网络安全技术与实践第二篇边界安全2.pptxVIP

第二篇项目二 入侵防护系统 IPS 【项目背景】某企业的计算机网络最近频繁遭受到攻击，虽然已经安装了防火墙，但是效果依然不理想。邀请安全专家检测网络发现公司内部计算机网络存在大量的恶意代码、僵尸网络、病毒以及有针对性不良数据包的攻击，公司决定投资解决相关网络安全问题。【需求分析】传统的网络安全防范方法是对操作系统进行安全加固，通过各种各样的安全补丁提高操作系统本身的抗攻击性。安装防火墙的思路是在网络边界检查攻击包的并将其直接抛弃，使攻击包无法到达目标，从而从根本上避免黑客的攻击。但通常的防火墙却无法对付应用层的恶意代码，对于僵尸网络、病毒以及有针对性的不良数据包的攻击却都显得有些无能为力。入侵检测系统（IDS）可以检测网络攻击，但它的阻断攻击能力却非常有限，一般只能通过发送TCP reset包或联动防火墙来阻止攻击。本例中最好采用入侵防御系统（IPS），因为IPS是一种主动的、积极的入侵防范、阻止系统，它可部署在网络的边界上，当它检测到上述的攻击时，能够自动地将攻击包丢掉或采取措施将攻击源阻断。【预备知识】入侵防护系统 (IPS) 倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接部署在网络边界上连接内外网实现安全防护功能的，它可通过网络端口接收来自外部系统的流量，检查确认其中是否包含异常或可疑的活动内容，在数据传输过程中清除掉有问题的数据内容。入侵防护系统几个问题1.入侵防御系统（IPS）就是入侵检测系统（Intrusion Detection System，IDS）的升级产品，2.入侵防护系统能够取代入侵检测系统3. 入侵防护系统是入侵检测系统+防火墙4. 关于主动防护问题与防护体系的问题IPS的现状IPS提出了多年，一直认为IPS会取代IDS（入侵检测系统），但是很多年过去了，情况似乎并非如此。据调查，目前59%的用户部都署了IDS，27%的用户将IDS列入购买计划，62% 用户在关注 IPS，并且7%的用户有意向购买 IPS，这些数据表明，IDS和IPS 在国内都呈现出繁荣发展的前景?。IDS和IPS 将会有着不同的发展方向和职责定位。IDS 短期内不会消亡，IPS 也不会完全取代IDS的作用。虽然IPS 市场前景被绝大多数人看好，市场成熟指日可待，但要想靠蚕食IDS 市场来扩大市场份额，对于IPS 来说应该还是很难的。IPS的产品背景1.安全漏洞越来越多零日攻击2.DoS/DDoS仍是很大的威胁根据调查，每天平均侦测到6,110个事件Arbor的研究指出，DoS/DDoS占网络安全事件的65%，其中主要还是TCP SYN/UDP Flooding应用层CC攻击企业网络3.来自内部网络的威胁Instant Message在线聊天软件P2P共享软件虚拟隧道软件在线网络游戏IM：MSN、QQ、SkypeP2P：迅雷、BitTorrent虚拟隧道：VNN在线网游：联众、浩方网管员的梦想——“只允许聊天，禁止其它功能” “不同的对象使用不同管理方式”4.IM即时消息软件的威胁 降低工作效率文件传输，引发泄密风险散布恶意程序这些工具我们都在用，安全吗？5.P2P的威胁 P2P在耗尽带宽 消耗正常网络带宽 病毒散布温床 机密文件外泄 下载文档的著作权Thunder 迅雷、eMule 电驴、BT、FlashGet…PPLive、PPStream、QQLive…7.直接与外界计算机直接交换信息 6.穿透防火墙对外连机 通过防火墙开放的合法端口建立虚拟隧道数据加密，企业难以防范，机密信息泄露虚拟隧道软件：VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor IPS产品的客户价值IPS是什么？IDS是防火墙是IPS是Intrusion Prevention System 入侵防护系统简单的讲：IPS是在应用层上进行威胁检测和防御的“深度防火墙+上网行为管理”IPS的种类1. 基于主机的入侵防护(HIPS)HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品，它们在防范红色代码和Nimda的攻击中，能起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。 IPS的种类2. 基于网络的入侵防护