【正文】 務(wù)器系統(tǒng)和內(nèi)部核心網(wǎng)絡(luò)，他們都連接在核心交換上，因此，在實(shí)施入侵防御策略時(shí)，可以在入侵防御系統(tǒng)上對(duì)其設(shè)置完善的入侵防御規(guī)則，如 DoS、代碼攻擊、病毒、后門黑客攻擊或入侵的方法以及各種攻擊手段，如掃描、嗅探、后門、惡意代碼、拒絕服務(wù)、分布式拒絕服務(wù)、欺騙等各種攻擊規(guī)則，并使入侵防御系統(tǒng)監(jiān)聽口工作在混雜模式，能實(shí)時(shí)在線的抓取網(wǎng)絡(luò)上的數(shù)據(jù)包，實(shí)時(shí)的監(jiān)控網(wǎng)絡(luò)連接，對(duì)非法的數(shù)據(jù)包能產(chǎn)生報(bào)警和日志記錄，必要時(shí)可以加以阻斷。. 建立入侵防御機(jī)制防火墻和入侵檢測(cè)系統(tǒng)(IDS) 已經(jīng)被普遍接受，但還不足以保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻不能充分地分析應(yīng)用層協(xié)議數(shù)據(jù)中的攻擊信號(hào)，入侵檢測(cè)系統(tǒng)也不會(huì)采取行動(dòng)阻擋檢測(cè)到的攻擊。傳統(tǒng)的解決方案就是為一臺(tái)一臺(tái)的服務(wù)器和工作站打軟件補(bǔ)丁，這是一個(gè)很費(fèi)時(shí)間和效率很低的過程。對(duì)于一些組織來說，打軟件補(bǔ)丁的挑戰(zhàn)來自對(duì)每個(gè)補(bǔ)丁的測(cè)試，以了解它如何影響關(guān)鍵系統(tǒng)的性能。其他組織發(fā)現(xiàn)的最大挑戰(zhàn)是如何在不同用戶環(huán)境的條件下將補(bǔ)丁分發(fā)到每個(gè)單獨(dú)的終端用戶，并說服他們安裝這些補(bǔ)丁。總的來說，打補(bǔ)丁過程需要花費(fèi)時(shí)間，此時(shí)，主機(jī)不受保護(hù)，且易于暴露弱點(diǎn)。因此，用戶需要一個(gè)全新的安全解決方案。 入侵防御系統(tǒng) (IPS) 填補(bǔ)了這一空白，并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式。IPS 在網(wǎng)絡(luò)線內(nèi)進(jìn)行操作，阻擋惡意流量；而不僅僅是被動(dòng)地檢測(cè)。系統(tǒng)分析活動(dòng)連接并在傳輸過程中截?cái)喙?，所有惡意攻擊流量不?huì)達(dá)到目的地。該設(shè)備通常沒有 MAC 地址或 IP 地址，因此它可以被認(rèn)為是“線路的一部分”，合法的流量以網(wǎng)速和以微秒級(jí)的延時(shí)無障礙通過系統(tǒng)。 IPS 自動(dòng)在缺省配置中設(shè)置成百上千個(gè)過濾用于阻擋各類攻擊。這些過濾器時(shí)刻識(shí)別所有情況下存在于所有網(wǎng)絡(luò)環(huán)境中的已知的惡意流量。管理員只需要打開系統(tǒng)，通過管理接口配置用戶名和密碼，并插入數(shù)據(jù)纜線。這時(shí)，系統(tǒng)開始運(yùn)行并阻擋攻擊，保護(hù)易受攻擊的系統(tǒng)不受危害。沒有必要在 UnityOne 提供服務(wù)之前進(jìn)行配置、關(guān)聯(lián)、集成或調(diào)諧任何參數(shù)的工作。 IPS 的最主要的價(jià)值是可以提供“虛擬補(bǔ)丁”的功能，使主機(jī)沒有應(yīng)用補(bǔ)丁程序時(shí)或網(wǎng)絡(luò)運(yùn)行存在風(fēng)險(xiǎn)協(xié)議時(shí)，它能保護(hù)易受攻擊的系統(tǒng)不受攻擊。利用一個(gè)或一組 IPS 過濾器，可有效地阻擋所有企圖探索特殊弱點(diǎn)的嘗試。這意味著不同的攻擊者可以來去自如，開發(fā)的攻擊代碼可以完全不同，攻擊者可以使用他們多種形態(tài)的 shellcode 發(fā)生器或其他躲避技術(shù)，但過濾器會(huì)在允許合法流量通過的同時(shí)可靠地阻擋所有攻擊。按這種方式操作的過濾器稱為“弱點(diǎn)過濾器”，這樣的過濾器使未安裝補(bǔ)丁的系統(tǒng)從外部攻擊者的角度看上去是已經(jīng)安裝補(bǔ)丁的。虛擬補(bǔ)丁是為脆弱的系統(tǒng)提供最強(qiáng)大，且可升級(jí)的保護(hù)。 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 27 頁(yè)防火墻和 IPS 協(xié)同工作內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處一向是網(wǎng)絡(luò)安全的重點(diǎn)，通常會(huì)部署高性能防火墻限制訪問權(quán)限。但是外部網(wǎng)絡(luò)中具有訪問權(quán)限的主機(jī)可能會(huì)被黑客控制，防火墻無法阻止黑客間接地通過這些主機(jī)發(fā)起攻擊?？梢栽诜阑饓χ蟛渴鹨慌_(tái)IPS，配置保護(hù)內(nèi)部網(wǎng)絡(luò)的安全策略（也稱為規(guī)則）。比如：內(nèi)部網(wǎng)絡(luò)中有文件服務(wù)器和郵件服務(wù)器，則可以在IPS上配置檢測(cè)對(duì)以上兩種服務(wù)器的攻擊的規(guī)則。劃分安全區(qū)域及信息安全保障在（————）內(nèi)部，還有可能劃分出更小的子網(wǎng)絡(luò)，子網(wǎng)絡(luò)之間互訪需要應(yīng)用不同的安全策略。比如：（————）內(nèi)部可能還劃分出管理子網(wǎng)、辦公子網(wǎng)。所有的子網(wǎng)都可以訪問外部網(wǎng)絡(luò)，但是管理子網(wǎng)不允許向外發(fā)送郵件，但可以接收郵件。在這種情況下，可以把IPS系列上的業(yè)務(wù)接口劃分為不同的安全區(qū)域。在管理子網(wǎng)和其它子網(wǎng)之間配置不同的安全策略，不允許使用SMTP服務(wù)。互聯(lián)網(wǎng)給消息存儲(chǔ)、交換和獲取提供了極大的便利，同時(shí)也增加了信息泄密的可能性。黑客可能通過攻擊內(nèi)部網(wǎng)絡(luò)的服務(wù)器或者控制內(nèi)部網(wǎng)絡(luò)的主機(jī)竊取機(jī)密信息，企業(yè)內(nèi)部員工也可能無意向外發(fā)送了重要文件。由于可用于網(wǎng)絡(luò)傳輸?shù)膽?yīng)用程序非常多，通過對(duì)幾種網(wǎng)絡(luò)協(xié)議的分析不能形成完全的保護(hù)。比如；防火墻可以分析用于web瀏覽的 HTTP協(xié)議和發(fā)送郵件的SMTP協(xié)議，但使用其它協(xié)議（MSN、、BT 等等）傳輸?shù)闹匾畔⒕涂梢远氵^防火墻的阻截。IPS系列產(chǎn)品可以配置深度檢測(cè)規(guī)則，同時(shí)結(jié)合數(shù)十種常見協(xié)議的分析，可以分級(jí)別的檢測(cè)各種敏感信息并做出不同的響應(yīng)。對(duì)于已知的協(xié)議，如果發(fā)現(xiàn)其中有敏感信息且是發(fā)往外部網(wǎng)絡(luò)的，IPS 可以直接攔截或通過聯(lián)動(dòng)阻斷該信息流。對(duì)于未知的協(xié)議，IPS可以報(bào)警，待管理員確認(rèn)是信息泄密后即可調(diào)整安全策略，把這類新的協(xié)議加入到深度檢測(cè)規(guī)則中。入侵防御系統(tǒng)可以對(duì)不同區(qū)域設(shè)置不同的安全策略，并且通過應(yīng)用層協(xié)議的解析防止信息泄密。詳細(xì)技術(shù)細(xì)節(jié)請(qǐng)參考：《應(yīng)用層威脅和深度安全保護(hù)技術(shù)白皮書》 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 28 頁(yè). 建立端點(diǎn)準(zhǔn)入控制系統(tǒng)端點(diǎn)準(zhǔn)入控制系統(tǒng)解決方案在用戶接入網(wǎng)絡(luò)前，強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果，強(qiáng)制實(shí)施用戶接入控制策略，對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作；在保證用戶終端具備自防御能力并安全接入的前提下，合理控制用戶的網(wǎng)絡(luò)行為，提升整網(wǎng)的安全防御能力。系統(tǒng)應(yīng)用示意圖如下所示： 安 全 策 略 服 務(wù) 器補(bǔ) 丁 服 務(wù) 器病 毒 服 務(wù) 器隔 離 區(qū)不 符 合 安 全 策 略 的 用 戶 安 全 聯(lián) 動(dòng) 交 換 機(jī)功能特點(diǎn)? 完備的安全狀態(tài)評(píng)估用戶終端的安全狀態(tài)是指操作系統(tǒng)補(bǔ)丁、第三方軟件版本、病毒庫(kù)版本、是否感染病毒等反映終端防御能力的狀態(tài)信息。EAD通過對(duì)終端安全狀態(tài)進(jìn)行評(píng)估，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能準(zhǔn)許訪問網(wǎng)絡(luò)? 實(shí)時(shí)的“危險(xiǎn) ”用戶隔離系統(tǒng)補(bǔ)丁、病毒庫(kù)版本不及時(shí)更新或已感染病毒的用戶終端，如果不符合管理員設(shè)定的企業(yè)安全策略，將被限制訪問權(quán)限，只能訪問病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 29 頁(yè)用戶上網(wǎng)過程中，如果終端發(fā)生感染病毒等安全事件，端點(diǎn)準(zhǔn)入控制系統(tǒng)系統(tǒng)可實(shí)時(shí)隔離該“危險(xiǎn)”終端。? 基于角色的網(wǎng)絡(luò)服務(wù)在用戶終端在通過病毒、補(bǔ)丁等安全信息檢查后，端點(diǎn)準(zhǔn)入控制系統(tǒng)可基于終端用戶的角色，向安全客戶端下發(fā)系統(tǒng)配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一管理，并實(shí)時(shí)應(yīng)用實(shí)施。? 可擴(kuò)展的、開放的安全解決方案端點(diǎn)準(zhǔn)入控制系統(tǒng)是一個(gè)可擴(kuò)展的安全解決方案，對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在現(xiàn)有企業(yè)網(wǎng)中，只需對(duì)網(wǎng)絡(luò)設(shè)備和第三方軟件進(jìn)行簡(jiǎn)單升級(jí)，即可實(shí)現(xiàn)接入控制和防病毒的聯(lián)動(dòng)，達(dá)到端點(diǎn)準(zhǔn)入控制的目的，有效保護(hù)用戶的網(wǎng)絡(luò)投資。端點(diǎn)準(zhǔn)入控制系統(tǒng)也是一個(gè)開放的安全解決方案。在該系統(tǒng)中，安全策略服務(wù)器與網(wǎng)絡(luò)設(shè)備的交互、與第三方服務(wù)器的交互都基于開放、標(biāo)準(zhǔn)的協(xié)議實(shí)現(xiàn)。在防病毒方面，端點(diǎn)準(zhǔn)入控制系統(tǒng)要能夠與各種主流的防病毒軟件進(jìn)行聯(lián)動(dòng)。? 靈活、方便的部署與維護(hù)端點(diǎn)準(zhǔn)入控制系統(tǒng)方案部署靈活，維護(hù)方便，可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對(duì)待不同身份的用戶，定制不同的安全檢查和隔離級(jí)別。端點(diǎn)準(zhǔn)入控制系統(tǒng)可以部署為監(jiān)控模式（只記錄不合格的用戶終端，不進(jìn)行修復(fù)提醒）、提醒模式（只做修復(fù)提醒，不進(jìn)行網(wǎng)絡(luò)隔離）和隔離模式，以適應(yīng)用戶對(duì)安全準(zhǔn)入控制的不同要求。詳細(xì)技術(shù)細(xì)節(jié)可以參考：《EAD 端點(diǎn)準(zhǔn)入解決方案技術(shù)白皮書 》和《EAD 解決方案在用友軟件成功應(yīng)用》。. 建立網(wǎng)絡(luò)流量分析系統(tǒng)NetStream 技術(shù)定義了一種路由器/交換機(jī)向管理系統(tǒng)輸出流量數(shù)據(jù)的方法，通過采集和分析流量數(shù)據(jù)，并將流量數(shù)據(jù)與管理控制臺(tái)中的其他網(wǎng)絡(luò)和應(yīng)用性能指標(biāo)建立關(guān)系，對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行管理。NetStream 技術(shù)的 IP 網(wǎng)絡(luò)流量數(shù)據(jù)報(bào)文中包含許多有價(jià)值的流量統(tǒng)計(jì)數(shù)據(jù)，這些流信息充分揭示了有關(guān)網(wǎng)絡(luò)使用的“4W”問題：Who：誰（IP）使用了網(wǎng)絡(luò)？ （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 30 頁(yè)What：網(wǎng)絡(luò)流量的類型是什么？When：在什么時(shí)間使用網(wǎng)絡(luò)，使用了多長(zhǎng)時(shí)間？Where：網(wǎng)絡(luò)流量流向何處？利用 NTA 網(wǎng)流分析系統(tǒng)對(duì)這些數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，就能從中提取出網(wǎng)絡(luò)流量特征，從而為網(wǎng)絡(luò)管理員提供一張豐富而詳盡的網(wǎng)絡(luò)利用視圖。. 網(wǎng)絡(luò)優(yōu)化通過 NTA 解決方案，可以使網(wǎng)絡(luò)管理員及時(shí)掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問題。圖 1. 圖 14 網(wǎng)絡(luò)優(yōu)化的應(yīng)用場(chǎng)景. 網(wǎng)絡(luò)規(guī)劃參考利用 NetStream 流日志以及 NTA 長(zhǎng)期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢(shì)報(bào)表，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測(cè)網(wǎng)絡(luò)鏈路流量的增長(zhǎng)，從而能有效的規(guī)劃網(wǎng)絡(luò)升級(jí)（例如，增加路由服務(wù)、端口或使用更高帶寬的接口）。 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 31 頁(yè)圖 2. 圖 15 網(wǎng)絡(luò)規(guī)劃參考應(yīng)用場(chǎng)景. WAN 流量監(jiān)測(cè)對(duì)于一個(gè)企業(yè)來說，WAN 帶寬通常是有限的，如果 WAN 鏈路上的流量增大，通常企業(yè)的做法就是進(jìn)行投資以升級(jí) WAN 鏈路，但是如果企業(yè)能掌握 WAN 流量的特征，制定相應(yīng)的策略（比如QoS 和針對(duì)源或目的 IP 地址作流限制），就能使 WAN 帶寬得到最合理最充分的使用，避免進(jìn)行不必要的升級(jí)投資，而 NTA 解決方案所提供的分析結(jié)果能夠使網(wǎng)絡(luò)管理員洞察 WAN 鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對(duì)是否應(yīng)投資升級(jí)帶寬快速的作出快速響應(yīng)！圖 3. 圖 16 WAN 流量監(jiān)測(cè)應(yīng)用場(chǎng)景 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 32 頁(yè). 網(wǎng)絡(luò)流量異常監(jiān)測(cè)網(wǎng)絡(luò)管理員都希望在網(wǎng)絡(luò)性能突然下降的時(shí)候找到“真兇”所在，并迅速解決問題。利用NTA 解決方案提供的某段時(shí)間內(nèi)的流量、應(yīng)用趨勢(shì)分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長(zhǎng)或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運(yùn)轉(zhuǎn)出現(xiàn)性能問題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決掉網(wǎng)絡(luò)異常問題，保證網(wǎng)絡(luò)正常的運(yùn)行！圖 4. 圖 17 網(wǎng)絡(luò)流量異常監(jiān)測(cè)應(yīng)用場(chǎng)景. 方案特點(diǎn) 豐富的應(yīng)用識(shí)別：基于三層協(xié)議號(hào)、端口號(hào)，可識(shí)別上千種已知應(yīng)用（比如：Notes應(yīng)用、FTP應(yīng)用、HTTP應(yīng)用等等），并提供應(yīng)用自定義功能，當(dāng)網(wǎng)內(nèi)出現(xiàn)新應(yīng)用的時(shí)候，很容易進(jìn)行新應(yīng)用的識(shí)別； 貼近客戶的專家級(jí)分析報(bào)表：提供業(yè)界最流行的報(bào)表展示形式，如疊加圖、餅圖等，報(bào)表界面美觀易用，并從多個(gè)分析的角度將分析內(nèi)容進(jìn)行了整合，使用戶更快速的得到所需要的分析結(jié)果； 準(zhǔn)實(shí)時(shí)的流量監(jiān)控：NTA報(bào)表支持對(duì)流量進(jìn)行及時(shí)的分析，當(dāng)NetStream日志或者DIG日志產(chǎn)生之后，在很短的時(shí)間內(nèi)即可得到分析結(jié)果，非常方便用戶使用報(bào)表進(jìn)行網(wǎng)絡(luò)異常問題的定位； 支持多層次的流量監(jiān)控：通過與不同層次網(wǎng)絡(luò)設(shè)備的配合，支持對(duì)廣域網(wǎng)核心層、 （————）安全規(guī)劃方案 杭州華三通信技術(shù)有限公司 第 33 頁(yè)廣域出口、局域網(wǎng)核心層、局域網(wǎng)匯聚層網(wǎng)絡(luò)流量的監(jiān)控與分析，實(shí)現(xiàn)整網(wǎng)流量多點(diǎn)的可視性。 更低的全網(wǎng)監(jiān)控成本：基于現(xiàn)有網(wǎng)絡(luò)設(shè)備，通過增加板卡的方式，或者開啟端口鏡像功能，在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下就能實(shí)現(xiàn)網(wǎng)絡(luò)流量統(tǒng)計(jì)，是一種低成本、高性價(jià)比、部署靈活的解決方案。詳細(xì)技