XXX公司IPS項(xiàng)目解決方案

XXX公司IPS項(xiàng)目解決方案上訊信息技術(shù)有限公司上海市浦東區(qū)達(dá)爾文路88上訊信息技術(shù)有限公司上海市浦東區(qū)達(dá)爾文路88號(hào)18號(hào)樓上訊信息大廈郵編:201203電話:86-21-51905999傳真:86-21-51905959公司網(wǎng)址最終更新日期2011-6-21 概述 32 總體方案設(shè)計(jì) 63 XXX公司需求分析及部署方案 73.1 需求分析 73.2 部署方案 73.3 舉薦的產(chǎn)品 84 McAfeeNSP產(chǎn)品簡(jiǎn)介 104.1 檢測(cè)及防衛(wèi)功能 10 網(wǎng)絡(luò)攻擊特征檢測(cè) 10 異樣檢測(cè) 11 DoS/DDoS攻擊防衛(wèi) 12 入侵防護(hù)功能 134.2 實(shí)時(shí)過濾蠕蟲病毒和Spyware間諜程序 144.3 虛擬IPS 154.4 敏捷的部署方式 164.5 具備風(fēng)險(xiǎn)識(shí)別的入侵防衛(wèi) 174.6 內(nèi)置Web平安愛護(hù) 184.7 恒久在線的管理平臺(tái) 194.8 SSL加密攻擊檢測(cè) 204.9 領(lǐng)先的虛擬內(nèi)部防火墻 204.10 McAfeeNSP所獲最新國(guó)際獎(jiǎng)項(xiàng) 215 設(shè)備技術(shù)指標(biāo)一覽表 246 勝利案例 267 供應(yīng)商及實(shí)施人員組成 26概述McAfee是全球最大的專業(yè)致力于網(wǎng)絡(luò)信息平安和管理的廠商，也是全球最有影響力的十大網(wǎng)絡(luò)軟件公司之一。McAfee在全球75個(gè)國(guó)家設(shè)有分支機(jī)構(gòu)，6000多名雇員，授權(quán)代理商、分銷商、零售商，發(fā)展增值代理（VAR），并協(xié)作系統(tǒng)集成商為行業(yè)客戶服務(wù)。同時(shí)，在全球六大洲供應(yīng)詢問（ConsultingService）、教化（TotalEducationService）、產(chǎn)品支持（WorldWideProductSupport）等全面服務(wù)方案。McAfee擁有世界權(quán)威的反病毒緊急事務(wù)響應(yīng)小組（AVERT）、IntruVert入侵防護(hù)響應(yīng)小組及FoundStone漏洞分析小組，供應(yīng)7/24的研發(fā)和支持服務(wù)，并且2006年在中國(guó)設(shè)立了NSP研發(fā)中心，McAfee親密關(guān)注網(wǎng)上平安問題，為組織機(jī)構(gòu)供應(yīng)整體的平安顧問服務(wù)，推出網(wǎng)上診室，是平安探討聯(lián)盟SRA的主要成員。與Cisco合作為學(xué)校培育網(wǎng)絡(luò)人才，與Verisign和Entrust結(jié)成戰(zhàn)略聯(lián)盟供應(yīng)PKIS支持，與Novell聯(lián)手供應(yīng)完善的全面集成的病毒防治實(shí)力的網(wǎng)絡(luò)解決方案。McAfee具有廣泛的聯(lián)盟伙伴，他們是Microsoft，IBM/Tivoli，HP，Dell，Compaq，IBMGIS，IBMLotus，Novell，PT，SeagateSotware，CiscoSystem，ALOL，Worldcom，GTE等。在中國(guó)，McAfee建立了深圳研發(fā)中心及北京研發(fā)中心，來為中國(guó)的客戶供應(yīng)更好更全面的技術(shù)和產(chǎn)品服務(wù)。McAfee網(wǎng)絡(luò)入侵防護(hù)解決方案可為大型及分布式網(wǎng)絡(luò)供應(yīng)愛護(hù)，使它們免受攻擊。這一網(wǎng)絡(luò)防護(hù)解決方案產(chǎn)品為McAfeeNetworkSecurityPlatform，供應(yīng)基于網(wǎng)絡(luò)的入侵防護(hù)功能。屢獲殊榮的McAfeeNetworkSecurityPlatform專業(yè)網(wǎng)絡(luò)入侵檢測(cè)和愛護(hù)設(shè)備系列集成了專利檢測(cè)技術(shù)、集中管理、敏捷部署和業(yè)內(nèi)最高的千兆端口密度，從而使金融企業(yè)、運(yùn)營(yíng)商和服務(wù)供應(yīng)商以數(shù)千兆的速度部署最精確、最全面的實(shí)時(shí)攻擊防護(hù)解決方案。由于解決方案的帶寬速度從每秒數(shù)百兆到每秒數(shù)千兆不等，因此，這些入侵防護(hù)解決方案可以供應(yīng)遍及整個(gè)網(wǎng)絡(luò)乃至分支機(jī)構(gòu)的前瞻性愛護(hù)，確保業(yè)務(wù)的可用性，并愛護(hù)關(guān)鍵資源免受已知威逼、零時(shí)間攻擊、Dos/DDoS攻擊和加密攻擊的侵?jǐn)_。依據(jù)XXX公司網(wǎng)絡(luò)入侵防護(hù)設(shè)備IPS的功能和性能需求，我們舉薦McAfee的NSP網(wǎng)絡(luò)入侵防護(hù)產(chǎn)品。具體細(xì)微環(huán)節(jié)為：XXX公司：共采納4臺(tái)McAfeeNSPM-2950千兆網(wǎng)絡(luò)入侵防護(hù)設(shè)備，其中2臺(tái)M-2950做Fail-over實(shí)現(xiàn)主備鏈路的高可用性，保障鏈路的入侵防護(hù)以及核心服務(wù)器群數(shù)據(jù)平安，同時(shí)保證端口備份和性能冗余；集中管理平臺(tái)：采納NetworkSecurityManager，實(shí)現(xiàn)對(duì)全部NSP設(shè)備的統(tǒng)一管理。在全球，McAfeeNSP為市場(chǎng)和技術(shù)領(lǐng)先的網(wǎng)絡(luò)入侵防護(hù)產(chǎn)品，其運(yùn)用In-Line方式接入到網(wǎng)絡(luò)中時(shí)，可以實(shí)現(xiàn)：探測(cè)出黑客攻擊，并且實(shí)時(shí)阻斷黑客的攻擊；探測(cè)出已知和未知的蠕蟲，實(shí)時(shí)阻擋這些蠕蟲進(jìn)入網(wǎng)絡(luò)；探測(cè)和阻擋當(dāng)前網(wǎng)絡(luò)訪問中間諜軟件、木馬和廣告軟件威逼；依據(jù)企業(yè)須要進(jìn)行BT等P2P應(yīng)用的阻擋，包括Skype；運(yùn)用漏洞簽名和異樣探測(cè)實(shí)現(xiàn)零時(shí)間的威逼探測(cè)防護(hù)，供應(yīng)應(yīng)算機(jī)網(wǎng)絡(luò)前瞻的愛護(hù)；探測(cè)異樣網(wǎng)絡(luò)流量，發(fā)覺感染蠕蟲病毒的計(jì)算機(jī)或者被黑客勝利“穿透”的計(jì)算機(jī)；探測(cè)和阻擋DOS/DDOS攻擊，并且運(yùn)用SYNCookie技術(shù)確保服務(wù)器在SYNFloodDOS攻擊下，仍能供應(yīng)正常的服務(wù)；供應(yīng)全面的平安防護(hù)功能，對(duì)超過100種協(xié)議進(jìn)行解碼和分析，并供應(yīng)SSL加密攻擊檢測(cè)、內(nèi)部防火墻、流量記錄、流量限制等多項(xiàng)平安功能。McAfee網(wǎng)絡(luò)入侵防護(hù)設(shè)備在接入網(wǎng)絡(luò)后，確保網(wǎng)絡(luò)性能沒有下降，以及供應(yīng)最將強(qiáng)大的處理實(shí)力和檢測(cè)率，如下圖可參考NSSLab對(duì)各廠商IPS設(shè)備的評(píng)測(cè)結(jié)果：數(shù)據(jù)來源：NSSGroup從表中可以看到McAfeeNSP供應(yīng)了最小的網(wǎng)絡(luò)延遲及優(yōu)秀的處理性能。數(shù)據(jù)來源：NSSLabs2010年IPS設(shè)備評(píng)測(cè)從表中可以看到McAfeeNSP供應(yīng)了最高的檢測(cè)率和最強(qiáng)的處理性能?？傮w方案設(shè)計(jì)本方案依據(jù)XXX公司目前的信息平安建設(shè)狀況，借助McAfee在信息平安領(lǐng)域的先進(jìn)技術(shù)和解決方案，以動(dòng)態(tài)平安風(fēng)險(xiǎn)管理為基礎(chǔ)，提出了全面的信息平安解決方案及實(shí)施步驟。其最大的特點(diǎn)是：以全面的量化平安風(fēng)險(xiǎn)為基礎(chǔ)，在系統(tǒng)和網(wǎng)絡(luò)層面構(gòu)建全面的平安威逼防衛(wèi)體系，完善健全平安措施，當(dāng)平安風(fēng)險(xiǎn)等級(jí)變更時(shí)，風(fēng)險(xiǎn)管理管理系統(tǒng)供應(yīng)具體的平安風(fēng)險(xiǎn)變更緣由和補(bǔ)救措施，同時(shí)，調(diào)整系統(tǒng)和網(wǎng)絡(luò)層面的防衛(wèi)策略，真正的做到全面防衛(wèi)，有的放矢。風(fēng)險(xiǎn)管理的過程中，如何有效地消退威逼、降低風(fēng)險(xiǎn)是關(guān)鍵，因此，我們首先應(yīng)當(dāng)建立全面的系統(tǒng)和網(wǎng)絡(luò)防衛(wèi)體系。XXX公司目前已經(jīng)建立了基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，而McAfee供應(yīng)的網(wǎng)絡(luò)入侵防護(hù)產(chǎn)品，可以幫助XXX公司對(duì)抗未知的和將來出現(xiàn)的平安威逼，通過McAfeeNSP（即IPS）構(gòu)建完善的企業(yè)平安邊界防衛(wèi)體系，在網(wǎng)絡(luò)邊界實(shí)時(shí)精確的檢測(cè)和阻斷各類網(wǎng)絡(luò)攻擊行為、DoS/DDoS攻擊及未知的攻擊流量，并對(duì)P2P、IM等應(yīng)用流量進(jìn)行管理，完善整個(gè)XXX公司的網(wǎng)絡(luò)平安建設(shè)。本方案描述中涉及以下產(chǎn)品和解決方案：McAfeeNSP：基于ASIC及FPGA芯片的硬件網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，實(shí)時(shí)阻擋黑客攻擊、蠕蟲病毒、間諜程序和DOS/DDOS攻擊；McAfee平安風(fēng)險(xiǎn)管理體系：方案中還會(huì)結(jié)合McAfee平安風(fēng)險(xiǎn)管理體系的發(fā)展前景，介紹在XXX公司現(xiàn)有環(huán)境下的平安體系建設(shè)，從而使得各個(gè)平安產(chǎn)品協(xié)同工作，增加網(wǎng)絡(luò)平安綜合防衛(wèi)實(shí)力。本方案論述了構(gòu)建XXX公司完整的平安風(fēng)險(xiǎn)管理體系所應(yīng)包含的各個(gè)方面，同時(shí)重點(diǎn)論述了XXX公司網(wǎng)絡(luò)邊界平安（即入侵防衛(wèi)系統(tǒng)-IPS）的建設(shè)和部署方案。

XXX公司需求分析及部署方案需求分析隨著XXX公司業(yè)務(wù)的不斷擴(kuò)大，內(nèi)部網(wǎng)絡(luò)的發(fā)展，原本入侵防衛(wèi)系統(tǒng)已經(jīng)不能符合內(nèi)部業(yè)務(wù)系統(tǒng)對(duì)Internet入口接入的需求，故須要將原先的IPS設(shè)備升級(jí)至千兆入侵防衛(wèi)系統(tǒng)，增加企業(yè)內(nèi)部的核心應(yīng)用系統(tǒng)應(yīng)對(duì)黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、DoS/DDoS等威逼的實(shí)力。部署方案部署建議我們建議M-2950設(shè)備1A-1B口串接在防火墻和DMZ交換機(jī)之間，重點(diǎn)愛護(hù)核心服務(wù)器群的平安。因McAfeeNSP入侵防護(hù)系統(tǒng)是雙向檢測(cè)，這樣既保障核心服務(wù)器群Internet出口的平安，又可以檢測(cè)內(nèi)部核心網(wǎng)絡(luò)到DMZ區(qū)應(yīng)用程序流量；同時(shí)在備用鏈路上也架設(shè)一臺(tái)M-2950做Fail-over，當(dāng)主鏈路出現(xiàn)故障網(wǎng)絡(luò)中斷時(shí)，自動(dòng)故障轉(zhuǎn)移到備用鏈路，采納兩臺(tái)M-2950做HA而不是運(yùn)用一臺(tái)IPS設(shè)備兩對(duì)端口，主要也考慮不變更整體網(wǎng)絡(luò)的HA結(jié)構(gòu)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性。同時(shí)M-2950型號(hào)內(nèi)置4對(duì)fail-open功能模塊（Bypass模塊），在采納In-Line方式部署時(shí)，防止因設(shè)備故障而造成網(wǎng)絡(luò)中斷。鑒于另一ISP接入線路實(shí)力及業(yè)務(wù)部署與上圖相同，建議可采納相同的防護(hù)方式來進(jìn)行防護(hù)。管理建議由于核心業(yè)務(wù)應(yīng)用存在不同的網(wǎng)絡(luò)區(qū)域和應(yīng)用系統(tǒng)平臺(tái)，我們建議運(yùn)用“虛擬IPS”技術(shù)的CIDR表示方法對(duì)各個(gè)服務(wù)站點(diǎn)IP進(jìn)行不同的分類，細(xì)化檢測(cè)策略和DoS/DDoS特征流量。比如針對(duì)核心業(yè)務(wù)群中的WEB服務(wù)，制定單獨(dú)的策略，提高WEB服務(wù)器對(duì)外服務(wù)的平安性。對(duì)于其他內(nèi)部網(wǎng)絡(luò)，我們建議運(yùn)用M-2950的剩余端口作SPAN的方式，連接相應(yīng)的鏡像端口，可以檢測(cè)其他內(nèi)部網(wǎng)絡(luò)平安狀況。對(duì)于多臺(tái)NSP設(shè)備，我們建議采納統(tǒng)一管理平臺(tái)NSPManger，這樣對(duì)以前DoS等學(xué)習(xí)的狀況，有利于策略的制定及分發(fā)。舉薦的產(chǎn)品在本方案中我們舉薦的是NSPM-2950，其采納ASIC芯片純硬件架構(gòu)設(shè)計(jì)，可以確保在1Gbps的流量下進(jìn)行正常的異樣流量探測(cè)、黑客攻擊探測(cè)阻斷（包括DOS/DDOS攻擊探測(cè)阻斷、蠕蟲病毒阻擋），并且確保造成的延遲在100微秒左右。產(chǎn)品清單：設(shè)備設(shè)備描述數(shù)量1SensorM-29504M-2950設(shè)備硬件及參數(shù)NSPM-2950實(shí)物圖吞吐性能：1.0Gbps探測(cè)端口密度：8個(gè)千兆檢測(cè)端口（固定銅線端口） 12個(gè)千兆檢測(cè)端口（SFP端口）端口配置選項(xiàng)：10對(duì)In-line或者20個(gè)Span端口，或者混合端口支持：SFPmini-Gigabit連接器，端口Bypass:8個(gè)端口內(nèi)置，其余6對(duì)需外置Fail-Open設(shè)備電源：雙冗余電源–可選配置響應(yīng)端口：10個(gè)–用作IDS部署時(shí)攔截持續(xù)攻擊連接管理端口：1x100/1000Mbps管理端口高可用性：10A用作Heartbeatsignalprovider并發(fā)連接支持:750,000虛擬IPS/Firewall策略:100個(gè)McAfeeNSP產(chǎn)品簡(jiǎn)介NSP基于完整的攻擊分析方法而構(gòu)建，并引入了業(yè)界最為全面的網(wǎng)絡(luò)攻擊特征檢測(cè)、異樣檢測(cè)以及拒絕服務(wù)檢測(cè)技術(shù)，除了可以探測(cè)攻擊，還可以探測(cè)已知未知蠕蟲和后門程序。檢測(cè)及防衛(wèi)功能網(wǎng)絡(luò)攻擊特征檢測(cè)為了實(shí)現(xiàn)高性能的網(wǎng)絡(luò)攻擊特征檢測(cè)，NSP體系結(jié)構(gòu)不僅采納了創(chuàng)新的專利技術(shù)，而且集成了全面的狀態(tài)檢測(cè)引擎、完善的特征規(guī)范語言、“用戶自定義特征”以及實(shí)時(shí)特征更新，確保了NSP能夠供應(yīng)并維護(hù)業(yè)界最為全面、更新最剛好的攻擊簽名數(shù)據(jù)庫，目前簽名特征超過4000種，解碼協(xié)議超過106種。特征規(guī)范語言NSP以專用的高水平特征規(guī)范語言為強(qiáng)大支持。NSP能夠從應(yīng)用程序軟件中分別出攻擊模式特征，在這個(gè)獨(dú)特的體系結(jié)構(gòu)中，將特征簡(jiǎn)潔地轉(zhuǎn)換為表單項(xiàng)，從而可以通過直觀的用戶界面實(shí)現(xiàn)實(shí)時(shí)更新，并可被特征引擎馬上運(yùn)用。目前的IDS產(chǎn)品往往通過軟件“補(bǔ)丁程序”來供應(yīng)新的特征，這不僅降低了部署速度（必需依據(jù)整個(gè)IDS軟件應(yīng)用程序進(jìn)行質(zhì)量保證），而且也不利于安裝（必需重新啟動(dòng)系統(tǒng)）。而NSP通過從傳感器軟件中分別攻擊模式特征，從而確保了高質(zhì)量的全新特征可以快速部署（無需重新啟動(dòng)系統(tǒng)）。同時(shí)，從傳感器應(yīng)用程序代碼中分別特征也使得特征編寫人員能夠?qū)⒕性谔卣骶帉懙摹百|(zhì)量”上，而無需考慮如何將特征構(gòu)建為應(yīng)用程序更新補(bǔ)丁。全面的狀態(tài)特征檢測(cè)引擎NSP體系結(jié)構(gòu)的特征檢測(cè)引擎引入了強(qiáng)大的上下文敏感檢測(cè)技術(shù)，在數(shù)據(jù)包中充分利用了狀態(tài)信息，它通過運(yùn)用多個(gè)令牌匹配來檢測(cè)超越了數(shù)據(jù)包界限的攻擊特征，或超出序列范圍的數(shù)據(jù)包流。用戶自定義網(wǎng)絡(luò)攻擊特征NSP使得網(wǎng)絡(luò)平安工程師能夠通過一個(gè)創(chuàng)新性的圖形用戶界面（GUI）來編寫自定義簽名，該界面能夠運(yùn)用通過系統(tǒng)的協(xié)議分析功能所獲得的字段和數(shù)據(jù)，或者通過NSP的分析機(jī)制收集的狀態(tài)信息。實(shí)時(shí)特征更新NSP供應(yīng)的創(chuàng)新性實(shí)時(shí)特征更新極大地提升了管理軟件的性能，由IntruVert更新服務(wù)器供應(yīng)的全新特征可以通過策略限制自動(dòng)發(fā)送到整個(gè)網(wǎng)絡(luò)，從而確保了新的特征一經(jīng)創(chuàng)建，網(wǎng)絡(luò)即可獲得最新的防護(hù)功能。NSP體系結(jié)構(gòu)還允許網(wǎng)絡(luò)工程師確定何時(shí)，以及是否在整個(gè)網(wǎng)絡(luò)中部署最新的簽名。NSP系統(tǒng)無需重新設(shè)置或重新啟動(dòng)任何硬件以便激活新的簽名，因此，它們能夠自動(dòng)地、實(shí)時(shí)地進(jìn)行部署。異樣檢測(cè)異樣檢測(cè)技術(shù)為NSP體系全面的簽名檢測(cè)過程供應(yīng)了完備的補(bǔ)充，異樣檢測(cè)技術(shù)使得網(wǎng)絡(luò)工程師能夠?qū)ν话l(fā)威逼或首次攻擊進(jìn)行攔截，并創(chuàng)建出一套完整的“異樣檔案”，從而愛護(hù)網(wǎng)絡(luò)免受當(dāng)前威逼和將來攻擊的騷擾。NSP體系結(jié)構(gòu)供應(yīng)了業(yè)界最為先進(jìn)、最為全面的異樣檢測(cè)方法—集成了針對(duì)統(tǒng)計(jì)數(shù)據(jù)、協(xié)議及應(yīng)用程序的異樣檢測(cè)技術(shù)。異樣/未知攻擊的例子包括新的蠕蟲、蓄意的隱性攻擊、以及現(xiàn)有攻擊在新環(huán)境下的變種。異樣檢測(cè)技術(shù)也有助于攔截拒絕服務(wù)攻擊（視察服務(wù)質(zhì)量的變動(dòng)）和分布式DoS攻擊（NSP系統(tǒng)利用流量樣式變動(dòng)（例如TCP限制數(shù)據(jù)包的統(tǒng)計(jì)數(shù)據(jù)）來確定是否即將發(fā)生海量的數(shù)據(jù)流）。我們將在下面的部分具體探討拒絕服務(wù)攻擊。NSP體系結(jié)構(gòu)的異樣檢測(cè)技術(shù)還能夠針對(duì)其它威逼供應(yīng)愛護(hù)，這包括：緩沖區(qū)溢出攻擊、由木馬程序或內(nèi)部人員安裝的“后門”或惡意攻擊、利用低頻率進(jìn)行的隱性掃描攻擊、通過網(wǎng)絡(luò)中的多個(gè)發(fā)送點(diǎn)傳送表面正常的數(shù)據(jù)包、以及內(nèi)部人員違反平安策略（例如，在網(wǎng)絡(luò)中安裝嬉戲服務(wù)器或音樂存檔）。DoS/DDoS攻擊防衛(wèi)NSP檢測(cè)體系結(jié)構(gòu)的第三根“支柱”就是它完善的拒絕服務(wù)防護(hù)技術(shù)。自動(dòng)記憶以及基于閥值的檢測(cè)NSP體系結(jié)構(gòu)綜合利用了基于閥值的檢測(cè)技術(shù)和獲得專利的、具有自動(dòng)記憶功能的基于配置文件的檢測(cè)技術(shù)，從而使拒絕服務(wù)檢測(cè)更具智能化。借助基于閥值的檢測(cè)功能，網(wǎng)絡(luò)平安管理員就能夠運(yùn)用預(yù)先編寫的數(shù)據(jù)流量限制來確保服務(wù)器不會(huì)因負(fù)載過重而宕機(jī)。同時(shí)，自動(dòng)記憶功能使得NSP體系結(jié)構(gòu)能夠分析網(wǎng)絡(luò)運(yùn)用方法和流量的模式，了解合法網(wǎng)絡(luò)操作中發(fā)生的多種合法，但不常見的運(yùn)用模式。兩種技術(shù)的結(jié)合確保了對(duì)各種DoS攻擊的最高檢測(cè)精確率—包括分布式拒絕服務(wù)攻擊（即惡意程序員為了進(jìn)攻企業(yè)或政府網(wǎng)絡(luò)，同時(shí)對(duì)上百個(gè)，甚至上千個(gè)服務(wù)器發(fā)起攻擊）。NSP精確的DoS檢測(cè)技術(shù)具有特別重要的意義，因?yàn)樵S多網(wǎng)站和網(wǎng)絡(luò)都曾經(jīng)驗(yàn)過合法的（有時(shí)是意外的）、極具吸引力的新程序、服務(wù)或應(yīng)用程序的流量沖擊。檢測(cè)技術(shù)的關(guān)聯(lián)性正如我們所看到的，NSP體系結(jié)構(gòu)供應(yīng)了多種操作模式，使得系統(tǒng)能夠捕獲惡意流量、供應(yīng)全面的攻擊分析方法、實(shí)施完整的智能化簽名檢測(cè)、異樣檢測(cè)以及拒絕服務(wù)防護(hù)技術(shù)。NSP體系結(jié)構(gòu)的檢測(cè)關(guān)聯(lián)層連接著系統(tǒng)的簽名檢測(cè)、異樣檢測(cè)以及拒絕服務(wù)檢測(cè)功能—這種相互關(guān)聯(lián)性以及對(duì)可疑流量的交叉檢查功能確保了攻擊檢測(cè)的高度精確性。單一NSP系統(tǒng)能夠?qū)Ψ阑饓Φ墓簿W(wǎng)段、專用網(wǎng)段以及DMZ網(wǎng)段進(jìn)行全面的愛護(hù)，并供應(yīng)這些網(wǎng)段之間的相互關(guān)聯(lián)性，從而能夠針對(duì)被攔截的網(wǎng)絡(luò)攻擊或者進(jìn)入專用網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊供應(yīng)精確的具體信息。入侵防護(hù)功能NSP體系結(jié)構(gòu)供應(yīng)了業(yè)界最精確的攻擊檢測(cè)功能，構(gòu)造了系統(tǒng)攻擊響應(yīng)機(jī)制的堅(jiān)實(shí)基礎(chǔ)。沒有足夠響應(yīng)實(shí)力的IDS產(chǎn)品只能為網(wǎng)絡(luò)平安管理員供應(yīng)有限的功能?，F(xiàn)代的IDS產(chǎn)品必需能夠檢測(cè)出攻擊，并供應(yīng)偏轉(zhuǎn)和攔截惡意流量的方法。NSP體系結(jié)構(gòu)為網(wǎng)絡(luò)平安管理員供應(yīng)了一整套手動(dòng)的和自動(dòng)的響應(yīng)措施，并以此構(gòu)建起企業(yè)或政府機(jī)構(gòu)信息技術(shù)平安策略的基礎(chǔ)。NSP的入侵響應(yīng)機(jī)制就攻擊檢測(cè)來說，NSP體系結(jié)構(gòu)使系統(tǒng)可以實(shí)現(xiàn)以下功能：攔截攻擊NSP體系結(jié)構(gòu)允許IDS以嵌入模式工作，因此，它能夠?qū)崟r(shí)地在攻擊源和目標(biāo)之間攔截單一數(shù)據(jù)包、單一會(huì)話或數(shù)據(jù)流量，從而在進(jìn)程中攔截攻擊，而不會(huì)影響任何其它流量。終止會(huì)話NSP體系結(jié)構(gòu)允許針對(duì)目標(biāo)系統(tǒng)、攻擊者（或二者同時(shí)）重新設(shè)置并初始化TCP。網(wǎng)絡(luò)平安工程師可以對(duì)發(fā)送給源和/或目標(biāo)IP地址的重新設(shè)置數(shù)據(jù)包進(jìn)行配置。修改防火墻策略NSP體系結(jié)構(gòu)允許用戶在發(fā)生攻擊時(shí)重新配置網(wǎng)絡(luò)防火墻，方法是臨時(shí)變更用戶指定的訪問限制協(xié)議，同時(shí)向平安管理員發(fā)出警報(bào)。實(shí)時(shí)警報(bào)當(dāng)網(wǎng)絡(luò)流量違反了平安策略時(shí)，NSP體系結(jié)構(gòu)能夠?qū)崟r(shí)生成一個(gè)警報(bào)信息，并發(fā)送給管理系統(tǒng)。合理的警報(bào)配置是保持有效防護(hù)的關(guān)鍵所在。惡性攻擊（例如緩沖區(qū)溢出以及拒絕服務(wù)）往往須要做出實(shí)時(shí)響應(yīng)，而對(duì)掃描和探測(cè)則可以通過日志進(jìn)行記錄，并通過進(jìn)一步的探討確定其潛在的危害和攻擊源。網(wǎng)絡(luò)平安工程師能夠獲得有關(guān)電子郵件、尋呼程序以及腳步警告的通知，該通知基于預(yù)先配置的嚴(yán)峻性水平或特定的攻擊類型，例如拒絕服務(wù)攻擊?；谀_步的警告允許對(duì)困難的通知過程進(jìn)行配置，從而能夠針對(duì)系統(tǒng)面臨的攻擊向特定團(tuán)體或個(gè)人發(fā)出通知。NSP體系結(jié)構(gòu)還供應(yīng)了一個(gè)“警報(bào)過濾器”，它允許網(wǎng)絡(luò)平安工程師依據(jù)平安事務(wù)的來源或目標(biāo)進(jìn)行篩選。例如，當(dāng)IT部門通過一個(gè)自有IP地址執(zhí)行漏洞掃描時(shí)，從該地址生成的事務(wù)就可以被過濾掉。對(duì)數(shù)據(jù)包進(jìn)行日志記錄在攻擊發(fā)生時(shí)，或攻擊發(fā)生之后，基于NSP體系結(jié)構(gòu)的系統(tǒng)能夠首先捕獲數(shù)據(jù)包，并對(duì)數(shù)據(jù)包進(jìn)行日志記錄，然后將該流量重新定向到一個(gè)空閑的系統(tǒng)端口，以便進(jìn)行具體的合法性分析。這個(gè)數(shù)據(jù)包信息就是對(duì)觸發(fā)攻擊的實(shí)際網(wǎng)絡(luò)流量的記錄。數(shù)據(jù)被查看后，將轉(zhuǎn)換為libpcap格式，以便進(jìn)行演示和說明。類似于Ethereal（運(yùn)行于UNIX和Windows平臺(tái)的一款網(wǎng)絡(luò)協(xié)議分析工具）的多種工具可以用來檢驗(yàn)數(shù)據(jù)包日志數(shù)據(jù)，以便對(duì)檢測(cè)到的事務(wù)進(jìn)行更為具體的分析。NSP體系結(jié)構(gòu)的響應(yīng)機(jī)制供應(yīng)了該產(chǎn)品平臺(tái)的基礎(chǔ)，平安管理員須要在此基礎(chǔ)上開發(fā)出響應(yīng)措施、警報(bào)以及日志系統(tǒng)，以便為困難的現(xiàn)代網(wǎng)絡(luò)供應(yīng)最佳的防護(hù)。實(shí)時(shí)過濾蠕蟲病毒和Spyware間諜程序在NSP的Signature中包含了蠕蟲病毒、Spyware間諜程序、“特洛伊木馬”、后門程序的Signature，當(dāng)NSP采納In-Line方式部署時(shí)，能過過濾掉流經(jīng)NSP的這些惡意程序。而且NSP的郵件未知蠕蟲Signature可以探測(cè)郵件中夾帶的未知蠕蟲病毒，并且將其丟棄，從而使得NSP可以對(duì)抗新的、將來出現(xiàn)的蠕蟲病毒。虛擬IPS虛擬IPS能夠?qū)SP探測(cè)器劃分為多個(gè)虛擬探測(cè)器，這些虛擬探測(cè)器可以運(yùn)用不同的探測(cè)和防護(hù)策略愛護(hù)不同的VLAN、子網(wǎng)和主機(jī)（包括自定義的攻擊選擇及相關(guān)響應(yīng)措施）。虛擬IPS可以依據(jù)一組IP地址、一個(gè)或多個(gè)VLAN標(biāo)記來定義，也可以通過探測(cè)器上的特定端口來定義。NSP體系結(jié)構(gòu)的虛擬IPS功能可以通過三種方法來實(shí)施。第一，將虛擬局域網(wǎng)(VLAN)標(biāo)記安排給一組網(wǎng)絡(luò)資源；其次，運(yùn)用無類別域內(nèi)路由(CIDR)標(biāo)記來愛護(hù)一組IP地址；第三，將NSP系統(tǒng)接口特地用于愛護(hù)特定部門、地區(qū)機(jī)構(gòu)或組織職能部門的網(wǎng)絡(luò)資源?；贑IDR的VIPS實(shí)施能夠運(yùn)用/32掩碼具體到單一主機(jī)的水平。例如，可以運(yùn)用單一主機(jī)的特有策略來識(shí)別DoS攻擊，并做出響應(yīng)。NSP的虛擬IPS功能典型的IDS/IPS只能支持一個(gè)傳感器一個(gè)策略，這將導(dǎo)致過多的誤報(bào)，或過多的傳感器部署。NSP創(chuàng)新的虛擬IPS功能能在一個(gè)傳感器上實(shí)現(xiàn)多個(gè)平安策略，可為愛護(hù)各個(gè)特定環(huán)境而定義，削減總體擁有成本。敏捷的部署方式NSP支持完全實(shí)時(shí)攻擊阻斷的嵌入（In-Line）模式，也支持傳統(tǒng)的SPAN與HUB監(jiān)控接入方式、TAP接入和端口群集接入模式。嵌入模式：NSP系統(tǒng)位于數(shù)據(jù)路徑上，活動(dòng)的流量必需通過它們。NSP系統(tǒng)通過實(shí)時(shí)攔截惡意流量來防止網(wǎng)絡(luò)攻擊。用戶可以全面自定義預(yù)防措施，例如自動(dòng)攔截針對(duì)特定Web服務(wù)器的DoS流量。高速的防護(hù)以及高度可用的操作使得NSP系統(tǒng)能夠部署在任務(wù)關(guān)鍵型環(huán)境中。In-line部署模式交換端口分析器（SPAN）與集線器監(jiān)控：一臺(tái)或多臺(tái)網(wǎng)絡(luò)交換機(jī)的集線器端口或SPAN端口都可以連接到NSP系統(tǒng)的檢測(cè)端口。傳感器可以運(yùn)用同一端口來激活響應(yīng)措施，例如重新設(shè)置某個(gè)TCP連接。SPAN部署模式TAP模式：可對(duì)全雙工以太網(wǎng)鏈接的網(wǎng)絡(luò)通信進(jìn)行雙向監(jiān)控。通過完全捕獲某個(gè)鏈接上的全部流量，可以更清晰的了解某個(gè)網(wǎng)絡(luò)攻擊的來源和本質(zhì)—并供應(yīng)所需的具體信息，以便能夠?qū)淼墓暨M(jìn)行攔截。這種全雙工監(jiān)控實(shí)力使得NSP系統(tǒng)能夠維護(hù)完整的狀態(tài)信息。響應(yīng)措施包括防火墻重新配置，以及通過專用響應(yīng)端口來重新設(shè)置并初始化TCP。TAP部署模式端口群集使得單一NSP系統(tǒng)通過多個(gè)端口監(jiān)控的流量能夠“聚合”成一個(gè)流量流，以便進(jìn)行狀態(tài)分析和入侵分析。該功能對(duì)于非對(duì)稱路由環(huán)境尤其有用，因?yàn)檫@種環(huán)境下，懇求數(shù)據(jù)包和響應(yīng)數(shù)據(jù)包可能會(huì)通過不同的鏈接進(jìn)行傳送。單一的NSP系統(tǒng)就能夠監(jiān)控多個(gè)鏈接，同時(shí)可以維護(hù)精確的、完整的狀態(tài)信息。端口群集部署模式具備風(fēng)險(xiǎn)識(shí)別的入侵防衛(wèi)集中應(yīng)對(duì)最有關(guān)聯(lián)的告警和攻擊，供應(yīng)顯著的運(yùn)作效率允許導(dǎo)入和關(guān)聯(lián)Foundstone風(fēng)險(xiǎn)評(píng)估信息實(shí)現(xiàn)優(yōu)先級(jí)的風(fēng)險(xiǎn)管理，同時(shí)也支持開源漏洞掃描系統(tǒng)Nessus通過具有風(fēng)險(xiǎn)識(shí)別功能的入侵防衛(wèi)系統(tǒng)，降低IT成本，并增加操作效率通過識(shí)別并阻擋帶來最大威逼的攻擊，實(shí)現(xiàn)最大化平安效果，削減業(yè)務(wù)風(fēng)險(xiǎn)帶有風(fēng)險(xiǎn)識(shí)別功能的入侵防衛(wèi)系統(tǒng)內(nèi)置Web平安愛護(hù)主動(dòng)主動(dòng)從計(jì)算機(jī)虛擬攻擊，間諜軟件和惡意程序多方面愛護(hù)Web閱讀器和桌面－防止未授權(quán)訪問及有害程序下載Web客戶端愛護(hù)為McAfee邊界和系統(tǒng)愛護(hù)解決方案供應(yīng)其他層次的補(bǔ)充愛護(hù)愛護(hù)未打補(bǔ)丁的Web閱讀器和客戶端避開計(jì)算機(jī)虛擬攻擊重大的削減helpdesk&IT成本，防止破壞隱私，愛護(hù)數(shù)據(jù)保密性Web客戶端防護(hù)示意圖恒久在線的管理平臺(tái)NSP平安管理系統(tǒng)(ISM)通過Active/Standby主備管理服務(wù)器技術(shù)供應(yīng)了連續(xù)的，高可用性的管理平臺(tái)自動(dòng)失效故障切換和故障復(fù)原技術(shù)允許在關(guān)鍵配置數(shù)據(jù)出現(xiàn)失效事務(wù)時(shí)可獲得災(zāi)難復(fù)原甚至在發(fā)生災(zāi)難或系統(tǒng)失效時(shí)，也能確保關(guān)鍵網(wǎng)絡(luò)愛護(hù)的連續(xù)性支持共同災(zāi)難復(fù)原策略，允許HA部署在備選數(shù)據(jù)中心管理平臺(tái)的備份SSL加密攻擊檢測(cè)SSL是一種流行的平安技術(shù)選擇，SSL在加密敏感信息的同時(shí)……連同機(jī)智攻擊的攻擊也一同加密了，而NSP可以檢測(cè)SSL機(jī)密數(shù)據(jù)中可能存在的攻擊行為：將Web服務(wù)器或SSL終端加密的私鑰導(dǎo)入NSP管理服務(wù)器NSP管理服務(wù)器用傳感器的公鑰地這些私鑰進(jìn)行加密傳感器在啟動(dòng)時(shí)收到加密的私鑰傳感器將SSL密鑰保存在內(nèi)在中，檢查SSL流量中的攻擊領(lǐng)先的虛擬內(nèi)部防火墻McAfeeNSP最早發(fā)展了IPS的內(nèi)部防火墻技術(shù)，幫助客戶避開重復(fù)投資：傳統(tǒng)防火墻定義了網(wǎng)絡(luò)邊界NSP供應(yīng)IPS+防火墻的整合啟動(dòng)突破性的虛擬內(nèi)部防火墻虛擬內(nèi)部防火墻供應(yīng)更多層的內(nèi)部愛護(hù)，使企業(yè)級(jí)策略得以執(zhí)行領(lǐng)先的內(nèi)部防火墻McAfeeNSP所獲最新國(guó)際獎(jiǎng)項(xiàng)以前獲得獎(jiǎng)項(xiàng)：最近獲得獎(jiǎng)項(xiàng)：網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)設(shè)備魔術(shù)象限邁克菲以其基于主機(jī)的產(chǎn)品著名于世，是擁有勝利的網(wǎng)絡(luò)平安產(chǎn)品的少數(shù)平安企業(yè)之一。McAfeeM-8000通過了NSSLabs10-Gbps認(rèn)證McAfeeM-8000NetworkSecurityPlatform通過了NSSLabs的10-Gbps認(rèn)證，NSSLabs是全球領(lǐng)先的獨(dú)立平安和性能測(cè)試與認(rèn)證機(jī)構(gòu)。NSSLabs面對(duì)全行業(yè)開展最全面的高性能平安驗(yàn)證。NSSLabs表示：“M-8000的平安愛護(hù)有效性幾乎在全部方面都拿到了滿分?！盡cAfeeM-8000NetworkSecurityPlatform通過了NSSLabs網(wǎng)絡(luò)IPS金牌認(rèn)證網(wǎng)絡(luò)IPS測(cè)試顯示了其應(yīng)對(duì)最新威逼的實(shí)力美國(guó)加利福尼亞州圣克拉拉市2009年8月3日電-邁克菲（納斯達(dá)克股票代碼：MFE）日前宣布McAfeeM-8000NetworkSecurityPlatform獲得著名的NSSLabs頒發(fā)的“網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)金牌認(rèn)證”。McAfeeM-8000是獲得這次2009年度NSS金牌認(rèn)證的兩款I(lǐng)PS設(shè)備之一。McAfee在AnalystFirm的針對(duì)網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)設(shè)備的魔術(shù)象限中被劃歸領(lǐng)導(dǎo)者象限美國(guó)加利福尼亞州圣克拉拉市2009年4月20日電-邁克菲（納斯達(dá)克股票代碼：MFE）日前宣布領(lǐng)先的探討機(jī)構(gòu)Gartner將邁克菲公司劃歸“2009年上半年網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)設(shè)備魔術(shù)象限”的領(lǐng)導(dǎo)者象限，該消息已于2009年4月14日發(fā)布。據(jù)Gartner說明，劃歸領(lǐng)導(dǎo)者象限的廠商“在行動(dòng)和愿景兩個(gè)方面都作出了努力，并取得了進(jìn)步?！痹O(shè)備技術(shù)指標(biāo)一覽表McAfee入侵檢測(cè)系統(tǒng)技術(shù)指標(biāo)一覽表分項(xiàng)