文档介绍：采用入侵防御系统
增强网络安全建议
目录
1. 需求分析 4
权威研究报告指出系统入侵/渗透是目前最大的安全威胁 4
现有的安全架构无法应对系统入侵的新威胁 4
安全缺口在扩大 6
系统和网络安全面临的实际问题 7
2. 问题解决之道–采用IPS增强网络安全 8
3. IPS部署方案设计 9
设计原则 9
IPS部署设计 10
总体部署方案 10
IPS的工作模式 11
安全防护设计 13
网络架构防护 16
网管设计 19
可靠性设计 22
合理化建议(拓展IPS和SMS功能) –问题端点隔离技术 25
图例
图 1 权威调查揭示2/3的受访者认为系统渗透/入侵是面临的最大安全威胁 3
图 2 现有的FW无法识别拦截应用层面攻击 3
图 3 攻击历史回顾提醒我们蠕虫的快速传播曾造成巨大损失 3
图 4 安全缺口在不断扩大 3
图 5 IPS提供主动和自动化的安全防护 3
图 6 IPS部署总体设计 3
图 7 灵活部署- 从核心到边界 3
图 8 TippingPoint IPS三大应用场景 3
图 9 IPS 部署–应用防护 3
图 10 虚拟软件补丁 3
图 11 IPS部署–网络架构防护 3
图 12 IPS部署- 性能防护 3
图 13 IPS安全管理设计 3
图 14 安全管理系统 3
图 15 SMS仪表板 3
图 16 本地安全管理系统 3
图 17 掉电旁路保护设备- ZPHA 3
图 18 DMZ区IPS高可靠性设计 3
图 19 内置系统故障旁路 3
图 20 双机冗余设计 3
图 21 IPS和SMS功能扩展–问题端点隔离功能 3
需求分析
权威研究报告指出系统入侵/渗透是目前最大的安全威胁
VanDyke Software 组织的一次广泛而具有影响力的调查显示,66% 的公司认为系统渗透是政府、组织和企业所面临的最大威胁。该项调查还显示,被调查企业所经历的最为严重的八种威胁分别是:病毒(占 78%)、系统渗透(占 50%)、DoS (占 40%)、内部人员错误操作(占 29%)、电子欺诈(占 28%)、数据或网络故障(占 20%)以及内部人员的非法访问(占 16%)。
图 1 权威调查揭示2/3的受访者认为系统渗透/入侵是面临的最大安全威胁
现有的安全架构无法应对系统入侵的新威胁
虽然在被调查的企业中,有 86% 已经部署了防火墙(老实说,相对于时代的发展和今天的大环境,这个数字低得让人无法接受),但很明显,防火墙面对很多入侵行为仍然无计可施。普通的防火墙设计旨在拒绝那些明显可疑的网络流量(例如,企业的安全策略完全禁止
访问,但仍有某些用户试图通过访问某个设备),但仍允许某些流量通过(例如,发送到内部 Web 服务器的 Web 流量)。

图 2 现有的FW无法识别拦截应用层面攻击
问题在于,很多攻击都会尝试利用那些外围防火墙允许通过的协议的漏洞,而且,一旦 Web 服务器遭到攻击,攻击者会以此为跳板继续对其它内部服务器发起攻击。一旦服务器上被安装了“rootkit”或“后门”,那么黑客们就能够在未来的任何时间里“大摇大摆”地访问这台机器。
一般来说,我们仅将防火墙部署在网络外围。但很多攻击,无论是全球性攻击还是其它类型的攻击,往往都是从组织内部发起的。虚拟专用网、便携式计算机以及无线网络都能够接入到内部网络,而且经常会越过防火墙。入侵检测系统在检测可疑活动时可能很有效,但却不能提供对攻击的防护。臭名昭著的蠕虫(例如 Slammer 和 Blaster)都具有惊人的传播速度,当系统发出警报时,蠕虫实际上已经导致了损失,而且正在飞速地向外扩散。
图 3 攻击历史回顾提醒我们蠕虫的快速传播曾造成巨大损失
安全缺口在扩大
随之网络和应用的不断发展,安全的需求也在不断增长,而我们现有的安全能力却没有提高,造成安全缺口不断在扩大,如下图所示:
图 4 安全缺口在不断扩大
系统和网络安全面临的实际问题
依靠现有的FW、IDS等安全设备,我们已经不能及时掌握网络和系统的安全状况,也无法及时拦截攻击和进行补救。下面是一些亟待解决的问题:
FW、IDS已经不能保护应用安全,攻击能够穿透防火墙,比如SQL注入攻击,而我们不可能将SQL使用的TCP端口在防火墙上关闭,因为这样会将正常的SQL操作也阻断。这说明FW不能对数据流作深度分析,不能检测到应用层面的攻击,仅起到访问控制的作用,而IDS虽然能够监测到攻击,但是却不能够及时自动的拦截攻击,需要大量的人工干预,效率较低。
网络