《绿盟ipsnew剖析.》由会员分享,可在线阅读,更多相关《绿盟ipsnew剖析.(67页珍藏版)》请在金锄头文库上搜索。
1、IPS 产品培训,1 入侵检测技术,2 IPS基本配置,3 日志分析与策略优化,4 NIPS V5.6.8 VS V5.6.6,入侵检测工作流程,NIPS体系构架,检测引擎,协议分析,入侵检测规则,基于特征,基于统计,一段时间内达到XX次,1 入侵检测技术,2 IPS基本配置,3 日志分析与略优化,4 NIPS V5.6.8 VS V5.6.6,IPS基本配置,绿盟入侵防护/检测系统,NIPS典型拓扑-直通部署,配置思路:(V5.6.7及以前版本) 安全区配置 接口配置 重启引擎,使配置生效,数据准备: 带外管理口地址和网关地址,设备配置,1、安全区配置 选择“网络 安全区”,2、接口配置,3
2、、重启引擎,使策略生效,V5.6.8零配置-接口,除M口(千兆设备还包括H1口)外,NIPS的其他接口IP默认为0.0.0.0,安全区默认为direct,Tips:万兆板卡的接口名称为T x/y,IPS基本配置,V5.6.8首页组成,NIPS策略配置,入侵防护策略 WEB安全 用户管理策略 应用管理策略 流量管理策略 防病毒策略 DNS IPMAC绑定 SNMP 高可用性,NIPS策略配置,安全中心连接 备份恢复 升级 诊断工具 SYSLOG/NTP,有效识别并阻断网络攻击、蠕虫和病毒传播 灵活的策略配置:基于安全区、源目的IP/MAC、时间等,策略-入侵检测/防护,策略-入侵检测/防护,主要
3、配置步骤: 1.选择安全区 2.选择源目的对象 3.选择规则模版 4.选择是否启用阻断功能 5.应用配置,使配置生效。,规则模版,规则模版的分类: 系统规则模版 内置模版:按防护的对象进行划分 派生模版:由内置模版派生,用户规则模版 由用户自己选择规则,系统规则模板内置模版,例:Default内置模版:,内置模版不允许修改任何内容!仅允许查看和派生。 规则数量会随着系统规则库的升级而更新,用户规则模版,用户规则模版可以添加或删除规则,也可以修改动作 规则数量和动作都不会随着系统规则库的升级而更新,规则模版使用场景,系统内置模版: 一般用户采用系统内置模版即可,根据可靠度已经选择好需要阻断的规则
4、;并可根据防护的对象选择对应的分类,系统派生模版: 想要额外阻断或者不阻断某条具体规则时,可以派生出一个新的模版,并进行阻断动作的修改,用户规则模版: 可以增加或者减少规则,以及添加自定义规则,适用于更高级的用户,例外规则,查看入侵防护实时监控日志时,可直接添加某条日志规则为例外规则。添加完毕后,应用配置生效。 也可在对象规则中,直接添加例外规则,例外规则,注意事项: 例外规则是全局规则,针对所有链路、所有IP生效。 添加的例外规则不会产生任何日志和阻断效果。,规则查询,规则查询位于对象规则中 可使用多种查询条件查询相关规则,入侵防护botnet防护,通过实时关注互联网最新的BOTNET攻击动
5、态,定期通过入侵防护规则升级包更新的IRC server信息,限制受控主机的非法链接行为,保证网络性能稳定。,入侵防护Botnet防护,Botnet防护为全局防护,不区分链路,入侵防护Botnet防护,功能说明 BOTNET攻击的目的主机信息支持定义为IP信息和域名信息两种,并可指定TCP或UDP端口。其告警日志并入入侵防护日志中,规则ID是【41044】(IP信息)和【41045】(域名信息)。,入侵防护 DoS防护,入侵防护 DoS防护,Internet,普通用户,“养马场”,挂马网站,NIPS,2、Web安全Web信誉,2、Web安全URL过滤,URL过滤可以将特定分类的URL进行阻断或
6、告警 可以自定义URL分类 支持查询URL对应的分类,3、应用管理,有效地识别和管理网络中的各种应用 有800多种应用,可按照多种分类方式进行细粒度的分类 可根据特征自定义应用,3、应用管理应用的分类(1),3、应用管理应用的分类(2),实现技术。 实现技术 = 基于浏览器, 客户端-服务器, 网络协议, p2p 。 风险等级。 风险等级 = 1,2,3,4,5 标签。 标签 = 易规避, 消耗带宽, 容易误操作, 传输文件, 以其他应用为管道, 易被恶意软件使用, 包含漏洞, 广泛使用 。,3、应用管理,应用、服务和应用过滤器,3、应用管理系统自带应用,系统自带应用,3、应用管理过滤器,过滤
7、器,3、应用管理服务,服务主要是基于端口的设定,3、应用管理,应用、服务和过滤器的关系:取并集! 如下图所示的选择跟只选服务中的“any”效果是一样的。,4、流量管理,配置思路: 配置网络对象 配置时间对象 配置流量通道,设定监控的流量通道。 配置流量策略。 应用配置,使配置生效。,可以通过用户管理功能对用户进行认证和识别,5、用户管理,认证方式有三种: RADIUS LDAP 本地认证 配置步骤: 服务器配置 用户认证 认证策略,5、用户管理用户认证,5、用户管理,注意事项: 认证功能可以与LDAP服务器、Radius服务器、本地认证、EPS认证联合使用,只有通过了认证,流量才能正常流经设备
8、。同时,日志的告警中,用户字段也会出现IP对应的用户名。 如果想在策略中对用户的选项进行设置,则只能与AD域配合使用,即开启用户识别,6、防病毒,不需要单独的防病毒许可证,设备证书支持即可(5.6.6及以前的版本需要导入防病毒证书,5.6.7版本中没有防病毒模块),7、其他功能离线升级,升级位置:,升级包下载位置:,7、其他功能在线升级,支持自动升级 在系统-系统升级-在线升级中进行配置,注意添加DNS地址,直通部署要使用带外管理口,7、其他功能系统配置,远程协助:用于开启ssh,登陆后台。开启该功能会自动重启引擎 时间同步:开启后需要手动重启引擎。V5.6.6及以前版本需要手动重启系统,7、
9、其他功能 SNMP,IPS 5.6.8重做了SNMP模块(位于“网络”菜单中),丰富了以下功能: agent支持同时设置多个团体名(v1/v2c)和安全名(v3),并对来源网络IP和MIB子树进行访问控制 trap支持同时设置多个管理站IP、版本(v1/v2c/v3)、团体名(v1/v2c)和用户名(v3) v3支持认证、加密协议和安全等级设置 可以同时发送agent和trap各个版本的数据包 支持的私有OID有一定程度变化,7、其他功能 SNMP Agent配置,v1/v2c配置 出厂配置中有一条默认的agent配置,团体名是public,允许任意IP对任意MIB节点获取信息。,也可以新建配
10、置信息,团体名为CCC 允许192.168.1.0/24对MIB子树1.3.6.1.4.1.19849下的所有子节点访问。,7、其他功能 SNMP Agent配置,v3配置 新建一条配置信息,认证加密协议和安全等级可以任意选择,7、其他功能 SNMP Trap配置,v1/v2c配置,新建一条配置,目的主机可填ipv4或ipv6地址,接收端口可任意设置,7、其他功能 SNMP Trap配置,v3配置,新建一条配置,目的主机可填,ipv4或ipv6地址,接收端口可任意设置,认证加密协议和安全等级可以任意选择,7、其他功能SNMP配置,配置生效说明,agent和trap信息配置,点击“应用配置”生效
11、,调整agent和trap开启或关闭,点击“确定”生效,软件BYPASS和硬件BYPASS,软件BYPASS:即调试模式,安全引擎不再工作(对于567、568版本来说,部分模块仍旧生效、例如DDoS),但数通引擎仍旧正常工作 硬件BYPASS:安全引擎和数通引擎都不再工作,流量直接从板卡转发,只有DIRECT部署才有效,IPS/IDS基本配置,与ESPC联动配置,点击确定后要点击重启引擎!,与ESPC联动配置,安全中心上首先要绑定本地IP!,1 入侵检测技术,2 IPS基本配置,3 日志分析与策略优化,4 NIPS V5.6.8VS V5.6.6,大量的低风险事件、不关注事件、误报事件掩盖了真
12、正的攻击事件。 日志分析时,用户无法从大量的告警信息中,找出真正的攻击事件,处理低风险事件浪费大量时间,为什么要做策略优化,一、找出不关注安全事件,优化屏蔽不关注的安全事件,注:策略中不关注事件,需要和用户沟通,确认这些不关注事件是不需要的,优化屏蔽不关注的安全事件,二、屏蔽不关注事件 1、将该事件在规则模版中设置为不告警 2、将该事件添加为例外规则,怀疑误报? 首先,根据告警日志确认源目的IP、端口 然后,根据事件描述简单判断,利用协议摘要分析。 不能确定?(抓包分析) 包含触发告警的数据 告警截图/日志,优化去掉误报,1 入侵检测技术,2 IPS 基本配置,3 日志分析与策略优化,4 NIPS V5.6.8 VS V5.6.6,功能模块比较,V5.6.6,V5.6.8,V5.6.6 NIPS配置菜单,入侵防护策略 防火墙策略 流量管理策略 IM/P2P策略 防病毒策略 DNS DHCP IP/MAC绑定 安全中心连接 自动升级 其它配置: SNMP/SYSLOG/NTP,谢谢!,
