绿盟网络入侵防护系统内网服务器区防护解决方案

内网服务器区运行着用户的核心业务系统及办公系统，业务决策、运营支撑、公文流转、生产监管等等关键应用均需要安全、可靠的网络环境作保障。

威胁分析

内网业务信息系统是面向企业内部员工的业务支撑系统，因此其威胁主要来自网络内部。

1. 病毒或蠕虫侵袭

网络蠕虫病毒传播速度快，一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。

2. 非法扫描和攻击

企业内部员工处于好奇、报复或经济利益等目的会对内网服务器发起非法扫描和恶意攻击，从而获取到未授权的机密信息。

3. 内部用户的违规操作

为保障系统安全，企业会制定一系列的安全规范、流程来约束内部用户的行为，而有些人员为图方便会违反操作规程，带来不必要的安全问题。

4. 未及时安装补丁程序

为避免补丁程序与业务系统软件冲突造成的系统故障，核心业务系统服务器有时不能及时安装系统、软件的补丁程序，使得服务器陷入无保护的状态。

风险分析

我们从以下几个方面来分析内网服务器区可能面临的安全风险：

5. 网络蠕虫病毒快速传播的安全风险

目前利用漏洞传播的网络蠕虫病毒传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，一旦蠕虫爆发会造成企业网络瘫痪。入侵检测系统IDS虽然能检测出攻击行为，但无法有效阻断攻击。另外，网络防病毒系统属于被动防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。

6. 内部员工非法操作的安全风险

内部员工的授权或非授权违规操作，是威胁内部服务器区安全的重要因素，直接危害业务系统及核心数据的机密性及完整性。

7. 系统不能安全补丁程序的安全风险

系统不能安装补丁程序作为一种被动威胁自身并无危害，但其为蠕虫病毒的传播和内部员工的恶意攻击提供了便利条件，是亟待解决的基础安全问题。

需求分析

根据对企业内网服务器区的威胁和风险分析，信息安全需求主要包括以下方面：

· 实时发现和阻止蠕虫、网络病毒爆发对内网服务器区的影响，保障企业网络信息系统的正常运行;

· 实时发现和防御内部员工的非法扫描和渗透攻击，并记录违规操作，保障敏感信息的机密性和完整性;

· 提供有效方法防范针对未安装补丁系统的攻击行为。

解决方案

通过详细分析内部服务器所面临的安全风险和信息安全需求，我们建议在内网服务器区边界处部署新一代安全产品——绿盟网络入侵防护系统(NSFOCUS NIPS)，能够提供虚拟补丁功能，有效防御各种攻击和网络蠕虫病毒，保证网络系统的安全稳定运行。

产品部署

图 一.1 内网服务器区NIPS部署示意图

为了保障内网服务器区的安全稳定运行，我们建议如图 2.3 所示在内网服务器区边界处采用HA方式部署两台NSFOCUS NIPS，具体部署方式如下：

· 在企业内网服务器区边界处在线部署2台NSFOCUS NIPS，网络引擎选择透明工作模式;

· 两台设备工作在HA模式下，设备之间进行策略、会话同步，保障业务系统的连通性;

· 网络引擎开启入侵防护、防病毒、防火墙、抗DDoS等功能模块，实时分析检测攻击行为并响应，自动阻断黑客攻击，切实有效的保护企业网络的安全;

· 在企业内部网络部署1台PC机作为NSFOCUS NIPS的控制台，NSFOCUS NIPS支持B/S管理模式，可以灵活方便的管理部署在网络中的网络入侵防护系统。

功能与效益

部署绿盟网络入侵防护系统会给企业网络带来以下安全功能的提高：

· 提供虚拟补丁功能，提高服务器自身的防护能力，有效防范0Day攻击;

· 实时发现和阻断企业内部蠕虫、网络病毒的大规模爆发;

· 实时发现和阻断针对服务器的扫描、渗透、DDoS等恶意攻击，保障网络信息系统的可用性;

· 实时发现、阻断并记录内部员工的违规操作，规范员工操作流程;

· 智能、自动化的安全防御，降低企业整体的安全费用以及对于网络安全领域人才的需求。

日常使用建议

由于安全领域的发展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比如网络结构的调整，新的应用的启用，新的安全漏洞和新的攻击手法的出现等等，所以任何时候，安全都是动态的。在这种情况下，有效的使用和维护安全产品和安全策略，才能使安全产品发挥其最大的效应，所以，绿盟科技建议如下：

8. 保障规则升级

a. 网络入侵防护系统控制台每周定时检查厂商规则升级模块

b. 离线下载或使用厂商提供的定期升级包

c. 控制台自动推送升级到网络引擎

9. 日志自动备份策略

设置报警日志定期备份策略，防止出现日志溢出或意外丢失的情况

定期分析与报告策略

设置综合报告每周发送策略，分别发给其他管理员

每月对报告进行综合分析，对疑难问题，寻求安全厂商的支持