IPS入侵防御系统学习
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一 个有意义的域中进行上下文分析,以提高过滤准确性。 过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次 的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过 系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因 为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣 。
的措施和结果进行记录。
入侵防护系统主要由嗅探器、检测分析组件、策略执行组件、
状态开关、日志系统和控制台组成。
3
二、IDS与IPS简单介绍 入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据 进行检测和报警,告知使用者网络中的实时状况,并提供相应的解 决、处理方法,是一种侧重于风险管理的安全产品。 入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网 络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用 者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品 。
S12500
漏洞扫描系统
L2_Link
L2_Link
基于每个虚拟防火墙ip的策 略路由 基于源ip(服务器地址) 的策略路由 net-hop y.y.y.2
服务器群
20
谢 谢!
Page 21
*准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;
*全面、精细的流量控制功能,确保企业关键业务持续稳定运转; *具备丰富的高可用性,提供BYPASS(硬件、软件)和HA等可靠性保障措施;
*可扩展的多链路IPS防护能力,避免不必要的重复安全投资;
*提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间把攻击阻 断在企业网络之外,同时也支持旁路模式部署,用于攻击检测,适合不同客户 需要; *支持分级部署、集中管理,满足不同规模网络的使用和管理需求。
图1: DPX8000-A5 前面板
图2:带两个10GE光口的主控板
图3:接口板(48G1000M光口板)
目录
IPS基础知识
DPX8000简单介绍
现网部署简单介绍
17
19
链路捆绑
N:M虚拟化
M9000
跨机框捆绑
L3_Link
IPS2000-BLADE
虚拟化
DPX8000-A5
IPS2000-BLADE
12
目录
IPS基础知识
DPX8000简单介绍
现网部署简单介绍
13
DPX8000系列产品基于DPtech自主知识产权的ConPlat软 件平台,集业务交换、网络安全、应用交付三大功能于一体。 在提供IPv4/IPv6、MPLS VPN、不间断转发、环网保护等丰富 网络特性基础上,还可以提供应用防火墙、IPS、UAG、异常 流量清洗/检测、应用交付、WAF、漏洞扫描等深度业务的线 速处理,是目前业界业务扩展能力最强、处理能力最高、接口 密度最高的深度业务交换网关,旨在满足运营商、数据中心、 大型企业的高性能网络深度业务处理需要。
8
六、IPS工作原理
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能 够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器 。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容 。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击 ,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对 Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术 不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐 一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包
IPS 学习资料
(入侵防御系统)
பைடு நூலகம்录
IPS基础知识
DPX8000简单介绍
现网部简单介绍
2
一、入侵防护系统的基本概念:
入侵防护系统(Intrusion Preventio System,IPS)整合了防
火墙技术和入侵检测技术,采用在线工作模式,所有接收到的数据
包都要经过入侵防护系统检查之后决定是否放行,或者执行缓存、 抛弃策略,发生攻击时及时发出警报,并将网络攻击事件及所采取
基于目的ip(受保护服务 器网段)的策略路由 net-hop x.x.x.2
跨机框捆绑 通过镜像或者分 光方式 行为审计网关 IRF x.x.x0/30 .1 Vlan 1000.2 .1 Vlan 2000.2 y.y.y.0/30 ip route 0.0.0.0/0 next-hop y.y.y.1
四、IPS的种类(1) * 基于主机的入侵防护(HIPS) HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵 操作系统以及应用程序。基于主机的入侵防护技术可以根据自定 义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶 意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链 接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升
五、IPS原理 IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和 攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意 流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量 中实现这一功能的,即通过一个网络端口接收来自外部系统的流量 ,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一 个端口将它传送到内部系统中。这样一来,有问题的数据包,以及 所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
10
七、面临的挑战和解决方式
IPS 技术需要面对很多挑战,其中主要有三点:
一是单点故障, 二是性能瓶颈, 三是误报和漏报。 IPS厂商采用各种方式加以解决。 一是综合采用多种检测技术, 二是采用专用硬件加速系统来提高IPS的运行效率。
八、一款优秀的网络入侵防护系统应该具备以下特征: *满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量 ; *提供针对各类攻击的实时检测和防御功能,同时具备丰富的访问控制能力, 在任何未授权活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失;
NIPS必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包 检测和阻断功能。这种特定的硬件平台通常可以分为三类:一类是网络处理 器(网络芯片),一类是专用的FPGA编程芯片,第三类是专用的ASIC芯片。 在技术上,NIPS吸取了目前NIDS所有的成熟技术,包括特征匹配、协 议分析和异常检测。特征匹配是最广泛应用的技术,具有准确率高、速度快 的特点。基于状态的特征匹配不但检测攻击行为的特征,还要检查当前网络 的会话状态,避免受到欺骗攻击。
4
三、IPS产生原因 A:串行部署的防火墙可以拦截低层攻击行为,但对应用层 的深层攻击行为无能为力。 B:旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击 行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。 C:IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断 。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬 间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻 击等),使得IDS与防火墙联动在实际应用中的效果不显著。
中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负
责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的 数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
9
续: 针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相
应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内
主机的安全水平。
6
四、IPS的种类(2)
* 基于网络的入侵防护(NIPS) NIPS通过检测流经的网络流量,提供对网络系统的安全保护。由于它采 用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话 ,而不仅仅是复位会话。同样由于实时在线,NIPS需要具备很高的性能,以 免成为网络的瓶颈,因此NIPS通常被设计成类似于交换机的网络设备,提供 线速吞吐速率以及多个网络端口。
的措施和结果进行记录。
入侵防护系统主要由嗅探器、检测分析组件、策略执行组件、
状态开关、日志系统和控制台组成。
3
二、IDS与IPS简单介绍 入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据 进行检测和报警,告知使用者网络中的实时状况,并提供相应的解 决、处理方法,是一种侧重于风险管理的安全产品。 入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网 络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用 者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品 。
S12500
漏洞扫描系统
L2_Link
L2_Link
基于每个虚拟防火墙ip的策 略路由 基于源ip(服务器地址) 的策略路由 net-hop y.y.y.2
服务器群
20
谢 谢!
Page 21
*准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;
*全面、精细的流量控制功能,确保企业关键业务持续稳定运转; *具备丰富的高可用性,提供BYPASS(硬件、软件)和HA等可靠性保障措施;
*可扩展的多链路IPS防护能力,避免不必要的重复安全投资;
*提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间把攻击阻 断在企业网络之外,同时也支持旁路模式部署,用于攻击检测,适合不同客户 需要; *支持分级部署、集中管理,满足不同规模网络的使用和管理需求。
图1: DPX8000-A5 前面板
图2:带两个10GE光口的主控板
图3:接口板(48G1000M光口板)
目录
IPS基础知识
DPX8000简单介绍
现网部署简单介绍
17
19
链路捆绑
N:M虚拟化
M9000
跨机框捆绑
L3_Link
IPS2000-BLADE
虚拟化
DPX8000-A5
IPS2000-BLADE
12
目录
IPS基础知识
DPX8000简单介绍
现网部署简单介绍
13
DPX8000系列产品基于DPtech自主知识产权的ConPlat软 件平台,集业务交换、网络安全、应用交付三大功能于一体。 在提供IPv4/IPv6、MPLS VPN、不间断转发、环网保护等丰富 网络特性基础上,还可以提供应用防火墙、IPS、UAG、异常 流量清洗/检测、应用交付、WAF、漏洞扫描等深度业务的线 速处理,是目前业界业务扩展能力最强、处理能力最高、接口 密度最高的深度业务交换网关,旨在满足运营商、数据中心、 大型企业的高性能网络深度业务处理需要。
8
六、IPS工作原理
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能 够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器 。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容 。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击 ,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对 Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术 不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐 一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包
IPS 学习资料
(入侵防御系统)
பைடு நூலகம்录
IPS基础知识
DPX8000简单介绍
现网部简单介绍
2
一、入侵防护系统的基本概念:
入侵防护系统(Intrusion Preventio System,IPS)整合了防
火墙技术和入侵检测技术,采用在线工作模式,所有接收到的数据
包都要经过入侵防护系统检查之后决定是否放行,或者执行缓存、 抛弃策略,发生攻击时及时发出警报,并将网络攻击事件及所采取
基于目的ip(受保护服务 器网段)的策略路由 net-hop x.x.x.2
跨机框捆绑 通过镜像或者分 光方式 行为审计网关 IRF x.x.x0/30 .1 Vlan 1000.2 .1 Vlan 2000.2 y.y.y.0/30 ip route 0.0.0.0/0 next-hop y.y.y.1
四、IPS的种类(1) * 基于主机的入侵防护(HIPS) HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵 操作系统以及应用程序。基于主机的入侵防护技术可以根据自定 义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶 意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链 接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升
五、IPS原理 IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和 攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意 流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量 中实现这一功能的,即通过一个网络端口接收来自外部系统的流量 ,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一 个端口将它传送到内部系统中。这样一来,有问题的数据包,以及 所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
10
七、面临的挑战和解决方式
IPS 技术需要面对很多挑战,其中主要有三点:
一是单点故障, 二是性能瓶颈, 三是误报和漏报。 IPS厂商采用各种方式加以解决。 一是综合采用多种检测技术, 二是采用专用硬件加速系统来提高IPS的运行效率。
八、一款优秀的网络入侵防护系统应该具备以下特征: *满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量 ; *提供针对各类攻击的实时检测和防御功能,同时具备丰富的访问控制能力, 在任何未授权活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失;
NIPS必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包 检测和阻断功能。这种特定的硬件平台通常可以分为三类:一类是网络处理 器(网络芯片),一类是专用的FPGA编程芯片,第三类是专用的ASIC芯片。 在技术上,NIPS吸取了目前NIDS所有的成熟技术,包括特征匹配、协 议分析和异常检测。特征匹配是最广泛应用的技术,具有准确率高、速度快 的特点。基于状态的特征匹配不但检测攻击行为的特征,还要检查当前网络 的会话状态,避免受到欺骗攻击。
4
三、IPS产生原因 A:串行部署的防火墙可以拦截低层攻击行为,但对应用层 的深层攻击行为无能为力。 B:旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击 行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。 C:IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断 。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬 间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻 击等),使得IDS与防火墙联动在实际应用中的效果不显著。
中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负
责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的 数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
9
续: 针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相
应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内
主机的安全水平。
6
四、IPS的种类(2)
* 基于网络的入侵防护(NIPS) NIPS通过检测流经的网络流量,提供对网络系统的安全保护。由于它采 用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话 ,而不仅仅是复位会话。同样由于实时在线,NIPS需要具备很高的性能,以 免成为网络的瓶颈,因此NIPS通常被设计成类似于交换机的网络设备,提供 线速吞吐速率以及多个网络端口。