入侵检测部署方案.docx

入侵检测部署方案
需求分析
利用防火墙技术，经过认真的配置，通常能够在内外网之间供应平安的网络爱护，降低了网络平安风险，但是入侵者可查找防火墙背后可能放开的后 门，或者入侵者也可能就在防火墙内。通过部署平安措施，要实现主动阻断针对信息系授权的网络访问尝试。当发觉网络违规行为和未授权的网络访问时，网络监控系统能够依据系统平安策略做出反应，包括实时报警、大事登录，或执行用户自定义的平安策略等。
入侵检测系统可以部署在网络中的核心，这里我们建议在网络中接受入侵检测系统，监视并记录网络中的全部访问行为和操作，有效防止非法操作和恶
意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可挂念平安管理员发觉网络平安的隐患。
需要说明的是， IDS 是对防火墙的格外有必要的附加而不仅仅是简洁的补充。入侵检测系统作为网络平安体系的其次道防线，对在防火墙系统阻断攻击失败时，可以最大限度地削减相应的损失。 IDS 也可以与防火墙、内网平安管理等平安产品进行联动，实现动态的平安维护。
入侵检测系统解决的平安问题包括：
对抗蠕虫病毒：针对蠕虫病毒利用网络传播速度快，范围广的特点，给用户网络的正常运转带来极大的威逼，通过防火墙端口过滤，可以从肯定程度上防范蠕虫病毒，但不是最好的解决方案，特殊是针对利用防火墙已开放端口（比如红色代码利用 TCP 80）进行传播的蠕虫病毒，对此需要利用入侵检测系统进行进一步细化检测和把握；
防范网络攻击大事：正如入侵检测系统的平安策略中描述的，针对XX用户数据中心区域和网络边界区域，入侵检测系统接受细粒度检测技术，协议分析技术，误用检测技术，协议特别检测，可有效防止各种攻击和哄骗。并且还能够通过策略编辑器中的用户自定义功能定制针对网络中各种TCP/IP 协议的网络大事监控；
防范拒绝服务攻击：入侵检测系统在防火墙进行边界防范的基础上，能够应付各种SNA 类型和应用层的强力攻击行为,包括消耗目的端各种资源如网络带宽、系统性能等攻击。主要防范的攻击类型有 TCP Flood，UDP Flood，Ping Abuse 等；
防范预探测攻击：部署在总部数据中心区域和网络边界区域的入侵检测系统，能够很好的防范各种 SNA 类型和应用层的预探测攻击行为。主要防范的攻击类型有TCP SYN Scan，TCP ACK Scan，Ping Sweep，TCP FIN Scan等；
防范哄骗攻击：有些攻击能够自动查找系统所开放的端口（比如平安服务区所开放的 TCP 80、TCP 25），将自己伪装成该端口，从而绕过部署在数据中心
区域和网络边界区域边界的防火墙，对防火墙爱护的服务器进行攻击，而入侵检测系统则通过对应用协议的进一步分析，能够识别伪装行为，并对此类攻击行为进行阻断或报警；
防范内部攻击：对于总部局域网而言，内部员工自身对网络拥有相当的访问权限，因此对比外部攻击者，对资产发起攻击的成功概率更高。虽然总部局域网在网络边界部署防火墙，防范外部攻击者渗透到网络中，但是对内部员工的把握规章是相对宽松的，入侵检测系统通过对访问数据包的细化检测，在防火墙边界防护的基础上，更好地发觉内部员工的攻击行为。
产品功能与特点
网御星云入侵检测系统基于分布式入侵检测系统构架，接受网御星云独创的 USE 统一平安引擎，综合