网络安全方案分析幻灯片.ppt

为了解决防火墙对于某些攻击行为无法检测，采用了与RG-WALL的联动的方式，为了更好的，根本性的解决问题，又采取了与RG-SAM、RG-SMP联动的方式，恰好解决了这个问题。通过对IDS 上报的安全事件的解析，并通过每个用户的信息来将安全事件定位到人，对安全事件给出建议的处理方法，或者可以通过预先定制好的策略来对安全事件进行自动的处理，这就解决了在IDS 检测到安全事件后，处理难的问题。通过IDS 设备与后台服务系统、客户端、交换机等软硬件的联动，有效的实现了网络通信系统主动、自动、联动的保护，整个检测、分析、处理过程由软硬件联动实现，无需网络管理人员的过多干预，有效帮助用户实现了全局安全网络。 RG-IDS与RG-WALL的联动：由于RG-WALL不识别网络流量，只要是经过合法通道的网络攻击，RG-WALL都无计可施，而 RG-IDS也有自己的缺点，自身很容易遭受拒绝服务的攻击，它有些攻击可能检测不到。同时，它对攻击的抵抗控制能力也很弱。由于两者的特点和局限性很自然的决定了两者的结合，因为RG-WALL侧重于访问控制，而RG-IDS侧重于主动发出入侵信息。 通过使用入侵检测系统，可以做到： （1）对网络边界点的数据进行检测，防止黑客的入侵； （2）对服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改； （3）监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作； （4）对用户的非正常活动进行统计分析，发现入侵行为的规律； （5）实时对检测到的入侵行为进行报警、阻断，能够与防火墙，系统联动； （6）对关键正常事件及异常行为记录日志，进行审计跟踪管理。 本方案IDS采用了专用响应方式。当IDS检测到攻击后，将立即通知报文过滤模块，过滤模块一方面显示对应的IDS过滤规则，同时也会对攻击报文进行过滤，从而阻止其对内部网络的攻击。然后，IDS按照策略进行检查，如果策略对该事件设置了防火墙阻断，那么它就会发给防火墙一个相应的阻断策略，则防火墙会按IDS产品通知的阻断方式、阻断时间和入侵主机的相关信息，对入侵主机进行阻断。具体过程如图11-43所示： 图11-43 RG-IDS与RG-WALL的联动过程图 过程描述： （1）Internet上某个攻击者对受保护网络内某台主机发起攻击，没有被防火墙发现； （2）位于中心交换机处监听的IDS检测到了攻击行为，IDS按照设置好的策略进行检查，通过它与防火墙之间的安全通道发送报文，通知防火墙； （3）防火墙收到消息，验证报文后生成动态规则，对攻击行为进行监控和阻断。 3）RG-IDS与RG-SAM、RG-SMP和核心交换机的联动 RG-IDS与RG-SAM、RG-SMP和核心交换机的联动的主要组成有： （1）RG-SAM身份认证系统 RG-SAM是目前全球使用人数最多的网络身份认证系统，截止到目前为止，全球共有600多万人在这个身份认证平台上安全的上网，通过用户名、密码、IP、MAC、交换机端口、交换机IP等多达六元素的身份绑定，保证了上网人身份的正确性，也为安全事件发生后的追查打下了坚实的基础。RG-SAM跟锐捷安全智能交换机的联动，保证了合法用户的权利，将非法用户“拒之网外”。 （2）RG-SMP安全管理平台 RG-SMP是GSN的大脑、司令官，统领着所有GSN的组成部分，它跟SAM联动来获取接入网络的用户和用户组的相关信息。它又跟安全客户端RG-SU联动来获取入网PC的安全现状，从而制定出对应的安全修补策略并通过RG-SU下发到PC上来完成主机完整性的管理。在网络安全管理方面发，SMP跟入侵检测设备RG-IDS进行联动，对发起攻击的攻击源进行有效的处理，并对被攻击的对象进行必要的修复，实现了对网络攻击的有效管理，同时通过与安全网关和安全智能交换机的配合，还能有效的防范目前流行的ARP攻击。 （3）RG-SU安全客户端 RG-SU是一个界面友好的PC端客户端，它的作用是跟SAM配合实现用户的身份认证，跟SMP配合实现法主机完整性检查、安全策略的下发，并在发生安全事件时接收SMP发来的处理策略，来对主机进行响应的处理。同时，配合安全网关和SMP，SU还是主机端防范ARP病毒的利器。 （4）RG-IDS入侵检测设备 RG-IDS由四部分组成，控制台、事件收集器、日志服务器和传感器。传感器通过镜像口旁路经过交换机的数据流量，来进行网络安全事件的检测，一旦检测到安全事件，传感器会将时间发送给事件收集器，并报由控制台进行处理。通过控制台跟RG-SMP的联动，可以让SMP在第一时间获得发起攻击和遭到攻击的用户的IP、MAC等网络信息，并通过与SAM的联动查找出发起攻击的元凶，然后通过客户端下发相应的策略。IDS就是我们部署到网络中的一根探针，时刻监