DPtech IPS2000入侵防御系统(培训文档)

未经授权禁止扩散
Page13
千兆IPS
产 品 介 绍
IPS2000-GE-N
IPS2000-GA-N IPS2000-GS-N
• 1U/2U高度，超强性能，节能环保
• 接口丰富， 内臵掉电保护 • 全面DDoS攻击防御能力 • 内臵专业病毒库 • 内臵双电源，确保稳定运行
www.dptechnology.net
技 术 特 性

危害

存在漏洞的是网站，被攻击的是浏览该网站的用户
www.dptechnology.net
未经授权禁止扩散
Page5
趋势三：安全漏洞不断爆发
网络设备、操作系统、数据库软件、应用软件漏洞数不胜数
微软操作系统视频功能组件高危漏洞 微软Office 组件高危漏洞 微软IE 浏览器0day 漏洞 域名系统软件Bind 9 高危漏洞
……
产 生 背 景
Zero Day Attack！
www.dptechnology.net
未经授权禁止扩散
Page25
IPS攻击防护-Web安全-SQL注入案例2

构造如下的URL：

http://a.b.c.d/changepwd.php?username=dptech&pwd=abcd ’,level=’3

实际插入的SQL语句变为：

UPDATE user SET pwd = 'abcd',level='3' WHERE username = ‘dptech’
未经授权禁止扩散
Page6
Mbps (Average per Hour)
100 120 140 160 180 200 20 40 60 80 0
产 生 背 景
www.dptechnology.net
13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0

技 术 特 性

IE中正常的URL如下：

http://a.b.c.d/user.php?username=dptech&&pwd=dptech SQL语句为：SELECT * FROM user WHERE username = ‘dptech' AND pwd = ‘dptech'
www.dptechnology.net
DPtech IPS介绍
通过在网络及安全领域的深厚积累，率先集成入侵防御与检测、病毒过滤、带宽
管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测产品
产 品 介 绍
业界性能最高IPS 全面及时的攻击特征库
集成强大的防病毒引擎 虚拟系统补丁技术
DPtech系列 IPS
全面DNS安全防护
强大的DDoS攻击防御
www.dptechnology.net
未经授权禁止扩散
Page20
IPS攻击防护

漏洞都是由于应用系统的错误导致的，针对不同的防护对 象可以开启不同的防护策略

IPS具备全面的攻击防护功能

技 术 特 性
Web安全
缓冲区溢出漏洞 操作系统漏洞 恶意代码 协议异常功能
www.dptechnology.net
www.dptechnology.net 未经授权禁止扩散 Page16
高可Hale Waihona Puke Baidu性确保网络稳定
内臵的高可用性（应用bypass）
2U设备支持热插拨、双电源 支持应用bypass功能

掉电保护模块 PFP（Power Fault Protector)
DPtech IPS
产 品 介 绍
检测引擎
检测引擎
未经授权禁止扩散
Page2
安全事件不断爆发
根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）报告，网 络安全事件依然持续不断爆发
产 生 背 景
2009 年CNCERT 共接收21927 件网络安全事件报告
www.dptechnology.net
未经授权禁止扩散
Page3
趋势一：网络无边界
ISSUE 1.0
IPS2000入侵防御系统
杭州迪普培训中心
Beyond Your Imagination
杭州迪普科技有限公司
目录
1 2 3 4
DPtech IPS产生背景 DPtech IPS产品介绍 DPtech IPS技术特性 DPtech IPS功能配置
www.dptechnology.net
L2 L1
www.dptechnology.net 未经授权禁止扩散
Page9
防火墙与IDS联动不能代替IPS
只有在线内对流量进行处理，才能真正阻挡出现在网络上出现的攻击
防火墙与IDS联动无法实现
防火墙
服务器
产 生 背 景
•整个操作要花100毫秒的时间 ， 这对现代微秒级的网络来说是一 个巨大的延时 •事后防御，不能阻挡单包攻击
未经授权禁止扩散
Page14
百兆IPS
产 品 介 绍
IPS2000-ME-N
IPS2000-MA-N IPS2000-MS-N IPS2000-MC-N
• 1U高度，超强性能，节能环保 • 全内臵千兆接口，可扩展千兆光口
• 内臵专业病毒库
www.dptechnology.net
未经授权禁止扩散
Page15
产 品 介 绍
部攻击。
DPtech IPS
IDS旁路部署方式
对网络流量进行监测与分析， 记录攻击事件并告警。
镜像 Internet 路由器 交换机
内部网络
www.dptechnology.net
未经授权禁止扩散
Page19
目录
1 2 3 4
DPtech IPS产生背景 DPtech IPS产品介绍 DPtech IPS技术特性 DPtech IPS功能配置
VPN、移动办公、无线网络等应用日渐增多，网络边界日益模糊，以防火 墙为代表的传统边界安全防护手段无能为力
产 生 背 景
边界在哪里？
www.dptechnology.net
未经授权禁止扩散
Page4
趋势二：新业务模式层出不穷
产 生 背 景
WEB2.0
云计算
P2P应用
网上支付
www.dptechnology.net
未经授权禁止扩散
Page12
IPS2000-TS-N
万兆
产 品 介 绍
IPS2000-TS-N
• 12G性能，业界最高！
• 2U高度，节能环保 • 接口丰富， 12GE电+12GE光 +2*10GE光 • 全面DDoS攻击防御能力 • 内臵专业病毒库
• 内臵双电源，确保稳定运行
www.dptechnology.net
断电保护模块-PFP主机
SW FW 正常
异常
产 品 介 绍
www.dptechnology.net
未经授权禁止扩散
Page18
IPS典型组网
IPS在线部署方式
部署于网络的关键路径上， 对流经的数据流进行2-7层深 度分析，实时防御外部和内
Internet 路由器 DPtech IPS 交换机
内部网络
千兆级
IPS2000-GS-N IPS2000-GA-N IPS2000-GE-N
百兆级
IPS2000-MC-N IPS2000-MS-N IPS2000-MA-N IPS2000-ME-N
迪普科技拥有从百兆至万兆的全系列入侵防御系统，可覆盖中小
型企业、大型企业以及运营商的各种应用层安全防护需求
www.dptechnology.net

技 术 特 性

IE中正常的URL如下：

http://a.b.c.d/changepwd.php?username=dptech&pwd=dptech SQL语句为：UPDATE user SET pwd = ‘dptech' WHERE username = ‘dptech'
www.dptechnology.net

技 术 特 性

www.dptechnology.net
未经授权禁止扩散
Page27
IPS攻击防护-Web安全-XSS

原理

网站对输入过滤不严格 攻击者往Web页面的html代码中插入恶意的数据，用户认为该页面 是可信赖的，当用户浏览该页之时，嵌入Web页里的恶意代码/脚
本会被执行
重新配臵 防火墙，使 其能阻挡来 自攻击地址 的流量
防火墙
IDS 报警 !!!
发送TCP RST 指令，终止TCP 连接
IPS能在一个攻击发生危害之前，对其实 施阻挡
服务器
•根据每个数据包，作出允许还是 拒绝的决定，不需要与防火墙联 动
www.dptechnology.net 未经授权禁止扩散
线内操作，只要 检测到攻击，就进行阻挡
www.dptechnology.net
未经授权禁止扩散
Page8
安全技术的发展
L7
IDS
网络层次
IPS
产 生 背 景
4-7层设备、应用 层安全检测、旁路 部署、性能要求低
旁路 L4
4-7层设备、应用 层安全防护、在线 部署、性能要求高
在线
部署方式
防火墙
L3 2-4层设备、基 于IP报头检测、 在线部署
交换机
交换机
网络流量
正常模式
二层交换模式
PFP主机
USB检测
借助于掉电保护模块，可保证 IPS掉电时，网
络依然畅通 DPtech系列所有千兆以上IPS均已支持6个（3 组）电口的内臵掉电保护，无需配臵PFP；
其它电口、光口可按需选择PFP
www.dptechnology.net 未经授权禁止扩散 Page17
www.dptechnology.net
未经授权禁止扩散
Page24
IPS攻击防护-Web安全-SQL注入案例2

某论坛用户修改密码的页面代码如下：

$sql = "UPDATE $tblname SET pwd = '$password' WHERE username = '$username'"; $result = mysql_query($sql) ;
Page10
目录
1 2 3 4
DPtech IPS产生背景 DPtech IPS产品介绍 DPtech IPS技术特性 DPtech IPS功能配置
www.dptechnology.net
未经授权禁止扩散
Page11
DPtech IPS2000产品系列
万兆级
IPS2000-TS-N
产 品 介 绍
未经授权禁止扩散
Page22
IPS攻击防护-Web安全-SQL注入案例1

某论坛用户登录的页面代码如下：

$sql = "SELECT * FROM user WHERE username = '$username' AND pwd = '$password'"; $result = mysql_query($sql) ;
技 术 特 性
www.dptechnology.net
未经授权禁止扩散
Page26
IPS攻击防护-Web安全-SQL注入防范

通过分析SQL语法和语义，进行精确识别 只在GET消息的URL部分和POST消息的负载部分检测， 减少误报 针对知名SQL注入工具进行特征提取(穿山甲、HDSL) 支持主流数据库的注入攻击(SQL Server/Mysql/Oracle) 支持SQL注入探测(and攻击/or攻击/数据库类型查询攻击/ 表名查询攻击等) 支持SQL注入攻击(联合查询攻击/数据更新攻击/数据删除 攻击/通过数据库执行系统命令攻击)
未经授权禁止扩散
Page21
IPS攻击防护-Web安全-SQL注入

原理

利用程序中的漏洞，构造特殊的SQL语句并提交以获取敏感信息

危害

技 术 特 性
获取系统控制权 未经授权状况下操作数据库的数据 恶意篡改网页内容 私自添加系统帐号或数据库使用者帐号
www.dptechnology.net
HTTP E-mail Kazaa Oracle WinMX eDonkey P2P Rate Limit
趋势四：安全威胁多样化
应用层 安全威胁
未经授权禁止扩散
网络钓鱼
蠕虫/病毒
Page7
趋势五：利益驱动下的信息犯罪
越来越多信息安全事件是以经济利益为驱动 病毒、木马、攻击已形成产业链
产 生 背 景
未经授权禁止扩散
Page23
IPS攻击防护-Web安全-SQL注入案例1

构造如下的URL：

http://a.b.c.d/user.php?username=dptech’/*

实际插入的SQL语句变为：

技 术 特 性
SELECT * FROM user WHERE username = ‘dptech'/*' AND pwd = ''