360无线入侵防御系统
产品白皮书
? 2017 360企业安全集团■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录| Contents
一. 前言 (4)
二. 无线安全问题分析 (4)
2.1企业自建热点 (5)
2.2非企业自建热点 (5)
2.2.1 其他企业热点 (5)
2.2.2 员工自建热点 (5)
2.2.3 恶意热点 (6)
三. 无线安全防护的必要性 (6)
四. 当前防护手段不足 (7)
4.1缺少持续的检测工具 (7)
4.2缺少有效的防护措施 (7)
4.3缺少必要的审计手段 (7)
五. 无线网络防护的基本要求 (8)
5.1安全情况评估 (8)
5.2及时发现热点 (8)
5.3热点精确阻断 (8)
5.4攻击行为检测 (8)
六. 360天巡无线入侵防御系统 (9)
6.1产品概述 (9)
6.2产品架构 (9)
6.3产品优势 (10)
6.3.1 无线入侵实时监测 (10)
6.3.2 恶意热点精确阻断 (10)
6.3.3 安全事件智能告警 (11)
6.3.4 黑白名单智能管控 (11)
6.3.5 安全审计报表 (12)
6.3.6 无线网络状况展示 (12)
6.3.7 多区域管理 (12)
6.3.8 精确定位跟踪 (13)
6.3.9 产品独立部署 (13)
6.4主要功能 (14)
6.4.1 无线热点阻断 (14)
6.4.2 无线攻击检测 (14)
6.4.3 安全策略设置 (14)
6.4.4 无线安全评估 (14)
6.5产品部署 (15)
6.5.1 部署架构 (15)
6.5.2 无线收发引擎部署 (15)
6.5.3 网络部署 (16)
6.5.4 部署示例 (16)
七. 技术支持体系 (17)
一. 前言
近年来,无线网络在企业中,发展迅猛。很多企业为了满足一些新业务的需求,或是解决员工便捷的办公网络环境,在办公区域增设了无线AP(接入点,全称Access Point,又称热点),弥补了有线网络的不足,提高了员工上网的便利性。
2015年6月,360天巡实验室对北京市区8个人口和办公密集区域的无线网络进行了实地检测,覆盖范围包括以下地点及其周边1-2公里区域:望京SOHO、金融街、长安街、CBD 大厦、东交民巷、中关村软件园、东方广场、五道口等。在我们测试的8个地区中,共检测发现有效的无线热点78603个。其中,通过路由器MAC地址匹配,可以确定为企业热点的网络为2652个,占所有无线网络的3.4%。由于不能排除一些小型企业用户使用一般的民用路由器搭设无线网络的可能性,因此,企业无线网络的实际比例可能还会更高。企业无线网络的覆盖程度由此可见一斑。
无线网络在快速发展过程中,很大一部分企业,对于无线网络的安全没有给予足够的重视,只是随着对无线网络需求的出现,逐步的组建起了无线网络。由于部署过程没有统一规划,部署和使用人员的安全意识和专业知识的不足,导致AP分布混乱,设备安全性脆弱,给企业的网络信息安全带来了极大安全风险。
无线安全是一个新兴领域,目前对此领域的研究还比较少,甚至明确知道无线安全问题存在的用户也不是很多。但是由无线AP引发的网络安全事件频发,3月由于某公司内部存在开放的无线AP,导致超级计算机天河一号被入侵,大量敏感信息疑遭泄漏;5月有用户在T1航站楼使用登机牌通过无线AP登录网络时,发现由于机场无线提供商的服务器安全设施不足和代码漏洞,可导致服务器中的用户隐私数据被泄漏及登机人信息被窃取。3.15大会的绵羊墙展示,表示很大一部分用户,对无线的安全意识薄弱,在用手机或其他终端连接无线AP时,未考虑安全问题。
无线网络在迅猛发展,无线网络的安全问题逐渐凸现,但专门解决无线网络安全问题的产品和技术却还没有大范围推广使用,仍掌握在少数科技比较领先的公司手中。
二. 无线安全问题分析
随着各种无线技术和相关产品的发展,搭建热点越来越容易。在企业内部出现的热点,主要有以下几种方式,各种方式都有一定的安全隐患和问题。
2.1 企业自建热点
目前越来越多的企业,为了满足业务的需要,方便员工的网络访问,开始在自己内部组建无线网络。这种企业有规划的搭建的热点,称为合法热点。
从安全的角度讲,合法热点应该是企业内的唯一可用热点,其他热点,都可能会给企业的网络安全带来危险,不应该允许其存在或者是不允许本企业终端进行连接。
合法热点也存在安全隐患,如:弱口令、加密等级不足等,容易被黑客通过热点进入企业内部网络,造成信息泄露、被篡改等严重后果;合法热点也可能会遭受到DDoS等攻击,导致热点无法提供正常服务。
2.2 非企业自建热点
除企业自建热点外的所有热点,统称为非企业自建热点,又可分为以下几类。
2.2.1 其他企业热点
由于无线网络的穿透性和边界不确定性,在某些邻近的企业,无线网络可能会互相覆盖,也就是说在A企业可能会找到B企业的热点,在B企业也可能会找到A企业的热点。
这种热点对本企业的网络安全来说,有两方面的问题。一是本企业员工,是否缺乏安全意识,而去连接这种外单位热点。二是对方单位的热点,是否本身有安全问题,如:已经被人攻破等。
如果对方单位的热点已经被攻破,而本单位人员,又连接了这种热点,那么就有可能会造成信息泄露,或者是被黑客通过这台终端入侵企业内部网络。
2.2.2 员工自建热点
随身WiFi产品种类越来越多,使用越来越方便,只要插到有网络的电脑终端上,即可分享一个跟此网络连通的WiFi;在有无线网卡的终端上,很多终端工具也提供了分享WiFi的工具。在如此方便的情况下,很多企业的员工,有意或者无意间,就在自己的终端上建立了WiFi,而这些WiFi的安全性很难保证,包括使用弱密码、加密等级低等。
黑客很容易利用这种WiFi进入企业网络内部,进而盗窃或者篡改企业业务数据,造成严重后果。
2.2.3 恶意热点
除以上热点外,一些攻击者还可能会故意在企业周围建立恶意热点,采用与企业热点相同的名称,使企业员工的终端在有意或者无意间试图连接该热点。
而攻击者可以通过该热点的流量分析,获取企业内部信息,甚至通过入侵该终端,进入企业内部网络。
综上所述,在企业内,可能出现很多种热点,这些热点有企业内部合法建立的,也有其他原因建立在企业内可访问的,各种热点都存在不同的安全隐患和问题,为了企业信息安全,必须做好切实的防护工作,避免由于无线网络导致安全问题。
三. 无线安全防护的必要性
从上一章描述可以得知,任何单位都可能会被无线网络覆盖,包括自己建立的,也包括非自己建立的,这些无线网络对本单位的安全都会带来一定的影响,必须采取相应的防护措施。
军队-军队管理比较严格,网络与互联网物理隔离,没有建立自己的无线网络。无线网络给军队带来的问题主要在于军队内部终端私建立了热点,这种热点就有可能会被附近的攻击者利用入侵军队内网;军队内部的有些终端,还可能会连接到附近攻击者搭建的恶意热点,流量被攻击者截获,从而造成信息泄露。
政府/金融-政府和金融的网络相对于军队要宽松一些,一般分为内网和外网,外网可以连接互联网,内网与外网逻辑隔离。目前大部分的政府和金融单位已经开始在外网和内网建立无线网络,因此政府网络除了受到与军队同样的私建热点、连接恶意热点外,还需要考虑无线网络的攻击防护。
央企-央企的网络管理更宽松一些,无线网络基本都已建设完毕。因此,与金融类似,影响央企网络安全的无线问题,主要就包括了针对央企本身建立的无线网络的攻击、央企员工在央企内部私搭乱建的热点以及员工终端连接到了恶意热点。
综上所述,以上各行业信息安全,都会受到无线网络的影响,必须采取相应的无线安全防护措施。
四. 当前防护手段不足
目前各企业的信息安全都或多或少的受到了无线网络的威胁,必须采取相应的防护措施,但绝大部分企业的防护手段还仅限于无线设备本身的一些安全配置,如:设置更强的密码、采用更安全的加密模式、隐藏热点名称等等,但这些还不足以应付目前的无线网络威胁,主要有以下几方面问题。
4.1 缺少持续的检测工具
目前很多企业,还不具有持续、稳定运行的检测无线网络安全情况的工具。
无法长期关注整个无线网络安全情况,对于出现偶然性比较大的非法热点,无法做到及时发现和阻断。
某些企业在某个特定的时期,会进行无线网络的安全检查,检测安全情况、是否有非法热点等等,但这种做法,很难形成一种常态。
4.2 缺少有效的防护措施
对于针对无线网络的各种攻击,缺少有效的发现和防护措施,无法及时发现和阻断攻击。
当AP遭受泛洪攻击时,目前很多企业,都是被攻击到网络无法使用的时候,才会发现和进行相应处理。
对于钓鱼热点攻击,几乎没有发现的手段。从而造成某些终端无意之间连接到了钓鱼热点,造成信息泄露。
4.3 缺少必要的审计手段
企业无线网络内发生的安全事件,还不具有有效的审计手段。
当发生了安全事件后,如:某些终端是否私自建立过WiFi,某些终端是否连接过非法热点,AP是否遭受到过攻击等等,对于事后的审计和追踪,缺乏必要的数据支持和处理手段。
基于以上描述,目前的手段,还无法保护企业不受无线网络的威胁,需要寻找新的防护手段。
五. 无线网络防护的基本要求
5.1 安全情况评估
管理员需要随时了解本企业无线网络的安全情况,如:有没有受到攻击、企业范围内是否有恶意热点等,并以直观的方式展示。
当网络内出现异常情况时,管理员应该可以及时收到相关的告警和提示处理信息。
5.2 及时发现热点
热点是无线网络的主要组成部分,由于无线网络的穿透性和不可见性,无论是自己合法组建的热点或者是其他热点,都会覆盖本单位。对于单位范围内出现的这些热点,要能够及时发现,并定位其位置,以便进行下一步的安全防护工作。
5.3 热点精确阻断
对于在单位范围内发现的热点,需要能够通过设置黑白名单、行为甄别等手段,来区分哪些是正常热点,哪些是恶意热点,对恶意热点进行精确阻断,且不能影响到正常热点的使用。
5.4 攻击行为检测
对于自身已经建设无线网络的单位,针对无线网络的攻击行为的检测和防御,占有非常重要的地位。保证无线网络安全的关键任务是持续关注企业当前无线网络的安全状况,要能够持续捕获当前无线环境中所有的数据流量,并将数据流量进行安全性分析,针对无线网络数据链路层的无线网络攻击行为进行精准识别。一旦发现恶意行为立即采取相应措施,进行告警或者压制,达到实时监测的目的
以上几点,是无线网络防护的基本要求,只有达到这几点,才能确保企业范围内只存在合法热点,终端也没有机会连接非法热点,且在本企业无线网络遭受攻击时,可以及时发现及时处理。
六. 360天巡无线入侵防御系统
针对目前无线网络的发展形势,无线网络存在的安全问题和现在防护手段的不足,360推出了无线入侵防御系统—天巡。
天巡基于无线入侵检测、无线数据分析、恶意热点阻断等先进技术,以守护无线网络边界为核心任务,构建“事前全面监测、事中精准阻断、事后全维追踪”的无线入侵防护体系,围绕无线网络环境中的关键设备即热点与终端,进行相应的安全措施增强,为用户提供切实落地可执行的无线网络边界安全解决方案。
6.1 产品概述
360天巡广泛应用于有内网数据安全需求的军队、企业、党政机关和其他领域有安全需求的客户群。产品从无线攻击者的角度进行产品设计,以数据捕获能力、协议分析能力为基础,可以精准识别攻击行并快速对威胁进行响应,不间断地对无线网络进行监测并将无线入侵拒之门外,保护企业无线网络边界安全;快捷、直观、全面的管理方式提高管理效率、降低管理难度,可协助企业无线网络管理员了解无线网络状况、为企业的无线网络安全建设和防御提供决策依据;简易的部署方式不改变用户原有网络结构,节省用户投资,独立的无线无线收发引擎设备为企业提供更专注更高效的安全保护。360天巡是一款轻部署、强安全、易管理的新一代企业级无线网络安全防御系统。
360天巡的产品理念是以无线攻防思维,为客户构建全面的无线入侵防护体系,切实守护企业无线边界安全。
6.2 产品架构
360天巡主要由中控服务器、无线收发引擎组成。管理员通过访问web管理平台,能够及时发现是否存在私建热点、伪造热点等违规行为,及时对可疑热点进行阻断和定位,将无线网络安全威胁拒之门外。同时系统提供热点分布概况分析、客户端连接热点趋势分析以及安全事件汇总等核心数据,帮助企业制定更加有针对性的无线网络防护策略。
360天巡产品构成如图1所示:
图 1 天巡产品构成图
其中,产品硬件主要由以下两部分组成:
1)360天巡中控服务器
2)360天巡无线收发引擎
6.3 产品优势
6.3.1 无线入侵实时监测
保证无线网络安全的关键任务是持续关注企业当前无线网络的安全状况,天巡通过部署在企业内部的高性能无线数据无线收发引擎装置,持续捕获当前无线环境中所有的数据流量,并将数据流量实时传输到中控服务器进行安全性分析。
中控服务器内置无线威胁感知引擎,可将接收到的数据与无线攻击特征库进行智能比对,能够针对无线网络数据链路层的无线网络攻击行为进行精准识别。一旦发现恶意行为立即通知无线收发引擎采取相应措施,将威胁抑制在攻击发生之前,达到实时监测的目的。同时,针对建立钓鱼热点进行钓鱼攻击等恶意行为,无线威胁感知引擎通过热点安全策略关联性分析技术,也能进行有效识别,使潜伏在无线网络中的各种威胁无处可藏。
6.3.2 恶意热点精确阻断
WiFi热点是无线网络中转发数据的重要设备,一旦热点被劫持或其本身就是作为攻击手段而被建立的,那么该热点即为恶意热点。对于恶意热点的防范措施而言,有效而精准的无线热点阻断方式作为抑制攻击的防御手段,在无线入侵防御系统中是不可或缺的。360天巡的阻断方式有别于其他无线入侵方式系统所使用的射频干扰技术进行范围大、辐射强的阻断,天巡使用技术领先的协议阻断机制进行精准且智能的恶意热点阻断方式。通过热点阻断,可允许企业所在无线网络区域内某些特定的热点可用,而其他无线热点不可用,该阻断策略分为手动阻断和自动阻断两种模式,用户可自定义设置。
6.3.3 安全事件智能告警
对于一款无线入侵防御产品来说,监测到无线攻击事件发生或检测到恶意热点存在时,向管理员提供告警信息已经是十分普遍的做法。但同时也带来一个问题就是,告警信息过多,管理员疲于应付每天系统向他发出的各种告警,这些告警大多是没有经过过滤和分析过的无用告警,有些则是真正需要被管理员注意到且需要处理的问题,但这些真正的问题很可能被淹没在大量的无用告警信息之中。
360天巡无线入侵防御系统搭载事件分析与告警引擎,能够对天巡中控服务器上报的安全事件进行分析和筛选,并在此基础上将事件按照安全策略设定的严重级别进行分类,筛选后告警信息将通过邮件提醒、首页提示和告警日志展示三种方式展现给管理员。这样无用的安全事件告警信息将大大减少,同时管理员在360天巡管理界面就可以看到他真正关注的无线安全事件。360天巡事件分析与告警引擎有效降低无线安全事件误报率、极大提高管理员工作效率、降低维护工作量,让事件告警更智能。
6.3.4 黑白名单智能管控
无线入侵防御系统的主要工作方式分为监测、识别和阻断三个阶段。监测功能大多由系统自动完成,但绝大多数无线入侵防御系统的识别与阻断功能,尤其是阻断都是由管理员手工完成的:对于系统监测到的攻击事件发生或存在恶意热点,系统可以向管理员发出告警提示,并由管理员进行处理。但传统解决方案存在的一个很大的问题就是:
工作强度大
为了及时处理系统监测的攻击事件(尤其攻击者喜欢在半夜进行攻击),管理员甚至需要7*24小时值班进行看管。
工作难度高
管理员需要持续的在大量热点与终端中进行手工排查,查看当前无线网络中是否存在的非法热点或终端。
360天巡从管理者角度出发,向用户提供热点及终端黑白名单管理功能,首先管理员根据企业安全策略对企业当前无线网络环境内的热点及终端进行分类,属于企业内部热点和终端的就划分至白名单,安全属性未知的则划分至未知名单中,有可疑行为的热点或终端则划分至黑名单中。同时系统也将根据安全策略进行自动监测,并将监测到的热点或终端按以上分类方式进行区别对待,在设置自动阻断前提下,系统可自动阻断和隔离黑名单中的热点及终端,这样可大大提高管理员排查和阻断的工作效率。
6.3.5 安全审计报表
对于企业来说,报表不仅是为了向上级进行工作汇报,更需要通过报表中的数据反映出实际的问题和应对的策略。但目前绝大多数同类产品轻视报表的重要性,甚至没有报表功能。有的产品所产生的报表仅仅是一份堆叠原始采集数据的Excel表(例如日志数据、安全事件数据、告警信息等)或是毫无意义的大段文字。管理员面对这样的审计报表很难发挥报表应有效果。
360天巡可根据管理员的需求灵活生成无线安全威胁报告,并可在生成后自动发送至管理员邮箱,方便管理员抄送至领导邮箱,提高管理员工作效率。同时管理员也可查看过往已生成的报告。无线安全威胁报告包括安全概览、恶意热点处理、恶意热点分布、无线攻击分布和安全小结。安全概况可帮助读者通过整体安全指数快速概览当前企业无线安全状态,并可知道哪个区域安全指数最高、哪个区域安全指数最低以及恶意热点和无线攻击的趋势是如何的。恶意热点(攻击事件)处理及分布概况向读者展示报告周期内,热点及攻击事件的处理状况和分布情况,帮助管理员进行有针对性的排查。由于系统支持分布式多区域的部署方式,因此管理员可选择指定区域详细查看该区域的无线安全状况,可以根据报表中的安全小结采取相应措施。
6.3.6 无线网络状况展示
传统的无线入侵防御系统或国内其他安全类产品对于事件的描述方式大多为列表文字化的方式,并且按时间由远及近的排序。满足业务需求永远是传统安全产品的首要任务,管理员似乎也逐渐接受这种古老的单一维度的展现方式。360作为国内最大的互联网安全企业,深谙应如何向用户提供更好的产品,满足用户需求是基本,提高用户体验才能让用户更好的使用产品。360天巡在设计之初便清楚,满足业务需求与提高用户体验都是天巡的职责所在。
360天巡将互联网产品设计模式引入传统企业安全产品领域,创新性的运用多种统计方式为管理员从多方面展现无线网络状况。系统利用分数及颜色的直观变化,展现当前区域的无线安全变化情况,并在区域存在风险情况下以分类的形式向管理员描述系统当前存在哪些风险。同时饼状图、柱状图以及趋势图等也为管理员展现不同设备在当前区域内的状态。当管理员拥有天巡,便可将整个企业内部的无线网络安全概况尽收眼底。
6.3.7 多区域分级管理
随着业务的不断发展,企业的办公环境不再局限于一个地方,企业面积不断扩大、办公区域逐渐增多、跨省市甚至国家的驻外办公机构或分公司也不在少见,对企业来说,无线安全的分级管理势在必行。
360天巡率先在无线安全入侵防御类产品中支持基于人员与角色的多中控、多区域的管理架构,能够极大简化区域管理。通过这种管理架构,可将原本各自孤立的无线安全孤岛连接起来,既能使企业总部的安全策略能够顺利上传下达,各分部区域内又可以灵活管理。使整个企业的无线网络安全管理效果不因地域而受限,不因人员而不同。同时为了避免管理“越界”,企业可以定义基于角色的无线安全管理机制,每个管理员仅能对属于自己的区域及功能进行管理。
6.3.8 精确定位跟踪
企业部署无线网络后,管理员通过传统的无线入侵监测系统监测到恶意热点、违规使用的终端或无线攻击事件时,面临的最大难题就是如何快速定位热点、终端和攻击事件发生的源头,因为找到事件发生源头是追查无线网络攻击发生的重要手段。
360天巡配合区域管理功能,可在指定区域导入包含必要物理信息的平面结构图,并将该区域所分配的无线收发引擎部署至相应区域中,天巡使用无线收发引擎三点定位技术以及数据挖掘算法,对无线收发引擎覆盖范围内的无线热点及终端进行精确定位,以帮助企业管理员能够快速的跟踪威胁热点或设备,或定位无线攻击事件发生的源头,并采取行动消除安全隐患。
6.3.9 产品独立部署
传统的无线入侵防御系统使用无线接入(AP)在其空余时检测无线局域网,并对异常信号进行阻断,响应实时性及效率均不理想,并且需要全部部署带有无线防御功能的AP。而360天巡采用独立的分布式部署无线收发引擎的方式,不改变企业原有网络配置和无线网络性能,能做到基本实时探测和阻断无线热点,响应速度和效率均优于传统的无线入侵防御系统。
6.4 主要功能
6.4.1 无线热点阻断
WiFi热点是无线网络中转发数据的重要设备,一旦热点被劫持或其本身就是做为攻击手段而被建立的,那么该热点即为恶意热点。对于恶意热点的防范措施而言,有效而精准的无线热点阻断方式作为抑制攻击的防御手段,在无线入侵防御系统中是不可或缺的。360天巡的阻断方式有别于其他无线入侵方式系统所使用的射频干扰技术进行范围大、辐射强的阻断,天巡使用技术领先的协议阻断机制进行精准且智能的恶意热点阻断方式。通过热点阻断,可允许企业所在无线网络区域内某些特定的热点可用,而其他无线热点不可用,该阻断策略分为手动阻断和自动阻断两种模式,用户可自定义设置。
6.4.2 无线攻击检测
保证无线网络安全的关键任务是持续关注企业当前无线网络的安全状况,天巡通过部署在企业内部的高性能无线数据无线收发引擎装置,持续捕获当前无线环境中所有的数据流量,并将数据流量实时传输到中控服务器进行安全性分析。
中控服务器内置无线威胁感知引擎,可将接收到的数据与无线攻击特征库进行智能比对,能够针对无线网络数据链路层的无线网络攻击行为进行精准识别。一旦发现恶意行为立即通知无线收发引擎采取相应措施,将威胁抑制在攻击发生之前,达到实时监测的目的。同时,针对建立钓鱼热点进行钓鱼攻击等恶意行为,无线威胁感知引擎通过热点安全策略关联性分析技术,也能进行有效识别,使潜伏在无线网络中的各种威胁无处可藏。
6.4.3 安全策略设置
非白即黑策略,启用该策略后,把本企业的合法热点全部加入白名单,则所有白名单之外的热点,都会被自动阻断。
报警策略,可以定义安全事件的报警级别,报警方式等。
6.4.4 无线安全评估
天巡可以对企业的无线网络安全情况进行评估,主要有以下几点依据。
无线热点的安全性设置。针对已经添加在白名单中的热点,热点加密等级、鉴权方式、快速连接、是否为隐藏热点等,都会影响到无线网络的安全评分。
覆盖范围内热点情况。如果在天巡的覆盖范围内,出现有恶意热点,或者未知热点,也会影响到无线网络的安全评分。
无线攻击情况。如果无线网络收到诸如:泛洪攻击、暴力破解密码等攻击时,都会影响到无线网络的安全评分。
6.5 产品部署
6.5.1 部署架构
360天巡的硬件包括中控服务器和无线收发引擎,需要确保两者网络可连通。无线收发引擎必须以有线的方式,接入POE交换机。
如图2所示:
图 2 部署架构
中控服务器,放置在机房,通过网络与无线收发引擎可达即可。
Web管理平台部署在中控服务器上,为B/S架构,凡是与中控服务器连通的终端,都可以通过浏览器访问。
无线收发引擎需要根据企业实地情况,进行安装部署,下个小节具体描述。
6.5.2 无线收发引擎部署
360天巡的第二代无线收发引擎,可覆盖范围为300-1000平方米(半径约10-30m)。具体情况,与无线收发引擎周边的建筑结构相关,比如:是否有墙、是否承重墙、是否有干扰无线信号的设施或者建筑物等。为了覆盖全企业,需要的无线收发引擎数量,需要进行工勘后,才能最终确定。
无线收发引擎的安装位置,以能够无死角全覆盖为基准原则,兼顾美观和实施方便。
图3 无线收发引擎部署场景
6.5.3 网络部署
为了确保天巡的稳定运行和自身安全,无线收发引擎必须以有线的方式,连接到交换机。在无线收发引擎位置选定后,需要进行施工布线。
无线收发引擎可以使用PoE和普通电源供电两种方式。
在企业交换机支持PoE供电口充足的情况下,推荐使用PoE供电,如没有支持PoE供电的交换机或者接口不足,需要考虑为无线收发引擎部署供电的电源线。
6.5.4 部署示例
某客户楼层面积长40米,宽30米,一端为实体墙隔离的办公室,一端为玻璃墙隔开的会议间,中间有两条承重梁。
为了达到无死角覆盖和准确定位热点位置的目的,本楼层计划部署4台天巡无线收发引擎。网线按照该客户规定,沿网线管道进行。
如图4所示:
图4 物理部署图
七. 技术支持体系
360企业安全集团-北京总部
地址:北京市朝阳区酒仙桥路6号院2号楼 100015
360企业安全集团-上海分公司
地址:上海市浦东新区张江镇浦东软件园郭守敬路498号11号楼101室
360企业安全集团-广州办事处
地址:广州市天河区珠江新城江东路32号利通广场2202
360企业安全集团-珠海分公司
地址:珠海市九洲大道西2021号富华里中心写字楼(中海大厦)A座19楼
360企业安全集团-成都办事处
地址:成都高新区天府软件园E1座11楼24号
360企业安全集团-西安办事处
地址:西安市高新区锦业路绿地领海大厦B座16层
入侵防御TOPIDP之IPS产品分析 学院:计算机科学与工程学院 年级:大三 学号: 姓名: 专业:信息安全 2013.11.15
摘要 本文介绍了天融信公司开发的入侵防御系统I P S的产品特点、功能、特性以及应用等,使读者对I P S有一个简要的概念。 关键词:特点;特性:功能;
目录 摘要..............................一产品厂家 二产品概述 三产品特点 四产品功能 4、1 入侵防护 4、2 DoS/DDoS防护 4、3 应用管控 4、4 网络病毒检测 4、5 URL过滤 五产品特性 六产品应用 6、1 典型部署 6、2 内网部署 七结论
一、产品厂家 北京天融信网络安全技术有限公司1995年成立于中国信息产业摇篮的北京,十八年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。 天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,降低安全风险,创造业务价值。 ●构建可信网络安全世界 ●中国安全硬件市场领导者 ●快速成长的安全管理业务 ●互联网安全云服务的开拓者 ●实现安全的业务交付 ●安全研究与前沿探索 ●技术创新引领发展 ●国家安全企业责任 二、产品概述 天融信公司的网络卫士入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。 TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作,不断跟踪、挖掘和分析新出现的各种漏洞信息,并将研究成果直接应用于产品,保障了TopIDP产品检测的全面、准确和及时有效。
蓝盾入侵防御(BD-NIPS)系统技术白皮书 蓝盾信息安全技术股份有限公司
目录 一、产品需求背景 (3) 二、蓝盾入侵防御系统 (4) 2.1概述 (4) 2.2主要功能 (5) 2.3功能特点 (8) 2.3.1固化、稳定、高效的检测引擎及稳定的运行性能 (8) 2.3.2 检测模式支持和协议解码分析能力 (8) 2.3.3 检测能力 (9) 2.3.4 策略设置和升级能力 (11) 2.3.5 响应能力 (12) 2.3.6管理能力 (13) 2.3.7 审计、取证能力 (14) 2.3.8 联动协作能力 (15) 三、产品优势 (16) 3.1强大的检测引擎 (16) 3.2全面的系统规则库和自定义规则 (16) 3.3数据挖掘及关联分析功能 (16) 3.4安全访问 (16) 3.5日志管理及查询 (17) 3.6图形化事件分析系统 (17) 四、型号 (18)
一、产品需求背景 入侵防御系统是近十多年来发展起来的新一代动态安全防范技术,它通过对计算机网络或系统中若干关键点数据的收集,并对其进行分析,从而发现是否有违反安全策略的行为和被攻击的迹象。也许有人会问,我已经使用防火墙了,还需要入侵防御系统吗?答案是肯定的。 入侵防御是对防火墙及其有益的补充,入侵防御系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与在线防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵防御被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 有了入侵防御系统,您可以: ?知道是谁在攻击您的网络 ?知道您是如何被攻击的 ?及时阻断攻击行为 ?知道企业内部网中谁是威胁的 ?减轻重要网段或关键服务器的威胁 ?取得起诉用的法律证据
第9章入侵检测系统1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。
IPS原理 防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS 系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。 IPS工作原理 IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。 针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。 过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。 IPS的种类 * 基于主机的入侵防护(HIPS) HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品,因此它们在防范红色代码和Nimda的攻击中,起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取
●版权声明 Copyright ? 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。 未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (4) 2产品特点 (4) 3产品功能 (12) 4产品资质............................................................................. 错误!未定义书签。
1产品概述 网神SecIPS 3600入侵防御系统(简称:“网神IPS”)将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库,可检测防护3000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有丰富的上网行为管理,可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而,很好地提供了动态、主动、深度的安全防御。 2产品特点 网神IPS的完善体系结构包括两大部分:强化安全的专用操作系统和模块化硬件系统。以下分别介绍这两大部分。 高效的体系结构 在平台优化的核心技术方面,主要有以下三个方面。 1)零拷贝技术 数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝,有效地减少内存存取次数。 2)核心层优化 所有报文的解析与比对都由核心层(Kernel)进行,完全不用通过核心层与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。
第9章入侵检测系统 1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校
入侵防御系统的功能是:简单来说,它能够监视网络或网络设备的网络资料传输行为的计算机网络完全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行。选择入侵防御系统很重要,一定要找专业从事网络安全与服务的高科技公司。入侵防御系统的功能下面就详细介绍一下,这里以铱迅品牌的入侵防御系统做案例: 铱迅入侵防御系统(英文:Yxlink Intrusion Prevention System,简称:Yxlink IPS),是铱迅信息结合多年在应用安全理论与新一代动态检测防御实践经验积累的基础上,自主研发的一款应用级入侵防御系统,它可以在线地检测网络和系统资源,发现攻击后能够实施有效的阻断,防止攻击到达目标网络或主机。可给您网络中的各网络单元提供2-7层的全方位的保护,为网络提供深层次的、有效的安全防护。 铱迅入侵防御系统致力于解决黑客攻击、蠕虫、网络病毒、后门木马等恶意流量带来的信息系统侵害,广泛适用于“政府、金融、运营商、公安、能源、工商、社保、交通、卫生、教育、电子商务”等所有涉及网络应用的各个行业。部署铱迅入侵防御系统产品,可以帮助客户主动防护网络、主机系统,为用户的信息安全提供最大的保障。 万兆高并发与请求速率处理技术 铱迅入侵防御系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。
庞大内置特征库 特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。 铱迅入侵防御系统装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。 攻击碎片重组技术 通过铱迅入侵防御系统独有的碎片包重组技术,可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.doczj.com/doc/767157104.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
网络卫士入侵防御系统 配置案例 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/767157104.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印? 2009天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.doczj.com/doc/767157104.html,
目录 前言 (3) 文档目的 (3) 读者对象 (3) 约定 (4) 相关文档 (4) 技术服务体系 (4) 配置导入、导出 (6) 配置导出 (6) 基本需求 (6) 配置要点 (6) WEBUI配置步骤 (6) 配置导入 (7) 基本需求 (7) 配置要点 (7) WEBUI配置步骤 (8) 在线升级 (9) 基本需求 (9) 配置要点 (9) WEBUI配置步骤 (9) 注意事项 (10) 规则库升级 (11) 基本需求 (11) 配置要点 (11) WEBUI配置步骤 (11) 注意事项 (12) TOPIDP快速简易配置 (14) 基本需求 (14) 配置要点 (14) WEBUI配置步骤 (14) 注意事项 (17) 应用协议控制-BT (18) 基本需求 (18) 配置要点 (18) WEBUI配置步骤 (18) 注意事项 (20) 以IDS方式接入 (21) 基本需求 (21) 配置要点 (21) WEBUI配置步骤 (21) 注意事项 (24) IPS策略+防火墙功能 (25) 基本需求 (25) 配置要点 (25)
H3C SecPath T 系列入侵防御系统 配置指南
前言 本书简介 本手册主要介绍H3C SecPath T 系列入侵防御系统的产品概况、安装前的准备、安装过程、设备启动以及常见问题处理。在安装设备的过程中,为避免可能出现的设备损坏和人身伤害,请仔细阅读本手册。本手册各章节内容如下: ?第1 章产品介绍。介绍了设备的概况、产品外观、产品规格以及接口。 ?第2 章接口模块。介绍设备支持的接口模块规格、外观、指示灯含义、接口属性和连接电缆。 ?第3 章安装前的准备。介绍设备安装前的准备工作及相关的安全注意事项。 ?第4 章设备安装。介绍设备的安装、线缆的连接以及安装后的检查。 ?第5 章设备启动及软件升级。介绍设备初次上电时的启动过程以及升级软件的方法。 ?第6 章常见问题处理。对设备操作过程的常见问题进行故障说明及故障处理。 本书约定 1.命令行格式约定 2.图形界面格式约定
3.各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下: 。
目录 1 产品介绍............................................................................. 1-1 1.1 产品概述............................................................................ 1-1 1.2 产品外观及指示灯说明................................................................ 1-1 1.2.1 T200/T200-E产品外观 .......................................................... 1-1 1.2.2 T200-A/M/S产品外观 ........................................................... 1-3 1.2.3 T1000-A/M/S/C产品外观 ........................................................ 1-6 1.3 产品规格............................................................................ 1-8 1.3.1 处理器和存储器................................................................ 1-8 1.3.2 外形尺寸和重量................................................................ 1-9 1.3.3 固定接口和槽位数............................................................. 1-10 1.3.4 输入电源..................................................................... 1-11 1.3.5 工作环境..................................................................... 1-12 1.4 产品组件........................................................................... 1-12 1.4.1 处理器及存储器............................................................... 1-12 1.4.2 各类接口..................................................................... 1-13 1.4.3 USB接口..................................................................... 1-19 1.4.4 扩展接口卡(选配)........................................................... 1-19 1.4.5 RPS电源(选配)............................................................. 1-19 2 接口模块............................................................................. 2-1 2.1 4GBE/8GBE ...................................................................................................................................... 2-1 2.2 4GBP ................................................................................................................................................. 2-3 2.3 GT4C ................................................................................................................................................. 2-5 2.4 GX4C................................................................................................................................................. 2-7 3 安装前的准备......................................................................... 3-1 3.1 通用安全注意事项.................................................................... 3-1 3.2 检查安装场所........................................................................ 3-1 3.2.1 温度/湿度要求.................................................................. 3-1 3.2.2 洁净度要求.................................................................... 3-1 3.2.3 防静电要求.................................................................... 3-2 3.2.4 抗干扰要求.................................................................... 3-2 3.2.5 防雷击要求.................................................................... 3-2 3.2.6 接地要求...................................................................... 3-3 3.2.7 布线要求...................................................................... 3-3 3.3 激光使用安全........................................................................ 3-3 3.4 安装工具............................................................................ 3-3 4 设备安装............................................................................. 4-1 4.1 安装前的确认........................................................................ 4-1 4.2 安装流程............................................................................ 4-2
网络卫士入侵防御系统 安装手册 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/767157104.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印 ?2011 天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.doczj.com/doc/767157104.html,
目录 1前言 (1) 1.1文档目的 (1) 1.2读者对象 (1) 1.3约定 (1) 1.4相关文档 (2) 1.5技术服务体系 (2) 2安装网络卫士入侵防御系统 (3) 2.1系统组成与规格 (3) 2.1.1系统组成 (3) 2.1.2系统规格 (3) 2.2系统安装 (3) 2.2.1硬件设备安装 (3) 2.2.2检查设备工作状态 (4) 2.3登录网络卫士入侵防御系统 (4) 2.3.1缺省出厂配置 (5) 2.3.2通过CONSOLE口登录 (6) 2.3.3设置其他管理方式 (8) 2.3.4管理主机的相关设置 (10) 2.3.5通过浏览器登录 (11) 2.4恢复出厂配置 (11) 3典型应用 (13) 3.1部署在防火墙前 (13) 3.2部署在防火墙后 (13)
1前言 本安装手册主要介绍网络卫士入侵防御系统(即TopIDP)的安装和使用。通过阅读本文档,用户可以了解如何正确地在网络中安装网络卫士入侵防御系统,并进行简单配置。 本章内容主要包括: ●文档目的 ●读者对象 ●约定 ●相关文档 ●技术服务体系 1.1文档目的 本文档主要介绍如何安装网络卫士入侵防御系统及其相关组件,包括设备安装和扩展模块安装等。 1.2读者对象 本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: 初次使用和安装网络卫士入侵防御系统。 管理网络卫士入侵防御系统。 1.3约定 本文档遵循以下约定: 1)命令语法描述采用以下约定, 尖括号(<>)表示该命令参数为必选项。 方括号([])表示该命令参数是可选项。 竖线(|)隔开多个相互独立的备选参数。 黑体表示需要用户输入的命令或关键字,例如help命令。 斜体表示需要用户提供实际值的参数。 2)图形界面操作的描述采用以下约定: “”表示按钮。
网络入侵防护方案 合肥中方网络安全公司 2013年4月22日
文档说明 非常感谢上海
目录 1
5.6DAP阶段二——30天 (19) 5.7DAP阶段三——1天 (20) 6IntruShield网络入侵防护产品简介 (21) 6.1网络攻击特征检测 (21) 6.2异常检测 (22) 6.3拒绝服务检测 (23) 6.4入侵防护 (24) 6.5实时过滤蠕虫病毒和Spyware间谍程序 (26) 6.6虚拟IPS (27) 6.7灵活的部署方式 (28)
天融信产品白皮书网络卫士入侵防御系统 TopIDP系列
网络卫士入侵防御系统 TopIDP 天融信公司为了满足市场上用户对入侵防御产品的需求,推出了“网络卫士入侵防御系统TopIDP”。它是基于新一代并行处理技术开发的网络入侵防御系统,通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。 TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台,保证了TopIDP 产品更高性能地对网络入侵进行防护。TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。入侵防御策略库随时防护目前业内最流行的入侵攻击行为。与现在市场上的入侵防御系统相比,TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向,堪称网络入侵检测和防御系统的典范。 强大的高性能多核并行处理架构 TopIDP产品采用了先进的多核处理器硬件平台,将并行处理技术成功地融入到天融信自主知识产权操作系统TOS(Topsec Operating System)系统,集成多项发明专利,形成了先进的多核并发运算的架构技术体系。在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任高速网络的安全防护要求。
图1 多核CPU内部运算示意图 ●精确的基于目标系统的流重组检测引擎 传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击,任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器主机上形成真正的攻击。TopIDP产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。 ●准确与完善的检测能力 TopIDP产品的智能检测引擎可分析网络攻击的组合行为特征来准确识别各种攻击,准确性更高;可以智能地识别出多种攻击隐藏手段及变种攻击,带来更高安全性;通过智能化检测引擎,能够识别出多种高危网络行为,并可以将此类行为以告警方式通知管理员,达到防患于未然的目的,带来更高网络安全性;同时新版TopIDP具有强大的木马检测与识别能力;完善的应用攻击检测与防护能力;丰富的网络应用控制能力和及时的应急响应能力。
小型网络入侵防御系统的技术研究和实现 王新留 谷利泽 杨义先 北京邮电大学网络与交换技术国家重点实验室 信息安全中心 100876 wxl322520@https://www.doczj.com/doc/767157104.html, 摘要:针对小型网络的安全防御问题,利用开源IDS(Intrusion Detection System)-Snort,设计了一种IDS告警的融合、过滤机制,实现了IDS和防火墙的智能化联动,并且在入侵检测中成功引入漏洞扫描技术。通过将入侵检测技术、防火墙技术和漏洞扫描技术三者融合在一起,本文构建出一种适用于小型网络的入侵防御系统。 关键词:IDS,IPS,防火墙,漏洞扫描,Snort Research and implementation on small-typed network Intrusion Prevention System Wang XinLiu Gu Lize Yang Yixian Information Security Center, State Key Laboratory of Networking and Switching Technology, Beijing University of Posts and Telecommunications 100876 wxl322520@https://www.doczj.com/doc/767157104.html, Abstract: Focusing on the problem of small-typed network security prevention, using the open source IDS(Intrusion Detection System)-Snort, a kind of mechanism for fusing and filtering IDS’s alerts is designed, the intelligent interaction between Snort and firewall is completed, and the vulnerability scanning technology is successfully introduced into the intrusion detection. Through integrating IDS, firewall, and vulnerability scanning technology together, an Intrusion Prevention System for small-typed network is built by this paper. Key words: IDS, IPS, firewall, vulnerability scanning, Snort 1 引言 网络安全是一个系统的概念,有效的安全策略和整体解决方案的制定是网络信息安全的首要目标。IDS、防火墙等安全产品的简单堆垒在当前的威胁和攻击面前变得越来越脆弱。因此,对安全产品的整合,逐渐被人们所关注,从IDS和防火墙的联动发展起来的入侵防御系统(Intrusion Prevention System, IPS)脱颖而出。IPS是指不但能检测入侵的发生,而且能通过一定的响应方式,实时中止入侵行为的发生和发展,实时保护信息系统不受攻击的一种智能化的安全产品[2]。它的出现弥补了防火墙及入侵检测系统单一产品的不足。 目前,一些研究人员研究实现了基于Snort与防火墙联动的入侵防御系统。其原理是:当Snort 检测到入侵事件时,就往防火墙中动态添加防御规则,实时阻止入侵事件的发生。这很大程度上弥补了防火墙和入侵检测系统单一产品的不足,并能实时中止入侵行为。但是它们并没有引入好的告警融合、过滤机制,加上Snort的误报,这种简单的联动方式会造成防火墙中的阻塞规则过多,严
入侵防御系统是位于防火墙和网络之间的设备,一般用于数据包传输的检测过滤,保护企业网络文件传输的安全性,以防被盗取或者有非法入侵的文件。为了企业的正常运营入侵防御系统是十分重要的,那么铱迅的入侵防御系统有哪些功能呢?下面简单的来了解一下吧。 产品功能 强大的攻击防御能力: 铱迅入侵防御系统提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。 铱迅入侵防御系统是网络拓扑的一部分,而不仅是一个被动的旁路设备,它在线决定数据包的命运,进出被保护网络的数据包都要经过入侵防御系统的深层检查,综合采用多种检测技术,包括特征检测、异常检测、DoS/DDoS检测等,提高入侵检测的准确性,一旦发现入侵,立刻阻断攻击者对攻击目标的访问,从而达到防御攻击的目的。 病毒过滤: 铱迅入侵防御系统具备效率高、灵活的防病毒能力,实现针对HTTP、SMTP、POP3、IMAP、FTP、IM等多种协议的病毒流量监测和控制,及时完成对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。 “铱迅入侵防御系统”系列产品能够识别和检测2-7层网络攻击行为,有效的防范黑客攻击、蠕虫、网络病毒、后门木马、D.o.S 、Shellcode等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。同时用户也可以通过自定义特征码进行防护。 准确的网络流量分析技术:
“铱迅入侵防御系统”系列产品可辨识超过各种网络及应用程序与数据包协议,完全遵循RFC规定,支持IP 破碎数据包辨识与重组。 流量控制: 阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT 产出率和收益率。 异常行为与检测: “铱迅入侵防御系统”产品针对应用层协议提供了细粒度的协议限制功能和协议异常检测功能, 支持的协议包括:HTTP、SMTP、POP3、IMAP和DNS等。”铱迅入侵防御系统”支持对应用级别协议进行异常检测,通过拒绝异常数据包来阻止这些非法的数据包,较大化保障网络安全。 上网行为管理: “铱迅入侵防御系统”能够有效的综合分析应用软件特征和数据内容,能够智能识别各种主流的P2P 下载、QQ即时通信、在线视频、网络游戏和在线炒股等用户上网行为,从而更好地协助企业了解当前的网络应用状况,发现非授权网络流量后进行及时限制或阻断: 1)检测/封锁来自IM/P2P软件的行为及威胁 2)封锁网络游戏程序 3)封锁远端控制软件 4)范围涵盖一般及特殊定制的应用软件 5)可利用子网络群组分别管理和控制