Netpower网络入侵检测系统内网部署方案
社交网络风生水起,由Mark•Zuckerberg的脸谱网到国内的校内网,校内网是内网吗?这是校内网更名人人网原因之一吗?2011年6月27日,被称为“Geohot”的名噪一时的黑客乔治•霍兹(George Hotz)被曝已加盟Facebook。黑客与网络如影相随,中科院高能物理研究所是我国最早接入Internet的单位,也是国内最早遭遇黑客入侵,并开始关注网络安全问题的单位之一。1997年经中科院高技术局批准,由博士生导师许榕生研究员带头成立了网络安全课题组和网威(Netpower)工作室,从此,中科网威开始角逐网络黑红战场的智力博弈,相继保障了党的十六大、北京奥运会、上海世博会等多项重要活动的相关网络系统的安全运行。
内网安全监测利器
内网是Internet技术在企业机构内部的实现,为企业提供了一种能充分利用通讯线路、经济而有效地建立企业内联的网络方案,内网能够以极少的成本和时间将一个企业内部的大量信息资源高效合理地传递到每个人,企业可以有效的进行财务管理、供应链管理、进销存管理、客户关系管理等等。但是内网存在很多方面的安全隐患,企业内网如此庞大的重要机密信息的安全如何保障呢?
网威网络入侵检测系统(简称NPIDS)是北京中科网威信息技术有限公司经过多年在网络安全产品研发方面的积累,在充分调研国内外相关产品的基础上独立开发的一款基于网络的实时入侵检测及响应系统。
NPIDS在检测能力、响应能力以及系统自身的保护能力等方面都进行了精心的设计。该系统作为防火墙的重要补充,通过监视10M/100M/1000M局域以太网上传输的网络数据信息,根据用户指定的保护目标及检测策略,对网络上传输的数据进行深度分析,当攻击或异常行为发生时,立即产生报警并记录,同时根据用户的设置,可采取中断会话、发送报警日志、邮件通知、防火墙联动等多种响应措施。
单一内网环境部署策略
在一个典型的网络环境中部署了三个网络引擎。DMZ区和外网中的网络引擎以被动方式运行(即控制台主机主动发起连接从中“拉”数据),而网络引擎1既可以配置为主动方式,也可以配置为被动方式。控制台主机可以同时监控位于三个不同区域网络引擎的状态并处理传送回来的实时信息。
“网威”网络入侵检测系统单一内网环境部署示意图
多内网环境部署策略
每个内部子网通过单独的防火墙与外网连接,网威控制台主机位于公开网段,它可以监控位于各个内网的网络引擎。
“网威”网络入侵检测系统多内网环境部署示意图
DMZ区重点监控
在DMZ区中通过分接器给每个关键应用服务器连接一个专门的网络引擎,以保证对关键主机的重点监控,这样既可以加强监测的针对性引擎,同时也便于过滤策略和检测策略的定制。
“网威”网络入侵检测系统重点监控部署示意图
多网段监控
网络中划分多个网段时,通常每个网段需要配置一个入侵检测引擎,这样带来的问题是成本相对较高。对于网络流量不是很高,同时又划分多个网段的网络中,“网威”网络入侵检测系统提供了一个引擎同时监控多个网段的功能。这个应用方案中,通过一个入侵检测引擎可以同时监听2-7个网段,可以监控内部网内2-7个节点内的所有主机,减少引擎个数,利于管理,方便设定策略;降低网络部署成本。
“网威”网络入侵检测系统多网段监控部署示意图
透明部署模式
通常入侵检测是以混杂模式工作来监听网络上的数据包,在一些特殊的网络环境中这样会受到一些限制。“网威”入侵检测引擎工作能够在网桥模式下,这样,路由器与防火墙之间不需要再接出一个HUB或交换机用于接入引擎,部署方便简洁。