IDP解决方案-word资料(精).doc

建议 XXX 应用网站安全保护建议一、背景资料 XXX 应用网站承担…目前,网站没有设置基本的保护…二、面临的挑战及应对建议近两年来,来自每一个方面的资料显示出一个非常明显的结论,企业网络受到的内外威胁,尤其是导致网络和应用系统瘫痪的恶性事件,大部分来自于应用层的攻击,例如病毒、蠕虫和黑客攻击。如何解决来自应用层威胁的问题,已经成了每一个需要实施网络安全系统的用户首先必须考虑解决的问题。传统的网络防火墙主要解决:(1 )网络二到四层的攻击和威胁问题;(2 )安全区域的划分和隔离;(3 )地址转换( NAT ) ;等问题。虽然有部分厂商的防火墙引入了应用层检测技术(目前最常用和成熟的技术是 DI ------ 深层检测技术), 但是受产品原型设计技术和硬件平台性能的限制, 在相当长的一段时间内, 防火墙产品还不能完全承担应用层的检测和保护重担, 而且最终的产品功能还是要在应用层增加独立的防护系统。(以下的比较表格可以了解)。面对目前最为头痛和急需应付的应用层威胁问题,应用网站应该在网络应用模式允许的情况下,在保证二到四层的防护基本具备的前提下,首先考虑实施应用层的保护系统,建议选用目前业内最为成熟的应用层保护系统— Juniper 公司的 IDP 产品。三、应用层保护系统的选择保护应用网站的关键是在网站的出入口实施相应的应用层网络安全控制系统,该系统在网络的出入口最大可能地实现: (1) 拦截对网站构成严重威胁的恶意访问(包括未授权访问); (2) 防止拒绝服务( DoS )攻击; (3) 遏制和隔离病毒/ 蠕虫等恶意流量的攻击; (4) 识别和拦截应用攻击; (5) 防止非善意的网络侦察; (6) 监控进出网站的访问和流量; (7) 迅速定位来自内部的恶意流量源和未授权访问发起点。建议 1、应用层保护系统应该具备的技术和条件根据网站应用层保护系统(或俗称应用层防火墙)需要实现的目标,无论从功能上或技术上,应用层保护系统应该具备以下一些条件: (1) 可以解读、分析网络层和应用层形态的网络流量数据包,使之具备检查应用层数据的基本能力,同时也可以分析网络层数据; (2) 针对应用层数据报特征的多种检测技术——多重检测技术: ?数据包状态签名技术和及时的更新提供?应用层协议异常检查技术?网络数据流量异常检查技术?后门检测技术?网络蜜罐引诱(反侦察)技术?网络哄骗检测技术?第二层攻击检测技术?同步泛洪检测技术?混合式攻击检测技术(3) 可以不断更新和数量足够多的应用数据匹配特征库, 并且提供客户化的匹配特征用户定制能力; (4) 优化的策略设置功能, 强大的事件跟踪和记录功能, 为使用者提供完善的分析数据和报告。 2 、选择 Juniper IDP 无论从应用的要求、产品和功能的成熟程度, 或者是技术先进性的角度考虑, 选择 Junipe r 网络公司的 IDP 作为网站的保护系统是最为合适的选择。理由之一: Juniper 公司的 IDP 在业界内有多个“第一”,如下: 1st – Security device that detects and prevents attack by dropping malicious packets 1st – Multi-Method Detection (MMD) maximizes attack detection within a single product 1st – Stateful Signature Detection (SSD) look for attacks in relevant traffic to reduce false alarms 1st – Centralized, Rule-based Management for an Intrusion Detection Solution 1st – Support of All Instant Messaging Protocols to Protect work from Potential Exploits 建议理由之二: Juniper IDP 在所有同类产品的竞争对手中,是最为用户接受的产品,因此也就拥有最多的用户,如下第三方的统计报告结果: works – 1st in terms of units shipped ( Source: ics, 8/04 ) 在过去的一个季度, 全球用户购买使用的每 100 台攻击防护系统中,有 37 台来自 Junipe r 公司的 IDP 。理由之三: IDP 在保护应用网站方面,具有传统防火墙不可比拟的优势,如下表: 比较项 IDP 防火墙说明工作模式 4种3种工作 OSI 层次 2~7层 2~4层 signat