《《网络安全技术与实践》第二篇__边界》由会员分享,可在线阅读,更多相关《《网络安全技术与实践》第二篇__边界(57页珍藏版)》请在金锄头文库上搜索。
1、网络安全技术与实践课件 制作人:蒋亚军网络安全技术与实践项目二入侵防护系统IPS第二篇项目背景n某企业的计算机网络最近频繁遭受到攻击,虽然已经安装了防火墙,但是效果依然不理想.邀请安全专家检测网络发现公司内部计算机网络存在大量的恶意代码、僵尸网络、病毒以及有针对性不良数据包的攻击,公司决定投资解决相关网络安全问题.需求分析n传统的网络安全防范方法是对操作系统进行安全加固,通过各种各样的安全补丁提高操作系统本身的抗攻击性.安装防火墙的思路是在网络边界检查攻击包的并将其直接抛弃,使攻击包无法到达目标,从而从根本上避免黑客的攻击.但通常的防火墙却无法对付应用层的恶意代码,对于僵尸网络、病毒以及有针对
2、性的不良数据包的攻击却都显得有些无能为力.入侵检测系统IDS可以检测网络攻击,但它的阻断攻击能力却非常有限,一般只能通过发送TCP reset包或联动防火墙来阻止攻击.本例中最好采用入侵防御系统IPS,因为IPS是一种主动的、积极的入侵防范、阻止系统,它可部署在网络的边界上,当它检测到上述的攻击时,能够自动地将攻击包丢掉或采取措施将攻击源阻断.预备知识n入侵防护系统倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免造成损失,而不是简单地在恶意流量传送时或传送后才发出警报.IPS是通过直接部署在网络边界上连接内外网实现安全防护功能的,它可通过网络端口接收来自外部系统的流
3、量,检查确认其中是否包含异常或可疑的活动内容,在数据传输过程中清除掉有问题的数据内容.入侵防护系统n几个问题n1.入侵防御系统IPS就是入侵检测系统IntrusionDetectionSystem,IDS的升级产品,n2.入侵防护系统能够取代入侵检测系统n3.入侵防护系统是入侵检测系统+防火墙n4.关于主动防护问题与防护体系的问题IPS的现状IPS提出了多年,一直认为IPS会取代IDS入侵检测系统,但是很多年过去了,情况似乎并非如此.据调查,目前59%的用户部都署了IDS,27%的用户将IDS列入购买计划,62%用户在关注IPS,并且7%的用户有意向购买IPS,这些数据表明,IDS和IPS在国
4、内都呈现出繁荣发展的前景.IDS和IPS将会有着不同的发展方向和职责定位.IDS短期内不会消亡,IPS也不会完全取代IDS的作用.虽然IPS市场前景被绝大多数人看好,市场成熟指日可待,但要想靠蚕食IDS市场来扩大市场份额,对于IPS来说应该还是很难的.IPS的产品背景n1.安全漏洞越来越多n零日攻击n2.DoS/DDoS仍是很大的威胁n根据调查,每天平均侦测到6,110个事件nArbor的研究指出,DoS/DDoS占网络安全事件的65%,其中主要还是TCP SYN/UDP Floodingn应用层CC攻击n3.来自内部网络的威胁nInstant Message在线聊天软件nP2P共享软件n虚拟
5、隧道软件n在线网络游戏企业网络企业网络IMIM:MSNMSN、QQQQ、SkypeSkypeP2PP2P:迅雷、:迅雷、BitTorrentBitTorrent虚拟隧道:虚拟隧道:VNNVNN在线网游:联众、浩方在线网游:联众、浩方n降低工作效率n文件传输,引发泄密风险n散布恶意程序网管员的梦想网管员的梦想“只允许聊天,禁止其它功能只允许聊天,禁止其它功能” “不同的对象使用不同不同的对象使用不同管理方式管理方式”l4.IM即时消息软件的威胁 P2PP2P在耗尽带宽在耗尽带宽Thunder 迅雷、eMule 电驴、BT、FlashGetPPLive、PPStream、QQLive 消耗正常网络
6、带宽 病毒散布温床 机密文件外泄 下载文档的著作权l5.P2P的威胁 n6.穿透防火墙对外连机 n7.直接与外界计算机直接交换信息 l通过防火墙开放的合法端口建立虚拟隧道l数据加密,企业难以防范,机密信息泄露l虚拟隧道软件:VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor IPS产品的客户价值lIntrusionPreventionSystem入侵防护系统l简单的讲:IPS是在应用层上进行威胁检测和防御的深度防火墙+上网行为管理防火墙是IDS是IPS是nIPS是什么?IPS的种类的种类n1.基于主机的入侵防护nHIPS通过在主机/服务
7、器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序.基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用.Cisco公司的Okena、NAI公司的McAfeeEntercept、冠群金辰的龙渊服务器核心防护都属于这类产品,它们在防范红色代码和Nimda的攻击中,能起到了很好的防护作用.基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵.HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平.IPS的种类的种类2.基于网络的入侵防护NIPS通过检测流经的网络流量,提供
8、对网络系统的安全保护.由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话.同样由于实时在线,NIPS需要具备很高的性能,以免成为网络的瓶颈,因此NIPS通常被设计成类似于交换机的网络设备,提供线速吞吐速率以及多个网络端口.IPS的种类的种类n3.应用入侵防护AIPnNIPS产品有一个特例,即应用入侵防护ApplicationIntrusionPrevention,AIP,它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备.AIP被设计成一种高性能的设备,配置在应用数据的网络链路上,以确保用户遵守设定好的安全策略,保护服务器的安全.NIPS
9、工作在网络上,直接对数据包进行检测和阻断,与具体的主机/服务器操作系统平台无关.NIPS的实时检测与阻断功能很有可能出现在未来的交换机上.随着处理器性能的提高,每一层次的交换机都有可能集成入侵防护功能. IPS主要功能与特性主要功能与特性l检测机制 l 由于需要具备主动阻断能力,检测准确程度的高低对于IPS来说十分关键.IPS厂商综合使用多种检测机制来提高IPS的检测准确性.据Juniper 的工程师介绍,Juniper产品中使用了包括状态签名、协议异常、后门检测、流量异常、混合式攻击检测在内的多重检测技术,以提高检测和阻断的准确程度.McAfee 公司则在自己的实验室里加强了对溢出型漏洞的研
10、究和跟踪,把针对溢出型攻击的相应防范手段推送到IPS 设备的策略库中.国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术,通过研究漏洞特征,将其加入到过滤规则中,IPS就可以发现符合漏洞特征的所有攻击流量,在冲击波及其变种大规模爆发时,直接将其阻断,从而赢得打补丁的关键时间. IPS主要功能与特性主要功能与特性n弱点分析 nIPS产品的发展前景取决于攻击阻截功能的完善.引入弱点分析技术是IPS完善攻击阻截能力的重要依据.IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征,使IPS 能够主动保护脆弱系统. IPS主要功能与特性主要功能与特性n环境配置nIPS 的检测准
11、确率还依赖于应用环境.一些流量对于某些用户来说可能是恶意的,而对于另外的用户来说就是正常流量,这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段,以提高检测准确率.McAfee、Juniper、ISS、冰峰网络等公司同时都在IPS中提供了调优机制,使IPS通过自学习提高检测的准确性. IPS主要功能与特性主要功能与特性n兼容性n所有的用户都希望用相对少的投入,建设一个最安全、最易管理的网络环境.IPS如若需达到全面防护工作,则还要把其它网络管理功能集成起来,如网络管理、负载均衡、日志管理等,各自分工,但紧密协作.2.典型IPS产品的功能1天融信TopIDP产品的主要功能.高吞
12、吐量、低延时入侵防御能力多重立体防御保护网络架构防护能力网络性能保护核心应用保障能力实现精细化防御2.典型IPS产品的功能2联想网域入侵防护系统IPS良好的产品架构强大的入侵与防护检测能力强大的DoS/DDoS攻击防护能力带宽管理上网行为管理应用层防火墙2. 联想网御IPS主要功能带宽管理带宽管理上网行为管理上网行为管理抗抗DoS/DDoS七层防火墙七层防火墙IDSIPS联想网御联想网御IPSIPS企业网络企业网络IM、P2P、Web MailWeb Post、Online GameIntrusion、DoS/DDoSWorm/Network Virus5. 联想网御IPS核心技术n1.基于协
13、议自动机PA的流量识别技术n提供了更精确的流量检测方法 n高效的流量数据包特征匹配n2.硬件特征匹配技术n传统硬件加速技术n基于FPGAn基于Bloom过滤器 n基于TCAMn联想网御硬件特征匹配技术nFPGA+TCAM+SSRAM的硬件加速架构 n3.联想网御硬件加速架构的优势n使用TCAM做预处理,因而支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元;n对特征进行了预分组,在保证了匹配速度的同时,控制了器件规模,从而节约成本,保证了用户得到最高的性能价格比;n算法相关部分全部位于FPGA之中,由于其具有可动态升级特性,因而算法可以不断随着产
14、品升级进行优化,灵活性大;nSSRAM成本低,容量大,用它来实现精确匹配极大了扩展了可以用于匹配的规则数目;nCPU的多核机制和FPGA中并行数据包缓冲处理机制结合,支持全并行的特征匹配.5.5.联想网御IPS产品优势n1.高效的硬件体系结构n零拷贝技术n多核处理与内存分配技术nASIC加上特征比对技术l2.USE统一安全引擎l基于协议异常、会话状态和七层应用行为进行检测l内置2300多条特征规则,支持自定义特征l支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等各种协议的分析n3.支持七层状态检测防火墙n支持基于网络接口、源/目的IP地址、协议、时间等自定
15、义访问控制策略 n支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虚拟隧道实现阻断管理 DNS/SMTP/WWWInternetn4.高级自学习抗DoS攻击n传统单纯基于时间及访问次数的方法,会阻挡合法流量n自动学习和分析每个特定IP地址的流量n阻止攻击,同时允许合法的流量通过n源IP+URL特征+时间+访问次数有效防范CC攻击n5.全面的P2P管控n基于软件行为、数据内容,而不是端口识别应用n可检测加密型或非加密型P2Pn支持100余种常用P2P软件n带宽限流可精准到1Kbpsn6.细粒度的IM管控n基于软件行为、数据
16、内容,而不是基于端口号识别应用n可检测加密型或非加密型IM应用n支持10种以上常用IM软件,包括Web IMn可对登陆、文字聊天、文件传输、实时语音、实时视频等进行分项管理n7.精准的带宽管理n针对VLAN、源/目的IP地址、应用协议端口、七层应用软件如P2P、FTP、PPlive、PPStream等n支持进行网络传输带宽和网络传输总量两种限制方式 n针对P2P应用的带宽限流,可精准到1Kbps n8.丰富的工作模式n支持IPS、IDS、IPS监视、IDS监视、Forward等工作模式n支持Mirror模式l9.自定义检测方向针对性检测节省系统资源l10.图像化的实时监视窗口n11.方便、实用的报表n预设事件报表、内建报表、随选报表、定期报表四类报表l事件报表查看事件的详细列表l内建报表图形化显示l随选报表丰富的查询条件l定期报表多样的计划类型:循环生成、一次性生成丰富的过滤条件HTML、PDF、CSV文件存储邮件、FTP通知n12.灵活的管理n基于JAVA的B/S管理架构n支持在线、脱机两种方式对特征库、管理软件、设备操作系统实现升级n支持实时通过LEMS、邮件、syslog进行报警
