IPS解决方案建议Word下载.docx

IPS解决方案建议Word下载.docx

《IPS解决方案建议Word下载.docx》由会员分享，可在线阅读，更多相关《IPS解决方案建议Word下载.docx（18页珍藏版）》请在冰豆网上搜索。

图1权威调查揭示2/3受访者认为系统渗透/入侵是面临最大安全威胁

1.2现有安全架构无法应对系统入侵新威胁

虽然在被调查企业中，有86%已经部署了防火墙（老实说，相对于时代发展和今天大环境，这个数字低得让人无法接受），但很明显，防火墙面对很多入侵行为仍然无计可施。

普通防火墙设计旨在拒绝那些明显可疑网络流量（例如，企业安全策略完全禁止Telnet访问，但仍有某些用户试图通过Telnet访问某个设备），但仍允许某些流量通过（例如，发送到内部Web服务器Web流量）。

图2现有FW无法识别拦截应用层面攻击

问题在于，很多攻击都会尝试利用那些外围防火墙允许通过协议漏洞，而且，一旦Web服务器遭到攻击，攻击者会以此为跳板继续对其它内部服务器发起攻击。

一旦服务器上被安装了“rootkit”或“后门”，那么黑客们就能够在未来任何时间里“大摇大摆”地访问这台机器。

一般来说，我们仅将防火墙部署在网络外围。

但很多攻击，无论是全球性攻击还是其它类型攻击，往往都是从组织内部发起。

虚拟专用网、便携式计算机以及无线网络都能够接入到内部网络，而且经常会越过防火墙。

入侵检测系统在检测可疑活动时可能很有效，但却不能提供对攻击防护。

臭名昭著蠕虫（例如Slammer和Blaster）都具有惊人传播速度，当系统发出警报时，蠕虫实际上已经导致了损失，而且正在飞速地向外扩散。

图3攻击历史回顾提醒我们蠕虫快速传播曾造成巨大损失

1.3安全缺口在扩大

随之网络和应用不断发展，安全需求也在不断增长，而我们现有安全能力却没有提高，造成安全缺口不断在扩大，如下图所示：

图4安全缺口在不断扩大

1.4系统和网络安全面临实际问题

依靠现有FW、IDS等安全设备，我们已经不能及时掌握网络和系统安全状况，也无法及时拦截攻击和进行补救。

下面是一些亟待解决问题：

1.FW、IDS已经不能保护应用安全，攻击能够穿透防火墙，比如SQL注入攻击，而我们不可能将SQL使用TCP端口在防火墙上关闭，因为这样会将正常SQL操作也阻断。

这说明FW不能对数据流作深度分析，不能检测到应用层面攻击，仅起到访问控制作用，而IDS虽然能够监测到攻击，但是却不能够及时自动拦截攻击，需要大量人工干预，效率较低。

2.网络中设备和系统越来越多，同时，这些设备和系统使用操作系统和应用软件存在漏洞也不断被发现，应用层面攻击正是利用了这些漏洞，比如，微软已经公布了很多Web服务器软件IIS和数据库软件MS-SQL系统漏洞，而这些系统被广泛采用，如何为这些设备和系统及时打补丁（修补漏洞）成为一件必须解决问题。

3.来自于外部攻击越来越多，而且发展成为零日攻击（Zero-dayAttacks），加之黑客工具泛滥，如果存在漏洞系统没有及时打补丁，则潜在被攻击可能性极大。

4.P2P、IM、Game、流媒体等次要应用占用大量网络带宽而影响关键应用。

5.不清楚谁或者哪些设备在对我们网站进行攻击。

6.针对上述威胁缺乏有效、自动化、高性能解决方案，IT人员工作压力巨大。

2.问题解决之道–采用IPS增强网络安全

FW不能检测应用层面攻击，而IDS（入侵检测系统）虽能检测却不能及时、有效拦截攻击，所以我们需要一种既能够检测攻击，又能够拦截攻击方案–入侵防御系统，部署在网络关键位置。

入侵防护系统完全是前瞻性防御机制，它们设计旨在对常规网络流量中恶意数据包进行检测（这是目前防火墙产品无法做到）、阻止入侵活动、预先对攻击性流量进行自动拦截，使它们无法造成损失，而不是在传送恶意流量同时或之后，简单地发出警报。

图5IPS提供主动和自动化安全防护

网络使用者和管理员不再被下面这些麻烦所困扰：

网络屡遭攻击后需要进行大量清理工作但无法彻底清理干净而复发；

需要在短时间内紧急为大量服务器打补丁以避免危害面积扩大；

泛滥P2P、IM等“流氓”流量大量侵占了宝贵带宽使得关键业务中断；

DoS/DDoS攻击致使Internet通路堵塞并且导致关键服务器宕机。

3.IPS部署方案设计

3.1设计原则

设计遵循高安全性、高性能、高可靠性和易于管理兼顾原则。

在部署IPS时，需要考虑以下几点：

1.误报率和漏报率：

这两个指标应该趋近于零，因为误报较高必然影响正常业务，造成人为阻断，而漏报较高就会大大降低安全效能。

一方面，根据目前系统情况，作一些有针对性地模拟攻击测试来考察误报率和漏报率，另一方面，可以参考一些权威机构评测报告，如NSS、ICSA。

2.攻击防护广度：

低误报率和漏报率保证了IPS精度、但还必须能够防护可能多攻击，根据CERT对今年漏洞统计，一个好IPS应该能够支持3000种上攻击，能够保护Windows、Unix/Linux等操作系统、Oracle、SQL等各种数据库、Web等应用软件漏洞。

3.性能考虑：

由于IPS在线部署，我们还必须检验其吞吐能力和延时，而这里考察条件是安全策略大部分都开启情况下应用层面吞吐能力，而不仅仅是像测试路由器和交换机性能那样检查三层转发性能。

部署在千兆链路上IPS其7层处理能力不应该小于800Mbps（真实网络流量下），而处理延迟应该和千兆交换机相当，即150–200微妙之间。

具体评测方法可以借助专业测试仪器并参考权威机构评测方法和报告。

4.可靠性：

虽然各厂商都声称自己产品具有4个9甚至5个9高可靠性，但是假定设备在某种情况下过载（CPU利用率超过90%、吞吐能力下降、处理延迟达到秒级），则设备本身需要具备某种自我检测机制，及时发现过载，超过某个阈值后自动将安全处理器短路，或者称为内置旁路功能。

5.安全研究能力和服务：

上述考量关注产品本身，实际上还必须考察设备制造厂商安全研究能力和服务水平，因为IPS最重要是提供了一个专家系统并不断对攻击特征库进行更新。

具有较强安全研究能力厂商都拥有业界知名专门安全研究专家，建立一套完整安全漏洞跟踪研究、攻击过滤器研发体系。

除本公司安全研究团队外，业界领先厂商还创建了广泛招揽人才公开安全研究组织。

对产品服务考察上，需要关注攻击特征库更新是否及时，是否能够防御零日攻击。

特征包更新应自动完成，最好是利用内容发布网络（CDN）进行分发,并发送提醒邮件给安全管理人员，而更新频率一周应至少一次。

6.易于管理：

提供即插即用配置功能，提供安全策略设置缺省建议，即对数千个安全防护规则按照安全风险级别给出设置建议。

提供集中式网管，实现安全策略集中定义和分发，支持安全规则自动下载，更新和分发。

支持丰富日志、统计和报告功能。

3.2IPS部署设计

3.2.1总体部署方案

如下图所示

图6IPS部署总体设计

3.2.2IPS工作模式

TippingPointIPS设计遵循了一个很重要原则：

无缝部署。

基于这个原则，无论对已经建成网络，还是正在建设中网络，都可以很容易地将TippingPointIPS嵌入进任何部分，并且不会对网络拓扑、性能、运行带来任何改动。

从逻辑上来看，TippingPointIPS就好像一根智能线，这根智能线却从根本上解决了困扰网络安全问题。

图7灵活部署-从核心到边界

这样无缝部署主要体现在以下方面：

●嵌入式部署（in-line）模型保证最简化部署步骤，而不需要进行交换机镜像等复杂配置，更不需要更改网络拓扑。

●检测接口不需要IP地址，也不需要MAC地址，一旦接入网络，立刻开始保护网络；

同时保证自身对攻击源是隐身，增强整网安全性。

●高性能、低时延使得TippingPointIPS无论被部署在网络核心还是边缘，都可以提供线速精确检测和实时阻断能力，对网络业务效率没有任何损伤。

同时，流量限制能力保证关键应用优先级。

●提供攻击过滤器推荐配置，实现了即插即用，经过精心分析、调试、验证数字疫苗可以在不经任何调整情况下正常工作，无需任何调整即可抵御已知网络威胁，堪称专家系统。

3.2.3安全防护设计

得益于我们独到和技术领先硬件和过滤器家族，我们能够提供以下三个主要安全防护：

∙应用防护

∙网络架构防护

∙性能防护

图8TippingPointIPS三大应用场景

3.2.3.1应用防护

TippingPointIPS一大应用是部署在数据中心和DMZ前，一旦IPS在线工作，对关键业务和应用安全防护将得到显著增强。

图9IPS部署–应用防护

IPS最核心功能就是保护各种应用系统，比如Web服务、数据库、邮件系统、存储系统，以及Windows、Unix/Linux等各种操作系统。

由于各种系统存在弱点和漏洞，而攻击正是针对这些漏洞探测和利用行为，IPS必须能够保护这些弱点/漏洞。

TippingPointIPS提供虚拟软件补丁功能：

IT部门承担着测试、部署补丁，防御零日攻击重任，也承担了极大压力。

TippingPointIPS虚拟软件补丁采用了漏洞防护过滤器技术，能够对数据流进行深度检测以发现攻击并具有极高精准性，即使其保护服务器没有打补丁也不会被攻击，同时保证调用存在漏洞进程正常业务运行。

目前版本提供1200个漏洞过滤器，能够保护Windows、Unix/Linux等操作系统、Oracle、SQL等各种数据库、Web等应用软件漏洞。

图10虚拟软件补丁

针对局机关政务公开网站、网上业务系统、邮件等各种Web和应用服务器较多特点，我们还提供增强SQL注入攻击、PHPInclude攻击和XSS跨站脚本攻击防御服务，防止主页被篡改，数据库数据被破坏。

•SQL注入

•跨站脚本

•PHP文件包含.

SQL注入攻击防御：

SQL注入是利用web站点弱点来攻击后端数据库攻击，所以我们会在安全策略执行点对HTTP请求中有关SQL语句语法和参数进行检查，及时发现恶意SQL请求，并在策略策略执行点立即将其拦截。

目前可以提供100多种SQL注入拦截手段。

PHPinclude攻击防御：

现在很多论坛和网站都使用PHP程序开发，而由于PHP漏洞问题，面临PHPinclude各种攻击威胁。

如果漏洞被利用，攻击者能够讲恶意PHP。

代码强行插入到被攻击PHP应用里。

我们能够提供防护各种针对php软件（如，phpBB、PHPNuke，MyPHP、Claroline、CactiPHP）PHPinclude攻击。

跨站脚本攻击防御：

Web服务安全另一大威胁是跨站脚本攻击–XSS/CSS（CrossSiteScript）attack。

它利用网页及cookies漏洞，攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面html代码会被执行，从而达到恶意用户特殊目。

比如通过跨站构造一个表单，表单内容则为利用程序备份功能或者加管理员等功能得到一个高权限。

开放Web软件安全计划（OpenWebApplicationSecurityProject,OWASP）甚至将其列为2007年Web安全威胁之首。

XSS攻击一个典型案例是PDF阅读器AdobeAcrobatReader上跨站脚本攻击。

我们目前提供防御30多种XSS攻击服务。

3.2.4网络架构防护

一方面，构成网络基础路由器、交换机、防火墙等设备本身操作系统也被发现存在弱点/