IPS入侵防御系统介绍

1、IPS入侵防御系统介绍技术创新，变革未来IPS（Intrusion Prevention System ，入侵防御系统）作为网络安全防护的关键设备，在当今网络安全防范体系架构中占据着极其重要的位置。本课程系统地介绍了IPS技术的应用背景、发展历程、原理、主要功能以及工作模式等，同时还介绍了H3C IPS功能的配置管理方法。引入了解应用层安全威胁了解IPS的基本概念掌握IPS的工作模式和应用场景掌握IPS的主要功能和实现原理掌握H3C UTM产品IPS功能的基本配置课程目标学习完本课程，您应该能够：安全威胁发展趋势应用层安全威胁分析IPS的发展背景和技术演进IPS主要功能和防护原理IPS工作模式

2、和典型应用场景H3C UTM产品IPS功能配置和维护目录根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）报告，计算机犯罪近年来平均每年至少以50的惊人速度在递增！计算机犯罪行为愈演愈烈移动办公的普及无线网络的广泛应用90%以上的计算机会感染了间谍软件、广告软件、木马和病毒等恶意软件后果：重要数据丢失，机器被远程控制，病毒和蠕虫在内网恣意传播趋势一：网络边界的消失漏洞数 x 系统数 = 天文数字 趋势二：威胁和应用息息相关Zero Day Attack！趋势三：威胁涌现和传播速度越来越快 SQL Slammer案例每8.5 秒感染范围就扩展一倍在10分钟内感染了全球90有漏洞的机

3、器趋势三：威胁涌现和传播速度越来越快（续）趋势四：利益驱动导致威胁越来越多技术驱动MWisdomoney利益驱动销售漏洞、敲诈勒索利用黑客技术进行敲诈勒索互联网黑市交易（漏洞/SHELL）僵尸网络生财有道利用僵尸网络发动DoS攻击网络钓鱼日渐流行间谍/广告软件背后的利益空间趋势五：攻击变的越来越简单趋势六：攻击产业化漏洞研究者工具开发者恶意软件开发者病毒蠕虫间谍软件木马工具销售者直接攻击建立僵尸网络僵尸网络：租赁、贩卖、勒索间谍活动企业/政府欺诈销售点击率非法/恶意竞争偷窃勒索盈利商业销售金融欺诈攻击执行者DDoS垃圾邮件钓鱼敏感信息窃取IT资源消耗拒绝服务安全威胁发展趋势应用层安全威胁分析I

4、PS的发展背景和技术演进IPS主要功能和防护原理IPS工作模式和典型应用场景H3C UTM产品IPS功能配置和维护目录网络钓鱼蠕虫病毒拒绝服务带宽滥用垃圾邮件无所不在的网络安全威胁间谍软件应用层威胁简介安全漏洞：远程入侵的突破口系统安全漏洞软件安全漏洞缓冲区溢出漏洞攻击最常见的漏洞缓冲区溢出攻击向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，以达到攻击的目的。根本原因是缺少错误检测堆栈溢出攻击（stack smashing attack）函数指针溢出攻击（function pointer attack） Web应用攻击针对Web应用的攻击是近

5、几年最常发生的安全威胁攻击结果： 网页篡改 网页挂马 帐号失窃 傀儡机 钓鱼网站 拒绝服务最常用攻击方式： SQL注入攻击 基础软件漏洞利用 跨站脚本攻击 举个例子说明原理：在网站管理登录页面要求帐号密码认证时，如果攻击者在“UserID”输入框内输入“Everybody”，在密码框里输入“anything or 1=1”，提交页面后，查询的SQL语句就变成了：Select from user where username=everyboby and password=anything or 1=1。不难看出，由于“1=1”是一个始终成立的条件，判断返回为“真”，密码的限制形同虚设，不管用户的

6、密码是不是Anything，他都可以以Everybody的身份远程登录，获得后台管理权，在网站上发布任何信息。 SQL注入攻击攻击原理：利用Web应用程序（网页程序）对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞，攻击者将恶意的SQL命令注入到后台数据库，达到攻击目的。 攻击后果：非法获得网站权限、网页篡改、网页挂马、窃取网站数据等。举个例子说明原理：如攻击者可在URL中加入“function()”，则存在跨站脚本漏洞的网站就会执行攻击者的function()。攻击者在网页上输入精心构造的HTML或JavaScript代码网站数据库网站Web程序网站Web程序其他受害客户跨站脚本漏洞攻

7、击攻击原理：攻击者利用网站程序对用户的输入没有进行充分的有效性检验和敏感词过滤的漏洞，输入精心构造的HTML或Java script脚本，当其他合法的用户浏览到该页面时，将执行恶意攻击者留下的代码，遭受攻击者的进一步攻击。攻击后果：网页挂马、拒绝服务正常网站攻击者获得网站权限，或者在网站上注入恶意代码攻击者利用网站的漏洞网站漏洞基础软件漏洞应用系统漏洞操作系统漏洞Web服务器漏洞ASP/PHP/CGI漏洞数据库漏洞SQL输入检查漏洞 - SQL注入攻击HTML输入检查漏洞 - 跨站脚本攻击网站被控制网页被篡改网页被挂马帐号失窃成为傀儡机拒绝服务Web应用攻击总结什么是网络蠕虫网络蠕虫：一种通过

8、网络传播的恶性病毒，它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等；同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等。两种主要传播方式： 1、利用远程系统漏洞进行网络传播，如阻击波、震荡波、SQL蠕虫王； 2、利用电子邮件、IM、局域网共享等进行网络传播，如爱虫、求职信蠕虫； 有的蠕虫会综合以上两种方式进行网络传播，如Nimda、熊猫烧香等。蠕虫造成的危害： 1、消耗主机资源，甚至破 坏主机系统，造成主机拒绝服务； 2、蠕虫传播造成的流量导致网络拥塞， 甚至导致整个互联网瘫痪、失控； 3、蠕虫与黑客技术等相结合，窃取受害 者的敏感信

9、息或者控制受害者主机。蠕虫类型和传播速度系统漏洞型群发邮件型共享型寄生型混合型蠕虫类型利用漏洞的攻击过程扫描ABC开启了445端口 网络蠕虫发送针对多个目标IP的445端口的SYN请求报文，以判断目标机是否开启了445端口攻击机目标网络ABC开启了445端口，且存在漏洞 网络蠕虫向开启了445端口的目标机B发送溢出报文，如果B没打相关补丁，溢出成功，蠕虫获得B的系统权限攻击机目标机 利用漏洞的攻击过程溢出、获得权限ABC被蠕虫控制 网络蠕虫蠕虫控制目标机B：1、指使B通过FTP从攻击机上下载蠕虫程序；2、指使B运行下载的蠕虫程序。攻击机目标机利用漏洞的攻击过程蠕虫控制目标机ABC 蠕虫 网络蠕

10、虫攻击机成为攻击机利用漏洞的攻击过程目标机成为蠕虫蠕虫的传播和防御蠕虫的传播过程：探测渗透扎根传播破坏隔离限制免疫治疗防御蠕虫过程：为所有的系统及时打上漏洞补丁用IPS来检查蠕虫的活动用访问控制来限制蠕虫传播用PVLAN来保护关键服务器用网管工具来追踪被感染的主机通过CAR来限制蠕虫流量全网部署病毒扫描措施驻留在计算机的系统中，收集有关用户信息，并发送给软件的发布者在用户不知情的情况下进行 什么是间谍软件间谍软件分类与危害间谍软件的分类 浏览器劫持：例如，CoolWebSearchIE工具条和弹出窗口：例如，某些网络广告Winsock劫持中间人代理：MarketScore间谍软件的危害 耗费网

11、络带宽 占用大量硬盘和CPU资源 修改IE设置、安装后门、病毒泄漏个人信息什么是网络钓鱼典型的钓鱼过程钓鱼者Victim Web Server受害用户发送钓鱼邮件受害者点击钓鱼URL钓鱼网站被浏览受害者发送机密信息入侵主机，安装钓鱼网站和垃圾邮件箱Mail Drop Service信息被发送到另外一个邮箱钓鱼者索取信息木马木马程序通常包括客户端和服务器端。木马就是利用客户端对服务器端进行远程控制的程序。木马的传播方式：伪装工具程序，诱骗运行捆绑在知名工具程序中利用漏洞侵入后，安装木马下载器下载木马威胁日益严峻木马威胁增长快速商业化运作迹象明显2007年新增病毒分布68.7117.336.123

12、.514.33木马蠕虫脚本漏洞病毒恶意广告其他病毒P2P简介P2P：全称叫做“Peer-to-Peer”，即对等互联网络技术（点对点网络技术），它让用户可以直接连接到其它用户的计算机，进行文件共享与交换。P2P流量泛滥带来的安全问题： 占用大量企业网络带宽资源，企业关键业务受影响； 大量上传下载，容易造成病毒、木马等恶意代码的传播，严重威胁企业信息安全。DoS/DDoS攻击DoS(Denial of Service，拒绝服务)攻击造成服务器或网络设备拒绝提供正常服务的攻击行为被称为DoS攻击DDoS (Distributed Denial of Service，分布式拒绝服务)攻击指借助于客户

13、/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力DoS/DDoS的危害 服务器宕机，业务中断 大面积断网，网络瘫痪DoS 攻击是导致去年损失最为惨重的计算机犯罪事件，其带来的损失是其它各类攻击造成损失总和的两倍有余。” 2004 年CSI/FBI 计算机犯罪及安全调查。 网上黑客每周发起的DoS攻击超过了4000次DDoS攻击分类 资源占领型一对一进行攻击如：SYN Flood with IP Spoofing多对一进行攻击如：TFN 系统漏洞型网络层如： Ping of Death应用层如： Windows漏洞DDoS攻击模型

14、受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸军团应用层安全威胁占主流上述分析的安全威胁中除了网络层DDoS以外，其他安全威胁都是应用层的安全威胁应用层安全威胁成为互联网压倒性的威胁应用层安全威胁的防范成为网络安全的首要课题 存在的安全威胁 物理层安全威胁 IT系统网络层应用层网络层次安全威胁发展趋势应用层安全威胁分析IPS的发展背景和技术演进IPS主要功能和防护原理IPS工作模式和典型应用场景H3C UTM产品配置和维护目录 不同网络层次面临的安全威胁中间件数据库操作系统HTTPSMTPDNSSQLP2PTCPUDPIP ICMP路由协议以太网ARP/RARP 物理链

15、路IM应用程序应用层网络层链路层物理层层次主要安全威胁知名安全事故举例防护技术物理层设备或传输线路物理损坏07年初，多条国际海底通信光缆发生中断防盗、防震、防灾等链路层ARP欺骗、广播风暴07年，ARP病毒产生的ARP欺骗造成部分高校大面积断网MAC地址绑定、VLAN隔离、安全组网网络层访问控制问题、协议异常、网络层DDoS90年代末的Teardrop、Land攻击；00年2月，雅虎、亚马逊等被大流量攻瘫安全域技术、防火墙技术应用层漏洞利用、扫描探测、协议异常、蠕虫、病毒、木马、钓鱼、SQL注入、P2P、应用层DDoS 举不胜举入侵防御技术8/scripts/.%c0%af./winnt/sy

16、stem32/cmd.exe?/c+dir+c:Internet互联网用户FireWallPort 80Web servicesWeb enabled appsIM trafficRich mediaInternet access80 HTTP绝大部分攻击是通过应用层完成的，而不是网络层来完成的。防火墙无法解决应用层安全问题1987198819901995 Denning在博士论文中提出了一个抽象的入侵检测专家系统模型，第一次提出把入侵检测作为解决计算机系统安全问题的手段 Morris蠕虫事件使得Internet约5天无法正常使用，该事件导致了许多IDS系统的开发研制。 美国军方、美国国家计算

17、机安全中心均开发了主机型IDS。 1990年，Heberlein提出基于网络的IDS：NSM(网络安全监视)，用来检测所监视的广域网的网络流量中的可疑行为。 IDS从尝试性、研究性，开始走向市场化。200320001998 IPS在国外成为入侵防御产品的主流，美国军方等均使用IPS。 国际著名咨询机构Gartner副总裁Richard Stiennon发表：IDS is dead。 美国安全厂商提出IPS概念，并发布IPS产品。 随后，国外安全厂商纷纷推出IPS。 Martin Roesch 发布了开源IDS：Snort。2005 H3C推出了国内首款IPS产品，并逐渐在大量的应用中得到客户的

18、认可，解决了实际安全问题，培育了IPS市场。2008 IPS在国内取得了大量应用，用户群体包括银行数据中心、证券、运营商、电力等行业。IPS的技术演进安全威胁发展趋势应用层安全威胁分析IPS的发展背景和技术演进IPS主要功能和防护原理IPS工作模式和典型应用场景H3C UTM产品IPS功能配置和维护目录IPS定义包头内部网络 IPS防火墙协议数据内容InternetIPS（Intrusion Prevention System，入侵防御系统），是一种基于应用层、主动防御的产品，它以在线方式部署于网络关键路径上，通过对数据报文的深度检测，实时发现威胁并主动进行处理。目前已成为应用层安全防护的主流

19、设备。数据流重组协议识别分析并行处理支持近千种协议特征分析 并行处理包括攻击特征、病毒特征转发限流、整形阻断、重定向、隔离等IPS的基本原理 数据流重组：把数据流重组到连接会话中 协议识别分析：分析错误、识别流量、解析协议载荷 特征模式匹配：依靠已有数据库来进行攻击特征或模式的匹配 根据不同的预设条件对经过分析的数据执行不同策略定制策略H3C的SecPath T系列IPS产品ISP/大型数据中心大型企业总部大型分支/中型企业中型分支/小型企业SOHO/小型分支SecPath T1000-CSecPath T1000-ASecPath T1000-MSecPath T5000-A3ISP/大型数

20、据中心大型企业总部大型分支/中型企业中型分支/小型企业/SOHO无源连接设备PFCSecPath PFCSecBalde IPS超万兆IPS+SecPath T200-ASecPath T1000-SSecPath T200-MSecPath T200-SH3C的SecPath T系列IPS产品特点高精度高效率的检测引擎全面及时的攻击特征库多重高可靠性安全与网络深度融合集成强大的防病毒引擎强大灵活的管理功能H3C SecPath T 系列IPS基于时间特性的带宽管理和URL过滤 Anti-DDoS网络层次越高资产价值越大L5-L7: Application LayerL4: Transport

21、 LayerL3: Network LayerL2: Lnk LayerL1: Phy. Layer路由器传统防火墙TCP/IP StackNICOSesWeb ServersWeb ApplicationFrameworksApplications风险越高越迫切需要被保护Application DataSession IDHTTP Request/RespondTCP ConnectionIP PacketEthernet PacketBit on WireL4-7层业务感知 只有在线内对流量进行处理，才能真正阻挡出现在网络上出现的攻击服务器防火墙IDS报警 !发送TCPRST指令，终止TC

22、P连接重新配置防火墙，使其能阻挡来自攻击地址的流量防火墙与IDS联动无法实现整个操作要花100毫秒的时间 ，这对现代微秒级的网络来说是一个巨大的延时 事后防御，不能阻挡单包攻击 IPS能在一个攻击发生危害之前，对其实施阻挡根据每个数据包，作出允许还是拒绝的决定，不需要与防火墙联动线内操作方式 服务器防火墙IDS线内操作，并且以网速运行，只要检测到攻击，就进行阻挡高效高精度的检测引擎FIRST：Full Inspection with Rigorous State Test，基于精确状态的全面检测数据流状态跟踪分片重组流量分析流恢复丢弃报文报文正规化协议识别分析并行处理支持近千种协议特征分析 并

23、行处理包括攻击特征、病毒特征丢弃报文、隔离限流阻断、重定向、隔离等正常数据流黑白流匹配丢弃报文全面的特征库卡巴斯基专业防病毒特征库拥有10万种病毒特征漏洞库漏洞特征库数量3000+协议库可实时检测和识别800多种应用层协议漏洞库协议库病毒库综合防御H3C SecPath IPS业界唯一及时的特征库更新漏洞分析、攻击分析、协议分析漏洞特征库生成蜜罐系统跟踪操作系统、数据库、浏览器、服务器、中间件、网页软件、应用软件等系统的漏洞研究”Zero-Day“漏洞、ZDI组织与CVE、SANS、微软、Commtouch、卡巴斯基等合作 分析归纳出漏洞特征和攻击特征 分析归纳出应用协议的特征 生成特定格式的

24、特征规则库 对漏报、误报进行严格验证H3C攻防研究团队生成攻击特征库和协议库H3C攻防研究团队漏洞特征库生成严格的攻防验证H3C 鉴定测试中心漏洞特征库生成特征库上网发布H3C 用服部门 自动升级 手动升级及时更新的特征库配合强大的检测引擎，实现虚拟补丁卡巴斯基病毒库卡巴斯基P2P流量游戏流量视频流量业务流量全面的应用识别协议库P2P流量业务流量可基于应用、时间段、IP地址、IP地址组、Vlan等策略进行灵活控制强大的带宽管理能精确识别并限制P2P/IM、炒股软件、网络多媒体、网络游戏等应用，限流粒度可以精确到8Kbps视频流量游戏流量强大的DDoS防御流量异常检测流量模型学习和基线阈值设置连

25、接限制（Established Connection Flood）连接速率限制（Connection Per Second Flood）有效请求SecPath IPS允许有效请求通过服务器黑客代理傀儡机傀儡机代理代理代理代理代理热插拨，双电源支持 支持二层回退功能内置的高可用性（二层回退） 借助于掉电保护模块，可保证IPS掉电时，网络依然畅通。T1000系列内置掉电保护模块（内置优势：微秒级切换时间）掉电保护模块PFC（Power Free Connector)高可靠性检测引擎正常模式检测引擎二层交换模式PFC主机网络流量USB供电SecPath IPS交换机交换机丰富、灵活的全中文界面管理功

26、能设备管理：攻击事件报表：攻击事件分布：攻击事件查询：安全与网络的融合智能联动服务器区IPS防火墙2、IPS检测到安全异常, 上报SecCenter（syslog）3、Seccenter将syslog信息根据预定策略汇聚分析，将需要联动的告警上报给安全管理中心（TRAP）EAD4、安全管理中心收到告警后查找攻击源，通过EAD/UAM对攻击源下发联动策略汇聚交换机核心交换机SecCenterISCC1、经过EAD认证的用户进行扫描、蠕虫等攻击操作，造成安全威胁内网防护的策略：对非法攻击阻断并查找攻击源，彻底保障内网安全EAD用户EAD用户EAD用户5、EAD/UAM通过交换机对用户权限进行控制告

27、警安全管理中心网站被控制网页被篡改网页被挂马帐号失窃上传恶意代码成为恶意网站安全威胁防范网站侧检测点攻击者获得网站权限，或者在网站上注入恶意代码正常网站攻击者利用网站的漏洞网站漏洞基础软件漏洞应用系统漏洞操作系统漏洞Web服务器漏洞ASP/PHP/CGI漏洞数据库漏洞SQL输入检查漏洞 - SQL注入攻击HTML输入检查漏洞 - 跨站脚本攻击(1)(2)基础软件漏洞特征，检测并阻断应用系统漏洞的通用特征检测并阻断对典型恶意代码的样本进行提取,根据样本特征,阻断恶意代码上传安全威胁防范用户侧检测点正常用户恶意代码利用用户的系统漏洞用户系统漏洞操作系统漏洞应用程序漏洞Windows漏洞IE漏洞.R

28、ealPlay漏洞Flash Player漏洞播放器漏洞网游客户端漏洞被植入木马的傀儡机访问恶意网页(1)对用户侧软件漏洞进行分析，提取特征，检测并阻断利用软件漏洞的恶意代码报文防火墙交换机H3C IPSIDCIP重组TCP流恢复协议识别HTTP协议分析HTTP解码分析SQL注入原理，归纳出常见SQL注入的特征，如HTTP提交的SQL特殊字符和SQL语句关键词深入分析HTTP协议，确保SQL注入特征与HTTP协议结合起来特征库团队跟踪最新SQL注入技术，及时研究总结解决方法，并发布特征库H3C IPS设备提供策略定制，可根据客户网站的实际情况，定制检测策略SQL注入防范分析跨站脚本攻击行为，归

29、纳出常见跨站攻击的特征，如HTML、Javascript等特殊字符和关键字深入分析HTTP协议，确保跨站攻击特征与HTTP协议结合起来基于行为分析的攻击识别技术实现精确阻断，通过异常行为特征匹配准确识别攻击行为防范跨站脚本攻击H3C IPS防御系统漏洞主机操作系统漏洞，如Windows、Linux、Unix等应用程序漏洞，如IE、Adobe、Office等网络操作系统漏洞，如思科IOS等中间件漏洞，如WebShpere、WebLogic等数据库漏洞，如SQL Server、Oracle等本土软件漏洞，如联众游戏、暴风影音等H3C IPS防御木马、后门木马活动过程挂马种马木马活动木马传播方式利用

30、目标机系统漏洞传播诱使用户点击运行木马程序木马下载器更新木马变种移动介质H3C IPS防御网络钓鱼主要钓鱼网站相关的特征规则H3C IPS防御间谍软件、广告软件截止09年12月，间谍软件相关特征规则共450条H3C IPS防御DDoS攻击允许有效请求通过服务器攻击者代理主控端主控端代理代理代理代理代理H3C IPSH3C IPS通过Syn Cookie机制防范Syn Flood攻击。H3C IPS可通过限制单个源地址的每秒连接数来防范CPS Flood、Connection Flood攻击。H3C IPS可通过流量阈值模型、反向认证等方式来防范UDP Flood、ICMP Flood、HTTP

31、 Get Flood、DNS Flood等DDoS攻击。H3C IPS可内置的攻击特征规则可检测常见DDoS攻击工具TFN、TFN2k、 Stacheldraht 、Trinoo的控制报文，可切断DDoS攻击工具的控制通道。P2P协议识别特征码文件P2P协议分析应用带宽管理限制P2P流量BitTorrent比特精灵BitCometFlashBTMSNYahoo MessageeMuleeDonkeyP2P流量控制个人用户资源服务器特征匹配P2P流量限速后的P2P流量技术实现原理P2P流量的识别和控制、TCP三次握手、BT对等协议二次握手、握手成功，传输数据二次握手报文头H3C特征库团队分析常见

32、的P2P等网络滥用协议，形成协议特征库，定期更新，确保能检测并限制各种P2P等网络滥用流量。研发部企业策划部P2P流量监管典型应用1针对不同的部门实施不同的P2P流量控制策略。例如，可以给因正常业务需要访问P2P应用的部门相连的安全域或者接口分配2M P2P带宽，其他无需P2P应用的部门所连接的安全域或者接口不分配P2P应用流量带宽，真正做到有限带宽有效利用。InternetSecPath UTM为企业策划部分配2M的P2P带宽对研发部P2P流量进行封杀研发部企业策划部P2P流量监管典型应用2针对不同的时间段实施不同的P2P流量控制策略，可以在防火墙上配置基于时间段的P2P流量控制策略。例如，

33、上班时间限制P2P应用流量为2M，下班时间不对P2P应用流量进行限制。InternetSecPath UTM每周一到周五的8:3018:00之间，P2P最大带宽为2M其余时间不限制研发部企业策划部P2P流量监管典型应用3对于多网络接入的企业，如果想对不同出口的P2P流量采用不同的控制策略，可以在防火墙上基于出口进行P2P流量管理。例如，对于同时拥有Internet和教育网接入的企业，可对Internet出口P2P应用流量限制带宽为2M，对教育网出口P2P应用流量不限制带宽。InternetSecPath UTMInternet P2P最大带宽限制为2M教育网P2P带宽不限制教育网安全威胁发展趋

34、势应用层安全威胁分析IPS的发展背景和技术演进H3C IPS主要功能和防护原理IPS工作模式和主要应用场景H3C UTM产品IPS功能配置和维护目录路由器交换机SecPath IPS 在线部署模式内部网络路由器交换机SecPath IPS 旁路部署模式内部网络镜像IPS在线部署方式透明部署于网络的关键路径上，对流经的数据流进行2-7层深度分析，实时防御外部和内部攻击。是实际应用中IPS的主要部署方式。IDS旁路部署方式对网络流量进行监测与分析，记录攻击事件并告警。IPS工作模式IPS典型应用场景研发财经市场DMZ区SMTPPOP3WEBERPOACRM数据中心IPS旁路部署在DMZ区，交换机将

35、进出DMZ区的流量镜像到IPS，可以检测来自Internet的针对DMZ区服务器的应用层攻击检测来自Internet的DDoS攻击IPS部署在数据中心：抵御来自内网攻击，保护核心服务器和核心数据提供虚拟软件补丁服务，保证服务器最大正常运行时间基于服务的带宽管理IPS部署在内部局域网段之间，可以抑制内网恶意流量，如间谍软件、蠕虫病毒抵御内网攻击分支机构分支机构分支机构IPS部署在广域网边界：抵御来自分支机构攻击保护广域网线路带宽IPS部署在外网Internet边界，放在防火墙前面，可以保护防火墙等网络基础设施对Internet出口带宽进行精细控制，防止带宽滥用URL过滤，过滤敏感网页安全威胁发展

36、趋势应用层安全威胁分析IPS的发展背景和技术演进IPS主要功能和防护原理IPS工作模式和典型应用场景H3C UTM产品IPS功能配置和维护目录U200-S的三种管理方法U200-S产品简介U200-S的安全策略配置U200-S的常见故障诊断基于串口命令行管理方法基于HTTP/HTTPS的Web管理方法基于Telnet/SSH的命令行管理方法新建串口连接使用windows系统自带的“超级终端”工具注意选择的串口与配置电缆实际连接的串口一致设置串口终端的参数点击“还原为默认值”，设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，数据流控制为无串口管理界面基于串口命令行管理方法基于HTTP

37、/HTTPS的Web管理方法基于Telnet/SSH的命令行管理方法Web管理登录界面G0/0是默认的管理口，地址是：默认用户名/密码：admin/admin注：验证码不区分大小写基于串口命令行管理方法基于HTTP/HTTPS的Web管理方法基于Telnet/SSH的命令行管理方法在设备上开启Telnet Server功能在PC上使用Telnet客户端进行登录基于Telnet的命令行管理方式默认的用户名和密码为：adminH3Ctelnet server enable% Telnet server has been startedU200-S的三种管理方法U200-S产品简介U200-S的安全

38、策略配置U200-S的常见故障诊断U200-S产品简介【说明】：只有在CF卡存在的情况下，才能启动IPS功能业务口ConsoleCF卡插槽U200是H3C公司的UTM（Unified Threat Management，统一威胁管理）设备。定位于中小型企业用户。具有防火墙、入侵检测与防御、防病毒、P2P流量控制、URL过滤等功能。可构建多种形式VPN。U200-S的三种管理方法U200-S产品简介U200-S的安全策略配置U200-S的常见故障诊断攻击防护策略带宽管理策略URL过滤策略病毒防护策略 在实际应用时，IPS为必配项其他几项策略为可选项，请根据用户需求做适当配置WANDMZ - WW

39、WINTERNALSegmentZone APolicyPolicyPolicyPORTPORTZone B安全区域和段 PolicyRule1001Rule6004Rule1002SignatureblocknotifyENABLEProtocol: TCPStatus: EstablishPayload: 特征、规则和策略 基本配置安全区域配置段配置引流配置安全策略配置攻击防护策略配置带宽管理策略配置URL过滤策略配置病毒防护策略配置激活安全策略安全策略的配置步骤创建攻击防护策略配置攻击防护规则应用攻击防护策略到段上攻击防护安全策略的配置攻击防护策略日志的配置攻击防护日志两种类型，阻断和告

40、警（在数据库里为2张不同的表）可以使用过滤条件包括有攻击名称、攻击级别、动作类型等可以导出并进行分析带宽控制概念BWC 类型流量限制会话数限制时间表特性段带宽控制8Kbps 1000MbpsN/AN/A策略带宽控制8Kbps 1000MbpsN/AN/A应用带宽控制8Kbps 1000Mbps1 1000 连接/秒有8Kbps 10Mbps每会话1 65535 最大连接数Segment BWC200 MbpsPolicy BWC20 Mbps15 Mbps10 MbpsP2P: BlockFTP: 4Mbps200Kbps / SessionSMTP: 500KbpsVOIP: Permit带宽控制策略的配置步骤创建带宽控制策略配置带宽控制规则应用带宽控制策略到段上带宽控制配置示例1、在导航栏中选择“带宽管理 策略管理”；2、在“规则配置”中单击按钮；3、在“规则配置”中选择“文件服务器”服务对应的动作集为“Block”；4、在“规则配置”中选择“BitTorrent”服务对应的动作集为“Rate Limit”；5、在“策略应用范围”上添加到段0上。URL ：http:/porta