H3C渠道工程师培训SecCenter产品培训-第三章IPS Manager产品介绍.ppt

第三章IPSManager产品介绍,日期：2009-05-17,作者：赵彪04708,杭州华三通信技术有限公司,了解安全威胁发展趋势掌握IPS功能与典型组网了解IPSManager产品掌握IPSManager组网与配置,课程目标,学习完本课程，您应该能够：,安全威胁发展趋势SecCenter产品组网IPSManager产品介绍IPSManager组网与配置,目录,根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）报告，计算机犯罪近年来平均每年至少以50的惊人速度在递增！,计算机犯罪行为愈演愈烈,移动办公的普及90%以上的计算机会感染了间谍软件、广告软件、木马和病毒等恶意软件后果：重要数据丢失，机器被远程控制，病毒和蠕虫在内网恣意传播,趋势一：网络边界的消失,漏洞数x系统数=不可完成的任务,趋势二：威胁和应用息息相关,ZeroDayAttack！,趋势三：威胁涌现和传播速度越来越快,SQLSlammer案例每8.5秒感染范围就扩展一倍在10分钟内感染了全球90有漏洞的机器,趋势三：威胁涌现和传播速度越来越快（续）,趋势四：越来越多的威胁变成利益驱动,销售漏洞、敲诈勒索利用黑客技术进行敲诈勒索互联网黑市交易（漏洞/SHELL）僵尸网络生财有道利用僵尸网络发动DoS攻击网络钓鱼日渐流行间谍/广告软件背后的利益空间,漏洞贡献者方案(VCP)价目表,趋势五：攻击变的越来越简单,安全威胁发展趋势IPS功能介绍与典型组网IPSManager产品介绍IPSManager组网与配置,目录,网络层次越高资产价值越大,L5-L7:ApplicationLayer,L4:TransportLayer,L3:NetworkLayer,L2:LnkLayer,L1:Phy.Layer,路由器,传统防火墙,TCP/IPStack,NIC,OSes,WebServers,WebApplicationFrameworks,Applications,风险越高越迫切需要被保护,ApplicationData,SessionID,HTTPRequest/Respond,TCPConnection,IPPacket,EthernetPacket,BitonWire,IPS必要条件一：4-7层业务感知,只有在线内对流量进行处理，才能真正阻挡出现在网络上出现的攻击,防火墙与IDS联动无法实现整个操作要花100毫秒的时间，这对现代微秒级的网络来说是一个巨大的延时事后防御，不能阻挡单包攻击IPS能在一个攻击发生危害之前，对其实施阻挡根据每个数据包，作出允许还是拒绝的决定，不需要与防火墙联动,IPS必要条件二:线内操作方式,通过在网络及安全领域的深厚积累，率先集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测产品,高精度高效率的检测引擎,全面及时的攻击特征库,多重高可靠性,安全与网络深度融合,集成强大的防病毒引擎,强大灵活的管理功能,H3CSecPathIPS,H3CIPS介绍,特征库最全,卡巴斯基专业防病毒特征库拥有20万种病毒特征漏洞库漏洞特征库数量3000+协议库可实时检测和识别800多种应用层协议,漏洞库,协议库,病毒库,传统IPS只有一种漏洞特征库，无法做到真正意义上的全面检测,综合防御,H3CSecPathIPS,业界唯一,Email-WormNet-WormRoot-KitTrojan-Proxy,BT（国内版）迅雷PPLivePPStream,漏洞库,灰鸽子UDPFlood反向连接木马最新复用后门,特征库最全,能精确识别并阻断最新的混合型攻击、病毒和P2P/IM等网络威胁,病毒库,协议库,全面的应用识别协议库,可基于应用、时间段、IP地址、IP地址组、Vlan等策略进行灵活控制,强大的带宽管理,能精确识别并限制P2P/IM、炒股软件、网络多媒体、网络游戏等应用，限流粒度可以精确到8Kbps,强大的DDoS防御,流量异常检测流量模型学习和基线阈值设置连接限制（EstablishedConnectionFlood）连接速率限制（ConnectionPerSecondFlood）,有效请求,SecPathIPS,允许有效请求通过,服务器,黑客,代理,傀儡机,傀儡机,代理,代理,代理,代理,代理,热插拨，双电源支持支持二层回退功能,内置的高可用性（二层回退）,借助于掉电保护模块，可保证IPS掉电时，网络依然畅通。T1000系列内置掉电保护模块（内置优势：微秒级切换时间）,掉电保护模块PFC（PowerFreeConnector),高可靠性,检测引擎,正常模式,检测引擎,二层交换模式,PFC主机,网络流量,USB供电,SecPathIPS,交换机,交换机,灵活的特征库升级机制,漏洞分析与评估团队,H3CSecPathIPS,路由器,交换机,SecPathIPS在线透明部署模式,内部网络,路由器,交换机,SecPathIPS旁路部署模式,内部网络,镜像,IPS在线部署方式部署于网络的关键路径上，对流经的数据流进行2-7层深度分析，实时防御外部和内部攻击。,IDS旁路部署方式对网络流量进行监测与分析，记录攻击事件并告警。,IPS产品典型组网,安全威胁发展趋势IPS功能介绍与典型组网IPSManager产品介绍IPSManager组网与配置,目录,H3CSecCenter入侵防御管理系统（以下简称：IPSManager）是一款功能强大的IPS设备综合分析与集中管理系统，是H3C公司安全管理中心SecCenter系统的重要组件。IPSManager能够对网络中的H3CIPS设备进行统一管理。它能够适应各种网络规模需求，为部署于各关键位置的IPS设备提供集中管理与控制，直观的实时事件监控，综合分析攻击、病毒、蠕虫等各种安全事件，并提供丰富的统计报告，方便用户随时掌控当前网络安全状况。IPSManager与IPS设备一起为用户的网络提供了直观、强大、全面的安全保护。,IPSManager功能简介,IPSManager能够提供如下关键特性：直观的实时监控，及时发现网络攻击；完善综合的分析，丰富的统计报告，有助于减少管理员分析时间；细致的日志审计，便于追踪溯源；集中的特征库升级和License管理，确保识别最新攻击行为；友好易用的界面，易于部署和使用。,IPSManager能做什么,H3CSecCenterIPSManager需要在WindowsServer2003操作系统上进行安装。系统安装对软、硬件平台的基本要求如下：硬件要求：CPUP42.0以上，内存1.5G以上，硬盘：80G以上操作系统要求：Windows2003Server中文版（推荐）或WindowsXP中文版，且安装最新补丁；如果使用英文版操作系统，必须安装中文字库浏览器要求：IE6.0以上,IPSManager安装硬件要求,安装时，执行安装目录下的install.exe，按照安装界面提示依次点击“下一步”即可。安装完成后，需要重启机器。,1、安装完成，服务器重启后，在浏览器中输入http:/localhost/查看是否有正确的登录页面显示，缺省的系统登录用户名/密码是admin/admin1。,IPSManager初始化授权（一）,2、初次登录IPSManager管理系统后，将显示“License信息”页签的页面并伴有“您还没有注册，将无法正常使用，请及时进行注册”的提示信息。当获取了许可文件并注册成功后，用户方可对管理系统执行操作，具体操作步骤如下：,2.1在导航栏中选择“License管理License申请”，进入“License申请”页签，如下图2-1所示的用户信息输入窗口。,IPSManager初始化授权（二）,2.2按照提示输入用户信息后（填写项要符合格式要求），单击按钮进入如下图2-2所示的成功提示窗口。点击图2-2中的文件下载链接，将主机信息文件下载到本地并将其发送至license，即可获取H3CSecCenter入侵防御管理系统许可文件。,IPSManager初始化授权（三）,2.3在导航栏中选择“License管理License注册”，进入“License注册”页签，如下图2-3所示的选择License文件窗口。选择License文件（文件后缀名为.lic）后单击按钮完成注册操作。,IPSManager初始化授权（四）,H3CSecCenterIPSManager管理系统安装盘附带了一个有效期为一个月的临时License文件（SecCenterIPSManagerEvaluationLicense.lic），在没有申请到正式License之前，可以使用该临时License进行注册。,2.4跳转后的页签显示启动成功，接下来就可以配置设备和执行业务操作。,IPSManager初始化授权（五）,安全威胁发展趋势IPS功能介绍与典型组网IPSManager产品介绍IPSManager组网与配置,目录,IPSManager典型组网,Internet,IPS,IPSManager,LAN,IPS,设备集中管理,LAN,设备管理模块主要目的是配置H3CSecCenter所管理的IPS设备。设备管理模块还提供了系统管理和License管理功能。系统管理包括了“操作员管理”、“操作日志”等多项功能。License管理主要是提供对企业身份的认证。,IPSManager设备与系统管理,只有添加设备成功后，后续才能把设备添加到IPS设备中，进而对攻击、病毒事件信息进行集中收集和分析。,IPSManager添加监控设备,成功添加设备后，要在此对设备进行配置管理。显示设备的详细信息以便操作员对网关实行监控。,IPSManager添加监控设备（续）,创建区域和段；,IPS设备配置（一）,修改IPS和防病毒策略规则的动作集为“Permit+Notify（告警日志）或“Block+Notify（阻断日志）”；,IPS设备配置（二）,在段上应用IPS和防病毒策略；,IPS设备配置（三）,修改Notify动作，发送攻击和病毒日志到Syslog服务器；激活配置。,IPS设备配置（四）,IPSManager默认接收端口号是30514,IPSManager安全事件快照,实时分析安全事件的趋势、攻击类型分布、top攻击源、目的等数据来源于最近一小时的安全事件日志(syslog)实时统计，趋势按5分钟聚合,IPSManager历史事件分析,分析历史安全事件（含攻击和病毒）的趋势、攻击类型分布、top攻击源、目的等报表随时间推移逐级聚合（每5分钟/每小时/每天/每月）按天查询时报表数据的取值为“每5分钟”汇总数据按月查询时报表数据的取值为“每小时”汇总数据自定义查询则按时间段自动调整聚合时间,IPSManagerIPS特征库升级,1、“管理员”在SecCenter“特征库文件管理”界面中“上传特征库文件”（可以上传多个特征库文件）；2、SecCenter将该特征库文件存储于特定位置，使得该特征库文件可以通过正常的HTTP访问（如：http:/seccenter/base.dat）获取；3、“管理员”在SecCenter“IPS设备列表”中选择需要升级的IPS设备（可多选或全选），点击“升级特征库”操作；4、SecCenter弹出“选择特征库文件”界面，由管理员选择需要下发的“特征库文件”5、SecCenter将管理员选中的“特征库文件”对应的U