ccidnet????

出版日期:2003-12-22 总期号:1277 本年期号:96

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
华东专刊
华南专刊
西北专刊
东北专刊
西南专刊
 企业如何部署McAfee网络入侵防护解决方案



  McAfee IntruShield网络安全产品采用业界先进的实时网络入侵检测和防护体系,能有效的保护企业和政府的网络。IntruShield独特的体系结构集成了多项专利技术,包括:特征检测,异常检测和拒绝服务分析技术,从而能在几千兆的网络流量下进行准确和智能的检测和防护。这种对创造性技术空前的驾驭能保护那些具有严格要求的网络,使其免遭已知攻击、首次发生的未知攻击,以及DoS攻击的影响。

  IntruShield产品系列包括IntruShield 4000,IntruShield 2600和IntruShield 1200——三种功能强大的网络入侵检测和防护的探测器设备,它们为高可用性网络提供了所需要的性能和功能。具有良好可扩展性的IntruShield方案提供了综合的防护体系,可以跨越企业核心网络,企业边界网络,以及分支机构的网络。对于带宽从几十兆到2G的网络,它都具有极高的性价比。

  IntruShield网络入侵解决方案能够有效地保护企业网络远离混合威胁的攻击,主动检测和阻止欲进入企业网络的攻击,远远胜过了只能被检测的IDS设备。基本这种高效的主动防御功能,也许有人会认为它的部署可能很复杂,反而会影响企业的安全系统。其实,这种担忧完全是多余的,IntruShield不仅提供了非常有效的主动防护功能,而且还提供了灵活的部署方式。

  三种操作模式:三种灵活的部署模式可以将IntruShield集成到大规模的网络结构中。

  SPAN/HUB监控:探测器可以监控集线器或者多个交换机的SPAN端口。探测器可以进行多种响应行为,例如通过监控端口本身进行TCP重置,以终止恶意连接。

  Tap模式:通过全双工监控可以查看完整的方向敏感的网络流量,从而可以进行流量的状态分析。它综合使用了准确的检测方法和激活间接的防护方法,如防火墙再配置。专用的响应端口进行间接的响应动作,例如使用TCP重置终止恶意连接等。

  嵌入模式:探测器处于数据路径的中间,活动的流量都要流经它们,在数据包到达目的地之前,对流量进行整形并丢弃恶意的数据包——基于粒状策略。线速的性能和高可靠性的运行使得IntruShield不会成为瓶颈。

  快速以太网Tap内置在I-2600中,使安装和监控更加容易。用户无须任何物理连线可以在Tap和嵌入模式之间进行切换——这些端口使用IntruShield的管理器应用程序。I-4000和I-2600上的千兆以太网端口使用扩展的Tap。模式选择是基于每个端口的。

  端口聚合:端口聚合,或者“接口分组”,使得一个系统上的多个端口所监控的流量能被集中成一个数据流,从而进行基于状态的入侵分析。

  使用基于状态的防失效功能,具有高可用性:通过在两个探测器之间使用基于状态的探测器失效防护,可以支持具有高可用性的IDS部署,避免单点故障。

  除非它能够真正防止攻击,任何解决方案都是不完整的。IntruShield入侵防护解决方案能够提供实时的入侵防护,它可以集成到具有完整安全策略的网络环境中,实现包括从实时警报到完全阻断攻击的响应过程。

  在检测攻击方面,IntruShield网络入侵防护解决方案可以做到以下:

  以细粒度实时丢弃或者阻断攻击源和目的之间的单个数据包或者单个会话。当IntruShield工作在内嵌模式时,这可以阻断正在进行中的攻击,这些攻击来源包括从单个的流传输到服务器网段中的一个服务器的范围,这种阻断还不会对其它任何流量造成影响。

  在探测器工作在Tap模式或者SPAN模式时,通过响应端口向攻击目标,攻击者,或者同时向两者发出TCP重置或者ICMP无法到达的消息。TCP重置可以在SYN Flood类型的DoS攻击中发送。

  重新配置防火墙,以阻断恶意的流量。

  触发一个发送给IntruShield管理器的实时通知或者警报。基于预先配置的安全级别或者每个用户选择的攻击,网络安全管理专家可以通过电子邮件,页面或者脚本警报得到通知。基于脚本的警报可以支持健壮的通知处理配置,它可以通知特定的组或者对单个进入的攻击进行通知。支持取证分析的记录使得数据包/会话记录可以捕获攻击发生之后的额外数据,从而可以作为取证分析的证据和/或者对攻击成功所造成的影响进行评估。

  捕获和记录攻击发生之前和之后的数据包,以进行详细的分析。攻击发生后对入侵者和受害机器之间的数据包/会话进行记录,这可以准确分析攻击的影响。

  在单个产品中集成检测和防护功能,从而可以按照用户选择的步伐,从入侵检测灵活的提升到入侵防护,同时可以维护最终用户在该项技术上的投资。

  McAfee IntruShield是美国网络联盟McAfee网络保护解决方案产品系列的一部分,它是一种独特的尖端技术,可在入侵进入关键系统前“在线上”即阻断它们。McAfee IntruShield高度自动、易于管理且有很大的灵活性,可分阶段实施安装,从而避免当今原有入侵探测系统不可避免的误报,从而可使客户能够制定正确的政策以在他们独特的IT基础架构中阻断攻击。