【文章內(nèi)容簡介】 S 無法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓， IDS 無能為力。 （ 2）蠕蟲、病毒、 DDoS 攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應(yīng)的時(shí)間越來越短，使用戶來不及 對入侵做出響應(yīng)，往往造成企業(yè)網(wǎng)絡(luò)癱瘓， IDS 無法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外。 為 了 彌 補(bǔ) 防 火 墻 和 IDS 的缺陷，入侵保護(hù)系統(tǒng) IPS （ Intrusion Prevention System）作為 IDS 的替代產(chǎn)品應(yīng)運(yùn)而生。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動(dòng)對各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡單地在監(jiān)測到惡意流量的同時(shí)或之后才發(fā)出告警。 通過防火墻和 IPS 的聯(lián)合部署，珠江學(xué)院校園網(wǎng)絡(luò)基本上能防御內(nèi)外網(wǎng)的從 27 層的攻擊，并 能審計(jì)、記錄攻擊行為，便于調(diào)查攻擊。部署示意圖如下： 圖 5 部署示意圖 部署漏洞管理系統(tǒng) 部署漏洞管理系統(tǒng)，能夠有效避免由漏洞攻擊導(dǎo)致的安全問題。它從漏洞的整個(gè)生命周期著手，在周期的不同階段采取不同的措施，是一個(gè)循環(huán)、周期執(zhí)行的工作流程。一個(gè)相對完整的漏洞管理過程包含以下步驟： ； ； 性和定量的風(fēng)險(xiǎn)分析，并根據(jù)資產(chǎn)重要性給出可操作性強(qiáng)的漏洞修復(fù)方案； ，對網(wǎng)絡(luò)資產(chǎn)中存在的漏洞進(jìn)行合理的修復(fù)或者調(diào)整網(wǎng)絡(luò)的整體安全策略進(jìn)行規(guī)避； ； 15。 通過漏洞管理產(chǎn)品，集中、及時(shí)找出漏洞并詳細(xì)了解漏洞相關(guān)信息，不需要用戶每天去關(guān)注不同廠商的漏洞公告，因?yàn)楦鱾€(gè)廠商的漏洞公告不會(huì)定期發(fā)布，即使發(fā)布了漏洞公告絕大多數(shù)用戶也不能夠及時(shí)地獲得相關(guān)信息。 通過漏洞管理產(chǎn)品將網(wǎng)絡(luò)資產(chǎn)按照重要性進(jìn)行分類，自動(dòng)周期升級并對網(wǎng)絡(luò)資產(chǎn)進(jìn)行評 估，最后自動(dòng)將風(fēng)險(xiǎn)評估結(jié)果自動(dòng)發(fā)送給相關(guān)責(zé)任人，大大降低人工維護(hù)成本。 漏洞管理產(chǎn)品根據(jù)評估結(jié)果定性、定量分析網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)，反映用戶網(wǎng)絡(luò)安全問題，并把問題的重要性和優(yōu)先級進(jìn)行分類，方便用戶有效地落實(shí)漏洞修補(bǔ)和風(fēng)險(xiǎn)規(guī)避的工作流程，并為補(bǔ)丁管理產(chǎn)品提供相應(yīng)的接口。 漏洞管理產(chǎn)品能夠提供完整的漏洞管理機(jī)制，方便管理者跟蹤、記錄和驗(yàn)證評估的成效。 漏洞管理系統(tǒng)包 括硬件平臺(tái)和 管理控制臺(tái) ，部署在網(wǎng) 絡(luò)的核心交 換機(jī)處，對整個(gè)網(wǎng)絡(luò)中的資產(chǎn)提供漏洞管理功能。示意圖如下： 圖 6 漏洞管理功能圖 部署網(wǎng)絡(luò)防病毒 系統(tǒng) 在珠江學(xué)院校園網(wǎng)部署網(wǎng)絡(luò)版防病毒系統(tǒng)，進(jìn)行全網(wǎng)病毒防護(hù)。網(wǎng)絡(luò)版防病毒系統(tǒng)具有集中式管理、分布式殺毒的特點(diǎn)，非常適合大型復(fù)雜網(wǎng)絡(luò)的部署。其應(yīng)具有如下功能： （ 1）在病毒管理服務(wù)器上，安裝網(wǎng)絡(luò)版的控制中心，在全校各個(gè)子網(wǎng)中安裝下級子控制中心，方便管理本網(wǎng)段中的所有客戶端。 （ 2）網(wǎng)絡(luò)版客戶端安裝方法 網(wǎng)絡(luò)版客戶端有多種安裝方式，對于域用戶可以采用自動(dòng)分發(fā)安裝的方式，使域中的用戶在登陸時(shí)自動(dòng)安裝網(wǎng)絡(luò)版的客戶端，也可采用光盤直接安裝，網(wǎng)絡(luò)共享安裝；對于非域用戶可以采用網(wǎng)絡(luò)共享方式安裝，也可以采用光盤直接安 裝。 （ 3）移動(dòng)控制臺(tái)功能 系統(tǒng)管理員在任意一臺(tái)電腦（與控制中心所在的服務(wù)器聯(lián)網(wǎng)）上安裝移動(dòng)控制臺(tái)，管理員可通過移動(dòng)控制臺(tái)直接管理各種平臺(tái)的服務(wù)器端 /客戶 端。在管理員控制臺(tái)上，管理員能夠?qū)ι鲜鋈魏我环N服務(wù)器端 /客戶端進(jìn)行直接操作：設(shè)置、查毒、殺毒、通知升級、啟動(dòng) /關(guān)閉實(shí)時(shí)監(jiān)控等。 （ 4）升級策略 首先升級控制中心，升級完畢后，客戶端通過控制中心升級，這樣在升級過程中可以最大程度的減少因訪問外部網(wǎng)絡(luò)而感染病毒的概率?？梢栽O(shè)置讓控制中心每日自動(dòng)升級。 在客戶端普通操作臺(tái)可以手動(dòng)升級，也可以 通過設(shè)置讓客戶端自動(dòng)升級。 （ 5）多級控制中心、自由分組 通過移動(dòng)控制臺(tái)集中管理所有客戶端，實(shí)現(xiàn)對多個(gè)子控制中心的集中管理。這個(gè)結(jié)構(gòu)對于網(wǎng)絡(luò)規(guī)模擴(kuò)大或新增節(jié)點(diǎn)都可以很容易地實(shí)現(xiàn)集中管理。具有分組功能，網(wǎng)絡(luò)管理員能夠在控制臺(tái)自己所管理的機(jī)器進(jìn)行合理的分組，可以對分組統(tǒng)一的配置、查殺等，而且也解決了在沒有分組功能前，機(jī)器過多導(dǎo)致管理困難的問題，網(wǎng)絡(luò)管理員會(huì)更加方便，而且會(huì)大大提高管理效率。 （ 6）全網(wǎng)遠(yuǎn)程報(bào)警 當(dāng)網(wǎng)絡(luò)中任意一臺(tái)計(jì)算機(jī)上掃描程序發(fā)現(xiàn)病毒時(shí)，都能夠自動(dòng)及時(shí)準(zhǔn)確地把病毒信息記錄并傳遞給網(wǎng) 絡(luò)管理員。 （ 7）全網(wǎng)集中管理 網(wǎng)絡(luò)中客戶端安裝和殺毒確保有效完成，客戶端未經(jīng)授權(quán)不能任意停止全網(wǎng)統(tǒng)一的殺毒行動(dòng)，客戶端未經(jīng)授權(quán)不能任意卸載。 針對校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)及病毒特點(diǎn)，應(yīng)用網(wǎng)絡(luò)版防病毒系統(tǒng)的“遠(yuǎn)程安裝”、“定時(shí)升級”、“集中管理”、“全網(wǎng)殺毒”、“遠(yuǎn)程報(bào)警”、“無限分級”、“自由分組”等功能，對校園網(wǎng)絡(luò)中的核心應(yīng)用提供多層次和強(qiáng)有力的保護(hù)，可以適應(yīng)珠江學(xué)院校園網(wǎng)復(fù)雜的應(yīng)用環(huán)境，滿足校園網(wǎng)對于全網(wǎng)防病毒的需求，有效解決整個(gè)校園網(wǎng)面臨的病毒威脅。 防病毒系統(tǒng)由服務(wù)器端和客戶端組成。防病毒服務(wù)器部署 在核心交換機(jī)處，需要?dú)⒍镜拿總€(gè)終端安裝一個(gè)客戶端。示意圖如下： 圖 7 防病毒系統(tǒng) 部署 WEB 應(yīng)用防護(hù)系統(tǒng) 珠江學(xué)院網(wǎng)絡(luò)安全體系中，需要新型的技術(shù)和設(shè)備來應(yīng)對 WEB 攻擊，保證網(wǎng)站安全，維護(hù)珠江學(xué)院聲譽(yù)；為廣大師生等用戶提供持續(xù)優(yōu)質(zhì)服務(wù)。這種新型的技術(shù)就是 WEB 防火墻。 傳統(tǒng)的邊界安全設(shè)備，如防火墻，局限于自身的產(chǎn)品定位和防護(hù)深度，不能有效地提供針對 Web 應(yīng)用攻擊完善的防御能力。防火墻的不足主要體現(xiàn)在： （ 1）、傳統(tǒng)的防火墻作為訪問控制設(shè)備，主要工作在 OSI 模型三、四層，基于 IP 報(bào)文 進(jìn) 行 檢測。 設(shè)計(jì)之 初，它 就無需 理解 Web 應(yīng)用 程序 語言 如 HTML 及 XML，也無需理解 HTTP 會(huì)話。因此，它也不可能對 HTML 應(yīng)用程序用戶端的輸入進(jìn)行驗(yàn)證、或是檢測到一個(gè)已經(jīng)被惡意修改過參數(shù)的 URL 請求。惡意的攻擊流量將封裝為 HTTP 請求，從 80 或 443 端口順利通過防火墻檢測。 （ 2）、有一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度 的應(yīng)用層防御能力，但局限于最初產(chǎn)品的定位以及對 Web 應(yīng)用攻擊的研究深度不夠，只能提供非常有限的 Web 應(yīng)用防護(hù)，難以應(yīng)對當(dāng)前最大的安全威脅，如 SQL 注入、跨站腳本。對網(wǎng)頁篡改、網(wǎng)頁掛馬這類緊迫問題，更是無能為力。 IPS（入侵檢測系統(tǒng)）彌補(bǔ)了防火墻的某些缺陷，但隨著網(wǎng)絡(luò)技術(shù)和 Web應(yīng)用的發(fā)展復(fù)雜化， IPS 在 WEB 專用防護(hù)領(lǐng)域已經(jīng)開始力不從心。具體體現(xiàn)為： （ 1）、安全威脅的技術(shù)根源在于安全漏洞的存在。防護(hù)僅能一定程度緩解針對 Web 應(yīng)用的攻擊。徹底消除安全隱患，需要借助 Web 應(yīng)用漏洞掃描工具，用以診斷 Web 應(yīng)用程序脆弱性。傳統(tǒng) IPS 設(shè)備更多從防護(hù)著手，不具備事前預(yù)防的能力。 （ 2）、針對當(dāng)前泛濫的 DDoS 攻擊，傳統(tǒng) IPS 設(shè)備僅具備基本防 護(hù)功能，很難滿足應(yīng)