隨著網(wǎng)絡攻擊技術的不斷提高和網(wǎng)絡安全漏洞的不斷發(fā)現(xiàn)�,傳統(tǒng)防火墻技術加傳統(tǒng)IDS的技術,已經(jīng)無法應對一些安全威脅�。在這種情況下,IPS技術應運而生,IPS技術可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量��,對惡意報文進行丟棄以阻斷攻擊�����,對濫用報文進行限流以保護網(wǎng)絡帶寬資源���。
IPS如何實現(xiàn)深度檢測和入侵抵御
對于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS��,可以根據(jù)預先設定的安全策略���,對流經(jīng)的每個報文進行深度檢測(協(xié)議分析跟蹤、特征匹配�����、流量統(tǒng)計分析��、事件關聯(lián)分析等)�����,如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡攻擊�����,可以根據(jù)該攻擊的威脅級別立即采取抵御措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次TCP連接�����。
在哪里部署
進行了以上分析以后�����,我們可以得出結論�,辦公網(wǎng)中�����,至少需要在以下區(qū)域部署IPS���,即辦公網(wǎng)與外部網(wǎng)絡的連接部位(入口/出口);重要服務器集群前端;辦公網(wǎng)內(nèi)部接入層�����。至于其它區(qū)域����,可以根據(jù)實際情況與重要程度,酌情部署��。
如何部署
在以下案例中�,我們可以看到以IPS為核心的多種網(wǎng)絡深度檢測/實時抵御的方案;不同的方案,在不同的應用場景當中��,可以適當?shù)財U充或簡化�����。
一��、 基于策略的安全防御
1. 位于辦公網(wǎng)入口的IPS通過應用層協(xié)議分析跟蹤和特征匹配�,發(fā)現(xiàn)目的地為業(yè)務服務器A的HTTP數(shù)據(jù)流中隱藏有針對Windows操作系統(tǒng)的DCOM漏洞的惡意利用;
2. IPS將此安全事件上報至管理中心;
3. 管理中心獲取服務器A的基本信息;
4. 管理中心根據(jù)獲取的A的信息,判斷該訪問是否會造成危害���,如果A不運行Windows操作系統(tǒng)或者A確實運行Windows但是已經(jīng)打了針對DCOM漏洞的補丁���,則A是安全的;
5. 根據(jù)情況,管理中心向IPS下發(fā)制定的安全策略;
6. IPS執(zhí)行安全策略���,放行或者阻斷此次連接請求�。
事實上��,在這里我們描述的是需要管理中心介入的情況,在一些相對簡單的情況下��,如果我們事先可以確認服務器集群所運行的操作系統(tǒng)(在90%的情況下這是可能的)����,那么抵御該網(wǎng)絡攻擊的規(guī)則可以直接施加在IPS上,不再需要與管理中心的交互���,從而降低部署的復雜度��、提高效率��。
二、應用感知的智能防御
1. 辦公網(wǎng)用戶訪問Internet上的WWW服務器;
2. IPS檢測到該請求����,判斷該請求符合事先設定的安全策略,放行;
3. 該用戶與外部服務器的連接建立;
4. 該用戶試圖通過已經(jīng)建立的連接�����,利用二次代理���,發(fā)起對某非法或不良網(wǎng)站的訪問請求;
5. 根據(jù)對應用層協(xié)議的深度分析和內(nèi)容識別��,IPS檢測到該企圖���,阻斷該次HTTP連接;
6. 上報該安全事件到管理中心備查;
7. IPS可以根據(jù)管理中下發(fā)的策略����,對該用戶進行一定時間的懲罰(拒絕該用戶后續(xù)的上網(wǎng)請求)��。
三�����、行為分析的智能防御�����,阻止病毒���、蠕蟲泛濫
1. 某辦公網(wǎng)用戶通過公共區(qū)域網(wǎng)絡訪問業(yè)務服務器集群;
2. 正常連接建立后����,位于服務器集群前端的IPS檢測到來自該用戶的通信流量中隱藏有某種病毒的行為特征���,立即阻斷該用戶的此次訪問�,并且上報該安全事件給管理中心;
3. 管理中心分析該安全事件,根據(jù)報文信息定位到該用戶�,并且制定新的安全策略;
4. 接入管理更改該用戶的安全等級,下發(fā)更新的安全策略給相關網(wǎng)絡設備;
5. 更新了安全策略的網(wǎng)絡設備將該用戶隔離至某特定區(qū)域�,避免該病毒感染其他網(wǎng)絡用戶,并采取后續(xù)行動����。
IPS深度檢測與入侵抵御的關鍵技術
高性能、高可靠性的硬件平臺
依賴于對網(wǎng)絡設備體系架構的深刻理解和強大的設計開發(fā)能力���,華為3Com為IPS產(chǎn)品設計了專用的高性能硬件平臺����。該平臺徹底拋棄了目前市面上常見的工控機架構�。
協(xié)議分析與跟蹤技術
通過前面的分析,我們可以看到協(xié)議分析與跟蹤對IPS設備的重要性�。與傳統(tǒng)防火墻不同的是��,IPS不但要分析和跟蹤IP���、ICMP���、UDP��、TCP這幾種網(wǎng)絡層���、傳輸層的協(xié)議,而且�����,還要對HTTP���、HTTPS�����、FTP���、TFTP、SNMP��、Telnet�����、SMTP�����、POP、DNS��、RPC�����、LDAP�、ICQ、MSN���、Yahoo Messenger等眾多的應用層協(xié)議進行分析����、跟蹤����。沒有對網(wǎng)絡協(xié)議和操作系統(tǒng)的深刻理解,要完成這件工作是不可能的����。華為3Com已經(jīng)具備了在操作系統(tǒng)的內(nèi)核級別對應用協(xié)議進行全面跟蹤�����、深度分析的實力;而且,在引入網(wǎng)絡處理器后��,所有的邏輯檢測和協(xié)議分析�����、跟蹤都要下移到網(wǎng)絡處理器中�����,采用微碼實現(xiàn)�,進一步提高系統(tǒng)性能。
特征匹配的性能
從海量的數(shù)據(jù)中去尋找一定的特征�,在計算領域,這歷來是一個高計算量�����、高復雜度的問題;而IPS的報文內(nèi)容識別��,恰恰要基于此工作��。那么,如何解決這個CPU殺手和提高設備性能之間的矛盾呢?
華為3Com采用專用的硬件加速卡來解決這個問題�。基于專門的內(nèi)容查找芯片設計的硬件加速卡在系統(tǒng)中與CPU�、網(wǎng)絡處理器協(xié)同工作,在需要對報文進行內(nèi)容搜索的情況下�,為CPU和網(wǎng)絡處理器卸載負擔,使得CPU和網(wǎng)絡處理器可以專注于報文處理和邏輯檢測�,從而將內(nèi)容搜索對系統(tǒng)效率的影響降至最低。目前華為3Com設計的硬件加速卡�����,可以在千兆的環(huán)境下線速地處理流量���。
關鍵詞標簽:IPS,安全防御
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程