IPS解决方案建议

1、采用入侵防御系统网络安全解决方案1. 需求分析1.1 权威研究报告指出系统入侵/渗透是目前最大的安全威胁VanDyke Software 组织的一次广泛而具有影响力的调查显示，66% 的公司认为系统渗透是政府、组织和企业所面临的最大威胁。 该项调查还显示，被调查企业所经历的最为严重的八种威胁分别是：病毒（占 78%）、系统渗透（占 50%）、DoS (占 40%)、内部人员错误操作（占 29%）、电子欺诈（占 28%）、数据或网络故障（占 20%）以及内部人员的非法访问（占 16%）。 图 1 权威调查揭示2/3的受访者认为系统渗透/入侵是面临的最大安全威胁1.2 现有的安全架构无法应对系统入

2、侵的新威胁虽然在被调查的企业中，有 86% 已经部署了防火墙（老实说，相对于时代的发展和今天的大环境，这个数字低得让人无法接受），但很明显，防火墙面对很多入侵行为仍然无计可施。普通的防火墙设计旨在拒绝那些明显可疑的网络流量（例如，企业的安全策略完全禁止 Telnet 访问，但仍有某些用户试图通过 Telnet 访问某个设备），但仍允许某些流量通过（例如，发送到内部 Web 服务器的 Web 流量）。 图 2 现有的FW无法识别拦截应用层面攻击问题在于，很多攻击都会尝试利用那些外围防火墙允许通过的协议的漏洞，而且，一旦 Web 服务器遭到攻击，攻击者会以此为跳板继续对其它内部服务器发起攻击。一旦

3、服务器上被安装了“rootkit”或“后门”，那么黑客们就能够在未来的任何时间里“大摇大摆”地访问这台机器。 一般来说，我们仅将防火墙部署在网络外围。但很多攻击，无论是全球性攻击还是其它类型的攻击，往往都是从组织内部发起的。虚拟专用网、便携式计算机以及无线网络都能够接入到内部网络，而且经常会越过防火墙。入侵检测系统在检测可疑活动时可能很有效，但却不能提供对攻击的防护。臭名昭著的蠕虫（例如 Slammer 和 Blaster）都具有惊人的传播速度，当系统发出警报时，蠕虫实际上已经导致了损失，而且正在飞速地向外扩散。图 3 攻击历史回顾提醒我们蠕虫的快速传播曾造成巨大损失1.3 安全缺口在扩大随之

4、网络和应用的不断发展，安全的需求也在不断增长，而我们现有的安全能力却没有提高，造成安全缺口不断在扩大，如下图所示：图 4 安全缺口在不断扩大1.4 系统和网络安全面临的实际问题依靠现有的FW、IDS等安全设备，我们已经不能及时掌握网络和系统的安全状况，也无法及时拦截攻击和进行补救。下面是一些亟待解决的问题：1. FW、IDS已经不能保护应用安全，攻击能够穿透防火墙，比如SQL注入攻击，而我们不可能将SQL使用的TCP端口在防火墙上关闭，因为这样会将正常的SQL操作也阻断。这说明FW不能对数据流作深度分析，不能检测到应用层面的攻击，仅起到访问控制的作用，而IDS虽然能够监测到攻击，但是却不能够及

5、时自动的拦截攻击，需要大量的人工干预，效率较低。2. 网络中的设备和系统越来越多，同时，这些设备和系统使用的操作系统和应用软件存在的漏洞也不断被发现，应用层面的攻击正是利用了这些漏洞，比如，微软已经公布了很多Web 服务器软件 IIS和数据库软件 MS-SQL的系统漏洞，而这些系统被广泛采用，如何为这些设备和系统及时打补丁(修补漏洞)成为一件必须解决的问题。3. 来自于外部的攻击越来越多，而且发展成为零日攻击（Zero-day Attacks），加之黑客工具泛滥，如果存在漏洞的系统没有及时打补丁，则潜在被攻击的可能性极大。4. P2P、IM、Game、流媒体等次要应用占用大量网络带宽而影响关键

6、应用。5. 不清楚谁或者哪些设备在对我们的网站进行攻击。6. 针对上述威胁缺乏有效的、自动化的、高性能的解决方案，IT人员工作压力巨大。2. 问题解决之道 采用IPS增强网络安全FW不能检测应用层面的攻击，而IDS（入侵检测系统）虽能检测却不能及时、有效拦截攻击，所以我们需要一种既能够检测攻击，又能够拦截攻击的方案 入侵防御系统，部署在网络的关键位置。入侵防护系统完全是前瞻性的防御机制，它们的设计旨在对常规网络流量中的恶意数据包进行检测（这是目前的防火墙产品无法做到的）、阻止入侵活动、预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是在传送恶意流量的同时或之后，简单地发出警报。图 5

7、IPS提供主动和自动化的安全防护网络使用者和管理员不再被下面这些麻烦所困扰：网络屡遭攻击后需要进行大量的清理工作但无法彻底清理干净而复发；需要在短时间内紧急为大量的服务器打补丁以避免危害面积扩大；泛滥的P2P、IM等“流氓”流量大量侵占了宝贵的带宽使得关键业务中断；DoS/DDoS攻击致使Internet通路堵塞并且导致关键服务器宕机。3. IPS部署方案设计3.1 设计原则设计遵循高安全性、高性能、高可靠性和易于管理兼顾的原则。在部署IPS时，需要考虑以下几点：1. 误报率和漏报率：这两个指标应该趋近于零，因为误报较高必然影响正常业务，造成人为阻断，而漏报较高就会大大降低安全效能。一方面，根

8、据目前系统的情况，作一些有针对性地模拟攻击测试来考察误报率和漏报率，另一方面，可以参考一些权威机构的评测报告，如NSS、ICSA。2. 攻击防护的广度：低误报率和漏报率保证了IPS的精度、但还必须能够防护可能多的攻击，根据CERT对今年的漏洞统计，一个好的IPS应该能够支持3000种上攻击，能够保护Windows、Unix/Linux等操作系统、Oracle、SQL等各种数据库、Web等应用软件漏洞。3. 性能考虑：由于IPS在线部署，我们还必须检验其吞吐能力和延时，而这里考察的条件是安全策略大部分都开启情况下的应用层面的吞吐能力，而不仅仅是像测试路由器和交换机性能那样检查三层转发性能。部署在

9、千兆链路上的IPS其7层处理能力不应该小于800Mbps（真实网络流量下），而处理延迟应该和千兆交换机相当，即150 200微妙之间。具体评测方法可以借助专业测试仪器并参考权威机构的评测方法和报告。4. 可靠性：虽然各厂商都声称自己的产品具有4个9甚至5个9的高可靠性，但是假定设备在某种情况下过载（CPU利用率超过90%、吞吐能力下降、处理延迟达到毫秒级），则设备本身需要具备某种自我检测机制，及时发现过载，超过某个阈值后自动将安全处理器短路，或者称为内置旁路功能。5. 安全研究能力和服务：上述考量关注产品的本身，实际上还必须考察设备制造厂商的安全研究能力和服务水平，因为IPS最重要的是提供了一

10、个专家系统并不断对攻击特征库进行更新。具有较强安全研究能力的厂商都拥有业界知名的专门的安全研究专家，建立一套完整的安全漏洞跟踪研究、攻击过滤器研发体系。除本公司的安全研究团队外，业界领先的厂商还创建了广泛招揽人才的公开安全研究组织。对产品的服务考察上，需要关注攻击特征库更新是否及时，是否能够防御零日攻击。特征的包的更新应自动完成，最好是利用内容发布网络（CDN）进行分发,并发送提醒邮件给安全管理人员，而更新的频率一周应至少一次。6. 易于管理：提供即插即用的配置功能，提供安全策略设置的缺省建议，即对数千个安全防护规则按照安全风险级别给出设置建议。提供集中式网管，实现安全策略的集中定义和分发，支

11、持安全规则的自动下载，更新和分发。支持丰富的日志、统计和报告功能。3.2 IPS部署设计3.2.1 总体部署方案如下图所示图 6 IPS部署总体设计3.2.2 IPS的工作模式迪普科技 IPS的设计遵循了一个很重要的原则：无缝部署。基于这个原则，无论对已经建成的网络，还是正在建设中的网络，都可以很容易地将迪普科技 IPS嵌入进任何部分，并且不会对网络的拓扑、性能、运行带来任何改动。从逻辑上来看，迪普科技 IPS就好像一根智能的线，这根智能的线却从根本上解决了困扰网络的安全问题。图 7 灵活部署- 从核心到边界这样的无缝部署主要体现在以下方面：l 嵌入式部署（in-line）模型保证最简化的部署

12、步骤，而不需要进行交换机镜像等复杂的配置，更不需要更改网络拓扑。l 检测接口不需要IP地址，也不需要MAC地址，一旦接入网络，立刻开始保护网络；同时保证自身对攻击源是隐身的，增强整网的安全性。l 高性能、低时延使得迪普科技 IPS无论被部署在网络核心还是边缘，都可以提供线速的精确检测和实时阻断能力，对网络业务的效率没有任何的损伤。同时，流量限制能力保证关键应用的优先级。l 提供攻击过滤器的推荐配置，实现了即插即用，经过精心分析、调试、验证的数字疫苗可以在不经任何调整的情况下正常工作，无需任何调整即可抵御已知的网络威胁，堪称专家系统。3.2.3 安全防护设计随着网络的飞速发展，以蠕虫、病毒、木马

13、、间谍软件、DDoS攻击为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配，而大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。DPtech IPS2000系列入侵防御系统正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产品。DPtech IPS2000是目前全球性能最高的IPS产品，并在漏洞库的基础上，集成了专业病毒库和应用协议库，是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。DPtech IPS2000部署简单、即插即用，配合应用Bypa

14、ss等高可靠性设计，可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求，是应用层安全保障的最佳选择。 应用防护迪普科技 IPS的一大应用是部署在数据中心和DMZ前，一旦IPS在线工作，对关键业务和应用的安全防护将得到显著增强。图 9 IPS 部署 应用防护IPS最核心的功能就是保护各种应用系统，比如Web 服务、数据库、邮件系统、存储系统，以及Windows、Unix/Linux等各种操作系统。由于各种系统存在弱点和漏洞，而攻击正是针对这些漏洞的探测和利用行为，IPS必须能够保护这些弱点/漏洞。迪普科技的IPS提供虚拟软件补丁功能：IT部门承担着测试、部署补丁，

15、防御零日攻击的重任，也承担了极大压力。迪普科技的IPS虚拟软件补丁采用了漏洞防护过滤器技术，能够对数据流进行深度检测以发现攻击并具有极高的精准性，即使其保护的服务器没有打补丁也不会被攻击，同时保证调用存在漏洞进程的正常业务运行。能够保护Windows、Unix/Linux等操作系统、Oracle、SQL等各种数据库、Web等应用软件漏洞。针对局机关政务公开网站、网上业务系统、邮件等各种Web和应用服务器较多的特点，我们还提供增强的SQL 注入攻击、PHP Include攻击和XSS跨站脚本攻击防御服务，防止主页被篡改，数据库数据被破坏。 SQL 注入 跨站脚本 PHP 文件包含.SQL 注入攻

16、击防御：SQL注入是利用web站点的弱点来攻击后端数据库的攻击，所以我们会在安全策略执行点对HTTP请求中有关SQL语句的语法和参数进行检查，及时发现恶意的SQL请求，并在策略策略执行点立即将其拦截。目前可以提供100多种SQL注入拦截手段。PHP include 攻击防御：现在很多论坛和网站都使用PHP程序开发的，而由于PHP漏洞的问题，面临PHP include各种攻击的威胁。如果漏洞被利用，攻击者能够讲恶意的PHP 。代码强行插入到被攻击的PHP应用里。我们能够提供防护各种针对php软件（如，phpBB、PHPNuke，MyPHP、Claroline、Cacti PHP）的PHP inc

17、lude 攻击。跨站脚本攻击防御：Web服务安全另一大威胁是跨站脚本攻击 XSS/CSS (Cross Site Script) attack。它利用网页及cookies漏洞，攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。比如通过跨站构造一个表单，表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。开放Web软件安全计划(Open Web Application Security Project,OWASP)甚至将其列为2007年Web安全威胁之首。XSS攻击的一个典型案例是PDF阅读器Adob

18、e Acrobat Reader上的跨站脚本攻击。我们目前提供防御30多种XSS攻击的服务。3.2.4 网络架构防护一方面，构成网络基础的路由器、交换机、防火墙等设备本身的操作系统也被发现存在弱点/漏洞，所以IPS必须能够识别和拦截这些针对网络设备本身漏洞的攻击。另一方面，DDoS攻击会产生大量和正常应用一样的攻击流量，这可能导致路由器、交换机、防火墙因过载而瘫痪，进而造成网络阻断，网上应用也随即中断，所以IPS应该具有一定的DDoS防护功能。图 11 IPS部署 网络架构防护当需要对网络架构进行防护时，IPS可以部署在网络边界、核心、主要网段，以及远程分支/办公室的关键网络上，如上图所示。3

19、.2.4.1 性能防护网络上有各种应用，这其中也包括是用次要的，或者业务管理策略不允许的应用，如点对点文档共享 (P2P)应用或即使消息软件 (IM)。IPS的性能保护功能就是保护网络带宽及主机性能，阻断或者限制应用程序占用网络或者系统资源，防止网络链路拥塞导致关键应用程序数据将无法在网络上传输。P2P就是允许大量用户之间直接互连进行信息共享，而不是像过去那样都必须连接到服务器去进行信息交换和共享，所以P2P重要特点是改变互联网现在的以大网站为中心的状态、采用分布式的架构进行信息发布、共享和存储。P2P应用给网络带来的问题主要有两个，第一，P2P应用实现大量用户的文件共享，用户越多建立的连接就

20、越多，而且每个人既是客户端又是服务器，即同时进行下载和上传，所以对网络带宽占用很大，必然影响到邮件、在线交易，网络视频等关键应用；第二，P2P采用UDP端点交换信息、传送数据，而且采用了NAT穿透技术，所以用FW很难控制P2P应用，而这可能成为机密信息泄漏的便捷通道。图 12 IPS部署- 性能防护作性能防护时，IPS一般部署在网络边界、主要网段和远程办公室的关键路径上。l 系统软件故障保护图 19 内置系统故障旁路内置的监测模块持续地监测IPS的安全和管理引擎，一旦探测到系统故障，IPS能自动地，或者由管理员干预，回退成一个简单的二层交换设备，网络流量将在两个接口之间直接被转发。回退能够按I

21、PS的物理网段设定，即出现问题的网段回退，其他网段继续工作。l 状态同步的网络冗余图 20 双机冗余设计迪普科技 IPS设备支持冗余部署。互为备份的一对IPS即可以工作在主备（Active/Passive）模式，也可以工作在负载分单（Active/Active）模式。由于迪普科技 IPS相当于网络中一条透明的安全连接，其没有IP地址，也不参与任何路由协议，所以不影响冗余协议如VRRP、OSPF、HSRP等，也不需要改变现有的网络冗余设计。冗余部署的IPS之间采用专用的加密协议同步攻击拦截数据，当网络切换时仍然能够维持攻击防御。3.2.5 产品特点 业界最高应用层防护性能DPtech IPS2000基于迪普科技独有的APP-X硬件平台，可提供全球性能最高的应用层防护性能。设备性能不受特征库大小、策略数条目的影响，全部安全策略可以一次匹