下载文档原格式
联想网御主动云防御系统信息安全威胁多样化和复杂化的趋势日益明显,现有单一的安全防护体系及被动的策略难以有效应对。
联想网御集成所有已部署的病毒/攻击检测计算资源形成主动云防御系统,为用户提供高效的整体网络安全解决方案。
一、主动云防护系统示意图二、基于安全设备云的安全防护主动云防御系统主要包含3个部分:安全防护集群、安全检测集群、主动云防御服务器。
安全防护集群由连接到主动云防护系统中的所有安全设备组成,负责从服务器下载并执行安全防护列表;安全检测集群主要由分布式部署的UTM、IPS、AVG 等设备和恶意网站探测服务器组成,负责实时检测攻击、病毒、木马等恶意行为,并上传到服务器,安全检测集群中设备也可能属于安全防护集群;主动云防御服务器负责采集信息,并自动验证、归并为安全防护列表下发到安全防护集群。
整个系统工作流程可以划分为安全防护列表收集流程和安全防护列表过滤流程,其中,安全防护列表收集流程执行在恶意网站探测服务器、UTM、IPS、AVG设备群、主动云防御服务器上,具体工作流程如下:恶意网站探测服务器采用网络爬虫的方式,遍历各个网站上的页面,并下载页面上链接指向的文件资源,然后利用商用病毒检测工具进行多重检测,如果在某个文件中检测到病毒,则把该文件对应链接的URL信息和病毒名称传送到主动云防御服务器。
AVG和UTM设备中的病毒检测模块,对通过该设备的网络流量进行分析和应用报文重组,然后进行病毒检测,如果发现病毒,则把该病毒对应的URL存入事件归并与关联模块中的事件队列中。
最后定时向主动云防御服务器提交已归并的病毒名称、URL等信息。
AVG和UTM设备中的入侵检测模块,对通过该设备的网络流量进行协议分析和统计,判断该流量中是否包含入侵攻击行为,如果发现入侵攻击,则把该攻击对应的攻击名称、地址等信息存入事件归并与关联模块中的事件队列中。
最后定时向主动云防御服务器提交已归并的入侵攻击名称、地址等信息。
主动云防御服务器收集上述3种病毒和攻击信息,首先进行合并,剔出重复冗余的信息,然后进行校验,剔出老化或失效的地址、误报信息、内部网络地址等无效信息,最后整理成包含病毒或木马的URL列表和发起攻击的地址和服务端口的安全防护列表。
25.1 网络需求某企业需要对内网流量进行入侵防护25.2 网络拓扑防火墙:内网地址192.168.83.207 ,外网地址211.211.211.211内网网段为192.168.83.0/2425.3 配置流程(1)配置防火墙网络环境;(2)定义入侵防护策略;(3)配置防火墙安全策略,调用入侵防护策略25.4 配置步骤(1)配置防火墙接口地址,公网网关进入【网络管理】-【网络接口】-【物理设备】,设置eth1和eth2为内外网口地址进入【路由管理】-【基本路由】-【默认路由】-新建,设置公网网关为211.211.211.254,内网网段直连防火墙内网口,内网PC网关和防火墙内网口IP一致,确保连通性没有问题。
(2)定义入侵防护策略;系统提供了标准入侵防护模板供引用方便建立、修改特定的入侵防护策略,也可通过应用防护 -> 入侵防护 -> 自定义特征自定义入侵特征。
进入【应用防护】-【病毒防护】-【病毒防护策略】新建IPS策略,一般调用标准入侵防护模板,然后对新策略进行适当的修改,构造适合不同环境不同安全级别的需求的入侵防护策略。
(3)配置防火墙安全策略,调用入侵防护策略进入【防火墙】-【地址】-【地址】-新建内网网段先定义内网网段,便于下一步的调用。
进入【防火墙】-【策略】-【安全策略】-放通内网上网的流量且调用所需的入侵防护策略源地址是内网网段,目的地址是任意,勾选包过滤日志,动作是允许,入侵防护策略调用之前定义好的IPS策略,其他配置选项默认即可。
如上注意所有细节,正常情况下,内网有流量通过防火墙,可到系统管理 -> 状态 -> 最新事件查看相应事件,或者到日志 -> 日志访问 -> 日志查看查看相应日志。
注意事项:如果防火墙入侵防护未生效,除了检查防火墙的配置,还需要到防火墙系统管理 -> 维护 -> 模块许可确认是否购买了入侵防护特征升级,如果购买了,且IPS特征库升级授权未到期,需要到系统管理 -> 维护 -> 系统升级处查看入侵防护的特征库是否升级到最新。
联想网御内网安全管理系统联想网御内网安全管理系统是联想网御安全管理系统的重要组成部分,采用TTM可信终端管理技术,保护企业内部资源和网络的安全性。
内网安全管理系统,由终端管理系统、补丁管理系统和文件保密管理系统组成。
终端管理系统帮助用户实现桌面行为监管、外设和接口管理、准入控制、非法外联监控和终端资产管理功能。
补丁管理系统帮助用户实现系统漏洞分析、补丁自动分发、分发策略管理和分发流量控制功能。
文件保密管理系统帮助用户实现对文件、目录、磁盘和U盘的保密管理功能。
产品组成联想网御内网安全管理系统由服务器、客户端和控制台三部分组成。
●服务器:用于管理终端计算机的资产和系统信息、漏洞补丁数据、所应用的安全策略等,并向终端计算机的客户端发送监控指令等。
●客户端:安装在每台被管理的终端计算机上,用于收集终端计算机的数据信息,执行来自服务器模块的指令,完成对终端计算机的监控等。
●控制台:是对服务器进行操作的控制界面,用于监控每台安装有客户端的终端计算机,制定安全策略,下达对终端计算机的监控指令等。
产品优势终端隐患一网打尽系统采用底层监控技术对终端用户的外设接口使用行为进行控制,可以禁止使用USB存储设备、打印机、红外接口等外设和接口,同时支持对敏感文件进行加密,防止重要数据外泄。
系统支持对终端用户的程序使用、文件访问、上网行为、端口通信、网络共享、资产变更等行为进行监控、审计和管理,消除终端安全隐患。
系统补丁统一分发系统通过对终端计算机进行自动漏洞分析,统一向终端下发所需系统补丁,确保终端计算机方便快捷地修补系统漏洞,增强终端安全性。
系统支持补丁分发策略管理、分发流量控制、级联分发、自定义补丁管理、补丁增量更新、补丁回退等功能,帮助客户省时、省力、省带宽地完成对终端的"查遗补漏"。
安全策略强制执行系统以强制执行内部安全策略为核心,通过在服务器端统一编辑安全策略并下发到内部各终端计算机上强制执行,完成对终端计算机集中的安全防护和行为监管,防止用户对内部资源的非授权访问和重要信息外泄,提高终端自身安全性,实现终端从自主安全管理到强制安全管理的飞跃,保证内网用户行为的合规性。
联想网御入侵检测系统IDS N2000快速安装手册联想计算机技术服务有限公司联想网御入侵检测系统IDS N2000快速安装指南1 网御IDS N2000安装1.1 控制台安装安装控制台时,应:●确认操作系统为windows2000●确认管理员账号密码的安全性●解除或删除不使用的用户账户●确认解除Guest账户●设置有效的密码策略●设置用户账户锁定●设置管理员账户●删除不必要的共享文件,对必要的共享文件设置恰当的访问权限●安装最近的Service Pack●安装最恰当的Post-Service Pack和安全Hot fixes●删除不必要的服务执行安装光盘下根目录下的setup.exe文件,按照提示一步步进行,首先安装完MSDE后重新启动计算机,在继续安装联想网御入侵检测系统。
安装完毕将控制台ip配成192.168.0.1。
1.2 探测器设置:使用串口线设置探测器信息:1) 设置超级终端:选择com口;设置波特率:19200;数据位:8;奇偶校验:无;停止位:1;流量控制:硬件。
2) 登录使用用户名admin,口令admin123。
3) 输入ipconfig 192.168.0.100 255.255.255.0,设置网卡的地址为192.168.0.100,掩码是255.255.255.0。
4) 输入commdconf console 192.168.0.1 cp 18999 hp 18999 modepassive回车。
5) 输入exit,退出,自动保存配置。
经过这些配置后,使用交叉线将通讯口连接到控制台所在主机的以太网口上,并使用光线线连接探测器上的光纤口和交换机上的监听口上,这样探测器和控制台就可以自动连接了,插入电子钥匙,启动控制台,输入管理员账号root和初始密码111111,即可以进入控制台操作界面,入侵检测系统就可以正常运行了。
2 系统维护文档2.1 安全配置标准入侵检测系统被安装在网络中之后,就开始按照既定的策略进行数据监控和审计,为了保证入侵检测系统的安全、正常、高效运行,我们需要做到:1) 确保交换机上的监听口的配置正确完成,能够监听所有进出服务器群的网络数据流,。
联想网御入侵防御系统产品联想网御IPS产品由检测引擎硬件平台和LEMS软件两部分组成。
检测引擎:
对网络数据包进行收集和检测分析后,可依据设定的安全策略对违反预设策略的事件实施阻断或限制等动作,同时实时向LEMS( Leadsec Extensible Management System) Server传送报警信息和事件过程记录。
依据设备处理性能的不同,分为多款机型,以适应不同的网络需求。
LEMS软件:
安装于主机平台上构建LEMS Server,收集事件及日志记录,可集中管理多台IPS检测引擎。
网络管理员可通过网络中任意主机的网络浏览器(LEMS Client)连接到LEMS Server,实现对检测引擎设备的管理、安全策略的设定、事件及日志的审计等操作。
产品特性与功能。
联想网御安全隔离与信息交换系统
产品概述
网御SIS-3000安全隔离与信息交换系统通过专有的安全交换模块实现内外网络的安全
隔离,独创的SIS安全隔离技术把安全性、智能性、高效性等特点完美的结合在一起。
数据只能以专有数据块方式静态地在内外网间进行“信息摆渡”,切断了内外网络之间的任何连
接,从而保障数据安全、可靠、高效的交换。
可广泛应用于政府、企业、军队中不同安全等级的网络之间的安全隔离与信息交换。
产品特点
采用专有的安全隔离硬件,保证任意时刻内外网络的安全隔离基于信息摆渡机制和专有协议,
阻止任何TCP/IP连接直接穿透
提供基于应用层协议的细粒度安全检测,有效确保交换数据内容的安全可控具备数据迁移型
和数据访问型两种模式,应用面广功能模块化设计,菜单式选购,扩展灵活方便
采用专有高速交换总线和 DMA通道流水线技术,交换速率达到业界领先水平支持双机热备及
负载均衡功能,采用1 + 1冗余电源设计(可选),为用户提供不间
断服务
提供方便的开发接口,完全满足定制用户的个性化安全策略需求
产品资质
公安部销售许可证:XKC30361
国家信息安全测评认证中心注册号:CNITSEC2003TYP236
国家保密局产品检测证书:ISSTEC2004YT0143
中国人民解放军信息安全测评认证中心注册号:军密认字第0343号
国家版权局计算机软件著作权登记号:2003SR3221。
[FW/VPN/UTM安全网关产品线] 销售话述
本期索引:防火墙竞争分析-联想网御
近期在政府采购网上发现了一些新的情况,在央采和地方政府采购网上投标产品的名称都不一样。
在众多安全厂商中,联想网御最为严重,他们在各个政府采购网上的产品名称都不一样。
针对这些变化,在最近的几期报道中,将进行主要竞争对手的描述,希望能对前方的同仁在打单的时候有所帮助。
主要的内容是产品的规格和功能的对比。
规格对比
在功能上来看,联想网御主要增加了应用层控制的功能,也就是他们自己说的绿色上网的功能。
在投标的时候,关于功能不满足的地方,都必须应答满足,否则就没有办法应标。
在功能对比上来看,大家也会发现把防火墙和UTM进行组合是一个不错的应对方式。
所以在应标的时候可以灵活应对。
最重要是能够运作项目,让别人来应标,这样就不会很被动。
联想网御入侵防护系统护航证券内外网安
全
对证券公司一般网络结构(如图1)分析后发现,网上交易平台通过互联网向用户提供网上交易、实时行情、投资分析等服务;办公网内的用户通过互联网获取各种资源,因此网上交易平台和办公网成为整个网络中风险级别最高的两个点。
在防范DoS及DDoS攻击方面,联想网御入侵防护系统并非单纯以总量计算数据包的方式统计,而是针对每个源IP在单位时间内符合报文特征的次数,综合进行判断,因此可以有效防范CC攻击,以确保合法用户顺利访问Web站点。
针对缓冲区溢出攻击,联想网御入侵防护系统提供“虚拟补丁”技术,联想网御的技术专家团队及时跟踪网络中各种系统、软件存在的bug,第一时间提供检测特征码,为用户网络提供一个虚拟的安全补丁,防范大部分的零日攻击。
针对Web应用攻击,联想网御入侵防护系统提供了单独的Web攻击特征组,对Web 应用软件、应用系统存在的漏洞等进行有针对性的防护。
针对SQL注入和XSS攻击,联想网御定义了协议自动机(Protocol Automaton,简称PA),用于定义和描述一个特定的网络攻击和应用行为,通过PA技术,联想网御能有效防范SQL注入/XSS攻击。
联想网御PA技术的主要优势有以下几个方面:首先,为每类典型攻击行为制作了协议模型,这些模型具有通用性,可以涵盖类型广泛的攻击;其次,鉴于SQL注入/XSS的签名较短的特点,联想网御在PA技术的基础上还利用了时序和交叉验证技术,这样可以大大提高识别的准确率,最大程度的减少误报。
除此以外,联想网御还具有完全自主知识产权的IPS引擎和签名,根据PA的状态迁移,分层分级进行不同的签名验证,只对必要数据进行分析和比对,在保证准确率的同时最大程度上减小了对用户网络数据的干扰,保证网络的访问质量。
针对办公网的防护,联想网御入侵防御系统以内网上网行为管理的细粒度访问控制为主,有效规范了上网行为,提升了网络使用的效率。
采用基于协议自动机的流量识别技术,联想网御入侵防护系统能够基于软件应用和内容识别出P2P应用,并对P2P下载进行拦截、限流,以优化网络资源;此外,可针对加密型或非加密型即时通讯软件进行管理及拦截,根据不同需求,进行多层次控制,不仅可禁止实时聊天程序,还可对即时通讯软件的登陆、聊天、传输文件、实时语音、实时视频等进行分项管理。
联想网御入侵防护系统还支持对多种流行虚拟隧道软件进行检测,通过限制隧道连接,让非法加密隧道无立身之地,针对日益广泛的在线游戏软件,也能进行有效监控,支持对多种流行的在线游戏实现阻断管理,从而提高企业的整体工作效率。
