《网络安全技术与实践》第二篇__边界.ppt

网络安全技术与实践 课件制作人 蒋亚军 网络安全技术与实践 项目二入侵防护系统IPS 第二篇 项目背景 某企业的计算机网络最近频繁遭受到攻击 虽然已经安装了防火墙 但是效果依然不理想 邀请安全专家检测网络发现公司内部计算机网络存在大量的恶意代码 僵尸网络 病毒以及有针对性不良数据包的攻击 公司决定投资解决相关网络安全问题 需求分析 传统的网络安全防范方法是对操作系统进行安全加固 通过各种各样的安全补丁提高操作系统本身的抗攻击性 安装防火墙的思路是在网络边界检查攻击包的并将其直接抛弃 使攻击包无法到达目标 从而从根本上避免黑客的攻击 但通常的防火墙却无法对付应用层的恶意代码 对于僵尸网络 病毒以及有针对性的不良数据包的攻击却都显得有些无能为力 入侵检测系统 IDS 可以检测网络攻击 但它的阻断攻击能力却非常有限 一般只能通过发送TCPreset包或联动防火墙来阻止攻击 本例中最好采用入侵防御系统 IPS 因为IPS是一种主动的 积极的入侵防范 阻止系统 它可部署在网络的边界上 当它检测到上述的攻击时 能够自动地将攻击包丢掉或采取措施将攻击源阻断 预备知识 入侵防护系统 IPS 倾向于提供主动防护 其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截 避免造成损失 而不是简单地在恶意流量传送时或传送后才发出警报 IPS是通过直接部署在网络边界上连接内外网实现安全防护功能的 它可通过网络端口接收来自外部系统的流量 检查确认其中是否包含异常或可疑的活动内容 在数据传输过程中清除掉有问题的数据内容 入侵防护系统 几个问题1 入侵防御系统 IPS 就是入侵检测系统 IntrusionDetectionSystem IDS 的升级产品 2 入侵防护系统能够取代入侵检测系统3 入侵防护系统是入侵检测系统 防火墙4 关于主动防护问题与防护体系的问题 IPS的现状 IPS提出了多年 一直认为IPS会取代IDS 入侵检测系统 但是很多年过去了 情况似乎并非如此 据调查 目前59 的用户部都署了IDS 27 的用户将IDS列入购买计划 62 用户在关注IPS 并且7 的用户有意向购买IPS 这些数据表明 IDS和IPS在国内都呈现出繁荣发展的前景 IDS和IPS将会有着不同的发展方向和职责定位 IDS短期内不会消亡 IPS也不会完全取代IDS的作用 虽然IPS市场前景被绝大多数人看好 市场成熟指日可待 但要想靠蚕食IDS市场来扩大市场份额 对于IPS来说应该还是很难的 IPS的产品背景 1 安全漏洞越来越多零日攻击 2 DoS DDoS仍是很大的威胁根据调查 每天平均侦测到6 110个事件Arbor的研究指出 DoS DDoS占网络安全事件的65 其中主要还是TCPSYN UDPFlooding应用层CC攻击 3 来自内部网络的威胁InstantMessage在线聊天软件P2P共享软件虚拟隧道软件在线网络游戏 IM MSN QQ SkypeP2P 迅雷 BitTorrent虚拟隧道 VNN在线网游 联众 浩方 降低工作效率文件传输 引发泄密风险散布恶意程序 这些工具我们都在用 安全吗 网管员的梦想 只允许聊天 禁止其它功能 不同的对象使用不同管理方式 4 IM即时消息软件的威胁 P2P在耗尽带宽 Thunder迅雷 eMule电驴 BT FlashGet PPLive PPStream QQLive 消耗正常网络带宽病毒散布温床机密文件外泄下载文档的著作权 5 P2P的威胁 6 穿透防火墙对外连机 7 直接与外界计算机直接交换信息 通过防火墙开放的合法端口建立虚拟隧道数据加密 企业难以防范 机密信息泄露虚拟隧道软件 VNN SoftEther Hamachi TinyVPN PacketiX HTTP Tunnel Tor IPS产品的客户价值 IntrusionPreventionSystem入侵防护系统简单的讲 IPS是在应用层上进行威胁检测和防御的 深度防火墙 上网行为管理 防火墙是 IDS是 IPS是 IPS是什么 IPS的种类 1 基于主机的入侵防护 HIPS HIPS通过在主机 服务器上安装软件代理程序 防止网络攻击入侵操作系统以及应用程序 基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用 Cisco公司的Okena NAI公司的McAfeeEntercept 冠群金辰的龙渊服务器核心防护都属于这类产品 它们在防范红色代码和Nimda的攻击中 能起到了很好的防护作用 基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器 主机发起的恶意入侵 HIPS可以阻断缓冲区溢出 改变登录口令 改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为 整体提升主机的安全水平 IPS的种类 2 基于网络的入侵防护 NIPS NIPS通过检测流经的网络流量 提供对网络系统的安全保护 由于它采用在线连接方式 所以一旦辨识出入侵行为 NIPS就可以去除整个网络会话 而不仅仅是复位会话 同样由于实时在线 NIPS需要具备很高的性能 以免成为网络的瓶颈 因此NIPS通常被设计成类似于交换机的网络设备 提供线速吞吐速率以及多个网络端口 IPS的种类 3 应用入侵防护 AIP NIPS产品有一个特例 即应用入侵防护 ApplicationIntrusionPrevention AIP 它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备 AIP被设计成一种高性能的设备 配置在应用数据的网络链路上 以确保用户遵守设定好的安全策略 保护服务器的安全 NIPS工作在网络上 直接对数据包进行检测和阻断 与具体的主机 服务器操作系统平台无关 NIPS的实时检测与阻断功能很有可能出现在未来的交换机上 随着处理器性能的提高 每一层次的交换机都有可能集成入侵防护功能 IPS主要功能与特性 检测机制由于需要具备主动阻断能力 检测准确程度的高低对于IPS来说十分关键 IPS厂商综合使用多种检测机制来提高IPS的检测准确性 据Juniper的工程师介绍 Juniper产品中使用了包括状态签名 协议异常 后门检测 流量异常 混合式攻击检测在内的 多重检测技术 以提高检测和阻断的准确程度 McAfee公司则在自己的实验室里加强了对溢出型漏洞的研究和跟踪 把针对溢出型攻击的相应防范手段推送到IPS设备的策略库中 国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术 通过研究漏洞特征 将其加入到过滤规则中 IPS就可以发现符合漏洞特征的所有攻击流量 在冲击波及其变种大规模爆发时 直接将其阻断 从而赢得打补丁的关键时间 IPS主要功能与特性 弱点分析IPS产品的发展前景取决于攻击阻截功能的完善 引入弱点分析技术是IPS完善攻击阻截能力的重要依据 IPS厂商通过分析系统漏洞 收集和分析攻击代码或蠕虫代码 描述攻击特征或缺陷特征 使IPS能够主动保护脆弱系统 IPS主要功能与特性 环境配置IPS的检测准确率还依赖于应用环境 一些流量对于某些用户来说可能是恶意的 而对于另外的用户来说就是正常流量 这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段 以提高检测准确率 McAfee Juniper ISS 冰峰网络等公司同时都在IPS中提供了调优机制 使IPS通过自学习提高检测的准确性 IPS主要功能与特性 兼容性所有的用户都希望用相对少的投入 建设一个最安全 最易管理的网络环境 IPS如若需达到全面防护工作 则还要把其它网络管理功能集成起来 如网络管理 负载均衡 日志管理等 各自分工 但紧密协作 2 典型IPS产品的功能 1 天融信TopIDP产品的主要功能 高吞吐量 低延时入侵防御能力多重立体防御保护网络架构防护能力网络性能保护核心应用保障能力实现精细化防御 2 典型IPS产品的功能 2 联想网域入侵防护系统IPS良好的产品架构强大的入侵与防护检测能力强大的DoS DDoS攻击防护能力带宽管理上网行为管理应用层防火墙 2 联想网御IPS主要功能 IM P2P WebMailWebPost OnlineGame Intrusion DoS DDoSWorm NetworkVirus 5 联想网御IPS核心技术 1 基于协议自动机 PA 的流量识别技术提供了更精确的流量检测方法高效的流量数据包特征匹配 2 硬件特征匹配技术传统硬件加速技术基于FPGA基于Bloom过滤器基于TCAM联想网御硬件特征匹配技术FPGA TCAM SSRAM的硬件加速架构 3 联想网御硬件加速架构的优势使用TCAM做预处理 因而支持Wildcard Distance Within等等针对P2P IM等应用程序所需要的操作单元 对特征进行了预分组 在保证了匹配速度的同时 控制了器件规模 从而节约成本 保证了用户得到最高的性能价格比 算法相关部分全部位于FPGA之中 由于其具有可动态升级特性 因而算法可以不断随着产品升级进行优化 灵活性大 SSRAM成本低 容量大 用它来实现精确匹配极大了扩展了可以用于匹配的规则数目 CPU的多核机制和FPGA中并行数据包缓冲处理机制结合 支持全并行的特征匹配 5 5 联想网御IPS产品优势 1 高效的硬件体系结构零拷贝技术多核处理与内存分配技术ASIC加上特征比对技术 2 USE统一安全引擎基于协议异常 会话状态和七层应用行为进行检测内置2300多条特征规则 支持自定义特征支持对VLAN MPLS ARP TCP UDP RPC WCCP GRE IPV6等各种协议的分析 3 支持七层状态检测防火墙支持基于网络接口 源 目的IP地址 协议 时间等自定义访问控制策略支持对VNN SoftEther Hamachi TinyVPN PacketiX HTTP Tunnel Tor等流行的虚拟隧道实现阻断管理 DNS SMTP WWW Internet 4 高级自学习抗DoS攻击传统单纯基于时间及访问次数的方法 会阻挡合法流量自动学习和分析每个特定IP地址的流量阻止攻击 同时允许合法的流量通过 源IP URL特征 时间 访问次数 有效防范CC攻击 5 全面的P2P管控基于软件行为 数据内容 而不是端口识别应用可检测加密型或非加密型P2P支持100余种常用P2P软件带宽限流可精准到1Kbps 6 细粒度的IM管控基于软件行为 数据内容 而不是基于端口号识别应用可检测加密型或非加密型IM应用支持10种以上常用IM软件 包括WebIM可对登陆 文字聊天 文件传输 实时语音 实时视频等进行分项管理 7 精准的带宽管理针对VLAN 源 目的IP地址 应用协议端口 七层应用软件 如P2P FTP PPlive PPStream等 支持进行网络传输带宽和网络传输总量两种限制方式针对P2P应用的带宽限流 可精准到1Kbps 8 丰富的工作模式支持IPS IDS IPS监视 IDS监视 Forward等工作模式支持Mirror模式 9 自定义检测方向针对性检测节省系统资源 10 图像化的实时监视窗口 11 方便 实用的报表预设事件报表 内建报表 随选报表 定期报表四类报表 事件报表查看事件的详细列表 内建报表图形化显示 随选报表丰富的查询条件 定期报表多样的计划类型 循环生成 一次性生成丰富的过滤条件HTML PDF CSV文件存储邮件 FTP通知 12 灵活的管理基于JAVA的B S管理架构支持在线 脱机两种方式对特征库 管理软件 设备操作系统实现升级支持实时通过LEMS 邮件 syslog进行报警SSH Console管理IPS设备 13 实用的多重冗余功能无硬盘设计冗余电源硬件 软件Bypass联机自动切换 LinkFaultPassThrough 支持Active Active Active Passive两种模式 14 全面的产品资质 5 6联想网御IPS产品线 1 上网行为管理部署在内网出口上网行为管理IM即时消息软件Web IMP2P软件虚拟隧道在线游戏反动软件 5 7 联想网御IPS典型部署 2 内外兼顾部署在网络出口防范外网攻击上网行为管理 3 多路防护多路IPS每路设置不同的策略带宽限流 5 7 竞争分析 1 绿盟产品线及规格对比 2 联想相对绿盟的优势联想的产品线丰富 接口数量多 类型丰富 其中950IPS最多支持4路IPS或9路IDS 具体信息可参考产品线及产品规格对比表 联想支持 绿盟不支持的功能虚拟隧道软件的检测自由门 无界 花园等反动类软件的检测 端口Mirror 功能 IPSpoofing 功能 LinkFaultPassThrough 功能 自定义检测方向 绿盟产品不如我们做的好的功能联想的产品对P2P的支持更全面 检测准确 且支持P2P限流 特别是迅雷 绿盟支持的不好 可以引导用户进行测试 我们的产品可以对IM软件的登陆 文字聊天 文件传输 语音聊天 视频聊天进行分项检测 并支持对Web IM的检测 比绿盟产品要全面 可以引导用户进行测试 绿盟强调其产品具有CVE证书 CVE兼容性证书是与产品相关的 绿盟的IDS和风险评估软件具有CVE证书 IPS产品并没有CVE证书 绿盟强调其产品支持路由和NAT功能 绿盟IPS支持路由和NAT功能的原因有以下两点 1 绿盟没有防火墙产品 绿盟不是专业的路由器和防火墙厂商 想想其路由和NAT功能能做好吗 绿盟为了争取一些防火墙的项目 所以在IPS产品中加入了路由和NAT功能 而业内主流产品TP等主流IPS厂商均不在IPS产品中集成路由和NAT功能 这已经成为业内默认的产品标准 2 路由 NAT功能与硬件Bypass功能之间是矛盾的 客户购买IPS产品时都要求支持硬件Bypass功能 这就要求每路IPS接口之间工作在透明模式下 如使用路由或NAT功能 则硬件Bypass就会不起作用 当设备出现问题时 直接导致断网 注 硬件bypass功