DPtechIPS2000系列入侵防御系统培训胶片课件

DPtechIPS2000入侵防御系统DPtechIPS2000入侵防御系统1目录产品介绍技术特点组网模式安全趋势典型配置运维管理1目录产品介绍技术特点组网模式安全趋势典型配置运维管2根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）报告，网络安全事件依然持续不断爆发。安全事件不断爆发2009年CNCERT共接收21927件网络安全事件报告2根据国家计算机网络应急技术处理协调中心（简称CNCERT/3趋势一：网络无边界边界在哪里？VPN、移动办公、无线网络等应用日渐增多，网络边界日益模糊，以防火墙为代表的传统边界安全防护手段无能为力3趋势一：网络无边界边界在哪里？VPN、移动办公、无线网络等4趋势二：新业务模式层出不穷WEB2.0云计算P2P应用网上支付4趋势二：新业务模式层出不穷WEB2.0云计算P2P应用网上5趋势三：安全漏洞不断爆发ZeroDayAttack！网络设备、操作系统、数据库软件、应用软件漏洞数不胜数微软操作系统视频功能组件高危漏洞微软Office组件高危漏洞微软IE浏览器0day漏洞域名系统软件Bind9高危漏洞……5趋势三：安全漏洞不断爆发ZeroDayAttack！网6趋势四：安全威胁多样化应用层

安全威胁蠕虫/病毒DoS/DDoS间谍软件网络钓鱼带宽滥用垃圾邮件6趋势四：安全威胁多样化应用层

安全威胁蠕虫/病毒DoS/D7趋势五：利益驱动下的信息犯罪越来越多信息安全事件是以经济利益为驱动病毒、木马、攻击已形成产业链7趋势五：利益驱动下的信息犯罪越来越多信息安全事件是以经济利8目录安全趋势技术特点组网模式产品介绍典型配置运维管理8目录安全趋势技术特点组网模式产品介绍典型配置运维管9DPtechIPS2000产品系列百兆级千兆级万兆级IPS2000-MC-NIPS2000-TS-NIPS2000-MA-NIPS2000-GS-NIPS2000-GE-NIPS2000-MS-NIPS2000-ME-NIPS2000-GA-N迪普科技拥有从百兆至万兆的全系列入侵防御系统，可覆盖中小型企业、大型企业以及运营商的各种应用层安全防护需求。9DPtechIPS2000产品系列百兆级千兆级万兆级IP10DPtechIPS2000产品系列IPS2000-MC/MS/MA-NIPS2000-ME–N千兆光口千兆电口管理口串口10DPtechIPS2000产品系列IPS2000-MC11DPtechIPS2000产品系列IPS2000-GS/GA-NIPS2000-GE-N11DPtechIPS2000产品系列IPS2000-GS12DPtechIPS2000产品系列IPS2000-TS-N

12DPtechIPS2000产品系列IPS2000-TS13DPtechIPS2000产品系列型号IPS2000-TS-NIPS2000-GE-NIPS2000-GA-NIPS2000-GS-NIPS2000ME-NIPS2000-MA-N吞吐量12Gbps6Gbps3Gbps1.5Gbps800Mbps300Mbps并发会话数400W400W100W100W100W20W新建会话数20W/S20W/S4W/S2W/S2W/S1W/S高度2U2U1U1U1U1U接口2个管理口(千兆自适应、电口)12个千兆自适用电口(内置3组掉电保护)12个千兆自适应光口，2个万兆光口，1个RJ45串口,1个USB口

2个管理口(千兆自适应、电口)6个千兆自适应电口(内置3组掉电保护)6个千兆自适应光口2GE光口，6GE电口，一个插槽，2个GE管理口2个管理口(千兆自适应、电口)6个千兆自适应电口13DPtechIPS2000产品系列型号IPS2000-14DPtech系列产品硬件架构多核CPU硬件架构

提高CPU处理能力，多核并发处理网络流量，提高设备处理性能内置FPGA硬件以及硬件逻辑检测引擎

通过FPGA的硬件检测引擎，极大的提高设备性能以及设备的竞争力14DPtech系列产品硬件架构多核CPU硬件架构DPtech系列产品硬件架构内置高速网络转发和处理芯片

网络接口密度高、数量多、接口类型丰富，能够满足各种部署和组网需求掉电保护模块

保证在异常断电等各种突发环境下的网络可用性，从而保证设备的可靠性

15DPtech系列产品硬件架构内置高速网络转发和处理芯片15DPtech系列产品软件架构16网络操作系统平台

自主研发的高性能网络操作系统平台，支撑各种不同的网络产品，同时保障相同产品的各种款型系列资源整合深度流检测引擎

算法的性能与特征多少无关，检测引擎只需对报文内容检测一次，即能满足多种检测需求，如协议特征、病毒特征、IPS特征、url特征等各种特征挖掘，大大提高多复杂并发业务的检测性能DPtech系列产品软件架构16网络操作系统平台DPtech系列产品软件架构17Web应用防护引擎

对HTTP报文进行细致分析,完成协议切分、进行解码处理、进行负载处理以及进行语法和语义分析，防护多种Web攻击DDos检测引擎

基于报文内容和统计学原理，精确识别各种DDos攻击DPtech系列产品软件架构17Web应用防护引擎18目录安全趋势产品介绍组网模式技术特点典型配置运维管理18目录安全趋势产品介绍组网模式技术特点典型配置运维19超强性能多核CPU+大容量FPGA，实现不同会话的并行处理硬件网络加速单元NA按照不同的报文内容，将不同的会话分发到不同的CPU进行处理，同时实现CPU间均衡负载分担深度流检测引擎只进行一次匹配，输出检测结果供后续策略模块使用19超强性能多核CPU+大容量FPGA，实现不同会话的并行处20超强性能10GE通道10GE通道FPGACPU交换芯片转发报文20超强性能10GE通道10GE通道FPGACPU交换芯21超强性能深度流检测引擎Web防护引擎DDos引擎FPGA协议分析引擎其他业务CPU10GE通道转发交换芯片10GE通道报文21超强性能深度流检测引擎Web防护引擎DDos引擎FPGA22IPS攻击防护漏洞都是由于应用系统的错误导致的，针对不同的防护对象可以开启不同的防护策略IPS具备全面的攻击防护功能Web安全缓冲区溢出漏洞操作系统漏洞恶意代码协议异常功能

22IPS攻击防护漏洞都是由于应用系统的错误导致的，针对不同23IPS攻击防护-Web安全-SQL注入原理利用程序中的漏洞，构造特殊的SQL语句并提交以获取敏感信息危害获取系统控制权未经授权状况下操作数据库的数据恶意篡改网页内容私自添加系统帐号或数据库使用者帐号

23IPS攻击防护-Web安全-SQL注入原理24IPS攻击防护-Web安全-SQL注入案例1某论坛用户登录的页面代码如下：$sql="SELECT*FROMuserWHEREusername='$username'ANDpwd='$password'";$result=mysql_query($sql);IE中正常的URL如下：http://a.b.c.d/user.php?username=dptech&&pwd=dptechSQL语句为：SELECT*FROMuserWHEREusername=‘dptech'ANDpwd=‘dptech'

24IPS攻击防护-Web安全-SQL注入案例1某论坛用户登25IPS攻击防护-Web安全-SQL注入案例1构造如下的URL：http://a.b.c.d/user.php?username=dptech’/*实际插入的SQL语句变为：SELECT*FROMuserWHEREusername=‘dptech'/*'ANDpwd=''

25IPS攻击防护-Web安全-SQL注入案例1构造如下的U26IPS攻击防护-Web安全-SQL注入案例2某论坛用户修改密码的页面代码如下：$sql="UPDATE$tblnameSETpwd='$password'WHEREusername='$username'";$result=mysql_query($sql);IE中正常的URL如下：http://a.b.c.d/changepwd.php?username=dptech&pwd=dptechSQL语句为：UPDATEuserSETpwd=‘dptech'WHEREusername=‘dptech'26IPS攻击防护-Web安全-SQL注入案例2某论坛用户修27IPS攻击防护-Web安全-SQL注入案例2实际插入的SQL语句变为：UPDATEuserSETpwd='abcd',level='3'WHEREusername=‘dptech’构造如下的URL：http://a.b.c.d/changepwd.php?username=dptech&pwd=abcd’,level=’327IPS攻击防护-Web安全-SQL注入案例2实际插入的S28IPS攻击防护-Web安全-SQL注入防范1.通过分析SQL语法和语义，进行精确识别2.只在GET消息的URL部分和POST消息的负载部分检测，减少误报3.针对知名SQL注入工具进行特征提取(穿山甲、HDSL)4.支持主流数据库的注入攻击(SQLServer/Mysql/Oracle)5.支持SQL注入探测(and攻击/or攻击/数据库类型查询攻击/表名查询攻击等)6.支持SQL注入攻击(联合查询攻击/数据更新攻击/数据删除攻击/通过数据库执行系统命令攻击)28IPS攻击防护-Web安全-SQL注入防范1.通过分析S29IPS攻击防护-Web安全-XSS原理网站对输入过滤不严格攻击者往Web页面的html代码中插入恶意的数据，用户认为该页面是可信赖的，当用户浏览该页之时，嵌入Web页里的恶意代码/脚本会被执行危害存在漏洞的是网站，被攻击的是浏览该网站的用户

29IPS攻击防护-Web安全-XSS原理30IPS攻击防护-Web安全-XSS案例假设某BBS网站可以发贴1、攻击者在发贴区域发布脚本，其中包含恶意代码，例如重定向到某个恶意网站<script>document.localiton=’/steal_cookie.php?’%2Bdocument.cookie</script>2、浏览者正常浏览该页面，正常情况下应该看到发布的内容，但服务器在传给客户端的HTML页面中包含了这段代码，导致用户的页面被重定向到恶意网站3、恶意网站可以收集访问它的用户的个人信息30IPS攻击防护-Web安全-XSS案例假设某BBS网站可31IPS攻击防护-Web安全-XSS防护1.通过分析XSS的语义，进行精确识别2.只在GET消息的URL部分和POST消息的负载部分检测，减少误报3.针对各种XSS攻击探测进行识别(alert攻击/script攻击/iframe攻击)

4.支持多个Web应用程序攻击(phpCommunityCalendar/Tikiwiki/PHPBB等跨站脚本攻击)31IPS攻击防护-Web安全-XSS防护1.通过分析XSS32IPS攻击防护-Web安全-其他LDAP注入目录穿越命令注入PHP文件包含32IPS攻击防护-Web安全-其他LDAP注入33IPS攻击防护-缓冲区溢出原理栈溢出堆溢出危害获取系统控制权

33IPS攻击防护-缓冲区溢出原理34IPS攻击防护-缓冲区溢出-MS08-067MS08-067:服务器服务中的漏洞可能允许远程执行代码漏洞原因：Windows系统在处理特定格式的RPC请求时，在解析其中目录格式的时候存在缓冲区溢出漏洞，远程攻击者可以通过这个漏洞实现对系统的完全控制攻击报文：34IPS攻击防护-缓冲区溢出-MS08-067MS08-035IPS攻击防护-缓冲区溢出防范IE/FireFox/Netsacape等各种浏览器溢出漏洞(MS06-055/MS07-069/MS08-010/MS09-057/MS10-002等IE溢出漏洞)各种客户端应用程序溢出漏洞(QQ软件/迅雷下载软件/暴风影音/中国游戏中心/微软Ofiice

WordExcel等办公软件)各种网络设备溢出漏洞(CiscoIOS/CiscoACS/D-Link路由器)Web服务器溢出漏洞(IIS/Apache)35IPS攻击防护-缓冲区溢出防范IE/FireFox/Ne36IPS攻击防护-操作系统漏洞原理操作系统对外提供网络服务存在溢出漏洞危害获取系统控制权36IPS攻击防护-操作系统漏洞原理37IPS攻击防护-操作系统漏洞防范Windows操作系统(包括MS05-039/MS05-047/MS080-067/MS09-001等最近几年微软发布的操作系统安全漏洞)Unix类操作系统漏洞(包括Unix/Linux/FreeBSD)3.Novell操作系统漏洞(包括edirectory/NovellDistributedPrintServices等操作系统安全漏洞)4.Solaris操作系统漏洞(主要为Solaris系统提供的各种网络服务漏洞)

37IPS攻击防护-操作系统漏洞防范Windows操作系统(38IPS攻击防护-恶意代码蠕虫攻击(Beagle.AA/尼姆达/飞客蠕虫/Nachi.B等)木马攻击(冰河/任我行/广外男生/NetSky/bersek等)钓鱼攻击(中国银行/工商银行/农业银行等)间谍软件攻击(Adwarehxdl/Hijackerstarwaretoolbar/Keyloggerkeyloggerpro/Adwareweb-nexus等)38IPS攻击防护-恶意代码蠕虫攻击(Beagle.AA/39IPS攻击防护-协议异常多媒体协议异常攻击(SIP/H.323)邮件协议异常攻击(SMTP/POP3)FTP协议异常攻击39IPS攻击防护-协议异常多媒体协议异常攻击(SIP/H.40病毒防护从越来越多的病毒通过网络进行传播，到绝大部分病毒都是通过网络进行传播内嵌卡巴斯基病毒库并持续更新，准确识别市面上传播的病毒通过深度流检测引擎，能快速识别此流量是否带有病毒。结合协议分析引擎，能够准确查杀承载在HTTP、FTP、TFTP、邮件等多种应用之上的病毒40病毒防护从越来越多的病毒通过网络进行传播，到绝大部分病毒41URL过滤URL分类库，支持1000万条的级别，对url进行分类管理，如对成人暴力类url进行过滤自定义URL分类，支持用户引用自定义url分类高级URL过滤，用户可灵活配置定义url，如通过配置IP和主机名，也可通过配置url特征(正则表达式)实现任意url的深度识别41URL过滤URL分类库，支持1000万条的级别，对url42Dos/DDosDDoS攻击FLOOD攻击：SYN、SYN-ACK、UDP、ICMP、DHCP等DNS攻击：DNSReply、DNSRequest、DNSDomain（固定域名/热点域名）等DDoS防护阈值防护代理防护反弹防护会话状态检测防护等DPtechIPSDos/DDos防护原理42Dos/DDosDDoS攻击DDoS防护43带宽管理通过特征库分析，识别800+种以上应用采用智能令牌桶技术，进行精确限速对每IP按照网络应用进行限速按照接口以及按照网络应用进行限速对关键应用可以进行带宽保证对非法应用进行阻断43带宽管理通过特征库分析，识别800+种以上应用44目录安全趋势产品介绍技术特点组网模式典型配置运维管理44目录安全趋势产品介绍技术特点组网模式典型配置运维45路由器交换机DPtechIPS内部网络路由器交换机DPtechIPS镜像IPS在线部署方式部署于网络的关键路径上，对流经的数据流进行2-7层深度分析，实时防御外部和内部攻击。IDS旁路部署方式对网络流量进行监测与分析，记录攻击事件并告警。IPS典型组网内部网络45路由器交换机DPtechIPS内部网络路由器交换机DP46断电保护设备-PFP46断电保护设备-PFP47IPS正常时，流量情况： IN-1-2-A-B-3-4-OUTIPS异常时，流量情况：IN-1-4-OUT断电保护设备-PFP47IPS正常时，流量情况： IN-1-2-A-48目录安全趋势产品介绍技术特点典型配置组网模式运维管理48目录安全趋势产品介绍技术特点典型配置组网模式运维49登陆IPS的Web页面PC直连设备管理口，缺省IP地址为；用户名：admin，密码：admin49登陆IPS的Web页面PC直连设备管理口，缺省IP地址为50下发IPS策略在【IPS规则】中创建规则后，引用到【IPS策略】中的指定接口50下发IPS策略在【IPS规则】中创建规则后，引用到【IP51IPS日志输出到UMC在【日志管理】->【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514）51IPS日志输出到UMC在【日志管理】->【业务日志】中，52登陆UMC的Web页面在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator52登陆UMC的Web页面在服务器安装UMC后，用IE访问其53添加IPS设备在【设备管理】->【设备列表】中，添加IPS设备53添加IPS设备在【设备管理】->【设备列表】中，添加IP54UMC与IPS时间同步在【系统管理】->【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计）54UMC与IPS时间同步在【系统管理】->【时间同步配置】55查看日志情况在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在IPS设备【IPS日志】中查看）55查看日志情况在【网络监控】中查看流量分析日志，在【攻击监56目录安全趋势产品介绍技术特点运维管理组网模式典型配置56目录安全趋势产品介绍技术特点运维管理组网模式典型57IE使用6.0或更高版本，首次登陆请清空IE缓存管理口缺省IP地址为

缺省用户名是admin，密码是admin设备支持管理员使用HTTP/HTTPS协议登陆web管理界面的总数最多为5个准备工作57IE使用6.0或更高版本，首次登陆请清空IE缓存准备工作58Console口配置管理地址配置管理口地址不同设备型号管理口名称不同Console口初始密码为DPTECH58Console口配置管理地址配置管理口地址59软件版本升级通过WEB页面导入软件版本，并指定为下次启动版本，重启后自动加载指定版本，完成软件版本升级59软件版本升级通过WEB页面导入软件版本，并指定为下次启动60FAQ为什么管理口配了IP地址，PC却Ping不通？在同网段中，需同属一网段；在不同网段中，需在IPS设备上添加相应的路由。

在WEB界面上直接对管理口的IP设置修改，会有什么结果？会导致当前WEB界面无法访问，需要重新访问修改后的IP地址。60FAQ为什么管理口配了IP地址，PC却Ping不通？61FAQ当设备异常断电时，之前在WEB界面上的配置是否保存？保存，设备开启情况下，对于操作与配置都是实时保存的。设备上的USB接口做什么用的？外置断电保护PFP，以及3G扩展。我有特征库文件，为什么不能升级？需要导入相应License。61FAQ当设备异常断电时，之前在WEB界面上的配置是否保存62FAQ已将软件版本导入设备的CF卡中，为什么重启后不能加载该版本？须将该版本状态选为“使用中”才可。设备运行一段时间后，发现部分系统日志和操作日志不见了，为什么？在无手动删除的情况下，查看是否超过了保存该日志的时间。62FAQ已将软件版本导入设备的CF卡中，为什么重启后不能加63FAQ输出到UMC的业务日志和流量分析的端口号是什么？业务日志是9514，流量分析日志是9502。为什么配置策略的时候，优先使用指定用户组，而不用Allusers？做到对业务的细化，同时过滤多余信息。63FAQ输出到UMC的业务日志和流量分析的端口号是什么？64FAQ接入设备后，发现接口协商成半双工产生丢包，怎么办？需要双方都强制相应的速率和双工状态。如果IPS与UMC系统时间间隔过大，有何影响？UMC产生的日志会有相应的滞后，建议安装UMC后，立即开启时间同步功能。64FAQ接入设备后，发现接口协商成半双工产生丢包，怎么办？65FAQ如何快速诊断UMC的运行状态？在设备已配置了流量分析、业务日志发送到UMC，且参数正确情况下，双击Windows系统任务栏上的UMC客户端，可直接查看UMC运行状态查看UMC的设备管理中，是否有IPS设备信息。（若无设备信息，需手动添加）在IPS配置正常，且已经触发业务日志或者流量分析，但UMC没日志情况下。使用抓包工具，查看安装UMC服务器上的网卡是否收到了9514或者9502的报文：有报文，则需排查是否是本地防火墙等安全类软件导致；无报文，查看IPS到UMC的链路情况（路由，访问控制策略等）65FAQ如何快速诊断UMC的运行状态？66FAQ我开启了特征库自动升级，为什么没有生效？在License有效的情况下，确定设备可以直接访问互联网。（使用诊断工具Ping外网IP地址，确保设备管理口到公网访问畅通）66FAQ我开启了特征库自动升级，为什么没有生效？DPtechIPS2000系列入侵防御系统培训胶片演讲完毕，谢谢观看！演讲完毕，谢谢观看！DPtechIPS2000入侵防御系统DPtechIPS2000入侵防御系统70目录产品介绍技术特点组网模式安全趋势典型配置运维管理1目录产品介绍技术特点组网模式安全趋势典型配置运维管71根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）报告，网络安全事件依然持续不断爆发。安全事件不断爆发2009年CNCERT共接收21927件网络安全事件报告2根据国家计算机网络应急技术处理协调中心（简称CNCERT/72趋势一：网络无边界边界在哪里？VPN、移动办公、无线网络等应用日渐增多，网络边界日益模糊，以防火墙为代表的传统边界安全防护手段无能为力3趋势一：网络无边界边界在哪里？VPN、移动办公、无线网络等73趋势二：新业务模式层出不穷WEB2.0云计算P2P应用网上支付4趋势二：新业务模式层出不穷WEB2.0云计算P2P应用网上74趋势三：安全漏洞不断爆发ZeroDayAttack！网络设备、操作系统、数据库软件、应用软件漏洞数不胜数微软操作系统视频功能组件高危漏洞微软Office组件高危漏洞微软IE浏览器0day漏洞域名系统软件Bind9高危漏洞……5趋势三：安全漏洞不断爆发ZeroDayAttack！网75趋势四：安全威胁多样化应用层

安全威胁蠕虫/病毒DoS/DDoS间谍软件网络钓鱼带宽滥用垃圾邮件6趋势四：安全威胁多样化应用层

安全威胁蠕虫/病毒DoS/D76趋势五：利益驱动下的信息犯罪越来越多信息安全事件是以经济利益为驱动病毒、木马、攻击已形成产业链7趋势五：利益驱动下的信息犯罪越来越多信息安全事件是以经济利77目录安全趋势技术特点组网模式产品介绍典型配置运维管理8目录安全趋势技术特点组网模式产品介绍典型配置运维管78DPtechIPS2000产品系列百兆级千兆级万兆级IPS2000-MC-NIPS2000-TS-NIPS2000-MA-NIPS2000-GS-NIPS2000-GE-NIPS2000-MS-NIPS2000-ME-NIPS2000-GA-N迪普科技拥有从百兆至万兆的全系列入侵防御系统，可覆盖中小型企业、大型企业以及运营商的各种应用层安全防护需求。9DPtechIPS2000产品系列百兆级千兆级万兆级IP79DPtechIPS2000产品系列IPS2000-MC/MS/MA-NIPS2000-ME–N千兆光口千兆电口管理口串口10DPtechIPS2000产品系列IPS2000-MC80DPtechIPS2000产品系列IPS2000-GS/GA-NIPS2000-GE-N11DPtechIPS2000产品系列IPS2000-GS81DPtechIPS2000产品系列IPS2000-TS-N

12DPtechIPS2000产品系列IPS2000-TS82DPtechIPS2000产品系列型号IPS2000-TS-NIPS2000-GE-NIPS2000-GA-NIPS2000-GS-NIPS2000ME-NIPS2000-MA-N吞吐量12Gbps6Gbps3Gbps1.5Gbps800Mbps300Mbps并发会话数400W400W100W100W100W20W新建会话数20W/S20W/S4W/S2W/S2W/S1W/S高度2U2U1U1U1U1U接口2个管理口(千兆自适应、电口)12个千兆自适用电口(内置3组掉电保护)12个千兆自适应光口，2个万兆光口，1个RJ45串口,1个USB口

2个管理口(千兆自适应、电口)6个千兆自适应电口(内置3组掉电保护)6个千兆自适应光口2GE光口，6GE电口，一个插槽，2个GE管理口2个管理口(千兆自适应、电口)6个千兆自适应电口13DPtechIPS2000产品系列型号IPS2000-83DPtech系列产品硬件架构多核CPU硬件架构

提高CPU处理能力，多核并发处理网络流量，提高设备处理性能内置FPGA硬件以及硬件逻辑检测引擎

通过FPGA的硬件检测引擎，极大的提高设备性能以及设备的竞争力14DPtech系列产品硬件架构多核CPU硬件架构DPtech系列产品硬件架构内置高速网络转发和处理芯片

网络接口密度高、数量多、接口类型丰富，能够满足各种部署和组网需求掉电保护模块

保证在异常断电等各种突发环境下的网络可用性，从而保证设备的可靠性

84DPtech系列产品硬件架构内置高速网络转发和处理芯片15DPtech系列产品软件架构85网络操作系统平台

自主研发的高性能网络操作系统平台，支撑各种不同的网络产品，同时保障相同产品的各种款型系列资源整合深度流检测引擎

算法的性能与特征多少无关，检测引擎只需对报文内容检测一次，即能满足多种检测需求，如协议特征、病毒特征、IPS特征、url特征等各种特征挖掘，大大提高多复杂并发业务的检测性能DPtech系列产品软件架构16网络操作系统平台DPtech系列产品软件架构86Web应用防护引擎

对HTTP报文进行细致分析,完成协议切分、进行解码处理、进行负载处理以及进行语法和语义分析，防护多种Web攻击DDos检测引擎

基于报文内容和统计学原理，精确识别各种DDos攻击DPtech系列产品软件架构17Web应用防护引擎87目录安全趋势产品介绍组网模式技术特点典型配置运维管理18目录安全趋势产品介绍组网模式技术特点典型配置运维88超强性能多核CPU+大容量FPGA，实现不同会话的并行处理硬件网络加速单元NA按照不同的报文内容，将不同的会话分发到不同的CPU进行处理，同时实现CPU间均衡负载分担深度流检测引擎只进行一次匹配，输出检测结果供后续策略模块使用19超强性能多核CPU+大容量FPGA，实现不同会话的并行处89超强性能10GE通道10GE通道FPGACPU交换芯片转发报文20超强性能10GE通道10GE通道FPGACPU交换芯90超强性能深度流检测引擎Web防护引擎DDos引擎FPGA协议分析引擎其他业务CPU10GE通道转发交换芯片10GE通道报文21超强性能深度流检测引擎Web防护引擎DDos引擎FPGA91IPS攻击防护漏洞都是由于应用系统的错误导致的，针对不同的防护对象可以开启不同的防护策略IPS具备全面的攻击防护功能Web安全缓冲区溢出漏洞操作系统漏洞恶意代码协议异常功能

22IPS攻击防护漏洞都是由于应用系统的错误导致的，针对不同92IPS攻击防护-Web安全-SQL注入原理利用程序中的漏洞，构造特殊的SQL语句并提交以获取敏感信息危害获取系统控制权未经授权状况下操作数据库的数据恶意篡改网页内容私自添加系统帐号或数据库使用者帐号

23IPS攻击防护-Web安全-SQL注入原理93IPS攻击防护-Web安全-SQL注入案例1某论坛用户登录的页面代码如下：$sql="SELECT*FROMuserWHEREusername='$username'ANDpwd='$password'";$result=mysql_query($sql);IE中正常的URL如下：http://a.b.c.d/user.php?username=dptech&&pwd=dptechSQL语句为：SELECT*FROMuserWHEREusername=‘dptech'ANDpwd=‘dptech'

24IPS攻击防护-Web安全-SQL注入案例1某论坛用户登94IPS攻击防护-Web安全-SQL注入案例1构造如下的URL：http://a.b.c.d/user.php?username=dptech’/*实际插入的SQL语句变为：SELECT*FROMuserWHEREusername=‘dptech'/*'ANDpwd=''

25IPS攻击防护-Web安全-SQL注入案例1构造如下的U95IPS攻击防护-Web安全-SQL注入案例2某论坛用户修改密码的页面代码如下：$sql="UPDATE$tblnameSETpwd='$password'WHEREusername='$username'";$result=mysql_query($sql);IE中正常的URL如下：http://a.b.c.d/changepwd.php?username=dptech&pwd=dptechSQL语句为：UPDATEuserSETpwd=‘dptech'WHEREusername=‘dptech'26IPS攻击防护-Web安全-SQL注入案例2某论坛用户修96IPS攻击防护-Web安全-SQL注入案例2实际插入的SQL语句变为：UPDATEuserSETpwd='abcd',level='3'WHEREusername=‘dptech’构造如下的URL：http://a.b.c.d/changepwd.php?username=dptech&pwd=abcd’,level=’327IPS攻击防护-Web安全-SQL注入案例2实际插入的S97IPS攻击防护-Web安全-SQL注入防范1.通过分析SQL语法和语义，进行精确识别2.只在GET消息的URL部分和POST消息的负载部分检测，减少误报3.针对知名SQL注入工具进行特征提取(穿山甲、HDSL)4.支持主流数据库的注入攻击(SQLServer/Mysql/Oracle)5.支持SQL注入探测(and攻击/or攻击/数据库类型查询攻击/表名查询攻击等)6.支持SQL注入攻击(联合查询攻击/数据更新攻击/数据删除攻击/通过数据库执行系统命令攻击)28IPS攻击防护-Web安全-SQL注入防范1.通过分析S98IPS攻击防护-Web安全-XSS原理网站对输入过滤不严格攻击者往Web页面的html代码中插入恶意的数据，用户认为该页面是可信赖的，当用户浏览该页之时，嵌入Web页里的恶意代码/脚本会被执行危害存在漏洞的是网站，被攻击的是浏览该网站的用户

29IPS攻击防护-Web安全-XSS原理99IPS攻击防护-Web安全-XSS案例假设某BBS网站可以发贴1、攻击者在发贴区域发布脚本，其中包含恶意代码，例如重定向到某个恶意网站<script>document.localiton=’/steal_cookie.php?’%2Bdocument.cookie</script>2、浏览者正常浏览该页面，正常情况下应该看到发布的内容，但服务器在传给客户端的HTML页面中包含了这段代码，导致用户的页面被重定向到恶意网站3、恶意网站可以收集访问它的用户的个人信息30IPS攻击防护-Web安全-XSS案例假设某BBS网站可100IPS攻击防护-Web安全-XSS防护1.通过分析XSS的语义，进行精确识别2.只在GET消息的URL部分和POST消息的负载部分检测，减少误报3.针对各种XSS攻击探测进行识别(alert攻击/script攻击/iframe攻击)

4.支持多个Web应用程序攻击(phpCommunityCalendar/Tikiwiki/PHPBB等跨站脚本攻击)31IPS攻击防护-Web安全-XSS防护1.通过分析XSS101IPS攻击防护-Web安全-其他LDAP注入目录穿越命令注入PHP文件包含32IPS攻击防护-Web安全-其他LDAP注入102IPS攻击防护-缓冲区溢出原理栈溢出堆溢出危害获取系统控制权

33IPS攻击防护-缓冲区溢出原理103IPS攻击防护-缓冲区溢出-MS08-067MS08-067:服务器服务中的漏洞可能允许远程执行代码漏洞原因：Windows系统在处理特定格式的RPC请求时，在解析其中目录格式的时候存在缓冲区溢出漏洞，远程攻击者可以通过这个漏洞实现对系统的完全控制攻击报文：34IPS攻击防护-缓冲区溢出-MS08-067MS08-0104IPS攻击防护-缓冲区溢出防范IE/FireFox/Netsacape等各种浏览器溢出漏洞(MS06-055/MS07-069/MS08-010/MS09-057/MS10-002等IE溢出漏洞)各种客户端应用程序溢出漏洞(QQ软件/迅雷下载软件/暴风影音/中国游戏中心/微软Ofiice

WordExcel等办公软件)各种网络设备溢出漏洞(CiscoIOS/CiscoACS/D-Link路由器)Web服务器溢出漏洞(IIS/Apache)35IPS攻击防护-缓冲区溢出防范IE/FireFox/Ne105IPS攻击防护-操作系统漏洞原理操作系统对外提供网络服务存在溢出漏洞危害获取系统控制权36IPS攻击防护-操作系统漏洞原理106IPS攻击防护-操作系统漏洞防范Windows操作系统(包括MS05-039/MS05-047/MS080-067/MS09-001等最近几年微软发布的操作系统安全漏洞)Unix类操作系统漏洞(包括Unix/Linux/FreeBSD)3.Novell操作系统漏洞(包括edirectory/NovellDistributedPrintServices等操作系统安全漏洞)4.Solaris操作系统漏洞(主要为Solaris系统提供的各种网络服务漏洞)

37IPS攻击防护-操作系统漏洞防范Windows操作系统(107IPS攻击防护-恶意代码蠕虫攻击(Beagle.AA/尼姆达/飞客蠕虫/Nachi.B等)木马攻击(冰河/任我行/广外男生/NetSky/bersek等)钓鱼攻击(中国银行/工商银行/农业银行等)间谍软件攻击(Adwarehxdl/Hijackerstarwaretoolbar/Keyloggerkeyloggerpro/Adwareweb-nexus等)38IPS攻击防护-恶意代码蠕虫攻击(Beagle.AA/108IPS攻击防护-协议异常多媒体协议异常攻击(SIP/H.323)邮件协议异常攻击(SMTP/POP3)FTP协议异常攻击39IPS攻击防护-协议异常多媒体协议异常攻击(SIP/H.109病毒防护从越来越多的病毒通过网络进行传播，到绝大部分病毒都是通过网络进行传播内嵌卡巴斯基病毒库并持续更新，准确识别市面上传播的病毒通过深度流检测引擎，能快速识别此流量是否带有病毒。结合协议分析引擎，能够准确查杀承载在HTTP、FTP、TFTP、邮件等多种应用之上的病毒40病毒防护从越来越多的病毒通过网络进行传播，到绝大部分病毒110URL过滤URL分类库，支持1000万条的级别，对url进行分类管理，如对成人暴力类url进行过滤自定义URL分类，支持用户引用自定义url分类高级URL过滤，用户可灵活配置定义url，如通过配置IP和主机名，也可通过配置url特征(正则表达式)实现任意url的深度识别41URL过滤URL分类库，支持1000万条的级别，对url111Dos/DDosDDoS攻击FLOOD攻击：SYN、SYN-ACK、UDP、ICMP、DHCP等DNS攻击：DNSReply、DNSRequest、DNSDomain（固定域名/热点域名）等DDoS防护阈值防护代理防护反弹防护会话状态检测防护等DPtechIPSDos/DDos防护原理42Dos/DDosDDoS攻击DDoS防护112带宽管理通过特征库分析，识别800+种以上应用采用智能令牌桶技术，进行精确限速对每IP按照网络应用进行限速按照接口以及按照网络应用进行限速对关键应用可以进行带宽保证对非法应用进行阻断43带宽管理通过特征库分析，识别800+种以上应用113目录安全趋势产品介绍技术特点组网模式典型配置运维管理44目录安全趋势产品介绍技术特点组网模式典型配置运维114路由器交换机DPtechIPS内部网络路由器交换机DPtechIPS镜像IPS在线部署方式部署于网络的关键路径上，对流经的数据流进行2-7层深度分析，实时防御外部和内部攻击。IDS旁路部署方式对网络流量进行监测与分析，记录攻击事件并告警。IPS典型组网内部网络45路由器交换机DPtechIPS内部网络路由器交换机DP115断电保护设备-PFP46断电保护设备-PFP116IPS正常时，流量情况： IN-1-2-A-B-3-4-OUTIPS异常时，流量情况：IN-1-4-OUT断电保护设备-PFP47IPS正常时，流量情况： IN-1-2-A-117目录安全趋势产品介绍技术特点典型配置组网模式运维管理48目录安全趋势产品介绍技术特点典型配置组网模式运维118登陆IPS的Web页面PC直连设备管理口，缺省IP地址为；用户名：admin，密码：admin49登陆IPS的Web页面PC直连设备管理口，缺省IP地址为119下发IPS策略在【IPS规则】中创建规则后，引用到【IPS策略】中的指定接口50下发IPS策略在【IPS规则】中创建规则后，引用到【IP120IPS日志输出到UMC在【日志管理】->【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514）51IPS日志输出到UMC在【日志管理】->【业务日志】中，121登陆UMC的Web页面在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，