juniperisg2000網絡安全解決方案建議書.doc

J Ju un ni ip pe er r I IS SG G2 20 00 00 0 網網絡絡安安全全解解決決方方案案建建 議議書書 美國美國 JuniperJuniper 網絡公司網絡公司 目目 錄錄 1前言前言 3 1 1范圍定義 3 1 2參考標準 3 2系統脆弱性和風險分析系統脆弱性和風險分析 4 2 1網絡邊界脆弱性和風險分析 4 2 2網絡內部脆弱性和風險分析 4 3系統安全需求分析系統安全需求分析 5 3 1邊界訪問控制安全需求 5 3 2應用層攻擊和蠕蟲的檢測和阻斷需求 7 3 3安全管理需求 8 4系統安全解決方案系統安全解決方案 9 4 1設計目標 9 4 2設計原則 9 4 3安全產品的選型原則 10 4 4整體安全解決方案 11 4 4 1訪問控制解決方案 11 4 4 2防拒絕服務攻擊解決方案 13 4 4 3應用層防護解決方案 18 4 4 4安全管理解決方案 21 5方案中配置安全產品簡介方案中配置安全產品簡介 22 5 1JUNIPER公司介紹 22 5 2JUNIPER ISG2000 系列安全網關 25 1 前言前言 1 1 范圍定義范圍定義 本文針對的是 XXX 網絡的信息安全問題 從對象層次上講 它比較全面地囊括了從物 理安全 網絡安全 系統安全 應用安全到業(yè)務安全的各個層次 原則上與信息安全風險有 關的因素都應在考慮范圍內 但為了抓住重點 體現主要矛盾 在本文主要針對具有較高風 險級別的因素加以討論 從安全手段上講 本文覆蓋了管理和技術兩大方面 其中安全管理 體系包括策略體系 組織體系和運作體系 就 XXX 的實際需要 本次方案將分別從管理和 技術兩個環(huán)節(jié)分別給出相應的解決方案 1 2 參考標準參考標準 XXX 屬于一個典型的行業(yè)網絡 必須遵循行業(yè)相關的保密標準 同時 為了保證各 種網絡設備的兼容性和業(yè)務的不斷發(fā)展需要 也必須遵循國際上的相關的統一標準 我 們在設計 XXX 的網絡安全解決方案的時候 主要參考的標準如下 NAS IATF3 1 美國國防部信息保障技術框架 v3 1 ISO15408 GB T 18336 信息技術 安全技術 信息技術安全性評估準則 第一部分 簡介和一般模型 ISO15408 GB T 18336 信息技術 安全技術 信息技術安全性評估準則 第二部分 安全功能要求 ISO15408 GB T 18336 信息技術 安全技術 信息技術安全性評估準則 第三部分 安全保證要求 加拿大信息安全技術指南 1997 ISO17799 第一部分 信息安全管理 Code of Practice for Information Security Management GB T 18019 1999 包過濾防火墻安全技術要求 GB T 18020 1999 應用級防火墻安全技術要求 國家 973 信息與網絡安全體系研究 G1999035801 課題組 IATF 信息技術保障技術框架 2 系統脆弱性和風險分析系統脆弱性和風險分析 2 1 網絡邊界脆弱性和風險分析網絡邊界脆弱性和風險分析 網絡的邊界隔離著不同功能或地域的多個網絡區(qū)域 由于職責和功能的不同 相連網絡 的密級也不同 這樣的網絡直接相連 必然存在著安全風險 下面我們將對 XXX 網絡就網 絡邊界問題做脆弱性和風險的分析 XXX 的網絡主要存在的邊界安全風險包括 XXX 網絡與各級單位的連接 可能遭到來自各地的越權訪問 惡意攻擊和計算機病 毒的入侵 例如一個不滿的內部用戶 利用盜版軟件或從 Internet 下載的黑客程序惡 意攻擊內部站點 致使網絡局部或整體癱瘓 內部的各個功能網絡通過骨干交換相互連接 這樣的話 重要的部門或者專網將遭 到來自其他部門的越權訪問 這些越權訪問可能包括惡意的攻擊 誤操作等等 但 是它們的后果都將導致重要信息的泄漏或者是網絡的癱瘓 2 2 網絡內部脆弱性和風險分析網絡內部脆弱性和風險分析 XXX 內部網絡的風險分析主要針對 XXX 的整個內網的安全風險 主要表現為以下 幾個方面 內部用戶的非授權訪問 XXX 內部的資源也不是對任何的員工都開放的 也需 要有相應的訪問權限 內部用戶的非授權的訪問 更容易造成資源和重要信息 的泄漏 內部用戶的誤操作 由于內部用戶的計算機造作的水平參差不齊 對于應用軟 件的理解也各不相同 如果一部分軟件沒有相應的對誤操作的防范措施 極容 易給服務系統和其他主機造成危害 內部用戶的惡意攻擊 就網絡安全來說 據統計約有 70 左右的攻擊來自內部 用戶 相比外部攻擊來說 內部用戶具有更得天獨厚的優(yōu)勢 因此 對內部用 戶攻擊的防范也很重要 設備的自身安全性也會直接關系到 XXX 網絡系統和各種網絡應用的正常運轉 例如 路由設備存在路由信息泄漏 交換機和路由器設備配置風險等 重要服務器或操作系統自身存在安全的漏洞 如果管理員沒有及時的發(fā)現并且 進行修復 將會為網絡的安全帶來很多不安定的因素 重要服務器的當機或者重要數據的意外丟失 都將會造成 XXX 內部的業(yè)務無法 正常運行 安全管理的困難 對于眾多的網絡設備和網絡安全設備 安全策略的配置和安 全事件管理的難度很大 3 系統安全需求分析系統安全需求分析 通過對上面 XXX 網絡的脆弱性和風險的分析 我們認為整個 XXX 網絡的安全建設目前 還比較簡單 存在著一定的安全隱患 主要的安全需求體現為以下幾個方面 邊界訪問控制 安全需求 網絡級防病毒安全需求 入侵行為檢測安全需求 安全管理需求等 下面我們將 繼續(xù)上幾章的方法 分別在邊界安全需求 內網安全需求環(huán)節(jié)就這幾個關鍵技術進行描述 3 1 邊界訪問控制安全需求邊界訪問控制安全需求 防火墻是實現網絡邏輯隔離的首選技術 在 XXX 的網絡中 既要保證在整個網絡 的連通性 又要實現不同網絡的邏輯隔離 針對 XXX 網絡的具體情況 得到的防火墻 的需求包括以下幾個方面 先進的安全理念 支持基于安全域的策略設定 讓用戶能夠更好的理解防火墻的應用目的 訪問控制 防火墻必須能夠實現網絡邊界的隔離 具有基于狀態(tài)檢測的包過濾功能 能夠實 現針對源地址 目的地址 網絡協議 服務 時間 帶寬等的訪問控制 能夠實 現網絡層的內容過濾 支持網絡地址轉換等功能 高可靠性 由于防火墻是網絡中的重要設備 意外的當機都會造成網絡的癱瘓 因此防火墻必 須是運行穩(wěn)定 故障率低的系統 并且要求能夠實現雙機的熱備份 實現不間斷的 網絡服務 日志和審計 要求防火墻能夠對重要關鍵資源的使用情況應進行有效的監(jiān)控 防火墻系統應有 較強的日志處理能力和日志分析能力 能夠實現日志的分級管理 自動報表 自 動報警功能 同時希望支持第三方的日志軟件 實現功能的定制 身份認證 防火墻本身必須支持身份認證的功能 在簡單的地方可以實現防火墻本身自帶數據 庫的身份認證 在大型的情況下 可以支持與如 RADIUS 等認證服務器的結合使用 易管理性 XXX 網絡是一個大型的網絡 防火墻分布在網絡的各處 所以防火墻產品必須支 持集中的管理 安全管理員可以在一個地點實現對防火墻的集中管理 策略配置 日志審計等等 系統的安裝 配置與管理盡可能的簡潔 安裝便捷 配置靈活 操作簡單 高安全性 作為安全設備 防火墻本身必須具有高安全性 本身沒有安全漏洞 不開放服務 可以抵抗各種類型的攻擊 針對防火墻保護的服務器的拒絕服務攻擊 防火墻可以 進行阻擋 并且在阻擋的同時 保證正常業(yè)務的不間斷 高性能 作為網絡的接入設備 防火墻必須具有高性能 不影響原有網絡的正常運行 千兆 防火墻的性能應該在 900M 以上 并發(fā)連接數要在 50 萬以上 可擴展性 系統的建設必須考慮到未來發(fā)展的需要 系統必須具有良好的可擴展性和良好的可 升級性 支持標準的 IP IPSEC 等國際協議 支持版本的在線升級 易實現性 防火墻可以很好的部署在現有的網絡當中 最小改變網絡的拓撲結構和應用設計 防火墻要支持動態(tài)路由 VLAN 協議 H323 協議等 3 2 應用層攻擊和蠕蟲的檢測和阻斷需求應用層攻擊和蠕蟲的檢測和阻斷需求 入侵檢測主要用于檢測網絡中存在的攻擊跡象 保證當網絡中存在攻擊的時候 我 們可以在攻擊發(fā)生后果之前能夠發(fā)現它 并且進行有效的阻擋 同時提供詳細的相關信 息 保證管理員可以進行正確的緊急響應 將攻擊的影響減少到最低的程度 它的主要 需求包括 入侵檢測和防護要求 能夠對攻擊行為進行檢測和防護 是對入侵防護設備的核心需求 入侵防護設備應 該采用最先進的檢測手段 如基于狀態(tài)的協議分析 協議異常等多種檢測手段結合 等等 要求可以檢測的種類包括 攻擊行為檢測 異常行為檢測等等 對網絡病毒的阻攔 由于目前 80 以上的病毒都是通過網絡來傳播的 所以為了更好的進行防毒 需要 安全設備能夠在網關處檢測并且阻攔基于網絡傳輸的病毒和蠕蟲 并且可以提供相 關特征的及時更新 性能要求 內部網絡的流量很多 入侵檢測和防護需要處理的數據量也相對較大 同時由于對 性能的要求可以大大的減少對于攻擊的漏報率和誤報率 自身安全性要求 作為網絡安全設備 入侵檢測系統必須具有很高的安全性 配置文件需要加密保存 管理臺和探測器之間的通訊必須采用加密的方式 探測器要可以去除協議棧 并且 能夠抵抗各種攻擊 服務要求 由于系統漏洞的不斷出現和攻擊手段的不斷發(fā)展 要求應用層防護設備的攻擊特征 庫能夠及時的進行更新 以滿足網絡最新的安全需求 日志審計要求 系統能對入侵警報信息分類過濾 進行統計或生成報表 對客戶端 服務器端的不 同地址和不同服務協議的流量分析 可以選擇不同的時間間隔生成報表 反映用戶 在一定時期內受到的攻擊類型 嚴重程度 發(fā)生頻率 攻擊來源等信息 使管理員 隨時對網絡安全狀況有正確的了解 可以根據管理員的選擇 定制不同形式的報表 3 3 安全管理需求安全管理需求 安全管理是安全體系建設極為重要的一個環(huán)節(jié) 目前 XXX 網絡的需要建立針對多 種安全設備的統一管理平臺 總體需求如下 安全事件的統一監(jiān)控 對于網絡安全設備上發(fā)現的安全事件 都可以進行集中的監(jiān)控 并且進行相應的關 聯分析 保證管理員可以通過簡單的方式 不需要登陸多個設備 就能夠明了目前 網絡中發(fā)生的安全事件 安全設備的集中化管理 隨著使用安全產品種類和數量的增加需要不斷增加管理和維護人員 管理成本往往 呈指數級的增加 因此需要相應的技術手段對這些產品進行集中的控管 安全響應能力的提升 響應能力是衡量一個網絡安全建設水平的重要標準 發(fā)現安全問題和安全事件后 必須能快速找到解決方法并最快速度進行響應 響應的方式包括安全設備的自動響 應 聯動響應 人工響應等等 4 系統安全解決方案系統安全解決方案 4 1 設計目標設計目標 XXX 網絡具有很高的安全性 本方案主要針對 XXX 網絡 保證 XXX 內網中的重 要數據的保密性 完整性 可用性 防抵賴性和可管理性 具體來說可分為如下幾個方 面 有效控制 發(fā)現 處理非法的網絡訪問 保護在不安全網絡上的數據傳輸的安全性 能有效的預防 發(fā)現 處理網絡上傳輸的蠕蟲病毒和其他的計算機病毒 能有效的預防 發(fā)現 處理網絡上存在的惡意攻擊和非授權訪問 合理的安全體系架構和管理措施 實現網絡系統安全系統的集中管理 有較強的擴展性 4 2 設計原則設計原則 我們嚴格按照國家相關規(guī)定進行系統方案設計 設計方案中遵守的設計原則為 1 統一性 系統必須統一規(guī)范 統一標準 統一接口 使用國際標準 國家標準 采用統一的系 統體系結構 以保持系統的統一性和完整性 2 實用性 系統能最大限度滿足 XXX 網絡的需求 結合 XXX 網絡的實際情況 在對業(yè)務系統進 行設計和優(yōu)化的基礎上進行設計 3 先進性 無論對業(yè)務系統的設計還是對信息系統和網絡的設計 都要采用成熟先進的技術 手段 方法和設備 4 可擴展性 系統的設計必須考慮到未來發(fā)展的需要 具有良好的可擴展性和良好的可升級性 5 安全性 必須建立可靠的安全體系 以防止對信息系統的非法侵入和攻擊 6 保密性 信息系統的有關業(yè)務信息 資金信息等必須有嚴格的管理措施和技術手段加以保護 以免因泄密而造成國家 單位和個人的損失 7 最高保護原則 系統中涉及到多種密級的資源 按最高密級保護 8 易實現性和可管理性 系統的安裝 配置與管理盡可能的簡潔 安裝便捷 配置靈活 操作簡單 并且系 統應具有可授權的集中管理能力 4 3 安全產品的選型原則安全產品的選型原則 XXX 網絡屬于一個行業(yè)的專用網絡 因此在安全產品的選型上 必須慎重 選型的原 則包括 安全保密產品的接入應不明顯影響網絡系統運行效率 并且滿足工作的要求 不影 響正常的業(yè)務 安全保密產品必須滿足上面提出的安全需求 保證整個 XXX 網絡的安全性 安全保密產品必須通過國家主管部門指定的測評機構的檢測 安全保密產品必須具備自我保護能力 安全保密產品必須符合國家和國際上的相關標準 安全產品必須操作簡單易用 便于簡單部署和集中管理 4 4 整體安全解決方案整體安全解決方案 4 4 1 訪問控制解決方案訪問控制解決方案 4 4 1 1劃分安全區(qū) 劃分安全區(qū) Security Zone Juniper ISG2000 系統的防火墻模塊增加了全新的安全區(qū)域 Security Zone 的概 念 安全區(qū)域是一個邏輯的結構 是多個處于相同屬性區(qū)域的物理接口的集合 當不同安全區(qū)域之間相互通訊時 必須通過事先定義的策略檢查才能通過 當在 同一個安全區(qū)域進行通訊時 默認狀態(tài)下允許不通過策略檢查 經過配置后 也 可以強制進行策略檢查 以提高安全性 安全區(qū)域概念的出現 使防火墻的配置能更靈活同現有的網絡結構相結合 以下 圖為例 通過實施安全區(qū)域的配置 內網的不同部門之間的通訊也必須通過策略 的檢查 進一步提高的系統的安全 4 4 1 2 劃分劃分 VSYS 為滿足網絡中心或數據中心的要求 即網絡中心或數據中心的管理員提供防火墻 硬件設備的維護和資源的分配 部門級系統管理員或托管用戶的管理員來配置防 火墻的 IP 配置以及具體策略 Juniper 公司的防火墻自 500 系列起 支持虛擬防 火墻技術 即可以將一個物理的防火墻系統虛擬成多個邏輯的防火墻系統 滿足 了數據中心或網絡中心硬件系統和管理系統維護的分離要求 4 4 1 3 Virtual Router Juniper 公司防火墻支持虛擬路由器技術 在一個防火墻設備里 將原來單一路 由方式下的單一路由表 進化為多個虛擬路由器以及相應的多張獨立的路由表 提高了防火墻系統的安全性以及 IP 地址配置的靈活性 4 4 1 4安全策略定義安全策略定義 Juniper 公司 ISG2000 系統的防火墻模塊在定義策略時 主要需要設定源 IP 地址 目的 IP 地址 網絡服務以及防火墻的動作 在設定網絡服務時 Juniper ISG2000 系統的防火墻模塊已經內置預設了大量常見的網絡服務類型 同時 也 可以由客戶自行定義網絡服務 在客戶自行定義通過防火墻的服務時 需要選擇網絡服務的協議 是 UDP TCP 還是其它 需要定義源端口或端口范圍 目的端口或端口范圍 網 絡服務在無流量情況下的超時定義等 因此 通過對網絡服務的定義 以及 IP 地址的定義 使 Juniper ISG2000 系統的防火墻模塊的策略細致程度大大加強 安全性也提高了 除了定義上述這些主要參數以外 在策略中還可以定義用戶的認證 在策略 里定義是否要做地址翻譯 帶寬管理等功能 通過這些主要的安全元素和附加 元素的控制 可以讓系統管理員對進出防火墻的數據流量進行嚴格的訪問控制 達到保護內網系統資源安全的目的 4 4 2 防拒絕服務攻擊解決方案防拒絕服務攻擊解決方案 Juniper 公司 ISG2000 系統的高性能確保它足以抵御目前 Internet 上流行的 DDoS 的攻擊 能夠識別多達 28 種以上的網絡攻擊 在抵御主要的分布式拒絕服務功能方 面 Juniper 公司 Juniper ISG2000 系統支持 SYN 網關代理功能 即當 SYN 的連接請 求超過正常的定義的范圍時 NS 防火墻會自動啟動 SYN 網關功能 代理后臺服務 器端結 SYN 的請求并發(fā)出 ACK 回應 直到收到 SYN ACK 的響應 才會將該連接 轉發(fā)給服務器 否則會將超時沒有響應的 SYN 連接請求丟棄 Juniper 公司 NetScreen 系列除了支持 SYN 網關功能之外 可以針對 SYN 的攻擊設定 閥值 只有當 SYN 連接請求超過預定義閥值時 才啟動 SYN 網關的功能 這樣可以 有效的提高防火墻在正常情況下的工作效率 如果防火墻沒有閥值的選項 那么用戶面臨的選擇是 要么不要 SYN 防御的功能提 高性能 要么使用 SYN 防御的功能大大降低在正常工作狀態(tài)下的性能 這是其它防 火墻產品非常不靈活的產品設計 Juniper 公司的 Juniper ISG2000 系統在兩者之間取 得了一種平衡 4 4 2 1SYN Flooding 當主機中充滿了需要發(fā)出響應的 無法完成連接的 SYN 請求 以至于主機無法 再處理合法的 SYN 連接請求時 就發(fā)生了 SYN 泛濫 利用三方封包交換 即常說的三方握手 兩個主機之間建立 TCP 連接 A 向 B 發(fā)送 SYN 數據包 B 用 SYN ACK 數據包進行響應 然后 A 又用 ACK 數據包 進行響應 SYN 泛濫攻擊用偽造的 IP 源地址 不存在或不可到達的地址 的 SYN 請求來塞滿站點 B B 用 SYN ACK 數據包響應這些來自非法地址的請求 并等待來自這些地址的響應的 ACK 數據包 因為 SYN ACK 數據包被發(fā)送到不 存在或不可到達的 IP 地址 所以它們永遠不會得到響應并最終超時 通過用無法完成的 TCP 連接泛濫攻擊主機 攻擊者最后會填滿受害服務主機的 內存緩存區(qū) 當該緩存區(qū)填滿后 主機就不能再處理新的 TCP 連接請求 泛濫 甚至可能會破壞受害者的操作系統 Juniper ISG2000 設備可以對每秒鐘允許通過防火墻的 SYN 數據包數量加以限制 可以針對目標地址和端口 僅目標地址或僅源地址的攻擊臨界值設置閥值 當每 秒的 SYN 數據包數量超過這些臨界值之一時 Juniper 設備開始代理發(fā)送流入的 SYN 數據包 用 SYN ACK 數據包回復并將不完全的連接請求儲存到連接隊列 中 未完成的連接請求保留在隊列中 直到連接完成或請求超時 在下面的示意 圖中 已超過了 SYN 攻擊臨界值 Juniper 防火墻開始代理 SYN 數據包 在下一個示意圖中 通過代理連接的隊列已完全填滿 Juniper ISG2000 系統正在 拒絕流入的 SYN 數據包請求 此操作保護受保護網絡中的主機 使其免遭不完 整的三方握手的轟擊 ICMP Flooding 當有大量的 ICMP 回應請求時 往往會造成服務器耗盡資源來進行響應 直至 最后超出了服務器的最大極限以致無法處理有效的網絡信息流 這時就發(fā)生了 ICMP 泛濫 當啟用了 ICMP 泛濫保護的功能時 可以設置一個臨界值 一旦超 過此值就會調用 ICMP 泛濫攻擊保護功能 缺省的臨界值為每秒 1000 個封包 如果超過了該臨界值 Juniper ISG2000 設備在該秒余下的時間和下一秒內會忽 略其它的 ICMP 回應要求 4 4 2 2UDP Flooding 與 ICMP 泛濫相似 當攻擊者以減慢受害服務器響應速度為目的向該點發(fā)送含有 UDP 數據包的 IP 封包 以至于受害服務器再也無法處理有效的連接時 就發(fā)生 了 UDP 泛濫 當啟用了 UDP 泛濫保護功能時 可以設置一個臨界值 一旦超過 此臨界值就會調用 UDP 泛濫攻擊保護功能 缺省臨界值為每秒 1000 個封包 如果從一個或多個源向多個目標發(fā)送的 UDP 數據包數量超過了此臨界值 Juniper ISG2000 在該秒余下的時間和下一秒內會忽略其它到該目標的 UDP 數據 包 4 4 2 3MISC 攻擊攻擊 能夠抵御的主要的攻擊方式有 分布式服務拒絕攻擊 DDOS Distributed Denial Of Service attacks IP 碎片攻擊 IP Fragmentation attacks 端口掃描攻 擊 Port Scan Attacks IP 源路由攻擊 IP Source Attacks IP Spoofing Attacks Address Sweep Attacks WinNuke Attack 等共 31 種 請參考附件 Screen Description 4 4 3 應用層防護解決方案應用層防護解決方案 4 4 3 1應用層防護應用層防護 當前 復雜的攻擊以不同的方式出現在不同的客戶環(huán)境中 Juniper 網絡公司 ISG2000 中 的應用層防護模塊先進的攻擊防護和定制功能有助于準確地檢測攻擊 并阻止其攻擊網絡 以避免產生損失 Juniper 網絡公司 ISG2000 中的應用層防護模塊 先進的攻擊防護功能具有 以下特點 多種檢測方法 包括復合簽名 狀態(tài)簽名 協議異常以及后門檢測 開放式簽名格式允許管理員查看攻擊字符串如何匹配攻擊簽名 并根據需求對簽名進 行編輯 這種理解和定制級別允許管理員定制攻擊簽名 以滿足獨特的攻擊要求 全面的簽名定制通過提供更高的控制能力 以適應簽名的特定要求 從而增強檢測獨 特攻擊的能力 o復合簽名 能夠將狀態(tài)簽名和協議異常結合到單個攻擊對象中 以檢測單個會 話中的復雜攻擊 從而提高檢測速度 o400 多個定制參數和 Perl 式的常規(guī)表達式 能夠定制簽名或創(chuàng)建完全定制的簽 名 4 4 3 1 1多重方法攻擊檢測多重方法攻擊檢測 Juniper 網絡公司的多重方法檢測技術 MMD 將多種檢測機制結合到單一產品中 以 實現全面的檢測 由于不同的攻擊類型要求采用不同的識別方法 因此 僅使用幾種檢測方 法的產品不能檢測出所有類型的攻擊 Juniper 網絡公司 ISG2000 中的應用層防護模塊采用 多重方法檢測技術能夠最大限度地檢測出各種攻擊類型 確保不會遺漏關鍵的威脅 MMD 中采用的檢測方法包括 機機 制制說說 明明 狀態(tài)簽名僅檢測相關流量中的已知攻擊模式 協議異常檢測未知或經過修改的攻擊方式 后門檢測檢測未經授權的交互式后門流量 復合簽名將狀態(tài)簽名和協議異常結合在一起 檢測單個會話中的復雜攻擊 狀態(tài)簽名檢測狀態(tài)簽名檢測 某些攻擊可以采用攻擊簽名進行識別 在網絡流量中可以發(fā)現這種攻擊模式 狀態(tài)簽名 設計用于大幅度提高檢測性能 并減少目前市場上基于簽名的入侵檢測系統的錯誤告警 Juniper 網絡公司 ISG2000 中的應用層防護模塊跟蹤連接狀態(tài) 并且僅在可能發(fā)生攻擊的相 關流量部分來查找攻擊模式 傳統的基于簽名的入侵檢測系統在流量流的任意部分尋找攻擊 模式 從而導致較高的錯誤告警幾率 例如 要確定某人是否嘗試以根用戶身份登錄服務器 傳統的基于簽名的 IDS 會在傳輸中出 現 root 字樣時隨時發(fā)送告警 導致錯誤告警的產生 Juniper 網絡公司 ISG2000 中的應用層 防護模塊采用狀態(tài)簽名檢測方法 僅在登錄序列中查找字符串 root 這種方法可準確地檢 測出攻擊 Juniper 網絡公司 ISG2000 中的應用層防護模塊的所有簽名都可通過簡單的圖形用戶界面來 接入 因此可以容易地了解系統在監(jiān)控流量的哪一部分 此外 開放式簽名格式和簽名編輯 器可用于迅速修改或添加簽名 這兩種功能使用戶能夠確定對其環(huán)境的重要部分 并確保系 統也能夠識別出這個重要部分 然而 狀態(tài)簽名方法可以跟蹤并了解通信狀態(tài) 因此可縮小與可能發(fā)生攻擊的特定站點 相匹配的模式范圍 通信模式和流方向 表示客戶機至服務器或服務器至客戶機的流量 如上圖所示 狀態(tài)簽名僅執(zhí)行與可能發(fā)生攻擊的相關流量相匹配的簽名模型 這樣 檢測性 能將顯著提高 而且錯誤告警的數量也大大減少 ISG2000 系統可以實現對攻擊簽名庫的每日升級 JUNIPER 公司將在自己的安全網站上 進行攻擊特征的每日更新 目前的攻擊特征包括應用層攻擊 蠕蟲特征 網絡病毒特征 P2P 應用特征等多種攻擊特征 可以對上述的非正常訪問進行檢測和阻擋 協議異常檢測協議異常檢測 攻擊者并不遵循某種模式來發(fā)動攻擊 他們會不斷開發(fā)并推出新攻擊或復雜攻擊 協議 異常檢測可用于識別與 正常 流量協議不同的攻擊 例如 這種檢測可識別出那種采用不確 定的流量以試圖躲避檢測 并威脅網絡和 或主機安全的攻擊 以緩沖器溢出為例 見下圖 攻擊者在服務器的許可下使服務器運行攻擊者的代碼 從而獲得機器的全部訪問權限 協議 異常檢測將緩沖器允許的數據量與發(fā)送的數據量 以及流量超出允許量時的告警進行比較 協議異常檢測與其所支持的多種協議具有同樣的效力 如果協議不被支持 則無法在網絡中 檢測出使用該協議的攻擊 Juniper 網絡公司 ISG2000 中的應用層防護模塊是第一種支持多 種協議的產品 包括 SNMP 保護 60 000 多個薄弱點 和 SMB 保護運行于內部系統中 的基于 Windows 的薄弱點 我們可以利用協議異常檢測技術 檢測到目前攻擊特征碼中沒有定義的攻擊 和一些最 新出現的攻擊 新的緩沖區(qū)溢出攻擊就是要通過協議異常技術進行檢測的 由于協議異常技 術采用的是與正常的協議標準進行匹配 所以存在誤報的可能性 后門檢測后門檢測 Juniper 網絡公司 ISG2000 中的應用層防護模塊是可以識別并抵御后門攻擊的產品 后門 攻擊進入網絡并允許攻擊者完全控制系統 這經常導致數據丟失 例如 攻擊者可以利用系 統的薄弱點將特洛伊木馬病毒加載到網絡資源中 然后通過與該系統進行交互來對其進行控 制 然后 攻擊者嘗試以不同的命令發(fā)起對系統的攻擊 或者威脅其它系統的安全 Juniper 網絡公司 ISG2000 中的應用層防護模塊能夠識別交互式流量的獨特特征 并對意外的活動發(fā) 送告警 后門檢測是檢測蠕蟲和特洛伊木馬病毒的唯一方式 查看交互式流量 根據管理員的定義檢測未授權的交互式流量 檢測每個后門 即使流量已加密或者協議是未知 4 4 3 2應用層防護的步驟應用層防護的步驟 Juniper 的 ISG2000 系統的應用層防護模塊可以提供兩種的接入模式 Active 模式和 Inline Tap 模式 由于攻擊檢測本身所具有的誤報性 建議用戶在使用 ISG2000 系統的應用 層保護模塊的時候 可以采用如下的配置步驟 1 通過防火墻安全策略的定制 將需要進行應用層攻擊檢測和防護的流量傳給應用 層防護模塊 對于其他的無關緊要的網絡數據流量 可以不需要通過應用層保護 模塊 只通過防火墻的檢測就可以保證其安全性 這樣的配置可以保證在將敏感 數據進行了攻擊檢測的同時 最大限度的保證網絡的性能 提高網絡吞吐量 減 少網絡延遲 2 設備部署初期 對于需要檢測的流量 我們首先可以將應用層防護模塊采用 Inline Tap 模式 這樣的話 網絡數據就會在通過防火墻檢測后 直接進行轉發(fā) 而緊緊是復制一遍到應用層保護模塊 這個時候應用層保護模塊相當于一個旁路 的檢測設備 僅僅對攻擊進行報警 而不會對數據流有任何的影響 在這個時期 我們可以通過調整攻擊特征碼 自定制攻擊特征等手段 來減少網絡攻擊的漏報 率和誤報率 提高攻擊檢測的準確性 3 當攻擊檢測的準確率達到一定的程度的時候 我們可以將應用層防護模塊改為采 用 Active 模式 Active 模式的情況下 數據包在經過防火墻檢測后 會接著進行 應用層的檢測 如果存在攻擊 則進行報警或阻擋 然后再進行數據報的轉發(fā) 在這個時期 我們可以對于一些比較肯定和威脅很大的攻擊 在規(guī)則中配置成阻 斷攻擊 如果發(fā)現這種攻擊 我們可以在線的進行阻擋 對于其他的攻擊 可以 暫時采用僅僅報警的方式 繼續(xù)修改相關的攻擊特征碼 最大限度的提高攻擊檢 測的準確性 4 當攻擊特征碼優(yōu)化到誤報率很低的程度后 我們對大部分攻擊都可以采用在線阻 擋的模式 這樣的話 就可以完全實現 ISG2000 應用層防護模塊的全部功能 大 大減少了網絡管理員安全響應額時間和工作量 4 4 4 安全管理解決方案安全管理解決方案 Juniper 的 ISG2000 系統采用 Juniper 公司的統一安全管理平臺 NSM 進行管理 NSM 不 僅可以管理 ISG2000 系統上的防火墻模塊 VPN 模塊和應用層保護模塊 同時可以實現對 多臺 ISG2000 設備的集中管理 這樣我們就實現了在一個統一的界面上實現了對多臺安全設 備 多種安全技術的統一管理 安全策略的統一配置 安全事件和日志信息的統一查詢和分 析 NSM 系統為一套單獨的軟件系統 其服務器端軟件可以安裝在單獨的 LINUX 或者 SOLARIS 主機上 客戶端軟件可以安裝在 WINDOW 或者 UNIX 系統下 可以采用三層的 架構對安全設備進行統一的管理 5 方案中配置安全產品簡介方案中配置安全產品簡介 5 1 Juniper 公司介紹公司介紹 Juniper 網絡公司致力于實現網絡商務模式的轉型 作為全球領先的聯網和安全性解 決方案供應商 Juniper 網絡公司對依賴網絡獲得關鍵基礎設施的客戶一直給予密切關注 公司的客戶來自全球各行各業(yè) 包括主要的網絡運營商 企業(yè) 政府機構以及研究和教 育機構等 Juniper 網絡公司推出的一系列聯網解決方案 提供所需的安全性和性能來支 持全球最大型 最復雜 要求最嚴格的關鍵網絡 其中包括全球頂尖的 25 家服務供應 商和 財富 全球 500 強企業(yè)前 15 強中的 8 個企業(yè) Juniper 網絡公司成立的唯一宗旨是 預測并解決業(yè)內最高難度的聯網和安全性問題 今天 Juniper 網絡公司通過以下努力 幫助全球客戶轉變他們的網絡經濟模式 從而建 立強大的競爭優(yōu)勢 保護網絡安全 以抵御日益頻繁復雜的攻擊 利用網絡應用和服務來取得市場競爭優(yōu)勢 為客戶和業(yè)務合作伙伴提供安全的定制方式來接入遠程資源 Juniper 網絡公司 Juniper 系列安全性解決方案可幫助企業(yè)經濟高效地保護他們的遠程 站點 地區(qū)辦事處 網絡周邊以及網絡核心 而且不會對性能造成任何影響 Juniper 一 流的安全性功能能夠以分層的方式部署于整個網絡中 以提供所需的網絡級和應用級防 護 無論是為員工 合作伙伴和客戶提供到非信任網絡的安全接入 還是保護周邊網絡 的安全 用 IPSec 虛擬專網 VPN 替代傳統的 WAN 網絡 將基于軟件的傳統防火墻 整合到經優(yōu)化的專用設備 或者是保護新的網絡部署 如 VoIP 無線 LAN 外網或安 全在線會議 Juniper 解決方案都是企業(yè)和運營商網絡的首選網絡安全性解決方案 Juniper 解決方案在專用設備中集成了多層安全性技術 非常適用于保護關鍵資產的安全 它使用的主要技術包括 防火墻 Juniper 狀態(tài)型檢測防火墻提供了強勁的網絡接入控制和攻擊限制特性 可以幫助客 戶有效地保護周邊和核心網絡基礎設施 Juniper 深度檢測防火墻充分利用了狀態(tài)型 檢測的優(yōu)點并在防火墻中集成了入侵防護技術 可在網絡周邊提供應用級攻擊防護 IPSec VPN Juniper VPN 解決方案可以提供具備故障恢復功能的安全連接來代替幀中繼或專線 在企業(yè)總部 遠程辦公室和固定遠程工作者之間提供全面的網絡接入 拒絕服務防護 為了減小暴力攻擊及其他基于網絡的攻擊的影響 客戶可部署 Juniper 高性能產品來 保護其 Web 基礎設施的安全 防病毒 利用 Trend Micro 公司市場領先的網關防病毒技術 Juniper 集成防病毒解決方案可 以在分布式企業(yè)中提供更有效的應用層保護功能 入侵防護 Juniper 入侵防護設備遠遠超越了傳統的入侵檢測產品 它可以準確地檢測網絡 應 用和混合攻擊 而且使客戶能夠阻止攻擊 保護關鍵資源 SSL VPN Juniper 的 SA 系列產品可以利用成熟的 SSL 安全協議 實現了有效的 安全的完成 對局域網資源的訪問 用戶操作簡單 無需單獨客戶端的安裝 安全會議 Juniper 會議設備可以實現安全的跨企業(yè)在線會議 同時保證符合企業(yè)的安全性策略 和監(jiān)管要求 并減少來自互聯網的攻擊風險 Juniper 網絡公司提供一系列全面 靈活 業(yè)界領先的技術支持 專業(yè)服務以及培訓 課程 幫助客戶從他們的網絡和安全性投資中獲取最大的收益 Juniper 網絡公司的支持服務系列可提供大型網絡所要求的后備支持 并可讓客戶選 擇各種服務選項來補充他們的內部專業(yè)技術 Juniper 網絡公司支持服務還結合了積極主 動的服務特性 以增強客戶網絡的性能 Juniper 網絡公司專業(yè)服務部可提供業(yè)界領先的專業(yè)技術和定制的咨詢服務 幫助客 戶規(guī)劃新型業(yè)務和技術 設計下一代網絡解決方案并以最高的效率來實施項目 Juniper 網絡公司培訓服務可提供專家培訓和技術認證項目 通過標準的技術課程 基于 web 的課程 定制的專題研討會以及動手實驗課 幫助客戶提高他們的 IP 網絡專 業(yè)技術 5 2 Juniper ISG2000 系列安全網關系列安全網關 Juniper 推出業(yè)內第一款整合了多種最佳網絡邊界安全功能的整合式安全網關 Juniper ISG 2000 Integrated Security Gateway 可在有效防護來自網絡層及應用層的威 脅的同時 為企業(yè)和運營商的網絡提供最優(yōu)化的性能并降低網絡復雜性 目前業(yè)內其他安全解決方案提供商的整合方式往往以犧牲網絡性能為代價 并增加了網 絡復雜性 而 Juniper 的最新專屬定制的系統采用模塊化設計及獨特的處理架構 包括基于 Juniper 的新型第四代 ASIC 芯片的整合了防火墻及 VPN 功能 不久的將來還可整合完善的入侵檢測與防護 IDP 功能 Juniper ISG 2000 具備卓越的性能 以及靈活性和可擴展性 從而有效抵御今天和未來日益復雜的網絡威脅 Juniper ISG 200