Netpower網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)內(nèi)網(wǎng)部署方案
社交網(wǎng)絡(luò)風(fēng)生水起,由Mark?Zuckerberg的臉譜網(wǎng)到國(guó)內(nèi)的校內(nèi)網(wǎng),校內(nèi)網(wǎng)是內(nèi)網(wǎng)嗎?這是校內(nèi)網(wǎng)更名人人網(wǎng)原因之一嗎?2011年6月27日,被稱為“Geohot”的名噪一時(shí)的黑客喬治?霍茲(George Hotz)被曝已加盟Facebook。黑客與網(wǎng)絡(luò)如影相隨,中科院高能物理研究所是我國(guó)最早接入Internet的單位,也是國(guó)內(nèi)最早遭遇黑客入侵,并開(kāi)始關(guān)注網(wǎng)絡(luò)安全問(wèn)題的單位之一。1997年經(jīng)中科院高技術(shù)局批準(zhǔn),由博士生導(dǎo)師許榕生研究員帶頭成立了網(wǎng)絡(luò)安全課題組和網(wǎng)威(Netpower)工作室,從此,中科網(wǎng)威開(kāi)始角逐網(wǎng)絡(luò)黑紅戰(zhàn)場(chǎng)的智力博弈,相繼保障了黨的十六大、北京奧運(yùn)會(huì)、上海世博會(huì)等多項(xiàng)重要活動(dòng)的相關(guān)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。
內(nèi)網(wǎng)安全監(jiān)測(cè)利器
內(nèi)網(wǎng)是Internet技術(shù)在企業(yè)機(jī)構(gòu)內(nèi)部的實(shí)現(xiàn),為企業(yè)提供了一種能充分利用通訊線路、經(jīng)濟(jì)而有效地建立企業(yè)內(nèi)聯(lián)的網(wǎng)絡(luò)方案,內(nèi)網(wǎng)能夠以極少的成本和時(shí)間將一個(gè)企業(yè)內(nèi)部的大量信息資源高效合理地傳遞到每個(gè)人,企業(yè)可以有效的進(jìn)行財(cái)務(wù)管理、供應(yīng)鏈管理、進(jìn)銷存管理、客戶關(guān)系管理等等。但是內(nèi)網(wǎng)存在很多方面的安全隱患,企業(yè)內(nèi)網(wǎng)如此龐大的重要機(jī)密信息的安全如何保障呢?
網(wǎng)威網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱NPIDS)是北京中科網(wǎng)威信息技術(shù)有限公司經(jīng)過(guò)多年在網(wǎng)絡(luò)安全產(chǎn)品研發(fā)方面的積累,在充分調(diào)研國(guó)內(nèi)外相關(guān)產(chǎn)品的基礎(chǔ)上獨(dú)立開(kāi)發(fā)的一款基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)及響應(yīng)系統(tǒng)。
NPIDS在檢測(cè)能力、響應(yīng)能力以及系統(tǒng)自身的保護(hù)能力等方面都進(jìn)行了精心的設(shè)計(jì)。該系統(tǒng)作為防火墻的重要補(bǔ)充,通過(guò)監(jiān)視10M/100M/1000M局域以太網(wǎng)上傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)信息,根據(jù)用戶指定的保護(hù)目標(biāo)及檢測(cè)策略,對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行深度分析,當(dāng)攻擊或異常行為發(fā)生時(shí),立即產(chǎn)生報(bào)警并記錄,同時(shí)根據(jù)用戶的設(shè)置,可采取中斷會(huì)話、發(fā)送報(bào)警日志、郵件通知、防火墻聯(lián)動(dòng)等多種響應(yīng)措施。
單一內(nèi)網(wǎng)環(huán)境部署策略
在一個(gè)典型的網(wǎng)絡(luò)環(huán)境中部署了三個(gè)網(wǎng)絡(luò)引擎。DMZ區(qū)和外網(wǎng)中的網(wǎng)絡(luò)引擎以被動(dòng)方式運(yùn)行(即控制臺(tái)主機(jī)主動(dòng)發(fā)起連接從中“拉”數(shù)據(jù)),而網(wǎng)絡(luò)引擎1既可以配置為主動(dòng)方式,也可以配置為被動(dòng)方式??刂婆_(tái)主機(jī)可以同時(shí)監(jiān)控位于三個(gè)不同區(qū)域網(wǎng)絡(luò)引擎的狀態(tài)并處理傳送回來(lái)的實(shí)時(shí)信息。
“網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)單一內(nèi)網(wǎng)環(huán)境部署示意圖
多內(nèi)網(wǎng)環(huán)境部署策略
每個(gè)內(nèi)部子網(wǎng)通過(guò)單獨(dú)的防火墻與外網(wǎng)連接,網(wǎng)威控制臺(tái)主機(jī)位于公開(kāi)網(wǎng)段,它可以監(jiān)控位于各個(gè)內(nèi)網(wǎng)的網(wǎng)絡(luò)引擎。
“網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)多內(nèi)網(wǎng)環(huán)境部署示意圖
DMZ區(qū)重點(diǎn)監(jiān)控
在DMZ區(qū)中通過(guò)分接器給每個(gè)關(guān)鍵應(yīng)用服務(wù)器連接一個(gè)專門(mén)的網(wǎng)絡(luò)引擎,以保證對(duì)關(guān)鍵主機(jī)的重點(diǎn)監(jiān)控,這樣既可以加強(qiáng)監(jiān)測(cè)的針對(duì)性引擎,同時(shí)也便于過(guò)濾策略和檢測(cè)策略的定制。
“網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)重點(diǎn)監(jiān)控部署示意圖
多網(wǎng)段監(jiān)控
網(wǎng)絡(luò)中劃分多個(gè)網(wǎng)段時(shí),通常每個(gè)網(wǎng)段需要配置一個(gè)入侵檢測(cè)引擎,這樣帶來(lái)的問(wèn)題是成本相對(duì)較高。對(duì)于網(wǎng)絡(luò)流量不是很高,同時(shí)又劃分多個(gè)網(wǎng)段的網(wǎng)絡(luò)中,“網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)提供了一個(gè)引擎同時(shí)監(jiān)控多個(gè)網(wǎng)段的功能。這個(gè)應(yīng)用方案中,通過(guò)一個(gè)入侵檢測(cè)引擎可以同時(shí)監(jiān)聽(tīng)2-7個(gè)網(wǎng)段,可以監(jiān)控內(nèi)部網(wǎng)內(nèi)2-7個(gè)節(jié)點(diǎn)內(nèi)的所有主機(jī),減少引擎?zhèn)€數(shù),利于管理,方便設(shè)定策略;降低網(wǎng)絡(luò)部署成本。
“網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)多網(wǎng)段監(jiān)控部署示意圖
透明部署模式
通常入侵檢測(cè)是以混雜模式工作來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)上的數(shù)據(jù)包,在一些特殊的網(wǎng)絡(luò)環(huán)境中這樣會(huì)受到一些限制。“網(wǎng)威”入侵檢測(cè)引擎工作能夠在網(wǎng)橋模式下,這樣,路由器與防火墻之間不需要再接出一個(gè)HUB或交換機(jī)用于接入引擎,部署方便簡(jiǎn)潔。