网络病毒控制解决方案

发布时间:2017-07-26 来源: 解决方案 点击:

篇一:网络管理解决方案

网络管理解决方案

一、 问题的提出

背景:

某集团公司总部位于北京,10个分公司分别位于上海、广州、成都、西安等地。整个公司用户近3000名,其中北京1500名,其余分公司用户50-350名不等。公司在各地建立了规模不等的局域网,并租用专线连成一个广域网。公司使用的网络设备包括3Com、Cisco、Lucent、Nortel等公司的路由器、交换机、网卡。服务器上运行的操作系统有:IBM AIX、Sun Solaris、中软Cosix、IBM OS 400、HP-UX、Windows NT、Novell NetWare等;客户端以Windows 9x为主。

问题:

对于公司庞大的网络系统,出现故障不易查找、诊断和修复。

希望:

通过网管系统,在总部可以管理分公司网络设备,并支持网管人员的移动式管理;能防范来自内部与外部的入侵,解决安全问题;能适用公司规模的调整,易于实现设备的增减;适应公司业务向电子商务模式转变。

根据上述需求,拟采用如下解决方案:

1、 采用HP OpenView Network Node Manager,作为集成化网络与系统管理的基础,可以自动发现和映射整个网络拓扑结构图,确保网络管理员知晓网络中发生的任何变化。

2、 采用NAI公司的一系列安全产品,解决网络安全问题:

选用NAI公司的McAfee TVD提供防病毒安全解决方案

选用NAI公司的Gaultlet防火墙提供Internet互连安全解决方案

选用NAI公司的CyberCop提供防黑客安全解决方案

下面分四个部分讨论方案的实施。

二、 网络拓扑图的管理:

1、使用HP OpenView Network Node Manager管理整个网络结构拓扑图

HP OpenView NNM主要能够实现以下功能:

(1)NNM能够自动发现网络设备,并提供显示网络实际连接状况的视图;

(2)NNM能够持续地监控网络上新的设备和网络设备状态,并可以探测到位于广域网上的设备;

(3) NNM能够迅速找到网络故障的根源,并协助网络管理人员进行网络增长的计划和网络变化的设计;

(4)NNM能够通过Java Base的Web界面灵活访问网络拓扑及网管数据,实现了从WWW的任何地点进行数据管理的能力;

(5)NNM适合于任何规模的网络管理,既可以作为一个独立的网络管理站操作,也支持分布式体系结构,提供集中控制与分散执行;

(6)NNM允许公司运用广泛的第三方解决方案扩展其网络的可管理性。

HP OpenView NNM可以安装在Windows NT、Sun Solaris、HP-UX三种操作系统平台上,能够发现网络上的TCP/IP、IPX和Level-2设备。

NNM的实施可以有两种方式:集中式NNM和分布式NNM。

集中式NNM是在网络系统中建立一个全面负责管理所有网络资源的网管中心,该方法容易实现且操作简单;但如果网络规模较大或网络规模扩大,网络上所有网管轮询(Polling)和网管信息量增大,集中式NNM管理中心可能成为网络系统的瓶颈,并且网络管理信息流导致网络可用带宽的减少。

分布式NNM网管模式是按层次、区域建立多个网管中心,分别负责管理不同区域和不同层次的网络资源,不同网管中心相互配合共同完成网络系统的管理,顶端网络中心只管理第二级网管中心和两级之间的网络连接,第二层网管中心分区域管理下属的网络资源。该方式克服了集中式NNM的缺点,网络的分布区域可以很广,且效率较高。 根据以上特点,本方案最好采用分布式NNM,在公司总部网管中心安装NNM企业版(无限节点版本),作为采集和管理中心,它负责管理分公司网管中心和两级之间的网络连接;在各分支机构的局域网服务器上安装NNM标准版,作为管理各分支机构局域网网络资源的区域管理中心。

2、管理网络设备

针对该方案中存在着如Cisco、Bay、3Com、Lucent、Nortel等公司的网络设备,为了从公司总部网管中心管理到位于总部或分公司局域网内这些网络设备,可在这些设备所处局域网的网管中心或公司总部网管中心的NNM上集成这些设备的网管软件,例如要在公司总部管理上海分公司局域网内Cisco路由器,可在北京公司总部的网管中心安装CiscoWorks,通过广域网来管理到Cisco路由器的每一个端口。

3、 远程管理

HP OpenView NNM现在能够通过Java Base的Web界面灵活访问网络拓扑及网管数据,实现了在Web网的任何地点进行数据管理的能力。

三、 防病毒的安全解决方案

NAI作为全球反病毒解决方案的领导者,提供的McAfee TVD套件,就是一个综合的企业反病毒安全与管理方案,它具有以下显著特点:

1.最广泛的多级进入点保护:

TVD提供了桌面,服务器和Internet网关的单一集成的防病毒系统,对所有潜在的病毒进入点实行全面保护。

2.100%的病毒检测率:

NAI的防病毒软件在多个独立的实验室测试中多次获得检测不明病毒100%的认证。拥有专利权的启发式技术可以精确地检测到新的病毒。

3.强有力的服务与研究支持:

NAI在全球六大洲拥有由近百名病毒研究专家组成的反病毒紧急响应小组,为用户提供7x24小时的专业服务与支持。

4.完善的企业级管理能力:

中央控制台集中配置与管理模式,使您的企业网络更加高效,更易管理。

5.独特的病毒更新能力

当更新信息从实验室发布时,NAI惊人的企业"推送"(SecureCast)技术立即将其送达系统管理员。通过自动更新(AutoUpdate),桌面PC和服务器按计划从指定的中央服务器上提取更新信息使自己保持为更新状态。

具体到本系统,采用如下方案:

1. 多层保护。

1). 保护服务器。

如果服务器感染病毒,其被感染的服务器文件会成为病毒感染的源头,迅速从桌面发展到整个网络病毒爆发,尤其象Exchange、Lotus Notes这样的群件会加速病毒传播的速度。因此需要能高效、实时地检测发送或来自于服务器的病毒感染文件,以免它在整个网络中的扩散;同时可以按需要选择立刻或定时检测、扫描驻留在文件服务器中的病毒。

McAfee TVD防病毒软件支持所有主流的操作系统,包括Windows NT、UNIX(包括HP-UX、Sun Solaris、IBM AIX、SGI IRIX、SCO UNIXWARE、LINUX等)、Novell Netware、IBM OS/2等,并支持Microsoft Exchange、Lotus Notes等群件服务器的防病毒。

在公司总部和各分公司局域网中所有的服务器上安装TVD的NetShield,在群件服务器上安装TVD的GroupShield。

2). 网关的保护。

随着Internet的普及,越来越多的企业用户被感染病毒中,都和从Internet上下载文件有关或以电子邮件附件方式进入企业网络,所以,反病毒软件应能在网关上封住病毒,扫描所有入站、出站的电子邮件,能够为HTTP、FTP等多个Internet协议在内的通信提供病毒保护,同时扫描有恶意的Java和ActiveX小程序。

TVD的WebShield安装在网关上实现上述功能。

3). 桌面的保护。

企业在把防病毒策略放在保护服务器和网关的同时,还要注意到50%的病毒仍通过软盘进入企业网络。所以要在所有桌面机上安装桌面防病毒软件,实现桌面保护功能。 McAfee VirusScan是一个优秀的杀毒软件,它能够扫描包括引导区、文件分配表、分区表、软盘、文件夹、压缩文件在内的所有系统区域;并具有先进的实时扫描技术在磁盘访问、文件复制、程序执行、系统启动和关闭时扑获病毒,提供桌面的在线保护;同时还能够防止恶意Java、ActiveX小程序对网络用户的损害,防止病毒通过Internet下载的途径。

(图jjfa-2.gif)

2. 企业级管理

McAfee TVD拥有一个功能强大的管理工具,可以从控制中心管理企业范围内的反病毒安全机制,具有集中管理、分发和警告的功能。管理员可以使用控制台将软件升级版和更新信息迅速传至企业内部的所有客户机和服务器上;或则可制订计划,使PC机、服务器自动从指定的中央服务器提取更新信息使自己保持为最新。

四、 Internet互连安全解决方案

在大型网络系统与Internet互连的第一道屏障就是防火墙。

防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。 防火墙总体上分为包过滤和代理服务器两大类型。我们将通常所说的应用级网关和代理服务器统称为代理服务器。

包过滤即IP包过滤,虽简单方便,但包过滤路由器存在许多弱点:比如包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性(手工测试除外)。一些包过滤路由器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测出来等。

为了解决包过滤路由器的弱点,防火墙要求使用软件应用来过滤和传送服务连接(如Telnet和Ftp)。这样的应用称为代理服务,运行代理服务的主机被称为应用网关。应用网关和包过滤器混合使用能提供比单独使用应用网关和包过滤器更高的安全性和更大的灵活性。

应用网关的优点很多,如:比包过滤路由器更高的安全性;提供对协议的过滤,如可以禁止FTP连接的Put命令。信息隐藏,应用网关为外部连接提供代理。节省费用;简化和灵活的过滤规则,路由器只需简单地通过到达应用网关的包并拒绝其余的包通过,等等。

因此,应用网关防火墙的安全特性远比包过滤型的防火墙高。

Gauntlet使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力(70Mbps),很好的解决了安全、性能及灵活性的协调。由于完全使用应用层的代理服务,Gauntlet提供了该领域最安全的解决方案,从而对访问的控制更加细致。

其特点和优点:

(1)动态安全性集成技术允许集中式的策略管理和整个事件管理系统中的事件的相互通风;

(2)自适应代理技术在应用网关防火墙中可以提供信息包过滤器的高速度;

(3)支持多处理器技术提高了防火墙性能;

(4)NetMeeting代理提供视频会议、新闻、公众事件和广播会议的安全实时访问;

(5)SQL代理通过防火墙安全访问MS、Oracle和Sybase数据库;

(6)内容安全性可以保护机构免受系统数据遭到来自Internet的威胁,如Internet病毒、恶意Java、ActiveX代码。

根据网络系统的安全需要,可以在如下位置部署防火墙:

1、局域网内的VLAN之间控制信息流向时;

2、Intranet与Internet之间连接时;

3、在本系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,(通过公网ChinaPac, ChinaDDN, Frame Relay等连接)在总部和各分支机构连接时采用防火墙隔离,并利用GVPN构成虚拟专网。

4、总部的局域网和分支机构的局域网是通过Internet连接,需要各自安装防火墙,并利用Gauntlet GVPN组成虚拟专网。

5、在远程用户拨号访问时,加入虚拟专网。

五、 防黑客的安全解决方案

利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:

1、 入侵者可寻找防火墙背后可能敞开的后门。

2、 入侵者可能就在防火墙内。

3、 由于性能的限制,防火墙通常不能提供实时的入侵检测能力。

入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。

实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够阻止hacker的入侵。

入侵检测系统可分为两类: 基于主机 基于网络

基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。 基于网络的入侵检测系统用于实时监控网络关键路径的信息。

CyberCop Intrusion Protection是设计用于保护企业系统与网络设备的各个方面免受不断增长的复杂恶意威胁的专用产品。

1、CyberCop Scanner 为找出网络上的脆弱环节,CyberCop Scanner提供主动的安全性扫描和解决问题的现场解决建议,具体特性:

全面的扫描工具可以发现系统和网络的脆弱环节,并且提供了可执行的总结报告与挖掘报告选项;

独特的跟踪器信息包防火墙测试提供了详细的防火墙/路由器审计;

自动升级功能保持扫描引擎、扫描检测和脆弱性数据库处于当前最新状态; 提供入侵检测监控测试校验系统和网络动态监测器的功能;

2、CyberCop Monitor CyberCop Monitor的实时入侵检测为关键任务系统提供全面保护。它是拥有多层监控结构的实时检测代理。基于主机的信息量分析、系统事件和提供双倍保护的独立方案的日志文件一起受到监控。

其特性为:

多层的检测结构支持高速交换网络;

中央控制台具有易于适用的图形界面的配置和策略设置功能;

独立的监控代理技术提供局部响应和报警选项;

报告组合特点压缩了攻击性登录被拒绝的数据;

采用趋势分析选项可以进行逐个系统监控和扫描信息的报告整理;

自动升级功能将监控器引擎、检测特征与攻击数据库保持当前最新状态;

与Gauntlet防火墙相集成作为Active Security结构组件。

3、CyberCop Sting和CASL用假目标服务器技术与先进的自定义审查工具提高了检测功能,这样做不仅保护了企业的数据与资源,还保护了企业的声誉。

六、 相关软件报价

1、 HP OpenView报价: HP OpenView NNM Enterprise:$40790。 HP OpenView NNM 250 Node:$11990。

2、 NAI McAfee TVD McAfee TVD 250 User:¥280000

3、 NAI Gauntlet Active Firewall Gauntlet Active Firewall 250 User:¥275000

4、 NAI CyberCop CyberCop Scanner 250 User:¥130000 CyberCop Monitor 250 User:¥150000

版权声明:中国计算机软件与技术服务总公司版权所有,不得转载。

2000 COPYRIGHT (c) ALL Rights Reserved

篇二:企业网络安全应急响应终极解决方案

企业网络安全应急响应终极解决方案

作者 elixer@sina.com

2015.4.5

本文《企业网络安全应急响应终极解决方案》与《网络安全应急响应现状问题与思考》(作者,2012.9.30)为上下篇,旨在解决《网络安全应急响应现状问题与思考》一文所提出的问题,当发生网络入侵、病毒爆发、现有网络安全防御体系(如防火墙、入侵检测、入侵防御等)被突破或当机或无异常显示、防毒软件或被病毒所劫杀或对病毒不作为时,如何阻击入侵、查杀病毒、恢复系统?事前制定的网络安全应急响应预案总难以有效应对尚且未知的病毒及网络攻击,匆忙赶赴现场,无奈断网恢复,或简单备机切换,大多数公司网络安全应急响应现状如此,与黑客病毒实施的远程入侵控制相比,技术和手段完全处于非对等的劣势地位,能否改变现状,有何解决方案?

网络安全应急响应目前状况和主要问题有以下几点:

1、重防轻治,以防代治。目前网络安全产品以安全防御为主,如防火墙、入侵检测、入侵防御、防毒软件,以及网络细分、流量监视、流量控制等等,但网络安全应急救治的产品却处于稀缺或空白的状态。其表现为基于网络安全防御体系的技术水平现状,系统漏洞随着时间推移陆续显露,新病毒总量每年以超几何级数增长,黑客及病毒的技术含量不断提高和攻击手段不断翻新,黑客及病毒突破和破坏现有网络安全防御体系、劫杀和禁用防毒软件现象屡有发生,特别是爆发的大规模传染性网络病毒对提供公共服务的机构造成社会公共安全事件时有发生。

2、网络安全应急响应尚处于简单低级层次。事前制定的应急响应预案总难以有效应对尚且未知的病毒及网络攻击,匆忙赶赴现场,无奈断网恢复,或简单备机切换,大多数公司网络安全应急响应现状如此,与黑客病毒实施的远程入侵控制相比,技术和手段完全处于非对等的劣势地位,缺乏一种快速响应、与黑客病毒决胜于千里之外的能力。

3、安全防御与应急救治能力失衡,单纯防御必造成投入边际收益率递减,投资者裹足不前。“预防为主,防治结合”,这句话人人耳濡目染,但前半句的正确性和合理性成立是有条件的。安全防御与应急救治,两者的关系如同医学上疾病防疫与疾病救治的关系一样,以此类比联想,是否所有疾病都可防疫的呢?突发急病是找治病的医生,还是找疫防的医生呢?百把元即可治愈的流感有人肯不计成本的去预防它呢?答案是肯定的:1.可预防的;2.预防成本小于救治成本,这才是“预防为主,防治结合”正确性和合理性成立的前提条件。

4、进攻与防御,对攻防双方而言,如同矛与盾关系一样,没有无坚不摧的矛,也没有坚不可摧的盾,两者相生相克,此消彼长。防御系统和防毒软件处于明处,往往成为攻防实验室网络攻击秘密武器绝佳的靶子。基于特征码识别和基于行为模式识别的防毒软件需要从已知病毒提取特征码和从已知病毒学习行为模式,所以不可能识别具有未知特征码的未来病毒和具有未知行为模式的未来病毒。由于防御系统和防毒软件在系统防御中所处位置以及上述原因,决定了率先被突破、被劫杀的正是它们,由此进入网络安全应急响应的阶段。

网络安全应急响应最本质特征就在于应急救治,应急体现在实时响应,救治体现在具有决胜于千里之外的能力。实际上,难不在于实时响应,而在于入侵检测、病毒识别。若不能解决入侵检测、病毒识别问题,就无法阻击入侵、查杀病毒,现场情况不明,纵有详尽完备的应急响应预案,也只能匆忙赶赴现场,无奈断网恢复,简单备机切换,而事后取证和补救措施便也成为无的之失,流于形式,这难以满足网络安全应急响应服务社会化、专业化发展的要求,更不要说应急响应中心或应急呼叫中心了。

怎样识别病毒呢?病毒识别目前主要有病毒特征码识别和病毒行为模式识别两种方法,历史上先有特征码识别,后有行为模式识别。问题是,除此两种方法以外,还有其他的方法吗?防毒软件多年的使用及取得的巨大成就使这个问题似乎无多大意义。其实不然,“不识庐山真面目,只缘身在此山中”,下面构造算法阐明此问题。

算法I. 设当前病毒文件有全集U,经采集病毒样本并提取特征码和行为模式后构成样本集合S,现有任一文件f,其特征码和行为模式为a, 只有四种可能:1.f∈U, a∈S,识别正确;2.f?U, a?S,识别正确;3.f?U, a∈S,假阳性误报;4.f∈U, a?S,假阴性漏报。此算法即为当前防毒软件所采用的方法,集合S俗称病毒库。此算法病毒识别率高,但执行效率低。从全集U到集合S,采集病毒样本并提取特征码和行为模式包含大量工作,样本采集会有漏项和时间滞后,判断是否a∈S耗时费力,集合S需要不断更新才可识别新病毒,以当下日增数百万新病毒样本计,所有这些将是非常巨大的工作。对内外网隔离的集团用户,需要下载病

毒库S才可识别病毒,而时间滞后带来可能是灾难性的影响,以曾经的熊猫烧香病毒和ARP病毒为例,从病毒流行到有效专杀工具出现个月有余,用户手忙脚乱,充满无助无奈。

算法II. 设当前主机病毒文件有集合S,有:1.设系统正常时有全集A,系统异常时有全集B,作差集D=B-A,则有S?D;

2. 设系统正常时有集合A,系统异常时有集合B,作差集C=B-A,作差集C的关联集合D,则有S?D。此算法与算法I相比,与病毒特征码或行为模式无关,不存在样本采集、特征码和行为模式提取、病毒库更新下载等问题;集合D是一个小样本集合,可用文件属性或属性组合条件甄别,所用文件属性包括进程、线程、端口、文件类型、长度、时间、目录、名字、注册表、服务、驱动、隐身性、版本号、数字签名、MD5值等。此算法是本文在网络安全应急响应中采用的方法。

根据上述原理,现给出网络安全应急响应终极解决方案--《终极者》。一则验证理论的可行性,完善各个细节;二则将理论转化成工具,用于解决实际问题

网络病毒控制解决方案

,否则再好的理论也只是纸上的理论。下面简要阐述《终极者》的原理和方法等相关问题。

《终极者》是一款基于Windows操作系统阻击入侵、查杀病毒的工具软件,旨在用于网络安全应急响应,当发生网络入侵、病毒爆发、现有网络安全防御体系(如防火墙、入侵检测、入侵防御等)被突破、防毒软件被病毒所劫杀或对病毒不作为时,阻击入侵、查杀病毒、恢复系统的工作;改变目前应急响应赶赴现场,断网恢复,备机切换简单低层次的响应模式,改变与黑客病毒实施的远程入侵控制相比,技术和手段处于的非对等劣势地

位,使之具有可快速响应、决胜于千里之外的能力;填补缺失的网络安全应急救治环节,与现有的网络安全防御产品形成互补,构成防治结合完整的网络安全体系;通过快速响应,缩短应急响应时间,避免安全事态恶化,大幅减少运行维护成本。网络安全公司以此可将重点服务器应急响应服务扩大至全网段各主机的应急响应服务,内外网隔离的集团用户以此可就近应急响应自我救治,不必被动等待那不可预期的反病毒厂商病毒库更新来查杀病毒。《终极者》原理和方法也可适用于和移植于其它操作系统。

使用《终极者》,可选择一台主机,将《终极者》所有程序拷贝其上,作为网络共享服务器。网络共享服务器除了开放提供网络共享服务的445端口以外,关闭其余所有端口,以提高网络共享服务器自身安全性。《终极者》网络配置示意图如下:

共享服务器:开放445端口

求助主机 救助主机 《终极者》支持本地连接模式(如上图实线所示),与远程连接客户端套件配合使用,可支持远程连接模式(如上图虚线所示)。请求帮助的主机称为求助端,提供帮助的主机称为救助端。求助端、救助端和共享服务器可以处于同一个内网,也可以不处

篇三:网络管理防病毒防攻击解决方案

网络管理防病毒防攻击解决方案

网络技术的大发展,技术为人们带来更多的便利的同时,随着各种网络攻击和网络病毒的盛行,计算机网络病毒、操作系统漏洞、垃圾邮件等网吧网络安全问题成为网吧最大的安全隐患。小草上网行为管理软路由在对企业、网吧的网络安全管理研究中,看到很多的网吧在网络管理上的疏忽。

有的网吧用户下载一部电影或者是打开一个网页,都有可能携带病毒。还有的网吧之间会进行恶性竞争,让专业黑客在另一家网吧投放病毒。

如果网吧不能有效解决病毒和攻击问题,那么会导致整个网吧网络的瘫痪。各种木马病毒对网络游戏来说也是一个不小的威胁,如果因为网吧的疏忽,使得这些木马程序通过盗号,盗装备,对一些网络游戏玩家造成损失,也会使网吧的顾客人数大量的流失。

一个网吧包含一百几十台甚至好几百台的机器,常常需要为了应付五花八门的病毒而疲于奔命,而且还要时刻提防着黑客的恶意攻击。目前针对网吧的攻击,主要有外网攻击和内网攻击两种类型。

内网攻击:由于系统漏洞层出不穷,网络病毒泛滥,加上各种针对网络的攻击软件均可在网上随处下载。使网吧的网络系统、服务器或路由器等关键设备,随时有可能成为被攻击的对象,导致网络性能下降甚至完全瘫痪,对网吧的正常营业造成极大的威胁。

常见的内网攻击有ARP、DDOS和网络蠕虫等攻击方式。ARP欺骗病毒目前比较流行,它伪造网关,建立一个假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。这些基本的攻击和病毒进入的途径,都可以通过路由器本身来避免,可以选择具有防攻击的功能的路由器,可以防范常见的攻击,比如DOS/DDOS攻击、ICMPFlood攻击、地址扫描、端口扫描等等,还可以具有防止ARP欺骗的功能。这样在网络环境本身的完善上做工作,尽最大可能的减少病毒对网吧网络环境的影响。

外网攻击:一般是由网络黑客通过控制大量的中了木马病毒的傀儡计算机,通过互联网对网吧的路由器或光纤线路发动DDOS(分布式拒绝服务攻击)攻击造成网络堵塞或设备瘫痪,使网吧无法正常营业。

对于各种网络病毒,网管要做好防范措施,比如对路由器进行网络安全设置,开启网络防火墙,定期进行杀毒,对一些重要的登陆界面设置登录密码等等。

相关热词搜索:解决方案 病毒 控制 网络 冲击波病毒解决方案 安卡拉病毒解决方案

版权所有 小龙文挡网 www.xltkwj.com