总体看来 ， 园区中发生的恶意攻击事件并不多 。
图4.13 IPS事件分析4.2.3 其他安全问题分析通过对MARS的分析 ， 富士康目前在园区网中发生最多的安全事件是蠕虫的频繁爆发 。
通过上述报表我们可以看出 ， 在上班时段 ， 网络中目标端口为445的流量经常会突发性地增长 ， 其带宽总 。

23、占有率经常超过80% ， 而且在同一时间各种网络设备的CPU占有率也会有较大的提高 。
说明富士康园区目前面临的最大问题是蠕虫 。
通过MARS的的分析和报表功能 ， 富士康能够更加精确地定位蠕虫的分布 ， 采取有效的措施修补系统 。
5 MARS测试总结5.1 总体评价通过对MARS的测试 ， 可以发现 ， MARS能够收集各种安全设备的信息 ， 对这些信息进行智能的归总 ， 并以直观友好的界面向用户提供相信的数据 。
不仅使管理人员对系统的状态有实时准确的掌握 ， 帮助管理人员及时地对安全事件进行响应 ， 阻止安全问题的扩散 ， 还能帮助管理人员了解网络的使用情况 ， 及时地对网络进行调整 ， 以满足业务的需求 。
总之 ， MARS是一个对企业网络管理非常有 。

24、用的效率工具 。
5.2 Netflow信息的分析功能对未知攻击发现的作用由于攻击技术的不断发展 ， 当攻击发生时 ， 现有的网络安全组件 - 例如网络入侵防护系统（IPS）、主机入侵检测系统（HIDS）和防火墙 - 可能无法及时地识别攻击 。
很多这样的系统都依靠一个攻击特征数据库检测攻击 ， 但是在某个新型攻击刚刚出现时 ， 这个数据库并不能立即进行更新 。
这样 ， 进入某个企业的攻击就可以在企业网络的专有侧大肆传播 ， 导致这些安全设备无法发挥应有的作用 。
像Blaster这样的蠕虫的传播非常迅速 ， 其中一个原因就是因为它们的第一个重要行动是发现尽可能多的目标 。
但是 ， 通过对Netflow信息的分析 ， 就能够迅速的发现上述问题 ，。

25、而不需要理会IPS的签名是否更新 。
很多遭受攻击的内部和外部主机 ， 流量流经核心路由器、交换机和防火墙 。
这些位于流量传输途中 ， 负责监控和报告包含Blaster蠕虫攻击的事件的设备可以通过设置向MARS设备提供报告 。
这些事件包括安全周边内部的连接和防火墙拒绝的连接 。
防火墙通过设置可以限制端口的对外访问权限 。
MARS设备随后会根据特定端口的流量的突然升高 ， 通过 “端口流量突然增大”规则来定位一个被标为“严重”的安全事件 。
MARS显示面板的下半部分包括了图5.1中的主要目的地端口的时序图形 ， 它明确显示了导致安全事件的流量突增过程 。
它还表明 ， 端口135是导致流量异常增加的主要原因 。
此时就可根据流量异常端 。

26、口 。
通过报表的形式 ， 但找出哪些IP产生出巨大流量 ， 从而迅速作出正确的处置决定 。
图4.15 Netflow分析对安全问题定位的作用由此可见 ， 通过对Netflow的分析 ， MARS可帮助园区准确识别和消除网络攻击 ， 且保持网络的安全策略符合性 。
5.3 MARS的设计和部署建议由于富士康企业规模庞大 ， 大规模的园区网也非常的多 ， 所以安全设备也很多 ， 因此我们建议富士康使用二级架构的部署方式 ， 即每个大型的园区使用1台MARS LC（Local Controller）管理 ， 而公司总部配置1台GC（Global Controller） ， 用于统一汇总LC上报的信息 ， 提供公司整网的分析 。
如果MARS只单纯用于网络和安 。

27、全设备的管理 ， 一个大型园区有如下设备：防火墙：10台IPS：2台路由器：20台三层交换机：20台二层交换机：100台各种设备每秒钟产生的事件数为：防火墙：100 大量的访问产生大量的日志；IPS：100 通常在网络关键点 ， 流量较大 ， 安全事件较多；路由器：50 启动Netflow的情况下 ， 事件较多；三层交换机：100 启动Netflow以后 ， 内网互访的流量导致事件较多；二层交换机：1 不启动Netflow ， 事件较少 。
因此 ， 整个园区网每秒钟发生的事件数量为：10*100+2*100+20*50+20*100+100*1=4300所以 ， 建议使用处理能力达到5000EPS的MARS 100作为每个园区网的LC使用 。
另外 ， 由于MARS对被管理设备的版本要求比较高 ， 所以建议Cisco的设备都升级到较高的版本（如IOS升级到12.2或以上 ， PIX使用6.3以上版本 ， ASA使用7.0以上版本 ， IPS使用5.0以上版本） 。
第42页共42页 。

稿源：(未知)

【傻大方】网址：/a/2021/0711/0022846277.html

标题：CISCO|CISCO安全监控分析和响应系统测试报告( 四 )