SecPath IPS入侵防御系统介绍

1、SecPath IPS入侵防御系统产品介绍引入为什么需要IPS？SecPath IPS有哪些产品和功能？i-Ware软件平台有什么特色？如何部署IPS？目录SecPath IPS产品介绍SecPath IPS主要特性SecPath IPS应用场景为什么需要IPS应用层的攻击可穿透防火墙，而目前90以上的攻击是基于应用层的攻击。4HTTPSMTPDNSSQLP2PTCPUDPIPICMP路由协议以太网ARP/RARP物理链路IM操作系统中间件数据库应用程序应用层网络层5链路层物理层层次主要安全威胁知名安全事故举例防护技术物理层设备或传输线路物理损坏07年初，多条国际海底通信光 缆发生中断防盗、防

2、震、防灾等链路层ARP欺骗、广播风暴07年，ARP病毒产生的ARP欺骗造成部分高校大面积断网MAC地址绑定、VLAN隔离、安全组网网络层访问控制问题、协议异常、网络层DDoS90年代末的Teardrop、Land 攻击；00年2月，雅虎、亚马 逊等被大流量攻瘫安全域技术、防火墙技 术应用层漏洞利用、扫描探测、协议异常、蠕 虫、病毒、木马、钓鱼、SQL注入、P2P、应用层DDoS 举不胜举入侵防御技术不同网络层次面临的安全威胁技术原因：系统漏洞系统漏洞不可避免：主机操作系统：Windows、Linux、Unix应用程序：IE、Adobe、Office网络操作系统：思科IOS网络服务：DNS、We

3、b中间件：WebShpere、WebL6社会原因：攻击产业化漏洞研究者工具开发者恶意软件开发者病毒蠕虫间谍软件木马工具销售者直接攻击建立僵尸网络僵尸网络：租赁、贩卖、勒索间谍活动 企业/政府欺诈销售非法/恶意竞争偷窃勒索盈利商业销售点击率金融欺诈攻击执行者DDoS垃圾邮件钓鱼敏感信息窃取IT资源消耗拒绝服务7应用层安全产品：IPS还是IDS？防火墙交换机IPS防火墙交换机IDS镜像内部网络IDS：Intrusion Detection System，入侵检测系统IPS：Intrusion Prevention System，入侵防御系统包头协议数据内容内部网络8IPS与IDS的区别9IPSID

4、S实现思路全自动的精确检测、实时阻断半自动的粗放检测告警硬件架构专有硬件架构、多核架构X86架构检测引擎多重检测机制单一检测机制特征规则提取精细粗放部署方式在线部署，也可旁路部署旁路部署响应方式主要是阻断加告警，也可设置 为仅告警主要是告警可靠性机制很高低，为旁路部署设计，可靠性 要求低IPS、IDS的发展历史1987198819901995Denning在博士 论文中提出了一个 抽象的入侵检测专 家系统模型，第一 次提出把入侵检测 作为解决计算机系 统安全问题的手段Morris蠕虫事件使正常使用，该事件导 致了许多IDS系统的 开发研制。美国军方、美国国 家计算机安全中心均 开发了主机型ID

5、S。1990年，Heberlein得Internet约5天无法提出基于网络的IDS：用来检测所监视的广 域网的网络流量中的 可疑行为。IDS从尝试性、研究性，开始走向NSM(网络安全监视)， 市场化。200320001998IPS在国外成为入侵防Gartner副总裁Richard Stiennon发表： IDS is dead。美国安全厂商提 出IPS概念，并发布IPS产品。随后，国外安全 厂商纷纷推出IPS。Martin Roesch发布了开源IDS：Snort。2005问题，培育了IPS市 场。2011IPS在国内取得了大 IPS在国内市场出量应用，用户群体包现，并逐渐在大量的御产品的主流

6、，美国军括银行数据中心、证应用中得到客户的认方等均使用IPS。券、运营商、电力等可，解决了实际安全 国际著名咨询机构行业。10交换机、路由器防火墙IPS时间轴网络规模更大网络业务类型更多网络商用化更深入网络攻击更精细更 频繁大规模部署，使网络实 现了互联互通规模部署，使网络实现 了访问控制，解决了部 分安全问题开始规模部署，使网络 实现深度感知和入侵防 御纵观网络、网络设备、网络安全设备的发展，IPS的部署已成必然趋势应用层安全产品IPS是网络安全发展方向11H3C IPS的深度检测网络层次越高资产价值越大L5-L7:应用层L4: 传输层L3: 网络层L2: 链路层L1: 物理层路由器传统防火

7、墙IP 协议栈网络接口卡Web服务器应用越迫切需 要风险越高被保护应用数据会话 IDHTTP 请求/响应TCP 连接IP 报文以太网报文比特流TCP 协议栈物理线路12SecPath IPS系列产品SecPath T200-SSecPath T200-ASecPath T200-MSecPath T1000-SSecPath T1000-ASecPath T1000-MSecPath T5000-S3ISP/大型数据中心大型企业总部大型分支/中型企业中型分支/小型企业SecPath T1000-C13SecPathIPS T200SCPU1 *RMI XLS208，2核，主 频750M管理口1

8、*10/100M/1000M以太电口Flash4MB扩展槽NA内存1GB1+1电源备份NACF卡1GB(内置)吞吐量800MbpsUSB口1个新建连接数50,000接口4*10/100M/1000M 以太电口最大连接数500,14SecPathIPS T200M/A15CPURMI XLR716，4核，主频800M管理口1*10/100M/1000M以太电口Flash4MB扩展槽2内存2GB1+1电源备份可选配CF卡1GB(内置)吞吐量1.2G(M)/1.6G(A)USB口1个新建连接数10万(M)/15万(A)接口2*Combo千兆业务接口，光电复合最大连接数100万扩展接口模块：410/1

9、00M/1000M以太电口，或810/100M/1000M以 太电口，或41000M SFP光口SecPath IPS T1000-S前板外观交流电源 输入扩展卡插 槽扩展卡插 槽10/100/1000Base-T 接口ConsoleUSB口管理口16CPURMI XLR732，8核，主频1G管理口1*10/100M/1000M 以太电口Flash4MB扩展槽2（410/100/1000M以太电口, 或41000M SFP光口）内存4GB1+1电源备份自带CF卡1GB(内置)吞吐量4GUSB口1个新建连接数20万接口4*（10/100/1000M以太 电口）最大连接数200万SecPath I

10、PS T1000-A前板外观交流电源 输入扩展卡插 槽扩展卡插 槽10/100/1000Base-T 接口ConsoleUSB口管理口17CPURMI XLR732，8核，主频1G管理口1*10/100M/1000M 以太电口Flash4MB扩展槽2（410/100/1000M以太电口, 或41000M SFP光口）内存4GB1+1电源备份自带CF卡1GB(内置)吞吐量5.5GUSB口1个新建连接数25万接口4*（10/100/1000M以太 电口）最大连接数200万SecPath IPS T5000-S3电源风扇电源主控板业务板业务板18CPURMI XLR732，8核，主频1G管理口主控(

11、1块) 业务板(2块)：各2（10/100/1000M以太电口+10/100/1000M光电复合Combo口）Flash4MB扩展槽NA内存4GB1+1电源备份自带CF卡2GB(内置)吞吐量9GUSB口2新建连接数50万接口16SFP(1000M)+8（10/100/1000M，光电复合Combo口）最大连接数400万先进的多核硬件平台设备配置管理、全局信息统计流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作流量分析协议识别深度检测响应动作多核平台实现

12、对安全业务的并行处理，既能够适应应用层多变的特点，又能够达 到专业级的高性能。Multi-C19体现“系统集中管理业务并行处 理”的思想控制平面运行在一个独立的硬件线 程内，完成系统控制和系统管理功 能数据平面运行在多个独立的硬件内 核之上，实现业务并行处理数据平面因业务量大而繁忙时，控制平面的管理配置不会受影响20高可用性机制：控制平面和数据平面分离丰富的产品功能简洁的管理界面精确的攻击防范 全面的病毒检测灵活的带宽管理策略 智能的DDoS攻击防护丰富的URL过滤手段 丰富的日志和报表功能高可靠性21漏洞库协议库病毒库综合防御H3C IPS：三库合一实现全面攻击防御创新技术带来的价值：更有效

13、地防御混合型威胁切合新型攻击手法的发展趋势提高防御精度和效率我是谁？病毒、木马、蠕虫、恶意代码、 后门、黑客程序、垃圾邮件、钓鱼、间谍 软 件 22高效高精度的检测： 特征库三库合一蜜罐系统跟踪操作系统、数据库、浏览器、服务器、 中间件、网页软件、应用软件等系统的漏洞研究”Zero-Day“漏洞、ZDI组织与CVE、SANS、微软、Commtouch、卡巴 斯基等合作分析归纳出漏洞特征和攻击特征 分析归纳出应用协议的特征生成特定格式的特征规则库对漏报、误报进行严格验证漏洞分析、攻击 分析、协议分析H3C攻防研究团队生成攻击特征 库和协议库H3C攻防研究团队严格的攻防验证H3C 鉴定测试中心特征

14、库上网发布H3C 用服部门自动升级 手动升级及时更新的特征库配 合强大的检测引擎， 实现虚拟补丁卡巴斯基病毒库卡巴斯基23持续安全防护：特征库的发布流程持续安全防护：H3C攻防研究团队攻防研究持续投入：40余人的资深安全研究人员，分布在北京、杭州、北美2个攻防实验室，分布在北京、杭州实时跟踪研究业界安全动态和攻击手法，每周定期形成安全公告每周发布攻击特征库更新包每周联合卡巴斯基发布病毒特征库更新包多维度合作：知名厂商合作：微软、卡巴斯基、Commtouch权威安全组织合作认证：CVE客户安全机构合作：工商银行总行安全研究部门、江苏省经信委攻防实验室、 多个高校/高职的网络安全实验室（包括清华大

15、学）/Products Technology/Products/IP Security/Characteristic Service Area/24热插拨，双电源支持支持二层回退功能内置的高可用性（软件二层回退）硬件掉电保护模块PFC（Power Free Connector)检测引擎正常模式检测引擎二层交换模式网络流量USB供电PFC主机借助于掉电保护模块，可保证IPS掉电 时，网络依然畅通。T1000系列内置掉电保护模块SecPath IPS交换机交换机高可靠性机制：软件二层回退和硬件掉电保护25设备管理：攻击事件报表：攻击事件分布：攻击事件查询：26丰富、灵活的全中文界面管理功能服务器区

16、IPS防火墙2、IPS检测到安全异常, 上 报SecCenter（syslog）3、Seccenter将syslog信 息根据预定策略汇聚分 析，将需要联动的告警 上报给安全管理中心（ TRAP）EAD4、安全管理中心收到 告警后查找攻击源，通 过EAD/UAM对攻击源下发联动策略汇聚交换机核心交换机SecCenterISCC1、经过EAD认证的用 户进行扫描、蠕虫等 攻击操作，造成安全 威胁内网防护的策略：对非法攻击阻断并查找攻击源，彻底保障内网安全EAD用户EAD用户EAD用户5、EAD/UAM通过交 换机对用户权限进行 控制告警安全管理中心安全与网络的融合：智能联动27iWare平台架构

17、i-Ware采用Linux作为内核，从整体上分成4大平面：管理平面、 控制平面、数据平面和支撑平面，数据平面主要负责业务处理和转发功能；控制平面配合数据平面完成各种业务的配置保存和下发，如IPS、防病毒等业务的配置；支撑平面是指在操作系统的基础上提供业务运行的软件基础； 管理平面则提供对外的设备管理接口，包括CLI、SNMP、Web、 日志等。28FIRST：Full Inspection with Rigorous State Test，基于精确状态的全面检测。数据流状态跟踪分 片 重 组流 量 分 析流 恢 复丢弃报文报 文 正 规 化协议识别分析并行处理 支持近千种协议特征分析并行处理包

18、括攻击特征、病毒特征丢弃报文、隔离限流阻断、重定向、隔离等正常数据流黑 白 流 匹 配丢弃报文iWare - FIRST 专有引擎技术29CVE：Common Vulnerabilities & Exposures，通 用漏洞披露，是系统漏洞和漏洞防护领域事实上的工 业标准从CVE Searchable、CVE Output、CVE Mapping、 Documentation等方面进行严格认证确保IPS可以为用户提供更全面、更及时的攻击特征 库，有效防御零日攻击确保IPS可以通过CVE标准与其他安全产品或安全测 试工具进行“对话”，从而帮助用户更有效地消除系 统漏洞带来的安全风险相关资料链接

19、/compatible/30IPS通过权威安全组织CVE兼容性认证微软提前通 知漏洞信息H3C生成特征 库实现防御漏洞被发出现利用漏洞的 现并公布蠕虫或攻击方法相关链接/security/msrc/collaboration/mapp.aspxMAPP旨在整合全球安全资源，通过认证的安全厂商，可提前获取微软漏洞的技术细节信息MAPP认证确保H3C IPS在攻击出现之前就能提供前瞻性安全防护IPS通过微软MAPP认证31其它荣誉与资质32目录SecPath IPS产品介绍SecPath IPS主要特性SecPath IPS典型组网相关概念34安全区域和段安全区域是一个物理/网络上的概念（特定的物

20、理端口 + VLAN ID）段可以看作是连接两个安全区域的一个透明网桥策略被应用在段上特征、规则和策略特征定义了一组检测因子来决定如何对当前网络中的流量进行检测规则的范畴比特征要广，规则 = 特征 + 启用状态 + 动作集策略是一个包含了多条规则的集合动作和动作集动作定义了设备对流量将要执行的操作动作集是一个包含了多种动作的集合安全区域和段段是具有方向性的两个安全域的组合。通过在段上配置各 种安全策略可以实现对段内不良网络行为的监控和限制。WANDMZ - WWWINTERNAL段安全区域 A策略策略策略端口端口安全区域 B35攻击、规则和策略启用防攻击等功能需要新建策略，在策略内根据需求定义

21、 不同的规则。策略特征1001特征6004特征1002规则通知阻断使能协议: TCP状态: Established载荷: 36动作、动作集动作集是一组动作的集合，可以被IPS、带宽和URL等策略 引用，用于设置对匹配报文所采取的动作，包括阻断动作 和通知动作。动作集阻断 / 允许 / 限速报文跟踪上传 or NOT通知 or NOT+限速下行带宽控制上行带宽控制每连接带宽控制新建连接速率控制最大连接数控制37SecPath IPS攻击防范原理Mail ServeruseruserAttack恶意攻击 正常访问与IPS内部“特征库” 特征相匹配“FIRST”技术Web S38SecPath IP

22、S病毒防范SasserExploit for RPC-LSASS执行 Shellcode: 通过 tftp下载 sasser.exeSasser.exe PE HeaderBlock by IPSBlock by AVIPS中病毒相关的特征和病毒防护功能的区别 IPS中病毒、蠕虫相关的特征只检测病毒、蠕虫间的通讯等特征 AV特征库则检测传输层中数据的特定内容(如文件PE头，特定的二进制代码)39SecPath IPS URL过滤可在设备上指定域名和URI路径的匹配规则，以及相应执 行的动作，以对收到的HTTP请求报文进行过滤。/portal/res/200707/16/20070716_120

23、096_H3C%20showroom_207640_1515_0.jpg传输层数据如下： 00 : 1378 0 : 80GET /portal/res/200707/16/20070716_120096_H3C%20showroom_207640_1515_0.jpg HTTP/1.1 Accept: */*Accept-Language: zh-cnUA-CPU: x86Accept-Encoding: gzip, deflateIf-Modified-Since: Mon, 16 Jul 2007 07:48:58 GMT If-None-Match: 6ea942c47dc7c71:2

24、63User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR2.0.50727)Host: （HOST内容过滤）Connection: Keep-Alive目的IP 地址：0目的TCP端口：80（www）域名（Host）：URI：/portal/res/200707/16/20070716_120096_H3C%20showroom_207640_1515_40SecPath IPS带宽管理网络流量按照其用途的不同划分成不同的服务类型，例如 E-Mail服务、VoIP服务

25、等，对不同的服务类型实施不同的 管理控制行为，称为带宽管理。段 1: 100Mbps段 3: 15Mbps段 2: 40MbpsFTP: 限速+记录日志41P2P: 阻断SMTP: 记录日志VOIP: 允许200Mbps目录SecPath IPS产品特性SecPath IPS主要特性SecPath IPS典型组网SecPath IPS部署方式在线部署方式直连是指设备直接处于数据转发的链路上，可以直接捕获数据报 文并执行各种安全动作IPS是PFC设备，即使出现故障也不会影响链路连通路由器43Secpath IPS交换机 在线部署方式SecPath IPS部署方式路由器44旁路部署方式旁路是指设备不在数据转发的链路上，通常是通过接收流量镜像、 探测复制报文的方式捕获数据报文，不能直接执行各种安全动作， 只能通过响应报文间接执行安全动作交换机Secpath IPS旁路部署方式镜像应用于局域网/园区网汇聚交换机IPS核心交换机45细分场景H3C IPS价值互联网出 口 挂马的恶意网页防护，确保用 户上网安全 防范来自互联网的木马、蠕虫 病毒等进入园区网 防范来自互联网的恶意攻击者 对园区网的漏洞扫描探