隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn),傳統(tǒng)防火墻技術(shù)加傳統(tǒng)IDS的技術(shù)��,已經(jīng)無(wú)法應(yīng)對(duì)一些安全威脅。在這種情況下���,IPS技術(shù)應(yīng)運(yùn)而生����,IPS技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量���,對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊����,對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源���。
IPS如何實(shí)現(xiàn)深度檢測(cè)和入侵抵御
對(duì)于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS����,可以根據(jù)預(yù)先設(shè)定的安全策略���,對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測(cè)(協(xié)議分析跟蹤�、特征匹配�、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等)�����,如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡(luò)攻擊�����,可以根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報(bào)文;切斷此次應(yīng)用會(huì)話;切斷此次TCP連接�。
在哪里部署
進(jìn)行了以上分析以后,我們可以得出結(jié)論����,辦公網(wǎng)中,至少需要在以下區(qū)域部署IPS����,即辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位(入口/出口);重要服務(wù)器集群前端;辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域��,可以根據(jù)實(shí)際情況與重要程度�,酌情部署。
如何部署
在以下案例中�,我們可以看到以IPS為核心的多種網(wǎng)絡(luò)深度檢測(cè)/實(shí)時(shí)抵御的方案;不同的方案,在不同的應(yīng)用場(chǎng)景當(dāng)中�����,可以適當(dāng)?shù)財(cái)U(kuò)充或簡(jiǎn)化����。
一���、 基于策略的安全防御
1. 位于辦公網(wǎng)入口的IPS通過應(yīng)用層協(xié)議分析跟蹤和特征匹配,發(fā)現(xiàn)目的地為業(yè)務(wù)服務(wù)器A的HTTP數(shù)據(jù)流中隱藏有針對(duì)Windows操作系統(tǒng)的DCOM漏洞的惡意利用;
2. IPS將此安全事件上報(bào)至管理中心;
3. 管理中心獲取服務(wù)器A的基本信息;
4. 管理中心根據(jù)獲取的A的信息���,判斷該訪問是否會(huì)造成危害����,如果A不運(yùn)行Windows操作系統(tǒng)或者A確實(shí)運(yùn)行Windows但是已經(jīng)打了針對(duì)DCOM漏洞的補(bǔ)丁����,則A是安全的;
5. 根據(jù)情況��,管理中心向IPS下發(fā)制定的安全策略;
6. IPS執(zhí)行安全策略�����,放行或者阻斷此次連接請(qǐng)求���。
事實(shí)上���,在這里我們描述的是需要管理中心介入的情況,在一些相對(duì)簡(jiǎn)單的情況下�,如果我們事先可以確認(rèn)服務(wù)器集群所運(yùn)行的操作系統(tǒng)(在90%的情況下這是可能的)���,那么抵御該網(wǎng)絡(luò)攻擊的規(guī)則可以直接施加在IPS上,不再需要與管理中心的交互�����,從而降低部署的復(fù)雜度����、提高效率。
二��、應(yīng)用感知的智能防御
1. 辦公網(wǎng)用戶訪問Internet上的WWW服務(wù)器;
2. IPS檢測(cè)到該請(qǐng)求�����,判斷該請(qǐng)求符合事先設(shè)定的安全策略�����,放行;
3. 該用戶與外部服務(wù)器的連接建立;
4. 該用戶試圖通過已經(jīng)建立的連接����,利用二次代理,發(fā)起對(duì)某非法或不良網(wǎng)站的訪問請(qǐng)求;
5. 根據(jù)對(duì)應(yīng)用層協(xié)議的深度分析和內(nèi)容識(shí)別,IPS檢測(cè)到該企圖�����,阻斷該次HTTP連接;
6. 上報(bào)該安全事件到管理中心備查;
7. IPS可以根據(jù)管理中下發(fā)的策略�,對(duì)該用戶進(jìn)行一定時(shí)間的懲罰(拒絕該用戶后續(xù)的上網(wǎng)請(qǐng)求)。
三����、行為分析的智能防御,阻止病毒��、蠕蟲泛濫
1. 某辦公網(wǎng)用戶通過公共區(qū)域網(wǎng)絡(luò)訪問業(yè)務(wù)服務(wù)器集群;
2. 正常連接建立后��,位于服務(wù)器集群前端的IPS檢測(cè)到來自該用戶的通信流量中隱藏有某種病毒的行為特征�,立即阻斷該用戶的此次訪問�,并且上報(bào)該安全事件給管理中心;
3. 管理中心分析該安全事件,根據(jù)報(bào)文信息定位到該用戶��,并且制定新的安全策略;
4. 接入管理更改該用戶的安全等級(jí)���,下發(fā)更新的安全策略給相關(guān)網(wǎng)絡(luò)設(shè)備;
5. 更新了安全策略的網(wǎng)絡(luò)設(shè)備將該用戶隔離至某特定區(qū)域�����,避免該病毒感染其他網(wǎng)絡(luò)用戶��,并采取后續(xù)行動(dòng)����。
IPS深度檢測(cè)與入侵抵御的關(guān)鍵技術(shù)
高性能、高可靠性的硬件平臺(tái)
依賴于對(duì)網(wǎng)絡(luò)設(shè)備體系架構(gòu)的深刻理解和強(qiáng)大的設(shè)計(jì)開發(fā)能力�����,華為3Com為IPS產(chǎn)品設(shè)計(jì)了專用的高性能硬件平臺(tái)��。該平臺(tái)徹底拋棄了目前市面上常見的工控機(jī)架構(gòu)�����。
協(xié)議分析與跟蹤技術(shù)
通過前面的分析����,我們可以看到協(xié)議分析與跟蹤對(duì)IPS設(shè)備的重要性。與傳統(tǒng)防火墻不同的是�����,IPS不但要分析和跟蹤IP����、ICMP��、UDP��、TCP這幾種網(wǎng)絡(luò)層��、傳輸層的協(xié)議���,而且,還要對(duì)HTTP�����、HTTPS��、FTP�、TFTP�、SNMP、Telnet�����、SMTP����、POP���、DNS、RPC�����、LDAP�����、ICQ�、MSN、Yahoo Messenger等眾多的應(yīng)用層協(xié)議進(jìn)行分析���、跟蹤���。沒有對(duì)網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的深刻理解,要完成這件工作是不可能的����。華為3Com已經(jīng)具備了在操作系統(tǒng)的內(nèi)核級(jí)別對(duì)應(yīng)用協(xié)議進(jìn)行全面跟蹤、深度分析的實(shí)力;而且���,在引入網(wǎng)絡(luò)處理器后�����,所有的邏輯檢測(cè)和協(xié)議分析����、跟蹤都要下移到網(wǎng)絡(luò)處理器中,采用微碼實(shí)現(xiàn)�����,進(jìn)一步提高系統(tǒng)性能�����。
特征匹配的性能
從海量的數(shù)據(jù)中去尋找一定的特征�,在計(jì)算領(lǐng)域,這歷來是一個(gè)高計(jì)算量���、高復(fù)雜度的問題;而IPS的報(bào)文內(nèi)容識(shí)別,恰恰要基于此工作���。那么���,如何解決這個(gè)CPU殺手和提高設(shè)備性能之間的矛盾呢?
華為3Com采用專用的硬件加速卡來解決這個(gè)問題�����?�;趯iT的內(nèi)容查找芯片設(shè)計(jì)的硬件加速卡在系統(tǒng)中與CPU���、網(wǎng)絡(luò)處理器協(xié)同工作,在需要對(duì)報(bào)文進(jìn)行內(nèi)容搜索的情況下�,為CPU和網(wǎng)絡(luò)處理器卸載負(fù)擔(dān),使得CPU和網(wǎng)絡(luò)處理器可以專注于報(bào)文處理和邏輯檢測(cè)�,從而將內(nèi)容搜索對(duì)系統(tǒng)效率的影響降至最低。目前華為3Com設(shè)計(jì)的硬件加速卡��,可以在千兆的環(huán)境下線速地處理流量����。
關(guān)鍵詞標(biāo)簽:IPS,安全防御
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程