NetScreen IDP系统实施指导NetScreen-IDP传感器川來监控它所在的网络。这个传感器是运行着IDP传感器软件的破件 设备(称作IDP设备)。传感器的主要作用是在IDP规则库里所定义的特定规则的基砒上，检测可疑的和不止常的 网络流量。如果这个传感器运行在线内模式，它也可以针对恶意流量采取预定的动作。NetScreen-IDP设备支持不同的工作模式，各种工作模式具有各自不同的特点。在实施过 程中，有可能在不同的实施阶段需要不同的工作模式达到特定的目的。这个指导文档将从总体 角度介绍工作模式的特点，以及如何有步骤的实施IDP设备，以便充分发挥它的功能。一、工作模式可以将IDP传感器实施为被动嗅探(sniffer)模式或主动网关(gateway)模式。NetScreen-IDP设备无论在何种模式都可以采用独立的管理接口，可以连接到独立的管理网络上。IDP设备的接口数量对以满足典型的网络应用。1嗅探(sniffer)模式被动嗅探模式下的传感器连接在交换机或hub上，在网络流量经过的时候进行嗅探。传感 器监控网络流量，记录安全事件，并对以对攻击产生报警。但是，I丿、I为嗅探的传感器不能针对 攻击采取行动，所以它不能预防攻击。InternetHub or Switch222/1 卜FirewallSerer21.1.1.3GW 1.1.1.1Seiver31.1.1 4GW 1 1.1 1Served1.1.1.2GW 1.1 11IDP工作在嗅探模式下优点缺点无缝的IDS替换无任何预防性，被动监控戢小的网络改动必须使用Hub,或span的交换机接口不会产生新的网络故障点可以采用潜逃技术避开可以监控、记录可以的网络行为一个工作在嗅探模式下的IDP不能对网络流量采取预防性措施。因为IDP不是线内，不是 在数据包经过的路上，它就不能采取影响连接的动作。嗅探模式下IDP的安全策略无法做到使用以卜的动作或机制:任何关闭、关闭主机、关闭廉洁、丢弃或丢弃包等动作使用中继模式的SYN保护反欺骗机制尽管对以在规则中选用这些动作或检测机制而不会产生错误，但是因为IDP不是线内工 作，它却不能完成这些动作或者使用这些检测机制预防攻击。如果一条包含预防动作的规则被 匹配，IDP系统会生成一条I I志记录（如杲I志功能被打开），记录的Log Viewer Action栏中 内容为dismisso .改正方法：返回到产生这个问题的那条规则，只选择监控或记录日志行为的动作。关于嗅探工作模式的详细内容请参考NetScreen-IDP白皮书。2. IDP系统线内模式IDP线内模式，也被称为主动网关模式，可以充分发挥IDP攻击预防特性和多方法检测机 制的优势。与无预防能力的被动IDS系统不同，IDP可以被实施为用于主动地丢弃连结和数据包。 只有IDP,作为主动网关的IDP,才可以既检测攻击乂预防攻击。主动的网关传感器放置于网络和防火墙Z间，或者网络和DMZZ间，扮演一种主动的保 护网络的角色。当它检测到安全策略所定义的入侵或攻击时，传感器可以丢弃、阻塞或忽略这 些可疑的连接或者只丢弃可疑的数据包。因为主动网关传感器可以针对攻击采取行动，所 以它能预防攻击。线内操作IDP系统的好处有：攻击在被检测到的同时被停止（丢弃），保证攻击失败，防止了攻击成功可能导 致的后果。可疑的入侵可以被简单地丢弄，而不用手工一一地进行研究，节省了管理者的时 间，可以投入到其他项目小去。 IDP在结构和内容两方面，在数据包到达口标之前进行确认，可以避免常见的躲避 IDS设备的潜逃方法。有关IDP线内工作模式的详细内容请参考NetScreen-IDP白皮书。IDP的线内模式可以有桥接、ARP代理和路由三种模式。因为每个网络都具有唯一性，所 以IDP的实施模式一定要依据具体的网络配置而定。下面的内容列岀了各种模式的典型实施方法 以及优缺点。1）路由模式IDP设备串联在网络上，与网络相连的数据流量接I 1分配有IP地址，并应该按照路出规则进行分配。IDP设备将维护一张（或多张）路由表（静态或动态），当数据到达设备时，设备将 根据路由表的内容确定这个数据需要从哪个接口送出，从而确定数据流经设备的路径。然后出 进行详细的攻击检测。路宙模式的技术特点是：依靠路山表内容转发数据；设备流量接口击要分配IP地址。设备主要工作OSI模型的第三层（网络层）。crossa/er cablestraight-throughcable2221 p| 192.168.0.2 IInternetFirewallHub or SwitchManagement NetworkElho 192 16B0 1 (Forwarding Irtecraoe) Default GV 192.168.0.2IDP ApplianceEU11 m (Fawardlrq Irdecfa商Hub or SwitchClenl 2.22.2Clenl 2.22.3-HMsn3g?n2rt Saiwr2.22.4aiecil Wlh OneSecure User Interlace Inslaled 2.226Protected NetworkV I9MT-3Clent 2226SewedGW 1.1.1.1Sever21.1.1.3 GWSewer 31.1.1.4GW 1.1.1.11DPT作在路由模式下优点缺点可以对攻击做可靠的响应和预防影响3层IP网络配置（路由表等）可以连接不同IP网络地址空间2）桥接模式IDP设备串联在网络上，数据流量接口没有IP地址，设备以桥接的方式工作。IDP设备将 维护一张与之相连设备的MAC表（静态或动态），当数据到达设备时，设备将根据MAC表的内 容确定这个数据需要从哪个接口送出，从而确定数据流经设备的路径。然后再进行详细的攻击 检测。路由模式的技术特点是：依靠MAC表内容转发数据；设备流量接口不需要分配IP地址。 设备主要工作OSI模型的第二层（数据链路层）。GV- 1.1.1 1GW1.1.1.1GV11.1.1.1IDP工作在桥接模式下优点缺点可以对攻击做可靠的响应和预防简单，透明实施允许二层广播（DHCP等）通过不改变路由表和网络设备配置等3）ARP代理模式ARP代理模式与桥接模式很类似，接口没有IP地址，依靠MAC表决定数据的转发。与桥 接模式不同的是，IDP设备内部将启用ARP代理功能，对于要穿越IDP设备的ARP请求，并不是 直接转发，而是启用代理功能，从本身的ARP农中寻找相匹配的条目通知查询的设备；如果IDP 设备本身没有相匹配的条口，它将转发原始ARP请求，并在接受到ARP响应时，保留一份ARP 条目供下次使用。路由模式的技术特点是：依靠MAC表内容转发数据；设备流量接口不需要分配IP地址， 对于广播的ARP请求采取代理方式处理。设备主耍工作OSI模型的第二层（数据链路层）。GV/1.1.1.1GW1.1 1 1GW 1.1.1.1IDP工作在ARP代理模式下优点缺点可以对攻击做可靠的响应和预防网络节点可能需要更新ARP缓存内容简单，透明实施二层广播（DHCP等）不能穿越减小ARP广播的规模二、实施步骤IDP的实施过程是一个较为复杂的过程，涉及网络业务内容、攻击类型、安全级别等多方 面的因素。因此对IDP设备的实施不是一个简单的过程，NetScreen建议采用一个三段式实施步 骤，引导如何从打开包装开始，直到IDP系统可以对网络的攻击进行预防，完全发挥功能。这个 过程为嗅探模式微调线内模式。这个有顺序的实施过程杲最有效和直接的方式。1）第一阶段，嗅探模式在这个阶段，将在网络中实施嗅探模式的IDP系统。此时IDP起到一个被动入侵监测系统 的作用。安装一个管理主机和管理接口软件，并且装入能够立即开始生成安全日志的安全策略, 以便随时回顾日志记录。以嗅探模式安装IDP可以达到这样几个口的。首先，町以确认在系统功能还没有充分发挥 之前不会丢弃网络流量。第二，可以马上从网络活动中收到II志纪录，这有助于帮助理解现有 流量的种类，以及IDP检测机制如何工作。最后，在实施步骤的第一阶段以嗅探模式使用IDP, 然后在第三阶段迁移到具有全部功能的线内模式，更可以显示出线内模式独一无二的预防攻击 的能力。在第一个阶段，将对以完成：安装、配置IDP组件（IDP传感器、管理主机、用户接口软件）安装IDP川户接I I软件，然后川对象编辑器将IDP传感器当作-个网络対象加入到 网络当中。根据实施向导，检查、加载初始安全策略2）第二阶段，微调在笫二个实施阶段，将开始定制安全策略以减少误报、漏报率，检测到宾正的针对网络的攻击。在这个阶段将会开始理解网络流量的种类,并学习识别良性和恶意的行为。在第二阶段，将町以完成：使用Log Viewer, Log Investigator, flIIDP Reports观察tb忐纪录。加载初始安全策 略后，这些IDP用户接口部件允许马上察看网络上的流量记录。.通过修改IDP的Main规则库，识别攻击，并减少错报、漏报。即便是在一个小的网络上，日志记录也可能快速增长，使真正攻击发生时识别的难度更大。 通过修改初始安全策略里的规则，可以减少不必要日志记录的数量，从而减少那些有町能阻止 发现真正攻击的“噪音”。通过生成报警、设置email通知等方法识别出其正的针对网络的攻击，并进行响应。 在这第二个实池阶段，并没有准备丢弃包禽恶意事件的网络流量，但是可以认岀这些事件 并产生告警,以提醒用户注意这些攻击企图o在第三个阶段，就可以真正预防这些攻击,使它 们根本不会奏效。使用多手段检测方法预防攻击。当学会对匹配IDP Main规则库的攻击进行响应的时候，就有机会探索IDP的其他规则库和 检测机制了，包括SYN-flood攻击，后门攻击检测、保护以及其他一些杲常流量的规则库。3）第三阶段，线内模式在实施的最后一个步骤，将IDP从被动的嗅探模式迁移到主动的线内模式，以便使之能够 在恶意流量到达网络Z前将它们丢掉。在这个阶段里，用户将会开始理解IDP系统独一无二的特 性，以及在攻击发生时检测并通知的能力，但现在它可以真止地保护网络防上被那些攻击产生 破坏了。在第三阶段，将可以完成：重新配置IDP系统使之工作在线内模式。第二阶段已经微调了IDP,此后，就可以准备将IDP直接放到网络流量的线上了。使用慕 于web页面的设备配置管理器（ACM）,把IDP系统实施为貝有完全网络保护能力的线内模式检查日志记录，看看IDP发现了什么，警告了什么一旦设备工作在线内，请检查日志记录、做进一步微调，在这个多次重复的过程中确认IDP 确实以所希望的方式工作。在IDP规则库中将“DROP”指令加入到规则中。这是最后一步，修改IDP的规则库使Z包含丢弃动作，将修订过的安全策略加载到IDP传感器上。