H3CIPS技术白皮书.doc

H3C IPS技术白皮书 杭州华三通信技术有限公司 目录 1. 概述 4 1.1. 相关术语 4 1.1.1. 段(segment) 4 1.2. 网络安全现状 4 1.3. 基于网络的攻击与检测技术 6 2. 威胁的识别 6 2.1. 基于滥用误用的带宽管理技术 6 2.2. 在应用中识别入侵威胁 8 2.3. 协议异常检测 8 2.4. 拒绝服务检测技术 9 2.5. 基于流状态特征检测技术 11 3. 安全响应 11 3.1. 允许 11 3.2. 阻断 11 3.3. 通知 12 3.4. 流量控制 12 4. IPS 安全策略 12 5. 安全更新 13 6. 安全审计 13 6.1. 日志内容 13 6.1.1. 操作日志 13 6.1.2. 系统日志 14 6.1.3. 攻击日志 14 6.2. 日志的查询 14 6.3. 日志的输出 14 7. 典型组网案例 14 7.1. 企业出口部署 14 7.2. 保护IDC 15 7.3. 旁路模式部署 16 8. 总结和展望 16 概述相关术语 网络安全现状 融入全球化的Internet是企业网络发展的必然趋势，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入Internet，提供远程接入服务供业务伙伴和出差员工访问等，企业网络边界的淡化，使得企业所面临的威胁的增多了，只要一个访问入口防护不完整，则“黑客”将可以入侵企业，获取或者破坏数据。 随着全球化网络步伐的加快，威胁的涌现和传播速度也越来越快，如著名的SQL Slammer，在爆发时，每8.5秒感染范围就扩展一倍，在10分钟内感染了全球90％有漏洞的机器；威胁和应用也越来越息息相关，如下图体现了这个趋势： 图 11 威胁与应用息息相关 同时随着网络越来越普及，攻击工具也越来越成熟、自动化程度变高以及趋于平民化，使用者无需了解太多的知识就可以完成一次攻击，如下图显示了这个趋势： 图 12 攻击正变的越来越简单 目前Internet面临的安全威胁从方法上有如下几种： 漏洞利用，比如针对软件操作系统对内存操作的缺陷，采用缓冲区溢出方法，以获得高操作权限运行攻击代码；如著名的微软MS05-047 Windows UMPNPMGR wsprintfW 栈溢出漏洞（即Windows即插即用服务的缓存区存在的溢出漏洞）； 欺骗攻击，如IP地址欺骗等，其利用TCP/IP协议建立的未认证连接的缺陷进行源IP地址的伪造，从而达到访问关键信息的目的； 蠕虫/病毒，蠕虫/病毒是目前网络上最为常见的威胁，其具有传播快覆盖广的特点，如红色代码病毒(Code Red)，曾经在12小时之内，覆盖全部的Internet网络，给全球带来了极大的危害；通常蠕虫/病毒通过利用现有系统软件的一些漏洞，从而达到传播的目的； 木马，通常在系统中会秘密打开一个访问程序，以绕过系统的安全策略，从而达到获取信息的目的； 拒绝服务攻击，通常称之为DoS/DDoS，其通过单台或者多台设备作为攻击的发起者，对一个特定的目标进行DoS攻击，占用大量目标机的资源，让目标机无法为外界提供服务，从而达到破坏的目的。通常拒绝服务攻击会伴随着采用IP地址欺骗等方法以隐藏攻击者的目的； 带宽滥用，对于企业来说，非业务数据流(如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击 )消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪，如目前最流行的BT、eMule、eDonkey等协议。据统计，当前中国的P2P流量中BT占了60%，据此可见一斑； 基于网络的攻击与检测技术 IPS作为入侵防护设备，其基本的功能是识别尽可能多的攻击，同时又避免不必要的误报以及保证企业有限的带宽不被滥用。为了达到上述目标，单纯采用一种技术手段是无法做到的，H3C独创的UCIE(Universal Content Inspection Engine，统一内容检测引擎)创新性的融合了多种内容识别技术，保证了系统能够快速高效的发现异常流量并阻断，同时保证正常业务的开展。UCIE主要包括如下几项技术： 基于流的状态特征检测技术。基于攻击固定特征的检测是IDS/IPS最基本攻击检测技术，而基于流的状态特征检测技术与以往技术的不同点在于，可以是基于协议上下文的特征检测技术，这样可以很好的避免误报的发生。如某一个特征只在三次会话之后的client方向发生，则检测时只会针对这部分数据流进行检测，而不会引起误报； 协议异常检测技术。通常也叫协议分析，即对照RFC规范对通讯的协议进行检查，这对于检测基于RFC未规范一些未知攻击或新的攻击非常有效；同时对于基于固定特征的逃逸也具有先天的免疫； 智能的自适应多层次防护技术(Intelligent Adapt Multi-Le