【正文】 在嚴(yán)重不足： IDS 是一個(gè)被動(dòng)的監(jiān)聽(tīng)者，而不能采取有效的行動(dòng)立即阻止針對(duì)系統(tǒng)漏洞的攻擊、屏蔽蠕蟲(chóng)和病毒、防御 DOS 攻擊以及限制 P2P 等非法應(yīng)用，當(dāng) IDS 報(bào)警的時(shí)候，攻擊已經(jīng)發(fā)生而損失已不可避免，如下圖所示： 為了彌補(bǔ) IDS的先天不足，一種稱之為 IDS 和防火墻聯(lián)動(dòng)的方案出現(xiàn)了，但在實(shí)際應(yīng)用中，從 IDS 發(fā)現(xiàn)問(wèn)題到通過(guò)開(kāi)放接口向防火墻發(fā)送策略更新信息，再到最終防火墻激活新 的策略所耗費(fèi)的時(shí)間仍無(wú)法滿足用戶對(duì)高安全性的要求，特別是在攻擊流量激增的情況下，這種方案幾乎無(wú)法奏效，所以其可行性存在很大問(wèn)題。 H3C IPS 入侵防御系統(tǒng)是 華三公司開(kāi)發(fā)的業(yè)界領(lǐng)先的 IPS 產(chǎn)品 ，已擁有 500 多個(gè)包括銀行數(shù)據(jù)中心、中南海政務(wù)網(wǎng)等在內(nèi)頂級(jí)的高端應(yīng)用，以及 5000 多家客戶群體。 部署的總體方案 ： 以典型的企業(yè)園區(qū)網(wǎng)為例，入侵防御系統(tǒng)的部署總體方案如下圖所示。大部分的入侵防御系統(tǒng)都是針對(duì)已知的攻擊進(jìn)行防御，然而 H3C IPS 運(yùn)用漏洞基礎(chǔ)的過(guò)濾機(jī)制，可以防范所有已知與未知形式的攻擊。如果網(wǎng)絡(luò)鏈路擁塞，那么重要的應(yīng)用程序數(shù)據(jù)將無(wú)法在網(wǎng)絡(luò)上傳輸。 網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù) ： H3C IPS 具有強(qiáng)大的攻擊防護(hù)和流量模型自學(xué)習(xí)能力，當(dāng)攻擊發(fā)生、或者短時(shí)間內(nèi)大規(guī)模爆發(fā)的病毒導(dǎo) 致網(wǎng)絡(luò)流量激增時(shí)，能自動(dòng)發(fā)現(xiàn)并阻斷攻擊和異常流量，以保護(hù)路由器、交換機(jī)、 VoIP系統(tǒng)、 DNS 服務(wù)器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭各種惡意攻擊，保證關(guān)鍵業(yè)務(wù)的通暢。 。 零時(shí)差的應(yīng)用保護(hù) ： H3C 專業(yè)安全團(tuán)隊(duì)密切跟蹤全球知名安全組織和廠商發(fā)布的安全公告，經(jīng)過(guò)分析、驗(yàn)證所有這些威脅，生成保護(hù)操作系統(tǒng)、應(yīng)用系統(tǒng)以及 數(shù)據(jù)庫(kù)漏洞的特征庫(kù)；同時(shí)，通過(guò)部署于全球的蜜罐系統(tǒng)，實(shí)時(shí)掌握最新的攻擊技術(shù)和趨勢(shì)，以定期（每周）和緊急（當(dāng)重大安全漏洞被發(fā)現(xiàn)）兩種方式發(fā)布，并自動(dòng)或手動(dòng)地分發(fā)到 IPS 設(shè)備中，使用戶的 IPS 設(shè)備在漏洞被公布的同時(shí)立刻具備防御零時(shí)差攻擊的能力。 同時(shí) H3C IPS 還針對(duì)各種網(wǎng)絡(luò)應(yīng)用提供保護(hù)，保證應(yīng)用系統(tǒng)不會(huì)遭受攻擊者的 DoS攻擊而無(wú)法提供業(yè)務(wù)。最新型的攻擊可以透過(guò)偽裝成合法應(yīng)用的技術(shù)，輕易的穿透防 火墻。 主 動(dòng) 式 入 侵 防 御 系 統(tǒng) 解 決 方 案 模 版 杭州華三通信技術(shù)有限公司 第 15 頁(yè) 四、 部署主動(dòng)入侵防御系統(tǒng)的建議 針對(duì)入侵、病毒、蠕蟲(chóng) 、注入 和拒絕服務(wù)攻擊的新特點(diǎn)，必須采用創(chuàng)新的硬件和軟件 技術(shù)來(lái)應(yīng)對(duì) ―― 主動(dòng)入侵防御系統(tǒng)。 主動(dòng)式入侵防御系統(tǒng)成就網(wǎng)絡(luò)安全的未來(lái) ： 如上文所述，防火墻加 IDS的方案存在無(wú)法識(shí)別高層攻擊、漏報(bào)和誤報(bào)、響應(yīng)速度慢、性能不高以及運(yùn)行維護(hù)管理復(fù)雜等缺陷，顯然這些問(wèn)題使 IT 部門(mén)無(wú)法完成支持日益增長(zhǎng)的安全需求的關(guān)鍵任務(wù)。 為了能夠讓防火墻具備深入的監(jiān)測(cè)能力，許多廠商都基于現(xiàn)有的平臺(tái)增加了 L4L7 分析能力，但問(wèn)題是僅僅將上千個(gè)基于簡(jiǎn)單模式匹配過(guò)濾器同時(shí)打開(kāi)來(lái)完成對(duì)數(shù)據(jù)包的 L4L7深入檢測(cè)時(shí)，防火墻的在數(shù)據(jù)流量較大時(shí)會(huì)迅速崩潰，或雖可以勉強(qiáng)工作，卻引入很大的處理延時(shí)，造成業(yè)務(wù)系統(tǒng)性能的嚴(yán)重下降，所以基于現(xiàn)有防火墻體系結(jié)構(gòu)增加深入包檢測(cè)功能的方案存在嚴(yán)重的性能問(wèn)題。并不是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)不周，而是自 2021 年以來(lái)，蠕蟲(chóng)、點(diǎn)到點(diǎn)，入侵技術(shù)日益滋長(zhǎng)的結(jié)果，而這些有害代碼總是偽裝成正常業(yè)務(wù)進(jìn)行傳播，目前用戶可選的主要防火墻的軟硬件設(shè)計(jì)，僅按照其工作在 L2L4設(shè)計(jì)， 不具有對(duì)數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測(cè)的能力，所以無(wú)法有效識(shí)別偽裝成正常業(yè)務(wù)的非法流量。另外，黑客會(huì)設(shè)法利用 P2P 應(yīng)用漏洞來(lái)攻擊巨大的 P2P 應(yīng)用用戶群，對(duì)系統(tǒng)及網(wǎng)絡(luò)帶來(lái)嚴(yán)重的安全隱患。黑客利用掃描器的自動(dòng)化和規(guī)?；奶匦?，只要簡(jiǎn)單的幾步操作，即可搜集到目標(biāo)信息。由于某些服務(wù)器不能有 效處理異常流量，許多攻擊會(huì)通過(guò)違反應(yīng)用層協(xié)議，使黑客得以進(jìn)行拒絕服務(wù)（ DoS）攻擊，或者獲得對(duì)服務(wù)器的根本訪問(wèn)權(quán)限。 這類(lèi)間諜軟件還會(huì)改變目標(biāo)系統(tǒng)的行為，諸如霸占 IE 首頁(yè)與改變搜尋網(wǎng)頁(yè)的設(shè)定，讓系統(tǒng)聯(lián)機(jī)到用戶根本不會(huì)去的廣告主 動(dòng) 式 入 侵 防 御 系 統(tǒng) 解 決 方 案 模 版 杭州華三通信技術(shù)有限公司 第 9 頁(yè) 網(wǎng)站，以致計(jì)算機(jī)屏幕不停彈跳出各式廣告。間諜軟件能夠消耗計(jì)算能力，使計(jì)算機(jī)崩潰，并使用戶被淹沒(méi)在網(wǎng)絡(luò)廣告的汪洋大海中。 零時(shí)差攻擊 ： 零時(shí)差攻擊（ Zeroday Attack）是指從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到黑客制造出針對(duì)該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。早期的 DOS 攻擊由單機(jī)發(fā)起，在攻擊目標(biāo)的 CPU 速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬 有限 的情況下效果是明顯的。其實(shí)漏洞不只 MS Windows有，路由器等網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)，如 CISCO IOS，以及網(wǎng)絡(luò)安全設(shè)備，如 Check Point FW1 也有。 主 動(dòng) 式 入 侵 防 御 系 統(tǒng) 解 決 方 案 模 版 杭州華三通信技術(shù)有限公司 第 4 頁(yè) 二、 IT 部門(mén)面臨的挑戰(zhàn) IT 部門(mén)對(duì)企業(yè)高效運(yùn)營(yíng)和快速發(fā)展的貢獻(xiàn)毋庸置疑，種種益處自不必多言，但是如果網(wǎng)絡(luò)崩潰、應(yīng)用癱瘓，損失將令人痛心，甚至無(wú)法彌補(bǔ)， IT 部門(mén)也將承受極大的壓力，所以保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全、可靠和高效的運(yùn)行 成為 IT 部門(mén)的關(guān)鍵任務(wù)。 內(nèi)容簡(jiǎn)述 用途 密級(jí)說(shuō)明 上次修改 H3C IPS 入侵防御系統(tǒng) 技術(shù)建議書(shū)模板 用于撰寫(xiě)和 H3C IPS 入侵防御系統(tǒng) 相關(guān)的技術(shù)建議書(shū) 內(nèi)部公開(kāi)，嚴(yán)禁外傳 2021715 主動(dòng)式入侵防御系統(tǒng) 解決方案模版 杭州華三通信 技術(shù)有限公司 安全產(chǎn)品 行 銷(xiāo)部 2021 年 07 月 15 日 主 動(dòng) 式 入 侵 防 御 系 統(tǒng) 解 決 方 案 模 版 杭州華三通信技術(shù)有限公司