***客户
McAfee IPS入侵检测设备实施方案
McAfee公司上海办事处
Tel: 021-********
2013年3月30日
目录
1方案概述 (4)
2人员和组织结构 (5)
2.1项目的组织机构及人员 (5)
2.2项目实施计划 (6)
3产品部署方式 (7)
3.1部署示意图 (7)
3.2各个设备的端口配置表 (10)
3.3项目所需资源列表 (13)
3.4可靠性保障 (15)
3.5与FoundStone的系统整合 (19)
4实施步骤说明 (32)
4.1分阶段实施说明 (32)
4.2阶段一实施准备 (32)
4.3安装ISM软件 (33)
4.4配置ISM双机热备 (41)
4.5阶段二安装及配置 (43)
4.6策略配置 (45)
4.7基本功能测试 (56)
4.8配置FoundStone联动 (67)
4.9阶段三上线切换 (69)
4.10阶段四IPS策略切换 (72)
4.11回退 (73)
4.12阶段五培训和知识转移 (74)
5综合安全管理体系 (76)
5.1安全风险管理方法 (76)
5.2建议的***客户安全管理流程 (79)
6项目验收 (82)
1 方案概述
此次太平洋集团的网络入侵检测(以下简称IPS)安全强化项目的主要目的为提高整个网络的安全性,加强风险抵御能力。
风险管理的过程中,如何有效地消除威胁、降低风险是关键,因此,我们首先应该建立全面的系统和网络防御体系。***客户目前已经建立了一套比较系统的终端安全措施,而McAfee为客户提供了主动的网络防护系统,帮助用户对抗未知的和将来出现的威胁,包括通过McAfee IntruShield(即IPS)构件完善的企业安全边界系统,在网络边界实时准确的阻断各类网络攻击行为,DoS/DDoS攻击及未知的攻击流量,并对P2P、IM等应用流量进行管理,完善整个***客户的网络安全建设。
本方案主要包括的内容为与实施相关的各项工作,项目组组成人员,实施细节,实施进度以及验收等事项。
2 人员和组织结构
2.1 项目的组织机构及人员
图 1. 实施小组人员分工项目小组人员介绍
表1 项目参与人员2.2 项目实施计划
表2 项目计划时间
3 产品部署方式
整个实施的架构示意如图所示,总共有8台设备,包括4台IPS3000,2台IPS2700,2台1400。8台设备通过一个统一的管理平台IntruShield Manager(ISM)进行管理。其中ISM 做了主备设置,分别为ISM-1,ISM-2。
3.1 部署示意图
图 2. 部署示意图
接线分解示意图:
图 3. 陆家嘴接线示意图
图 4. 南汇接线示意图
3.2 各个设备的端口配置表
设备规格和要求:
ISM控制台要求:(2台,分别为主,备)CPU 主频3G以上,
内存4G
硬盘空间c:\ 不小于10G,安装盘符不小于40G。
操作系统要求:Windows2003 server + SP1 ,以及所有相关的安全补丁。
Sensor规格:
IntruShield 3000
IntruShield 3000设备硬件见下图:
图 5. I-3000设备示意图
探测端口密度:12个千兆端口(6对,SFP)
端口配置选项:6 个In-line or 12个Span端口,或者混合
端口支持:SFP mini- Gigabit连接器( SX , LX , TX )
端口Bypass: 通过外部Fail-Open设备
电源:双冗余电源
IntruShield 2700
图 6. I-2700设备示意图
探测端口密度:6个百兆端口,2个GBIC千兆接口(4对)
端口配置选项:4 组In-line 或8个Span端口,或者混合
端口支持:百兆以太口和千兆GBIC口
端口Bypass: 百兆电口支持,GBIC口需要通过外部Fail-Open设备
电源:双冗余电源
IntruShield 1400
图 7. I-1400设备示意图
探测端口密度:4个百兆检测端口
端口配置选项:2个In-line或者4个Span端口,或者混合
端口Bypass: 内置Fail-Open功能
3.3 项目所需资源列表
本次项目涉及的设备较多,相关的资源涉及系统,网络,安全,应用等,下表列出所有
相关资源。
3.4 可靠性保障
为了保障核心线路的可靠性,此次实施过程中通过多方面的配置保障其稳定性。
3.4.1 Fail Over故障转移配置说明
故障转移主要是针对链路故障时的转移,用配对的设备来实现。要充当故障转移对,两个传感器的型号必须相同,并且必须具有相同的传感器映像。
导向到管理控制台,配置FO 配对。
各个型号的FO接口说明。
1 )单击Sensors(传感器)> Failover Pairs(故障转移对)> Manage Intrushield Failover Pairs (管理Intrushield 故障转移对)。
2)单击Add(添加)。打开Create Sensor Failover Pairs(创建传感器故障转移对)对话框。3)选择Sensor Model(传感器型号)。故障转移对中的两个传感器必须为同一型号。
4)键入用于标识这一组合的唯一Failover Pair Name(故障转移对名称)。
5)从下拉菜单中选择Primary Sensor(主传感器)。
6)从下拉菜单中选择Secondary Sensor(次传感器)。
7)单击Create(创建),或者单击Cancel(取消)以放弃。保存时,会出现一条消息,以提示故障转移对的创建需要一段时间。单击OK(确定)。新的故障转移对将作为
创建时所在“Sensors”(传感器)节点的子节点出现。
3.4.2 Fail Open 失效开放配置说明
实效开放为确保硬件故障时的直通链路。配置示意图如下:
界面配置的步骤需要执行以下操作:
1)在ISM 界面中,选择Sensor_Name(传感器名称)> Sensor(传感器)> Configure Ports 2)在Monitoring Ports(监视端口)中单击一个端口编号(如1A)。弹出窗口显示了当前的端口设置。
3)选择端口的Speed(速度)。
4)将Administrative Status(管理状态)选为Enable(启用)(打开)。
5)选择In-line Fail-Closed (Port Pair)作为Operating Mode(工作模式)。
6)确认(Yes(是))您已连接旁路开关和控制器或控制电缆。
7 选择当前端口要连接的网络区域:Inside(内部)或Outside(外部)
8 单击Ok(确定)。
9 单击Commit Changes(提交更改)。
3.5 与FoundStone的系统整合
3.5.1 与FoundStone联动说明
McAfee的所有安全产品在设计和研发的过程中,均考虑到企业管理和使用的整合性需求,McAfee IntruShield入侵防护产品也是一样,IntruShield可以和Foundstone风险管理产品实现整合,如下图所示:
图 8. IntruShield与Foundstone的整合性
I.同Foundstone的整合:
1)IntruShield 可以获取并关联Foundstone 扫描数据;
IntruShield 提供了与Foundstone Enterprise。来自Foundstone的漏洞评估报告包含在某个子网或网络的特定主机或一组主机中检测到的漏洞。例如,一份漏洞评估报告显示主机10.1.1.x 易受特定缓冲区溢出漏洞的攻击,同时显示了与该攻击有关的CVE ID /错误跟踪ID。可以将Foundstone 的漏洞扫描程序报告导入到ISM。当漏洞扫描程序报告被导入到ISM 后,ISM 中的漏洞评估模块会将所报告的每个漏洞的CVE ID /错误跟踪ID 与IntruShield 攻击定义模块关联。如果它找到了匹配的CVE ID /错误跟踪ID,则会将其存储到ISM 数据库中。
当ISM 中生成特定攻击的警报时,系统就会把该攻击的CVE ID 同导入ISM 数据库中的漏洞报告数据进行比较。如果找到了匹配的CVE ID/错误跟踪ID,则在警报管理器的“Vulnerability Relevance”(漏洞关联)列中,这些警报将被标记为Relevant(相关)。将警报标记为相关可帮助网络管理员方便地查看警报,并按相对关联对警报进行排序。