【正文】 務(wù)器系統(tǒng)和內(nèi)部核心網(wǎng)絡(luò)，他們都連接在核心交換上，因此，在實施入侵防御策略時，可以在入侵防御系統(tǒng)上對其設(shè)置完善的入侵防御規(guī)則，如 DoS、代碼攻擊、病毒、后門黑客攻擊或入侵的方法以及各種攻擊手段，如掃描、嗅探、后門、惡意代碼、拒絕服務(wù)、分布式拒絕服務(wù)、欺騙等各種攻擊規(guī)則，并使入侵防御系統(tǒng)監(jiān)聽口工作在混雜模式，能實時在線的抓取網(wǎng)絡(luò)上的數(shù)據(jù)包，實時的監(jiān)控網(wǎng)絡(luò)連接，對非法的數(shù)據(jù)包能產(chǎn)生報警和日志記錄，必要時可以加以阻斷。. 建立入侵防御機制防火墻和入侵檢測系統(tǒng)(IDS) 已經(jīng)被普遍接受，但還不足以保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻不能充分地分析應(yīng)用層協(xié)議數(shù)據(jù)中的攻擊信號，入侵檢測系統(tǒng)也不會采取行動阻擋檢測到的攻擊。傳統(tǒng)的解決方案就是為一臺一臺的服務(wù)器和工作站打軟件補丁，這是一個很費時間和效率很低的過程。對于一些組織來說，打軟件補丁的挑戰(zhàn)來自對每個補丁的測試，以了解它如何影響關(guān)鍵系統(tǒng)的性能。其他組織發(fā)現(xiàn)的最大挑戰(zhàn)是如何在不同用戶環(huán)境的條件下將補丁分發(fā)到每個單獨的終端用戶，并說服他們安裝這些補丁?？偟膩碚f，打補丁過程需要花費時間，此時，主機不受保護(hù)，且易于暴露弱點。因此，用戶需要一個全新的安全解決方案。 入侵防御系統(tǒng) (IPS) 填補了這一空白，并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式。IPS 在網(wǎng)絡(luò)線內(nèi)進(jìn)行操作，阻擋惡意流量；而不僅僅是被動地檢測。系統(tǒng)分析活動連接并在傳輸過程中截斷攻擊，所有惡意攻擊流量不會達(dá)到目的地。該設(shè)備通常沒有 MAC 地址或 IP 地址，因此它可以被認(rèn)為是“線路的一部分”，合法的流量以網(wǎng)速和以微秒級的延時無障礙通過系統(tǒng)。 IPS 自動在缺省配置中設(shè)置成百上千個過濾用于阻擋各類攻擊。這些過濾器時刻識別所有情況下存在于所有網(wǎng)絡(luò)環(huán)境中的已知的惡意流量。管理員只需要打開系統(tǒng)，通過管理接口配置用戶名和密碼，并插入數(shù)據(jù)纜線。這時，系統(tǒng)開始運行并阻擋攻擊，保護(hù)易受攻擊的系統(tǒng)不受危害。沒有必要在 UnityOne 提供服務(wù)之前進(jìn)行配置、關(guān)聯(lián)、集成或調(diào)諧任何參數(shù)的工作。 IPS 的最主要的價值是可以提供“虛擬補丁”的功能，使主機沒有應(yīng)用補丁程序時或網(wǎng)絡(luò)運行存在風(fēng)險協(xié)議時，它能保護(hù)易受攻擊的系統(tǒng)不受攻擊。利用一個或一組 IPS 過濾器，可有效地阻擋所有企圖探索特殊弱點的嘗試。這意味著不同的攻擊者可以來去自如，開發(fā)的攻擊代碼可以完全不同，攻擊者可以使用他們多種形態(tài)的 shellcode 發(fā)生器或其他躲避技術(shù)，但過濾器會在允許合法流量通過的同時可靠地阻擋所有攻擊。按這種方式操作的過濾器稱為“弱點過濾器”，這樣的過濾器使未安裝補丁的系統(tǒng)從外部攻擊者的角度看上去是已經(jīng)安裝補丁的。虛擬補丁是為脆弱的系統(tǒng)提供最強大，且可升級的保護(hù)。 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 27 頁防火墻和 IPS 協(xié)同工作內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處一向是網(wǎng)絡(luò)安全的重點，通常會部署高性能防火墻限制訪問權(quán)限。但是外部網(wǎng)絡(luò)中具有訪問權(quán)限的主機可能會被黑客控制，防火墻無法阻止黑客間接地通過這些主機發(fā)起攻擊。可以在防火墻之后部署一臺IPS，配置保護(hù)內(nèi)部網(wǎng)絡(luò)的安全策略（也稱為規(guī)則）。比如：內(nèi)部網(wǎng)絡(luò)中有文件服務(wù)器和郵件服務(wù)器，則可以在IPS上配置檢測對以上兩種服務(wù)器的攻擊的規(guī)則。劃分安全區(qū)域及信息安全保障在（————）內(nèi)部，還有可能劃分出更小的子網(wǎng)絡(luò)，子網(wǎng)絡(luò)之間互訪需要應(yīng)用不同的安全策略。比如：（————）內(nèi)部可能還劃分出管理子網(wǎng)、辦公子網(wǎng)。所有的子網(wǎng)都可以訪問外部網(wǎng)絡(luò)，但是管理子網(wǎng)不允許向外發(fā)送郵件，但可以接收郵件。在這種情況下，可以把IPS系列上的業(yè)務(wù)接口劃分為不同的安全區(qū)域。在管理子網(wǎng)和其它子網(wǎng)之間配置不同的安全策略，不允許使用SMTP服務(wù)?；ヂ?lián)網(wǎng)給消息存儲、交換和獲取提供了極大的便利，同時也增加了信息泄密的可能性。黑客可能通過攻擊內(nèi)部網(wǎng)絡(luò)的服務(wù)器或者控制內(nèi)部網(wǎng)絡(luò)的主機竊取機密信息，企業(yè)內(nèi)部員工也可能無意向外發(fā)送了重要文件。由于可用于網(wǎng)絡(luò)傳輸?shù)膽?yīng)用程序非常多，通過對幾種網(wǎng)絡(luò)協(xié)議的分析不能形成完全的保護(hù)。比如；防火墻可以分析用于web瀏覽的 HTTP協(xié)議和發(fā)送郵件的SMTP協(xié)議，但使用其它協(xié)議（MSN、、BT 等等）傳輸?shù)闹匾畔⒕涂梢远氵^防火墻的阻截。IPS系列產(chǎn)品可以配置深度檢測規(guī)則，同時結(jié)合數(shù)十種常見協(xié)議的分析，可以分級別的檢測各種敏感信息并做出不同的響應(yīng)。對于已知的協(xié)議，如果發(fā)現(xiàn)其中有敏感信息且是發(fā)往外部網(wǎng)絡(luò)的，IPS 可以直接攔截或通過聯(lián)動阻斷該信息流。對于未知的協(xié)議，IPS可以報警，待管理員確認(rèn)是信息泄密后即可調(diào)整安全策略，把這類新的協(xié)議加入到深度檢測規(guī)則中。入侵防御系統(tǒng)可以對不同區(qū)域設(shè)置不同的安全策略，并且通過應(yīng)用層協(xié)議的解析防止信息泄密。詳細(xì)技術(shù)細(xì)節(jié)請參考：《應(yīng)用層威脅和深度安全保護(hù)技術(shù)白皮書》 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 28 頁. 建立端點準(zhǔn)入控制系統(tǒng)端點準(zhǔn)入控制系統(tǒng)解決方案在用戶接入網(wǎng)絡(luò)前，強制檢查用戶終端的安全狀態(tài)，并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果，強制實施用戶接入控制策略，對不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強制用戶進(jìn)行病毒庫升級、系統(tǒng)補丁安裝等操作；在保證用戶終端具備自防御能力并安全接入的前提下，合理控制用戶的網(wǎng)絡(luò)行為，提升整網(wǎng)的安全防御能力。系統(tǒng)應(yīng)用示意圖如下所示： 安 全 策 略 服 務(wù) 器補 丁 服 務(wù) 器病 毒 服 務(wù) 器隔 離 區(qū)不 符 合 安 全 策 略 的 用 戶 安 全 聯(lián) 動 交 換 機功能特點? 完備的安全狀態(tài)評估用戶終端的安全狀態(tài)是指操作系統(tǒng)補丁、第三方軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態(tài)信息。EAD通過對終端安全狀態(tài)進(jìn)行評估，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能準(zhǔn)許訪問網(wǎng)絡(luò)? 實時的“危險 ”用戶隔離系統(tǒng)補丁、病毒庫版本不及時更新或已感染病毒的用戶終端，如果不符合管理員設(shè)定的企業(yè)安全策略，將被限制訪問權(quán)限，只能訪問病毒服務(wù)器、補丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 29 頁用戶上網(wǎng)過程中，如果終端發(fā)生感染病毒等安全事件，端點準(zhǔn)入控制系統(tǒng)系統(tǒng)可實時隔離該“危險”終端。? 基于角色的網(wǎng)絡(luò)服務(wù)在用戶終端在通過病毒、補丁等安全信息檢查后，端點準(zhǔn)入控制系統(tǒng)可基于終端用戶的角色，向安全客戶端下發(fā)系統(tǒng)配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一管理，并實時應(yīng)用實施。? 可擴展的、開放的安全解決方案端點準(zhǔn)入控制系統(tǒng)是一個可擴展的安全解決方案，對現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在現(xiàn)有企業(yè)網(wǎng)中，只需對網(wǎng)絡(luò)設(shè)備和第三方軟件進(jìn)行簡單升級，即可實現(xiàn)接入控制和防病毒的聯(lián)動，達(dá)到端點準(zhǔn)入控制的目的，有效保護(hù)用戶的網(wǎng)絡(luò)投資。端點準(zhǔn)入控制系統(tǒng)也是一個開放的安全解決方案。在該系統(tǒng)中，安全策略服務(wù)器與網(wǎng)絡(luò)設(shè)備的交互、與第三方服務(wù)器的交互都基于開放、標(biāo)準(zhǔn)的協(xié)議實現(xiàn)。在防病毒方面，端點準(zhǔn)入控制系統(tǒng)要能夠與各種主流的防病毒軟件進(jìn)行聯(lián)動。? 靈活、方便的部署與維護(hù)端點準(zhǔn)入控制系統(tǒng)方案部署靈活，維護(hù)方便，可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對待不同身份的用戶，定制不同的安全檢查和隔離級別。端點準(zhǔn)入控制系統(tǒng)可以部署為監(jiān)控模式（只記錄不合格的用戶終端，不進(jìn)行修復(fù)提醒）、提醒模式（只做修復(fù)提醒，不進(jìn)行網(wǎng)絡(luò)隔離）和隔離模式，以適應(yīng)用戶對安全準(zhǔn)入控制的不同要求。詳細(xì)技術(shù)細(xì)節(jié)可以參考：《EAD 端點準(zhǔn)入解決方案技術(shù)白皮書 》和《EAD 解決方案在用友軟件成功應(yīng)用》。. 建立網(wǎng)絡(luò)流量分析系統(tǒng)NetStream 技術(shù)定義了一種路由器/交換機向管理系統(tǒng)輸出流量數(shù)據(jù)的方法，通過采集和分析流量數(shù)據(jù)，并將流量數(shù)據(jù)與管理控制臺中的其他網(wǎng)絡(luò)和應(yīng)用性能指標(biāo)建立關(guān)系，對網(wǎng)絡(luò)運行狀態(tài)進(jìn)行管理。NetStream 技術(shù)的 IP 網(wǎng)絡(luò)流量數(shù)據(jù)報文中包含許多有價值的流量統(tǒng)計數(shù)據(jù)，這些流信息充分揭示了有關(guān)網(wǎng)絡(luò)使用的“4W”問題：Who：誰（IP）使用了網(wǎng)絡(luò)？ （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 30 頁What：網(wǎng)絡(luò)流量的類型是什么？When：在什么時間使用網(wǎng)絡(luò)，使用了多長時間？Where：網(wǎng)絡(luò)流量流向何處？利用 NTA 網(wǎng)流分析系統(tǒng)對這些數(shù)據(jù)進(jìn)行統(tǒng)計分析，就能從中提取出網(wǎng)絡(luò)流量特征，從而為網(wǎng)絡(luò)管理員提供一張豐富而詳盡的網(wǎng)絡(luò)利用視圖。. 網(wǎng)絡(luò)優(yōu)化通過 NTA 解決方案，可以使網(wǎng)絡(luò)管理員及時掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問題。圖 1. 圖 14 網(wǎng)絡(luò)優(yōu)化的應(yīng)用場景. 網(wǎng)絡(luò)規(guī)劃參考利用 NetStream 流日志以及 NTA 長期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢報表，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測網(wǎng)絡(luò)鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡(luò)升級（例如，增加路由服務(wù)、端口或使用更高帶寬的接口）。 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 31 頁圖 2. 圖 15 網(wǎng)絡(luò)規(guī)劃參考應(yīng)用場景. WAN 流量監(jiān)測對于一個企業(yè)來說，WAN 帶寬通常是有限的，如果 WAN 鏈路上的流量增大，通常企業(yè)的做法就是進(jìn)行投資以升級 WAN 鏈路，但是如果企業(yè)能掌握 WAN 流量的特征，制定相應(yīng)的策略（比如QoS 和針對源或目的 IP 地址作流限制），就能使 WAN 帶寬得到最合理最充分的使用，避免進(jìn)行不必要的升級投資，而 NTA 解決方案所提供的分析結(jié)果能夠使網(wǎng)絡(luò)管理員洞察 WAN 鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對是否應(yīng)投資升級帶寬快速的作出快速響應(yīng)！圖 3. 圖 16 WAN 流量監(jiān)測應(yīng)用場景 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 32 頁. 網(wǎng)絡(luò)流量異常監(jiān)測網(wǎng)絡(luò)管理員都希望在網(wǎng)絡(luò)性能突然下降的時候找到“真兇”所在，并迅速解決問題。利用NTA 解決方案提供的某段時間內(nèi)的流量、應(yīng)用趨勢分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運轉(zhuǎn)出現(xiàn)性能問題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決掉網(wǎng)絡(luò)異常問題，保證網(wǎng)絡(luò)正常的運行！圖 4. 圖 17 網(wǎng)絡(luò)流量異常監(jiān)測應(yīng)用場景. 方案特點 豐富的應(yīng)用識別：基于三層協(xié)議號、端口號，可識別上千種已知應(yīng)用（比如：Notes應(yīng)用、FTP應(yīng)用、HTTP應(yīng)用等等），并提供應(yīng)用自定義功能，當(dāng)網(wǎng)內(nèi)出現(xiàn)新應(yīng)用的時候，很容易進(jìn)行新應(yīng)用的識別； 貼近客戶的專家級分析報表：提供業(yè)界最流行的報表展示形式，如疊加圖、餅圖等，報表界面美觀易用，并從多個分析的角度將分析內(nèi)容進(jìn)行了整合，使用戶更快速的得到所需要的分析結(jié)果； 準(zhǔn)實時的流量監(jiān)控：NTA報表支持對流量進(jìn)行及時的分析，當(dāng)NetStream日志或者DIG日志產(chǎn)生之后，在很短的時間內(nèi)即可得到分析結(jié)果，非常方便用戶使用報表進(jìn)行網(wǎng)絡(luò)異常問題的定位； 支持多層次的流量監(jiān)控：通過與不同層次網(wǎng)絡(luò)設(shè)備的配合，支持對廣域網(wǎng)核心層、 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 33 頁廣域出口、局域網(wǎng)核心層、局域網(wǎng)匯聚層網(wǎng)絡(luò)流量的監(jiān)控與分析，實現(xiàn)整網(wǎng)流量多點的可視性。 更低的全網(wǎng)監(jiān)控成本：基于現(xiàn)有網(wǎng)絡(luò)設(shè)備，通過增加板卡的方式，或者開啟端口鏡像功能，在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下就能實現(xiàn)網(wǎng)絡(luò)流量統(tǒng)計，是一種低成本、高性價比、部署靈活的解決方案。詳細(xì)技