《網(wǎng)絡安全技術(shù)與實踐》網(wǎng)絡安全技術(shù)與實踐（課件）

人民郵電出版社2012

年

蔣亞軍編著項目二入侵防護系統(tǒng)IPS第二篇【需求分析】傳統(tǒng)的網(wǎng)絡安全防范方法是對操作系統(tǒng)進行安全加固，通過各種各樣的安全補丁提高操作系統(tǒng)本身的抗攻擊性。安裝防火墻的思路是在網(wǎng)絡邊界檢查攻擊包的并將其直接拋棄，使攻擊包無法到達目標，從而從根本上避免黑客的攻擊。但通常的防火墻卻無法對付應用層的惡意代碼，對于僵尸網(wǎng)絡、病毒以及有針對性的不良數(shù)據(jù)包的攻擊卻都顯得有些無能為力。入侵檢測系統(tǒng)（IDS）可以檢測網(wǎng)絡攻擊，但它的阻斷攻擊能力卻非常有限，一般只能通過發(fā)送TCPreset包或聯(lián)動防火墻來阻止攻擊。本例中最好采用入侵防御系統(tǒng)（IPS），因為IPS是一種主動的、積極的入侵防范、阻止系統(tǒng)，它可部署在網(wǎng)絡的邊界上，當它檢測到上述的攻擊時，能夠自動地將攻擊包丟掉或采取措施將攻擊源阻斷。【預備知識】入侵防護系統(tǒng)(IPS)傾向于提供主動防護，其設(shè)計宗旨是預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接部署在網(wǎng)絡邊界上連接內(nèi)外網(wǎng)實現(xiàn)安全防護功能的，它可通過網(wǎng)絡端口接收來自外部系統(tǒng)的流量，檢查確認其中是否包含異常或可疑的活動內(nèi)容，在數(shù)據(jù)傳輸過程中清除掉有問題的數(shù)據(jù)內(nèi)容。入侵防護系統(tǒng)幾個問題1.入侵防御系統(tǒng)（IPS）就是入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）的升級產(chǎn)品，2.入侵防護系統(tǒng)能夠取代入侵檢測系統(tǒng)3.入侵防護系統(tǒng)是入侵檢測系統(tǒng)+防火墻4.關(guān)于主動防護問題與防護體系的問題IPS的產(chǎn)品背景1.安全漏洞越來越多零日攻擊2.DoS/DDoS仍是很大的威脅根據(jù)調(diào)查，每天平均偵測到6,110個事件Arbor的研究指出，DoS/DDoS占網(wǎng)絡安全事件的65%，其中主要還是TCPSYN/UDPFlooding應用層CC攻擊3.來自內(nèi)部網(wǎng)絡的威脅InstantMessage在線聊天軟件P2P共享軟件虛擬隧道軟件在線網(wǎng)絡游戲企業(yè)網(wǎng)絡IM：MSN、QQ、SkypeP2P：迅雷、BitTorrent虛擬隧道：VNN在線網(wǎng)游：聯(lián)眾、浩方P2P在耗盡帶寬Thunder迅雷、eMule電驢、BT、FlashGet…PPLive、PPStream、QQLive…

消耗正常網(wǎng)絡帶寬病毒散布溫床機密文件外泄下載文檔的著作權(quán)5.P2P的威脅6.穿透防火墻對外連機

7.直接與外界計算機直接交換信息通過防火墻開放的合法端口建立虛擬隧道數(shù)據(jù)加密，企業(yè)難以防范，機密信息泄露虛擬隧道軟件：VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor

IPS產(chǎn)品的客戶價值IntrusionPreventionSystem

入侵防護系統(tǒng)簡單的講：IPS是在應用層上進行威脅檢測和防御的“深度防火墻+上網(wǎng)行為管理”防火墻是IDS是IPS是IPS是什么？IPS的種類1.基于主機的入侵防護(HIPS)HIPS通過在主機/服務器上安裝軟件代理程序，防止網(wǎng)絡攻擊入侵操作系統(tǒng)以及應用程序?；谥鳈C的入侵防護能夠保護服務器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfeeEntercept、冠群金辰的龍淵服務器核心防護都屬于這類產(chǎn)品，它們在防范紅色代碼和Nimda的攻擊中，能起到了很好的防護作用?；谥鳈C的入侵防護技術(shù)可以根據(jù)自定義的安全策略以及分析學習機制來阻斷對服務器、主機發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機的安全水平。IPS的種類2.基于網(wǎng)絡的入侵防護(NIPS)NIPS通過檢測流經(jīng)的網(wǎng)絡流量，提供對網(wǎng)絡系統(tǒng)的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網(wǎng)絡會話，而不僅僅是復位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡的瓶頸，因此NIPS通常被設(shè)計成類似于交換機的網(wǎng)絡設(shè)備，提供線速吞吐速率以及多個網(wǎng)絡端口。IPS的種類3.應用入侵防護（AIP）NIPS產(chǎn)品有一個特例，即應用入侵防護（ApplicationIntrusionPrevention，AIP），它把基于主機的入侵防護擴展成為位于應用服務器之前的網(wǎng)絡設(shè)備。AIP被設(shè)計成一種高性能的設(shè)備，配置在應用數(shù)據(jù)的網(wǎng)絡鏈路上，以確保用戶遵守設(shè)定好的安全策略，保護服務器的安全。NIPS工作在網(wǎng)絡上，直接對數(shù)據(jù)包進行檢測和阻斷，與具體的主機/服務器操作系統(tǒng)平臺無關(guān)。NIPS的實時檢測與阻斷功能很有可能出現(xiàn)在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。IPS主要功能與特性弱點分析

IPS產(chǎn)品的發(fā)展前景取決于攻擊阻截功能的完善。引入弱點分析技術(shù)是IPS完善攻擊阻截能力的重要依據(jù).IPS廠商通過分析系統(tǒng)漏洞、收集和分析攻擊代碼或蠕蟲代碼、描述攻擊特征或缺陷特征，使IPS能夠主動保護脆弱系統(tǒng)。

IPS主要功能與特性環(huán)境配置IPS的檢測準確率還依賴于應用環(huán)境。一些流量對于某些用戶來說可能是惡意的，而對于另外的用戶來說就是正常流量，這就需要IPS能夠針對用戶的特定需求提供靈活而容易使用的策略調(diào)優(yōu)手段，以提高檢測準確率。McAfee、Juniper、ISS、冰峰網(wǎng)絡等公司同時都在IPS中提供了調(diào)優(yōu)機制，使IPS通過自學習提高檢測的準確性。

IPS主要功能與特性兼容性所有的用戶都希望用相對少的投入，建設(shè)一個最安全、最易管理的網(wǎng)絡環(huán)境。IPS如若需達到全面防護工作，則還要把其它網(wǎng)絡管理功能集成起來，如網(wǎng)絡管理、負載均衡、日志管理等，各自分工，但緊密協(xié)作。2.典型IPS產(chǎn)品的功能（2）聯(lián)想網(wǎng)域入侵防護系統(tǒng)IPS良好的產(chǎn)品架構(gòu)強大的入侵與防護檢測能力強大的DoS/DDoS攻擊防護能力帶寬管理上網(wǎng)行為管理應用層防火墻2.聯(lián)想網(wǎng)御IPS主要功能帶寬管理上網(wǎng)行為管理抗DoS/DDoS七層防火墻IDSIPS聯(lián)想網(wǎng)御IPS企業(yè)網(wǎng)絡IM、P2P、WebMailWebPost、OnlineGameIntrusion、DoS/DDoSWorm/NetworkVirus5.聯(lián)想網(wǎng)御IPS核心技術(shù)1.基于協(xié)議自動機（PA）的流量識別技術(shù)提供了更精確的流量檢測方法高效的流量數(shù)據(jù)包特征匹配2.硬件特征匹配技術(shù)傳統(tǒng)硬件加速技術(shù)基于FPGA基于Bloom過濾器基于TCAM聯(lián)想網(wǎng)御硬件特征匹配技術(shù)FPGA+TCAM+SSRAM的硬件加速架構(gòu)3.聯(lián)想網(wǎng)御硬件加速架構(gòu)的優(yōu)勢使用TCAM做預處理，因而支持Wildcard、Distance、Within等等針對P2P/IM等應用程序所需要的操作單元；對特征進行了預分組，在保證了匹配速度的同時，控制了器件規(guī)模，從而節(jié)約成本，保證了用戶得到最高的性能價格比；算法相關(guān)部分全部位于FPGA之中，由于其具有可動態(tài)升級特性，因而算法可以不斷隨著產(chǎn)品升級進行優(yōu)化，靈活性大；SSRAM成本低，容量大，用它來實現(xiàn)精確匹配極大了擴展了可以用于匹配的規(guī)則數(shù)目；CPU的多核機制和FPGA中并行數(shù)據(jù)包緩沖處理機制結(jié)合，支持全并行的特征匹配。5.5.聯(lián)想網(wǎng)御IPS產(chǎn)品優(yōu)勢1.高效的硬件體系結(jié)構(gòu)零拷貝技術(shù)多核處理與內(nèi)存分配技術(shù)ASIC加上特征比對技術(shù)2.USE統(tǒng)一安全引擎基于協(xié)議異常、會話狀態(tài)和七層應用行為進行檢測內(nèi)置2300多條特征規(guī)則，支持自定義特征支持對VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等各種協(xié)議的分析3.支持七層狀態(tài)檢測防火墻支持基于網(wǎng)絡接口、源/目的IP地址、協(xié)議、時間等自定義訪問控制策略支持對VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虛擬隧道實現(xiàn)阻斷管理

DNS/SMTP/WWWInternet4.高級自學習抗DoS攻擊傳統(tǒng)單純基于時間及訪問次數(shù)的方法，會阻擋合法流量自動學習和分析每個特定IP地址的流量阻止攻擊，同時允許合法的流量通過“源IP+URL特征+時間+訪問次數(shù)”有效防范CC攻擊5.全面的P2P管控基于軟件行為、數(shù)據(jù)內(nèi)容，而不是端口識別應用可檢測加密型或非加密型P2P支持100余種常用P2P軟件帶寬限流可精準到1Kbps6.細粒度的IM管控基于軟件行為、數(shù)據(jù)內(nèi)容，而不是基于端口號識別應用可檢測加密型或非加密型IM應用支持10種以上常用IM軟件，包括WebIM可對登陸、文字聊天、文件傳輸、實時語音、實時視頻等進行分項管理7.精準的帶寬管理針對VLAN、源/目的IP地址、應用協(xié)議端口、七層應用軟件（如P2P、FTP、PPlive、PPStream等）支持進行網(wǎng)絡傳輸帶寬和網(wǎng)絡傳輸總量兩種限制方式針對P2P應用的帶寬限流，可精準到1Kbps

8.豐富的工作模式支持IPS、IDS、IPS監(jiān)視、IDS監(jiān)視、Forward等工作模式支持Mirror模式9.自定義檢測方向針對性檢測節(jié)省系統(tǒng)資源10.圖像化的實時監(jiān)視窗口11.方便、實用的報表預設(shè)事件報表、內(nèi)建報表、隨選報表、定期報表四類報表事件報表查看事件的詳細列表內(nèi)建報表圖形化顯示隨選報表豐富的查詢條件定期報表多樣的計劃類型：循環(huán)生成、一次性生成豐富的過濾條件HTML、PDF、CSV文件存儲郵件、FTP通知12.靈活的管理基于JAVA的B/S管理架構(gòu)支持在線、脫機兩種方式對特征庫、管理軟件、設(shè)備操作系統(tǒng)實現(xiàn)升級支持實時通過LEMS、郵件、syslog進行報警SSH、Console管理IPS設(shè)備13.實用的多重冗余功能無硬盤設(shè)計冗余電源硬件/軟件Bypass聯(lián)機自動切換（LinkFaultPassThrough）支持Active-Active、Active-Passive兩種模式14.全面的產(chǎn)品資質(zhì)項目/規(guī)格項目/規(guī)格/說明350IPS650IPS950IPS4500IPS6000IPS6500IPS性能防火墻吞吐量整機最大吞吐量500Mbps1Gbps2Gbps3Gbps4Gbps4GbpsIPS吞吐量整機最大吞吐量200Mbps500Mbps600Mbps1Gbps1Gbps1Gbps時延單個報文最大時延<200微秒<200微秒<200微秒<128微秒<128微秒<128微秒并發(fā)連接數(shù)整機最大并發(fā)連接數(shù)500,0001,000,0001,000,0001,000,0001,000,0001,000,000每秒新建連接數(shù)整機每秒最大連接數(shù)12,00012,00012,00022,00022,00022,000接口/擴展性IPS/IDS共用口10/100/1000自適應電口4444001000M（單模/多模光口）000004插槽（支持1000M單模光口/多模光口/電口模塊，模塊未標配，按需另行購買）004個SFP插槽04個GBIC插槽0IDS口10/100/1000自適應電口111222管理口10/100/1000自適應電口111111串口1個RJ-451個RJ-451個RJ-451個RS-2321個RS-2321個RS-232IPS接口說明支持多路IPS（兩個接口為一路IPS，一路IPS保護一個網(wǎng)段）22標配2路，購買2個模塊可擴展為3路，購買4個模塊可擴展為4路2標配無IPS功能，購買2個模塊可擴展為1路，購買4個模塊可擴展為2路2支持硬件Bypass1對電口Bypass2對電口Bypass2對電口Bypass2對電口Bypass不支持2對光口Bypass電源是否為冗余電源××√√√√機箱是否為機架式√√√√√√機箱高度1U1U2U2U2U2U產(chǎn)品定位入門級低端主打產(chǎn)品端口密集/光電混合全電口高端接口模塊化高端光口Bypass高端目標客戶用于低價競爭中端客戶，價格敏感控標型產(chǎn)品運營商、高校、IDS、政府信息中心、金融、大企業(yè)等高性能需求5.6聯(lián)想網(wǎng)御IPS產(chǎn)品線1.上網(wǎng)行為管理部署在內(nèi)網(wǎng)出口上網(wǎng)行為管理IM即時消息軟件Web-IMP2P軟件虛擬隧道在線游戲反動軟件5.7.聯(lián)想網(wǎng)御IPS典型部署2.內(nèi)外兼顧部署在網(wǎng)絡出口防范外網(wǎng)攻擊上網(wǎng)行為管理3.多路防護多路IPS每路設(shè)置不同的策略帶寬限流5.7.競爭分析聯(lián)想網(wǎng)御市場定位百兆千兆項目/規(guī)格350650950450060006500吞吐量200Mbps/500Mbps500Mbps/1Gbps600Mbps/2Gbps1Gbps/3Gbps1Gbps/4Gbps1Gbps/4Gbps最大并發(fā)500,0001,000,0001,000,0001,000,0001,000,0001,000,000接口數(shù)量6個10/100/1000M電口6個10/100/1000M電口6個10/100/1000M電口

+4個SFP插槽7個10/100/1000M電口3個10/100/1000M電口+4個GBIC插槽3個10/100/1000M電口+4個GBIC光口IPS路數(shù)最多2路最多2路最多4路最多2路最多2路最多2路IDS路數(shù)最多5路最多5路最多9路最多6路最多6路最多6路Bypass1路電口2路電口2路電口2路電口不支持2路光口冗余電源否否標配標配標配標配綠盟科技項目/規(guī)格200P-02、200P-03600P-02、600P-031200P-02/1200P-03/1200P-041600P-02/1600P-03/1600P-04吞吐量200Mbps600Mbps1.2G2G最大并發(fā)150,000200,000500,0001,000,000接口數(shù)量最多4個100M工作口

+最多4個管理口最多4個100M工作口

+最多4個管理口最多4個千兆工作口（單模/多模/電口）

+最多6個管理口最多4個千兆工作口

（單模/多模/電口）

+最多6個管理口IPS路數(shù)最多1路最多1路最多1路最多1路IDS路數(shù)最多3路最多3路最多4路最多4路Bypass內(nèi)置內(nèi)置外置外置冗余電源否否需購買需購買1.綠盟產(chǎn)品線及規(guī)格對比2.聯(lián)想相對綠盟的優(yōu)勢聯(lián)想的產(chǎn)品線豐富，接口數(shù)量多，類型豐富，其中950IPS最多支持4路IPS或9路IDS。具體信息可參考產(chǎn)品線及產(chǎn)品規(guī)格對比表。聯(lián)想支持，綠盟不支持的功能虛擬隧道軟件的檢測自由門、無界、花園等反動類軟件的檢測“端口Mirror”功能“IPSpoofing”功能“LinkFaultPassThrough”功能“自定義檢測方向”綠盟產(chǎn)品不如我們做的好的功能聯(lián)想的產(chǎn)品對P2P的支持更全面，檢測準確，且支持P2P限流，特別是迅雷，綠盟支持的不好，可以引導用戶進行測試。我們的產(chǎn)品可以對IM軟件的登陸、文字聊天、文件傳輸、語音聊天、視頻聊天進行分項檢測，并支持對Web-IM的檢測，比綠盟產(chǎn)品要全面，可以引導用戶進行測試。綠盟強調(diào)其產(chǎn)品具有CVE證書.CVE兼容性證書是與產(chǎn)品相關(guān)的，綠盟的IDS和風險評估軟件具有CVE證書，IPS產(chǎn)品并沒有CVE證書。綠盟強調(diào)其產(chǎn)品支持路由和NAT功能.綠盟IPS支持路由和NAT功能的原因有以下兩點：（1）綠盟沒有防火墻產(chǎn)品。綠盟不是專業(yè)的路由器和防火墻廠商，想想其路由和NAT功能能做好嗎？綠盟為了爭取一些防火墻的項目，所以在IPS產(chǎn)品中加入了路由和NAT功能。而業(yè)內(nèi)主流產(chǎn)品TP等主流IPS廠商均不在IPS產(chǎn)品中集成路由和NAT功能，這已經(jīng)成為業(yè)內(nèi)默認的產(chǎn)品標準。（2）路由/NAT功能與硬件Bypass功能之間是矛盾的?？蛻糍徺IIPS產(chǎn)品時都要求支持硬件Bypass功能，這就要求每路IPS接口之間工作在透明模式下。如使用路由或NAT功能，則硬件Bypass就會不起作用，當設(shè)備出現(xiàn)問題時，直接導致斷網(wǎng)。注：硬件bypass功能解決了在IPS主機掉電、硬件故障、操作系統(tǒng)故障時，實現(xiàn)每路IPS的接口之間直通，從而避免了由于IPS故障導致的斷網(wǎng)現(xiàn)象發(fā)生。3.聯(lián)想與綠盟功能對比4.聯(lián)想與啟明產(chǎn)品線及規(guī)格對比聯(lián)想網(wǎng)御市場定位百兆千兆項目/規(guī)格350650950450060006500吞吐量200Mbps/500Mbps500Mbps/1Gbps600Mbps/2Gbps1Gbps/3Gbps1Gbps/4Gbps1Gbps/4Gbps最大并發(fā)500,0001,000,0001,000,0001,000,0001,000,0001,000,000接口數(shù)量6個10/100/1000M電口6個10/100/1000M電口6個10/100/1000M電口

+4個SFP插槽7個10/100/1000M電口3個10/100/1000M電口+4個GBIC插槽3個10/100/1000M電口+4個GBIC光口IPS路數(shù)最多2路最多2路最多4路最多2路最多2路最多2路IDS路數(shù)最多5路最多5路最多9路最多6路最多6路最多6路Bypass1路電口2路電口2路電口2路電口不支持2路光口冗余電源否否