IPS与IDS部署场景 | 您所在的位置:网站首页 › 为什么google用不了 › IPS与IDS部署场景 |
IPS原理可参考:入侵防御IPS技术 NIP介绍 NIP简介:NIP是华为的IPS设备。 NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离。您可以将每对接口对视作一台虚拟IPS设备或IDS设备,基于不同的接口对配置不同的应用安全策略,满足不同的安全防护需求。 NIP的业务接口都工作在二层,能够不改变客户现有的网络拓扑结构,直接透明接入客户网络,且配置了缺省的威胁防护策略,接入网络后即可启动防护。 NIP产品默认开启阻截的签名的比率非常高,在不影响用户正常业务的情况下,可以最大程度地化解威胁。管理员就无需对照冗长的日志来查看是否有误报,是否需要关闭一些签名等。 IPS部署模式 概述:IPS(入侵防御系统)部署模式:直路部署,单臂部署,旁路部署。 IDS(入侵检测系统)部署模式:旁路部署。 IPS直路部署场景(三种情况):当NIP作为IPS设备直路部署时,用户只需要将接口对串行接入到需要保护的网络链路上,即完成 了部署。直路部署的IPS设备,能有效防御攻击。 情况一: 部署互联网入口的应用场景,主要用来保护企业内网客户端的安全 情况二: 部署服务器前端保护企业内部信息系统(数据库、DNS服务器、Web服务器、eMail服务器等)的安全。同时,利用NIP的报表功能,管理员可以直观地了解网络的健康状况。 企业各部门网络前面部署NIP,在企业总部和分支机构之间部署NIP,保护各网络内部应用的安全,同时防止安全风险向其他网络蔓延。 即使企业的总部和分支之间是通过VPN连接的,NIP也无需做VPN解密。原因是NIP部署的位置在边界路由器或者防火墙的后面,NIP收到的报文都已解密。 IPS直路部署可以零配置上线,上行口插a01,下行口插b01,初始情况,在接口对下调用了默认策略 部署优缺点: 优点:能对流量进行控制、零配置上线。缺点:单点故障,加大网络延时。 IPS单臂部署:通过VLAN引流,单臂部署的方式的优势在于:不需要改变网络拓扑结构,节省NIP物理接口。 当NIP作为IPS设备单臂部署或作为IDS设备时,用户只需要使用接口对中的一个接口旁挂在网络中。 NIP在单臂部署方式下支持的功能不如直路部署方式时全面,不支持流量Bypass A场景: NIP只与交换机边一根线,交换机的G0/2口配置trunk。允许Vlan100和Vlan101,NIP上起子接口,配置Vlan100,Vlan101(配置VLAN tag,在NIP上勾选同口进出模式) 场景B: NIP出厂的时候会生成如a01-b01这种接口对,从a01-流进来的会从b01流出去(反之亦然)。并且可以解vlan tag和打vlan tag。因此给a01配成vlan100,b01配成vlan200当流量从a0/2口流入到a01,然后NIP再从b01接口处到vlan200,因此流量经过NIP时,NIP发现攻击便可给予做阻断动作 部署优缺点: 优点:可以对流量做阻断。缺点:流量都要经过NIP,NIP是入侵防御系统,NIP会对数据包做重组,会对数据的传输层,网络层,应用层中各字段做分析并与签名库存做比对,如果没有问题,才转发出去。这样会加大网络的延时。同时,这里NIP会是一个单点故障,为解决这问题一般会做双机。 IPS旁路部署:通过交换机镜像引流。 NIP提供的固定接口对缺省工作在直路IPS模式,旁路部署时需要将接口对切换到IDS模式,使用接口对中的IDS接口进行旁路部署。 旁路部署主要用来记录各类攻击事件和网络应用流量情况,进而进行网络安全事件审计和用户行为分析。在这种部署方式下一般不进行防御响应,如果有特殊需要也可以配置进行响应。旁路部署方式NIP不参与流量转发,配置的安全策略用来指定对哪些威胁进行检测并记录。 NIP旁路部署的情况下,也具备一定的响应能力,也就是在发现威胁后,能够通过发送RST报文来 终止某个TCP流,减缓攻击的危害。
直连支持双机热备,主备模式和负载分担。 旁路部署只支持主备模式。 IDS部署模式 IDS部署场景:IDS产品采用的是旁路部署方式,一般直接通过交换机的监听口进行网络报文采样,或者在需要监听的网络线路上放置侦听设备(如分光器)。每台交换机上只能监听到和该交换机直连的主机间的流量和通过该交换机发往其他交换机的流量,部署在其他交换机下的主机间的流量无法被监听。由于企业内网可能层次化部署交换机,这种情况下,需要将所有需要监听的网段的交换机上的流量都通过监听端口连接到IDS设备上,然后对流量进行检测分析 IPS设备和IDS设备的主要差异在于部署位置和作用不同。IPS设备的主要部署方式是直路接入原 有网络,阻断包含攻击的连接;而IDS设备的部署方式是旁路监听,主要用于分析流量、记录各类攻击事件作为后续评估网络状况和审计的依据。IPS设备也提供了与IDS设备一样的旁路部署方式,并且支持直路/旁路混合部署,使得一 台IPS设备可以同时提供IPS和IDS的能力。 IPS工作原理: NIP工作原理:入侵防御签名用来描述网络中攻击行为的特征,NIP通过将数据流和入侵防御签名进行比较来检测和防范攻击。 预定义签名是入侵防御特征库中包含的签名。 预定义签名包含的内容:名称、方向、协议、严重性、描述、可信度、状态、类别、对策、参考信息、被攻击厂商列表 每个预定义签名都有缺省的动作:放行 告警 阻断 自定义签名是指管理员通过自定义规则创建的签名。 自定义签名包含的内容:ID、方向、协议、严重性、描述、名称、源目地址、源目端口,源目掩码、搜索长度、搜索偏移、关键字 每个预定义签名都有缺省的动作:阻断和告警 放行 签名集是满足指定过滤条件的预定义签名的集合(NTP 2000 5000) 签名集 内容包括:名称、方向、严重性、可信度、协议、类别、状态、动作。
签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括:签名的类别、对象、协议、严重性、操作系统等。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器的动作不采用签名缺省动作时,以签名过滤器设置的动作为准。 各签名过滤器之间存在优先关系(按照配置顺序,先配置的优先)。如果一个安全配置文件中的两个签名过滤器包含同一个签名,当报文命中此签名后,设备将根据优先级高的签名过滤器的动作对报文进行处理。 例外签名:根据签名ID,例外签名的动作分为阻断、告警、放行和添加黑名单 例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。 注意:IPS部署方式,如果管理员允许病毒通过,采用例外签名! 签名、签名过滤器、例外签名优先级:例外签名>签名过滤器>签名缺省 IDS是如何被动防御攻击的?通过与防火墙联动来进行防御,最大支持3台。 NIP会以旁路的方式接入到网络上,经过防火墙的流量同时会镜像到NIP的业务口,由NIP检测和分析应用层的攻击、漏洞、病毒、异常流量等。然后NIP把需要被阻断的报文IP地址、阻断时间信息从管理接口发送给防火墙,由防火墙实施阻断操作。 IDS主动防御:NIP旁路部署的情况下,也具备一定的响应能力,也就是在发现威胁后,能够通过发送RST报文来 终止某个TCP流,减缓攻击的危害 如果出现IPS误报,最快的解决方案?A. 做例外签名 ------- FW设备 B. 会话中取消UTM ---------FW设备 防火墙如何匹配签名?NGFW将解析后的报文特征与签名进行匹配,如果命中了签名,则进行响应处理。 IPS与AV特性对比: 相同点: 两者都是基于特征检测方式,检测效果依赖于特征库的更新。不同点 IPS特性关注所有协议,侧重于报文内容级别的检测;反病毒特性针对特定协议(FTP/HTTP/SMTP/POP3/IMAP/NFS/SMB),侧重文件级别的检测。单就病毒检测这一块来说,两者功能有重叠,IPS特性中也包括病毒检测,但是检测力度和支持情况不如反病毒特性。IPS特性和反病毒特征是相互补充的关系,不存在取代关系 FW和NIP都支持反病毒,设备区别?FW是基于策略调用的,NIP是全局调用的。 防火墙AV支持的协议类型更多,IPS(NIP 2000设备):FTP/HTTP/SMTP/POP3,而且IPS旁路部署不支持AV 防火墙AV支持和 IPS(NIP 6000设备):IMAP的动作不一样,而且IPS旁路部署不支持AV 防火墙的反病毒对IMAP支持上传和下载放行,动作为告警。 NIP排队IMAP支持上传和下载,动作为:告警、宣告、删除附件。默认告警。 Anti-DDoS和IPS的引流对比:Anti-ddos 引流方式: 策略路由引流 BGP引流 Anti-ddos 回注方式: 二层回注、UNR路由回注、策略路由回注、GRE回注 MPLS VPN回注 MPLS LSP回注 IPS设备引流方式: VLAN TAG 镜像 FW IPS使用限制和注意事项: 入侵防御特征库的升级需要License支持。License过期后,用户只能使用设备已有的入侵防御功能,不能获取最新的入侵防御特征库。IPS特征库升级之后,如果之前配置的签名在特征库中已经不存在,则这条签名就会失效,该签名对应的所有配置信息也会随之失效。License加载完成后,还需要手动加载IPS特征库,这样才能正常使用入侵防御功能。在报文来回路径不一致的组网环境中,可能无法有效检测到网络入侵。在双机热备组网环境中,推荐在主备备份方式下开启入侵防御功能。在逐流负载分担组网环境下,支持入侵防御功能,但检测率会有所下降。 NIP的可靠性: Bypass双机热备 NIP的部署处理过程时相比防火墙有什么特点? NIP是纯二层设备正常从a01进从b01(一对对应接口对关系)出IPS部署方式,如果管理员允许病毒通过,该采取什么样的措施? 写一条例外签名 签名中去往服务器端和去往客户端有什么区别 关注的方向不同 |
CopyRight 2018-2019 实验室设备网 版权所有 |