《网络安全技术与实践》课件制作人:蒋亚军网络安全技术与实践项目二入侵防护系统IPS第二篇【实施目标】1.知识目标熟悉IPS产品的客户价值。了解IPS的种类。了解IPS主要功能。熟悉IPS的核心技术。了解典型IPS产品线。熟悉IPS的产品部署。熟悉典型IPS产品的竞争性。2.技能目标会选用典型的IPS会典型IPS的部署会典型IPS的配置【项目背景】某企业的计算机网络最近频繁遭受到攻击,虽然已经安装了防火墙,但是效果依然不理想。邀请安全专家检测网络发现公司内部计算机网络存在大量的恶意代码、僵尸网络、病毒以及有针对性不良数据包的攻击,公司决定投资解决相关网络安全问题。【需求分析】传统的网络安全防范方法是对操作系统进行安全加固,通过各种各样的安全补丁提高操作系统本身的抗攻击性。安装防火墙的思路是在网络边界检查攻击包的并将其直接抛弃,使攻击包无法到达目标,从而从根本上避免黑客的攻击。但通常的防火墙却无法对付应用层的恶意代码,对于僵尸网络、病毒以及有针对性的不良数据包的攻击却都显得有些无能为力。入侵检测系统(IDS)可以检测网络攻击,但它的阻断攻击能力却非常有限,一般只能通过发送TCPreset包或联动防火墙来阻止攻击。本例中最好采用入侵防御系统(IPS),因为IPS是一种主动的、积极的入侵防范、阻止系统,它可部署在网络的边界上,当它检测到上述的攻击时,能够自动地将攻击包丢掉或采取措施将攻击源阻断。【预备知识】入侵防护系统(IPS)倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接部署在网络边界上连接内外网实现安全防护功能的,它可通过网络端口接收来自外部系统的流量,检查确认其中是否包含异常或可疑的活动内容,在数据传输过程中清除掉有问题的数据内容。入侵防护系统几个问题1.入侵防御系统(IPS)就是入侵检测系统(IntrusionDetectionSystem,IDS)的升级产品,2.入侵防护系统能够取代入侵检测系统3.入侵防护系统是入侵检测系统+防火墙4.关于主动防护问题与防护体系的问题IPS的现状IPS提出了多年,一直认为IPS会取代IDS(入侵检测系统),但是很多年过去了,情况似乎并非如此。据调查,目前59%的用户部都署了IDS,27%的用户将IDS列入购买计划,62%用户在关注IPS,并且7%的用户有意向购买IPS,这些数据表明,IDS和IPS在国内都呈现出繁荣发展的前景。IDS和IPS将会有着不同的发展方向和职责定位。IDS短期内不会消亡,IPS也不会完全取代IDS的作用。虽然IPS市场前景被绝大多数人看好,市场成熟指日可待,但要想靠蚕食IDS市场来扩大市场份额,对于IPS来说应该还是很难的。IPS的产品背景1.安全漏洞越来越多零日攻击2.DoS/DDoS仍是很大的威胁根据调查,每天平均侦测到6,110个事件Arbor的研究指出,DoS/DDoS占网络安全事件的65%,其中主要还是TCPSYN/UDPFlooding应用层CC攻击3.来自内部网络的威胁InstantMessage在线聊天软件P2P共享软件虚拟隧道软件在线网络游戏企业网络IM:MSN、QQ、SkypeP2P:迅雷、BitTorrent虚拟隧道:VNN在线网游:联众、浩方降低工作效率文件传输,引发泄密风险散布恶意程序网管员的梦想——“只允许聊天,禁止其它功能”“不同的对象使用不同管理方式”4.IM即时消息软件的威胁P2P在耗尽带宽•Thunder迅雷、eMule电驴、BT、FlashGet…•PPLive、PPStream、QQLive…•消耗正常网络带宽•病毒散布温床•机密文件外泄•下载文档的著作权5.P2P的威胁6.穿透防火墙对外连机7.直接与外界计算机直接交换信息ComputersbehindfirewallPubliccomputerPubliccomputer通过防火墙开放的合法端口建立虚拟隧道数据加密,企业难以防范,机密信息泄露虚拟隧道软件:VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、TorIPS产品的客户价值IntrusionPreventionSystem入侵防护系统简单的讲:IPS是在应用层上进行威胁检测和防御的“深度防火墙+上网行为管理”防火墙是IDS是IPS是IPS是什么?IPS的种类1.基于主机的入侵防护(HIPS)HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfeeEntercept、冠群金辰的龙渊服务器核心防护都属于这类产品,它们在防范红色代码和Nimda的攻击中,能起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平。IPS的种类2.基于网络的入侵防护(NIPS)NIPS通过检测流经的网络流量,提供对网络系统的安全保护。由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话。同样由于实时在线,NIPS需要具备很高的性能,以免成为网络的瓶颈,因此NIPS通常被设计成类似于交换机的网络设备,提供线速吞吐速率以及多个网络端口。IPS的种类3.应用入侵防护(AIP)NIPS产品有一个特例,即应用入侵防护(ApplicationIntrusionPrevention,AIP),它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备,配置在应用数据的网络链路上,以确保用户遵守设定好的安全策略,保护服务器的安全。NIPS工作在网络上,直接对数据包进行检测和阻断,与具体的主机/服务器操作系统平台无关。NIPS的实时检测与阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高,每一层次的交换机都有可能集成入侵防护功能。IPS主要功能与特性检测机制由于需要具备主动阻断能力,检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper的工程师介绍,Juniper产品中使用了包括状态签名、协议异常、后门检测、流量异常、混合式攻击检测在内的“多重检测技术”,以提高检测和阻断的准确程度。McAfee公司则在自己的实验室里加强了对溢出型漏洞的研究和跟踪,把针对溢出型攻击的相应防范手段推送到IPS设备的策略库中。国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术,通过研究漏洞特征,将其加入到过滤规则中,IPS就可以发现符合漏洞特征的所有攻击流量,在冲击波及其变种大规模爆发时,直接将其阻断,从而赢得打补丁的关键时间。IPS主要功能与特性弱点分析IPS产品的发展前景取决于攻击阻截功能的完善。引入弱点分析技术是IPS完善攻击阻截能力的重要依据.IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征,使IPS能够主动保护脆弱系统。IPS主要功能与特性环境配置IPS的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的,而对于另外的用户来说就是正常流量,这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段,以提高检测准确率。McAfee、Juniper、ISS、冰峰网络等公司同时都在IPS中提供了调优机制,使IPS通过自学习提高检测的准确性。IPS主要功能与特性兼容性所有的用户都希望用相对少的投入,建设一个最安全、最易管理的网络环境。IPS如若需达到全面防护工作,则还要把其它网络管理功能集成起来,如网络管理、负载均衡、日志管理等,各自分工,但紧密协作。2.典型IPS产品的功能(1)天融信TopIDP产品的主要功能。高吞吐量、低延时入侵防御能力多重立体防御保护网络架构防护能力网络性能保护核心应用保障能力实现精细化防御2.典型IPS产品的功能(2)联想网域入侵防护系统IPS良好的产品架构强大的入侵与防护检测能力强大的DoS/DDoS攻击防护能力带宽管理上网行为管理应用层防火墙2.联想网御IPS主要功能带宽管理上网行为管理抗DoS/DDoS七层防火墙IDSIPS联想网御IPS企业网络IM、P2P、WebMailWebPost、OnlineGameIntrusion、DoS/DDoSWorm/NetworkVirus分类特性/功能详细描述产品架构硬件架构采用ASIC硬件架构,无硬盘设计,减少设备故障几率操作系统采用VSP通用安全平台;采用非开放式操作系统,以确保防御设备自身的稳定性入侵检测与防护入侵检测引擎采用USE统一安全引擎,具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能;工作模式支持IPS、IDS、IPS监视、IDS监视、Forward等多种工作模式;特征规则内置IPS特征库,特征规则数量超过2,300条;可自定义入侵攻击和应用软件的特征协议分析支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析防护攻击类型支持对蠕虫、木马、间谍软件、广告软件、可疑代码、扫描、非法连接、DosS/DDoS、Web攻击等多种攻击的防护。可以防范IPSpoofing攻击。策略时间管理可自定义单个策略的运行时间对数据包的处理方式支持丢弃数据包、切断会话、事件监视/记录(可选择记录数据包内容,如Sniffer一般)、限制连接传输带宽、限制传输总量等多种处理方式DoS/DDoS攻击防护三/四层防护支持双向阻断TCP/UDP/IGMP/ICMP/IPFlooding、UDP/ICMPSmurfing等各种类型的DoS/DDoS的攻击七层防护支持基于限制访问单位时间内访问特定服务次数来,阻断未知类型的DoS/DDoS攻击,如针对Web、DNS等服务的攻击带宽管理流量整形针对VLAN、源/目的IP地址、应用协议端口、七层应用软件(如P2P、FTP、PPlive、PPStream等),支持进行网络传输带宽和网络传输总量两种限制方式P2P下载管理拥有完善的P2P特征识别库,支持的常用P2P软件包括Thunder、eMule、WinMX、QQLive(China)、Skype、eDonkey、BitTorrent、Mldonkey等30余种;带宽限流可精准到1Kbps上网行为管理聊天应用管理拥有完善的实时聊天程序特征识别库,支持的聊天程序包括MSN、QQ、YahooMessenger、Skype、AIM、TM、GoogleTalk、PoPoBuild、iChat等10多类;并可对基于Web的聊天进行登陆和禁止管理控制,如MSN、Yahoo、ICQ、GoogleTalk、AIM、eBuddy.com、iLoveIM.com等在线游戏管理支持对腾讯QQ游戏大厅、联众世界、浩方对战平台、跑跑卡丁车等流行的在线游戏实现阻断管理Web访问检查可基于URL、内容等制定黑白名单来对Web访问进行过滤分类特性/功能详细描述应用层防火墙防火墙功能支持状态检测防火墙功能,支持基于网络接口、源/目的IP地址、协议、时间等自定义访问控制策略虚拟通道管理支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虚拟隧道,以及对自由门、无界、花园等反动类软件,实现阻断管理。高可靠性双机热备基于HA网络物理接口,可实现在设备宕机、端口坏等故障下的主机和从机的及时切换旁路保护支持硬件Bypass、软件Bypass的功能,以避免在任何情况下,因本系统无法正常运作而造成网络中断的情形灵活的管理管理方式基于Java