《网络安全技术与实践》第二篇边界安全.ppt

《《网络安全技术与实践》第二篇边界安全.ppt》由会员分享，可在线阅读，更多相关《《网络安全技术与实践》第二篇边界安全.ppt（57页珍藏版）》请在三一办公上搜索。

1、网络安全技术与实践课件 制作人：蒋亚军,网络安全技术与实践（课件）人民邮电出版社2012 年,蒋亚军 编著,项目二 入侵防护系统 IPS,第二篇,【项目背景】,某企业的计算机网络最近频繁遭受到攻击，虽然已经安装了防火墙，但是效果依然不理想。邀请安全专家检测网络发现公司内部计算机网络存在大量的恶意代码、僵尸网络、病毒以及有针对性不良数据包的攻击，公司决定投资解决相关网络安全问题。,【需求分析】,传统的网络安全防范方法是对操作系统进行安全加固，通过各种各样的安全补丁提高操作系统本身的抗攻击性。安装防火墙的思路是在网络边界检查攻击包的并将其直接抛弃，使攻击包无法到达目标，从而从根本上避免黑客的攻击。

2、但通常的防火墙却无法对付应用层的恶意代码，对于僵尸网络、病毒以及有针对性的不良数据包的攻击却都显得有些无能为力。入侵检测系统（IDS）可以检测网络攻击，但它的阻断攻击能力却非常有限，一般只能通过发送TCP reset包或联动防火墙来阻止攻击。本例中最好采用入侵防御系统（IPS），因为IPS是一种主动的、积极的入侵防范、阻止系统，它可部署在网络的边界上，当它检测到上述的攻击时，能够自动地将攻击包丢掉或采取措施将攻击源阻断。,【预备知识】,入侵防护系统(IPS)倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IP

3、S 是通过直接部署在网络边界上连接内外网实现安全防护功能的，它可通过网络端口接收来自外部系统的流量，检查确认其中是否包含异常或可疑的活动内容，在数据传输过程中清除掉有问题的数据内容。,入侵防护系统,几个问题1.入侵防御系统（IPS）就是入侵检测系统（Intrusion Detection System，IDS）的升级产品，2.入侵防护系统能够取代入侵检测系统3.入侵防护系统是入侵检测系统+防火墙4.关于主动防护问题与防护体系的问题,IPS的现状,IPS提出了多年，一直认为IPS会取代IDS（入侵检测系统），但是很多年过去了，情况似乎并非如此。据调查，目前59%的用户部都署了IDS，27%的用户

4、将IDS列入购买计划，62%用户在关注 IPS，并且7%的用户有意向购买 IPS，这些数据表明，IDS和IPS 在国内都呈现出繁荣发展的前景。IDS和IPS 将会有着不同的发展方向和职责定位。IDS 短期内不会消亡，IPS 也不会完全取代IDS的作用。虽然IPS 市场前景被绝大多数人看好，市场成熟指日可待，但要想靠蚕食IDS 市场来扩大市场份额，对于IPS 来说应该还是很难的。,IPS的产品背景,1.安全漏洞越来越多零日攻击,2.DoS/DDoS仍是很大的威胁根据调查，每天平均侦测到6,110个事件Arbor的研究指出，DoS/DDoS占网络安全事件的65%，其中主要还是TCP SYN/UDP

5、 Flooding应用层CC攻击,3.来自内部网络的威胁Instant Message在线聊天软件P2P共享软件虚拟隧道软件在线网络游戏,IM：MSN、QQ、SkypeP2P：迅雷、BitTorrent虚拟隧道：VNN在线网游：联众、浩方,降低工作效率文件传输，引发泄密风险散布恶意程序,这些工具我们都在用，安全吗？,网管员的梦想“只允许聊天，禁止其它功能”“不同的对象使用不同管理方式”,4.IM即时消息软件的威胁,P2P在耗尽带宽,Thunder 迅雷、eMule 电驴、BT、FlashGetPPLive、PPStream、QQLive,消耗正常网络带宽 病毒散布温床 机密文件外泄 下载文档的

6、著作权,5.P2P的威胁,6.穿透防火墙对外连机,7.直接与外界计算机直接交换信息,通过防火墙开放的合法端口建立虚拟隧道数据加密，企业难以防范，机密信息泄露虚拟隧道软件：VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor,IPS产品的客户价值,Intrusion Prevention System 入侵防护系统简单的讲：IPS是在应用层上进行威胁检测和防御的“深度防火墙+上网行为管理”,防火墙是,IDS是,IPS是,IPS是什么？,IPS的种类,1.基于主机的入侵防护(HIPS)HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击

7、入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品，它们在防范红色代码和Nimda的攻击中，能起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。,IPS的种类,2.基于网络的入侵防护(NIPS)NIPS通过检测流经的网络流量，提供对网络系统的安全保护。

8、由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。,IPS的种类,3.应用入侵防护（AIP）NIPS产品有一个特例，即应用入侵防护（Application Intrusion Prevention，AIP），它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备，配置在应用数据的网络链路上，以确保用户遵守设定好的安全策略，保护服务器的安全。NIPS工作在网络上，直

9、接对数据包进行检测和阻断，与具体的主机/服务器操作系统平台无关。NIPS的实时检测与阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高，每一层次的交换机都有可能集成入侵防护功能。,IPS主要功能与特性,检测机制 由于需要具备主动阻断能力，检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍，Juniper产品中使用了包括状态签名、协议异常、后门检测、流量异常、混合式攻击检测在内的“多重检测技术”，以提高检测和阻断的准确程度。McAfee 公司则在自己的实验室里加强了对溢出型漏洞的研究和跟踪，把针对溢出型攻击的相

10、应防范手段推送到IPS 设备的策略库中。国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术，通过研究漏洞特征，将其加入到过滤规则中，IPS就可以发现符合漏洞特征的所有攻击流量，在冲击波及其变种大规模爆发时，直接将其阻断，从而赢得打补丁的关键时间。,IPS主要功能与特性,弱点分析 IPS产品的发展前景取决于攻击阻截功能的完善。引入弱点分析技术是IPS完善攻击阻截能力的重要依据.IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征，使IPS 能够主动保护脆弱系统。,IPS主要功能与特性,环境配置IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的，而

11、对于另外的用户来说就是正常流量，这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段，以提高检测准确率。McAfee、Juniper、ISS、冰峰网络等公司同时都在IPS中提供了调优机制，使IPS通过自学习提高检测的准确性。,IPS主要功能与特性,兼容性所有的用户都希望用相对少的投入，建设一个最安全、最易管理的网络环境。IPS如若需达到全面防护工作，则还要把其它网络管理功能集成起来，如网络管理、负载均衡、日志管理等，各自分工，但紧密协作。,2.典型IPS产品的功能,（1）天融信TopIDP产品的主要功能。高吞吐量、低延时入侵防御能力多重立体防御保护网络架构防护能力网络性能保护核

12、心应用保障能力实现精细化防御,2.典型IPS产品的功能,（2）联想网域入侵防护系统IPS良好的产品架构强大的入侵与防护检测能力强大的DoS/DDoS攻击防护能力带宽管理上网行为管理应用层防火墙,2.联想网御IPS主要功能,IM、P2P、Web MailWeb Post、Online Game,Intrusion、DoS/DDoSWorm/Network Virus,5.联想网御IPS核心技术,1.基于协议自动机（PA）的流量识别技术提供了更精确的流量检测方法 高效的流量数据包特征匹配,2.硬件特征匹配技术传统硬件加速技术基于FPGA基于Bloom过滤器 基于TCAM联想网御硬件特征匹配技术FP

13、GA+TCAM+SSRAM的硬件加速架构,3.联想网御硬件加速架构的优势使用TCAM做预处理，因而支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元；对特征进行了预分组，在保证了匹配速度的同时，控制了器件规模，从而节约成本，保证了用户得到最高的性能价格比；算法相关部分全部位于FPGA之中，由于其具有可动态升级特性，因而算法可以不断随着产品升级进行优化，灵活性大；SSRAM成本低，容量大，用它来实现精确匹配极大了扩展了可以用于匹配的规则数目；CPU的多核机制和FPGA中并行数据包缓冲处理机制结合，支持全并行的特征匹配。,5.5.联想网御IPS产品优

14、势,1.高效的硬件体系结构零拷贝技术多核处理与内存分配技术ASIC加上特征比对技术,2.USE统一安全引擎基于协议异常、会话状态和七层应用行为进行检测内置2300多条特征规则，支持自定义特征支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等各种协议的分析,3.支持七层状态检测防火墙支持基于网络接口、源/目的IP地址、协议、时间等自定义访问控制策略 支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虚拟隧道实现阻断管理,DNS/SMTP/WWW,Internet,4.高级自学习抗DoS攻击

15、传统单纯基于时间及访问次数的方法，会阻挡合法流量自动学习和分析每个特定IP地址的流量阻止攻击，同时允许合法的流量通过“源IP+URL特征+时间+访问次数”有效防范CC攻击,5.全面的P2P管控基于软件行为、数据内容，而不是端口识别应用可检测加密型或非加密型P2P支持100余种常用P2P软件带宽限流可精准到1Kbps,6.细粒度的IM管控基于软件行为、数据内容，而不是基于端口号识别应用可检测加密型或非加密型IM应用支持10种以上常用IM软件，包括Web IM可对登陆、文字聊天、文件传输、实时语音、实时视频等进行分项管理,7.精准的带宽管理针对VLAN、源/目的IP地址、应用协议端口、七层应用软件

16、（如P2P、FTP、PPlive、PPStream等）支持进行网络传输带宽和网络传输总量两种限制方式 针对P2P应用的带宽限流，可精准到1Kbps,8.丰富的工作模式支持IPS、IDS、IPS监视、IDS监视、Forward等工作模式支持Mirror模式,9.自定义检测方向针对性检测节省系统资源,10.图像化的实时监视窗口,11.方便、实用的报表预设事件报表、内建报表、随选报表、定期报表四类报表,事件报表查看事件的详细列表,内建报表图形化显示,随选报表丰富的查询条件,定期报表多样的计划类型：循环生成、一次性生成丰富的过滤条件HTML、PDF、CSV文件存储邮件、FTP通知,12.灵活的管理基于

17、JAVA的B/S管理架构支持在线、脱机两种方式对特征库、管理软件、设备操作系统实现升级支持实时通过LEMS、邮件、syslog进行报警SSH、Console管理IPS设备,13.实用的多重冗余功能无硬盘设计冗余电源硬件/软件Bypass联机自动切换（Link Fault Pass Through）支持Active-Active、Active-Passive两种模式,14.全面的产品资质,5.6 联想网御 IPS 产品线,1.上网行为管理部署在内网出口上网行为管理IM即时消息软件Web-IMP2P软件虚拟隧道在线游戏反动软件,5.7.联想网御 IPS 典型部署,2.内外兼顾部署在网络出口防范外网

18、攻击上网行为管理,3.多路防护多路IPS每路设置不同的策略带宽限流,5.7.竞争分析,1.绿盟产品线及规格对比,2.联想相对绿盟的优势联想的产品线丰富，接口数量多，类型丰富，其中950IPS最多支持4路IPS或9路IDS。具体信息可参考产品线及产品规格对比表。联想支持，绿盟不支持的功能虚拟隧道软件的检测自由门、无界、花园等反动类软件的检测“端口Mirror”功能“IP Spoofing”功能“Link Fault Pass Through”功能“自定义检测方向”绿盟产品不如我们做的好的功能联想的产品对P2P的支持更全面，检测准确，且支持P2P限流，特别是迅雷，绿盟支持的不好，可以引导用户进行测

19、试。我们的产品可以对IM软件的登陆、文字聊天、文件传输、语音聊天、视频聊天进行分项检测，并支持对Web-IM的检测，比绿盟产品要全面，可以引导用户进行测试。,绿盟强调其产品具有CVE证书.CVE兼容性证书是与产品相关的，绿盟的IDS和风险评估软件具有CVE证书，IPS产品并没有CVE证书。绿盟强调其产品支持路由和NAT功能.绿盟IPS支持路由和NAT功能的原因有以下两点：（1）绿盟没有防火墙产品。绿盟不是专业的路由器和防火墙厂商，想想其路由和NAT功能能做好吗？绿盟为了争取一些防火墙的项目，所以在IPS产品中加入了路由和NAT功能。而业内主流产品TP等主流IPS厂商均不在IPS产品中集成路由和

20、NAT功能，这已经成为业内默认的产品标准。（2）路由/NAT功能与硬件Bypass功能之间是矛盾的。客户购买IPS产品时都要求支持硬件Bypass功能，这就要求每路IPS接口之间工作在透明模式下。如使用路由或NAT功能，则硬件Bypass就会不起作用，当设备出现问题时，直接导致断网。注：硬件bypass功能解决了在IPS主机掉电、硬件故障、操作系统故障时，实现每路IPS的接口之间直通，从而避免了由于IPS故障导致的断网现象发生。,3.联想与绿盟功能对比,4.联想与启明产品线及规格对比,联想相对启明的优势联想的产品线丰富，接口数量多，类型丰富，其中950IPS最多支持4路IPS或9路IDS。具体

21、信息可参考产品线及产品规格对比表。联想支持，启明不支持的功能虚拟隧道软件的检测自由门、无界、花园等反动类软件的检测“端口Mirror”功能“IP Spoofing”功能“Link Fault Pass Through”功能“自定义检测方向”VIPS（虚拟IPS）功能B/S管理架构启明产品不如我们做的好的功能联想的产品对P2P的支持更全面，检测准确，且支持P2P限流，特别是迅雷，启明产品支持的不好，可以引导用户进行测试。联想的产品可以对IM软件的登陆、文字聊天、文件传输、语音聊天、视频聊天进行分项检测，并支持对Web-IM的检测，比启明产品要全面，可以引导用户进行测试。启明强调其产品具有CVE证书.CVE兼容性证书是与产品相关的，启明的IDS和风险评估软件具有CVE证书，IPS产品并没有CVE证书。,5.启明产品功能对比,1.xx高校网络出口,5.9.成功案例,高校网络特点应用复杂人员众多管理松散IPS应用P2P占用大量带宽P2P限流，支持100多种常用P2P软件,2.xx证券公司网上交易平台、办公网应用案例,网上交易系统侧重于来自外网攻击的防护办公网侧重于内网上网行为管理,结束,