| 出版日期:2004-10-11 总期号:1354 本年期号:75 |
|
 |
入侵防护“动”起来
Juniper NetScreen-IDP采用多重检测技术、带内操作模式、集中式/基于规则的管理 文 凯力 
Juniper NetScreen-IDP集中管理示意图 据ICSA统计,目前来自计算机系统内部的安全威胁高达60%,在这样的环境中,企业数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等都是供出入的“门户”,只要有一个没有完全保护好,黑客就可能通过这道门进入系统,窃取或破坏所有资源。所以,选择一款好的入侵防护产品非常重要。 多层次安全措施的理论决定了必须采取多种防护,才有可能保证网络的安全。现在比较普遍的防护产品为防火墙(第一层防护)和NIDS(第二层防护)。第二层防护是针对在允许进入网络的信息中所潜藏的攻击,并保护网络免受那些攻击。一些企业普遍相信,被动式的、网络入侵监测系统(Network Intrusion Detection System,NIDS)能够保护机构免受攻击。实际上,这种防护措施存在着公认的弊端:错误报警(False Alarms);管理能力低,维护量大;需要外包;无法对攻击进行主动防护。所以入侵防护产品(Intrusion Detection Protection,IDP)应运而生。 Juniper NetScreen入侵监测和防护(Juniper NetScreen-IDP)是目前市场上有代表性的一款能够提供网络入侵防御第二层防护方案的产品,它在以下三方面进行了革新:首先,采用多重方法检测技术(Multi-Method Detection,MMD)提高精确度。NetScreen-IDP系统通过应用协议异常、状态签名、流量异常、后门检测、同步攻击(Syn-flood)、IP欺骗和第二层检测,以及网络蜜罐(Network Honeypot)等8个不同的检测方法,能准确地识别入侵,减少错误报警。这些方法共享信息,并且用最有效的方式一起去识别网络和应用层中的所有形式的攻击。同时,这些检测方法皆针对以高数据速率进行分析而被优化的,从而确保性能未能受到影响。由于NetScreen-IDP是综合了多种技术的解决方案,你再也不需要费神考虑到底是买一个基于协议异常的系统还是基于签名的系统,甚至需要两台或更多的产品。另外,多方法检测使管理员能够信任报警,而不用再担心会浪费时间去调查错误报警。 其次,带内(on-line)操作模式提供真正保护。NetScreen-IDP是一个带内解决方案,它一般是被放置在防火墙之后,检查从每个入口进出的数据包。当它检测出恶意流量时,它能丢弃连接,使之不能进入网络。当然,你可以自定义控制哪种形式的流量是需要丢弃的。 第三个革新是集中式、基于规则的管理提供更高可控性。集中管理使管理员能将NetScreen-IDP控制在非常精确的水平上,同时简化安全策略和签名更新的作业。它可以提供:真正的三层管理架构,包括一个检测与执行层(传感器)、一个管理层(服务器)和一个应用层(用户界面),多用户界面可以连接到一个单一的管理服务器上,完成所有的管理操作;基于规则的管理,它容许NetScreen-IDP的行为提供精确的控制,根据需要来寻找和匹配的来源、目标地、业务和攻击进行分类,当攻击被检测到时,规则指定下一步操作;它允许相同的安全策略应用到多个执行点上,无需建立新的安全策略;闭环调查(Closed Loop Investigation),可以在综合报告、个别记录、相关记录的规则、记录的数据包之间自由地浏览查找,数据点相互关联以及在各信息层间轻松浏览查找的能力,让用户更容易理解网络状况,并且能对防护新威胁的工作做出即时的响应。 Juniper NetScreen-IDP不仅可以帮助企业保护网络免受攻击,而且可以向企业提供在不知情的情况下添加到网络中的恶意服务器和应用程序的信息,如果企业网管员了解对等网(peer-to-peer)或即时信息处理等未经授权的应用被添加到网络中,就可以更轻松地实施安全策略,并始终保证遵循企业的应用程序使用策略,再加上基于角色的集中管理方法(使企业可以全面控制系统行为并轻松访问广泛的日志和全面可订制的报告),使得Juniper NetScreen-IDP可以有效保护企业的关键信息资产的安全性。 |
||||||||||||||||||||||
