IPS总结.docVIP

网络安全的基本知识 1.1安全的概念： 没有绝对安全的概念，安全是一个无限循环的过程，就是发现漏洞，检测，打上补丁，再发现漏洞，再打补丁的一个循环的过程。 1.2安全策略的的实施过程： 了解现在网络存在的安全问题。 了解网络的结构，操作系统，应用程序的使用与分布，以便根据不同的安全需求展开不同的安全策略。 了解安全访问策略，例如vlan间访问策略。 需要的设备，攻击和实施的过程。 和领导谈话，定义普通用户和管理员的责任：例如：活动目录策略，桌面安全，文件访问与使用策略。 要定义发生紧急事件的处理过程。 哪一位领导倡导与参与了这个安全策略。 网络和文件访问策略。 认证的策略（如：AAA）需要的设备和技术。 时间策略：上班可以访问些什么。 1.3脆弱点与命中： 脆弱点：网络和操作系统的漏洞。 黑客实施攻击的范围不是把所有的漏洞都覆盖，比如，针对的是windows系统漏洞展开的攻击，对与使用Linux系统的用户来说，是效果不大的。 命中：就是黑客攻击的范围和脆弱点的范围的重合部位。 1.4攻击的种类： 1.4.1按照攻击的起源分类： 外部攻击；穿过防火墙实施攻击，概率最小。 拨入攻击；VPN，IPsec VPN，概率居中 内部攻击；75%(成功命中） 1.4.2按照攻击的方式分类： 扫描攻击：扫描端口，服务 访问攻击；密码破解，权限扩展 拒绝服务式攻击；不能使对方正常使用资源。 病毒，木马攻击； 1.5扫描种类： 数据包扫描：packet sniffers Port scans ：一般借助于协议。 Ping sweeps ：ping 扫描。通过在接口配置关掉icmp3号类型的回包，也可以使用ACL来控制出方向的ICMP消息。 Internet information queries ：Internet信息查询。 1.6关于网络中出现扫描行为中的抓包问题的缓解措施： 做认证：如802.1x认证。Eap包。 交换机；采取端口安全。 加密。如采取IPsec VPN。 反抓包工具。 1.7访问攻击的方式： 密码攻击。暴力破解，木马等方式。 信任的拓展：可以理解为外网不受信任的网段，通过一定的手段，使用内网受信任的网段来实施攻击，达到了信任的拓展。 端口的跳转：就是通过别的设备的来实现不同端口的转换，如在firewall上通过80端口进来，又通过firewall发起端口号23号的链接。解决措施，禁止如firewall主动发起链接， 中间人攻击。解决方式：IPsec加密。 IP spoofing ：IP 地址欺骗 在出方向、和入方向都做 no ip spoofing 外部接口的出方向和入方向 1.8 DoS和DDoS攻击： 拒绝服务式攻击和分布式拒绝服务式攻击。 DoS：最典型的是tcp syn方式攻击而且往往伴随着ip spoofing，就是攻击者模拟一个虚有的IP发起TCP连接，正常的TCP连接是一个三次握手的行为，但是，当client端发起了SYN后，server端发回SYN ACK，但是虚有的主机不会再发ACK，所以，在server端一直保存着会话（session）就会占用资源，当保存的session数超过了机器的负荷后，server端就会瘫痪。 DDoS攻击：分布式攻击，一般的形式就是攻击者抓取大量的肉鸡，利用这些肉鸡，在规定的相同时间内同时向server端发起会话连接，由于这种瞬时的应用请求过大，导致server端瘫痪。 1.9病毒；蠕虫，木马攻击： 防治措施：关闭无用服务，端口，注意，杀毒软件 1.10应用层攻击： 各种在应用层跑的软件等， 缓存溢出攻击。 IPS与IDS 2.1入侵检测系统(IDS)　　IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 　　我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 　　与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源尽可能靠近受保护资源。 　　这些位置通常是： 服务器区域的交换机上; Internet接