基于策略的安全防御
隨著網絡攻擊技術的不斷提高和網絡安全漏洞的不斷發現,傳統防火墻技術加傳統IDS的技術,已經無法應對一些安全威脅。在這種情況下,IPS技術應運而生,IPS技術可以深度感知并檢測流經的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網絡帶寬資源。
IPS如何實現深度檢測和入侵抵御
對于部署在數據轉發路徑上的IPS,可以根據預先設定的安全策略,對流經的每個報文進行深度檢測(協議分析跟蹤、特征匹配、流量統計分析、事件關聯分析等),如果一旦發現隱藏于其中網絡攻擊,可以根據該攻擊的威脅級別立即采取抵御措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次TCP連接。
![]("http://tech.ccidnet.com/pub/attachment/2006/6/731261.jpg")
在哪里部署
進行了以上分析以后,我們可以得出結論,辦公網中,至少需要在以下區域部署IPS,即辦公網與外部網絡的連接部位(入口/出口);重要服務器集群前端;辦公網內部接入層。至于其它區域,可以根據實際情況與重要程度,酌情部署。
如何部署
在以下案例中,我們可以看到以IPS為核心的多種網絡深度檢測/實時抵御的方案;不同的方案,在不同的應用場景當中,可以適當地擴充或簡化。
一、 基于策略的安全防御
1. 位于辦公網入口的IPS通過應用層協議分析跟蹤和特征匹配,發現目的地為業務服務器A的HTTP數據流中隱藏有針對Windows操作系統的DCOM漏洞的惡意利用;
2. IPS將此安全事件上報至管理中心;
3. 管理中心獲取服務器A的基本信息;
4. 管理中心根據獲取的A的信息,判斷該訪問是否會造成危害,如果A不運行Windows操作系統或者A確實運行Windows但是已經打了針對DCOM漏洞的補丁,則A是安全的;
5. 根據情況,管理中心向IPS下發制定的安全策略;
6. IPS執行安全策略,放行或者阻斷此次連接請求。
事實上,在這里我們描述的是需要管理中心介入的情況,在一些相對簡單的情況下,如果我們事先可以確認服務器集群所運行的操作系統(在90%的情況下這是可能的),那么抵御該網絡攻擊的規則可以直接施加在IPS上,不再需要與管理中心的交互,從而降低部署的復雜度、提高效率。
二、應用感知的智能防御
1. 辦公網用戶訪問Internet上的WWW服務器;
2. IPS檢測到該請求,判斷該請求符合事先設定的安全策略,放行;
3. 該用戶與外部服務器的連接建立;
4. 該用戶試圖通過已經建立的連接,利用二次代理,發起對某非法或不良網站的訪問請求;
5. 根據對應用層協議的深度分析和內容識別,IPS檢測到該企圖,阻斷該次HTTP連接;
6. 上報該安全事件到管理中心備查;
7. IPS可以根據管理中下發的策略,對該用戶進行一定時間的懲罰(拒絕該用戶后續的上網請求)。
三、行為分析的智能防御,阻止病毒、蠕蟲泛濫
1. 某辦公網用戶通過公共區域網絡訪問業務服務器集群;
2. 正常連接建立后,位于服務器集群前端的IPS檢測到來自該用戶的通信流量中隱藏有某種病毒的行為特征,立即阻斷該用戶的此次訪問,并且上報該安全事件給管理中心;
3. 管理中心分析該安全事件,根據報文信息定位到該用戶,并且制定新的安全策略;
4. 接入管理更改該用戶的安全等級,下發更新的安全策略給相關網絡設備;
5. 更新了安全策略的網絡設備將該用戶隔離至某特定區域,避免該病毒感染其他網絡用戶,并采取后續行動。
IPS深度檢測與入侵抵御的關鍵技術
高性能、高可靠性的硬件平臺
依賴于對網絡設備體系架構的深刻理解和強大的設計開發能力,華為3Com為IPS產品設計了專用的高性能硬件平臺。該平臺徹底拋棄了目前市面上常見的工控機架構。
協議分析與跟蹤技術
通過前面的分析,我們可以看到協議分析與跟蹤對IPS設備的重要性。與傳統防火墻不同的是,IPS不但要分析和跟蹤IP、ICMP、UDP、TCP這幾種網絡層、傳輸層的協議,而且,還要對HTTP、HTTPS、FTP、TFTP、SNMP、Telnet、SMTP、POP、DNS、RPC、LDAP、ICQ、MSN、Yahoo Messenger等眾多的應用層協議進行分析、跟蹤。沒有對網絡協議和操作系統的深刻理解,要完成這件工作是不可能的。華為3Com已經具備了在操作系統的內核級別對應用協議進行全面跟蹤、深度分析的實力;而且,在引入網絡處理器后,所有的邏輯檢測和協議分析、跟蹤都要下移到網絡處理器中,采用微碼實現,進一步提高系統性能。
特征匹配的性能
從海量的數據中去尋找一定的特征,在計算領域,這歷來是一個高計算量、高復雜度的問題;而IPS的報文內容識別,恰恰要基于此工作。那么,如何解決這個CPU殺手和提高設備性能之間的矛盾呢?
華為3Com采用專用的硬件加速卡來解決這個問題。基于專門的內容查找芯片設計的硬件加速卡在系統中與CPU、網絡處理器協同工作,在需要對報文進行內容搜索的情況下,為CPU和網絡處理器卸載負擔,使得CPU和網絡處理器可以專注于報文處理和邏輯檢測,從而將內容搜索對系統效率的影響降至最低。目前華為3Com設計的硬件加速卡,可以在千兆的環境下線速地處理流量。
