未来入侵防御解决方案

《未来入侵防御解决方案》由会员分享，可在线阅读，更多相关《未来入侵防御解决方案（15页珍藏版）》请在金锄头文库上搜索。

1、北京信诺瑞得信息技术有限公司 北京市朝阳区建国路88号SOHO现代城C座909室 电话：010-85804799 传真：010-85804800 网站： 未来的入侵防御解决方案未来的入侵防御解决方案 为何为何下一代防火墙是下一代防火墙是下一下一个个IPS解决方案解决方案 2009年11月 Palo Alto Networks 232, E. Java Drive Sunnyvale, CA 94089 408. 738.7700 北京信诺瑞得信息技术有限公司 北京市朝阳区建国路88号SOHO现代城C座909室 电话：010-85804799 传真：010-85804800 网站： 目目 录录

2、 执行摘要 许多企业都部署有入侵防御系统，但. .应用程序与威胁前景已发生变化 企业对于入侵防御系统的新要求 Palo Alto Networks功能 下一代防火墙是未来的入侵防御解决方案 版权2009，Palo Alto Networks, Inc.保留所有权利。Palo Alto Networks、Palo Alto Networks标志、PAN-OS、及App-ID是Palo Alto Networks在美国的注册商标。所有规范无需通知可随时进行修订。无需通知对本文的精准性不承担任何责任，也无任何义务更新本文内容。Palo Alto Networks保留本文的变更、修订、转让或其它形式的

3、更改权利，无需发出任何通知。 北京信诺瑞得信息技术有限公司 北京市朝阳区建国路88号SOHO现代城C座909室 电话：010-85804799 传真：010-85804800 网站： 执行摘要执行摘要 许多IT企业都已部署了入侵防御系统（IPS） ，此类系统主要用于保护数据中心免受信息安全威胁。但此类威胁仍然存在，现在的新型威胁矢量包括利用逃避策略的应用程序、采用加密、以及针对网络中客户的威胁。由于缺乏对此类新型威胁矢量的控制，企业机构用户开始重新考虑其所应用的IPS保护措施。过去，企业用户都关注于IPS对服务器/数据中心的保护、支持以及性能，但现在，企业更多考虑的是客户已逐渐成为了威胁携带者

4、， 并会将带有威胁的加密流量以及应用程序带入企业的IPS中。这就产生了一个问题，假设我们从IDS到IPS时，就会产生极大的控制需求，那么当前的单机型IPS是否仍能保护企业免受此类新型威胁的攻击呢？ Gartner对于下一代防火墙的研究与建议表明， 企业机构应转而采用一种不同的防御模式。Gartner建议，在下一更新周期时，IT企业应将其IPS部署（与同类防火墙部署）过渡到下一代防火墙，因为下一代防火墙中集成了IPS功能。由于采用简单的设备集成（如：统一威胁管理） ，企业用户再不会被管理多种设备带来的麻烦所困扰，下一代防火墙采用单一架构，采用基于应用程序（而非基于端口或协议）的全新流量分类设计，

5、并集成了企业级吞吐量与控制性的IPS功能性。 Palo Alto Networks是下一代防火墙的领导者，首先，它可使企业用户实现对其网络中运行的应用程序的控制，其次，可对允许使用的应用程序进行威胁扫描。与北京信诺瑞得信息技术有限公司 北京市朝阳区建国路88号SOHO现代城C座909室 电话：010-85804799 传真：010-85804800 网站： 传统的IPS甚至传统的防火墙对比，Palo Alto Networks下一代防火墙都可向企业用户提供前所未有的控制、保护、性能与支持。 许多企业都部署了入侵防御系统，但许多企业都部署了入侵防御系统，但 2003年，Gartner曾道出过许多

6、企业用户的使用感受，并表示，需将入侵检测转向入侵防御。企业客户发现自己各种事件与误报越来越多，因此需要一种可保护其免受信息威胁的有效方法。当前正在进行这种过渡，即：由于企业用户对入侵防御的要求日渐增多，也表明，单机IPS再无法提供企业所需的控制、保护与性能的架构。由于应用程序与威胁前景都发生变化，入侵防御功能也需随之提高，以防范新一代威胁与威胁矢量。但最重要的是，IPS需可在确保高价值、高风险应用程序得以安全使用的过程中起到关键作用。 .应用程序与威胁前景都已发生变化应用程序与威胁前景都已发生变化 在过去多年里，应用程序与威胁都发生了极大的变化。个人应用程序在网络中盛行，且与业务程序的区别越来

7、越小（基本都相同）-威胁主要针对各种可自由进出企业网络的应用程序。最初只是主要针对个人通讯类程序，如：即时通讯应用程序、P2P文件共享、网络邮件、以及社会网络应用程序的过剩。这就导致了即北京信诺瑞得信息技术有限公司 北京市朝阳区建国路88号SOHO现代城C座909室 电话：010-85804799 传真：010-85804800 网站： 使企业利用策略以其它方式限定使用此类程序， 但企业网络中必然会有这类程序运行。这种情况一方面是因为其普遍性，但也是因为其可动态调整通讯方式的设计来可避开传统防范策略（如：防火墙） 。普通策略包括：端口跳跃、采用非标准端口以及在共用服务中采用隧道技术、与隐藏在S

8、SL加密流量中。 许多应用程序都已被证明对个人通讯极其重要。 全球范围内的企业都会使用此类程序用于合法业务，并帮助其加密关键程序、改善客户服务、增强协作、通讯以及员工整体的生产力。 即使是“纯”业务应用程序也会被设计为采用相同的逃避策略，以便可进入采用各类安全架构的网络并使用其各类功能。此外，为适于主机或基于云服务的应用环境（如：S, WebEx, 与Google Apps） ，又有大量的传统应用程序都被其它应用程序取代。结果就是HTTP与HTTPS流量占据了所有企业流量的约2/3，这一现象也加剧了传统安全架构所固有的弱点。特别是，对于比较陈旧的安全架构，各种应用程序都可避开这种架构采用的通用

9、协议，无论是否用于合法业务用途，这种应用程序与业务程序实际上也无从辨别。 威胁的前景也发生了极大的变化。特别是发起攻击的动机已彻底改变，即：由原来只想扬名变为现在的想要获利， 也就是说黑客们现在关注的是更为简单的逃避技术。他们常用的方法就是编写一个威胁程序然后通过应用程序运行该程序。这就允许其恶意程序可通过企业原本主要用于网络层防护的主要防御系统。 现在的北京信诺瑞得信息技术有限公司 北京市朝阳区建国路88号SOHO现代城C座909室 电话：010-85804799 传真：010-85804800 网站： 黑客都将注意力更多的投入使用频率越来越高的基于用户的应用程序。 看一下社会网络应用程序就

10、知道，比如说蠕虫、特洛伊与漏洞攻击等。蠕虫与僵尸网络病毒都是针对P2P文件共享网络，且不仅是利用此类应用程序进行传播，还利用其实现命令与控制通讯。之所以多利用此类传输矢量（即：应用程序）不仅是其普及性， 还因为他们可利用此类程序的逃避特性实现 “自由进出” 企业网络的目的。 传统传统IPS vs 新威胁：天与地的差别新威胁：天与地的差别 由于应用程序与威胁都发生了如前所述的变化， 企业机构也开始重新审视其入侵防御系统。一般情况下，企业都主要注重利用IPS保护其服务器与数据中心，并有三大要求：服务器/数据中心保护、IPS供应商支持/研究团队以及IPS性能。现在主要的IPS供应商也开始在这三大要求

11、上实现各类产品区分。 服务服务器保护：器保护：现在有许多探测与防御技术，大部分的IPS技术都支持这些技术。此类技术包括：协议异常探测、状态模式匹配、统计异常探测、启发式分析、阻止无效或畸形数据包、IP碎片重组与TCP重组（防止逃避技术） 。大多数的IPS供应商都会利用基于漏洞的签名（与基于攻击签名相反） 。其它服务器保护方案主要指许多IPS供应商为提高性能，关键服务器至客户端流量保护。 研究与支持：研究与支持：这取决于供应商所做的实际研究，以及其应对新威胁与漏洞北京信诺瑞得信息技术有限公司 北京市朝阳区建国路88号SOHO现代城C座909室 电话：010-85804799 传真：010-858

12、04800 网站： 可为企业提供补丁保护的速度。IPS供应商的研究团队在这方面做了很大努力，虽然略有差异，但大部分的研究都是外包给部分行业调研机构进行的。另外很关键的一点就是， 无论其做了多少研究， 供应商是否能及时提供更新，保护客户免受各种新型攻击呢？ 性能：性能：企业机构需清楚了解IPS性能，根据最近Infonetics所做的研究表示，流量/应用程序延迟以及带宽/性能都成为导致企业部署“带外”IPS的主要原因（Infonetics: 入侵防御系统的用户计划：北美2009） 。很明显，满足企业对吞吐量与延迟期望是众多客户的首选目标。 随着防御技术的成熟，黑客们也开始另寻他径。虽然说IPS、防

13、火墙等都已被大家充分了解，但新型威胁却都爱利用一些众所周知的漏洞发起攻击。包括，通过应用程序采取目标/隧道技术利用客户机攻击网络以及加密攻击。 基于应用程序的威胁：基于应用程序的威胁：威胁开发者们都开始利用应用程序作为目标与传输矢量。应用程序成为这两种攻击的肥沃土壤，而且由于此类应用程序都采用了逃避技术，因此可轻松的通过企业防御系统。现在，采用逃避技术的应用程序持续增多。Palo Alto Networks的部分研究成果就是使Applipedia拥有900多种应用程序及其各类行为的数据库。在这900多种应用程序中，有446个可以进行文件传输，200个已知会携带恶意软件，另有470个拥有已知漏洞

14、。有些基于应用程序的威胁已被大家所熟知（如：可入侵社会网络的威胁-koobface, boface或fbaction） ，但还有很多是未知的（如：利用MSN传播的北京信诺瑞得信息技术有限公司 北京市朝阳区建国路88号SOHO现代城C座909室 电话：010-85804799 传真：010-85804800 网站： Mariposa与P2P文件共享程序） 。无论怎样，黑客们都意识到，利用应用程序的寄生攻击非常简单，从而开始使用这一手段攻击客户。 加密威胁矢量：加密威胁矢量：另一项重要的攻击技术就是对威胁进行加密。事实上，很多年前安全研究人员就曾警告，各种威胁可能采取加密形式攻击。但加密威胁同样需

15、要渠道，即：进入基于用户的应用程序。因为用户很容易就被诱骗点击加密链接（有太多的用户以为HTTPS链接就是“安全的” ） ，从而使得加密威胁溜入企业防御系统。这种问题多见于社会网络，且是受信级别非常高的社会网络。另一方面，密切相关的矢量还包括利用压缩的混淆技术威胁。过去，单机式IPS都无法解压缩流量，因此无法对压缩内容进行扫描。 数据数据泄泄漏漏：在过去的2年间，最重大的安全新闻莫过于通过应用程序窃取保密或敏感数据（如：美国政府-机构与承包商、医药与零售商） 。最常见的情况就是禁止确定会导致数据泄漏的应用程序，但可惜的是，这些策略在传统的防火墙与IPS设备上无法实施。鉴于频发的安全违规情况，企业用户也开始寻找入侵防御解决方案可帮助其免受此类威胁困扰。 （Infonetics） 有一个共同的问题就是防范此类新型威胁所需的控制级别控制应用程序与内容、解密SSL、解压缩流量检测威胁，但这些功能都是传统的IPS所不具备的。虽然所有的功能都需从IDS过渡到了IPS，但IPS的最大限制就是它同样采用的是消极安全模块，以及消极安全架构设计。简单的说就是IPS的策略是“发现一个，消灭一个”的模式，但在应对隐藏在应用程序中的众多新型威胁时，又无法控制此类威胁。同时，其架构与平台设计又使其无法解密及分类各种流量。 北京信诺瑞得信息技术