【正文】 ≥2；2. 并發(fā)連接數(shù)≥50 萬；3. VLAN 支持：支持 ；4. 流量管理：支持帶寬管理和優(yōu)先級控制；5. 支持 IP 與 MAC 地址綁定；6. 支持 HTTP、STMP、 POPFTP、SOCKS 代理；7. 支持抗 DOS、端口掃描、特洛伊木馬等攻擊；8. 支持基于 的視頻會議和 VOIP 語音系統(tǒng)。入侵檢測系統(tǒng)以實時性、動態(tài)檢測和主動防御為特點，有效彌補了其它靜態(tài)防御工具的不足，完善我們的防御系統(tǒng)，已經(jīng)成為網(wǎng)絡安全系統(tǒng)的必備設施。探測引擎一般采用專用硬件設備通過旁路方式接入檢測網(wǎng)絡?？刂浦行氖敲嫦蛴脩簦峁┕芾砼渲檬褂?。對發(fā)現(xiàn)入侵或異常行為，入侵檢測系統(tǒng)控制中心能記錄、顯示詳細的入侵告警信息，如入侵主機的 IP 地址、攻擊特征等。高性能報文捕獲? DMA 和零拷貝技術IDS 作為保障信息安全的重要環(huán)節(jié)，一直發(fā)揮著重要作用。由于傳統(tǒng)的入侵檢測系統(tǒng)一般基于簡單的模式匹配實現(xiàn)，在百兆滿負荷的網(wǎng)絡環(huán)境中工作已經(jīng)相當吃力，而網(wǎng)絡帶寬成 10 倍的增加，如果不考慮其它條件，意味著要求 IDS 增加 10 倍的處理能力，因此網(wǎng)絡的發(fā)展，提出了千兆或更高性能 IDS 的需求。為了提高報文捕獲的效率，通過修改網(wǎng)卡驅動程序，使用 DMA 和數(shù)據(jù)零拷貝技術零拷貝技術，大大提高了效率，如下圖所示：DMA 和數(shù)據(jù)零拷貝技術和傳統(tǒng)入侵檢測報文捕獲技術的比較零拷貝技術省略了 TCP/IP 堆棧的處理，直接將網(wǎng)卡通過 DMA 直接數(shù)據(jù)傳輸將報文數(shù)據(jù)傳遞到了 IDS 系統(tǒng)可以訪問的空間，大大減少了傳統(tǒng)方式中因為上下文切換和數(shù)據(jù)拷貝而帶來的系統(tǒng)開銷，使用了零拷貝技術之后，系統(tǒng)的捕包效率大大提高，測試結果是在能夠在 的 CPU 下，捕獲 100 萬/ 秒報文時，CPU 占用率還低于 10%。網(wǎng)絡安全建設實施方案23? 支撐平臺結構和系統(tǒng)優(yōu)化對于整體結構的優(yōu)化有助于進一步提高 IDS 系統(tǒng)引擎的速度。2. 使用匯編語言實現(xiàn)關鍵處理通過使用匯編語言可以大大減少使用高級語言帶來的冗余代碼，在核心的關鍵處理上如模式集合的匹配上使用匯編語言實現(xiàn)能夠大大提高效率。通過使用簡化而且合理的內存分配算法，能夠使這部分的代價減少?；跔顟B(tài)的全面協(xié)議分析協(xié)議分析模塊完成 IDS 系統(tǒng)引擎中主要的分析工作，對于一個報文在引擎的處理過程中，報文：分析：匹配＝1：1：N，這就是說一個報文需要經(jīng)過一次分析，再和 N 條規(guī)則進行匹配之后產(chǎn)生事件。因此協(xié)議分析的準確性和效率對于整個系統(tǒng)的處理效率影響非常大。通過基于狀態(tài)的協(xié)議分析，能夠大大提高解析的準確度，同時對于不同報文采用不同的少量分析的方式，從而也提高了協(xié)議分析的速度。? 提高協(xié)議分析的效果采用兩種方法提高協(xié)議解析的效果：直接產(chǎn)生協(xié)議分析中確定的事件和更深入的協(xié)議分析。2. 更深入的協(xié)議分析更深入的協(xié)議解析提高了規(guī)則集中規(guī)則的匹配準確性，比如縮小一次字符串匹配在報文中搜索范圍，從而節(jié)省時間，提高規(guī)則匹配的效率。一個報文需要跟多條規(guī)則進行比較，這需要大量的運算，占用許多的 CPU 時間。1. 協(xié)議規(guī)則子集協(xié)議規(guī)則子集是通過將規(guī)則集合中的規(guī)則按照其所屬的協(xié)議分成許多小的子集，而一個報文只與其相關的協(xié)議規(guī)則子集中的規(guī)則進行匹配，從而大大減少實際一個報文進行匹配的規(guī)則數(shù)量，減少匹配時間。通過規(guī)則樹，我們可以很容易在匹配過程中淘汰掉不可能的規(guī)則,減少重復判斷的次數(shù),并實現(xiàn)將一個協(xié)議變量的多個取值放到一起（形成取值集合）進行判斷，大大的提高了比較效率?？焖倨ヅ湟馕毒W(wǎng)絡安全建設實施方案25著能夠盡可能快的在一個正文串中查找到一個模式串的存在，這是通過提高匹配時移動模式的距離實現(xiàn)的；集合匹配意味著同時快速的對多個模式進行匹配。準確的特征分析和規(guī)范描述解決入侵檢測的漏報和誤報現(xiàn)象還依賴于準確的特征提取和描述，在所應用的特征全面采用了如下兩種特征分析方法和統(tǒng)一的規(guī)范化語言描述。? 基于攻擊過程的特征分析攻擊過程分析法則是完全站在攻擊者的角度，破析完整的攻擊過程，可以判斷攻擊是處在攻擊嘗試階段還是已經(jīng)攻擊成功。本方案中按照三個區(qū)域分別采用三套入侵檢測系統(tǒng)，可以在生產(chǎn)系統(tǒng)、辦公系統(tǒng)區(qū)域和公共區(qū)域各采用一套千兆入侵檢測引擎，另外，在核心交換機處部署一套高性能千兆入侵檢測系統(tǒng)，實時監(jiān)控各個子網(wǎng)網(wǎng)絡傳輸狀態(tài)，自動檢測可疑行為，及時發(fā)現(xiàn)來自網(wǎng)絡外部或內部的攻擊，并可以實時響應，切斷攻擊方的連接，同時還可以與防火墻緊密結合，產(chǎn)生聯(lián)動，彌補了防火墻的訪問控制不嚴密的問題。配合探測引擎，管理中心安裝于一臺服務器上，控制中心面向用戶，提供管理配置之網(wǎng)絡安全建設實施方案26用。管理控制中心可以被設置為主、子結構，主管理控制中心可以實時接收、轉發(fā)子控制中心的告警信息，分類提取子控制中心的日志信息，下發(fā)各種配置文件、策略供子控對其所屬網(wǎng)絡探測引擎進行配置。通過策略下發(fā)機制，使上級部門能夠統(tǒng)一全網(wǎng)的安全防護策略；通過信息上傳機制，使上級部門能夠及時了解和監(jiān)控全網(wǎng)的安全狀態(tài)。所選入侵檢測系統(tǒng)的探測引擎同時支持通過USB 口進行升級。利用全局預警通道，各級管理員也可以發(fā)送交互信息，交流對安全事件的處理經(jīng)驗。同時在產(chǎn)品部署上支持事件監(jiān)測、事件分析以及管理配置分布部署，從物理角度保證管理安全。? 支持多報警顯示臺所選入侵檢測系統(tǒng)提供了良好的多點監(jiān)測機制，允許掛接多個報警顯示中心，方便多個管理人員進行有效的報警觀測。? 可擴展到入侵管理入侵檢測全面支持入侵管理，實現(xiàn)多種安全產(chǎn)品：漏洞掃描、主機入侵檢測的統(tǒng)一管理和協(xié)同關聯(lián)。4. 通過支持入侵管理，可以結合漏洞掃描結果來評估威脅的風險級別。? 可擴展的響應和聯(lián)動所選入侵檢測系同應具有豐富的可擴展事件響應方式， 包括? 屏幕顯示? 日志記錄? TCP KILLER 阻斷? 支持郵件方式遠程報警、聲音以及自定義程序報警? 支持向網(wǎng)管發(fā)送 SNMP TRAP 信息可以充分實現(xiàn)和第三方安全產(chǎn)品以及網(wǎng)絡設備的策略響應聯(lián)動。? 交換機聯(lián)動：可以根據(jù)策略制定動態(tài)關閉相應的交換機端口，可以防止蠕蟲類事件的攻擊擴散，進行內網(wǎng)安全防護。為管理人員提供了常用的周期性統(tǒng)計報表類型模版，管理人員可以直接利用，得出管理性的安全結論。入侵檢測系統(tǒng)提供了多樣化的日志過濾查詢條件，用戶可以進行自主定義習慣的查詢模式，進行有效的日志分析查詢。攻擊特征流采用統(tǒng)一的 100 種標準的不同攻擊樣本，目標機器配置多種網(wǎng)網(wǎng)絡安全建設實施方案29絡服務。 千兆引擎的性能指標如下：網(wǎng)絡安全建設實施方案301. 1 個標準 1000BaseSX(SC)接口（可擴展） ；至少 3 個標準10/100/1000Base－TX 接口；2. MTBF≥9 萬小時；3. IP 碎片重組≥500,000，4. 最大檢測 TCP 會話數(shù)：800,000 ，5. 檢測流量：≥1G。為管理員、安全維護人員提供詳細的脆弱性信息和安全建議。由于防火墻固有的局限性和目前對入侵檢測系統(tǒng)的逃避技術，網(wǎng)絡安全性的提高還需要有漏洞掃描系統(tǒng)，它是要實現(xiàn)對內部計算機、網(wǎng)絡設備、安全設備等進行安全性掃描、評估。通過部署漏洞掃描系統(tǒng)主要為了達到如下的目的：? 掃描分析網(wǎng)絡系統(tǒng)，檢測和發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中安全薄弱環(huán)節(jié)。? 檢測并報告掃描目標的相關信息以及對外提供的服務。網(wǎng)絡安全建設實施方案31? 根據(jù)目前情況分析采取全網(wǎng)掃描策略；? 當網(wǎng)絡規(guī)模增大后，特別是分為多級網(wǎng)絡結構后可以采用分布式部署策略，其功能組件可以部署在不同主機上，控制中心同時管理多個掃描引擎，不同的掃描引擎負責對不同網(wǎng)段的系統(tǒng)進行掃描檢測，顯示中心和報表中心可匯總顯示各掃描引擎的掃描結果信息?？梢园惭b在網(wǎng)絡中配置較高的任意一臺計算機上即可對全網(wǎng)相關設備進行掃描。單個系統(tǒng)部署示意圖如下：路由器核心交換機防火墻I D S樓層交換機工作站工作站工作站服務器區(qū)掃描主機安 全 性 分 析 報 告 ：系 統(tǒng) 版 本 太 低 ： 高 風 險管 理 員 口 令 永 不 過 期 ： 中 風 險開 放 N F S 等 無 關 服 務 ： 低 風 險網(wǎng)絡安全建設實施方案32圖 2：漏洞掃描系統(tǒng)部署示意圖漏洞掃描系統(tǒng)一般為軟件產(chǎn)品，本方案選用帶三個掃描器的漏洞掃描系統(tǒng)，分別對公共區(qū)域，生產(chǎn)系統(tǒng)區(qū)、辦公系統(tǒng)區(qū)進行部署，根據(jù)不同級別和策略的掃描采用不同的安全防護手段。? 分布式管理分布管理、集中分析各掃描引擎可以按不同的掃描策略同時進行多網(wǎng)絡系統(tǒng)的漏洞檢測，并將檢測結果集中顯示、集中分析。某公司日后規(guī)模擴大可以采用此種方式。同時，靈活的策略自定義功能可以讓用戶根據(jù)特殊需要更改和編輯掃描策略。? 掃描計劃定制產(chǎn)品應支持掃描計劃任務，可根據(jù)用戶自定義的掃描計劃來完成掃描任務，掃描任務可以按照不同時間類型（如每周、每月等）制定多個，分別自動執(zhí)行，系統(tǒng)還支持計劃有效期的設定。可以掃描的對象包括各種服務器、工作站、網(wǎng)絡打印機以及相應的網(wǎng)絡設備如：3Com 交換機、CISCO 路由器、Checkpoint Firewall、HP 打印機、Cisco PIX Firewall 等。? 掃描漏洞分類Windows 系統(tǒng)漏洞、WEB 應用漏洞、CGI 應用漏洞、FTP 類漏洞、DNS、后門類、網(wǎng)絡設備漏洞類、緩沖區(qū)溢出、信息泄漏、MAIL 類、RPC、 NFS、NIS、 SNMP、守護進程、PROXY、強力攻擊等 1000 種以上?？梢話呙钄?shù)據(jù)庫近二百多種漏洞，包含了有關空口令、弱口令、用戶權限漏洞、用戶訪問認證漏洞、系統(tǒng)完整性檢查、存儲過程漏洞和與數(shù)據(jù)庫相關的應用程序漏洞等方面的漏洞，基本上覆蓋了數(shù)據(jù)庫常被用做后門進行攻擊的漏洞，并提出相應的修補建議。持常見的 IIS、Apache 等 Web 服務器的掃描，尤其對于 IIS 具有最多的漏洞檢測能力。這些報告包括：分時間掃描任務執(zhí)行報告、分時間掃描任務執(zhí)行結果、報告不同時間的掃描結果趨勢比較、管理性簡報、技術報告、評估報告以及掃描采用策略報告。報告形式中采用圖、表以及詳細文字說明結合，報告的標題格式可以由用戶自定義，可以輸出多種格式的報告（如 PDF、XML、 HTML 、EXCEL、WORD 等網(wǎng)絡安全建設實施方案34常見格式） 。用戶可定義掃描范圍，掃描策略；4. 可定義掃描端口范圍，支持多種方式的口令猜測方式，包括利用Tel, Pop3, Ftp, Windows SMB 進行口令猜測； 5. 可以通過本地或者網(wǎng)絡升級隨時保持與國際最新標準漏洞庫同步。身份認證在整個系統(tǒng)中處于基礎的、關鍵的地位。公司系統(tǒng)登錄現(xiàn)狀還是采用傳統(tǒng)的靜態(tài)口令的身份認證，而這種認身份認證是不能滿足安全需求和安全管理標準的，主要是因為靜態(tài)口令認證存在如下的安全隱患：剽竊，主要表現(xiàn)在用戶在輸入口令的時候，被他人偷窺看到。盜用，主要是采用各種軟件手段，獲得用戶的存儲口令的文件或者獲得用戶的鍵盤輸入。重發(fā)，主要是依據(jù)靜態(tài)口令不變的特點，在網(wǎng)絡上截取認證數(shù)據(jù)包，進行網(wǎng)絡安全建設實施方案35重發(fā)認證。必須要采取一種方便實用的強力的身份認證技術。 實施策略目前強力身份鑒別技術有智能卡存儲身份信息、數(shù)字證書、指紋、視網(wǎng)膜等生理特征識別等。用戶開機登錄時，需要將輸入的指紋信息與已采集的指紋信息進行對比，客戶端將包含指紋數(shù)據(jù)的字節(jié)流發(fā)送到服務器端后，會接收到服務器端發(fā)過來的比對結果；如果比對結果正確，則客戶端可以將該用戶的指紋數(shù)據(jù)存儲到本地，以備以后比對時使用。當?shù)卿浀?Windows 后系統(tǒng)處于鎖定狀態(tài)，用戶欲解除鎖定時，對話框采集到的指紋數(shù)據(jù)不用再傳輸?shù)椒掌鞫诉M行比對，而直接在本地比對即可。由于指紋屬于生理特性，是鑒別身份強有力的手段，部署該套系統(tǒng)可以實現(xiàn)用戶與機器的一一對應， 保證了用戶對機器的合法使用權。 指紋驗證登陸功能實現(xiàn)1．用帶有指紋采集和顯示的對話框替換 WINDOWS 原有對話框為了實現(xiàn)用指紋驗證方式替代用戶名和密碼的驗證方式，需要用帶有指紋數(shù)據(jù)采集和顯示的對話框替代原有 WINDOWS 提示輸入用戶名和密碼的對話框。首先需要替代的是由 WlxLoggedOutSAS 函數(shù)負責顯示的登錄 WINDOWS 時的對話框。其中前兩個參數(shù)分別為代表 Winlogon 和 GINA 的句柄，在 WlxInitialize函數(shù)中可以得到；lpszTemplate 代表對話框模板，在資源中創(chuàng)建了對話框后直接用 MAKEINTRESOURCE 宏就可以得到這個值；hwndOwner 是指該對話框從屬的窗體，這里不予指定；dlgproc 是指對話框的消息處理函數(shù)，用于處理各種關于對話框的消息；dwInitParam 是指傳給對話框處理函數(shù)的值。因為指紋模塊是以 組件的形式封裝的，所以要加入指紋采集和顯示模塊，就需要在處理對話框的 WM_INITDIALOG 消息時對于初始化 組件的相關網(wǎng)絡安全建設實施方案37調用。之后再調用 AtlAxGetControl()函數(shù)即可實現(xiàn)該指紋窗口與用戶輸入的交互。在對話框中，對于取消和關機的消息處理比較簡單，WlxLoggedOutSAS 有分別對應的兩個返回值 WLX_SAS_ACTION_NONE 和WLX_SAS_ACTION_SHUTDOWN，可以使 WINDOWS 返回到 WlxDisplaySASNotice 所顯示的對話框和執(zhí)行關機操作。因為 WINDOWS 的登錄是一個相當復雜的過程，而且其中的一些部分屬于微軟未公開的文檔，所