1、 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 1 页 共 27 页 Juniper ISG2000 网网络络安安全全解解决决方方案案 建建议议书书 美国美国 Juniper 网网络络公司公司 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 2 页 共 27 页 目目 录录 1前言前言.3 1.1范围定义.3 1.2参考标准.3 2系统脆弱性和风险分析系统脆弱性和风险分析.4 2.1网络边界脆弱性和风险分析.4 2.2网络内部脆弱性和风险分析.4 3系统安全需求分析系统安全需求分析.5 3.1边界访问控制安全需求.5 3.2应用层攻击和
2、蠕虫的检测和阻断需求.7 3.3安全管理需求.8 4系统安全解决方案系统安全解决方案.9 4.1设计目标.9 4.2设计原则.9 4.3安全产品的选型原则.10 4.4整体安全解决方案.11 4.4.1访问控制解决方案.11 4.4.2防拒绝服务攻击解决方案.13 4.4.3应用层防护解决方案.18 4.4.4安全管理解决方案.21 5方案中配置安全产品简介方案中配置安全产品简介.22 5.1JUNIPER公司介绍.22 5.2JUNIPER ISG2000 系列安全网关.25 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 3 页 共 27 页 1 前言前言 1.
3、1 范围定义范围定义 本文针对的是 XXX 网络的信息安全问题,从对象层次上讲,它比较全面地囊括了从物 理安全、网络安全、系统安全、应用安全到业务安全的各个层次。原则上与信息安全风险有 关的因素都应在考虑范围内,但为了抓住重点,体现主要矛盾,在本文主要针对具有较高风 险级别的因素加以讨论。从安全手段上讲,本文覆盖了管理和技术两大方面,其中安全管理 体系包括策略体系、组织体系和运作体系。就 XXX 的实际需要,本次方案将分别从管理和 技术两个环节分别给出相应的解决方案。 1.2 参考标准参考标准 XXX 属于一个典型的行业网络,必须遵循行业相关的保密标准,同时,为了保证各 种网络设备的兼容性和业
4、务的不断发展需要,也必须遵循国际上的相关的统一标准,我 们在设计 XXX 的网络安全解决方案的时候,主要参考的标准如下: NAS IATF3.1 美国国防部信息保障技术框架 v3.1 ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则,第一部分 简介和一般模型 ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则,第二部分 安全功能要求 ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则,第三部分 安全保证要求 加拿大信息安全技术指南, 1997 ISO17799 第一部分, 信息安全管理
5、 Code of Practice for Information Security Management GB/T 18019-1999 包过滤防火墙安全技术要求; I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 4 页 共 27 页 GB/T 18020-1999 应用级防火墙安全技术要求; 国家 973 信息与网络安全体系研究 G1999035801 课题组 IATF信息技术保障技术框架 。 2 系统脆弱性和风险分析系统脆弱性和风险分析 2.1 网络边界脆弱性和风险分析网络边界脆弱性和风险分析 网络的边界隔离着不同功能或地域的多个网络区域,由于职责和功能的不同
6、,相连网络 的密级也不同,这样的网络直接相连,必然存在着安全风险,下面我们将对 XXX 网络就网 络边界问题做脆弱性和风险的分析。 XXX 的网络主要存在的边界安全风险包括: XXX 网络与各级单位的连接,可能遭到来自各地的越权访问、恶意攻击和计算机病 毒的入侵;例如一个不满的内部用户,利用盗版软件或从 Internet 下载的黑客程序恶 意攻击内部站点,致使网络局部或整体瘫痪; 内部的各个功能网络通过骨干交换相互连接,这样的话,重要的部门或者专网将遭 到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等,但 是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。 2.2 网络内
7、部脆弱性和风险分析网络内部脆弱性和风险分析 XXX 内部网络的风险分析主要针对 XXX 的整个内网的安全风险,主要表现为以下 几个方面: 内部用户的非授权访问;XXX 内部的资源也不是对任何的员工都开放的,也需 要有相应的访问权限。内部用户的非授权的访问,更容易造成资源和重要信息 的泄漏。 内部用户的误操作;由于内部用户的计算机造作的水平参差不齐,对于应用软 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 5 页 共 27 页 件的理解也各不相同,如果一部分软件没有相应的对误操作的防范措施,极容 易给服务系统和其他主机造成危害。 内部用户的恶意攻击;就网络安全来说,
8、据统计约有 70左右的攻击来自内部 用户,相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对内部用 户攻击的防范也很重要。 设备的自身安全性也会直接关系到 XXX 网络系统和各种网络应用的正常运转。 例如,路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。 重要服务器或操作系统自身存在安全的漏洞,如果管理员没有及时的发现并且 进行修复,将会为网络的安全带来很多不安定的因素。 重要服务器的当机或者重要数据的意外丢失,都将会造成 XXX 内部的业务无法 正常运行。 安全管理的困难,对于众多的网络设备和网络安全设备,安全策略的配置和安 全事件管理的难度很大。 3 系统安全需求分析系统安全
9、需求分析 通过对上面 XXX 网络的脆弱性和风险的分析,我们认为整个 XXX 网络的安全建设目前 还比较简单,存在着一定的安全隐患,主要的安全需求体现为以下几个方面:边界访问控制 安全需求,网络级防病毒安全需求、入侵行为检测安全需求、安全管理需求等,下面我们将 继续上几章的方法,分别在边界安全需求,内网安全需求环节就这几个关键技术进行描述。 3.1 边界访问控制安全需求边界访问控制安全需求 防火墙是实现网络逻辑隔离的首选技术,在 XXX 的网络中,既要保证在整个网络 的连通性,又要实现不同网络的逻辑隔离。针对 XXX 网络的具体情况,得到的防火墙 的需求包括以下几个方面: 先进的安全理念 I
10、S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 6 页 共 27 页 支持基于安全域的策略设定,让用户能够更好的理解防火墙的应用目的。 访问控制 防火墙必须能够实现网络边界的隔离,具有基于状态检测的包过滤功能,能够实 现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制,能够实 现网络层的内容过滤,支持网络地址转换等功能。 高可靠性 由于防火墙是网络中的重要设备,意外的当机都会造成网络的瘫痪,因此防火墙必 须是运行稳定,故障率低的系统,并且要求能够实现双机的热备份,实现不间断的 网络服务。 日志和审计 要求防火墙能够对重要关键资源的使用情况应进行有效的监控,防
11、火墙系统应有 较强的日志处理能力和日志分析能力,能够实现日志的分级管理、自动报表、自 动报警功能,同时希望支持第三方的日志软件,实现功能的定制。 身份认证 防火墙本身必须支持身份认证的功能,在简单的地方可以实现防火墙本身自带数据 库的身份认证,在大型的情况下,可以支持与如 RADIUS 等认证服务器的结合使用。 易管理性 XXX 网络是一个大型的网络,防火墙分布在网络的各处,所以防火墙产品必须支 持集中的管理,安全管理员可以在一个地点实现对防火墙的集中管理,策略配置, 日志审计等等。 系统的安装、配置与管理尽可能的简洁,安装便捷、配置灵活、操作简单。 高安全性 作为安全设备,防火墙本身必须具有
12、高安全性,本身没有安全漏洞,不开放服务, 可以抵抗各种类型的攻击。针对防火墙保护的服务器的拒绝服务攻击,防火墙可以 进行阻挡,并且在阻挡的同时,保证正常业务的不间断。 高性能 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 7 页 共 27 页 作为网络的接入设备,防火墙必须具有高性能,不影响原有网络的正常运行,千兆 防火墙的性能应该在 900M 以上,并发连接数要在 50 万以上。 可扩展性 系统的建设必须考虑到未来发展的需要,系统必须具有良好的可扩展性和良好的可 升级性。支持标准的 IP、IPSEC 等国际协议。支持版本的在线升级。 易实现性 防火墙可以很好的部
13、署在现有的网络当中,最小改变网络的拓扑结构和应用设计。 防火墙要支持动态路由、VLAN 协议、H323 协议等。 3.2 应用层攻击和蠕虫的检测和阻断需求应用层攻击和蠕虫的检测和阻断需求 入侵检测主要用于检测网络中存在的攻击迹象,保证当网络中存在攻击的时候,我 们可以在攻击发生后果之前能够发现它,并且进行有效的阻挡,同时提供详细的相关信 息,保证管理员可以进行正确的紧急响应,将攻击的影响减少到最低的程度。它的主要 需求包括: 入侵检测和防护要求 能够对攻击行为进行检测和防护,是对入侵防护设备的核心需求,入侵防护设备应 该采用最先进的检测手段,如基于状态的协议分析、协议异常等多种检测手段结合 等
14、等;要求可以检测的种类包括:攻击行为检测、异常行为检测等等。 对网络病毒的阻拦 由于目前 80以上的病毒都是通过网络来传播的,所以为了更好的进行防毒,需要 安全设备能够在网关处检测并且阻拦基于网络传输的病毒和蠕虫,并且可以提供相 关特征的及时更新。 性能要求 内部网络的流量很多,入侵检测和防护需要处理的数据量也相对较大,同时由于对 性能的要求可以大大的减少对于攻击的漏报率和误报率, 自身安全性要求 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 8 页 共 27 页 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存, 管理台和探测器之间的通讯
15、必须采用加密的方式,探测器要可以去除协议栈,并且 能够抵抗各种攻击。 服务要求 由于系统漏洞的不断出现和攻击手段的不断发展,要求应用层防护设备的攻击特征 库能够及时的进行更新。以满足网络最新的安全需求。 日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不 同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户 在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员 随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 3.3 安全管理需求安全管理需求 安全管理是安全体系建设极为重要的一个环节,目前 X
16、XX 网络的需要建立针对多 种安全设备的统一管理平台,总体需求如下: 安全事件的统一监控 对于网络安全设备上发现的安全事件,都可以进行集中的监控。并且进行相应的关 联分析,保证管理员可以通过简单的方式,不需要登陆多个设备,就能够明了目前 网络中发生的安全事件。 安全设备的集中化管理 随着使用安全产品种类和数量的增加需要不断增加管理和维护人员,管理成本往往 呈指数级的增加,因此需要相应的技术手段对这些产品进行集中的控管。 安全响应能力的提升 响应能力是衡量一个网络安全建设水平的重要标准,发现安全问题和安全事件后, 必须能快速找到解决方法并最快速度进行响应,响应的方式包括安全设备的自动响 I S
17、G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 9 页 共 27 页 应,联动响应,人工响应等等。 4 系统安全解决方案系统安全解决方案 4.1 设计目标设计目标 XXX 网络具有很高的安全性。本方案主要针对 XXX 网络,保证 XXX 内网中的重 要数据的保密性,完整性、可用性、防抵赖性和可管理性,具体来说可分为如下几个方 面: 有效控制、发现、处理非法的网络访问; 保护在不安全网络上的数据传输的安全性; 能有效的预防、发现、处理网络上传输的蠕虫病毒和其他的计算机病毒; 能有效的预防、发现、处理网络上存在的恶意攻击和非授权访问; 合理的安全体系架构和管理措施; 实现网络系
18、统安全系统的集中管理; 有较强的扩展性。 4.2 设计原则设计原则 我们严格按照国家相关规定进行系统方案设计。设计方案中遵守的设计原则为: (1) 统一性 系统必须统一规范、统一标准、统一接口,使用国际标准、国家标准,采用统一的系 统体系结构,以保持系统的统一性和完整性。 (2) 实用性 系统能最大限度满足 XXX 网络的需求,结合 XXX 网络的实际情况,在对业务系统进 行设计和优化的基础上进行设计。 (3) 先进性 无论对业务系统的设计还是对信息系统和网络的设计,都要采用成熟先进的技术、 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 10 页 共 27 页 手
19、段、方法和设备。 (4) 可扩展性 系统的设计必须考虑到未来发展的需要,具有良好的可扩展性和良好的可升级性。 (5) 安全性 必须建立可靠的安全体系,以防止对信息系统的非法侵入和攻击。 (6) 保密性 信息系统的有关业务信息,资金信息等必须有严格的管理措施和技术手段加以保护, 以免因泄密而造成国家、单位和个人的损失。 (7) 最高保护原则 系统中涉及到多种密级的资源,按最高密级保护 (8) 易实现性和可管理性 系统的安装、配置与管理尽可能的简洁,安装便捷,配置灵活,操作简单,并且系 统应具有可授权的集中管理能力。 4.3 安全产品的选型原则安全产品的选型原则 XXX 网络属于一个行业的专用网络
20、,因此在安全产品的选型上,必须慎重,选型的原 则包括: 安全保密产品的接入应不明显影响网络系统运行效率,并且满足工作的要求,不影 响正常的业务; 安全保密产品必须满足上面提出的安全需求,保证整个 XXX 网络的安全性。 安全保密产品必须通过国家主管部门指定的测评机构的检测; 安全保密产品必须具备自我保护能力; 安全保密产品必须符合国家和国际上的相关标准; 安全产品必须操作简单易用,便于简单部署和集中管理 。 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 11 页 共 27 页 4.4 整体安全解决方案整体安全解决方案 4.4.1 访问控制解决方案访问控制解决方案
21、4.4.1.1划分安全区(划分安全区(Security Zone) Juniper ISG2000 系统的防火墙模块增加了全新的安全区域(Security Zone)的概 念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。 当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过;当在 同一个安全区域进行通讯时,默认状态下允许不通过策略检查,经过配置后,也 可以强制进行策略检查,以提高安全性。 安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相结合。以下 图为例,通过实施安全区域的配置,内网的不同部门之间的通讯也必须通过策略 的检查,进一步提高的系统的安全
22、。 4.4.1.2 划分划分 VSYS 为满足网络中心或数据中心的要求,即网络中心或数据中心的管理员提供防火墙 硬件设备的维护和资源的分配,部门级系统管理员或托管用户的管理员来配置防 火墙的 IP 配置以及具体策略。Juniper 公司的防火墙自 500 系列起,支持虚拟防 火墙技术,即可以将一个物理的防火墙系统虚拟成多个逻辑的防火墙系统,满足 了数据中心或网络中心硬件系统和管理系统维护的分离要求。 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 12 页 共 27 页 4.4.1.3 Virtual-Router Juniper 公司防火墙支持虚拟路由器技术,在一
23、个防火墙设备里,将原来单一路 由方式下的单一路由表,进化为多个虚拟路由器以及相应的多张独立的路由表, 提高了防火墙系统的安全性以及 IP 地址配置的灵活性。 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 13 页 共 27 页 4.4.1.4安全策略定义安全策略定义 Juniper 公司 ISG2000 系统的防火墙模块在定义策略时,主要需要设定源 IP 地址、 目的 IP 地址、网络服务以及防火墙的动作。在设定网络服务时,Juniper ISG2000 系统的防火墙模块已经内置预设了大量常见的网络服务类型,同时,也 可以由客户自行定义网络服务。 在客户自行定义通
24、过防火墙的服务时,需要选择网络服务的协议,是 UDP、TCP 还是其它,需要定义源端口或端口范围、目的端口或端口范围、网 络服务在无流量情况下的超时定义等。因此,通过对网络服务的定义,以及 IP 地址的定义,使 Juniper ISG2000 系统的防火墙模块的策略细致程度大大加强, 安全性也提高了。 除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、在策略 里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加 元素的控制,可以让系统管理员对进出防火墙的数据流量进行严格的访问控制, 达到保护内网系统资源安全的目的。 4.4.2 防拒绝服务攻击解决方案防拒绝服务攻击解决
25、方案 Juniper 公司 ISG2000 系统的高性能确保它足以抵御目前 Internet 上流行的 DDoS 的攻击,能够识别多达 28 种以上的网络攻击。在抵御主要的分布式拒绝服务功能方 面,Juniper 公司 Juniper ISG2000 系统支持 SYN 网关代理功能,即当 SYN 的连接请 求超过正常的定义的范围时,NS 防火墙会自动启动 SYN 网关功能,代理后台服务 器端结 SYN 的请求并发出 ACK 回应,直到收到 SYN/ACK 的响应,才会将该连接 转发给服务器;否则会将超时没有响应的 SYN 连接请求丢弃。 Juniper 公司 NetScreen 系列除了支持
26、SYN 网关功能之外,可以针对 SYN 的攻击设定 阀值,只有当 SYN 连接请求超过预定义阀值时,才启动 SYN 网关的功能。这样可以 有效的提高防火墙在正常情况下的工作效率。 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 14 页 共 27 页 如果防火墙没有阀值的选项,那么用户面临的选择是:要么不要 SYN 防御的功能提 高性能,要么使用 SYN 防御的功能大大降低在正常工作状态下的性能。这是其它防 火墙产品非常不灵活的产品设计,Juniper 公司的 Juniper ISG2000 系统在两者之间取 得了一种平衡。 4.4.2.1SYN Flooding
27、当主机中充满了需要发出响应的、无法完成连接的 SYN 请求,以至于主机无法 再处理合法的 SYN 连接请求时,就发生了 SYN 泛滥。 利用三方封包交换,即常说的三方握手,两个主机之间建立 TCP 连接: A 向 B 发送 SYN 数据包;B 用 SYN/ACK 数据包进行响应;然后 A 又用 ACK 数据包 进行响应。SYN 泛滥攻击用伪造的 IP 源地址(不存在或不可到达的地址)的 SYN 请求来塞满站点 B。B 用 SYN/ACK 数据包响应这些来自非法地址的请求, 并等待来自这些地址的响应的 ACK 数据包。因为 SYN/ACK 数据包被发送到不 存在或不可到达的 IP 地址,所以它们
28、永远不会得到响应并最终超时。 通过用无法完成的 TCP 连接泛滥攻击主机,攻击者最后会填满受害服务主机的 内存缓存区。当该缓存区填满后,主机就不能再处理新的 TCP 连接请求,泛滥 甚至可能会破坏受害者的操作系统。 Juniper ISG2000 设备可以对每秒钟允许通过防火墙的 SYN 数据包数量加以限制。 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 15 页 共 27 页 可以针对目标地址和端口、仅目标地址或仅源地址的攻击临界值设置阀值。当每 秒的 SYN 数据包数量超过这些临界值之一时,Juniper 设备开始代理发送流入的 SYN 数据包、用 SYN/A
29、CK 数据包回复并将不完全的连接请求储存到连接队列 中。未完成的连接请求保留在队列中,直到连接完成或请求超时。在下面的示意 图中,已超过了 SYN 攻击临界值,Juniper 防火墙开始代理 SYN 数据包。 在下一个示意图中,通过代理连接的队列已完全填满,Juniper ISG2000 系统正在 拒绝流入的 SYN 数据包请求。此操作保护受保护网络中的主机,使其免遭不完 整的三方握手的轰击。 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 16 页 共 27 页 ICMP Flooding 当有大量的 ICMP 回应请求时,往往会造成服务器耗尽资源来进行响应,直至
30、 最后超出了服务器的最大极限以致无法处理有效的网络信息流,这时就发生了 ICMP 泛滥。当启用了 ICMP 泛滥保护的功能时,可以设置一个临界值,一旦超 过此值就会调用 ICMP 泛滥攻击保护功能。 (缺省的临界值为每秒 1000 个封包) 。 如果超过了该临界值,Juniper ISG2000 设备在该秒余下的时间和下一秒内会忽 略其它的 ICMP 回应要求。 4.4.2.2UDP Flooding 与 ICMP 泛滥相似,当攻击者以减慢受害服务器响应速度为目的向该点发送含有 UDP 数据包的 IP 封包,以至于受害服务器再也无法处理有效的连接时,就发生 了 UDP 泛滥。当启用了 UDP
31、泛滥保护功能时,可以设置一个临界值,一旦超过 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 17 页 共 27 页 此临界值就会调用 UDP 泛滥攻击保护功能。 (缺省临界值为每秒 1000 个封包) 如果从一个或多个源向多个目标发送的 UDP 数据包数量超过了此临界值, Juniper ISG2000 在该秒余下的时间和下一秒内会忽略其它到该目标的 UDP 数据 包。 4.4.2.3MISC 攻击攻击 能够抵御的主要的攻击方式有: 分布式服务拒绝攻击 DDOS(Distributed Denial-Of-Service attacks) 、IP 碎片攻击(IP
32、Fragmentation attacks) 、端口扫描攻 击(Port Scan Attacks) 、IP 源路由攻击(IP Source Attacks) 、IP Spoofing Attacks;Address Sweep Attacks、WinNuke Attack 等共 31 种,请参考附件 (Screen Description) 。 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 18 页 共 27 页 4.4.3 应用层防护解决方案应用层防护解决方案 4.4.3.1应用层防护应用层防护 当前,复杂的攻击以不同的方式出现在不同的客户环境中。Junipe
33、r 网络公司 ISG2000 中 的应用层防护模块先进的攻击防护和定制功能有助于准确地检测攻击,并阻止其攻击网络, 以避免产生损失。Juniper 网络公司 ISG2000 中的应用层防护模块 先进的攻击防护功能具有 以下特点: 多种检测方法,包括复合签名、状态签名、协议异常以及后门检测。 开放式签名格式允许管理员查看攻击字符串如何匹配攻击签名,并根据需求对签名进 行编辑。这种理解和定制级别允许管理员定制攻击签名,以满足独特的攻击要求。 全面的签名定制通过提供更高的控制能力,以适应签名的特定要求,从而增强检测独 特攻击的能力。 o复合签名:能够将状态签名和协议异常结合到单个攻击对象中,以检测单
34、个会 话中的复杂攻击,从而提高检测速度。 o400 多个定制参数和 Perl 式的常规表达式:能够定制签名或创建完全定制的签 名。 4.4.3.1.1多重方法攻击检测多重方法攻击检测 Juniper 网络公司的多重方法检测技术 (MMD) 将多种检测机制结合到单一产品中,以 实现全面的检测。由于不同的攻击类型要求采用不同的识别方法,因此,仅使用几种检测方 法的产品不能检测出所有类型的攻击。Juniper 网络公司 ISG2000 中的应用层防护模块采用 多重方法检测技术能够最大限度地检测出各种攻击类型,确保不会遗漏关键的威胁。MMD 中采用的检测方法包括: 机机 制制说说 明明 状态签名仅检测
35、相关流量中的已知攻击模式 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 19 页 共 27 页 协议异常检测未知或经过修改的攻击方式。 后门检测检测未经授权的交互式后门流量。 复合签名将状态签名和协议异常结合在一起,检测单个会话中的复杂攻击。 状态签名检测状态签名检测 某些攻击可以采用攻击签名进行识别,在网络流量中可以发现这种攻击模式。状态签名 设计用于大幅度提高检测性能,并减少目前市场上基于签名的入侵检测系统的错误告警。 Juniper 网络公司 ISG2000 中的应用层防护模块跟踪连接状态,并且仅在可能发生攻击的相 关流量部分来查找攻击模式。传统的基于签名的
36、入侵检测系统在流量流的任意部分寻找攻击 模式,从而导致较高的错误告警几率。 例如,要确定某人是否尝试以根用户身份登录服务器,传统的基于签名的 IDS 会在传输中出 现root字样时随时发送告警,导致错误告警的产生。Juniper 网络公司 ISG2000 中的应用层 防护模块采用状态签名检测方法,仅在登录序列中查找字符串root,这种方法可准确地检 测出攻击。 Juniper 网络公司 ISG2000 中的应用层防护模块的所有签名都可通过简单的图形用户界面来 接入,因此可以容易地了解系统在监控流量的哪一部分。此外,开放式签名格式和签名编辑 器可用于迅速修改或添加签名。这两种功能使用户能够确定对
37、其环境的重要部分,并确保系 统也能够识别出这个重要部分。 然而,状态签名方法可以跟踪并了解通信状态,因此可缩小与可能发生攻击的特定站点 相匹配的模式范围(通信模式和流方向 - 表示客户机至服务器或服务器至客户机的流量) 。 如上图所示,状态签名仅执行与可能发生攻击的相关流量相匹配的签名模型。这样,检测性 能将显着提高,而且错误告警的数量也大大减少。 ISG2000 系统可以实现对攻击签名库的每日升级,JUNIPER 公司将在自己的安全网站上 进行攻击特征的每日更新,目前的攻击特征包括应用层攻击,蠕虫特征、网络病毒特征、 P2P 应用特征等多种攻击特征。可以对上述的非正常访问进行检测和阻挡。 协
38、议异常检测协议异常检测 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 20 页 共 27 页 攻击者并不遵循某种模式来发动攻击,他们会不断开发并推出新攻击或复杂攻击。协议 异常检测可用于识别与正常流量协议不同的攻击。例如,这种检测可识别出那种采用不确 定的流量以试图躲避检测、并威胁网络和/或主机安全的攻击。以缓冲器溢出为例(见下图) , 攻击者在服务器的许可下使服务器运行攻击者的代码,从而获得机器的全部访问权限。协议 异常检测将缓冲器允许的数据量与发送的数据量、以及流量超出允许量时的告警进行比较。 协议异常检测与其所支持的多种协议具有同样的效力。如果协议不被支持,
39、则无法在网络中 检测出使用该协议的攻击。Juniper 网络公司 ISG2000 中的应用层防护模块是第一种支持多 种协议的产品,包括 SNMP(保护 60,000 多个薄弱点)和 SMB(保护运行于内部系统中 的基于 Windows 的薄弱点) 。 我们可以利用协议异常检测技术,检测到目前攻击特征码中没有定义的攻击,和一些最 新出现的攻击,新的缓冲区溢出攻击就是要通过协议异常技术进行检测的,由于协议异常技 术采用的是与正常的协议标准进行匹配,所以存在误报的可能性。 后门检测后门检测 Juniper 网络公司 ISG2000 中的应用层防护模块是可以识别并抵御后门攻击的产品。后门 攻击进入网络
40、并允许攻击者完全控制系统,这经常导致数据丢失,例如,攻击者可以利用系 统的薄弱点将特洛伊木马病毒加载到网络资源中,然后通过与该系统进行交互来对其进行控 制。然后,攻击者尝试以不同的命令发起对系统的攻击,或者威胁其它系统的安全。Juniper 网络公司 ISG2000 中的应用层防护模块能够识别交互式流量的独特特征,并对意外的活动发 送告警。 后门检测是检测蠕虫和特洛伊木马病毒的唯一方式 : 查看交互式流量 根据管理员的定义检测未授权的交互式流量 检测每个后门,即使流量已加密或者协议是未知 4.4.3.2应用层防护的步骤应用层防护的步骤 Juniper 的 ISG2000 系统的应用层防护模块可以提供两种的接入模式,Active 模式和 I S G 2 0 0 0 网 络 安 全 解 决 方 案 建 议 书 第 21 页 共 27 页 Inline_Tap 模式,由于攻击检测本身所具有的误报性,建议用户在使用 ISG2000 系统的应用 层保护模块的时候,可以采用如下的配置步骤: 1通过防火墙安全策略的定制,将需要进行应用层攻击检测和防护的流量传给应用 层防护模块,对于其他的无关紧要的网络数据流量,可以不需要通过应用层保护 模块,只通过防火墙的检测就可以保证其安全性,这样的配置可以保证在将敏感 数据进行了攻击检测的同
个人主页
