入侵检测分系统安全方案

支持集中管理的分布工作模式，能够远程监控。可以对每一个探测器

进行远程配置，可以监测多个网络出口或应用于广域网络监测，并支 持加密

通信和认证。

具备完善的攻击检测能力，如监视E-Mail 攻击、Web 攻击、RPC 攻 击、NFS

攻击、Telnet 攻击.监视非授权网络传输；监视口令攻击、 扫描攻击、特洛

伊攻击、拒绝服务攻击、防火墙攻击、Daemon 攻击、

监视非授权网络访问等。

9.提供相应硬件设备。

第一章入侵检测分系统安全方案 7.1设计目标 能提供安全审讣、监视、攻击识别和反攻击等多项功能，对内部攻 击、外部攻击和误操作进行实时监控。 通过入侵检测探测器和安全服务中心对网络内流动的数据包进行获 取和分析处理，发现网络攻击行为或者符合用户自定义策略的操作, 及时报警。 与网御Power V-203防火墙互动响应，阻断攻击行为，实时地实现入 侵防御。 7. 2技术要求 L 具有对主机、防火墙、交换机等网络设备监控的功能。 2. 3. 具备从56Kbps 到T3以上速率管理多个网段的功能，包括4/16Mbps 令牌环、lO/lOOMbps 以太网及FDDIo 支持实时网络数据流跟踪，网络攻击模式识别。 4. 支持网络安全事件的自动响应。即能够自动响应网络安全事件，包括 控制台报警；记录网络安全事件的详细宿息，并提示系统安全管理员 采取一定的安全措施；实时阻断连接。 5, 自动生成按用户策略筛选的网络日志。 6. 支持用户自定义网络安全策略和网络安全事件。

7.

7. 3配置方案

根据蚌埠广电局网络系统和应用系统的要求,配置一台入侵检测控制台和2 个引擎。入侵检测安全控制中心安装在内部网管理区的一台主机上，对入侵检测探测器1和入侵检测探测器2进行控制和管理。

入侵检测探测器与网络的连接方式主要有3钟，第一，与防火墙吊联；第二, 在内网区（或者SSN区）与防火墙之间加装一台集线器，并将其两个接口接入集线器；第三，安装在内网区（或者SSN区）交换机的监听口上。从尽可能不影响网络效率和可靠性的角度考虑，我们选择了第三种连接方式。

7.4选型建议

本方案推荐釆用联想先进的细粒度检测技术推出的网御IDS N800网络入侵

检测系统。

选择选用联想网御IDS N800网络入侵检测系统是因为该产品不仅能够满足

“蚌埠广电局网安全系统包技术指标要求”规定的入侵检测系统技术要求，同时该产品还具有以下显著的技术特点:

实时数据包收集及分析: 联想网御IDS N800不使用原有的协议而用特殊的网络驱动，在MAC层

收集.分析数据包，因此保证了数据包收集及分析的实时性和完整性。

稳定.高效的网络探测器：网络探测器采用多线程设计，网络数据的获取、分析、处理、及针对入侵行为的响应动作均独立进行，并在数据处理过程中进行了合理的分类，优化了处理过程■大大提高了网络探测器在数据流量较大的情况下稳定和较小丢包率的性能。

灵活的用方式和多网卡支持功能：联想网御IDS N800具有高灵活性接入

的特点，为了检测外部的入侵及对其响应，探测器放在外部网络和内部网络的连接路口（有防火墙时，可放在防火墙的内侧或外侧）。支持100Mbps

Full Duplex（200Mbps）,为了检测通过网关的所有数据流，入侵探测器使

用三个网络适配器（分别用于检测各个接收的数据流、发送的数据流和入侵响应专用适配器）和分线器可以放置在基于共享二层网络结构内的，也可而且在提供监听能力的交换网络环境中也可以正常的工作。一个探测器可支持到8个网络适配器，可灵活的在多种网络环境中根据检测的需求进行部署。

简单.易用的全中文控制台界面：联想网御IDS N800提供了基于浏览器

的控制台界面，操作简单、容易掌握。不需安装特殊的客户端软件，方便用户移动式管理。所有信息全中文显示，例如警报信息、警报的详细描述等，人机界面简洁、亲切，便于使用。

丰富.强大的入侵检测特征库：内容丰S、准确的入侵侦测特征库使得“天眼”网络入侵侦测系统可以检测多种入侵行为，包括拒绝服务攻击、溢出攻击、未受权访问、网络资源滥用、涉密信息传输、病毒传输等等。

在U前的版本中包含入侵检测规则541种、病毒传输检测规则126种，并且仍然在不断地更新、补充之中，用户可以通过互联网直接下载、更新入侵检测特征库。先进入侵检测方法:

联想网御IDS N800根据服务器类别，设置不同的安全违反检测策略，对

外部到内部或内部到外部的数据流，设置个别系统访问统计策略，并检测违反该策略的事件。检测对65, 000多个所有服务端口有效，具有6, 500

多个标准端口和后门端口，按攻击类型分为300多种方式来检测。同时釆用先进的模式匹配分析法，利用基于Pattern Matching的规则，检测

TCP/IP 协议、ICMP、HTTP、FTP、FINGER、SMTP、RPC 及其它TCP/UDP 服务漏洞的攻击。模式;匹配分析是阶层式分散结构，能最大限度减小入侵探测系统的负荷，所以分析很快。还可以探测如下避开入侵检测系统的攻击。

•利用TCP/IP协议的漏洞的攻击•利用Fragrouter等的碎片发送的攻击。

•HTTP 多种编码的攻击（URL Encoding , Reverse , Traversal, Null

Method等多数）。

实现大型网络的分层、分级管理：联想网御IDS N800网络入侵检测系统

使用了严格的用户身份认证与控制机制，根据用户的权限赋予该用户对系统功能的使用能力。例如：规则定制与应用、警报结果査询与删除、用户的管理、网络探测器的管理、入侵行为的响应动作定制等等，使不同级别的网络管理员具备对整个网络的不同的管理能力。实现对大型网络的分层、分级管理。

保密性及自身保护功能：联想网御IDS N800入侵检测系统在控制台与探

测器之间通信加密，以此保证数据传送的保密性和完整性。同时与所连动的防火墙之间使用SSL安全协议，因此保证了入侵响应中传送的数据的保密性和完整性。因为内/外部攻击者无法探测Audit的网络适配器，因此不能直接打击入侵探测系统，从而保证了其自身的安全性。

提供多种入侵响应技术: 联想网御IDS入侵检测系统不仅提供警告信息窗，日志Event等的手动入侵响应功能，还提供与防火墙，路山器、IP Wall、ESM(Enterprise Security manager),NMS(Network Management System)等连动来执行再攻击切断等的自动入侵响应功能。

非法拨号监控报警：通过在内部网用户终端安装Agent代理软件，入侵检测安全服务中心可以实时监控内部网用户非法拨号上网的情况，一旦发现这种悄况，立即报警，并中断这种连接。