【正文】 測(cè)試結(jié)論：通過（ ）未通過（ ） 。 5） 觀察查詢結(jié)果。 3） 點(diǎn)擊查詢按鈕，登陸數(shù)據(jù)庫(kù)查詢系統(tǒng)。 測(cè)試步驟： 1） 點(diǎn)擊報(bào)表按鈕，出現(xiàn)報(bào)表系統(tǒng)登陸界 面，輸入帳戶登陸。 33 3） 雙擊右下的事件，查看彈出的詳細(xì)信息。 測(cè)試步驟： 1） 進(jìn)入安全事件窗口，左側(cè)為事件，右上圖表，右下詳細(xì)信息。 測(cè)試結(jié)果： IPS 可正常添 加、修改、分發(fā)策略。 5） 在組件窗口相應(yīng)傳感器上點(diǎn)擊右鍵，選擇分發(fā)策略，將編輯好的新策略分發(fā)到傳感器上。 3） 查看中間欄策略的信息，右側(cè)窗口上方為響應(yīng)信息，下方為每個(gè)簽名的詳細(xì)解釋。 2） 在左側(cè)窗口點(diǎn)擊鼠標(biāo)右鍵，選擇“編輯鎖定”。 測(cè)試結(jié)論：通過（ ）未通過（ ） 策略配置 測(cè) 試目的：驗(yàn)證 IPS 策略管理功能，新建策略組，編輯保存分發(fā)策略。 3） 再添加新組件，選擇傳感器，在彈出的窗口填寫傳感器配置信息 4） 選擇“連接測(cè)試”，成功后點(diǎn)擊確定，開始同步簽名，分發(fā)策略。 測(cè)試結(jié)果： IPS 可以正常管理用戶。 2） 添加新帳戶， 賦予所有功能管理權(quán)。通過嚴(yán)格的項(xiàng)目管理，保證項(xiàng)目管理的科學(xué)性、效率和質(zhì)量。最終驗(yàn)收通過后，由雙方代表共同簽署最終驗(yàn)收 。在 1 周內(nèi)，由我方與用戶方代表共同進(jìn)行最終驗(yàn)收。如遇重大故障，試運(yùn)行時(shí)間將從排除故障之日起，重新開始計(jì)算。試運(yùn)行期為初步驗(yàn)收合格后貨物開始無故障運(yùn)行滿 4 周。初步驗(yàn)收通過后，由雙方代表共同簽署初步驗(yàn)收證書。由我方與用戶方代表共同進(jìn)行。按照用戶方的要求在指定的地點(diǎn)依據(jù)投標(biāo)書的性能指標(biāo)完成安裝調(diào)試工作，按照招標(biāo)書的 功能和性能要求完成系統(tǒng)集成。設(shè)備安裝，調(diào)測(cè)所需工具，儀表及安裝材料均由設(shè)備供應(yīng)商提供。驗(yàn)貨后雙方簽署驗(yàn)貨報(bào)告。所有的合同設(shè)備到達(dá)指定地點(diǎn)后，我們將在用戶方監(jiān)督下檢查產(chǎn)品 的型號(hào)、規(guī)格、數(shù)量、外 28 型、外觀、包裝及資料、文件（如裝箱單、保修單、隨箱介質(zhì)等）是否與合同完全一致。 我方將承擔(dān)全部的運(yùn)保費(fèi)用，以確保承擔(dān)合同中所列出的全部貨物安全運(yùn)抵最終目的地。在該通知中將明確通知用戶本次運(yùn)抵的貨單編號(hào)、產(chǎn)品名稱、包裝箱數(shù)目、運(yùn)抵口岸以及確切發(fā)運(yùn)日期、存貯要求（如是否需 要鏟車卸貨等）以及其它注意事項(xiàng)等。 貨物運(yùn)輸：我方將在包裝箱上進(jìn)行清晰的標(biāo)記，以標(biāo)明產(chǎn)品的合同號(hào)、類型、產(chǎn)地、最終運(yùn)抵目的地、包裝箱序號(hào)、箱數(shù)、總重量 /凈重、每箱尺寸 [按毫米（ mm）計(jì)算的長(zhǎng) *寬 *高 ]，并對(duì)運(yùn)輸、裝運(yùn)中必須注意的事項(xiàng)（如最大堆疊層數(shù)、防雨、此面朝前或朝上、小心輕放、保持干燥等） 做出 明顯標(biāo)記。我方提供的每個(gè)產(chǎn)品包裝箱 27 內(nèi)都包括一套詳細(xì)的裝箱單、質(zhì)量、數(shù)量證明。包裝將適合遠(yuǎn)程海運(yùn)、空運(yùn)和內(nèi)陸運(yùn)輸，并能有效地防潮 、防濕、防震、防銹并能夠經(jīng)受野蠻裝卸，確保貨物安全無損地到達(dá)施工現(xiàn)場(chǎng)。 貨物包裝：為保證貨物安全抵達(dá)各地，我公司將嚴(yán)格遵守招標(biāo)文件中對(duì)包裝的相關(guān)要求。所采購(gòu)的設(shè)備通過出廠檢驗(yàn)后，則開始將各個(gè)設(shè)備通過機(jī)要 /人工押運(yùn)方式到達(dá)施工現(xiàn)場(chǎng)，并承擔(dān)相應(yīng)的運(yùn)輸和保險(xiǎn)費(fèi)用，以確保承擔(dān)合同所列的全部貨物安全運(yùn)抵最終目的地。 產(chǎn)品生產(chǎn)及出廠驗(yàn)收 設(shè)備供應(yīng)商的產(chǎn)品，我公司將要求其提供產(chǎn)品生產(chǎn)許可，在其他工程項(xiàng)目中的使用情況報(bào)告，及產(chǎn)品的出廠檢驗(yàn)報(bào)告；另外，我公司還將按照產(chǎn)品的技術(shù)指標(biāo)對(duì)其產(chǎn)品進(jìn)行抽檢，確保產(chǎn)品在出廠前是完全合格的。用戶方也可以選派代表和我方的技術(shù)人員共同設(shè)計(jì)方案，共同設(shè)計(jì)的內(nèi)容包括工程實(shí)施內(nèi)容、進(jìn)度計(jì)劃安排、責(zé)任分工、節(jié)點(diǎn)檢查控制、工程驗(yàn)收等。 國(guó)信中心 需提供符合國(guó)家標(biāo)準(zhǔn)的電源環(huán)境及設(shè)備要求范圍內(nèi)的機(jī)房環(huán)境（溫度及濕度）。 2. 本次工程除如上界面圖進(jìn)行安裝、調(diào)測(cè) 外，安氏領(lǐng)信還提供與其它互連設(shè)備的連通測(cè)試等工作。 25 7 工程實(shí)施方案 分工界面 本項(xiàng)目需要甲方 提供機(jī)架， 相應(yīng)以太網(wǎng)絡(luò)設(shè)備（交換機(jī)或 HUB 等）及安裝軟件產(chǎn)品之 設(shè)備間互連網(wǎng)線。 2 Inline Failsevered 模式 適用于對(duì)網(wǎng)絡(luò)安全要求高于對(duì)網(wǎng)絡(luò)應(yīng)用連續(xù)性要求的用戶，在此模式下，如果 IPS 不能正常檢測(cè)攻擊或出現(xiàn)故障，將拒絕所有數(shù)據(jù)包的通過，優(yōu)先保證被保護(hù)網(wǎng)絡(luò)中數(shù)據(jù)的安全。 正常工作模式 在經(jīng)過第一階段的學(xué)習(xí)、調(diào)整和適應(yīng)后，已經(jīng)可以確認(rèn) IPS 能夠以 Inline 方式正常運(yùn)行，并且不會(huì)阻斷正常合法的網(wǎng)絡(luò)數(shù)據(jù)包，這時(shí)候就可以開啟 IPS 的防御功能，進(jìn)入阻斷攻擊、全面防御的階段。 不同的網(wǎng)絡(luò)應(yīng)用環(huán)境需要不同的安全策略配置，以達(dá)到最佳的檢測(cè)與防御效果，這就涉及到對(duì)系統(tǒng)自帶的安全策略模板進(jìn)行定制、修改與補(bǔ)充，在 中我們推薦了入侵防御系統(tǒng)的推薦部署流程，學(xué)習(xí)模式和在線工作模式，學(xué)習(xí)模式的主要目的是了解網(wǎng)絡(luò) 流量情況，以及入侵和攻擊情況，然后對(duì)系統(tǒng)安全策略模板進(jìn)行修改和調(diào)整，以適應(yīng)周圍的網(wǎng)絡(luò)環(huán)境，達(dá)到最佳的檢測(cè)效果。此策略很適合于希望更詳細(xì)地了解網(wǎng)絡(luò)上的 Web 通信量的安全管理員。注：使用此策略只能啟用基于 HTTP的 攻擊簽名。此策略非常適合那些想要知道他們的網(wǎng)絡(luò)使用情況的安全管理員。使用這一策略，只有會(huì)話解碼是活動(dòng)的。 由于打開并記錄所有的簽名，“ MaximumCoverage”不宜用于高通信量環(huán)境中。 通常支持的所有事件也都是活動(dòng)的。它將所有的事件發(fā)送到控制臺(tái)。該策略為僅包含 Windows 設(shè)備的網(wǎng)絡(luò)提供了簽名。在 NetworkDefender 能夠識(shí)別的攻擊中，有幾個(gè)是 Unix 系統(tǒng)中特有的。該策略適用于想要謹(jǐn)慎關(guān)注發(fā)生在公司防火墻之內(nèi)事件的安全管理員。該策略適用于想要謹(jǐn)慎關(guān)注發(fā)生在公司防火墻之外事件的安全管理員。 DMZEngine 使用此策略， NetworkDefender 可以將注力集中于發(fā)生在防火墻之外非軍事區(qū) (DMZ)的活動(dòng)。該策略適合于只想知道最嚴(yán)重的網(wǎng)絡(luò)事件的管理員。會(huì)話沒有被解碼。用戶可以從預(yù)定義策略派生新的策略并且對(duì)新策略進(jìn)行編輯，用戶還可對(duì)其關(guān)心的部分攻擊簽名進(jìn)行微調(diào)，以便更符合用戶的需要。預(yù)定義策略分別側(cè)重于用戶所關(guān)心的各種層面，用戶可選擇適合自己的預(yù)定義策略直接應(yīng)用。傳感器安裝、配置好后，需要為傳感器配置策略，這樣傳感器才能正常的工作。 3. 傳感器對(duì)安全事件的響應(yīng)方式，目前共有 9 種響應(yīng)方式。策略控制傳感器的以下行為： 1. 傳感器檢測(cè)的安全事件的種類。 22 5 入侵防御系統(tǒng) 安全策略配置與應(yīng)用 安全策略是一個(gè)文件，其中包含稱為“安全事件簽名”的一列項(xiàng)目，這些項(xiàng)目確定了傳感器所能監(jiān)測(cè)的內(nèi)容 。 重點(diǎn)防護(hù)部署 由于安全技能和安全意識(shí)存在差異，企業(yè)員工可能無意識(shí)的通過互聯(lián)網(wǎng)絡(luò)將惡意代碼下載到內(nèi)部網(wǎng)絡(luò)執(zhí)行，甚至將 Inter 上的蠕蟲、病毒、間諜軟件傳播進(jìn)入內(nèi)部網(wǎng)絡(luò)，阻塞甚至 中斷網(wǎng)絡(luò)，而 BT、 eMule 等 P2P 下載軟件輕易的占據(jù)100%的企業(yè)網(wǎng)絡(luò)帶寬，這都對(duì)企業(yè)網(wǎng)絡(luò)的安全帶來嚴(yán)重威脅。 21 邊界防護(hù)部署 互聯(lián)網(wǎng)的迅速發(fā)展，改變了人們的工作和生活方式，使企業(yè)越來越依賴互聯(lián)網(wǎng)，大量業(yè)務(wù)應(yīng)用通過互聯(lián)網(wǎng)運(yùn)行，然而互聯(lián)網(wǎng)的開放性造成其安全性很差，大量的蠕蟲、病毒、間諜軟件、 DDoS、垃圾郵件等在互聯(lián)網(wǎng)上泛濫，而且攻擊手段在不斷增加，因此企業(yè)網(wǎng)絡(luò)的互聯(lián)網(wǎng)出入口承受著巨大的安全壓力。 網(wǎng)絡(luò)大小和復(fù)雜度。 關(guān)鍵網(wǎng)絡(luò)組件。除非我們對(duì)我們的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有非常透徹的理解，否則我們不可能全面地識(shí)別出需要保護(hù)的所有網(wǎng)絡(luò)資源。分析我們的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)于定 義我們的所有資源是至關(guān)重要的?？刂婆_(tái)和報(bào)表安裝在一臺(tái)機(jī)器上，方便管理員查看任何時(shí)段的報(bào)警事件。當(dāng)某個(gè) EC 出現(xiàn)故障的時(shí)候，向它發(fā)送報(bào)警事件的傳感器可以將報(bào)警事件發(fā)送到另一臺(tái) EC。由于傳感器數(shù)目較多，建議使用 SQL Server數(shù)據(jù)庫(kù)。 19 分布部署方式 分布式部署安裝可以選擇將 LinkTrust IPS 的各個(gè)管理組件安裝在多臺(tái)計(jì)算機(jī)上，在大型的網(wǎng)絡(luò)環(huán)境中，這種部署方式可以充分保證 IPS 系統(tǒng)的性能，所選的安裝方式取決于擁有的傳感器的數(shù)目，以及計(jì)劃對(duì)它們進(jìn)行部署的方式。 LinkTrust IPS 需要安 裝的組件： ? LinkTrust IPS Console (控制臺(tái) ) ? LinkTrust IPS EventCollector（ 事件收集服務(wù)器 ） ? MSDE 2020 數(shù)據(jù)庫(kù)（第三方軟件） ? LinkTrust IPS LogServer（日志服務(wù)器） ? LinkTrust IPS Report（報(bào)表） ? Sensor（傳感器） 集中部署方式 LinkTrust IPS 的包括多個(gè)相互獨(dú)立的組件，集中式部署是最典型的一種部署方式，在這種方式下， LinkTrust IPS 管理組件控制臺(tái)、數(shù)據(jù)庫(kù)（ 包括 MSDE 數(shù)據(jù)庫(kù)和 LogServer）、報(bào)表和事件收集器安裝到一臺(tái)計(jì)算機(jī)上。報(bào)表能夠關(guān)聯(lián)多個(gè)數(shù)據(jù)庫(kù)，給出一份綜合的數(shù)據(jù)報(bào)表。 Sensor（傳感器） 傳感器部署在需要保護(hù)的網(wǎng)段上，對(duì)網(wǎng)段上流過的數(shù)據(jù)流進(jìn)行檢測(cè)，識(shí)別攻擊特征，報(bào)告可疑事件，阻止攻擊事件的進(jìn)一步發(fā)生或給予其它相應(yīng)響應(yīng)。主要負(fù)責(zé)各類日志數(shù)據(jù)的存 18 儲(chǔ)、管理和分析，并向報(bào)表工具和查詢工具提供日志數(shù)據(jù)的統(tǒng)計(jì)和查詢的功能。 主要有三方面的功能： 1. 對(duì)系統(tǒng)中的用戶進(jìn)行管理，是整個(gè)系統(tǒng)的用戶認(rèn)證中心； 2. 實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的配置管理功能，包括對(duì)傳感器的配置管理以及日志服務(wù)器的配置管理； 3. 完成日志數(shù)據(jù)的收集匯總及簡(jiǎn)單的分析工作。為保證數(shù)據(jù)傳輸?shù)陌踩?，在控制臺(tái)和事件收集服務(wù)器之間采用了加密通信。 系統(tǒng)組件 說明 組件 說明 Console(控制臺(tái) ) 控制臺(tái)是 LinkTrust IPS 系統(tǒng)中進(jìn)行各種配置管理、日志（包括安全事件、系統(tǒng)日志、用戶審計(jì)日志）查看的客戶端組件。 2 Inline Failsevered 模式 適用于對(duì)網(wǎng)絡(luò)安全要求高于對(duì)網(wǎng)絡(luò)應(yīng)用連續(xù)性要求的用戶，在此模式下，如果 IPS 不能正常檢測(cè)攻擊或出現(xiàn)故障，將拒絕所有數(shù)據(jù)包的通過，優(yōu)先保證被保護(hù)網(wǎng)絡(luò)中數(shù)據(jù)的安全。 17 IPS 的 Inline模式工作 階段 在經(jīng)過第一階段的學(xué)習(xí)、調(diào)整和適應(yīng)后，已經(jīng)可以確認(rèn) IPS 能夠以 Inline 方式正常運(yùn)行，并且不會(huì)阻斷正常合法的網(wǎng)絡(luò)數(shù)據(jù)包，這時(shí)候就可以開啟 IPS 的防御功能，進(jìn)入阻斷攻擊、全面防御的階段。 在該模式下， IPS 的檢測(cè)引擎將根據(jù)安全策略對(duì)網(wǎng)絡(luò)中通過的數(shù)據(jù)進(jìn)行檢測(cè)，如果用戶設(shè)置了對(duì)攻擊數(shù)據(jù)包的阻斷功能， IPS 會(huì)產(chǎn)生相應(yīng)的阻斷報(bào)警，但是不會(huì)采取任何阻斷或流量控制操作。 IPS 的學(xué)習(xí)適應(yīng)期階段 入侵防御系統(tǒng)和入侵檢測(cè)系統(tǒng)在部署方式上的區(qū)別為 IPS 工作于 Inline 模式，而 IDS 工作于旁路監(jiān)聽模式，但并不意味著只要將 IPS 放置于網(wǎng)絡(luò)的出口處，設(shè)置為 inline 模式，讓它直接對(duì)攻擊或可疑行為進(jìn)行丟棄就可以了，通常情況下，在 IPS 以 Iiline 模式部署后，都需要一段時(shí)間的學(xué)習(xí)適應(yīng)，才能正確無誤的擔(dān)當(dāng)起主動(dòng)防護(hù)的重任。 以 Inline 模式工作，全面檢測(cè)，全面防護(hù) 。 入侵防御系統(tǒng)通常部署在網(wǎng)絡(luò)中的關(guān)鍵位置 ,這樣對(duì)入侵防御系統(tǒng)自身的安裝配置提出了很高的要求 ,為了更好的讓領(lǐng)信入侵防御系統(tǒng)適應(yīng)用戶的網(wǎng)絡(luò)環(huán)境 ,發(fā)揮更高的防御能力 ,我們推 薦用戶將入侵防御系統(tǒng)的上線分為兩個(gè)階段 : 第一階段 :IPS 的學(xué)習(xí)適應(yīng)期階段 ，采用 透明學(xué)習(xí)模式 （ Inline Bridging） 。 （非 bypass功能支持） ? 當(dāng)引擎失去電源，或意外掉電時(shí) (該項(xiàng)需要網(wǎng)卡硬 件支持 ) ? 當(dāng)出現(xiàn)任何硬件故障，導(dǎo)致引擎無法工作時(shí) (該項(xiàng)需要網(wǎng)卡硬件支持 ) ? 當(dāng)檢測(cè)引擎由于某種原因而意外失效時(shí)（如：死機(jī)，系統(tǒng)崩潰等） (該項(xiàng)需要網(wǎng)卡硬件支持 ) ? 數(shù)據(jù)轉(zhuǎn)發(fā)延遲超時(shí)后數(shù)據(jù)直接被轉(zhuǎn)發(fā)（非 bypass 功能支持） 3 強(qiáng)制防御模式（ Inline Failsevered）： 與服務(wù)保障模式的工作方式類似，