【文章內(nèi)容簡介】 S 無法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓， IDS 無能為力。 （ 2）蠕蟲、病毒、 DDoS 攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應(yīng)的時間越來越短，使用戶來不及 對入侵做出響應(yīng)，往往造成企業(yè)網(wǎng)絡(luò)癱瘓， IDS 無法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外。 為 了 彌 補 防 火 墻 和 IDS 的缺陷，入侵保護系統(tǒng) IPS （ Intrusion Prevention System）作為 IDS 的替代產(chǎn)品應(yīng)運而生。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動的、實時的防護，其設(shè)計目標旨在準確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進行實時阻斷，而不是簡單地在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。 通過防火墻和 IPS 的聯(lián)合部署，珠江學(xué)院校園網(wǎng)絡(luò)基本上能防御內(nèi)外網(wǎng)的從 27 層的攻擊，并 能審計、記錄攻擊行為，便于調(diào)查攻擊。部署示意圖如下： 圖 5 部署示意圖 部署漏洞管理系統(tǒng) 部署漏洞管理系統(tǒng)，能夠有效避免由漏洞攻擊導(dǎo)致的安全問題。它從漏洞的整個生命周期著手，在周期的不同階段采取不同的措施，是一個循環(huán)、周期執(zhí)行的工作流程。一個相對完整的漏洞管理過程包含以下步驟： ； ； 性和定量的風(fēng)險分析，并根據(jù)資產(chǎn)重要性給出可操作性強的漏洞修復(fù)方案； ，對網(wǎng)絡(luò)資產(chǎn)中存在的漏洞進行合理的修復(fù)或者調(diào)整網(wǎng)絡(luò)的整體安全策略進行規(guī)避； ； 15。 通過漏洞管理產(chǎn)品，集中、及時找出漏洞并詳細了解漏洞相關(guān)信息，不需要用戶每天去關(guān)注不同廠商的漏洞公告，因為各個廠商的漏洞公告不會定期發(fā)布，即使發(fā)布了漏洞公告絕大多數(shù)用戶也不能夠及時地獲得相關(guān)信息。 通過漏洞管理產(chǎn)品將網(wǎng)絡(luò)資產(chǎn)按照重要性進行分類，自動周期升級并對網(wǎng)絡(luò)資產(chǎn)進行評 估，最后自動將風(fēng)險評估結(jié)果自動發(fā)送給相關(guān)責(zé)任人，大大降低人工維護成本。 漏洞管理產(chǎn)品根據(jù)評估結(jié)果定性、定量分析網(wǎng)絡(luò)資產(chǎn)風(fēng)險，反映用戶網(wǎng)絡(luò)安全問題，并把問題的重要性和優(yōu)先級進行分類，方便用戶有效地落實漏洞修補和風(fēng)險規(guī)避的工作流程，并為補丁管理產(chǎn)品提供相應(yīng)的接口。 漏洞管理產(chǎn)品能夠提供完整的漏洞管理機制，方便管理者跟蹤、記錄和驗證評估的成效。 漏洞管理系統(tǒng)包 括硬件平臺和 管理控制臺 ，部署在網(wǎng) 絡(luò)的核心交 換機處，對整個網(wǎng)絡(luò)中的資產(chǎn)提供漏洞管理功能。示意圖如下： 圖 6 漏洞管理功能圖 部署網(wǎng)絡(luò)防病毒 系統(tǒng) 在珠江學(xué)院校園網(wǎng)部署網(wǎng)絡(luò)版防病毒系統(tǒng)，進行全網(wǎng)病毒防護。網(wǎng)絡(luò)版防病毒系統(tǒng)具有集中式管理、分布式殺毒的特點，非常適合大型復(fù)雜網(wǎng)絡(luò)的部署。其應(yīng)具有如下功能： （ 1）在病毒管理服務(wù)器上，安裝網(wǎng)絡(luò)版的控制中心，在全校各個子網(wǎng)中安裝下級子控制中心，方便管理本網(wǎng)段中的所有客戶端。 （ 2）網(wǎng)絡(luò)版客戶端安裝方法 網(wǎng)絡(luò)版客戶端有多種安裝方式，對于域用戶可以采用自動分發(fā)安裝的方式，使域中的用戶在登陸時自動安裝網(wǎng)絡(luò)版的客戶端，也可采用光盤直接安裝，網(wǎng)絡(luò)共享安裝；對于非域用戶可以采用網(wǎng)絡(luò)共享方式安裝，也可以采用光盤直接安 裝。 （ 3）移動控制臺功能 系統(tǒng)管理員在任意一臺電腦（與控制中心所在的服務(wù)器聯(lián)網(wǎng)）上安裝移動控制臺，管理員可通過移動控制臺直接管理各種平臺的服務(wù)器端 /客戶 端。在管理員控制臺上，管理員能夠?qū)ι鲜鋈魏我环N服務(wù)器端 /客戶端進行直接操作：設(shè)置、查毒、殺毒、通知升級、啟動 /關(guān)閉實時監(jiān)控等。 （ 4）升級策略 首先升級控制中心，升級完畢后，客戶端通過控制中心升級，這樣在升級過程中可以最大程度的減少因訪問外部網(wǎng)絡(luò)而感染病毒的概率?？梢栽O(shè)置讓控制中心每日自動升級。 在客戶端普通操作臺可以手動升級，也可以 通過設(shè)置讓客戶端自動升級。 （ 5）多級控制中心、自由分組 通過移動控制臺集中管理所有客戶端，實現(xiàn)對多個子控制中心的集中管理。這個結(jié)構(gòu)對于網(wǎng)絡(luò)規(guī)模擴大或新增節(jié)點都可以很容易地實現(xiàn)集中管理。具有分組功能，網(wǎng)絡(luò)管理員能夠在控制臺自己所管理的機器進行合理的分組，可以對分組統(tǒng)一的配置、查殺等，而且也解決了在沒有分組功能前，機器過多導(dǎo)致管理困難的問題，網(wǎng)絡(luò)管理員會更加方便，而且會大大提高管理效率。 （ 6）全網(wǎng)遠程報警 當網(wǎng)絡(luò)中任意一臺計算機上掃描程序發(fā)現(xiàn)病毒時，都能夠自動及時準確地把病毒信息記錄并傳遞給網(wǎng) 絡(luò)管理員。 （ 7）全網(wǎng)集中管理 網(wǎng)絡(luò)中客戶端安裝和殺毒確保有效完成，客戶端未經(jīng)授權(quán)不能任意停止全網(wǎng)統(tǒng)一的殺毒行動，客戶端未經(jīng)授權(quán)不能任意卸載。 針對校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)及病毒特點，應(yīng)用網(wǎng)絡(luò)版防病毒系統(tǒng)的“遠程安裝”、“定時升級”、“集中管理”、“全網(wǎng)殺毒”、“遠程報警”、“無限分級”、“自由分組”等功能，對校園網(wǎng)絡(luò)中的核心應(yīng)用提供多層次和強有力的保護，可以適應(yīng)珠江學(xué)院校園網(wǎng)復(fù)雜的應(yīng)用環(huán)境，滿足校園網(wǎng)對于全網(wǎng)防病毒的需求，有效解決整個校園網(wǎng)面臨的病毒威脅。 防病毒系統(tǒng)由服務(wù)器端和客戶端組成。防病毒服務(wù)器部署 在核心交換機處，需要殺毒的每個終端安裝一個客戶端。示意圖如下： 圖 7 防病毒系統(tǒng) 部署 WEB 應(yīng)用防護系統(tǒng) 珠江學(xué)院網(wǎng)絡(luò)安全體系中，需要新型的技術(shù)和設(shè)備來應(yīng)對 WEB 攻擊，保證網(wǎng)站安全，維護珠江學(xué)院聲譽；為廣大師生等用戶提供持續(xù)優(yōu)質(zhì)服務(wù)。這種新型的技術(shù)就是 WEB 防火墻。 傳統(tǒng)的邊界安全設(shè)備，如防火墻，局限于自身的產(chǎn)品定位和防護深度，不能有效地提供針對 Web 應(yīng)用攻擊完善的防御能力。防火墻的不足主要體現(xiàn)在： （ 1）、傳統(tǒng)的防火墻作為訪問控制設(shè)備，主要工作在 OSI 模型三、四層，基于 IP 報文 進 行 檢測。 設(shè)計之 初，它 就無需 理解 Web 應(yīng)用 程序 語言 如 HTML 及 XML，也無需理解 HTTP 會話。因此，它也不可能對 HTML 應(yīng)用程序用戶端的輸入進行驗證、或是檢測到一個已經(jīng)被惡意修改過參數(shù)的 URL 請求。惡意的攻擊流量將封裝為 HTTP 請求，從 80 或 443 端口順利通過防火墻檢測。 （ 2）、有一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度 的應(yīng)用層防御能力，但局限于最初產(chǎn)品的定位以及對 Web 應(yīng)用攻擊的研究深度不夠，只能提供非常有限的 Web 應(yīng)用防護，難以應(yīng)對當前最大的安全威脅，如 SQL 注入、跨站腳本。對網(wǎng)頁篡改、網(wǎng)頁掛馬這類緊迫問題，更是無能為力。 IPS（入侵檢測系統(tǒng)）彌補了防火墻的某些缺陷，但隨著網(wǎng)絡(luò)技術(shù)和 Web應(yīng)用的發(fā)展復(fù)雜化， IPS 在 WEB 專用防護領(lǐng)域已經(jīng)開始力不從心。具體體現(xiàn)為： （ 1）、安全威脅的技術(shù)根源在于安全漏洞的存在。防護僅能一定程度緩解針對 Web 應(yīng)用的攻擊。徹底消除安全隱患，需要借助 Web 應(yīng)用漏洞掃描工具，用以診斷 Web 應(yīng)用程序脆弱性。傳統(tǒng) IPS 設(shè)備更多從防護著手，不具備事前預(yù)防的能力。 （ 2）、針對當前泛濫的 DDoS 攻擊，傳統(tǒng) IPS 設(shè)備僅具備基本防 護功能，很難滿足應(yīng)