XX公司网络边界安全即入侵防御系统-IPS的建设和部署研究方案【定稿范本】

XXX公司网络界限安全即入侵防守系统-IPS 的建设和部署方案
目录
1 概括 (4)
2 整体方案设计 (8)
3 XXX 公司需求剖析及部署方案 (10)
需求剖析 (10)
部署方案 (10)
介绍的产品 (12)
4 McAfee NSP 产品简介 (14)
检测及防守功能 (14)
网络攻击特色检测 (14)
异样检测 (15)
DoS/DDoS 攻击防守 (16)
入侵防备功能 (17)
及时过滤蠕虫病毒和 Spyware 间谍程序 (19)
虚构 IPS (20)
灵巧的部署方式 (21)
具备风险识其余入侵防守 (23)
内置 Web 安全保护 (24)
永久在线的管理平台 (24)
SSL 加密攻击检测 (25)
当先的虚构内部防火墙 (26)
McAfee NSP所获最新国际奖项 (26)
5设施技术指标一览表 (29)
6成功事例 (31)
7供应商及实行人员构成 (31)
1概括
McAfee是全世界最大的专业致力于网络信息安全和管理的厂商，也是全世界
最有影响力的十大网络软件公司之一。

McAfee在全世界75个国家设有分支机构，6000多名雇员，受权代理商、分销商、零售商，发展增值代理（VAR ），并配合系统集成商为行业客户服
务。

同时，在全世界六大洲供应咨询（Consulting Service）、教育（Total Education Service）、产品支持（World Wide Product Support）等全面服务方案。

McAfee拥有世界威望的反病毒紧迫事务响应小组（AVERT）、 IntruVert 入侵防备响应小组及FoundStone破绽剖析小组，供应7/24 的研发和支持服务，并且 2006 年在中国建立了NSP 研发中心， McAfee亲密关注网上安全问题，为组织机构供应整体的安全顾问服务，推出网上诊室，是安全研究结盟
SRA 的主要成员。

与Cisco 合作为学校培育网络人材，与Verisign和Entrust 结成战略结盟供应PKIS 支持，与 Novell携手供应完美的全面集成的病毒防治
能力的网络解决方案。

McAfee拥有宽泛的结盟伙伴，他们是Microsoft，IBM/Tivoli，HP，Dell，Compaq，IBM GIS，IBM Lotus，Novell，PT，Seagate Sotware，Cisco System，ALOL，Worldcom，GTE等。

在中国， McAfee成立了深圳研发中心及北京研发中心，来为中国的客户
供应更好更全面的技术和产品服务。

McAfee网络入侵防备解决方案可为大型及散布式网络供应保护，使它们
免受攻击。

这一网络防备解决方案产品为McAfee Network Security
Platform ，供应鉴于网络的入侵防备功能。

屡获殊荣的McAfee Network
Security Platform专业网络入侵检测和保护设施系列集成了专利检测技术、集
中管理、灵巧部署和业内最高的千兆端口密度，进而使金融公司、营运商和服
务供应商以数千兆的速度部署最精准、最全面的及时攻击防备解决方案。

因为
解决方案的带宽速度从每秒数百兆到每秒数千兆不等，所以，这些入侵防备解
决方案能够供应遍布整个网络以致分支机构的前瞻性保护，保证业务的可用
性，并保护要点资源免受已知威迫、零时间攻击、Dos/DDoS攻击和加密攻击
的扰乱。

依据XXX 公司网络入侵防备设施IPS 的功能和性能需求，我们介绍
McAfee的NSP网络入侵防备产品。

详细细节为：
(1) XXX 公司：共采纳 4 台 McAfee NSP M-2950千兆网络入侵防备设
备，此中 2 台 M-2950做Fail-over实现主备链路的高可用性，保障
链路的入侵防备以及中心服务器群数据安全，同时保证端口备份和性能
冗余；
(2) 集中管理平台：采纳Network Security Manager，实现对所有
NSP 设施的一致管理。

在全世界， McAfee NSP为市场和技术当先的网络入侵防备产品，其使用In-
Line 方式接入到网络中时，能够实现：
(1)探测出黑客攻击，并且及时阻断黑客的攻击；
(2)探测出已知和未知的蠕虫，及时阻挡这些蠕虫进入网络；
(3)探测和阻拦目前网络接见中间谍软件、木马和广告软件威迫；
(4)依据公司需要进行 BT 等 P2P 应用的阻拦，包含 Skype ；
(5)使用破绽署名和异样探测实现零时间的威迫探测防备，供应给算机网络
前瞻的保护；
(6)探测异样网络流量，发现感染蠕虫病毒的计算机或许被黑客成功“穿
透”的计算机；
(7)探测和阻拦 DOS/DDOS 攻击，并且使用 SYN Cookie 技术保证服务器在
SYN Flood DOS 攻击下，还可以供应正常的服务；
(8)供应全面的安全防备功能，对超出 100 种协议进行解码和剖析，并供应
SSL 加密攻击检测、内部防火墙、流量记录、流量控制等多项安全功能。

McAfee网络入侵防备设施在接入网络后，保证网络性能没有降落，以及
供应最将强盛的办理能力和检测率，以下列图可参照NSS Lab 对各厂商 IPS 设施的评测结果：
数据根源： NSS Group
从表中能够看到McAfee NSP供应了最小的网络延缓及优异的办理性能。

数据根源： NSS Labs 2010年IPS设施评测
从表中能够看到 McAfee NSP供应了最高的检测率和最强的办理性能。

2整体方案设计
本方案依据 XXX 公司目前的信息安全建设状况，借助McAfee在信息安全领域的先进技术和解决方案，以动向安全风险管理为基础，提出了全面的信息
安全解决方案及实行步骤。

其最大的特色是：以全面的量化安全风险为基础，
在系统和网络层面建立全面的安全威迫防守系统，完美健全安全举措，当安全
风险等级变化时，风险管理管理系统供应详尽的安全风险变化原由和挽救措
施，同时，调整系统和网络层面的防守策略，真实的做到全面防守，有的放
矢。

风险管理的过程中，怎样有效地除去威迫、降低风险是要点，所以，我们
第一应当成立全面的系统和网络防守系统。

XXX 公司目前已经成立了基础的网络架构，而 McAfee供应的网络入侵防备产品，能够帮助XXX 公司抗衡未知的和未来出现的安全威迫，经过McAfee NSP （即 IPS）建立完美的公司安全边界防守系统，在网络界限及时正确的检测和阻断各种网络攻击行为、
DoS/DDoS 攻击及未知的攻击流量，并对P2P、IM等应用流量进行管理，完善整个 XXX 公司的网络安全建设。

本方案描绘中波及以下产品和解决方案：
(1)McAfee NSP ：鉴于 ASIC 及 FPGA 芯片的硬件网络入侵防备系统，及时
阻挡黑客攻击、蠕虫病毒、间谍程序和 DOS/DDOS 攻击；
(2)McAfee 安全风险管理系统：方案中还会联合 McAfee 安全风险管理
系统的发展远景，介绍在XXX 公司现有环境下的安全系统建设，进而
使得各个安全产品共同工作，加强网络安全综合防守能力。

本方案阐述了建立XXX 公司完好的安全风险管理系统所应包含的各个方面，同时要点阐述了XXX 公司网络界限安全（即入侵防守系统-IPS ）的建设和部署方案。

3XXX 公司需求剖析及部署方案
需求剖析
跟着 XXX 公司业务的不停扩大，内部网络的发展，本来入侵防守系统已经
不可以切合内部业务系统对Internet进口接入的需求，故需要将原来的IPS 设施升级至千兆入侵防守系统，加强公司内部的中心应用系统应付黑客攻击、蠕
虫、网络病毒、后门木马、DoS/DDoS等威迫的能力。

部署方案
INTERNET
500M
G0/1/0
（SFP 单模）
ROUTER01
G0/0（1G
G0/6RJ45（1G）
G1/0/1
RJ45 ）
SW442
G1/0/3G1/0/2
FRW1HA FRW2
HA 内网中心交
换机
M-2950 M-2950
SW
SW4
内网中心
5
堆叠 DMZ互换机
非中心
业务服
务器群
中心业务服
务器群
WEB
1)部署建议
我们建议 M-2950设施1A-1B口串接在防火墙和DMZ 互换机之间，要点保护核
心服务器群的安全。

因McAfee NSP入侵防备系统是双向检测，这样既保障中心服务
器群 Internet出口的安全，又能够检测内部中心网络到DMZ 区应用程序流量；同时
在备用链路上也架设一台M-2950做Fail-over，当主链路出现故障网络中止时，自动
故障转移到备用链路，采纳两台M-2950做HA而不是使用一台IPS 设施两对端口，
主要也考虑不改变整体网络的HA 结构，实现网络的高可用性。

同时M-2950型号内
置 4 对 fail-open 功能模块（ Bypass 模块），在采纳 In-Line 方式部署时，防备因设施故障
而造成网络中止。

鉴于另一 ISP 接入线路能力及业务部署与上图同样，建议可采纳同样的防备方式
来进行防备。

2)管理建议
因为中心业务应用存在不一样的网络地区和应用系统平台，我们建议使用“虚构
IPS”技术的CIDR 表示方法对各个服务站点IP 进行不一样的分类，细化检测策略和
DoS/DDoS 特色流量。

比方针对中心业务群中的WEB 服务，拟订独自的策略，提高
WEB 服务器对外服务的安全性。

关于其余内部网络，我们建议使用M-2950的节余端口作SPAN 的方式，连结相应的镜像端口，能够检测其余内部网络安全状况。

关于多台 NSP 设施，我们建议采纳一致管理平台NSP Manger ，这样对从前DoS
等学习的状况，有益于策略的拟订及散发。

介绍的产品
在本方案中我们介绍的是NSP M-2950，其采纳ASIC芯片纯硬件架构设计，可
以保证在 1Gbps 的流量下进行正常的异样流量探测、黑客攻击探测阻断（包含
DOS/DDOS 攻击探测阻断、蠕虫病毒阻拦），并且保证造成的延缓在100 微秒左右。

产品清单：
设施设施描绘数目1Sensor M-2950 4
M-2950设施硬件及参数
NSP M-2950实物图
吞吐性能：
探测端口密度：8 个千兆检测端口（固定铜线端口）
12 个千兆检测端口（SFP 端口）
端口配置选项：10 对 In-line或许20个Span端口，或许混淆
端口支持： SFP mini- Gigabit连结器，
端口 Bypass: 8个端口内置，其余 6 对需外置Fail-Open设施电源：双冗余电源–可选配置
响应端口：10 个–用作 IDS 部署时拦截连续攻击连结
管理端口： 1 x 100/1000 Mbps管理端口
高可用性： 10A 用作 Heart beat signal provider
并发连结支持: 750*;000
虚构 IPS / Firewall策略: 100个
4 McAfee NSP产品简介
NSP 鉴于完好的攻击剖析方法而建立，并引入了业界最为全面的网络攻击特色检
测、异样检测以及拒绝服务检测技术，除了能够探测攻击，还可以够探测已知未知蠕虫
和后门程序。

检测及防守功能
网络攻击特色检测
为了实现高性能的网络攻击特色检测，NSP 系统结构不单采纳了创新的专利技术，并且集成了全面的状态检测引擎、完美的特色规范语言、“用户自定义特色”以
及及时特色更新，保证了NSP 能够供应并保护业界最为全面、更新最及时的攻击署名
数据库，目前署名特色超出4000 种，解码协议超出106 种。

1)特色规范语言
NSP 以专用的高水平特色规范语言为强盛支持。

NSP 能够从应用程序软件中分别出攻击模式特色，在这个独到的系统结构中，将特色简单地变换为表单项，进而能够
经过直观的用户界面实现及时更新，并可被特色引擎立刻使用。

目前的 IDS 产品常常经过软件“补丁程序”来供应新的特色，这不单降低了部署
速度（一定依据整个IDS 软件应用程序进行质量保证），并且也不利于安装（一定重
新启动系统）。

而NSP 经过从传感器软件中分别攻击模式特色，进而保证了高质量的
崭新特色能够迅速部署（无需从头启动系统）。

同时，从传感器应用程序代码中分别
特色也使得特色编写人员能够将精力集中在特色编写的“质量”上，而无需考虑怎样
将特色建立为应用程序更新补丁。

2)全面的状态特色检测引擎
NSP 系统结构的特色检测引擎引入了强盛的上下文敏感检测技术，在数据包中充
分利用了状态信息，它经过使用多个令牌般配来检测超越了数据包界线的攻击特色，
或高出序列范围的数据包流。

3)用户自定义网络攻击特色
NSP 使得网络安全工程师能够经过一个创新性的图形用户界面（GUI ）来编写自定义署名，该界面能够使用经过系统的协议剖析功能所获取的字段和数据，或许经过
NSP 的剖析体制采集的状态信息。

4)及时特色更新
NSP 供应的创新性及时特色更新极大地提高了管理软件的性能，由IntruVert更新服务器供应的崭新特色能够经过策略控制自动发送到整个网络，进而保证了新的特
征一经创立，网络即可获取最新的防备功能。

NSP 系统结构还同意网络工程师决定何时，以及能否在整个网络中部署最新的署名。

NSP 系统无需从头设置或从头启动任何
硬件以便激活新的署名，所以，它们能够自动地、及时地进行部署。

异样检测
异样检测技术为NSP 系统全面的署名检测过程供应了完满的增补，异样检测技术
使得网络工程师能够对突发威迫或初次攻击进行拦截，并创立出一套完好的“异样档
案”，进而保护网络免受目前威迫和未来攻击的骚扰。

NSP 系统结构供应了业界最为先进、最为全面的异样检测方法—集成了针对统计数据、协议及应用程序的异样检测技术。

异样/ 未知攻击的例子包含新的蠕虫、蓄意
的隐性攻击、以及现有攻击在新环境下的变种。

异样检测技术也有助于拦截拒绝服务
攻击（察看服务质量的改动）和散布式DoS 攻击（ NSP 系统利用流量款式改动（例
如 TCP 控制数据包的统计数据）来决定能否马上发生海量的数据流）。

我们将在下边
的部分详细议论拒绝服务攻击。

NSP 系统结构的异样检测技术还可以够针对其余威迫供应保护，这包含：缓冲区溢
出攻击、由木马程序或内部人员安装的“后门”或歹意攻击、利用低频次进行的隐性
扫描攻击、经过网络中的多个发送点传递表面正常的数据包、以及内部人员违犯安全
策略（比如，在网络中安装游戏服务器或音乐存档）。

DoS/DDoS攻击防守
NSP 检测系统结构的第三根“支柱”就是它完美的拒绝服务防备技术。

1)自动记忆以及鉴于阀值的检测
NSP 系统结构综合利用了鉴于阀值的检测技术和获取专利的、拥有自动记忆功能
的鉴于配置文件的检测技术，进而使拒绝服务检测更具智能化。

借助鉴于阀值的检测
功能，网络安全管理员便可以使用早先编写的数据流量限制来保证服务器不会因负载
过重而宕机。

同时，自动记忆功能使得NSP 系统结构能够剖析网络使用方法和流量的模式，了解合法网络操作中发生的多种合法，但不常有的使用模式。

两种技术的联合保证了对各样DoS 攻击的最高检测正确率—包含散布式拒绝服务攻击（即歹意程序员为了攻击公司或政府网络，同时对上百个，甚至上千个服务器
倡始攻击）。

NSP 正确的 DoS 检测技术拥有特别重要的意义，因为好多网站和网络都以前历
过合法的（有时是不测的）、极具吸引力的新程序、服务或应用程序的流量冲击。

2)检测技术的关系性
正如我们所看到的，NSP 系统结构供应了多种操作模式，使得系统能够捕获歹意
流量、供应全面的攻击剖析方法、实行完好的智能化署名检测、异样检测以及拒绝服
务防备技术。

NSP 系统结构的检测关系层连结着系统的署名检测、异样检测以及拒绝服务检测
功能—这类互相关系性以及对可疑流量的交错检查功能保证了攻击检测的高度正确
性。

单调 NSP 系统能够对防火墙的公共网段、专用网段以及DMZ网段进行全面的保护，并供应这些网段之间的互相关系性，进而能够针对被拦截的网络攻击或许进入专
用网络的网络攻击供应正确的详尽信息。

入侵防备功能
NSP 系统结构供应了业界最正确的攻击检测功能，结构了系统攻击响应体制的坚
实基础。

没有足够响应能力的IDS 产品只好为网络安全管理员供应有限的功能。

现代
的 IDS 产品一定能够检测出攻击，并供应偏转和拦截歹意流量的方法。

NSP 系统结构为网络安全管理员供应了一整套手动的和自动的响应举措，并以此
建立起公司或政府机构信息技术安全策略的基础。

NSP 的入侵响应体制
就攻击检测来说，NSP 系统结构使系统能够实现以下功能：
1)拦截攻击
NSP 系统结构同意IDS 以嵌入模式工作，所以，它能够及时地在攻击源和目标之
间拦截单调数据包、单调会话或数据流量，进而在进度中拦截攻击，而不会影响任何
其余流量。

2)停止会话
NSP 系统结构同意针对目标系统、攻击者（或两者同时）从头设置并初始化
TCP 。

网络安全工程师能够对发送给源和/ 或目标 IP 地点的从头设置数据包进行配置。

3)改正防火墙策略
NSP 系统结构同意用户在发生攻击时从头配置网络防火墙，方法是暂时改变用户
指定的接见控制协议，同时向安全管理员发出警报。

4)及时警报
当网络流量违犯了安全策略时，NSP 系统结构能够及时生成一个警报信息，并发送给管理系统。

合理的警报配置是保拥有效防备的要点所在。

恶性攻击（比如缓冲区
溢出以及拒绝服务）常常需要做出及时响应，而对扫描和探测则能够经过日记进行记
录，并经过进一步的研究确立其潜伏的危害和攻击源。

网络安全工程师能够获取有关
电子邮件、寻呼程序以及脚步警示的通知，该通知鉴于早先配置的严重性水平或特定
的攻击种类，比如拒绝服务攻击。

鉴于脚步的警示同意对复杂的通知过程进行配置，
进而能够针对系统面对的攻击向特定集体或个人发出通知。

NSP 系统结构还供应了一个“警报过滤器”，它同意网络安全工程师依据安全事
件的根源或目标进行挑选。

比如，当IT 部门经过一个自有IP 地点履行破绽扫描时，从该地点生成的事件便可以被过滤掉。

5)对数据包进行日记记录
在攻击发生时，或攻击发生以后，鉴于NSP 系统结构的系统能够第一捕获数据包，并对数据包进行日记记录，而后将该流量从头定向到一个安闲的系统端口，以便
进行详尽的合法性剖析。

这个数据包信息就是对触发攻击的实质网络流量的记录。

数
据被查察后，将变换为libpcap格式，以便进行演示和说明。

近似于Ethereal （运转
于 UNIX 和 Windows 平台的一款网络协议剖析工具）的多种工具能够用来查验数据包
日记数据，以便对检测到的事件进行更加详尽的剖析。

NSP 系统结构的响应体制供应了该产品平台的基础，安全管理员需要在此基础上
开发出响应举措、警报以及日记系统，以便为复杂的现代网络供应最正确的防备。

及时过滤蠕虫病毒和Spyware间谍程序
在 NSP的Signature中包含了蠕虫病毒、Spyware间谍程序、“特洛伊木
马”、后门程序的Signature，当NSP采纳In-Line方式部署时，能过过滤掉流经NSP 的这些歹意程序。

并且 NSP 的邮件未知蠕虫Signature能够探测邮件中夹带的未知蠕虫病毒，并且
将其抛弃，进而使得NSP 能够抗衡新的、未来出现的蠕虫病毒。

虚构IPS
虚构 IPS 能够将 NSP 探测器区分为多个虚构探测器，这些虚构探测器能够使用不
同的探测和防备策略保护不一样的VLAN 、子网和主机（包含自定义的攻击选择及有关
响应举措）。

虚构IPS 能够依据一组IP 地点、一个或多个VLAN标记来定义，也能够经过探测器上的特定端口来定义。

NSP 系统结构的虚构IPS 功能能够经过三种方法来实行。

第一，将虚构局域网
(VLAN) 标记分派给一组网络资源；第二，使用无类型域内路由(CIDR)标记来保护一
组 IP 地点；第三，将 NSP 系统接口特意用于保护特定部门、地域机构或组织职能部门的
网络资源。

鉴于 CIDR 的 VIPS 实行能够使用 /32掩码详细到单调主机的水平。

比如，能够
使用单调主机的特有策略来辨别DoS 攻击，并做出响应。

NSP 的虚构 IPS 功能
典型的IDS/IPS只好支持一个传感器一个策略，这将致使过多的误报，或过多的
传感器部署。

NSP 创新的虚构IPS 功能能在一个传感器上实现多个安全策略，可为保
护各个特定环境而定义，减少整体拥有成本。

灵巧的部署方式
NSP 支持完好及时攻击阻断的嵌入（In-Line ）模式，也支持传统的SPAN与HUB 监控接入方式、TAP 接入和端口群集接入模式。

嵌入模式： NSP 系统位于数据路径上，活动的流量一定经过它们。

NSP 系统经过及时拦截歹意流量来防备网络攻击。

用户能够全面自定义预防举措，比如自动拦截针
对特定 Web 服务器的DoS 流量。

高速的防备以及高度可用的操作使得NSP 系统能
够部署在任务要点型环境中。

In-line部署模式
互换端口剖析器（SPAN ）与集线器监控：一台或多台网络互换机的集线器端口或SPAN 端口都能够连结到NSP 系统的检测端口。

传感器能够使用同一端口来激活响应
举措，比如从头设置某个TCP 连结。

SPAN 部署模式
TAP 模式：可对全双工以太网链接的网络通讯进行双向监控。

经过完好捕获某个
链接上的所有流量，能够更清楚的认识某个网络攻击的根源和实质—并供应所需的详细信息，以便能够对未来的攻击进行拦截。

这类全双工监控能力使得NSP 系统能够维护完好的状态信息。

响应举措包含防火墙从头配置，以及经过专用响应端口来从头设
置并初始化 TCP。

TAP 部署模式
端口群集使得单调 NSP 系统经过多个端口监控的流量能够“聚合”成一个流量
流，以便进行状态剖析和入侵剖析。

该功能关于非对称路由环境特别实用，因为这类
环境下，恳求数据包和响应数据包可能会经过不一样的链接进行传递。

单调的NSP 系统便可以监控多个链接，同时能够保护正确的、完好的状态信息。

端口群集部署模式
具备风险识其余入侵防守
(1)集中应付最有关系的告警和攻击，供应明显的运作效率
(2)同意导入和关系 Foundstone 风险评估信息实现优先级的风险管理，同时也支持
开源破绽扫描系统 Nessus
经过拥有风险辨别功能的入侵防守系统，降低IT 成本，并增添操作效率
经过辨别并阻拦带来最大威迫的攻击，实现最大化安全成效，减少业务风
险
带有风险辨别功能的入侵防守系统
内置Web安全保护
(1)踊跃主动从计算机虚构攻击，间谍软件和歹意程序多方面保护Web阅读器和
桌面－防备未受权接见及有害程序下载
(2)Web 客户端保护为 McAfee 界限和系统保护解决方案供应其余层次的增补保
护
保护未打补丁的 Web 阅读器和客户端防止计算机虚构攻击
重要的减少helpdesk & IT成本，防备损坏隐私，保护数据保密性
Web 客户端防备表示图
永久在线的管理平台
(1) NSP 安全管理系统(ISM)经过Active/Standby主备管理服务器技术供应了
连续的，高可用性的管理平台
(2)自动无效故障切换和故障恢复技术同意在要点配置数据出现无效事件时可获
得灾害恢复
甚至在发生灾害或系统无效时，也能保证要点网络保护的连续性
支持共同灾害恢复策略，同意HA 部署在备选数据中心
管理平台的备份
SSL 加密攻击检测
SSL 是一种流行的安全技术选择，SSL 在加密敏感信息的同时连同灵巧攻击的攻击也一起加密了，而NSP 能够检测 SSL 机密数据中可能存在的攻击行为：
(1)将Web服务器或SSL终端加密的私钥导入NSP 管理服务器
(2)NSP 管理服务器用传感器的公钥地这些私钥进行加密
(3)传感器在启动时收到加密的私钥
(4)传感器将SSL密钥保留在内在中，检查SSL 流量中的攻击
当先的虚构内部防火墙
McAfee NSP最早发展了IPS 的内部防火墙技术，帮助客户防止重复投资：
(1)传统防火墙定义了网络界限
(2)NSP 供应 IPS + 防火墙的整合
(3)启动打破性的虚构内部防火墙
(4)虚构内部防火墙供应更多层的内部保护，使公司级策略得以履行
当先的内部防火墙
McAfee NSP所获最新国际奖项
从前获取奖项：。