H3CIPS技术白皮书讲解(1).docVIP

TOC \o 1-4 \h \z \u 1. 概述 4 1.1. 相关术语 4 1.1.1. 段(segment) 4 1.2. 网络平安现状 4 1.3. 基于网络的攻击与检测技术 6 2. 威胁的识别 6 2.1. 基于滥用误用的带宽管理技术 6 2.2. 在应用中识别入侵威胁 8 2.3. 协议异常检测 8 2.4. 拒绝效劳检测技术 9 2.5. 基于流状态特征检测技术 11 3. 平安响应 11 3.1. 允许 11 3.2. 阻断 11 3.3. 12 3.4. 流量控制 12 4. IPS 平安策略 12 5. 平安更新 13 6. 平安审计 13 6.1. 日志内容 13 6.1.1. 操作日志 13 6.1.2. 系统日志 14 6.1.3. 攻击日志 14 6.2. 日志的查询 14 6.3. 日志的输出 14 7. 典型组网案例 14 7.1. 企业出口部署 14 7.2. 保护IDC 15 7.3. 旁路模式部署 16 8. 总结和展望 16 概述 相关术语 段(segment) 段是一个物理组网下对经过IPS设备数据的一个逻辑划分，通常是一对或者多对接口，或者包含VLAN ID的接口数据流。IPS相关的业务都基于Segment进行配置。 网络平安现状 融入全球化的Internet是企业网络开展的必然趋势，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入Internet，提供远程接入效劳供业务伙伴和出差员工访问等，企业网络边界的淡化，使得企业所面临的威胁的增多了，只要一个访问入口防护不完整，那么“黑客〞将可以入侵企业，获取或者破坏数据。 随着全球化网络步伐的加快，威胁的涌现和传播速度也越来越快，如著名的SQL Slammer，在爆发时，每8.5秒感染范围就扩展一倍，在10分钟内感染了全球90％有漏洞的机器；威胁和应用也越来越息息相关，如下列图表达了这个趋势： 图 STYLEREF 1 \s 1 SEQ 图表 \* ARABIC \s 1 1 威胁与应用息息相关 同时随着网络越来越普及，攻击工具也越来越成熟、自动化程度变高以及趋于平民化，使用者无需了解太多的知识就可以完成一次攻击，如下列图显示了这个趋势： 图 STYLEREF 1 \s 1 SEQ 图表 \* ARABIC \s 1 2 攻击正变的越来越简单 MS05-047 Windows UMPNPMGR wsprintfW 栈溢出漏洞〔即Windows即插即用效劳的缓存区存在的溢出漏洞〕； 欺骗攻击，如IP地址欺骗等，其利用TCP/IP协议建立的未认证连接的缺陷进行源IP地址的伪造，从而到达访问关键信息的目的； 蠕虫/病毒，蠕虫/病毒是目前网络上最为常见的威胁，其具有传播快覆盖广的特点，如红色代码病毒(Code Red)，曾经在12小时之内，覆盖全部的Internet网络，给全球带来了极大的危害；通常蠕虫/病毒通过利用现有系统软件的一些漏洞，从而到达传播的目的； 带宽滥用，对于企业来说，非业务数据流(如P2P )消耗了大量带宽，轻那么影响企业业务无法正常运作，重那么致使企业IT 基于网络的攻击与检测技术 IPS作为入侵防护设备，其根本的功能是识别尽可能多的攻击，同时又防止不必要的误报以及保证企业有限的带宽不被滥用。为了到达上述目标，单纯采用一种技术手段是无法做到的，H3C独创的UCIE(Universal Content Inspection Engine，统一内容检测引擎)创新性的融合了多种内容识别技术，保证了系统能够快速高效的发现异常流量并阻断，同时保证正常业务的开展。UCIE主要包括如下几项技术： 基于流的状态特征检测技术。基于攻击固定特征的检测是IDS/IPS最根本攻击检测技术，而基于流的状态特征检测技术与以往技术的不同点在于，可以是基于协议上下文的特征检测技术，这样可以很好的防止误报的发生。如某一个特征只在三次会话之后的client方向发生，那么检测时只会针对这局部数据流进行检测，而不会引起误报； 协议异常检测技术。通常也叫协议分析，即对照RFC标准对通讯的协议进行检查，这对于检测基于RFC未标准一些未知攻击或新的攻击非常有效；同时对于基于固定特征的逃逸也具有先天的免疫； 智能的自适应多层次防护技术(Intelligent Adapt Multi-Level Protection Architecture)。该技术可以很好的解决DoS/DDoS攻击防护问题，通过对保护对象的流量进行流量学习和建模，针对不同的类型流量采用不同的动