IPS是如何實現(xiàn)深度檢測和入侵抵御的 |
發(fā)布時間: 2012/7/3 18:35:50 |
隨著網(wǎng)絡攻擊技術的不斷提高和網(wǎng)絡安全漏洞的不斷發(fā)現(xiàn),傳統(tǒng)防火墻技術加傳統(tǒng)IDS的技術,已經(jīng)無法應對一些安全威脅。在這種情況下,IPS技術應運而生,IPS技術可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網(wǎng)絡帶寬資源。 IPS如何實現(xiàn)深度檢測和入侵抵御 對于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS,可以根據(jù)預先設定的安全策略,對流經(jīng)的每個報文進行深度檢測(協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關聯(lián)分析等),如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡攻擊,可以根據(jù)該攻擊的威脅級別立即采取抵御措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次TCP連接。
在哪里部署 進行了以上分析以后,我們可以得出結(jié)論,辦公網(wǎng)中,至少需要在以下區(qū)域部署IPS,即辦公網(wǎng)與外部網(wǎng)絡的連接部位(入口/出口);重要服務器集群前端;辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域,可以根據(jù)實際情況與重要程度,酌情部署。 如何部署 在以下案例中,我們可以看到以IPS為核心的多種網(wǎng)絡深度檢測/實時抵御的方案;不同的方案,在不同的應用場景當中,可以適當?shù)財U充或簡化。 一、 基于策略的安全防御 1. 位于辦公網(wǎng)入口的IPS通過應用層協(xié)議分析跟蹤和特征匹配,發(fā)現(xiàn)目的地為業(yè)務服務器A的HTTP數(shù)據(jù)流中隱藏有針對Windows操作系統(tǒng)的DCOM漏洞的惡意利用; 2. IPS將此安全事件上報至管理中心; 3. 管理中心獲取服務器A的基本信息; 4. 管理中心根據(jù)獲取的A的信息,判斷該訪問是否會造成危害,如果A不運行Windows操作系統(tǒng)或者A確實運行Windows但是已經(jīng)打了針對DCOM漏洞的補丁,則A是安全的; 5. 根據(jù)情況,管理中心向IPS下發(fā)制定的安全策略; 6. IPS執(zhí)行安全策略,放行或者阻斷此次連接請求。
本文出自:億恩科技【mszdt.com】 |