绿盟网络入侵防护系统互联网出口防护解决方案

Internet互联网被称为“信息高速公路”，是一个企业对外宣传、获取外部信息和对外交流的重要途径。特别是近几年随着信息化建设的成熟，政府、企业都相继推出了网上业务系统，成为重要的业务处理方式之一。

威胁分析

由于企业网络连接互联网，网络的使用者既有来自互联网的用户、合作伙伴、网民，也包括来自企业内部的员工，因此企业网络面临来自内、外两个方面的安全威胁：

1. 外部威胁

· 黑客扫描和渗透攻击

Internet网络中的恶意入侵者可能因为政治、商业目的或随机目的对企业网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入企业网络，获取、篡改甚至破坏敏感的数据，乃至破坏企业的正常业务和生产运行。

· 病毒或蠕虫侵袭

Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入企业网络;一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。

u DDoS/DoS攻击

DDoS攻击出现在10年前，是一种技术含量不高，单攻击效果显著的攻击。由于近些年僵尸网络的发展，DDoS攻击重新成为恶意入侵者的新宠，直接威胁企业网络的可用性。

2. 内部威胁

· 无意识的外部风险引入

企业网络中，由于安全技能和安全意识存在差异，员工可能通过访问挂马网站、下载包含病毒的恶意程序，从而无意识的通过互联网络将Internet上危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、网络病毒传播进入内部网络，这将对企业网络的安全带来严重威胁。

· 网络资源滥用导致新风险

企业员工因为各种IM即时通讯软件、网络在线游戏、P2P下载软件、在线视频、浏览工作无关网站导致企业网络资源滥用、网络性能下降，严重影响正常工作，形成新的威胁。

· 网络应用导致合规性问题

随着我国互联网相关法规以及版权保护的重视，企业员工非法下载盗版影视、图书等资料，或外发反动言论等行为，将给企业带来合规性问题，使企业陷入法律纠纷。

风险分析

当用户的信息资产面临威胁，而信息资产自身又被相应的脆弱性暴露出来的时候，威胁对信息资产就有产生影响的可能，信息资产的安全风险就自然产生了。我们主要从以下几个方面关注可能面临的安全风险：

3. 网络互连带来的安全风险

由于业务需要，企业网络连接互联网，业务或办公数据在网络上传输，而网络设备、主机系统都不同程度存在一些安全漏洞，攻击者可以利用存在的漏洞进行破坏，可能引起数据破坏、业务中断甚至系统宕机，严重影响企业网络信息系统的正常运行。

在企业网络中，防火墙作为安全保障体系的第一道防线，防御黑客攻击。但作为工作在三层以下的访问控制设备，防火墙无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。而且有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。因此，如何识别企业网络中的攻击行为成为了当务之急。

4. 攻击快速传播引发的安全风险

目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，比如蠕虫爆发造成企业网络瘫痪。入侵检测系统(IDS)虽然能检测出攻击行为，但无法有效阻断攻击。另外，网络防病毒系统属于被动防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。因此如何保证企业网络在安装最新安全补丁之前，网络不会被蠕虫、病毒、黑客等攻击造成网络瘫痪，这是目前企业关注的问题。

5. 来自网络资源滥用的安全风险

现在的网络应用越来越丰富，IM即时通讯软件(MSN、QQ、YAHOO等)、网络在线游戏、在线视频往往使一些企业员工沉迷其中，不专心工作;而BT、电驴等P2P下载软件轻易的占据100%的企业网络带宽，一些新的病毒以IM、P2P软件为传播通道，这都对企业网络的安全带来严重威胁。因此有效控制企业网络资源的使用，已列入企业管理者的议事日程。

需求分析

根据对企业网络系统互联网出口的威胁和风险分析，信息安全需求主要在以下方面：

· 防御来自外部的威胁，阻止蠕虫、网络病毒、间谍软件和黑客攻击对企业网络造成的安全损失，提高企业网络的整体抗攻击能力;

· 防御来自内部的威胁，阻止蠕虫、网络病毒爆发对企业网络的破坏，保障企业网络的正常运行，同时有效防范企业机密信息外泄等安全事故的发生;

· 有效控制企业网络资源滥用，阻止企业员工因为各种IM即时通讯软件、P2P下载、网络在线游戏、在线视频而影响正常工作，通过净化流量，为网络加速。

解决方案

针对上述需求分析，在企业网络Internet互联网出口部署新一代安全产品——绿盟网络入侵防护系统，能够有效防御各种攻击，控制网络资源滥用，保证网络信息系统的安全稳定运行。

产品部署

图 一.1 互联网出口NIPS部署示意图

根据安全风险分析、安全目标和设计原则，我们在充分利用现有资源、尽量在少投入、少改动的基础上，建议使用以下集防护、检测和响应于一体的安全解决方案。我们建议在出入口处部署1台绿盟网络入侵防护系统。

具体部署方式如下：

· 在企业互联网出入口处在线部署1台NSFOCUS NIPS，网络引擎的四个工作口分别和两路ISP相连，相当于两路IPS，既可以入侵保护，又可以发挥集成防火墙的功能，最大化利用资源，节约投资;

· 网络引擎选择透明工作模式，可以根据两路不同的接入链路，分别设置相应的安全策略，一路IPS防护一个ISP接入，各路IPS相互独立，彼此之间没有数据交换，互不干扰;

· 网络引擎进行入侵行为检测、分析和实时响应，自动阻断黑客攻击，切实有效的保护企业网络的安全，同时可以根据需求，设置NAT，策略路由以及访问控制等防火墙功能;

· 在企业内部网络部署1台PC机作为NSFOCUS NIPS的控制台， NSFOCUS NIPS支持B/S管理模式，可以灵活方便的管理部署在网络中的网络入侵防护系统。

功能与效益

部署绿盟网络入侵防护系统会给企业网络带来以下安全功能的提高：

· 实时发现和阻断来自Internet的蠕虫、病毒、间谍软件和黑客等攻击和入侵，防止黑客带来的安全损失;

· 实时发现和阻断企业内部人员通过Internet对其他网络实施攻击和破坏;

· 实时发现和阻断企业内部蠕虫、网络病毒的大规模爆发;

· 强制性规范企业员工的网络访问行为，控制和减少员工利用信息网络作与工作无关的行为，比如各种IM即时通讯软件(MSN、QQ、YAHOO等)、网络在线游戏、P2P下载(BT、电驴等)、在线视频等，促进工作效率和生产力的提高;

· 可以实现防火墙的访问控制、地址转换及策略路由等功能，增强了网络安全性，减少企业投资;

· 可以对内部网络流量和网络资源的监控，方便及时的发现网络异常，同时可以根据需求，进行带宽管理，帮助诊断网络异常状况，提高网络带宽的使用率;

· 智能、自动化的安全防御，降低企业整体的安全费用以及对于网络安全领域人才的需求。

日常使用建议

由于安全领域的发展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比如网络结构的调整，新的应用的启用，新的安全漏洞和新的攻击手法的出现等等，所以任何时候，安全都是动态的。在这种情况下，有效的使用和维护安全产品和安全策略，才能使安全产品发挥其最大的效应，所以，绿盟科技建议如下：

6. 保障规则升级

a. 网络入侵防护系统控制台每周定时检查厂商规则升级模块

b. 离线下载或使用厂商提供的定期升级包

c. 控制台自动推送升级到网络引擎

7. 日志自动备份策略

设置报警日志定期备份策略，防止出现日志溢出或意外丢失的情况

定期分析与报告策略

设置综合报告每周发送策略，分别发给其他管理员

每月对报告进行综合分析，对疑难问题，寻求安全厂商的支持