上海市普陀区现代教育技术中
心入侵检测防护系统
投标文件
招标编号:JSZB-2008-11-148
投标方:上海昭阳信息技术有限公司
二〇〇八年十二月十八日
目 录
投 标 文 件 声 明 ...............................................................................................................................- 2 -
开 标 一 览 表 .....................................................................................................................................- 4 -
投 标 报 价 明 细 表 .........................................................................................................................- 5 -
货 物 说 明 一 览 表 .........................................................................................................................- 6 -
配 件 价 格 表 .....................................................................................................................................- 7 -
技 术 服 务 项 目 报 价 表 .............................................................................................................- 8 -
技 术 参 数 偏 离 表 .........................................................................................................................- 9 -
售 后 服 务 计 划 书 .......................................................................................................................- 12 -
关 于 资 格 的 声 明 函 .................................................................................................................- 14 -
相 关 证 件 .........................................................................................................................................- 15 -
法 人 代 表 授 权 书 .......................................................................................................................- 16 -
项目经理负责人情况表 .......................................................................................................................- 17 -
商 务 对 比 表 ...................................................................................................................................- 18 -
方案设计 ...............................................................................................................................................- 19 -
1、概述 ........................................................................................................................................- 19 -
2、设备选型 ................................................................................................................................- 19 -
3、产品清单 ................................................................................................................................- 20 -
4、产品部署 ................................................................................................................................- 20 -
5、McAfee IntruShield 网络入侵防护产品简介.......................................................................- 21 -
投 标 文 件 声 明
致:_上海市普陀区教育资产管理中心
根据贵方 上海市普陀区现代教育技术中心入侵检测防护系统项目招标采购的 入侵检测防护系统 货物的
投标邀请(招标编号为: JSZB-2008-11-148),现正式授权的下列签字人 刘建平、客户经理(全名、职务)代表投
标人 上海昭阳信息技术有限公司 (投标人名称),提交下述文件正本1份和副本4份。
(1) 投标文件声明;
(2) 开标一览表 ;
(3) 投标报价明细表;
(4) 货物说明一览表;
(5) 配件价格表;
(6) 技术服务项目报价表;
(7) 技术参数偏离表;
(8) 售后服务计划书;
(9) 资格证明(附件九、十二、十三);
(10) 相关证件;
(11) 项目负责人情况表;
(12) 商务对比表;
(13)投标设备样本(含设备彩图、设备说明书)及其它部分(投标人认为设备符合“招标文件”规定的证
明文件,以及投标人认为需要加以说明的其他内容)。
(14)“投标人须知”第10条要求投标人提交的全部文件。
据此函,签字人兹宣布同意如下:
(A)按招标文件的规定提交货物、运输装卸和布线、安装调试及售后服务费用(含除设备、材料之外的
各种辅助性附件费用)及提供技术服务的投标总价: 伍拾贰万肆仟肆佰元整(¥524400)。
(B)投标人将按“招标文件”的规定履行合同责任和义务。
(C)投标人已详细审核了全部“招标文件”,包括修改文件以及全部参考资料和有关附件,我们知道必须
放弃对上述文件中所有条款提出存有含糊不清或不理解之问题的权利。
(D)我们同意在“投标人须知”第22条所述的开标日期起遵循本投标文件的规定,并在“投标人须知”第16
条规定的投标有效期届满之前均有约束力,而且有可能中标。
(E)如果在开标后规定的投标有效期内撤回投标,我们的投标保证金可被贵方没收。
(F)同意进一步提供贵方可能要求的与投标有关的任何数据证据或资料。
(G)我们完全理解贵方不一定要接受最低报价的投标或收到的任何投标。
(H)我们承诺我们提供的资格文件及一切资料均真实有效,如与实事不符,我们的投标将被视为无效投
标。我们愿按《上海市政府采购供应商登记及诚信管理(暂行)办法》的规定接收处理,并原意承担由此引
发的各类法律责任。
与本投标有关的正式通讯地址为:
地址:上海市杨浦高科技孵化基地二期904
邮编: 200433
电话: 021-51263718
传真: 021-65650007
电子邮件: liujp@
被授权人代表签字:
公章:
日期:2008年 12 月 18 日
开 标 一 览 表
项目名称:上海市普陀区现代教育技术中心入侵检测防护系统
投标单位:_上海昭阳信息技术有限公司____ __ ____
投标总价: ¥524400 元(大写伍拾贰万肆仟肆佰元整)
招标编号:JSZB-2008-11-148
1 2 3 4 5 6
设备(元) 安装调试费(元) 交货时间 投标保证金 质保期
入侵检测
防护系统
¥524400 0
投标总价
∑(2+3)
伍拾贰万肆仟肆佰元整(¥524400)
合同签订
后2周内
¥6,000 三年
被授权人代表签字:_____________________
(盖公章)
日期: 2008年 12月 18 日
内
容价
格
投 标 报 价 明 细 表
招标编号:JSZB-2008-11-148
1 2 3 4 5 7 8 9
总 价
序号
设备名
称
数量 单价 品牌型号 保险费 运输费
3×4+7+8
1
入侵检
测防护
系统
1 ¥524400
McAfee
IntruShield
2700
0 0 ¥524400
B
安装集
成
0
投标总价(元)
∑9+B
¥524400(大写伍拾贰万肆仟肆佰元整)
被授权人代表签字:________________
(盖公章)
日期: 2008年 12月 18 日
货 物 说 明 一 览 表
招标编号:JSZB-2008-11-148
序号 货物名称
型号
规格
主要
技术参数
数量 性能说明 备注
1 入侵检测防护系统
McAfee
IntruShield
2700
配置6个10/100M网络端口,2
个千兆端口,1个10/100M管理
端口;
1
网络吞吐
量为
600Mbps;
并发连接
数25万
说明:货物说明一览表中填写的技术指标是真实的,与投标设备实际技术指标无偏差。
被授权人代表签字:________________
(盖公章)
日期: 2008年 12月 18 日
配 件 价 格 表
招标编号:JSZB-2008-11-148
序号 配件名称 型 号 单 价(元)
1
千兆铜缆口或千兆光口模块
1000Base TX Gigabit Interface
Converter
¥4,000
2 Fail-Open模块 Gigabit Fail-Open Kit ¥10,800
注:质保期后主要零配件价格。
投标人代表签字:__________________
(盖公章)
日期: 2008年 12月 18 日
技 术 服 务 项 目 报 价 表
招标编号:JSZB-2008-11-148
序号 技 术 服 务 项 目 报 价(元)
1 上门费 ¥500
2 检查费 ¥500
3 保养费 ¥800
4 硬件维修
5 零配件更换
视情况而定,以成本价收取相关费用
注:质保期后维修服务收费标准。
被授权人代表签字:_________________________
(盖公章)
日期:2008年 12 月 18 日
技 术 参 数 偏 离 表
招标编号:JSZB-2008-11-148
序号
设备
名称
招标文件技术规格 投标文件技术规格 偏离 说明
探测端口数要求不少于 6
个百兆端口,2 个千兆端
口,同时支持光纤端口和
同轴电缆端口,并且有单
独的 10/100Mbps 以太网
管理端口
McAfee IntruShield 2700:标
配 6 个 百 兆 以 太 网 口 ,2 个
GBIC 千兆端口, 同时支持光
纤端口和同轴电缆端口,并且
有单独的 10/100Mbps 以太网
管理端口
无偏
离
网 络 流 量 在 600Mbps 时
设备仍要能正常运行,且
性能无可感觉的变化
McAfee IntruShield 2700 最高
性能 600Mbps
无偏
离
性
能
要
求
支持的并发连接数不少
于 250,000 个
McAfee IntruShield 2700 最大
并发连接数 250,000 个
无偏
离
Sensor 架构要求为基于
ASIC 的硬件 Sensor
McAfee IntruShield 2700 产品
基于 ASIC 的硬件 Sensor
无偏
离
攻击 Signatures 数不低于
4000 种
McAfee IntruShield 2700 防攻
击 Signatures 数 远 远 大 于
4000,实时签名更新
无偏
离
能够解码的协议数不低
于 105 种
McAfee IntruShield 2700 能够
解码的协议数为 105 种
无偏
离
异常探测支持协议异常、
应用异常和统计探测方式
McAfee IntruShield 2700 支持
协议异常、应用异常和统计探
测方式
无偏
离
DOS 探测必须有两种方
式:人工定义阈值和自学
习 每 种 DOS 攻 击 协 议
Profile 的探测方式,并且
支 持 Syn-Cookie 的 防
DOS 攻击方式
McAfee IntruShield 2700 具有
两种防 DOS/DDOS 攻击的方
式 , 支 持 Syn-Cookie 的 防
DOS 攻击方式
无偏
离
支 持 用 户 自 定 义
Signatures
用户可以根据攻击特征自定
义特征库
无偏
离
支持非对称路由下的流量
监控和 Session 跟踪
McAfee IntruShield 2700 支持
非对称路由下的流量监控和
Session 跟踪
无偏
离
能够探测加密 SSL 攻击,
并且不影响性能
McAfee IntruShield 2700 能够
在不影响设备性能的情况下,
对加密攻击进行探测
无偏
离
要求入侵防护设备内没有
硬盘
McAfee IntruShield 2700 硬
件 sensor 内部没有硬盘
无偏
离
支持内部状态防火墙的功
能
McAfee IntruShield 2700 支持
防火墙功能
无偏
离
支持基于 TCP/UDP 端口、
网络协议网络流量分配
McAfee IntruShield 2700 具有
网络流量分配功能
无偏
离
McAfee
IntruShiel
d 2700 入
侵检测防
御系统 入
侵
探
测
架
构
要
求
支持网络访问控制
McAfee IntruShield 2700 支持
网络访问控制
无偏
离
防护策略可以根据内部
(Inbound )和外部端口
(Outbound)配制不同的
动作响应
McAfee IntruShield 2700 设备
可以对内部和外部端口设置
不同的响应动作
无偏
离
入侵防护设备自身支持攻
击数据包 Drop 和 Session
Drop
McAfee IntruShield 2700 自身
支 持 攻 击 数 据 包 Drop 和
Session Drop
无偏
离
支持 IP、主机隔离
McAfee IntruShield 2700 支
持 IP、主机隔离
无偏
离
SPAN 时支持 TCP Rese
McAfee IntruShield 2700 以
SPAN 方式部署时支持 TCP
Rese
无偏
离
动
作
响
应
支持 ICMP 通知攻击客户
端
McAfee IntruShield 2700 支
持 ICMP 通知攻击客户端
无偏
离
支持 In-Line、TAP、SPAN
和 Port Clustering 接入方
式
McAfee IntruShield 2700 支
持 In-Line、TAP 含 SPAN 和
Port Clustering 接入方式
无偏
离
支持虚拟 IPS,单台设备
可以支持 100 个虚拟 IPS,
虚拟 IPS 划分必须能够支
持 VLAN 和 CIDR
单台设备最大可以支持 100
个虚拟 IPS,虚拟 IPS 划分能
够支持 VLAN 和 CIDR
无偏
离
同一台入侵防护设备能够
同时支持 In-Line、Tap、
SPAN 和 Port Clustering
部署方式
McAfee IntruShield 2700 支持
四种部署方式为 In-Line、TAP
含(对应快速以太网端口)、
SPAN 和 Port Clustering
无偏
离
探测端口支持 Fail-Open
McAfee IntruShield 2700 探测
端口具有 Fail-Open 功能
无偏
离
接
入
方
式
要
求
设备自身支持双机热备
(HA)功能
McAfee IntruShield 2700 支持
双机热备(HA)功能
无偏
离
可以依据用户环境(OS、
应用和平台)选择已经定
制好的不同平台环境策略
组
McAfee IntruShield 2700 通过
管理软件依据用户环境(OS、
应用和平台)选择已经定制
好的不同平台环境策略组
无偏
离
Signature 和策略升级可以
通过人工或者自动方式
Push 到入侵防护 Sensor
McAfee IntruShield 2700 支持
人工或自动方式将 signature
和 策 略 Push 到 入 侵 防 护
Sensor
无偏
离
Signature 升级后不需重启
入侵防护 Sensor
McAfee IntruShield 2700 支
持 Signature 升级后不需重启
入侵防护 Sensor
无偏
离
策
略
和
配
置
管
理
要
求
支 持 Sensor software 的
Upgrade
McAfee IntruShield 2700 支
持 Sensor software 的 Upgrade
无偏
离
入
侵
支持和漏洞管理系统的集
成
McAfee IntruShield 系列产品
可以和漏洞扫描系统集成
无偏
离
风
险
预
警
功
能
能够将内部计算机网络漏
洞评估报表载入到 IPS 管
理端,在报警管理窗口中
有专门的栏目标记和内部
网络存在的漏洞相关的攻
击
McAfee IntruShield 2700 能够
将内部计算机网络漏洞评估
报表载入到 IPS 管理端,在报
警管理窗口中有专门的栏目
标记和内部网络存在的漏洞
相关的攻击
无偏
离
支持实时报警
McAfee IntruShield 2700 具有
实时报警功能
无偏
离
支持报警图形显示
McAfee IntruShield 2700 支持
报警图形显示
无偏
离
支持攻击状态结果显示
McAfee IntruShield 2700 攻击
状态分类结果显示
无偏
离
报警管理器支持向下挖掘
详细信息的“Drill Down”功
能
McAfee IntruShield 系统报警
管理器支持向下挖掘详细信
息的“Drill Down”功能
无偏
离
要求无最大报警数限制
McAfee IntruShield 2700 报警
数无限制
无偏
离
报
警
管
理
要
求
报警可以根据攻击类型、
IP 地址、端口、方向等用
不同颜色标记,便于查找
和管理
报警可以以攻击级别、攻击类
型、IP 地址、端口、方向等用
不同颜色标记,便于查找和管
理
无偏
离
报 表 格 式 支 持 PDF 和
Html
McAfee IntruShield 支持多种
报表格式,包括 PDF 和 Html、
CSV 格式及中文报表
无偏
离
已有固定的报表格式 拥有固定的报表格式
无偏
离
具有用户自定义报表模板
McAfee IntruShield 系统可以
自定义报表格式
无偏
离
开放数据库 Schema
McAfee IntruShield 支持开放
数据库 Schema
无偏
离
报
表
要
求
要
求
支持通过邮件定时向指定
人员发送自动产生的指定
报表
McAfee IntruShield 通过电子
邮件向指定人员定时发送报
表
无偏
离
原厂商三年服务,7*24 服
务,紧急情况下 4 小时当
日上门服务
提供三年质保,7*24 服务,
紧急情况下 4 小时当日上门
服务
无偏
离
服
务
要
求
中标方提供 7 天 x24 小时
热线支持和专门的项目经
理负责
提供 7 天 x24 小时热线支持
和专门的项目经理负责
无偏
离
被授权人代表签字:______________________
(盖公章)
日期:2008年 12 月 18 日
售 后 服 务 计 划 书
主要内容应包括:
1、 公司简介
上海昭阳信息技术有限公司注册于杨浦高新技术产业园区,是一家集计算机系统集成、硬件分销、软件
开发、技术服务为一体的高科技公司,是杨浦区科委重点支持企业。
上海昭阳信息技术有限公司是一家优秀的信息技术产品的提供商---公司一贯倡导将全球最先进的、最好
的产品提供给用户,先后和许多国际知名的计算机及网络产品供应商达成合作伙伴关系。公司 1997 年与联想
公司签约,目前是联想全系列产品的行业增殖服务商。从 2002 年公司陆续和 IBM、DELL、HP 国际知名 IT
厂商建立战略合作伙伴关系,在政府、教育行业、企业领域我们是 DELL 和 HP 产品的指定系统集成合作商。
上海昭阳信息技术有限公司是一家优秀的信息技术服务商。公司背靠复旦大学的科研实力,专注致力于
教育、政府机关、医疗、大中型企业等领域的信息化推广。特别在教育、企业行业有很强的软件开发、系统
集成的经验与实力。公司在网络布线、多媒体安防监控、多媒体视频会议、多媒体数字化教学领域获得了 2005
年国家高新技术创新基金的支持。项目在浦东干部管理学院、长宁区政府、长宁教育局、闵行区教育局、黄
浦区政府、教育局、扬浦区政府、教育局都有广泛的应用。
2、 售后服务机构(名称、人员配备、联系地址、电话);
上海昭阳信息技术有限公司 售后服务部
地址:上海市杨浦高科技孵化基地二期904
电话:021-51263718
人员安排:
刘建平 项目经理 13918800240
赵悦诚 技术支持 13761262609
3、 中标方承诺提供7x24小时热线支持和专门的项目经理负责;
上海昭阳信息技术有限公司承诺中标后,提供三年的7*24小时热线支持,电话:021-51263718(工
作日)、非工作日:13918800240;同时提供资深的项目经理管理本项目的实施、售后服务等事项。
4、 应急维修时间安排,不能修复时采取的措施;
本项目自项目验收日开始为期三年的质量保证服务,提供 7*24 小时技术支持和专门的项目经理负责制,
对出现的产品缺陷的修理费和材料费由昭阳公司负责。
在质量保质期内,一旦设备出现故障,昭阳公司在接到报修通知后,1 小时内响应,4 小时内到达现场并
在 24 小时内负责维修或更换损坏的零件、部件或设备,保障网络系统的正常运行。
5、 质保期后主要零配件价格;
参加本投标文件第7页
6、 质保期后维修服务收费标准;
参加本投标文件第8页
7、 免费培训计划;
人员技术培训作为工程实施的一个重要环节,对整个项目的实施至关重要。在系统实施前和安装实施完
毕后, 昭阳公司及 McAfee 公司根据实施情况和以往的实施经验,在完善的组织下,集中优秀的师资力量,对
客户技术部门人员进行免费技术培训。使技术人员对 McAfee IntruShield 有一个深入的理解,同时使相关技术
人员能独立进行 McAfee IntruShield 入侵防护产品安装及策略配置、操作等。
培训计划安排如下:
时间:
在工程进行过程中根据客户的要求进行现场技术培训,并在项目实施完成之后协商决定集中技术培训的
时间。
地点:
由用户决定在某一培训场所。
师资力量:
具备 McAfee 专业资格认证工程师。
课程内容 :
技术原理、初始配置和系统设置
功能设备监控配置、性能
攻击拦截监控和处理
日常维护及故障诊断、排除
实际操作练习
被授权人代表签字:______________________
(盖公章)
日期:2008年 12 月 18 日
关 于 资 格 的 声 明 函
致:_上海市普陀区教育资产管理中心
关于贵方2008年 11 月 28 日JSZB-2008-11-148(招标编号)的投标邀请,签字人愿意参加投标,提供招
标文件规定的 入侵检测防护系统 (货物名称),并证明提交的下列文件及相关说明是准确的和真实的。
1.国内工商部门签发的我方工商营业执照正本(或副本)复印件(当年年检有效的印鉴并加盖公章)一份。
2.制造商出具的授权书。
3.本签字人确认资格文件中的相关说明是真实的、准确的,如与实事不符,我方愿承担一切后果。
投标人名称(盖公章):上海昭阳信息技术有限公司 法人代表签字:____________________
地址:上海市杨浦高科技孵化基地二期904室 被授权人代表签字:________________
电话: 021-51263718
传真: 021-65650007
邮编:______200433______________________
日期:___2008年12月18日_________________
相 关 证 件
1、 工商局颁发的通过本年度年审的营业执照复印件;
2、 国家有关部门颁发并通过本年度年审相应资质证书的复印件;
3、 生产厂针对本项目投标的授权书。
法 人 代 表 授 权 书
本授权书声明:注册于 上海市杨浦区中山北二路1111号 的 上海昭阳信息技术有限公司 的下面签字的
窦同力 (法人代表姓名),代表本公司授权下面签字的 刘建平、客户经理(被授权人的姓名、职务)为本公
司的合法代理人,就 上海市普陀区现代教育技术中心入侵检测防护系统 (项目名称)投标及合同的执行、
完成和保修,以本公司名义处理一切与之有关的事务。
本授权书于 2008 年__12__月___18__日签字生效,特此声明。
(附被授权人代表身份证复印件)
法人代表签字盖章:____________________________
代理人(被授权人)签字盖章:_________________
投标人名称(盖公章):________________________
地址:上海市杨浦高科技孵化基地二期904
日期:2008年 12 月 18 日
项目经理负责人情况表
招标编号:JSZB-2008-11-148
1.一般情况
姓 名 刘建平 年 龄 25 技术职务 项目经理
职 务 客户经理
为投标人
服务时间
1 年
学 历 本科
相 关 职 业 资
格
取 得 职 业 资 格 时 间
2.经 历
年 份 负 责 过 得 主 要 项 目 该 项 目 中 任 职 备 注
2007 年 10
月
长宁教育局网络安全建设 项目经理
2008 年 7 月 闵行区教育局网络安全建设 项目经理
…… ……
投标人代表签字:________________
(盖公章)
日期:2008年 12 月 18 日
商 务 对 比 表
招标编号:JSZB-2008-11-148
投标单位
检查内容
投标单位填写
(投标单位名称:上海昭阳信息技术有限公司)
1. 注册资金(万元) 伍佰万元
2. 投标总价(元) ¥524,400
设备价(元) ¥524,400
安装集成费(元) 0
3. 交货期(合同签订后2周内) 在项目合同签订后2周内交货
4. 付款方式(响应或不响应)
供货合同签订后2周内支付合同总价的30%作为预付款;验
收合格后支付70%
5. 售后服务计划书(见投标文件___页) 见投标书第12页
6. 维修机构地点 上海市杨浦高科技孵化基地二期904
7. 质保期后维修服务收费标准 参加本投标文件第7、8页
8. 联系电话 021-51263718
9. 急修到现场时间(4小时内) 1小时内响应,4小时内到达现场服务
注:请将此表填写后,以电子文档(谢绝3寸软盘)的WOED形式与“技术对比表电子文档”及“投标保证金”一起
装入一个单独密封的信封内,此信封必须封存于密封的投标文件正本之内。
被授权人代表签字:______________________
(盖公章)
日期:2008年 12 月 18 日
方案设计
1、概述
绝大多数人在谈到网络安全时,首先会想到“防火墙”。防火墙得到了广泛的部署,并被作为多层安全体系
结构的第一层防护,它主要是作为一个访问控制设备,允许特定协议(例如 HTTP、DNS、SMTP)在一组源
地址和目标地址之间传递。作为访问策略增强的一个组成部分,防火墙一般是通过检查数据包头来制定流量
决策。一般来说,它们并不能检查数据包的全部内容,因此,也无法检测或拦截嵌入到普通流量中的恶意代
码。需要注意的是,路由器也是通过数据包过滤来实现防护功能,因此,它提供的也是一种不完善的保护。
虽然说基于防火墙和路由器的数据包过滤是全面的网络安全拓扑结构的必要组件,但仅靠它们是远远不
够的。
网络入侵防护系统 (IPS) 产品能够对通过网络的每一个数据包的全部内容进行检查,并对恶意活动进行
检测。与防火墙和路由器相比,这种内容检查技术能够提供更加深入的数据包分析。入侵防护系统的有效性
体现在,它能够检测出嵌入在常用协议(例如 HTTP 会话)中的复杂攻击,而防火墙通常检测不到这类攻击,
使它们能够轻松地通过。由此看来,与防火墙产品相比,入侵检测防护所需的处理能力要高出很多。
现代网络的种种不足之处促使 IPS 产品成为了一个最基本的工具,它能够对已知攻击、未知攻击以及拒
绝服务攻击进行检测和预防,满足各种企业网络和政府网络的要求,协助安全工程师进行检测和分析,保护
网络免受恶意攻击的骚扰。因此,IPS 产品在防火墙内外都得到了广泛的部署,并很快成为了“最佳”安全网络
实施的主流解决方案。
2、设备选型
针对招标文件要求,我公司推荐用户使用 McAfee IntruShield 2700,设备硬件见下图:
探测端口密度:4 对监测端口(1 对,GBIC)
光口 Bypass: 通过外部 Fail-Open 设备
响应端口: 3 个– 用作 IDS 部署时拦截持续攻击连接
管理端口: 1 x 100 Mbps 管理端口
并发连接支持: 25 万
网络吞吐量:600Mbps
3、产品清单
产品型号 产品描述 数量
McAfee
IntruShield 2700
配置 6 个 10/100M 网络端口,2 个千兆端口,1 个 10/100M
管理端口;网络吞吐量为 600Mbps 1
4、产品部署
本方案推荐使用嵌入式 In-Line 方式部署 McAfee IntruShield 2700 入侵检测防护系统。
这种部署方式的好处是可以实时丢弃掉异常流量数据包、Session、黑客攻击数据包(包括 DOS/DDOS 攻
击数据包),同时无需改变原有网络拓扑结构,保障网络改造的无缝衔接。
5、McAfee IntruShield 网络入侵防护产品简介
IntruShield 基于完整的攻击分析方法而构建,并引入了业界最为全面的网络攻击特征检测、异常检测以及
拒绝服务检测技术,除了可以探测攻击,还可以探测已知未知蠕虫和后门程序。
网络攻击特征检测
为了实现高性能的网络攻击特征检测,IntruShield 体系结构不仅采用了创新的专利技术,而且集成了全
面的状态检测引擎、完善的特征规范语言、“用户自定义特征”以及实时特征更新,确保了 IntruShield 能够提供
并维护业界最为全面、更新最及时的攻击签名数据库。
特征规范语言
IntruShield 以专用的高水平特征规范语言为强大支持。IntruShield 能够从应用程序软件中分离出攻击模式
特征,在这个独特的体系结构中,将特征简单地转换为表单项,从而可以通过直观的用户界面实现实时更新,
并可被特征引擎立即使用。
目前的 IDS 产品往往通过软件“补丁程序”来提供新的特征,这不仅降低了部署速度(必须根据整个 IDS
软件应用程序进行质量保证),而且也不利于安装(必须重新启动系统)。而 IntruShield 通过从传感器软件中
分离攻击模式特征,从而确保了高质量的全新特征可以快速部署(无需重新启动系统)。同时,从传感器应用
程序代码中分离特征也使得特征编写人员能够将精力集中在特征编写的“质量”上,而无需考虑如何将特征构建
为应用程序更新补丁。
全面的状态特征检测引擎
IntruShield 体系结构的特征检测引擎引入了强大的上下文敏感检测技术,在数据包中充分利用了状态信
息,它通过使用多个令牌匹配来检测超越了数据包界限的攻击特征,或超出序列范围的数据包流。
用户自定义网络攻击特征
IntruShield 使得网络安全工程师能够通过一个创新性的图形用户界面(GUI)来编写自定义签名,该界面
能够使用通过系统的协议分析功能所获取的字段和数据,或者通过 IntruShield 的分析机制收集的状态信息。
实时特征更新
IntruShield 提供的创新性实时特征更新极大地提升了管理软件的性能,由 IntruVert 更新服务器提供的全
新特征可以通过策略控制自动发送到整个网络,从而确保了新的特征一经创建,网络即可获得最新的防护功
能。IntruShield 体系结构还允许网络工程师决定何时,以及是否在整个网络中部署最新的签名。IntruShield
系统无需重新设置或重新启动任何硬件以便激活新的签名,因此,它们能够自动地、实时地进行部署。
异常检测
异常检测技术为 IntruShield 体系结构全面的签名检测过程提供了完美的补充,异常检测技术使得网络工
程师能够对突发威胁或首次攻击进行拦截,并创建出一套完整的“异常档案”,从而保护网络免受当前威胁和未
来攻击的骚扰。
IntruShield 体系结构提供了业界最为先进、最为全面的异常检测方法 — 集成了针对统计数据、协议及
应用程序的异常检测技术。异常/未知攻击的例子包括新的蠕虫、蓄意的隐性攻击、以及现有攻击在新环境下
的变种。异常检测技术也有助于拦截拒绝服务攻击(观察服务质量的变动)和分布式 DoS 攻击(IntruShield
系统利用流量样式变动(例如 TCP 控制数据包的统计数据)来决定是否即将发生海量的数据流)。我们将在
下面的部分具体讨论拒绝服务攻击。
IntruShield 体系结构的异常检测技术还能够针对其它威胁提供保护,这包括:缓冲区溢出攻击、由木马
程序或内部人员安装的“后门”或恶意攻击、利用低频率进行的隐性扫描攻击、通过网络中的多个发送点传送表
面正常的数据包、以及内部人员违反安全策略(例如,在网络中安装游戏服务器或音乐存档)。
拒绝服务检测
IntruShield 检测体系结构的第三根“支柱”就是它完善的拒绝服务防护技术。
自动记忆以及基于阀值的检测
IntruShield 体系结构综合利用了基于阀值的检测技术和获得专利的、具有自动记忆功能的基于配置文件
的检测技术,从而使拒绝服务检测更具智能化。借助基于阀值的检测功能,网络安全管理员就能够使用预先
编写的数据流量限制来确保服务器不会因负载过重而宕机。
同时,自动记忆功能使得 IntruShield 体系结构能够分析网络使用方法和流量的模式,了解合法网络操作
中发生的多种合法,但不常见的使用模式。
两种技术的结合确保了对各种 DoS 攻击的最高检测准确率 — 包括分布式拒绝服务攻击(即恶意程序员
为了进攻企业或政府网络,同时对上百个,甚至上千个服务器发起攻击)。
IntruShield 准确的 DoS 检测技术具有非常重要的意义,因为很多网站和网络都曾经历过合法的(有时是
意外的)、极具吸引力的新程序、服务或应用程序的流量冲击。
检测技术的关联性
正如我们所看到的,IntruShield 体系结构提供了多种操作模式,使得系统能够捕捉恶意流量、提供全面
的攻击分析方法、实施完整的智能化签名检测、异常检测以及拒绝服务防护技术。
IntruShield 体系结构的检测关联层连接着系统的签名检测、异常检测以及拒绝服务检测功能 — 这种相
互关联性以及对可疑流量的交叉检查功能确保了攻击检测的高度准确性。
单一 IntruShield 系统能够对防火墙的公共网段、专用网段以及 DMZ 网段进行全面的保护,并提供这些
网段之间的相互关联性,从而能够针对被拦截的网络攻击或者进入专用网络的网络攻击提供准确的详细信息。
入侵防护
IntruShield 体系结构提供了业界最准确的攻击检测功能,构造了系统攻击响应机制的坚实基础。没有足
够响应能力的 IDS 产品只能为网络安全管理员提供有限的功能。现代的 IDS 产品必须能够检测出攻击,并
提供偏转和拦截恶意流量的方法。
IntruShield 体系结构为网络安全管理员提供了一整套手动的和自动的响应措施,并以此构建起企业或政
府机构信息技术安全策略的基础。
就攻击检测来说,IntruShield 体系结构使系统可以实现以下功能:
A. 拦截攻击
IntruShield 体系结构允许 IDS 以嵌入模式工作,因此,它能够实时地在攻击源和目标之间拦截单一数据
包、单一会话或数据流量,从而在进程中拦截攻击,而不会影响任何其它流量。
B. 终止会话
IntruShield 体系结构允许针对目标系统、攻击者(或二者同时)重新设置并初始化 TCP。网络安全工程
师可以对发送给源和/或目标 IP 地址的重新设置数据包进行配置。
C. 修改防火墙策略
IntruShield 体系结构允许用户在发生攻击时重新配置网络防火墙,方法是临时改变用户指定的访问控制
协议,同时向安全管理员发出警报。
D. 实时警报
当网络流量违反了安全策略时,IntruShield 体系结构能够实时生成一个警报信息,并发送给管理系统。
合理的警报配置是保持有效防护的关键所在。恶性攻击(例如缓冲区溢出以及拒绝服务)往往需要做出实时
响应,而对扫描和探测则可以通过日志进行记录,并通过进一步的研究确定其潜在的危害和攻击源。网络安
全工程师能够获得有关电子邮件、寻呼程序以及脚步警告的通知,该通知基于预先配置的严重性水平或特定
的攻击类型,例如拒绝服务攻击。基于脚步的警告允许对复杂的通知过程进行配置,从而能够针对系统面临
的攻击向特定团体或个人发出通知。
IntruShield 体系结构还提供了一个“警报过滤器”,它允许网络安全工程师根据安全事件的来源或目标进行
筛选。例如,当 IT 部门通过一个自有 IP 地址执行漏洞扫描时,从该地址生成的事件就可以被过滤掉。
E. 对数据包进行日志记录
在攻击发生时,或攻击发生之后,基于 IntruShield 体系结构的系统能够首先捕获数据包,并对数据包进
行日志记录,然后将该流量重新定向到一个空闲的系统端口,以便进行详细的合法性分析。这个数据包信息
就是对触发攻击的实际网络流量的记录。数据被查看后,将转换为 libpcap 格式,以便进行演示和说明。类似
于 Ethereal(运行于 UNIX 和 Windows 平台的一款网络协议分析工具)的多种工具可以用来检验数据包日
志数据,以便对检测到的事件进行更为详细的分析。
IntruShield 体系结构的响应机制提供了该产品平台的基础,安全管理员需要在此基础上开发出响应措施、
警报以及日志系统,以便为复杂的现代网络提供最佳的防护。
虚拟 IDS
IntruShield 传感器支持全新的、功能强大的虚拟 IDS (VIDS(TM))。 虚拟 IDS 能够将 IntruShield 传感
器划分为多个虚拟传感器,这些虚拟传感器可以按照细化的安全策略(包括自定义的攻击选择及相关响应措
施)进行全面的自定义。 VIDS 可以根据一组 IP 地址、一个或多个 VLAN 标记来定义,也可以通过传感
器上的特定端口来定义。
虚拟 IDS 可以为内部的不同部门、不同地理位置的机构或职能部门分别设置虚拟 IDS 域,从而可以为每
一个虚拟 IDS 设置各自的安全策略。这种方法为现代组织提供了极大的便利,使它们能够高效地管理分散的
网络用户。
IntruShield 体系结构的虚拟 IDS 功能可以通过三种方法来实施。第一,将虚拟局域网 (VLAN) 标志分
配给一组网络资源;第二,使用无类别域内路由 (CIDR) 标志来保护一组 IP 地址;第三,将 IntruShield 系
统接口专门用于保护特定部门、地区机构或组织职能部门的网络资源。
基于 CIDR 的 VIDS 实施能够使用 /32 掩码具体到单一主机的水平。例如,可以使用单一主机的特有
策略来识别 DoS 攻击,并做出响应。
灵活的部署方式
IntruShield 支持完全实时攻击阻断的嵌入(In-Line)模式,也支持传统的 SPAN 与 HUB 监控接入方式、
TAP 接入和端口群集接入模式。
嵌入模式:IntruShield 系统位于数据路径上,活动的流量必须通
过它们。IntruShield 系统通过实时拦截恶意流量来防止网络攻
击。用户可以全面自定义预防措施,例如自动拦截针对特定
Web 服务器的 DoS 流量。高速的防护以及高度可用的操作使得
IntruShield 系统能够部署在任务关键型环境中。
交换端口分析器(SPAN)与集线器监控:一台或多台网络交换机的集线器端口或 SPAN 端口都可以连接到
IntruShield 系统的检测端口。传感器可以使用同一端口来
激活响应措施,例如重新设置某个 TCP 连接。
TAP模
式:可
对全双
工以太网链接的网络通信进行双向监控。通过完 全捕获
某个链接上的所有流量,可以更清楚的了解某个 网络攻
击的来源和本质 — 并提供所需的详细信息,以 便能够
对未来的攻击进行拦截。这种全双工监控能力使 得
IntruShield 系统能够维护完整的状态信息。响应 措施包
括防火墙重新配置,以及通过专用响应端口来重新设置并初始
化 TCP。
端口群集使得单一 IntruShield 系统通过多个端口监控的流量能
够“聚合”成一个流量流,以便进行状态分析和入侵分析。该功
能对于非对称路由环境尤其有用,因为这种环境下,请求数据包
和响应数据包可能会通过不同的链接进行传送。单一的
IntruShield 系统就能够监控多个链接,同时可以维护准确的、完整的状态信息。
