IPS入侵防御系统培训

2011年8月国家电网培训安全技术-IPS入侵防御系统1培训内容主要配置思路介绍3产品组成及部署2IPS简介及与IDS的区别12IPS的产生：用户需求超过70%攻击在应用层产生服务漏洞攻击、SQL注入等30%70%L7（应用层）L2-L4（网络层）攻击层次越来越高，超过70%的应用层攻击防火墙无法拦截位于旁路的IDS，虽然能有效检测和告警入侵事件，但无法直接阻断攻击②检测到攻击①攻击③将连接阻断三种方式、逐渐进步，但都未达到最优防火墙与IDS联动，没有标准协议，有滞后现象，非最优方案②检测到攻击①攻击③阻断策略（私有协议）3IPS的基础理念•深层防御－需要深层分析和在线部署IPS是深层防御的最优方案Y旁路部署深层分析IDS在线部署低层分析FWNNY入侵威胁无连接攻击深层攻击……在线部署深层分析IPS4IPS是实现风险控制的主要安全设备之一1.重组报文FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBADCONTENTanewliberty,anddedicatedtothepropositionthatall…!!!!BADCONTENTBADCONTENTNASTYTHINGSNASTIERTHINGS阻断攻击报文攻击特征库对报文里的非法内容和攻击进行屏蔽5IDS与IPS：技术同源5入侵检测IDS入侵防御IPS•核心技术基础一致•名称非常接近•通常厂商均同时推出两类产品•很容易误认为是一种产品6部署方式对比6IPSIDS在线，流量必须通过IPS旁路，通过镜像获得数据实时，其时延必须满足业务要求准实时，可接受秒级时延立刻影响网络报文对网络及业务无直接影响作用范围有限制监控范围广7设计出发点对比7IPSIDS无误报无漏报满足峰值流量和时延要求满足平均流量，可接受秒级时延不能影响业务系统可用性只需关注自身功能实现8IPS能够解决的安全问题8•阻拦已知攻击（重点）•为已知漏洞提供虚拟补丁（重点）•速率或流量控制•行为管理安全域A安全域BIPSIPS可提供有效的、防火墙无法提供的应用层安全防护功能。但为了避免误报，IPS对未知攻击的防御能力几乎没有9IDS能够解决的安全问题9•总体威胁趋势分析（重点）•流量及连接分析（重点）•安全事件分析（重点）安全域A安全域BSiSiIDSSiSiIDS从总体和趋势上的分析能力是其他安全设备难以实现的同时，通过基于流量、统计等方面的分析，IDS理论上拥有在未知攻击特别是蠕虫类攻击爆发时进行预警的能力10培训内容主要配置思路介绍3产品组成及部署2IPS简介及与IDS的区别111产品组成及部署–IPS硬件设备–数据分析中心（SOC/IMS/厂商配套）12产品组成及部署•透明模式(提供桥接功能)在这种模式下，IPS的接口（物理接口或VLAN子接口）作为交换接口工作。也就是说，对于数据包在转发时不作任何改动，包括IP和MAC地址，直接把包转发出去。•路由模式(路由功能)在这种模式下，IPS类似于一台路由器转发数据包，将接收到的数据包的源MAC地址替换为相应接口的MAC地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。•混合模式(透明+路由功能)顾名思义，这种模式是前两种模式的混合。也就是说某些接口工作在透明模式下，而其他接口工作在路由模式下。该模式适用于较复杂的网络环境。13产品组成及部署独立部署InternetInternet数据系统办公区1办公区2天清IPS数据中心NetworkTransportSessionPresentationApplicationHANetworkTransport14产品组成及部署分布式部署Internet•防御来自外部的攻击和病毒传播•有效了解/控制内部应用，如IM和OnlineGame•防御来自内部和外部对核心数据的攻击•防御SQL注入等确保数据服务器的稳定运营•防御来自分支机构处的攻击•控制分支机构对内部数据的访问•防御穿透防火墙的应用层攻击•防御Web、FTP等外联服务天清集中管理中心15培训内容主要配置思路介绍3产品组成及部署2IPS简介及与IDS的区别116入接口/安全域出接口/安全域源地址对象目的地址对象服务对象/端口时间对象匹配条件DENYPERMIT防火墙动作应用层防护策略入侵防御规则防病毒规则内容过滤规则带宽管理规则日志规则•IPS可针对不同的数据流进行有针对性的应用层防御数据流1.安装前准备17入侵防御：事件集入侵防御特征事件集不能删除系统事件集新建自定义事件集复制出自定义事件集18入侵防御：配置事件入侵防御特征事件集，选择自定义事件集的按钮编辑事件动作：对数据报或流进行通过、丢弃或重置等。19入侵防御：应用到策略1、编辑安全防护表2、安全规则中启用该安全防护表20入侵防御：升级事件库自动定期升级和手动升级系统管理维护升级管理21安全防护表：防病毒支持5种协议：HTTP、FTP、IMAP、POP3、SMTP文件扫描：扫描特定后缀的文件，检查是否有病毒文件屏蔽：不能获取特定后缀的文件22防病毒：病毒类型防病毒配置病毒类型，默认为全部类型防病毒配置病毒列表23防病毒：文件扫描防病毒文件扫描列表只定对特定的文件类型进行文件扫描，提高效率。当系统检测到病毒时，可以根据配置模版向用户端程序显示提示信息。配置替换信息：防病毒--配置--替换信息24防病毒：文件屏蔽防病毒文件屏蔽列表阻断特定类型文件的传输，日志中有屏蔽记录25防病毒：更新病毒库自动定期升级和手动升级系统管理维护升级管理26安全防护表：日志•支持日志信息在本地内存、syslog服务器及Email这三种方式进行记录。•每种方式都可以配置过滤的等级，当产生的日志高于或等于配置的过滤等级时，才会输出日志信息。27日志过滤日志与报告日志配置日志过滤默认未启用。1.日志过滤中只对大于或等于该级别的日志有效。2.日志过滤中涉及到的日志模块只是日志与报告中的一部分，另一部分在防火墙安全策略安全防护表下。提示28本地日志查看日志与报告本地日志