- 1、本文档共16页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
H3CIPS技术白皮书课件
H3C IPS技术白皮书
杭州华三通信技术有限公司
目录
1. 概述 4
1.1. 相关术语 4
1.1.1. 段(segment) 4
1.2. 网络安全现状 4
1.3. 基于网络的攻击与检测技术 6
2. 威胁的识别 6
2.1. 基于滥用误用的带宽管理技术 6
2.2. 在应用中识别入侵威胁 8
2.3. 协议异常检测 8
2.4. 拒绝服务检测技术 9
2.5. 基于流状态特征检测技术 11
3. 安全响应 11
3.1. 允许 11
3.2. 阻断 11
3.3. 通知 12
3.4. 流量控制 12
4. IPS 安全策略 12
5. 安全更新 13
6. 安全审计 13
6.1. 日志内容 13
6.1.1. 操作日志 13
6.1.2. 系统日志 14
6.1.3. 攻击日志 14
6.2. 日志的查询 14
6.3. 日志的输出 14
7. 典型组网案例 14
7.1. 企业出口部署 14
7.2. 保护IDC 15
7.3. 旁路模式部署 16
8. 总结和展望 16
概述相关术语
网络安全现状
融入全球化的Internet是企业网络发展的必然趋势,每个企业的Intranet都会有许多与外部连接的链路,如通过专线连入Internet,提供远程接入服务供业务伙伴和出差员工访问等,企业网络边界的淡化,使得企业所面临的威胁的增多了,只要一个访问入口防护不完整,则“黑客”将可以入侵企业,获取或者破坏数据。
随着全球化网络步伐的加快,威胁的涌现和传播速度也越来越快,如著名的SQL Slammer,在爆发时,每8.5秒感染范围就扩展一倍,在10分钟内感染了全球90%有漏洞的机器;威胁和应用也越来越息息相关,如下图体现了这个趋势:
图 11 威胁与应用息息相关
同时随着网络越来越普及,攻击工具也越来越成熟、自动化程度变高以及趋于平民化,使用者无需了解太多的知识就可以完成一次攻击,如下图显示了这个趋势:
图 12 攻击正变的越来越简单
目前Internet面临的安全威胁从方法上有如下几种:
漏洞利用,比如针对软件操作系统对内存操作的缺陷,采用缓冲区溢出方法,以获得高操作权限运行攻击代码;如著名的微软MS05-047 Windows UMPNPMGR wsprintfW 栈溢出漏洞(即Windows即插即用服务的缓存区存在的溢出漏洞);
欺骗攻击,如IP地址欺骗等,其利用TCP/IP协议建立的未认证连接的缺陷进行源IP地址的伪造,从而达到访问关键信息的目的;
蠕虫/病毒,蠕虫/病毒是目前网络上最为常见的威胁,其具有传播快覆盖广的特点,如红色代码病毒(Code Red),曾经在12小时之内,覆盖全部的Internet网络,给全球带来了极大的危害;通常蠕虫/病毒通过利用现有系统软件的一些漏洞,从而达到传播的目的;
木马,通常在系统中会秘密打开一个访问程序,以绕过系统的安全策略,从而达到获取信息的目的;
拒绝服务攻击,通常称之为DoS/DDoS,其通过单台或者多台设备作为攻击的发起者,对一个特定的目标进行DoS攻击,占用大量目标机的资源,让目标机无法为外界提供服务,从而达到破坏的目的。通常拒绝服务攻击会伴随着采用IP地址欺骗等方法以隐藏攻击者的目的;
带宽滥用,对于企业来说,非业务数据流(如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击 )消耗了大量带宽,轻则影响企业业务无法正常运作,重则致使企业IT系统瘫痪,如目前最流行的BT、eMule、eDonkey等协议。据统计,当前中国的P2P流量中BT占了60%,据此可见一斑;
基于网络的攻击与检测技术
IPS作为入侵防护设备,其基本的功能是识别尽可能多的攻击,同时又避免不必要的误报以及保证企业有限的带宽不被滥用。为了达到上述目标,单纯采用一种技术手段是无法做到的,H3C独创的UCIE(Universal Content Inspection Engine,统一内容检测引擎)创新性的融合了多种内容识别技术,保证了系统能够快速高效的发现异常流量并阻断,同时保证正常业务的开展。UCIE主要包括如下几项技术:
基于流的状态特征检测技术。基于攻击固定特征的检测是IDS/IPS最基本攻击检测技术,而基于流的状态特征检测技术与以往技术的不同点在于,可以是基于协议上下文的特征检测技术,这样可以很好的避免误报的发生。如某一个特征只在三次会话之后的client方向发生,则检测时只会针对这部分数据流进行检测,而不会引起误报;
协议异常检测技术。通常也叫协议分析,即对照RFC规范对通讯的协议进行检查,这对于检测基于RFC未规范一些未知攻击或新的攻击非常有效;同时对于基于固定特征的逃逸也具有先天的免疫;
智能的自适应多层次防护技术(Intelligent Adapt Multi-Level Pr
您可能关注的文档
- GSM天馈系统优化讲义.ppt
- 时间序列相关介绍.pptx
- GSM优化培训.ppt
- GSM投诉处理流程及案例分析.doc
- GSM天线原理.ppt
- GSM_ERICSSON_基站设备基础知识.ppt
- GSM介绍.ppt
- GSM移动网优题库.doc
- GSM系统掉话原因及解决方法.doc
- GSM系统基本原理培训材料-1.ppt
- 【抓重点·破难点】《气候与天气》(原卷版).doc
- 第05课寻觅社会的真谛(精讲课件)-2023年高考政治一轮复习讲练测(新教材新高考).pptx
- 山东省滨州市邹平市第二中学高一期中考试地理试题(解析版).docx
- 江苏省盐城市亭湖高级中学2022-2023学年高三上学期期末地理试题(原卷版).docx
- 信息必刷卷05-2023年高考地理考前信息必刷卷(重庆专用)(解析版).docx
- 专题03 物质运输与能量的利用-备战2024年高考生物二轮复习考点归纳与解题策略(原卷版).docx
- 利用时空分布规律 (1).docx
- 第01课国体与政体(精讲课件)-2023年高考政治一轮复习讲练测(新教材新高考).pptx
- 江苏省连云港市赣榆智贤中学2023-2024学年高三上学期9月模拟考试地理试题(原卷版).docx
- 期末真题必刷卷(二)2022-2023学年高二地理下学期期末真题必刷卷(天津专用)(原卷版).docx
文档评论(0)