黑盾入侵防御系统技术白皮书

GuideForHeidunIPS黑盾入侵防御系统V3.1技术白皮书福建省海峡信息技术有限公司页重要声明¾本书为【黑盾入侵防御系统】产品配置使用指导手册，其内容将随着产品不断升级而改变，恕不另行通知，如有需要，请从福建省海峡信息技术有限公司网站下载本手册最新版本。本文档由福建省海峡信息技术有限公司于2009年7月最后修订。¾在法律法规的最大允许范围内，福建省海峡信息技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。¾本文档版权归福建省海峡信息技术有限公司所有，并对本文档的内容保留一切权利。未经本公司书面许可，文档中的任何部分不得以任何形式或手段复制、拷贝、传播给其它第三方。¾在法律法规的最大允许范围内，福建省海峡信息技术有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或其他损失），不负任何赔偿责任。¾感谢您购买福建省海峡信息技术有限公司研制开发的“黑盾”系列网络安全产品。请在安装本产品之前认真阅读配套的使用手册，当您开始使用黑盾入侵防御系统时，海峡信息认为您已经阅读了本使用手册。福建省海峡信息技术有限公司地址：福建省福州市北环西路108号邮编：350003电话：086-591-87303710传真：086-591-87303709E-mail:si@mail.si.net.cn版权所有不得翻录黑盾入侵系统防御V3.1技术白皮书第3页目录一、 为什么需要入侵防御系统.....................................................................................................4 1网络安全发展的趋势..................................................................................................................4 1.1网络安全边界概念的模糊............................................................................................4 1.2网络威胁的变化趋势....................................................................................................4 2传统的安全设备能否面对未来安全威胁的挑战？.................................................................6 2.1防火墙能否有效的构筑网络安全边界？....................................................................6 2.2IDS能否面对未来网络安全的挑战？.........................................................................7 3 主动防护手段呼之欲出.......................................................................................................12 3.1IPS应具备的特性.......................................................................................................13 3.2一个完善的IPS系统所应当具备的特征..................................................................14 3.3评估IPS产品的几个误区..........................................................................................15 二、黑盾入侵防御系统（HeidunIPS).............................................................................................16 1 HeidunIPS............................................................................................................................16 1.1HeidunIPS支持的工作模式......................................................................................16 1.2新一代的检测分析技术..............................................................................................18 1.3实时主动的防御能力..................................................................................................19 1.4优异的产品性能..........................................................................................................20 1.5高可用性.....................................................................................................................21 1.6强大的管理和报表功能..............................................................................................21 2部署方式...................................................................................................................................23 2.1IPS的学习适应期.......................................................................................................23 2.2部署IPS的两个阶段..................................................................................................24 2.3完整的部署带来无处不在的防护能力......................................................................26 3HeidunIPS能给用户带来什么.............................................................................................27 三、结束语...........................................................................................................................................28 黑盾入侵系统防御V3.1技术白皮书第4页一、为什么需要入侵防御系统Internet及电子商务的发展和普及给企业带来了前所未有的运作效率，但同时依赖于此的用户们也越来越多的面临着比以往更多的安全问题的困扰。企业的信息资产受到的损害对一个企业而言往往会直接转化成更为直接的影响,诸如客户信心和工作生产力下降等等,由此给用户造成的损失也是不可挽回的。1网络安全发展的趋势1.1网络安全边界概念的模糊移动办公的兴起，vpn的大量应用，P2P、IM的日益普及，原有固定概念中的内外网的逻辑划分被轻易打破，威胁也由单一的内外网之说变得更为多变，不能再用以前的观点来轻易的划分内外，更不能在这种认知的基础之上去考虑未来企业的网络安全架构。配置防火墙目前仍然是防范网络入侵者的主要保护措施，但是，现在出现了越来越多的攻击技术，可以实现绕过防火墙的攻击，随着移动办公设备的广泛应用，90%以上的计算机将有机会面临间谍软件、广告软件、木马和病毒等恶意软件的侵扰。无视此类现实存在的直接后果：将导致重要数据丢失，机器被远程控制，病毒和蠕虫在内网恣意传播。我们正面临的一个困惑：网络安全边界概念用传统的方式无法有效地描述了。1.2网络威胁的变化趋势计算机网络技术的飞速发展，大大改变了人们的生活面貌，促进了社会的发展，同时，网络上的各种攻击行为和用户面临的威胁也发生了很大的变化，目前应该特别注意的是网络攻击技术和攻击工具正在朝下几个方面快速发展。¾转向以谋求利益为目标早期的入侵行为多半是出于好奇、炫耀技术，攻击者并没有强烈的恶意，但近些年来，网络攻击已经明显转变为隐秘的有组织的、以赚取经济利益为目的行为。网络入侵行为也发生了很大的变化，以前常有的那种大规模的单一网络安全事件已不多见，网络攻击者正转向瞄准具体组织进行敲诈勒索的小范围、更秘密的攻击。伴随着这种转变的是更多的恶意软件和钓鱼攻击行为的出现，这些软件通过多种渠道(如恶意网页、邮件、蠕虫、僵尸网络等)侵入用户系统，黑盾入侵系统防御V3.1技术白皮书第5页窃取用户信用卡信息或银行账目细节，获取企业知识产权及其他敏感性企业数据，借此得到经济上的利益，根据近年来对这种带有犯罪意图的网络攻击的统计，今后几年此类事件很有可能会愈演愈烈。¾攻击行为发生新的变化一般的攻击行为涉及到四个阶段，在每一个阶段都发生了新的变化。在扫描阶段，扫描工具的发展，使得黑客能够利用更先进的扫描模式来改善扫描效果，提高扫描速度；在渗透控制阶段，越来越多的安全漏洞使用户的系统在不知不觉中就被攻击者控制，更加容易受到损害；攻击传播技术的发展，使得以前需要依靠人启动软件工具发起的攻击，发展到攻击工具可以自己发动新的攻击；在攻击工具的协调管理方面，随着分布式攻击工具的出现，黑客可以容易地控制和协调分布在Internet上的大量已部署的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。¾威胁涌现和传播速度越来越快新发现的各种系统与网络安全漏洞每年都要增加一倍，每年都会发现安全漏洞的新类型，网络管理员需要不断用最新的软件补丁修补这些漏洞。攻击者经常能够抢在厂商修补这些漏洞前发现这些漏洞并发起攻击。SQLSlammer案例：每8.5秒感染范围就扩展一倍；在10分钟内感染了全球90％有漏洞的机器，OS\应用系统越来越庞大的同时不可