出版日期：2004-05-10　总期号：1311　本年期号：32

本期导读 要闻综合 中国信息化 网络与通信 软件与服务 产品与应用 渠道与市场 华东专刊 华南专刊

McAfee IntruShield成功应用于美国法律部门 　　背 景 　　美国的某法律部门主要负责制定一系列的法律和法规。一些恶意代码或攻击会试图破坏该部门的网站，制造一些麻烦。另外，国外的黑客可能为了报复美国政府，而采取一些攻击行为，破坏该部门的网站。为了确保信息系统和数据的安全，IT部门使用了多层防护体系，包括入侵检测（IDS）、防火墙以及防病毒软件，并且使用了严格的安全政策、认证和培训。虽然使用了多层的防护体系，但是该部门的网络和系统还是会受到许多攻击和侵扰，为此，该法律部门的安全小组决定构建一个更加安全和高性能的防护体系，以确保信息和数据的安全。 　　方案选型 　　作为使用IDS产品的老用户，IT团队不断向前看。当使用了思科IDS产品四年后，他们试图提高IDS检测的准确率、攻击覆盖率以及性能，并且希望降低运营成本。另外，目前IDS硬件已经接近产品生命周期的最后时期，IT部门正在评估是否有入侵监测/防护产品不仅拥有较少的传感器，而且还具有最小的拥有成本。 　　为了验证他们的想法，该安全部门把目光转向了McAfee IntruShield这一实时入侵检测和防护系统。IntruShield网络安全产品，其采用业界极先进的实时网络入侵检测和防护体系，能有效地保护企业和政府的网络。IntruShield独特的体系结构集成了多项专有技术，包括特征检测、异常检测和拒绝服务分析技术，从而能在几千兆的网络流量下进行准确和智能的检测和防护。这种对创造性技术空前的驾驭能保护那些具有极严格要求的网络，使其免遭已知攻击、首次发生的未知攻击，以及DoS攻击的影响。通过反复地测试和比较，该部门最终选定了McAfee IntruShield2600和McAfee IntruShield4000两款产品作为其入侵监测/防护系统的核心解决方案。 　　McAfee IntruShield入侵防护解决方案具有强大的防护功能，具体表现在以下几个方面： 　　● 入侵智能：具有无与伦比的能力，能提供有关入侵识别、关联、定向、影响和分析的详细、准确和可靠的信息。 　　● 虚拟IDS：具有强大的功能，能在一个探测器中执行多个定制的细粒度的策略。 　　● 综合的入侵检测：通过结合使用特征检测、异常检测和DoS检测技术，能够智能地检测已知的攻击、首次发生的攻击以及DoS攻击。 　　● 灵活的部署：IDS的部署具有无与伦比的灵活性，包括SPAN、tap、串联、端口集群以及高可用性模式，能适应任何网络安全体系结构。 　　● 实时入侵防护：具有预警的能力，能阻止进入网络的攻击，具有大量自动的和用户初始化的警报和响应行为。 　　● 数千兆流量的性能—采用专用的硬件，能处理数千兆流量的数据。 　　● 自动实时的威胁更新：过程具有创新性，能自动进行实时的、企业范围的特征更新，并且不需要重新启动探测器。无须手工升级就可以阻止新发现的攻击，减少宕机时间。 　　● 互操作性：能同流行的防火墙，企业管理应用和安全信息管理（SIM）应用一起工作，以降低客户的整体开销。 　　方案特点 　　灵活部署 　　McAfee IntruShield可通过SPAN、tap、端口集群以及串联的方式，灵活无缝地部署到任何网络架构当中。该部门通过SPAN方式把IntruShield与内部网和互联网相连接。这样，转向串联方式来防护DoS攻击成为一件非常简单的事情，而且提供了入侵防护路径。 　　McAfee IntruShield配置和管理都很简单，因为它含有多个端口，一个端口就能简单地监测多个以太网段。利用IntruShield，信息安全人员发现他们花在硬件和操作系统上的时间越来越少，而有更多的时间专注于安全上。 　　节省时间和运营成本 　　利用先进的入侵防护技术，McAfee IntruShield在不漏掉攻击的情况下减少了误报，而且，McAfee IntruShield向网络经理和维护人员提供了及时有意义的信息。通过减少误报，IT经理人可以把精力放在真正的威胁上。因为IntruShield的广泛的威胁分析和校正能力，IT经理明显减少了在LOG分析和监测的花费的时间。 　　该部门的信息安全人员认为，使用IDS，大部分时间都花在更新签名和把IDS调谐至本身的网络环境上。目前的IDS解决方案花费了网络管理人员大量的时间来配置签名，使之与该部门的环境相符合。自从使用了McAfee IntruShield之后，情况发生了很大的改变。McAfee IntruShield的政策和签名大大减少了网络管理人员花在调谐上的时间。同时，由于McAfee IntruShield能够监测和防护大量的未知攻击，也为网络管理人员节省了配置时间。McAfee IntruShield的实时签名更新能够防护最新发现的攻击，而不必重起设备和失掉连接状态。IntruShield签名每周都会及时更新，所以节省了大量的运营成本。 　　灵活的策略管理是McAfee IntruShield的一大特色。McAfee IntruShield能够自动安全地下载最新的策略。虚拟IDS具有强大的功能，能在一个设备中执行多个定制的策略。 　　方案效果 　　该部门通过大范围地部署McAfee IntruShield解决方案来提高入侵检测和防护能力。在方案完成之初，McAfee IntruShield就曾截获了80万个红色代码和尼姆达攻击。McAfee IntruShield提供了强大的可扩展性和高性能，从几十兆到2G的网络上都有非常出色的表现。 　　随着互联网的飞速发展，网络成了企业发展的基础架构。当企业在不断拓展网络架构过程中，企业面临的安全问题也变得越来越复杂了。因为，网络的每一次扩张都为蠕虫病毒和恶意代码创造了新的攻击点，这些攻击对企业来讲都具有非常大的风险。McAfee入侵防护战略为企业网络构建了一道坚实屏障。无论是混合威胁，还是黑客攻击，都将无法撼动企业的深层系统和网络核心，真正为企业提供从核心到边缘的深层防护。