【文章內容簡介】 作和生活提供了便利，但同時網(wǎng)絡環(huán)境中的各種安全問題，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡、DDoS攻擊、垃圾郵件、網(wǎng)絡資源濫用（P2P下載、IM即時通訊、網(wǎng)游）等極大地困擾著用戶，尤其是混合威脅的風險，給企業(yè)的信息網(wǎng)絡造成嚴重的破壞。能否及時發(fā)現(xiàn)并成功阻止網(wǎng)絡黑客的入侵、保證計算機和網(wǎng)絡系統(tǒng)的安全和正常運行已經(jīng)成為各個企業(yè)所面臨的問題。面對這些問題，傳統(tǒng)的安全產(chǎn)品已經(jīng)無法獨立應對。傳統(tǒng)防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼；無法發(fā)現(xiàn)內部網(wǎng)絡中的攻擊行為。入侵檢測系統(tǒng)IDS旁路部署在網(wǎng)絡上，當它檢測出黑客入侵攻擊時，攻擊可能已到達目標造成損失，無法有效阻斷各種攻擊；入侵檢測系統(tǒng)IDS側重網(wǎng)絡監(jiān)控，注重安全審計，適合對網(wǎng)絡安全狀態(tài)的了解。而入侵防御系統(tǒng)是在線部署在網(wǎng)絡中，提供主動的、實時的防護，具備對2到7層網(wǎng)絡的線速、深度檢測能力，同時配合以精心研究、及時更新的攻擊特征庫，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡中的惡意代碼、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管理，從而達到對網(wǎng)絡架構防護、網(wǎng)絡性能保護和核心應用防護。入侵防御系統(tǒng)通過加載不同的攻擊規(guī)則庫對流經(jīng)它的網(wǎng)絡流量進行分析過濾，來判斷是否為異常數(shù)據(jù)流量或可疑數(shù)據(jù)流量，并對異常及可疑流量進行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡系統(tǒng)內部IT資源的安全保護。入侵防御系統(tǒng)能夠完全阻斷各種非法攻擊行為，比如利用薄弱點進行的直接攻擊和增加網(wǎng)絡流量負荷造成網(wǎng)絡環(huán)境惡化的DoS攻擊等，安全地保護內部IT資源。入侵防御系統(tǒng)可以提供網(wǎng)絡架構防護、網(wǎng)絡性能保護、核心應用防護，通過使用入侵防御系統(tǒng)可提供最強大且最完整的保護以防御各種形式的網(wǎng)絡攻擊行為，如：蠕蟲、拒絕服務攻擊、惡意代碼以及非法的入侵和訪問，為企業(yè)網(wǎng)絡提供“虛擬補丁”的保護作用。網(wǎng)絡入侵防御系統(tǒng)部署方式建議在市區(qū)廠區(qū)互聯(lián)網(wǎng)出口處部署一套網(wǎng)絡入侵防御系統(tǒng)，通過設置檢測與阻斷策略對流經(jīng)入侵防御系統(tǒng)的網(wǎng)絡流量進行分析過濾，并對異常及可疑流量進行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡系統(tǒng)內部IT資源的安全保護。入侵防御系統(tǒng)能夠在第一時間阻斷各種非法攻擊行為，比如利用網(wǎng)絡系統(tǒng)薄弱點進行的直接攻擊和增加網(wǎng)絡流量負荷造成網(wǎng)絡環(huán)境惡化的DoS攻擊等。網(wǎng)絡入侵防御系統(tǒng)作為一個網(wǎng)關設備，可透明嵌入到網(wǎng)絡出口，即使用兩個網(wǎng)絡端口，串接在互聯(lián)網(wǎng)邊界與本地局域網(wǎng)交換機之間，通過一個外部網(wǎng)絡端口接收來自外部網(wǎng)絡的數(shù)據(jù)包，進行實時檢測和過濾，再通過另外一個內部網(wǎng)絡端口將它傳送到內部系統(tǒng)中；只要發(fā)現(xiàn)了有害流量，網(wǎng)絡入侵防御系統(tǒng)都能立即將其清除，而不會任其進入內部網(wǎng)絡造成侵害。由于在網(wǎng)絡出口還要進行防火墻的部署，可將入侵防御系統(tǒng)串接在防火墻的前端，即互聯(lián)網(wǎng)邊界與防火墻之間，這樣可以在第一時間發(fā)現(xiàn)惡意的網(wǎng)絡攻擊行為并進行實時阻斷，不管攻擊是來非法用戶還是合法用戶。 在部署入侵防御系統(tǒng)IPS時，建議先啟用所有過濾策略，動作設置為記錄日志，運行一個星期左右時間，由設備廠家技術人員對一周時間的日志進行審計，檢查是否存在誤報或錯報問題，對誤報和錯報日志進行仔細測試，如該應用為正常應用，應關閉該過濾策略，避免影響正常應用的使用，對惡意流量設置阻斷、帶寬限制、記錄等動作。通過調整和細化過濾策略，使網(wǎng)絡能夠安全穩(wěn)定的運行。 此外，為了避免因入侵防御設備的單點故障導致內外網(wǎng)絡通訊中斷，可啟用入侵防御接口的失效開放機制，當出現(xiàn)軟硬件故障和電源故障時，系統(tǒng)能夠自動切換到旁路模式以保障網(wǎng)絡的暢通。：網(wǎng)絡入侵防御系統(tǒng)部署后所達到的效果網(wǎng)絡入侵防御系統(tǒng)在分析/跟蹤流量信息的基礎上，在線對流經(jīng)的數(shù)據(jù)報文進行4~7層信息的深度檢測，其部署后的效果為：l 入侵檢測和防御能力252。 強大的蠕蟲、木馬、后門、間諜軟件、 Web攻擊、拒絕服務、廣告軟件防御能力，根據(jù)用戶需求自行設置攻擊規(guī)則，對其他有害攻擊行為做檢測和阻斷252。 繁多的垃圾應用、流行P2P/IM、熱門游戲、在線視頻、網(wǎng)絡流媒體的過濾控制能力，對異常流量進行分析、阻斷252。 原始包分析功能，對原始包文進行捕獲、分析、存儲252。 使用網(wǎng)絡定位工具如nslookup，traceroute，ping等，方便進行網(wǎng)絡事件診斷l(xiāng) 主動防御機制252。 網(wǎng)絡入侵防御系統(tǒng)可以根據(jù)管理員預先制定的安全策略對流經(jīng)系統(tǒng)的數(shù)據(jù)包進行檢測及阻斷，包括：n 根據(jù)檢測和阻斷策略對于滿足條件的數(shù)據(jù)報文對包頭和負載內容進行過濾，檢測和阻斷網(wǎng)絡攻擊和惡意代碼。n 根據(jù)異常流量檢測及阻斷策略，對通過系統(tǒng)每個物理接口的流量、TCP/UDP/ICMP協(xié)議在一定時間內的流量設定閥值，并設定處理措施（檢測、限流或阻斷）。當設定的時間段內通過系統(tǒng)的整體流量超過閥值時進行限流或阻斷。252。 豐富的響應方式，實現(xiàn)主動防御和安全預警，包括：n 允許異常流量閥值范圍內的數(shù)據(jù)通過n 阻斷異常流量閥值范圍外的數(shù)據(jù)通過n 檢測到策略中設置的數(shù)據(jù)后，進行報警n 限制超出規(guī)則設定范圍的數(shù)據(jù)n 記錄被檢測到攻擊的相關數(shù)據(jù)n 記錄系統(tǒng)中相關的操作（登錄、修改等）l VIDP實現(xiàn)精細化防御252。 智能的VIDP功能，針對不同的網(wǎng)絡環(huán)境和安全需求，制定不同的防御規(guī)則和響應方式，每個虛擬系統(tǒng)分別執(zhí)行不同的規(guī)則集，實現(xiàn)面向不同對象、實現(xiàn)不同策略的智能化入侵防御。l 高可用性252。 所有接口都支持FOD失效開放機制，當出現(xiàn)軟硬件故障和電源故障時，系統(tǒng)能夠自動切換到旁路模式以保障網(wǎng)絡的暢通，而且絲毫不影響數(shù)據(jù)傳輸速率；l 報表分析統(tǒng)計功能252。 完善的日志功能，分類記錄了訪問入侵防御系統(tǒng)的所有操作以及與其相關的一切安全活動，方便用戶及時通過分析日志記錄的資料來預防入侵和追蹤非法行為；252。 多種攻擊檢測、阻斷、報警等信息的報表統(tǒng)計功能，根據(jù)用戶需求生成不同的統(tǒng)計報表，并可以利用存儲日志和事件數(shù)據(jù)庫，做出基于入侵/受攻擊主機、攻擊類型、期間等各種不同條件類別的報表，并可以以多種不同格式輸出，給管理者在管理網(wǎng)絡方面提供了決策依據(jù)。 病毒過濾網(wǎng)關系統(tǒng)設計病毒過濾網(wǎng)關系統(tǒng)部署意義計算機病毒(Computer Virus)在 《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。目前，計算機病毒的種類與傳播媒介日益繁多，病毒更主要是通過網(wǎng)絡共享文件、電子郵件及Internet/Intranet進行傳播。隨著業(yè)務應用和數(shù)據(jù)交換越來越依賴于網(wǎng)絡，病毒的危害也越來越普遍。往往是整個網(wǎng)絡中只要有一臺機器（哪怕是遠程的）感染了某種可怕的病毒，很快抱怨聲就會從網(wǎng)絡的各個角落傳出來，文件被破壞，系統(tǒng)被摧毀，數(shù)據(jù)丟失，結果所帶來的侵害不僅對于個人，而且對于整個機構都可能是致命的。對幾乎每個企業(yè)來說，電子郵件均是企業(yè)溝通的重要工具，電子郵件病毒也已變成企業(yè)宕機的最大原因之一。蠕蟲病毒和特洛伊木馬是郵件病毒的主要傳播方式。蠕蟲病毒是一種獨立程序，可將自己進行復制到其它系統(tǒng)中。蠕蟲病毒的唯一目的是復制并擴散至新的區(qū)域，通常同時會造成一些損害。蠕蟲病毒通常以郵件附件的方式進行傳播。電子郵件是惡意蠕蟲病毒的最理想傳播工具，因為所有的郵件都有同等地位。郵件作為信息傳播工具是平等的，它們使用同樣的協(xié)議，而不論來自于最卑微的企業(yè)還是世界上最大的公司。特洛伊木馬通常被認為是惡意蠕蟲病毒進行擴散的工具 — 但更準確的定義應該是：特洛伊木馬僅僅是一個隱蔽的程序，它執(zhí)行發(fā)起人計劃的行為，而此行為不是接收人所希望的。在當今環(huán)境中，更實際的定義應該是：特洛伊木馬是一種有吸引力的內容，可吸引人將它打開。郵件的最終接收者通常是互聯(lián)網(wǎng)的頭號安全威脅：個人。打開這一內容是釋放蠕蟲病毒的第一步。一旦打開這一可執(zhí)行的附件，蠕蟲病毒就與一個本地應用程序進行互動，剩下的就都成為歷史。一旦蠕蟲病毒進入系統(tǒng)，蠕蟲病毒的應用程序接口（API）即與微軟Outlook接口（MAPI）互動，以打開地址簿并將自己發(fā)送給其中的所有地址，循環(huán)再次開始。如蠕蟲病毒或病毒進入系統(tǒng)中，則它們可造成的損壞就沒有限制。阻斷這一循環(huán)并預防其傳播的最現(xiàn)實解決方法是大家經(jīng)常聽到的“不要打開來自不明地址的郵件附件”。只有在嚴格遵守這一規(guī)定時，此方法才有效。因為是人在接收電子郵件，所以特洛伊木馬的吸引力有時無法拒絕。很明顯，不允許病毒達到最終接收者是一個重要的戰(zhàn)略，而使用邊緣病毒防御便是針對該目標的一個可異常輕松執(zhí)行的方式。網(wǎng)關防毒系統(tǒng)所達到的效果：l 阻止99％以上的病毒傳播據(jù)ICSA病毒流行性調查結果，電子郵件和Internet互聯(lián)網(wǎng)已成為病毒傳播的絕對主要途徑。99%的病毒都是通過SMTP、HTTP和FTP協(xié)議進入用戶的計算機。病毒過濾網(wǎng)關作為一個專門的硬件防病毒設備，安裝在因特網(wǎng)網(wǎng)關處，實時檢查進入網(wǎng)絡的數(shù)據(jù)流，保護網(wǎng)絡內部的服務器和工作站設備免受各類病毒，蠕蟲，木馬和垃圾郵件的干擾。病毒過濾網(wǎng)關可處理以下協(xié)議：SMTP、POPHTTP、FTP和IMAP，及時清除進出網(wǎng)關的郵件病毒、蠕蟲攻擊包，對進出網(wǎng)關的垃圾郵件、關鍵字進行過濾，對進出網(wǎng)關的Web訪問、FTP訪問行全面防毒掃描，徹底阻斷因特網(wǎng)病毒的傳播途徑。l 彌補網(wǎng)絡版防病毒產(chǎn)品的不足網(wǎng)絡版防毒軟件無法攔截攻擊操作系統(tǒng)和應用軟件安全漏洞的新型蠕蟲（如SQLSlammer），而且需要投入較多的管理精力，往往會因為用戶防病毒意識薄弱或對防毒產(chǎn)品配置不當而極大地影響防病毒能力。病毒過濾網(wǎng)關作為一個專門的硬件防病毒設備，只要安裝在網(wǎng)絡的入口處，就可以保護內部局域網(wǎng)免受各類病毒，木馬的和垃圾郵件的干擾。病毒過濾網(wǎng)關實時檢查進入內部網(wǎng)絡的數(shù)據(jù)流，當網(wǎng)關檢測到病毒時，它會自動根據(jù)相應的策略來處理病毒和染毒文件，保護內部的服務器和工作站設備，同時對用戶是完全透明的。l 自動在線升級病毒過濾網(wǎng)關可以按照管理員設定的更新策略自動連接到廠商的升級服務器，升級最新的病毒庫，保證網(wǎng)絡得到最有效的防病毒保護。病毒過濾網(wǎng)關系統(tǒng)部署方式建議分別在市區(qū)廠區(qū)和開發(fā)區(qū)廠區(qū)互聯(lián)網(wǎng)邊界部署專門的病毒過濾網(wǎng)關系統(tǒng)，防止來自互聯(lián)網(wǎng)的病毒和惡意代碼進入網(wǎng)絡，同時也防止互聯(lián)網(wǎng)病毒以服務器為途徑向各遠程業(yè)務終端系統(tǒng)的傳播擴散。建議在互聯(lián)網(wǎng)出口邊界部署專門的病毒過濾網(wǎng)關系統(tǒng)，串接在互聯(lián)網(wǎng)邊界防火墻和本地局域網(wǎng)交換機之間，一方面可以適當減少需要過濾網(wǎng)關處理的數(shù)據(jù)量，另一方面也可以保護過濾網(wǎng)關系統(tǒng)自身不受外界的惡意攻擊。還可以部署在每個需要保護的網(wǎng)段中（如重要服務器區(qū)域），實時檢查進入內部網(wǎng)絡的數(shù)據(jù)流，當網(wǎng)關檢測到病毒時，它會自動根據(jù)相應的策略來處理病毒和染毒文件，保護內部網(wǎng)絡中的服務器和工作站設備，同時對用戶是完全透明的。部署后可防止來自互聯(lián)網(wǎng)的病毒和惡意代碼進入服務器系統(tǒng)，同時也防止互聯(lián)網(wǎng)病毒傳播擴散占用互聯(lián)網(wǎng)出口帶寬。另外防病毒網(wǎng)關需要內置硬件BYPASS功能，當設備出現(xiàn)軟件、硬件及電源故障時快速、自動切換到直通狀態(tài)，保障網(wǎng)絡可用性。： 病毒過濾網(wǎng)關系統(tǒng)部署后達到的效果網(wǎng)關防毒系統(tǒng)部署后達到的效果：n 阻止99％以上的病毒傳播據(jù)ICSA病毒流行性調查結果，電子郵件和Internet互聯(lián)網(wǎng)已成為病毒傳播的絕對主要途徑。99%的病毒都是通過SMTP、HTTP和FTP協(xié)議進入用戶的計算機。病毒過濾網(wǎng)關作為一個專門的硬件防病毒設備，安裝在因特網(wǎng)網(wǎng)關處，實時檢查進入網(wǎng)絡的數(shù)據(jù)流，保護網(wǎng)絡內部的服務器和工作站設備免受各類病毒，蠕蟲，木馬和垃圾郵件的干擾。病毒過濾網(wǎng)關可處理以下協(xié)議：SMTP、POPHTTP、FTP和IMAP，及時清除進出網(wǎng)關的郵件病毒、蠕蟲攻擊包，對進出網(wǎng)關的垃圾郵件、關鍵字進行過濾，對進出網(wǎng)關的Web訪問、FTP訪問行全面防毒掃描，徹底阻斷因特網(wǎng)病毒的傳播途徑。n 彌補網(wǎng)絡版防病毒產(chǎn)品的不足網(wǎng)絡版防毒軟件無法攔截攻擊操作系統(tǒng)和應用軟件安全漏洞的新型蠕蟲（如SQLSlammer），而且需要投入較多的管理精力，往往會因為用戶防病毒意識薄弱或對防毒產(chǎn)品配置不當而極大地影響防病毒能力。病毒過濾網(wǎng)關作為一個專門的硬件防病毒設備，只要安裝在網(wǎng)絡的入口處，就可以保護內部局域網(wǎng)免受各類病毒，木馬的和垃圾郵件的干擾。病毒過濾網(wǎng)關實時檢查進入內部網(wǎng)絡的數(shù)據(jù)流，當網(wǎng)關檢測到病毒時，它會自動根據(jù)相應的策略來處理病毒和染毒文件，保護內部的服務器和工作站設備，同時對用戶是完全透明的。n 自動在線升級病毒過濾網(wǎng)關可以按照管理員設定的更新策略自動連接到廠商的升級服務器，升級最新的病毒庫，保證網(wǎng)絡得到最有效的防病毒保護。n 統(tǒng)計報表功能防病毒網(wǎng)關提供了詳細的報告，能夠按照用戶配置的參數(shù)查詢相關的數(shù)據(jù)生成多種格式的圖形化統(tǒng)計報表，形象直觀，方便管理員的管理工作。報表中可以記錄病毒的數(shù)目，主要病毒所占比例等信息，并且可以記錄所有的網(wǎng)絡活動情況。這些數(shù)據(jù)可以幫助管理員更好的規(guī)劃網(wǎng)絡需求和對防病毒網(wǎng)關進行配置。同時，這些用戶需要的報表可以發(fā)送到管理員預先配置的郵箱，以供進一步的信息查詢。n 強大的監(jiān)控功能防病毒網(wǎng)關提供強大的監(jiān)控功能，可以監(jiān)控過濾網(wǎng)關系統(tǒng)資源、網(wǎng)絡流量、當前會話數(shù)、當前病毒掃描信息等，極大地方便管理員對過濾網(wǎng)關進行監(jiān)控。n 報警功能報警配置用于當某個病毒突然爆發(fā)時，防病毒網(wǎng)關可向網(wǎng)絡管理員發(fā)送報警信息。n 內置Bypass功能利用防病毒網(wǎng)關內置的硬件BYPASS功能，當設備出現(xiàn)軟件、硬件及電源故障時快速、自動切換到直通狀態(tài)的功能，保障網(wǎng)絡可用性。通過部署網(wǎng)關防病毒設備，以解決桌面殺毒軟件無法解決的防病毒難題：o 檢測阻斷SQLSlammer等的新型蠕蟲的功擊，這是傳統(tǒng)的防病毒軟件所做不到的。o 防病毒軟件部署率不高，有漏裝o 防病毒軟件病毒特征碼沒有及時更新或者禁用o 防病毒軟件配置不當影響了防病毒的能力o 客戶機及服務器沒有及時安裝系統(tǒng)補丁使用網(wǎng)關防病毒設備和網(wǎng)絡版防病毒軟件配合工作形成整體的防病毒體 網(wǎng)絡入侵檢測系統(tǒng)設計入侵檢測系統(tǒng)部署意義網(wǎng)絡入侵檢測技術也叫網(wǎng)絡實時監(jiān)控技術，它通過硬件或軟件對