《网络安全技术与实践》第二篇边界安全要点.ppt

降低工作效率 文件传输，引发泄密风险 散布恶意程序 网管员的梦想—— “只允许聊天，禁止其它功能” “不同的对象使用不同管理方式” 4.IM即时消息软件的威胁 P2P在耗尽带宽 Thunder 迅雷、eMule 电驴、BT、FlashGet… PPLive、PPStream、QQLive… 消耗正常网络带宽 病毒散布温床 机密文件外泄 下载文档的著作权 5.P2P的威胁 6.穿透防火墙对外连机 7.直接与外界计算机直接交换信息 通过防火墙开放的合法端口建立虚拟隧道 数据加密，企业难以防范，机密信息泄露 虚拟隧道软件：VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor IPS产品的客户价值 Intrusion Prevention System 入侵防护系统 简单的讲：IPS是在应用层上进行威胁检测和防御的“深度防火墙+上网行为管理” 防火墙是 IDS是 IPS是 IPS是什么？ IPS的种类 1. 基于主机的入侵防护(HIPS) HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品，它们在防范红色代码和Nimda的攻击中，能起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。 IPS的种类 2. 基于网络的入侵防护(NIPS) NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。 IPS的种类 3.应用入侵防护（AIP） NIPS产品有一个特例，即应用入侵防护（Application Intrusion Prevention ，AIP），它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备，配置在应用数据的网络链路上，以确保用户遵守设定好的安全策略，保护服务器的安全。NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的主机/服务器操作系统平台无关。NIPS的实时检测与阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高，每一层次的交换机都有可能集成入侵防护功能。 IPS主要功能与特性 检测机制 由于需要具备主动阻断能力，检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍，Juniper产品中使用了包括状态签名、协议异常、后门检测、流量异常、混合式攻击检测在内的“多重检测技术”，以提高检测和阻断的准确程度。McAfee 公司则在自己的实验室里加强了对溢出型漏洞的研究和跟踪，把针对溢出型攻击的相应防范手段推送到IPS 设备的策略库中。国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术，通过研究漏洞特征，将其加入到过滤规则中，IPS就可以发现符合漏洞特征的所有攻击流量，在冲击波及其变种大规模爆发时，直接将其阻断，从而赢得打补丁的关键时间。 IPS主要功能与特性 弱点分析 IPS产品的发展前景取决于攻击阻截功能的完善。引入弱点分析技术是IPS完善攻击阻截能力的重要依据.IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征，使IPS 能够主动保护脆弱系统。 IPS主要功能与特性 环境配置 IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的，而对于另外的用户来说就是正常流量，这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段，以提高检测准确率。McAfee、Juniper、ISS、冰峰网络等公司同时都在IPS中提供了调优机制，使IPS通过自学习提高检测的准确性。 IPS主要功能与特性 兼容性 所有的用户都希望用相对少的投入，建设一个最安全、最易管理的网络环境。IPS如若需达到全面防护工作，则还要把其它网络管理功能集成起来，如网络管理、负载均衡、日志管理等，各自分工，但紧密协作。 2. 典型IPS产品的功能 （1） 天融信TopIDP产品的主要功能