绿盟科技网络入侵检测系统安全解决方案模板

- PAGE \* ROMAN

- PAGE \* ROMAN I -

绿盟科技网络入侵检测系统

安全解决方案

■ 文档编号

1.0

■ 密级

公司机密

■ 版本编号

■ 日期

2014-06-20

? DATE \@ "yyyy" 2014 绿盟科技

目录

TOC \h \z \t "附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题 1（绿盟科技）,1,标题 2（绿盟科技）,2,标题 3（绿盟科技）,3" 一. 现状分析 1

1.1 风险分析 1

1.2 需求分析 2

二. 技术解决方案 2

2.1 方案技术实现 2

2.2 产品部署方案 3

2.2.1 部署范围 3

2.2.2 部署方式及说明 3

2.3 产品特点 6

2.4 主要竞争优势 12

2.4.1 架构优势 12

2.4.2 功能优势 12

2.4.3 产品优势 13

三. 方案总结 14

绿盟科技网络入侵检测系统安全解决方案

PAGE

- PAGE 14 -

? DATE \@ "yyyy" 2014 绿盟科技 密级： DOCPROPERTY 密级 请输入文档密级

现状分析

风险分析

众多的企业、组织与政府部门都在组建和发展自己的网络，为了保证网络资源的安全，企业一般采用防火墙作为安全保障体系的第一道防线，通过访问控制，防御黑客攻击，提供静态防御。

但是随着越来越多的系统本身漏洞以及应用系统的漏洞被发现，以及攻击者的入侵方式更加隐蔽，新的攻击方式层出不穷，所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生，部署了防火墙的安全保障体系还有进一步完善的需要。

传统的防火墙主要有以下的不足：

防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的注入攻击等。

防火墙无法发现内部网络中的攻击行为。

随着网络的普及，网络安全事件的发生离我们越来越近，我们可能遇到如下情况：

企业的网络系统被入侵了，造成服务器瘫痪，但不知道什么时候被入侵的；

客户抱怨企业的网页无法正常打开，检查发现是服务器被攻击了，但不知道遭受何种方式的攻击；

员工因为访问恶意站点，将后门、木马等威胁引入企业内网，造成敏感信息外泄，给企业造成巨大的损失，却无法找到问题根源；

企业网络拥塞，应用正常业务运转，却无法定位消耗带宽的应用类型；

企业网络瘫痪，检查出遭受蠕虫病毒攻击，但不知道如何清除并避免再次遭到攻击；

企业网络被入侵了，安全事件调查中缺乏证据。

根据调查数据显示，以上情况给网络管理员带来极大的困扰，也给企业带来了巨大的安全风险。如何及时的、准确的发现违反安全策略的事件，并及时处理，是广大用户迫切需要解决的问题。

需求分析

为了弥补对防火墙功能的不足，特别是针对企业遇到的黑客入侵等安全问题，需要对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护大大提高了网络的安全性。

提供如下的安全措施：

事前警告：能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；

事中防御：入侵攻击发生时，可以通过与防火墙联动、TCP Killer等方式进行报警及动态防御；

事后取证：被入侵攻击后，可以提供详细的攻击信息，便于取证分析。

综上所述，入侵检测系统被认为是防火墙之后的第二道安全闸门，防火墙提供静态防御，而入侵检测系统提供动态防御，因此防火墙和入侵检测系统的结合，能够给网络带来全面的防御。

技术解决方案

方案技术实现

本方案中为了解决XXX单位面临的安全风险和安全需求，需要入侵检测系统才能够实现如下的技术目标：

入侵检测

对缓冲区溢出、SQL注入、暴力猜测、D.o.S攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警，并通过与防火墙联动、TCP Killer、发送邮件、安全中心显示、日志数据库记录、运行用户自定义命令等方式进行动态防御。

Web安全

基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，在用户访问被植入木马等恶意代码的网站时，给予实时警告，并录入安全日志。

流量分析

能够统计出当前网络中的各种报文流量，协助管理员了解实时的网络流量性质和分布，以便及时做出调整，确保关键业务能够持续运转。

用户上网行为监测

对网络流量进行监测，对P2P下载、IM即时通讯、网络游戏、网络流媒体等严重滥用网络资源的事件提供告警和记录。

产品部署方案

部署范围

绿盟科技提供一整套的入侵检测解决方案，实现从企业网络核心至边缘及分支机构的全面检测。绿盟网络入侵检测系统的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，满足不同企业不同管理模式需要。

部署方式及说明

（本部分内容根据具体项目所采用的部署方式进行选择并修改）

小型网络部署

针对小型网络，绿盟科技入侵检测解决方案提供虚拟IDS精细管理方案，通过在核心交换机上配置镜像端口，将绿盟网络入侵检测系统接入到网络中，通过基于对象的策略管理，绿盟网络入侵检测系统针对不同部门/网段，制定不同的规则和响应方式，每个虚拟系统分别执行不同的安全策略，实现面向不同对象、实现不同策略的智能化、精细化的入侵检测。

针对小型网络，如下图所示：

小型网络IDS精细管理部署方案

中型网络部署

针对中型网络，绿盟科技入侵检测解决方案提供集中管理方案，通过在接入交换机上配置镜像端口，将绿盟网络入侵检测系统接入到网络中，将绿盟网络入侵检测系统部署在多个关键网段（如安全管理区、DMZ区、服务器区及办公区）实现多处监控。利用绿盟安全中心集中管理多台网络探测器，便于安全信息的集中管理，以便实时掌握全网的安全状况。

针对中型网络，如下图所示：

中型网络IDS集中管理部署方案

大型网络部署

对于跨广域网的大型企业用户，其网络机构相对复杂，不仅有总部，全国各地还有分支机构，总部及下属各分支机构都建有自己的局域网络。用户租用ISP的专线建立自己覆盖全国的企业专网，各分支机构通过企业专网与总部建立业务信息交换。因此其对整个网络的管理比较重视，需要保证总部和各分支机构的安全策略的统一性。

针对大型企业用户，绿盟科技入侵检测解决方案提供分级管理方案，在各级网络通过在其核心交换机上配置镜像端口，将绿盟网络入侵检测系统接入到网络中，在总部部署绿盟网络入侵检测系统 NIDS的多级安全中心，上级安全中心对下级安全中心进行统一管理，上级安全中心可以将最新的最新升级补丁、规则模板文件、探测器配置文件等统一发送到下级安全中心，保持整个系统的安全策略的完整统一性。

针对中型网络，如下图所示：

中型网络IDS集中管理部署方案

产品特点

绿盟网络入侵检测系统基于高性能硬件处理平台，为用户提供全面、深入的黑客入侵行为检测，以下将对绿盟网络入侵检测系统的产品功能特色进行逐一介绍。

全面精细的检测技术

业界领先的安全漏洞研究能力

绿盟科技作为微软的MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软每月发布安全更新之前获得漏洞信息，为客户提供更及时有效的保护。

公司的安全研究部门NSFocus小组，已经独立发现了40多个Microsoft、HP、CISCO、SUN、Juniper等国际著名厂商的重大安全漏洞，保证了绿盟网络入侵检测系统技术的领先和规则库的及时更新，在受到攻击以前就能够提供前瞻性的保护。

高品质攻击特征库

覆盖广泛的攻击特征库携带超过2000条，由NSFocus安全小组精心提炼、经过时间考验的攻击特征，并通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得最高级别的CVE兼容性认证（CVE Compatible）。

绿盟科技具有领先的漏洞预警能力，是目前国内唯一向国外（美国）出口入侵检测规则库的公司。绿盟科技每周定期提供攻击特征库的升级更新，在紧急情况下可提供即时更新。

全面深入的协议分析技术

绿盟网络入侵检测系统全面深入的协议分析技术能够分析超过100种应用层协议，包括HTTP、FTP、SMTP等，极大地提高检测的准确性，降低误报率。

绿盟网络入侵检测系统通过分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够高速的、智能的、准确的检测出对运行在任意端口的应用层协议的攻击行为和标准协议运行在非标准端口行为，准确发现绑定在任意端口的各种木马、后门，对于运用了Smart Tunnel技术的软件也能准确地捕获分析。

绿盟网络入侵检测系统通过协议分析，发现任何违背RFC规定后，均视为协议异常。协议异常最为重要的作用是检测未知的溢出攻击与拒绝服务攻击，协议异常具有接近100%的检测准确率和近乎零的误报率。

IP碎片重组与TCP流汇聚

绿盟网络入侵检测系统具有强大的IP碎片重组、TCP流汇聚，以及数据流状态跟踪等能力，能够检测到黑客采用任意分片方式进行的攻击。

支持应用重组

绿盟网络入侵检测系统可以记录网络的通信报文，并解码回放，目前支持HTTP、SMTP、FTP、Telnet、POP3等多种协议。

可靠的Web威胁检测能力

越来越多的病毒、木马等恶意代码将基于HTTP方式传播，新一代的Web威胁具备混合性、渗透性和利益驱动性，成为当前增长最快的风险因素。员工对互联网的依赖性使得企业网络更容易受到攻击，导致用户信息受到危害，对公司数据资产和关键业务构成极大威胁。

绿盟网络入侵检测系统内置先进、可靠的Web信誉机制，采用独特的Web信誉评价技术，在用户访问被植入木马的页面时，给予及时报警，能够协助企业员工识别Web安全威胁，防止敏感信息外泄等安全事件的发生。

灵活高效的病毒监测技术

绿盟网络入侵检测系统配置灵活可选的病毒监测引擎，用户可选择基于NSFOCUS或卡巴斯基的防病毒引擎，采用基于特征扫描和启发式扫描技术，实现针对HTTP、SMTP、 POP3、 IMAP、FTP、IM等多种协议的病毒流量监测和实时报警，提醒用户及时采取必要的响应措施，避免遭受木马病毒、蠕虫病毒、宏病毒，以及脚本病毒的危害。

基于对象的虚拟系统

基于对象的策略管理系统

绿盟网络入侵检测系统提供业界领先的基于对象的策略管理系统，完全统一的规则配置方式强大而灵活。绿盟网络入侵检测系统的所有策略（规则）配置都使用包括网络、服务、时间、事件等元素在内的预定义对象以及对象组完成，通过组的概念可以减少NIDS的规则数量，简化了产品的管理工作量。

虚拟系统（VIDS）

绿盟网络入侵检测系统提供基于对象的虚拟系统（VIDS），针对不同的网络环境和安全需求，基于IP地址（组、段）、规则（组、集）、时间、动作等对象，制定不同的规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象、不同策略的智能化入侵检测。

细粒度的流量统计分析

绿盟网络入侵检测系统具有细粒度流量统计分析的功能，不是仅仅通过端口来判断协议进而统计流量，而是通过分析协议的内容后才进行统计，更精确可靠，同时能够基于IP地址、攻击事件、应用协议等条件产生详细的流量报表，可以通过编辑自定义统计指定协议流量的TOP排名，能够协助管理员了解当前网络带宽的使用状况，并及时做出响应。

全面的用户上网行为监测

绿盟网络入侵检测系统结合协议分析和会话关联等多种技术，综合分析应用软件特征和数据内容，能够智能识别和记录各种主流的P2P下载、IM即时通信、在线视频、网络游戏和在线炒股等用户上网行为，以及加密型的P2P下载和IM即时通信。

通过对网络中各类应用所占用带宽情况的了解，能够让管理员清晰地识别出可能影响关键业务正常运转的流量，以便及时调整网络带宽管理策略。

可扩展的安全审计能力

绿盟网络入侵检测系统能够为用户提供可扩展的敏感信息审计方案，系统支持基于时间、用户、协议、内容等多种条件的组合审计策略，对邮件收发（WEBMAIL、SMTP、POP3）、文件上传下载（HTTP、FTP）、论坛、即时通讯等进行全面信息审计，提供实时告警、信息还原功能。系统同时支持基于关键字的信息审计，实现敏感信息的深度检测识别还原，对机密信息外泄、非法言论传播等行为的及时响应处理、事后追查取证提供有力支持。

强大的管理能力

灵活的Web管理方式

绿盟网络入侵检测系统支持灵活的Web管理方式，适合在任何IP可达地点远程管理，支持 MS IE、Netscape、Firefox、Opera等主路的浏览器，真正意义上实现了跨平台管理。

丰富的多级管理方式

绿盟网络入侵检测系统支持三种管理模式：单级管理、多级管理、主辅管理，满足不同企业不同管理模式需要。

单级管理模式：安全中心直接管理网络探测器，一个安全中心可以管理多台网络探测器。

主辅管理模式：网络探测器同时接受一个主安全中心和多个辅助安全中心管理。主安全中心可完全控制网络探测器；辅助安全中心只能接受网络探测器发送的日志信息，不能操作网络引擎。

多级管理模式：安全中心支持任意层次的级联部署，实现多级管理。上级安全中心可以将最新的升级补丁、规则模板文件等统一发送到下级安全中心，保持整个系统的完整统一性；下级安全中心可以向上级安全中心传送日志信息。

带外管理（OOB）功能

绿盟网络入侵检测系统提供带外管理（OOB）功能，解决远程应急管理的需求，减少用户运营成本、提高运营效率、减少宕机时间、提高服务质量。

升级管理

绿盟网络入侵检测系统支持多种升级方式，包括实时在线升级、自动在线升级、离线升级，使NIDS提供最前沿的安全保障。

完善的报表系统

高品质的报表事件

绿盟网络入侵检测系统事件过滤系统支持采用攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志，仅记录相关的攻击告警事件，极大地减小了攻击告警的数量，提高了对于高风险攻击的反应速度。

多样化的综合报表

绿盟网络入侵检测系统报表系统提供了详细的综合报表、自定义三种类型10多个类别的报表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG格式导出。同时支持定时通过电子邮件发送报表至系统管理员。

强大的“零管理”

从实时升级系统到报表系统，从攻击告警到日志备份，绿盟网络入侵检测系统完全支持零管理技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行，极大地降低了维护费用与管理员的工作强度。

丰富的响应方式

绿盟网络入侵检测系统具有良好的可扩展性，仅仅通过数字证书就能很方便、快捷地从IDS升级到IPS，为用户未来的产品使用提供更广阔的空间。

绿盟网络入侵检测系统可以与流行的主流防火墙产品（绿盟安全网关、Checkpoint FW、Netscreen、天融信、卫士通龙马、东软、迈普等）进行联动阻断入侵者。

绿盟网络入侵检测系统具有TCP KILLER功能，能够实时地切断基于TCP协议的攻击行为。

绿盟网络入侵检测系统支持通过发送邮件、安全中心显示、日志数据库记录、运行用户自定义命令等响应方式及时报警。

绿盟网络入侵检测系统提供了基于XML的开放式IDBP（Intrusion Detection and Block Protocol）联动接口，任何安全产品可以基于此接口与绿盟网络入侵检测系统联动。

绿盟网络入侵检测系统支持CEF通用事件格式，支持与ArcSight的无缝融合。

绿盟网络入侵检测系统提供标准snmp trap（V1、V2、V3）和syslog接口，可接受第三方管理平台的集中事件管理。

高可靠的自身安全性

绿盟网络入侵检测系统采用安全、可靠的硬件平台，全内置封闭式结构，配置完全自主知识产权的专用系统，经过优化和安全性处理，稳定可靠。系统内各组件通过强加密的SSL安全通道进行通讯防止窃听，确保了整个系统的安全性和抗毁性。

绿盟网络入侵检测系统具有更强的高可用性，设备支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性。

绿盟网络入侵检测系统监听网口无需设置IP地址，避免了被扫描和攻击。

绿盟网络入侵检测系统的网络探测器与安全中心在网络完全断开的情况下，探测器仍然会将检测到的事件在探测器本地保存，等网络恢复正常自动地同步到绿盟安全中心，提供日志缓存。

全面的IPv6支持

绿盟网络入侵检测系统基于IPv4和IPv6双协议栈的系统架构，能同时辨识IPv4和IPv6通讯流量。IPv6环境下深度入侵检测技术和基于IPv6地址格式的安全策略，针对IPv4向IPv6的过渡，同时为IPv4与IPv6提供可靠的网络入侵检测服务。

用户身份识别功能

绿盟网络入侵检测系统提供了用户身份识别与基于用户身份的入侵检测功能，支持根据用户身份进行告警。当NIDS检测到入侵及违规行为后，可以记录攻击者的用户身份，并支持根据用户身份查询日志。

主要竞争优势

架构优势

NSFOCUS NIDS（N系列）采用了全新的硬件平台，全新底层转发模块、多核架构和新一代的全并行流检测引擎技术，新平台和新架构的引入，优化了产品的功能，使处理性能较原来有了大幅度提升。同时大部分配置都是应用配置生效。增强了对客户业务的连续性支持。

功能优势

卓越的多千兆（Multi-Gigabit）处理性能

智能协议分析引擎，全面识别超过100种应用协议

接近100%的检测率和几乎为零的误报率

灵活、高效的病毒监测能力

先进、可靠的Web威胁抵御能力

基于对象的虚拟系统，实现不同环境下精细入侵检测

基于应用协议的流量分析，扩展企业安全管理能力

可扩展的敏感信息审计方案

多级部署、集中管理，适应各类企业需求

全面支持IPv6，为IPv6网络提供完善的入侵检测解决方案

支持基于用户身份进行入侵检测和日志查询

荣获信息技术产品自主原创测评证书，以及国内最高级别（EAL3）信息安全产品等级认证

产品优势

产品成熟稳定

做的最早，应用最多，市场占有率第一。

2000年发布国内首款具有完全自主知识产权的IDS产品；

已有几千台设备大规模广泛应用在政府、军工、金融、能源、企业、教育科研等众多用户网络中；

Frost&Sullivan亚太区（含日本）2010年网络安全市场报告，绿盟科技位居入侵检测防御市场第三名（IBM第一、McAfee第二）；

2009~2011连续3年获得Frost&Sullivan颁发的中国IDS/IPS市场“增长战略领导者奖”和“市场领导者奖”。

技术底蕴深厚

2000年开始从事入侵检测技术、攻防技术研究，并发布首款IDS产品；

第一个获得中国信息安全测评中心EAL3级别认证的入侵防护类产品；

国内发布自主研究安全漏洞最多的安全公司，超过40个（48个）自主发掘漏洞被国际CVE组织收录；

拥有国内第一个数目超过19,000条的纯中文漏洞信息库；

国内第一家对国外安全产品厂商提供入侵检测技术出口的安全公司；

支持服务贴心

针对IPS产品特殊性，绿盟科技在提供更新、保险等基本服务外，还提供了远程协助、上门支持、安全通报、信息快递、先行替换等多项贴心服务；

绿盟科技的“技术-销售”人员配比在国内是最高的，可以到达1:1，甚至更高；而国内其他公司的“技术-销售”配比通常是1:3，甚至更低。

广泛国际合作

2005年获得国际漏洞管理组织颁发的最高级别CVE兼容性证书

2008年绿盟科技NIPS首家进入海外市场（日本、中东）

2009年2月国内第一个加入微软MAPP计划

2009年作为亚太区第一个企业成员加入CSA云安全联盟

2010年8月成为国际权威网络安全组织StopBadware的国内第一个战略合作伙伴

方案总结

通过部署绿盟入侵检测系统，为客户带来如下收益：

主动分析风险，实时检测用户对恶意信息源的访问情况，有效拦截Web威胁，保护用户的访问不受侵害；

有效识别各种常规的，以及变形的SQL注入攻击，协助管理员及时做出响应，从而防止关键数据库的非授权修改、敏感信息外泄，以及网页挂马、网站数据恶意篡改等安全事件的发生；

实时监测和有效识别P2P下载、IM即时通讯、在线视频、网络游戏，以及在线炒股等各种非授权网络流量，协助管理员了解当前网络使用情况，通过管理和限制非授权的用户上网行为，从而保证企业关键业务的持续、正常运转；

准确识别常见的网络蠕虫，针对蠕虫的爆发和扩散行为，给与及时的报警和响应，保护企业的网络架构和服务器、主机，免受蠕虫侵害 。