七层交换和网络安全设备讲座.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 第二节 网络安全设备 IDS和IPS IDS:入侵监测系统 IPS:入侵防护系统 安全事件类型统计 2005 病毒事件 非授权访问 私有信息窃取 拒绝服务攻击 内部网络的滥用 电脑盗窃 电信欺诈 公共web应用的滥用 无线网络的 滥用 金融欺诈 系统渗透 怠工、蓄意破坏 Web页面替换 燃眉之急有哪些？ 周末去郊游，没想到周一早晨一来，网络瘫痪了，原来是没及时安装周末刚发布的一个安全补丁，真是个“黑色星期一”； 蠕虫病毒爆发，造成网络瘫痪，无法网上办公，邮件收不了，网页打不开； 有员工使用BT、电驴等P2P下载电影或MP3，造成上网速度奇慢无比； 有员工沉迷在QQ或MSN上聊天，或者玩传奇、魔兽等网络游戏，或者看在线视频，不专心工作，无法有效控制； 电脑被人破坏，公司机密资料被人放在网上，原来都是间谍软件搞的鬼； 防火墙的局限 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 两个安全域之间通信流的唯一通道 安全域1 Host A Host B 安全域2 Host C Host D UDP Block Host C Host B TCP Pass Host C Host A Destination Protocol Permit Source 根据访问控制规则决定进出网络的行为 IDS IDS IDS在网络骨干上形成接收网络镜像传输数据并进行分析 IPS IPS IPS IPS部署在流量流经关卡，对流量进行检测，如果发现数据风险，当即将风险化解 IPS与相关产品的区别 IPS与IDS IDS侧重网络监控，注重安全审计 IPS侧重访问控制，注重主动防御 配合使用，优势互补 NIPS防火墙模块是原有防火墙的一个补充 两级过滤，防火墙负责静态规则，NIPS负责动态规则，相互配合，灵活方便 不能完全替代单独的防火墙产品 传统防火墙功能更为强大，访问控制力度细，NAT，IPSec，认证… NIPS与防火墙 IPS与IDS 绿盟-冰之眼产品架构 网络引擎 控制台 升级站点 三大组件 控制台 探测器 升级站点 网络引擎 IDS/IPS产品功能 攻击防护 防御黑客攻击 防御蠕虫、网络病毒 防御拒绝服务攻击 防御间谍软件 管理控制 控制IM即时通讯 控制P2P下载 控制网络在线游戏 控制在线视频 IPS 部署模式 DDOS 拒绝服务 攻击者以消耗WEB资源为主，以至于不能向合法的用户提供服务。攻击者也可以使用户帐号锁定，导致整个应用不能运行。 按照攻击方式可以分为：资源消耗、服务中止和物理破坏。 其中资源消耗是指攻击者试图消耗目标的合法资源，例如：网络带宽、CPU、内存使用率等等。 通常，网络层的拒绝服务攻击是利用网络协议的漏洞，或者抢占网络设备有限的处理能力，造成网络或者服务的瘫痪。 DDoS攻击变得越来越普遍 有意识的攻击 Yahoo、ebay 等网站被拒绝服务攻击，累计损失12亿美元 2001年 CERT 被拒绝服务攻击 2002年 Microsoft被DDoS攻击，造成约5000万美元损失 2002年 CNNIC 被拒绝服务攻击 2003年 全球13台根 DNS 中有8台被大规模拒绝服务 有组织、有预谋的涉及金钱利益的拒绝攻击出现 溯本归原 PK 攻击分析图 Reflector Ddos Attack amplification network Reflectors Ri Attacker Victim V Agents Ai From: V (spoofed) To: Reflector Ri … attack trigger packet From: Xi (spoofed) To: Agent Ai … control packet From: Xi (spoofed) To: Master Mi … control packet From: Ri To: Victim V … attack packet Masters Mi Note: Reflectors are NOT compromised. They simply answer requests. 欺骗 绿盟黑洞产品-串联部署 Server Group 设计目标 部署要点 采用Collap