IPS入侵防御系统培训

2011年8月,国家电网培训安全技术-IPS入侵防御系统,培训内容,主要配置思路介绍,3,产品组成及部署,2,IPS简介及与IDS的区别,1,IPS的产生：用户需求,超过70%攻击在应用层产生服务漏洞攻击、SQL注入等,70%,L7（应用层）,L2-L4（网络层）,攻击层次越来越高，超过70%的应用层攻击防火墙无法拦截,位于旁路的IDS，虽然能有效检测和告警入侵事件，但无法直接阻断攻击,检测到攻击,攻击,将连接阻断,三种方式、逐渐进步，但都未达到最优,防火墙与IDS联动，没有标准协议，有滞后现象，非最优方案,检测到攻击,攻击,阻断策略（私有协议）,IPS的基础理念,深层防御需要深层分析和在线部署,IPS是深层防御的最优方案,Y,旁路部署,深层分析,IDS,在线部署,低层分析,FW,N,N,Y,入侵威胁,无连接攻击,深层攻击,在线部署,深层分析,IPS,IPS是实现风险控制的主要安全设备之一,1.重组报文,!,!,攻击特征库,FourscoreandBADCONTENTourforefathersbrou,ghtforthuponthiscontinentanewnation,nliberty,anddedicatedtothepropositionthatall,2.对报文里的非法内容和攻击进行屏蔽,IDS与IPS：技术同源,入侵检测IDS,入侵防御IPS,核心技术基础一致名称非常接近通常厂商均同时推出两类产品很容易误认为是一种产品,部署方式对比,设计出发点对比,IPS能够解决的安全问题,阻拦已知攻击（重点）为已知漏洞提供虚拟补丁（重点）速率或流量控制行为管理,安全域A,安全域B,IPS,IPS可提供有效的、防火墙无法提供的应用层安全防护功能。但为了避免误报，IPS对未知攻击的防御能力几乎没有,IDS能够解决的安全问题,总体威胁趋势分析（重点）流量及连接分析（重点）安全事件分析（重点）,安全域A,安全域B,IDS,IDS从总体和趋势上的分析能力是其他安全设备难以实现的同时，通过基于流量、统计等方面的分析，IDS理论上拥有在未知攻击特别是蠕虫类攻击爆发时进行预警的能力,培训内容,主要配置思路介绍,3,产品组成及部署,2,IPS简介及与IDS的区别,1,产品组成及部署,IPS硬件设备数据分析中心（SOC/IMS/厂商配套）,产品组成及部署,透明模式(提供桥接功能)在这种模式下，IPS的接口（物理接口或VLAN子接口）作为交换接口工作。也就是说，对于数据包在转发时不作任何改动，包括IP和MAC地址，直接把包转发出去。路由模式(路由功能)在这种模式下，IPS类似于一台路由器转发数据包，将接收到的数据包的源MAC地址替换为相应接口的MAC地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。混合模式(透明+路由功能)顾名思义，这种模式是前两种模式的混合。也就是说某些接口工作在透明模式下，而其他接口工作在路由模式下。该模式适用于较复杂的网络环境。,产品组成及部署,独立部署,Internet,数据系统,办公区1,办公区2,天清IPS数据中心,Network,Transport,Session,Presentation,Application,HA,Network,Transport,产品组成及部署,分布式部署,DMZ区,数据区,办公区,分支,防御来自外部的攻击和病毒传播有效了解/控制内部应用，如IM和OnlineGame,防御来自内部和外部对核心数据的攻击防御SQL注入等确保数据服务器的稳定运营,防御来自分支机构处的攻击控制分支机构对内部数据的访问,防御穿透防火墙的应用层攻击防御Web、FTP等外联服务,天清集中管理中心,培训内容,主要配置思路介绍,3,产品组成及部署,2,IPS简介及与IDS的区别,1,入接口/安全域,出接口/安全域,源地址对象,目的地址对象,服务对象/端口,时间对象,匹配条件,DENY,PERMIT,防火墙动作,应用层防护策略,入侵防御规则,防病毒规则,内容过滤规则,带宽管理规则,日志规则,IPS可针对不同的数据流进行有针对性的应用层防御,数据流,1.安装前准备,入侵防御：事件集,入侵防御特征事件集,不能删除系统事件集,新建自定义事件集,复制出自定义事件集,入侵防御：配置事件,入侵防御特征事件集，选择自定义事件集的按钮,编辑事件,动作：对数据报或流进行通过、丢弃或重置等。,入侵防御：应用到策略,1、编辑安全防护表,2、安全规则中启用该安全防护表,入侵防御：升级事件库,自动定期升级和手动升级,系统管理维护升级管理,安全防护表：防病毒,支持5种协议：HTTP、FTP、IMAP、POP3、SMTP,文件扫描：扫描特定后缀的文件，检查是否有病毒文件屏蔽：不能获取特定后缀的文件,防病毒：病毒类型,防病毒配置病毒类型，默认为全部类型,防病毒配置病毒列表,防病毒：文件扫描,防病毒文件扫描列表,只定对特定的文件类型进行文件扫描，提高效率。当系统检测到病毒时，可以根据配置模版向用户端程序显示提示信息。配置替换信息：防病毒-配置-替换信息,防病毒：文件屏蔽,防病毒文件屏蔽列表,阻断特定类型文件的传输，日志中有屏蔽记录,防病毒：更新病毒库,自动定期升级和手动升级,系统管理维护升级管理,安全防护表：日志,支持日志信息在本地内