ips整体解决方案

ips整体解决方案内容摘要：

营。 11 安氏领信技术体系及 对应 防御领域 在领信安全保障体系中，入侵防御系统系统（ IPS）占有重要的位置，它可以根据用户的实际需求，部署在某些关键位置，如网关出口，内部服务器集群，以及某些重要业务系统前端，起到实时检测和主动防御的效果，提高防御性能 ，缩短响应时间，为网络提供强有力的保护。 安氏领信入侵防御系统介绍 安氏领信入侵检测系统（ Linktrust IPS）是安氏领信针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、 DDoS 等黑客攻击，以及网络资源滥用（ P2P 下载、IM 即时通讯、网游等）等推出的全新安全防护方案，其具有先进的体系架构并继承了安氏领信入侵检测系统先进的 入侵检测技术，以全面深入的协议分析技术为基础，结合协议异常检测、协议异常检测、关联分析形成的新一代检测引擎，实时拦截数据流量中各种类型的恶意攻击流量，把攻击防御在企业网络之外，保护企业 的信息资产。 领信入侵防御系统主要功能 领信入侵防御系统的主要功能可以总结为几个方面，如下图所示： 12 具体功能阐述如下： 阻止来自外部或内部的蠕虫、病毒和黑客等的威胁，确保企业信息资产的安全。  阻止间谍软件的威胁，保护企业机密。  阻止企业员工因为各种 IM 即时通讯软件、网络在线游戏、 P2P 下载、在线视频导致的企业网络资源滥用而影响正常工作，净化流量，为网络加速。  阻止 P2P 应用可能导致的企业重要机密信息泄漏和可能引发的与版权相关的法律问题。  实时保障企业网络系统 7x24 不间断运行，提高企业整体的网 络安全水平。  智能、自动化的安全防御，降低企业整体的安全费用以及对于网络安全领域人才的需求。  高效、全面的流量分析、事件统计，能迅速定位网络故障，提高网络稳定运行时间。 领信入侵防御系统产品特点  实时的主动防御  多种检测技术的结合使得 Linktrust IPS 可以预防多种已知和未知攻击，准确率保持在很高的水平  最小化人员干预，结合安氏领信的 SOC 系统可以使网络管理人员从大 13 量的事件分析工作中解脱出来，有效减轻攻击报警处理的压力。  IPS 的检测模块与内置防火墙模块的完美集成使得产品具有更安全可靠的 防护能力，同时还可获得更强的访问控制功能和灵活性。 准确的检测 /防护  Linktrust IPS 基于状态的协议分析检测技术、流量和协议异常检测技术、基于漏洞存在的攻击检测技术，结合基于特征匹配的检测技术，极大地提高检测的准确性，降低误报率。  Linktrust IPS 独有的协议识别技术能够识别近 100 种包括后门、木马、IM、网络游戏在内的应用层协议，不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵，并且能更好的提高检测效率和准确率。  Linktrust IPS 出色的协议异常检测针对检测未知的 溢出攻击与拒绝服务攻击，达到接近 100%的检测准确率和几乎为零的误报率。  Linktrust IPS 能够有效防御拒绝服务攻击 DoS，阻止攻击者消耗网络资源、中止服务。  优异的产品性能  Linktrust IPS 专门设计了安全、可靠、高效的硬件运行平台。 硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。  Linktrust IPS 依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异， 具有线速的分析与处理能力。  高可靠、可扩展  Linktrust IPS 支持失效开放（ Fail bypass）机制，当出现软件故障、硬件故障、电源故障时，系统自动切换到直通状态以保障网络可用性，避免单点故障。  Linktrust IPS 支持双机热备 HA，不仅支持 ActiveStandby（主从热备），还支持 ActiveActive（对等热备），提供高可用性保障。  Linktrust IPS 的工作模式灵活多样，支持 inline 主动防御、旁路检测、以及 bypass 方式，能够快速部署在几乎所有的网络环境 中 14  强大的管理能力  全新的集中管理平台－ Linktrust 安全防护中心，使得用户可操作性和方便性都有了很大程度的提高。  极易扩展的集中管理平台使得用户在升级网络时无需额外的投资  全中文图形化的操作界面，符合安氏领信产品操作简单灵活的传统。 丰富的报表格式  提供了多达 40 余种的统计报表模版，方便用户直观的了解网络安全状况  提供了向导式的自定义报表功能，用户可以根据网络的实际情况制定出符合自身需求的报表模版 领信入侵防御系统支持的工作模式 领信入侵防御系统产品支持 4 种工作模式 ， 包括透明学习模式、服务保障模式、强制防御模式、以及旁路模式，以适应不同的网络环境和不同的业务需求。 用户可以根据自身的安全需求灵活的进行选择和切换。 其中 Passive 模式相当于传统的 IDS 设备 ， 我们重点关注的是其中的三种 “ Inline” 模式。 这些工作模式的定义如下： 1 透明学习模式（ Inline Bridging）： 该模式下引擎将根据安全策略对网络中通 15 过的数据进行检测，但是不会采取任何阻断或流量控制操作。 这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段。 2 服务保障模式（ Inline Failpassthrough） ： 该模式下引擎将按照安全策略对所有会话过程进行检测，并产生对不符合安全策略的内容进行告警和适当的防御。 当进入 IPS 引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时，超时的数据包会被转发以保障服务的可用性。 另外在一些特殊条件下引擎也会采用透明转发或 Bypass 的方式保障服务可用性。 这些可能的特殊情况有：  当引擎正处在 Reboot 或初始化过程中时。 （非 bypass 功能支持）  当引擎正在执行“策略应用”命令，或正在编译签名时。 （非 bypass功能支持）  当引擎失去电源，或意外掉电时 (该项需要网卡硬 件支持 )  当出现任何硬件故障，导致引擎无法工作时 (该项需要网卡硬件支持 )  当检测引擎由于某种原因而意外失效时（如：死机，系统崩溃等） (该项需要网卡硬件支持 )  数据转发延迟超时后数据直接被转发（非 bypass 功能支持） 3 强制防御模式（ Inline Failsevered）： 与服务保障模式的工作方式类似，引擎会按照安全策略的要求对通信内容进行检测并作出反应，区别在于当进入 IPS引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时，超时的数据包会被丢弃以保障通信的安全性，在此模式下 bypass 功能将被禁用。 4 旁路模式（ Passive）： 传统 IDS 部署模式，采用旁路监听方式部属 ； 入侵防御系统推荐部署流程 安氏领信提供一整套的入侵保护解决方案，具有良好可扩展性的 Linktrust IPS 的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，实现从企业网络核心至边缘及分支机构的全面保护，适用于不同环境不同企业的安全需求。 入侵防御系统通常部署在网络中的关键位置 ,这样对入侵防御系统自身的安装配置提出了很高的要求 ,为了更好的让领信入侵防御系统适应用户的网络环境 ,发挥更高的防御能力 ,我们推 荐用户将入侵防御系统的上线分为两个阶段 : 第一阶段 :IPS 的学习适应期阶段 ，采用 透明学习模式 （ Inline Bridging）。 16 第二阶段 : IPS 的在线工作阶段。 以 Inline 模式工作，全面检测，全面防护。 其中 Inline 模又可以具体分成服务保障模式（ Inline Failpassthrough）和强制防御模式（ Inline Failsevered），具体采用何种模式取决与用户对安全性的要求和对设备鲁棒性的要求；我们 强烈 建议您采用服务保障模式，这样可以在设备故障或失效的情况下仍然保证网络的可用性。 IPS 的学习适应期阶段 入侵防御系统和入侵检测系统在部署方式上的区别为 IPS 工作于 Inline 模式，而 IDS 工作于旁路监听模式，但并不意味着只要将 IPS 放置于网络的出口处，设置为 inline 模式，让它直接对攻击或可疑行为进行丢弃就可以了，通常情况下，在 IPS 以 Iiline 模式部署后，都需要一段时间的学习适应，才能正确无误的担当起主动防护的重任。 之所以 IPS 需要一个学习适应的过程，主要是因为：  防止 IPS 设备误阻挡合法的数据流量  根据被保护网络的流量，调整各项攻击阈值参数（ threshold）  根据被保护网 络环境，调整需要检测的攻击特征项目 在这个阶段 ,IPS 以 Inline 模式工作，只检测攻击并告警，不进行阻断 首先，将 IPS 的工作模式设置为 Inline Bridging 模式，并将 IPS 以 Inline 模式串接在被保护网络之前，所有进出被保护网络的数据包都会通过 IPS 的检查，正常的流量才会允许进入被保护网络。 在该模式下， IPS 的检测引擎将根据安全策略对网络中通过的数据进行检测，如果用户设置了对攻击数据包的阻断功能， IPS 会产生相应的阻断报警，但是不会采取任何阻断或流量控制操作。 这种模式主要用于首次部署时对用户 网络环境的学习与策略优化阶段，根据检测到的网络中可能出现的攻击行为，对攻击签名特征库和阈值等参数做出调整，减少 IPS 产生误报的可能性 另外在此模式下，用户可以观察 IPS 设备的加入会不会对原有的网络应用产生影响，以确保 IPS 的性能能够满足原有网络应用的需求。 17 IPS 的 Inline模式工作 阶段 在经过第一阶段的学习、调整和适应后，已经可以确认 IPS 能够以 Inline 方式正常运行，并且不会阻断正常合法的网络数据包，这时候就可以开启 IPS 的防御功能，进入阻断攻击、全面防御的阶段。 在此阶段中有两种模式可以供不同安全 要求的用户使用： 1 Inline Failpassthrough 模式 适用于对网络应用的连续性要求高于对网络安全性要求的用户，在此模式下，如果 IPS 不能正常检测攻击时或出现故障，将使用 Bypass 和超时转发技术优先保证用户业务的连续性。 2 Inline Failsevered 模式 适用于对网络安全要求高于对网络应用连续性要求的用户，在此模式下，如果 IPS 不能正常检测攻击或出现故障，将拒绝所有数据包的通过，优先保证被保护网络中数据的安全。 4 入侵防御系统部署建议 安氏领信提供一整套的入侵保护解决方案，具有良 好可扩展性的 Linktrust IPS的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，实现从企业网络核心至边缘及分支机构的全面保护，适用于不同环境不同企业的安全需求。 系统组件 说明 组件 说明 Console(控制台 ) 控制台是 LinkTrust IPS 系统中进行各种配置管理、日志（包括安全事件、系统日志、用户审计日志）查看的客户端组件。 它是一个基于 Windows 的应用程序，提供友好的用户图形管理界面和多级别的数据访问控制。 为保证数据传输的安全性，在控制台和事件收集服务器之间采用了加密通信。 EventCollector（事件收集服务器） 事件收集服务器 是 LinkTrust IPS 的一个关键组件，为整个系统的管理核心。 主要有三方面的功能： 1. 对系统中的用户进行管理，是整个系统的用户认证中心； 2. 实现对整个系统的配置管理功能，包括对传感器的配置管理以及日志服务器的配置管理； 3. 完成日志数据的收集汇总及简单的分析工作。 LogServer（日志服务器） 日志服务器。