收藏
下载资源

入侵防护系统ips的发展趋势

上传人:E**** 文档编号:115306569 上传时间:2019-11-13 格式:PDF 页数:7 大小:436.85KB
返回 下载 相关 举报
入侵防护系统ips的发展趋势_第1页
第1页 / 共7页
入侵防护系统ips的发展趋势_第2页
第2页 / 共7页
入侵防护系统ips的发展趋势_第3页
第3页 / 共7页
入侵防护系统ips的发展趋势_第4页
第4页 / 共7页
入侵防护系统ips的发展趋势_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《入侵防护系统ips的发展趋势》由会员分享,可在线阅读,更多相关《入侵防护系统ips的发展趋势(7页珍藏版)》请在金锄头文库上搜索。

1、 式入侵防护系统,P r o v e n t i a T MN e t w o r kI P S 系列硬件设备能够实时阻断已知和未知的攻击,包括分布式 一- 一_ - u u - - - - - u _ - - 一 、 搿 j “一 一。- - - - 。一 图2P r o v e n t i a T MN e t w o r kI P S 的核心模块 拒绝服务攻击( D D o s ) 、后门以及各类其它混合型 威胁,而无需工作繁忙的系统管理人员的参与。 P r o v e n t i a T MN e t w o r kI P S 系列可以和I S S 的其它 网络防护系统、服务器防护系统

2、以及桌面机防护系 统协同工作,并能够通过S i t e P r o t e c t o r T M 管理平台 进行集中管理。用来配置和监控P r o v e n t i a T MN e t - w o r kI P S 的管理控制台能从网络接入P r o v e n t i a T M N e t w o r kI P S 设备,支持在W i n d o w s 2 0 0 0S e r v e r 操作系统上运行。P r o v e n t i a T MN e t w o r kI P S 系列所配 备的网卡接口有三种类型: 管理端口( 有I P 地址,不能监听) 。 监控网卡( 无I

3、P 地址,工作于混杂模式( p r o m i s c u o u sm o d e ) ,仅用于收集对应交换机端口的数据 包) 。 T C PR e s e t 发送端口( 仅在I D S 模式下使用,无需配置I P 地址,只用于发送T C PR e s e t 包) 。 P r o v e n t i a l MN e t w o r kI P S 系列通过远程与管理控制台建立连接,进行操作配置和事件查看。 P r o v e n t i a MN e t w o r kI P S 系列设备采用了久负盛名的R e a l S e c u r e 技术,因而在准确性与防护能力方 面大大超过了

4、现有的防火墙、其它入侵检测系统( I D S ) 以及其它网络入侵防护系统U P S ) 产品。 P r o v e n t i a T MN e t w o r kI P S 的主要任务是发现异常或未经授权的网络访问,并对其网络通迅流量中的 内容进行分析,并依据结果做出适当的响应。P r o v e n t i a T MN e t w o r kI P S 通过三个核心模块来完成这些功 篡翟2 = = 2 2 。2 2 = = = 2 = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = 121 司_ 溺积渊享墓嚣 能:

5、检测、分析、响应,如图2 所示。 ( 2 ) 检测技术。I S S 公司的P r o v e n t i a T MN e t w o r kI P S 系列设备采用创新的入侵防范统一网络引擎,对 网络中传送的数据进行分析判断,并对恶意访问做出及时响应。 P r o v e n t i a T MN e t w o r kI P S 系列可支持四路监控和防护,允许企业监视更多的网段,其六种型号产品 支持从1 0 0 M b l ) s 到2 G b p s 的总网络带宽,可满足分支机构、分布式站点和网络核心的不同部署需求。 防范统一网络引擎:包括一系列的检测技术,可以检测已知和未知威胁,如蠕虫

6、、扫描活动、探 查活动、拒绝服务攻击、后门、缓冲溢出攻击和碎片攻击。 协议异常检N J J ( P r o t o c o lA n o m a l yD e t e c t i o n S 检测未知或已披露漏洞方面知识的攻击。 漏洞攻击拦截:针对已公开但尚未被攻击者利用的漏洞采取特定防御措施。 通信流检测( 流规则盖检测网络行为和使用策略违规,用于确定是否违反了公司的网络使用策略。 即时消息和对等通信:提供了检测是否存在即时消息和对等通信的功能。 漏洞攻击拦截:防御已知和未知( 或零日) 蠕虫以及对已公布漏洞的利用。 通信流检测( 流量规则) :检测网络行为和使用策略违规,以确定是否违反了公

7、司网络使用策略。 即时消息和点对点通信:检测是否存在即时消息和对等通信。 I P v 6 隧道通信识别:检测通过隧道穿透网络的I P v 6 通信,指明可能发生的策略违规或入侵。 增强的攻击特征描述语言:更准确有效的检测攻击和威胁。 ( 5 ) 分析技术。P r o v e n t i a T MN e t w o r kI P S 的分析和关联引擎成功地应用于网络中发生的大量事件,并 在具体环境下高效评估事件。如果公司的关键资产受到攻击,为了对攻击做出有效和快速的响应,时间和 知识是很关键的。实时的事件集合、关联和分析使得P r o v e n t i a T MN e t w o r kI

8、 P S 能从遍布企业的安全设备 中收集事件,并能在事件发生时利用先进的事件关联和分析来快速确认事件,这大大减少了传统上安全人 员所要进行的工作,让他们有时间应对更复杂的入侵调查和策略工作,而不是花费时间检查不相关的事件 日志。从第三方的安全设备收集事件使P r o v e n t i a T MN e t w o r kI P S 能扩展威胁管理的范围超越由主机收集 的事件,从而覆盖整个企业。这些事件源包括:C i s c oP I X 、C h e c k P o i n tF i r e w a l l s ( 4 ) 响应技术。P r o v e n t i a T MN e t w

9、o r kI P S 系列设备提供了实时主动的网络入侵防御,可以保护企业 网络,并减少由已知和未知( 或零日) 攻击以及蠕虫造成的业务破坏。P r o v e n t i a T wN e t w o r kI P s 系列除了能 发送讯息提示管理员外,还能够完成一些辅助工作来帮助管理员,快速定位攻击源、攻击手段。一般情况 下,当管理员发现需要查找攻击源时,通常会发现地址欺骗,采用的传统方法是人工查询路由器,搜索相 关数据流这是非常艰苦的工作,即使熟练的网络工程师也可能需要数小时乃至数天。基于策略的响应、有 效负载检查和支持C V E 命名规则等特性为安全人员提供了足够的信息来发现即使是最轻微

10、的攻击。 P 。o v e n t i a1 ”N e t w o r kI P S 系列提供专门的T C PR e s e t 发送端口,这些T C PR e s e t i 口没有绑定 T C P I P 协议堆栈,能完成发送终止会话工作,使得I D S 始终处在隐蔽的位置。这样入侵者就无法在入侵 会话被终断时,追踪到I D S 的位置,保护了I D S 自身的安全,还能达到完整监控入侵全过程的目的。 P r o v e n t i a l MN e t w o r kI P S 系列在I P S 模式下有七种阻断功能: 丢弃当前数据包( D r o pP a c k e t ) 。 发送

11、T C P 连接复位包给受害主机、或入侵者、或两者( T C PR S T ) 。 继续阻断( 丢弃和发送连接复位) 所有以后相同的T C P 连接数据包。 基本的防火墙阻断。 阻断蠕虫攻击,可以持续阻断源地址和目的端V I 的连接。 阻断入侵者,可以持续阻断攻击者的源I P 地址。 隔离木马,可以持续阻断来自内部木马程序的目标I P 和目标端口。 12 2 一 I n l i n eP r o t e c t i o n ( 串接防护) 模式:直接串接在网络上,发 现恶意攻击、非法请求立即拦截,如图5 所示。 支持非对称路由 在较复杂的网络中,可能会出现数据包传送路 径不对称的情况,即进出网

12、络的数据包分别通过 不同的物理设备传送,对于这样的网络, P r o v e n t i a T MN e t w o r kI P S 需要针对不同的网络情 况进行部署,针对非对称路由的网络环境,可以通 过将一台P r o v e n t i a l 、MN e t w o r kI P S 设备上不同网 卡归并为一组的网卡分组( I n t e r f a c eG r o u p i n g ) 的方 式来进行监控。这样这些网卡上收集到的事件会被 图6 按照P a s s i v e 模式部署的非对称路由 归并成一个数据通讯流,和从单一监听网卡上收集 烈的事件是模一样,P a s s i

13、 v e 模式如图6 所示。 高可用性( H A ) 部署 在I D S 监控模式下,P r o v e n t i a T MN e t w o r kI P S 设备可以部署成故障保护模式实现高可用性( h i g h a v a i l a b i l i t y ) ,一台主设备和后备设备同时被配置成 监听同一网段,旦主设备失效,后备设备马上接 管入侵监测任务,直至主设备恢复正常,重新上线。 在I n l i n e 模式( 包括I n l i n eP r o t e c t i o n 和I n l i n e 图7 按照l n l i n e 模式部署的H A S i m u l

14、 a t i o n ) 下,P r o v e n t i a T MN e t w o r kI P S 系列设备支持 A c t i v e - S t a n d b y 、A c t i v e A c t i v e 模式,如图7 、图8 所示。 韵瞻性防护降低风险 P r o v e n t i a T MN e t w o r kI P S 系列设备可预先阻止安全威 胁和防止蠕虫在组织网络内进行传播,如图9 所示。 部署简单 只需简单的配置,即可将P r o v e n f i a T MN e t w o r kI P S 从 检测设备转换为防御工具。 窜接( I n l i

15、 n eM o d e ) 会话腰止 串接时,安全人员可以确保根据安全策略和业务需求, 威胁已被阻止或已警告。灵活的入侵防御部署选项,包括支 持多个串接对或监视同一设备中的被动和串接段,从而可 以采用不同的安全策略应对变化的网络。真正有效的I P S 标 准如下: 在对网络造成损害韵自动阻断不必要的网络通信 I O I d e A - A 蜘I I n P r o t c n o nAl f l l n S u l a l n n f t o d e A SI h i mP 嘲e c t I o n A Sl m h 坩S I m u l a n n P m e c n o nM o d e

16、S m _ l u l a t l o n 图8 支持探测和阻断下列协议:G o T o M y P C 、V N C 、 P C A n y w h e r e ,M S N Y a h o o 、A O L ,I C Q ,K a z a a 、e D o n k e y 、 G n u t e l l a 、I R C 等等。能够分析超过1 0 0 个网络协议,并包 括2 5 0 0 个以上的检测协议。 图9 前瞻性防护过程 协议异常检测:在未掌握已知或已公开的漏洞方面的知识的情况下检测出零天攻击。优点:为保 护网络提供更快、更准确的检测和响应时间。 动态阻隔功能 能够直接并可靠地阻隔不希望接收的数据流。 默认的阻隔协议包括超过6 0 0 多种缺省规则,用来防止混合威胁入侵到组织内部,这些威胁包括 M SB l a s t e r 、A Q LS l a m m e r 、N i m

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号