ips网入侵防御方案模版.doc

《ips网入侵防御方案模版.doc》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、网络入侵防护方案合肥中方网络安全公司2021年7月28日文档说明非常感谢上海（简称）给予McAfee公司机会参与《网络入侵防护》项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是，本文档所涉及到的文字、图表等，仅限于McAfee公司和内部使用，未经McAfee公司书面许可，请勿扩散到第三方。目录1安全威胁分析52网络入侵防护设计方案72.1方案设计原则72.2网络入侵防护的部署方案72.3自动升级更新92.4报警和攻击阻断状态管理92.

2、5报表管理93部署IPS后网络可靠性114IntruShield网络IPS的优势134.1双机热备份功能（HA）134.2虚拟IPS功能（VIPS）134.3实时过滤蠕虫病毒和Spyware间谍程序144.4独特的DOS/DDOS探测方式：自动学习记忆和基于阀值的探测方式145实施方案155.1循序渐进的分阶段实施155.2物理/环境要求155.3实施准备阶段－（2-4个工作日）165.4安装及配置阶段－（2个工作日）175.5DAP阶段一——30天185.6DAP阶段二——30天195.7DAP阶段三——1天206IntruSh

3、ield网络入侵防护产品简介216.1网络攻击特征检测216.2异常检测226.3拒绝服务检测236.4入侵防护246.5实时过滤蠕虫病毒和Spyware间谍程序266.6虚拟IPS276.7灵活的部署方式281安全威胁分析生产网络和OA网络架构如下图所示：由图中可以看出，生产网络和OA通过两条千兆链路直接连接，中间没有任何防火墙或者网络隔离设备；而OA网络和Internet网络有直接的专线连接。从网络结构来看，面临的外部威胁包括：1）OA网络面临的外部威胁a）黑客的攻击入侵，造成信

4、息泄露，或者破坏网络、应用和服务器系统，造成网络、应用和服务器系统瘫痪；b）蠕虫病毒通过网络、Email和网络文件共享等多种方式传播，植入企业内部后为黑客攻击留下后门，同时造成网络拥塞，甚至中断，如NetSky、Mydoom等蠕虫病毒；c）蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门，同样，在传播过程中，产生大量的TCP、UDP或ICMP垃圾信息，造成网络拥塞，如SqlSlammer、Nimda、“冲击波”和Nachi蠕虫病毒。d）面临来自OA网和Internet的黑客攻击，包括

5、DOS/DDOS攻击的威胁，来自Internet或者办公网的DOS/DDOS攻击会造成网络服务中断。e）OA用户文件拷贝，Internet访问带来：病毒、蠕虫、间谍程序、后门程序和特洛伊木马的威胁f）来自Internet的Spyware的威胁2）同样生产网络面临着内外部网络的威胁，因为，生产网络和OA网络间没有任何防火墙或者安全隔离设备，因此，生产网的威胁包括：a）来自Internet的黑客攻击，造成设计或者客户数据的泄密，或者信息篡改，造成信息完整性被破坏；b）来自Internet和OA网络的蠕虫、病毒和Spyware的威胁c）

6、来自Internet的DOS/DDOS攻击，造成计算机网络瘫痪，导致业务中断；d）来自OA网络内部的恶意攻击，造成中心数据破坏或被窃取，甚至造成业务中断。e）来自OA网络的越权访问机密信息，造成信息泄密。因此，中信国际迫切需要在Internet和OA网络之间，OA网络和生产网络之间部署网络入侵防护设备，以实现：1）探测出黑客攻击，并且实时阻断黑客的攻击；2）能够探测出已知和未知的蠕虫，实时阻止这些蠕虫进入OA网络和生产网络；3）探测来自Internet或者OA网络由于蠕虫病毒引起的异常网络流量，阻止进入生产网络网络；4）阻止对生产

7、网络的DOS/DDOS攻击1网络入侵防护设计方案1.1方案设计原则在Internet和OA网络间，特别是OA网络和生产网络间采用IPS时，必须依据以下原则：1）探测准确：不会出现误报和漏报2）可靠性：确保网络不会因为设备故障而造成中断3）IPS部署后，不出现性能瓶颈4）业务安全需求和投资的平衡1.2网络入侵防护的部署方案根据的网络架构，需要部署网络入侵防护设备的地方包括：1）Internet网络和OA网之间；2）OA网络和生产网络之间；如下图所示。1）OA网络和Internet之间的网络入侵防护部署：采用一台Intru

8、Shield1200，以嵌入方式（In-Line）部署在OA网络核心交换机和Internet防火墙后。管理端口连接到核心交换机快速以太网端口，通过IntruShield进行集中管理。2）OA网络和生产网络间的IPS部署采用两台IntruShield