简单补充。入侵检测系统作为网络安全体系第二道防线，对在防火墙系统阻断攻击失败时，能够最大程度地降低对应损失。IDS也能够和防火墙、内网安全管理等安全产品进行联动，实现动态安全维护。 入侵检测系统处理安全问题包含： 对抗蠕虫病毒：针对蠕虫病毒利用网络传输速度快，范围广特点，给用户网络正常运转带来极大威胁，经过防火墙端口过滤，能够从一定程度上防范蠕虫病毒，但不是最好处理方案，尤其是针对利用防火墙已开放端口（比如红色代码利用TCP 80）进行传输蠕虫病毒，对此需要利用入侵检测系统进行深入细化检测和控制； 防范网络攻击事件：正如入侵检测系统安全策略中描述，针对XX用户数据中心区域和网络边界区域，入侵检测系统采取细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效预防多种攻击和欺骗。而且还能够经过策略编辑器中用户自定义功效定制针对网络中多种TCP/IP协议网络事件监控； 防范拒绝服务攻击：入侵检测系统在防火墙进行边界防范基础上，能够应付多种SNA类型和应用层强力攻击行为,包含消耗目标端多种资源如网络带宽、系统性能等攻击。关键防范攻击类型有TCP Flood，UDP Flood，Ping Abuse等； 防范预探测攻击：布署在总部数据中心区域和网络边界区域入侵检测系统，能够很好防范多种SNA类型和应用层预探测攻击行为。关键防范攻击类型有TCP SYN Scan，TCP ACK Scan，Ping Sweep，TCP FIN Scan等； 防范欺骗攻击：有些攻击能够自动寻求系统所开放端口（比如安全服务区所开放TCP 80、TCP 25），将自己伪装成该端口，从而绕过布署在数据中心区域和网络边界区域边界防火墙，对防火墙保护服务器进行攻击，而入侵检测系统则经过对应用协议深入分析，能够识别伪装行为，并对这类攻击行为进行阻断或报警； 防范内部攻击：对于总部局域网而言，内部职员本身对网络拥有相当访问权限，所以对比外部攻击者，对资产提议攻击成功概率更高。即使总部局域网在网络边界布署防火墙，防范外部攻击者渗透到网络中，