網(wǎng)絡(luò)安全技術(shù)與實踐教材

《網(wǎng)絡(luò)安全技術(shù)與實踐》課件制作人：蔣亞軍網(wǎng)絡(luò)安全技術(shù)與實踐項目二入侵防護系統(tǒng)IPS第二篇【項目背景】某企業(yè)的計算機網(wǎng)絡(luò)最近頻繁遭受到攻擊，雖然已經(jīng)安裝了防火墻，但是效果依然不理想。邀請安全專家檢測網(wǎng)絡(luò)發(fā)現(xiàn)公司內(nèi)部計算機網(wǎng)絡(luò)存在大量的惡意代碼、僵尸網(wǎng)絡(luò)、病毒以及有針對性不良數(shù)據(jù)包的攻擊，公司決定投資解決相關(guān)網(wǎng)絡(luò)安全問題?！拘枨蠓治觥總鹘y(tǒng)的網(wǎng)絡(luò)安全防范方法是對操作系統(tǒng)進行安全加固，通過各種各樣的安全補丁提高操作系統(tǒng)本身的抗攻擊性。安裝防火墻的思路是在網(wǎng)絡(luò)邊界檢查攻擊包的并將其直接拋棄，使攻擊包無法到達(dá)目標(biāo)，從而從根本上避免黑客的攻擊。但通常的防火墻卻無法對付應(yīng)用層的惡意代碼，對于僵尸網(wǎng)絡(luò)、病毒以及有針對性的不良數(shù)據(jù)包的攻擊卻都顯得有些無能為力。入侵檢測系統(tǒng)（IDS）可以檢測網(wǎng)絡(luò)攻擊，但它的阻斷攻擊能力卻非常有限，一般只能通過發(fā)送TCPreset包或聯(lián)動防火墻來阻止攻擊。本例中最好采用入侵防御系統(tǒng)（IPS），因為IPS是一種主動的、積極的入侵防范、阻止系統(tǒng)，它可部署在網(wǎng)絡(luò)的邊界上，當(dāng)它檢測到上述的攻擊時，能夠自動地將攻擊包丟掉或采取措施將攻擊源阻斷?！绢A(yù)備知識】入侵防護系統(tǒng)(IPS)傾向于提供主動防護，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接部署在網(wǎng)絡(luò)邊界上連接內(nèi)外網(wǎng)實現(xiàn)安全防護功能的，它可通過網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，檢查確認(rèn)其中是否包含異常或可疑的活動內(nèi)容，在數(shù)據(jù)傳輸過程中清除掉有問題的數(shù)據(jù)內(nèi)容。入侵防護系統(tǒng)幾個問題1.入侵防御系統(tǒng)（IPS）就是入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）的升級產(chǎn)品，2.入侵防護系統(tǒng)能夠取代入侵檢測系統(tǒng)3.入侵防護系統(tǒng)是入侵檢測系統(tǒng)+防火墻4.關(guān)于主動防護問題與防護體系的問題IPS的現(xiàn)狀I(lǐng)PS提出了多年，一直認(rèn)為IPS會取代IDS（入侵檢測系統(tǒng)），但是很多年過去了，情況似乎并非如此。據(jù)調(diào)查，目前59%的用戶部都署了IDS，27%的用戶將IDS列入購買計劃，62%用戶在關(guān)注IPS，并且7%的用戶有意向購買IPS，這些數(shù)據(jù)表明，IDS和IPS在國內(nèi)都呈現(xiàn)出繁榮發(fā)展的前景

。IDS和IPS將會有著不同的發(fā)展方向和職責(zé)定位。IDS短期內(nèi)不會消亡，IPS也不會完全取代IDS的作用。雖然IPS市場前景被絕大多數(shù)人看好，市場成熟指日可待，但要想靠蠶食IDS市場來擴大市場份額，對于IPS來說應(yīng)該還是很難的。IPS的產(chǎn)品背景1.安全漏洞越來越多零日攻擊2.DoS/DDoS仍是很大的威脅根據(jù)調(diào)查，每天平均偵測到6,110個事件Arbor的研究指出，DoS/DDoS占網(wǎng)絡(luò)安全事件的65%，其中主要還是TCPSYN/UDPFlooding應(yīng)用層CC攻擊3.來自內(nèi)部部網(wǎng)絡(luò)的威脅脅InstantMessage在在線聊天軟件件P2P共享軟軟件虛擬隧道軟件件在線網(wǎng)絡(luò)游戲戲企業(yè)網(wǎng)絡(luò)IM：MSN、QQ、SkypeP2P：迅雷、BitTorrent虛擬隧道：VNN在線網(wǎng)游：聯(lián)聯(lián)眾、浩方降低工作效率率文件傳輸，引發(fā)泄密風(fēng)風(fēng)險散布惡意程序序這些工具我們們都在用，安安全嗎？網(wǎng)管員的夢想——“只允許聊天，禁止其它功能”

“不同的對象使用不同管理方式”4.IM即時消息軟件件的威脅P2P在耗盡帶寬Thunder迅雷、eMule電驢、BT、FlashGet…PPLive、PPStream、QQLive…消耗正常網(wǎng)絡(luò)絡(luò)帶寬病毒散布溫床床機密文件外泄泄下載文檔的著著作權(quán)5.P2P的威脅6.穿透防火火墻對外連機機7.直接與外外界計算機直直接交換信息息通過防火墻開開放的合法端端口建立虛擬擬隧道數(shù)據(jù)加密，企企業(yè)難以防范范，機密信息息泄露虛擬隧道軟件件：VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、TorIPS產(chǎn)品的的客戶價值IntrusionPreventionSystem入侵防護系統(tǒng)統(tǒng)簡單的講：IPS是在應(yīng)用層上上進行威脅檢檢測和防御的的“深度防火墻+上網(wǎng)行為管理理”防火墻是IDS是IPS是IPS是什么？IPS的種類類1.基于主主機的入侵防防護(HIPS)HIPS通過過在主機/服服務(wù)器上安裝裝軟件代理程程序，防止網(wǎng)網(wǎng)絡(luò)攻擊入侵侵操作系統(tǒng)以以及應(yīng)用程序序?；谥鳈C機的入侵防護護能夠保護服服務(wù)器的安全全弱點不被不不法分子所利利用。Cisco公司的的Okena、NAI公公司的McAfeeEntercept、冠冠群金辰的龍龍淵服務(wù)器核核心防護都屬屬于這類產(chǎn)品品，它們在防防范紅色代碼碼和Nimda的攻擊中中，能起到了了很好的防護護作用?；谟谥鳈C的入侵侵防護技術(shù)可可以根據(jù)自定定義的安全策策略以及分析析學(xué)習(xí)機制來來阻斷對服務(wù)務(wù)器、主機發(fā)發(fā)起的惡意入入侵。HIPS可以阻斷斷緩沖區(qū)溢出出、改變登錄錄口令、改寫寫動態(tài)鏈接庫庫以及其他試試圖從操作系系統(tǒng)奪取控制制權(quán)的入侵行行為，整體提提升主機的安安全水平。IPS的種類類2.基于網(wǎng)網(wǎng)絡(luò)的入侵防防護(NIPS)NIPS通過過檢測流經(jīng)的的網(wǎng)絡(luò)流量，，提供對網(wǎng)絡(luò)絡(luò)系統(tǒng)的安全全保護。由于于它采用在線線連接方式，，所以一旦辨辨識出入侵行行為，NIPS就可以去去除整個網(wǎng)絡(luò)絡(luò)會話，而不不僅僅是復(fù)位位會話。同樣樣由于實時在在線，NIPS需要具備備很高的性能能，以免成為為網(wǎng)絡(luò)的瓶頸頸，因此NIPS通常被被設(shè)計成類似似于交換機的的網(wǎng)絡(luò)設(shè)備，，提供線速吞吞吐速率以及及多個網(wǎng)絡(luò)端端口。IPS的種類類3.應(yīng)用入侵侵防護（AIP）NIPS產(chǎn)品品有一個特例例，即應(yīng)用入入侵防護（ApplicationIntrusionPrevention，AIP），它把把基于主機的的入侵防護擴擴展成為位于于應(yīng)用服務(wù)器器之前的網(wǎng)絡(luò)絡(luò)設(shè)備。AIP被設(shè)計成成一種高性能能的設(shè)備，配配置在應(yīng)用數(shù)數(shù)據(jù)的網(wǎng)絡(luò)鏈鏈路上，以確確保用戶遵守守設(shè)定好的安安全策略，保保護服務(wù)器的的安全。NIPS工作在在網(wǎng)絡(luò)上，直直接對數(shù)據(jù)包包進行檢測和和阻斷，與具具體的主機/服務(wù)器操作作系統(tǒng)平臺無無關(guān)。NIPS的實時檢檢測與阻斷功功能很有可能能出現(xiàn)在未來來的交換機上上。隨著處理理器性能的提提高，每一層層次的交換機機都有可能集集成入侵防護護功能。IPS主要功功能與特性檢測機制由于需要具備備主動阻斷能能力，檢測準(zhǔn)準(zhǔn)確程度的高高低對于IPS來說十分分關(guān)鍵。IPS廠商綜合合使用多種檢檢測機制來提提高IPS的的檢測準(zhǔn)確性性。據(jù)Juniper的的工程師介介紹，Juniper產(chǎn)產(chǎn)品中使用了了包括狀態(tài)簽簽名、協(xié)議異異常、后門檢檢測、流量異異常、混合式式攻擊檢測在在內(nèi)的“多重重檢測技術(shù)””，以提高檢檢測和阻斷的的準(zhǔn)確程度。。McAfee公司則則在自己的實實驗室里加強強了對溢出型型漏洞的研究究和跟蹤，把把針對溢出型型攻擊的相應(yīng)應(yīng)防范手段推推送到IPS設(shè)備的策策略庫中。國國內(nèi)品牌冰峰峰網(wǎng)絡(luò)在IPS設(shè)備中采采用了漏洞阻阻截技術(shù)，通通過研究漏洞洞特征，將其其加入到過濾濾規(guī)則中，IPS就可以以發(fā)現(xiàn)符合漏漏洞特征的所所有攻擊流量量，在沖擊波波及其變種大大規(guī)模爆發(fā)時時，直接將其其阻斷，從而而贏得打補丁丁的關(guān)鍵時間間。IPS主要功功能與特性弱點分析IPS產(chǎn)品的的發(fā)展前景取取決于攻擊阻阻截功能的完完善。引入弱弱點分析技術(shù)術(shù)是IPS完完善攻擊阻截截能力的重要要依據(jù).IPS廠商通過過分析系統(tǒng)漏漏洞、收集和和分析攻擊代代碼或蠕蟲代代碼、描述攻攻擊特征或缺缺陷特征，使使IPS能能夠主動保護護脆弱系統(tǒng)。。IPS主主要要功功能能與與特特性性環(huán)境境配配置置IPS的的檢檢測測準(zhǔn)準(zhǔn)確確率率還還依依賴賴于于應(yīng)應(yīng)用用環(huán)環(huán)境境。。一一些些流流量量對對于于某某些些用用戶戶來來說說可可能能是是惡惡意意的的，，而而對對于于另另外外的的用用戶戶來來說說就就是是正正常常流流量量，，這這就就需需要要IPS能能夠夠針針對對用用戶戶的的特特定定需需求求提提供供靈靈活活而而容容易易使使用用的的策策略略調(diào)調(diào)優(yōu)優(yōu)手手段段，，以以提提高高檢檢測測準(zhǔn)準(zhǔn)確確率率。。McAfee、、Juniper、、ISS、、冰冰峰峰網(wǎng)網(wǎng)絡(luò)絡(luò)等等公公司司同同時時都都在在IPS中中提提供供了了調(diào)調(diào)優(yōu)優(yōu)機機制制，，使使IPS通通過過自自學(xué)學(xué)習(xí)習(xí)提提高高檢檢測測的的準(zhǔn)準(zhǔn)確確性性。。IPS主主要功能能與特性性兼容性所有的用用戶都希希望用相相對少的的投入，，建設(shè)一一個最安安全、最最易管理理的網(wǎng)絡(luò)絡(luò)環(huán)境。。IPS如如若需達(dá)達(dá)到全面面防護工工作，則則還要把把其它網(wǎng)網(wǎng)絡(luò)管理理功能集集成起來來，如網(wǎng)網(wǎng)絡(luò)管理理、負(fù)載載均衡、、日志管管理等，，各自分分工，但但緊密協(xié)協(xié)作。2.典典型IPS產(chǎn)品品的功能能（1）天天融信信TopIDP產(chǎn)品的的主要功功能。高吞吐吐量、、低延延時入侵防防御能能力多重立立體防防御保保護網(wǎng)絡(luò)架架構(gòu)防防護能能力網(wǎng)絡(luò)性性能保保護核心應(yīng)應(yīng)用保保障能能力實現(xiàn)精精細(xì)化化防御御2.典典型型IPS產(chǎn)產(chǎn)品的的功能能（2））聯(lián)想想網(wǎng)域域入侵侵防護護系統(tǒng)統(tǒng)IPS良好的的產(chǎn)品品架構(gòu)構(gòu)強大的的入侵侵與防防護檢檢測能能力強大的的DoS/DDoS攻擊擊防護護能力力帶寬管管理上網(wǎng)行行為管管理應(yīng)用層層防火火墻2.聯(lián)想網(wǎng)網(wǎng)御IPS主要功功能帶寬管理上網(wǎng)行為管理抗DoS/DDoS七層防火墻IDSIPS聯(lián)想網(wǎng)御IPS企業(yè)網(wǎng)絡(luò)IM、P2P、WebMailWebPost、OnlineGameIntrusion、DoS/DDoSWorm/NetworkVirus5.聯(lián)想網(wǎng)網(wǎng)御IPS核心技技術(shù)1.基基于協(xié)協(xié)議自自動機機（PA）的流流量識識別技技術(shù)提供了了更精精確的的流量量檢測測方法法高效的的流量量數(shù)據(jù)據(jù)包特特征匹匹配2.硬件特特征匹匹配技技術(shù)傳統(tǒng)硬硬件加加速技技術(shù)基于FPGA基于Bloom過濾濾器基于TCAM聯(lián)想網(wǎng)網(wǎng)御硬硬件特特征匹匹配技技術(shù)FPGA+TCAM+SSRAM的硬硬件加加速架架構(gòu)3.聯(lián)想網(wǎng)網(wǎng)御硬硬件加加速架架構(gòu)的的優(yōu)勢勢使用TCAM做做預(yù)處處理，，因而而支持持Wildcard、Distance、、Within等等等針對對P2P/IM等應(yīng)應(yīng)用程程序所所需要要的操操作單單元；；對特征進行行了預(yù)分組組，在保證證了匹配速速度的同時時，控制了了器件規(guī)模模，從而節(jié)節(jié)約成本，，保證了用用戶得到最最高的性能能價格比；；算法相關(guān)部部分全部位位于FPGA之中，，由于其具具有可動態(tài)態(tài)升級特性性，因而算算法可以不不斷隨著產(chǎn)產(chǎn)品升級進進行優(yōu)化，，靈活性大大；SSRAM成本低，，容量大，，用它來實實現(xiàn)精確匹匹配極大了了擴展了可可以用于匹匹配的規(guī)則則數(shù)目；CPU的多多核機制和和FPGA中并行數(shù)數(shù)據(jù)包緩沖沖處理機制制結(jié)合，支支持全并行行的特征匹匹配。5.5.聯(lián)想網(wǎng)御IPS產(chǎn)品優(yōu)勢1.高效的硬件件體系結(jié)構(gòu)構(gòu)零拷貝技術(shù)術(shù)多核處理與與內(nèi)存分配配技術(shù)ASIC加加上特征比比對技術(shù)2.USE統(tǒng)一安全引引擎基于協(xié)議異異常、會話話狀態(tài)和七七層應(yīng)用行行為進行檢檢測內(nèi)置2300多條特征規(guī)規(guī)則，支持持自定義特特征支持對VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等各種協(xié)議議的分析3.支持七層狀狀態(tài)檢測防防火墻支持基于網(wǎng)網(wǎng)絡(luò)接口、、源/目的IP地址、協(xié)協(xié)議、時間間等自定義義訪問控制制策略支持對VNN、SoftEther、、Hamachi、、TinyVPN、、PacketiX、HTTP-Tunnel、Tor等流行的的虛擬隧道道實現(xiàn)阻斷斷管理Internet4.高級自學(xué)習(xí)習(xí)抗DoS攻擊傳統(tǒng)單純基基于時間及及訪問次數(shù)數(shù)的方法，，會阻擋合合法流量自動學(xué)習(xí)和和分析每個個特定IP地址的流量量阻止攻擊，，同時允許許合法的流流量通過“源IP+URL5.全面的的P2P管控基于軟件行行為、數(shù)據(jù)據(jù)內(nèi)容，而而不是端口口識別應(yīng)用用可檢測加密密型或非加加密型P2P支持100余種常用用P2P軟軟件帶寬限流可可精準(zhǔn)到1Kbps6.細(xì)粒度度的IM管控基于軟件行行為、數(shù)據(jù)據(jù)內(nèi)容，而而不是基于于端口號識識別應(yīng)用可檢測加密密型或非加加密型IM應(yīng)用支持10種種以上常用用IM軟件件，包括WebIM可對登陸、、文字聊天天、文件傳傳輸、實時時語音、實實時視頻等等進行分項項管理7.精準(zhǔn)的帶寬寬管理針對VLAN、、源/目的的IP地址址、應(yīng)用協(xié)協(xié)議端口、、七層應(yīng)用用軟件（如如P2P、、FTP、、PPlive、PPStream等等）支持進行網(wǎng)網(wǎng)絡(luò)傳輸帶帶寬和網(wǎng)絡(luò)絡(luò)傳輸總量量兩種限制制方式針對P2P應(yīng)用的帶帶寬限流，，可精準(zhǔn)到到1Kbps8.豐富的工作作模式支持IPS、IDS、IPS監(jiān)視視、IDS監(jiān)視、Forward等工工作模式支持Mirror模模式9.自定義檢測測方向針對性檢測測節(jié)省系統(tǒng)資資源10.圖像化的實實時監(jiān)視窗窗口11.方便、實用用的報表預(yù)設(shè)事件報報表、內(nèi)建建報表、隨隨選報表、、定期報表表四類報表表事件報表查看事件的的詳細(xì)列表表內(nèi)建報表圖形形化化顯顯示示隨選選報報表表豐富富的的查查詢詢條條件件定期期報報表表多樣樣的的計計劃劃類類型型：：循循環(huán)環(huán)生生成成、、一一次次性性生生成成豐富富的的過過濾濾條條件件HTML、PDF、CSV文件件存存儲儲郵件件、、FTP通知知12.靈活活的的管管理理基于于JAVA的的B/S管管理理架架構(gòu)構(gòu)支持持在在線線、、脫脫機機兩兩種種方方式式對對特特征征庫庫、、管管理理軟軟件件、、設(shè)設(shè)備備操操作作系系統(tǒng)統(tǒng)實實現(xiàn)現(xiàn)升升級級支持持實實時時通通過過LEMS、、郵郵件件、、syslog進進行行報報警警SSH、、Console管管理理IPS設(shè)設(shè)備備13.實用用的的多多重重冗冗余余功功能能無硬硬盤盤設(shè)設(shè)計計冗余余電電源源硬件件/軟件件Bypass聯(lián)機機自自動動切切換換（（LinkFaultPassThrough）支持持Active-Active、Active-Passive兩種種模模式式14.全面面的的產(chǎn)產(chǎn)品品資資質(zhì)質(zhì)5.6聯(lián)聯(lián)想想網(wǎng)網(wǎng)御御IPS產(chǎn)產(chǎn)品品線線1.上網(wǎng)網(wǎng)行行為為管管理理部署署在在內(nèi)內(nèi)網(wǎng)網(wǎng)出出口口上網(wǎng)網(wǎng)行行為為管管理理IM即即時時消消息息軟軟件件Web-IMP2P軟軟件件虛擬擬隧隧道道在線線游游戲戲反動動軟軟件件5.7.聯(lián)想想網(wǎng)網(wǎng)御御IPS典型型部部署署2.內(nèi)外外兼兼顧顧部署署在在網(wǎng)網(wǎng)絡(luò)絡(luò)出出口口防范范外外網(wǎng)網(wǎng)攻攻擊擊上網(wǎng)網(wǎng)行行為為管管理理3.多路路防防護護多路路IPS每路路設(shè)設(shè)置置不不同同的的策策略略帶寬寬限限流流5.7.競爭爭分分析析1.綠盟盟產(chǎn)產(chǎn)品品線線及及規(guī)規(guī)格格對對比比2.聯(lián)想想相相對對綠綠盟盟的的優(yōu)優(yōu)勢勢聯(lián)想想的的產(chǎn)產(chǎn)品品線線豐豐富富，，接接口口數(shù)數(shù)量量多多，，類類型型豐豐富富，，其其中中950IPS最最多多支支持持4路路IPS或或9路路IDS。。具具體體信信息息可可參參考考產(chǎn)產(chǎn)品品線線及及產(chǎn)產(chǎn)品品規(guī)規(guī)格格對對比比表表。。聯(lián)想想支支持持，，綠綠盟盟不不支支持持的的功功能能虛擬隧隧道軟軟件的的檢測測自由門門、無無界、、花園園等反反動類類軟件件的檢檢測“端口口Mirror”功功能“IPSpoofing””功能能“LinkFaultPassThrough””功能能“自定定義檢檢測方方向””綠盟產(chǎn)產(chǎn)品不不如我我們做做的好好的功功能聯(lián)想的的產(chǎn)品品對P2P的支支持更更全面面，檢檢測準(zhǔn)準(zhǔn)確，，且支支持P2P限流流，特特別是是迅雷雷，綠綠盟支支持的的不好好，可可以引引導(dǎo)用用戶進進行測測試。。我們們的的產(chǎn)產(chǎn)品品可可以以對對IM軟軟件件的的登登陸陸、、文文字字聊聊天天、、文文件件傳傳輸輸、、語語音音聊聊天天、、視視頻頻聊聊天天進進行行分分項項檢檢測測，，并并支支持持對對Web-IM的的檢檢測測，，比比綠綠盟盟產(chǎn)產(chǎn)品品要要全全面面，，可可以以引引導(dǎo)導(dǎo)用用戶戶進進行行測測試試。。綠盟盟強強調(diào)調(diào)其其產(chǎn)產(chǎn)品品具具有有CVE證證書書.CVE兼兼容容性性證證書書是是與與產(chǎn)產(chǎn)品品相相關(guān)關(guān)的的，，綠綠盟盟的的IDS和和風(fēng)風(fēng)險險評評估估軟軟件件具具有有CVE證證書書，，IPS產(chǎn)產(chǎn)品品并并沒沒有有CVE證書書。。綠盟盟強強調(diào)調(diào)其其產(chǎn)產(chǎn)品品支支持持路路由由和和NAT功功能能.綠盟盟IPS支支持持路路由由和和NAT功功能能的的原原因因有有以以下下兩兩點點：：（1）綠綠盟沒有有防火墻墻產(chǎn)品。綠盟不不是專業(yè)業(yè)的路由由器和防防火墻廠廠商，想想想其路路由和NAT功功能能做做好嗎？？綠盟為為了爭取取一些防防火墻的的項目，，所以在在IPS產(chǎn)品中中加入了了路由和和NAT功能。。而業(yè)內(nèi)內(nèi)主流產(chǎn)產(chǎn)品TP等主流流IPS廠商均均不在IPS產(chǎn)產(chǎn)品中集集成路由由和NAT功能能，這已已經(jīng)成為為業(yè)內(nèi)默默認(rèn)的產(chǎn)產(chǎn)品標(biāo)準(zhǔn)準(zhǔn)。（2）路路由/NAT功功能與硬硬件Bypass功能能之間是是矛盾的的?？蛻糍徺IIPS產(chǎn)品時都都要求支持硬