PDF《绿盟下一代网络入侵检测系统》

? 客户抱怨企业的网页无法正常打开,检查发现是服务器被攻击了,但不知道遭受何种方 式的攻击;

? 员工因为访问恶意站点,将后门、木马等威胁引入企业内网,造成敏感信息外泄,给企 业造成巨大的损失,却无法找到问题根源;

绿盟下一代网络入侵检测系统产品白皮书 ?

2012 绿盟科技 密级:完全公开 -

2 - ? 企业网络拥塞,应用正常业务运转,却无法定位消耗带宽的应用类型;

? 企业网络瘫痪,检查出遭受蠕虫病毒攻击,但不知道如何清除并避免再次遭到攻击;

? 企业网络被入侵了,安全事件调查中缺乏证据. 根据调查数据显示,以上情况给网络管理员带来极大的困扰,也给企业带来了巨大的安 全风险.如何及时的、准确的发现违反安全策略的事件,并及时处理,是广大用户迫切需要 解决的问题. 2.1 防火墙的局限 众多的企业、组织与政府部门都在组建和发展自己的网络,为了保证网络资源的安全, 企业一般采用防火墙作为安全保障体系的第一道防线,通过访问控制,防御黑客攻击,提供 静态防御. 但是随着越来越多的系统本身漏洞以及应用系统的漏洞被发现,以及攻击者的入侵方式 更加隐蔽,新的攻击方式层出不穷,所以单纯的依靠防火墙已经无法完全防御不断变化的入 侵攻击的发生,部署了防火墙的安全保障体系还有进一步完善的需要. 传统的防火墙主要有以下的不足: ? 防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针 对WEB 服务的注入攻击等. ? 防火墙无法发现内部网络中的攻击行为. 2.2 入侵检测系统的特点 入侵检测系统(Intrusion Detection System)是对防火墙有益的补充,入侵检测系统被认 为是防火墙之后的第二道安全闸门,对网络进行检测,提供对内部攻击、外部攻击和误操作 的实时监控,提供动态保护大大提高了网络的安全性. 入侵检测系统主要有以下特点: ? 事前警告:入侵检测系统能够在入侵攻击对网络系统造成危害前,及时检测到入侵攻击 的发生,并进行报警;

? 事中防御:入侵攻击发生时,入侵检测系统可以通过与防火墙联动、TCP Killer 等方式进 行报警及动态防御;

? 事后取证:被入侵攻击后,入侵检测系统可以提供详细的攻击信息,便于取证分析. 综上所述,防火墙提供静态防御,而入侵检测系统提供动态防御,因此防火墙和入侵检 测系统的结合,能够给网络带来全面的防御.对防火墙和入侵检测系统的关系有一个经典的 绿盟下一代网络入侵检测系统产品白皮书 ?

2012 绿盟科技 密级:完全公开 -

3 - 比喻:防火墙相当于门卫,对于所有进出大门的人员进行检查,入侵检测系统相当于闭路监 控系统,监控关键位置如财务、库房等地安全状况,仅有门卫是无法发现内部人员的非法行 为,而闭路监控系统可以实时监控,发现异常情况及时报警,两者配合使用才能保证安全. 三. 如何评价入侵检测系统 入侵检测系统具有实时检测、报警和动态响应等功能.是否能够很好地帮助网络管理员 完成对网络状态的把握和安全的评价是入侵检测系统的基本标准. 入侵检测系统(IDS)应该从几个方面评价: ? 准确的、广泛的入侵检测能力 ? 优异的产品性能 ? 强大的管理能力 ? 良好的自身安全性 ? 丰富的响应功能 一个完善的入侵检测系统(IDS)应该具有以下特点: ? 实时报警,报警的准确率高,误报和漏报率低 ? 不同性能的产品,能够满足不同网络的需求 ? 操作简单,易于部署、管理 ? 自身的安全性高,不易遭受攻击 四. 绿盟下一代网络入侵检测系统 针对目前流行的蠕虫、 病毒、 间谍软件、 垃圾邮件、 DDoS 等黑客攻击,以及网络资源滥用(P2P 下载、IM 即时通讯、网游、视频等),绿盟科技提供了完善的检 测方案.绿盟下一代网络入侵检测系统(以下简称 NSFOCUS NIDS(N 系列) )是绿盟 科技拥有完全自主知识产权的安全产品,它是对防火墙的有效补充,实时检测网络流量,监 控各种网络行为,对违反安全策略的流量给予及时报警和阻断,实现从事前警告、事中防护 到事后取证的一体化解决方案. 绿盟下一代网络入侵检测系统产品白皮书 ?