DPtech_IPS2000系列入侵防御系统培训胶片.ppt

DPtechIPS2000入侵防御系统,1,目录,2,根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）报告，网络安全事件依然持续不断爆发。,安全事件不断爆发,2009年CNCERT共接收21927件网络安全事件报告,3,趋势一：网络无边界,边界在哪里？,VPN、移动办公、无线网络等应用日渐增多，网络边界日益模糊，以防火墙为代表的传统边界安全防护手段无能为力,4,趋势二：新业务模式层出不穷,WEB2.0,云计算,P2P应用,网上支付,5,趋势三：安全漏洞不断爆发,ZeroDayAttack！,网络设备、操作系统、数据库软件、应用软件漏洞数不胜数微软操作系统视频功能组件高危漏洞微软Office组件高危漏洞微软IE浏览器0day漏洞域名系统软件Bind9高危漏洞,6,趋势四：安全威胁多样化,应用层安全威胁,蠕虫/病毒,DoS/DDoS,间谍软件,网络钓鱼,带宽滥用,垃圾邮件,7,趋势五：利益驱动下的信息犯罪,越来越多信息安全事件是以经济利益为驱动病毒、木马、攻击已形成产业链,8,目录,9,DPtechIPS2000产品系列,百兆级,千兆级,万兆级,IPS2000-MC-N,IPS2000-TS-N,IPS2000-MA-N,IPS2000-GS-N,IPS2000-GE-N,IPS2000-MS-N,IPS2000-ME-N,IPS2000-GA-N,迪普科技拥有从百兆至万兆的全系列入侵防御系统，可覆盖中小型企业、大型企业以及运营商的各种应用层安全防护需求。,10,DPtechIPS2000产品系列,IPS2000-MC/MS/MA-N,IPS2000-MEN,千兆光口,千兆电口,管理口,串口,11,DPtechIPS2000产品系列,IPS2000-GS/GA-N,IPS2000-GE-N,12,DPtechIPS2000产品系列,IPS2000-TS-N,13,DPtechIPS2000产品系列,14,DPtech系列产品硬件架构,多核CPU硬件架构提高CPU处理能力，多核并发处理网络流量，提高设备处理性能内置FPGA硬件以及硬件逻辑检测引擎通过FPGA的硬件检测引擎，极大的提高设备性能以及设备的竞争力,DPtech系列产品硬件架构,内置高速网络转发和处理芯片网络接口密度高、数量多、接口类型丰富，能够满足各种部署和组网需求掉电保护模块保证在异常断电等各种突发环境下的网络可用性，从而保证设备的可靠性,15,DPtech系列产品软件架构,16,网络操作系统平台自主研发的高性能网络操作系统平台，支撑各种不同的网络产品，同时保障相同产品的各种款型系列资源整合深度流检测引擎算法的性能与特征多少无关，检测引擎只需对报文内容检测一次，即能满足多种检测需求，如协议特征、病毒特征、IPS特征、url特征等各种特征挖掘，大大提高多复杂并发业务的检测性能,DPtech系列产品软件架构,17,Web应用防护引擎对HTTP报文进行细致分析,完成协议切分、进行解码处理、进行负载处理以及进行语法和语义分析，防护多种Web攻击DDos检测引擎基于报文内容和统计学原理，精确识别各种DDos攻击,18,目录,19,超强性能,多核CPU+大容量FPGA，实现不同会话的并行处理硬件网络加速单元NA按照不同的报文内容，将不同的会话分发到不同的CPU进行处理，同时实现CPU间均衡负载分担深度流检测引擎只进行一次匹配，输出检测结果供后续策略模块使用,20,超强性能,10GE通道,10GE通道,FPGA,CPU,交换芯片,转发,报文,21,超强性能,深度流检测引擎,Web防护引擎,DDos引擎,FPGA,协议分析引擎,其他业务,CPU,10GE通道,转发,交换芯片,10GE通道,报文,22,IPS攻击防护,漏洞都是由于应用系统的错误导致的，针对不同的防护对象可以开启不同的防护策略IPS具备全面的攻击防护功能Web安全缓冲区溢出漏洞操作系统漏洞恶意代码协议异常功能,23,IPS攻击防护-Web安全-SQL注入,原理利用程序中的漏洞，构造特殊的SQL语句并提交以获取敏感信息危害获取系统控制权未经授权状况下操作数据库的数据恶意篡改网页内容私自添加系统帐号或数据库使用者帐号,24,IPS攻击防护-Web安全-SQL注入案例1,某论坛用户登录的页面代码如下：,$sql=SELECT*FROMuserWHEREusername=$usernameANDpwd=$password;$result=mysql_query($sql);,IE中正常的URL如下：http:/a.b.c.d/user.php?username=dptech$result=mysql_query($sql);,IE中正常的URL如下：http:/a.b.c.d/changepwd.php?username=dptech&pwd=dptechSQL语句为：UPDATEuserSETpwd=dptechWHEREusername=dptech,27,IPS攻击防护-Web安全-SQL注入案例2,实际插入的SQL语句变为：UPDATEuserSETpwd=abcd,level=3WHEREusername=dptech,构造如下的URL：http:/a.b.c.d/changepwd.php?username=dptech&pwd=abcd,level=3,28,IPS攻击防护-Web安全-SQL注入防范,1.通过分析SQL语法和语义，进行精确识别2.只在GET消息的URL部分和POST消息的负载部分检测，减少误报3.针对知名SQL注入工具进行特征提取(穿山甲、HDSL)4.支持主流数据库的注入攻击(SQLServer/Mysql/Oracle)5.支持SQL注入探测(and攻击/or攻击/数据库类型查询攻击/表名查询攻击等)6.支持SQL注入攻击(联合查询攻击/数据更新攻击/数据删除攻击/通过数据库执行系统命令攻击),29,IPS攻击防护-Web安全-XSS,原理网站对输入过滤不严格攻击者往Web页面的html代码中插入恶意的数据，用户认为该页面是可信赖的，当用户浏览该页之时，嵌入Web页里的恶意代码/脚本会被执行危害存在漏洞的是网站，被攻击的是浏览该网站的用户,30,IPS攻击防护-Web安全-XSS案例,假设某BBS网站可以发贴1、攻击者在发贴区域发布脚本，其中包含恶意代码，例如重定向到某个恶意网站document.localiton=,31,IPS攻击防护-Web安全-XSS防护,1.通过分析XSS的语义，进行精确识别2.只在GET消息的URL部分和POST消息的负载部分检测，减少误报3.针对各种XSS攻击探测进行识别(alert攻击/script攻击/iframe攻击)4.支持多个Web应用程序攻击(phpCommunityCalendar/Tikiwiki/PHPBB等跨站脚本攻击),32,IPS攻击防护-Web安全-其他,LDAP注入目录穿越命令注入PHP文件包含,33,IPS攻击防护-缓冲区溢出,原理栈溢出堆溢出危害获取系统控制权,34,IPS攻击防护-缓冲区溢出-MS08-067,MS08-067:服务器服务中的漏洞可能允许远程执行代码漏洞原因：Windows系统在处理特定格式的RPC请求时，在解析其中目录格式的时候存在缓冲区溢出漏洞，远程攻击者可以通过这个漏洞实现对系统的完全控制攻击报文：,35,IPS攻击防护-缓冲区溢出防范,IE/FireFox/Netsacape等各种浏览器溢出漏洞(MS06-055/MS07-069/MS08-010/MS09-057/MS10-002等IE溢出漏洞)各种客户端应用程序溢出漏洞(QQ软件/迅雷下载软件/暴风影音/中国游戏中心/微软OfiiceWordExcel等办公软件)各种网络设备溢出漏洞(CiscoIOS/CiscoACS/D-Link路由器)Web服务器溢出漏洞(IIS/Apache),36,IPS攻击防护-操作系统漏洞,原理操作系统对外提供网络服务存在溢出漏洞危害获取系统控制权,37,IPS攻击防护-操作系统漏洞防范,Windows操作系统(包括MS05-039/MS05-047/MS080-067/MS09-001等最近几年微软发布的操作系统安全漏洞)Unix类操作系统漏洞(包括Unix/Linux/FreeBSD)3.Novell操作系统漏洞(包括edirectory/NovellDistributedPrintServices等操作系统安全漏洞)4.Solaris操作系统漏洞(主要为Solaris系统提供的各种网络服务漏洞),38,IPS攻击防护-恶意代码,蠕虫攻击(Beagle.AA/尼姆达/飞客蠕虫/Nachi.B等)木马攻击(冰河/任我行/广外男生/NetSky/bersek等)钓鱼攻击(中国银行/工商银行/农业银行等)间谍软件攻击(Adwarehxdl/Hijackerstarwaretoolbar/Keyloggerkeyloggerpro/Adwareweb-nexus等),39,IPS攻击防护-协议异常,多媒体协议异常攻击(SIP/H.323)邮件协议异常攻击(SMTP/POP3)FTP协议异常攻击,40,病毒防护,从越来越多的病毒通过网络进行传播，到绝大部分病毒都是通过网络进行传播内嵌卡巴斯基病毒库并持续更新，准确识别市面上传播的病毒通过深度流检测引擎，能快速识别此流量是否带有病毒。结合协议分析引擎，能够准确查杀承载在HTTP、FTP、TFTP、邮件等多种应用之上的病毒,41,URL过滤,URL分类库，支持1000万条的级别，对url进行分类管理，如对成人暴力类url进行过滤自定义URL分类，支持用户引用自定义url分类高级URL过滤，用户可灵活配置定义url，如通过配置IP和主机名，也可通过配置url特征(正则表达式)实现任意url的深度识别,42,Dos/DDos,DDoS攻击FLOOD攻击：SYN、SYN-ACK、UDP、ICMP、DHCP等DNS攻击：DNSReply、DNSRequest、DNSDomain（固定域名/热点域名）等,DDoS防护阈值防护代理防护反弹防护会话状态检测防护等,DPtechIPSDos/DDos防护原理,43,带宽管理,通过特征库分析，识别800+种以上应用采用智能令牌桶技术，进行精确限速对每IP按照网络应用进行限速按照接口以及按照网络应用进行限速对关键应用可以进行带宽保证对非法应用进行阻断,44,目录,45,路由器,交换机,DPtechIPS,内部网络,路由器,交换机,DPtechIPS,镜像,IPS在线部署方式部署于网络的关键路径上，对流经的数据流进行2-7层深度分析，实时防御外部和内部攻击。,IDS旁路部署方式对网络流量进行监测与分析，记录攻击事件并告警。,IPS典型组网,内部网络,46,断电保护设备-PFP,47,IPS正常时，流量情况：IN-1-2-A-B-3-4-OUTIPS异常时，流量情况：IN-1-4-OUT,断电保护设备-PFP,48,目录,49,登陆IPS的Web页面,PC直连设备管理口，缺省IP地址为；用户名：admin，密码：admin,50,下发IPS策略,在【IPS规则】中创建规则后，引用到【IPS策略】中的指定接口,51,IPS日志输出到UMC,在【日志管理】-【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514）,52,登陆UMC的Web页面,在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator,53,添加IPS设备,在【设备管理】-【设备列表】中，添加IPS设备,54,UMC与IPS时间同步,在【系统管理】-【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计）,55,查看日志情况,在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在IPS设备【IPS日志】中查看）,56,目录,57,IE使用6.0或更高版本，首次登陆请清空IE缓存管理口缺省IP地址为缺省用户名是admin，密码是admin设备支持管理员使用HTTP/HTTPS协议登陆web管理界面的总数最多为5个,准备工作,58,Console口配置管理地址,配置管理口地址不同设备型号管理口名称不同Console口初始密码为DPTECH,59,软件版本升级,通过WEB页面导入软件版本，并指定为下次启动版本，重启后自动加载指定版本，完成软件版本升级,60,FAQ,为什么管理口配了IP地址，PC却Ping不通？在同网段中，需同属一网段；在不同网段中，需在IPS设备上添加相应的路由。在WEB界面上直接对管理口的IP设置修改，会有什么结果？会导致当前WEB界面无法访问，需要重新访问修改后的IP地址。,61,FAQ,当设备异常断电时，之前在WEB界面上的配置是否保存？保存，设备开启情况下，对于操作与配置都是实时保存的。设备上的USB接口做什么用的？外置断电保护PFP，以及3G扩展。我有特征库文件，为什么不能升级？需要导入相应License。,62,FAQ,已将软件版本导入设备的CF卡中，为什么重启后不能加载该版本？须将该版本状态选为“使用中”才可。设备运行