网络管理员教程精讲之IPS8563.pdf

《网络管理员教程精讲之IPS8563.pdf》由会员分享，可在线阅读，更多相关《网络管理员教程精讲之IPS8563.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 网络管理员 http:/ 网络管理员教程精讲之 IPS 下 面 是 希 赛 小 编 为 大 家 整 理 的 软 考 网 络 管 理 员 备 考 知 识 点 精讲 之 IPS，希 望 能 帮 助 学 友 们。简 介 防 火 墙 是 实 施 访 问 控 制 策 略 的 系 统，对 流 经 的 网 络 流 量 进 行检 查，拦 截 不 符 合 安 全 策 略 的 数 据 包。入 侵 检 测 技 术（IDS）通 过监 视 网 络 或 系 统 资 源，寻 找 违 反 安 全 策 略 的 行 为 或 攻 击 迹 象，并发 出 报 警。传 统 的 防 火 墙 旨 在 拒 绝 那 些 明 显 可 疑 的 网

2、 络 流 量，但仍 然 允 许 某 些 流 量 通 过，因 此 防 火 墙 对 于 很 多 入 侵 攻 击 仍 然 无 计可 施。绝 大 多 数 IDS系 统 都 是 被 动 的，而 不 是 主 动 的。也 就 是 说，在 攻 击 实 际 发 生 之 前，它 们 往 往 无 法 预 先 发 出 警 报。而 入 侵 防 护系 统（IPS）则 倾 向 于 提 供 主 动 防 护，其 设 计 宗 旨 是 预 先 对 入 侵 活动 和 攻 击 性 网 络 流 量 进 行 拦 截，避 免 其 造 成 损 失，而 不 是 简 单 地在 恶 意 流 量 传 送 时 或 传 送 后 才 发 出 警 报。IPS

3、是 通 过 直 接 嵌 入 到网 络 流 量 中 实 现 这 一 功 能 的，即 通 过 一 个 网 络 端 口 接 收 来 自 外 部系 统 的 流 量，经 过 检 查 确 认 其 中 不 包 含 异 常 活 动 或 可 疑 内 容 后，再 通 过 另 外 一 个 端 口 将 它 传 送 到 内 部 系 统 中。这 样 一 来，有 问 题的 数 据 包，以 及 所 有 来 自 同 一 数 据 流 的 后 续 数 据 包，都 能 在 IPS设 备 中 被 清 除 掉。IPS实 现 实 时 检 查 和 阻 止 入 侵 的 原 理 在 于 IPS拥 有 数 目 众 多的 过 滤 器，能 够 防 止

4、 各 种 攻 击。当 新 的 攻 击 手 段 被 发 现 之 后，IPS就 会 创 建 一 个 新 的 过 滤 器。IPS数 据 包 处 理 引 擎 是 专 业 化 定 制 的集 成 电 路，可 以 深 层 检 查 数 据 包 的 内 容。如 果 有 攻 击 者 利 用 Layer 2（介 质 访 问 控 制）至 Layer 7（应 用）的 漏 洞 发 起 攻 击，I PS 能够 从 数 据 流 中 检 查 出 这 些 攻 击 并 加 以 阻 止。传 统 的 防 火 墙 只 能 对Layer 3或 Layer 4进 行 检 查，不 能 检 测 应 用 层 的 内 容。防 火 墙的 包 过 滤

5、技 术 不 会 针 对 每 一 字 节 进 行 检 查，因 而 也 就 无 法 发 现 攻击 活 动，而 IPS可 以 做 到 逐 一 字 节 地 检 查 数 据 包。所 有 流 经 IPS 网络管理员 http:/ 的 数 据 包 都 被 分 类，分 类 的 依 据 是 数 据 包 中 的 报 头 信 息，如 源 IP地 址 和 目 的 IP 地 址、端 口 号 和 应 用 域。每 种 过 滤 器 负 责 分 析 相 对应 的 数 据 包。通 过 检 查 的 数 据 包 可 以 继 续 前 进，包 含 恶 意 内 容 的数 据 包 就 会 被 丢 弃，被 怀 疑 的 数 据 包 需 要 接

6、受 进 一 步 的 检 查。针对 不 同 的 攻 击 行 为，IPS需 要 不 同 的 过 滤 器。每 种 过 滤 器 都 设 有相 应 的 过 滤 规 则，为 了 确 保 准 确 性，这 些 规 则 的 定 义 非 常 广 泛。在 对 传 输 内 容 进 行 分 类 时，过 滤 引 擎 还 需 要 参 照 数 据 包 的 信 息 参数，并 将 其 解 析 至 一 个 有 意 义 的 域 中 进 行 上 下 文 分 析，以 提 高 过滤 的 准 确 性。过 滤 器 引 擎 集 合 了 流 水 和 大 规 模 并 行 处 理 硬 件，能够 同 时 执 行 数 千 次 的 数 据 包 过 滤 检

7、查。并 行 过 滤 处 理 可 以 确 保 数据 包 能 够 不 间 断 地 快 速 通 过 系 统，不 会 对 速 度 造 成 影 响。这 种 硬件 加 速 技 术 对 于 IPS具 有 重 要 意 义，因 为 传 统 的 软 件 解 决 方 案 必须 串 行 进 行 过 滤 检 查，会 导 致 系 统 性 能 大 打 折 扣。种 类 1.基 于 主 机 的 入 侵 防 护（HIPS）HIPS 通 过 在 主 机/服 务 器 上 安 装 软 件 代 理 程 序，防 止 网 络 攻击 入 侵 操 作 系 统 以 及 应 用 程 序。基 于 主 机 的 入 侵 防 护 能 够 保 护 服务 器

8、的 安 全 弱 点 不 被 不 法 分 子 所 利 用。Cisco公 司 的 Okena、NAI公 司 的 McAfee Entercept、冠 群 金 辰 的 龙 渊 服 务 器 核 心 防 护 都 属于 这 类 产 品，因 此 它 们 在 防 范 红 色 代 码 和 Nimda的 攻 击 中，起 到了 很 好 的 防 护 作 用。基 于 主 机 的 入 侵 防 护 技 术 可 以 根 据 自 定 义 的安 全 策 略 以 及 分 析 学 习 机 制 来 阻 断 对 服 务 器、主 机 发 起 的 恶 意 入侵。HIPS 可 以 阻 断 缓 冲 区 溢 出、改 变 登 录 口 令、改 写 动

9、 态 链 接 库以 及 其 他 试 图 从 操 作 系 统 夺 取 控 制 权 的 入 侵 行 为，整 体 提 升 主 机的 安 全 水 平。在 技 术 上，HIPS采 用 独 特 的 服 务 器 保 护 途 径，利 用由 包 过 滤、状 态 包 检 测 和 实 时 入 侵 检 测 组 成 分 层 防 护 体 系。这 种体 系 能 够 在 提 供 合 理 吞 吐 率 的 前 提 下，最 大 限 度 地 保 护 服 务 器 的敏 感 内 容，它 既 可 以 软 件 形 式 嵌 入 到 应 用 程 序 对 操 作 系 统 的 调 用当 中，通 过 拦 截 针 对 操 作 系 统 的 可 疑 调 用

10、，提 供 对 主 机 的 安 全 防 网络管理员 http:/ 护；也 可 以 更 改 操 作 系 统 内 核 程 序 的 方 式，提 供 比 操 作 系 统 更 加严 谨 的 安 全 控 制 机 制。由 于 HIPS工 作 在 受 保 护 的 主 机/服 务 器 上，它 不 但 能 够 利 用 特 征 和 行 为 规 则 检 测，阻 止 诸 如 缓 冲 区 溢 出 之 类的 已 知 攻 击，还 能 够 防 范 未 知 攻 击，防 止 针 对 Web页 面、应 用 和资 源 的 未 授 权 的 任 何 非 法 访 问。HIPS与 具 体 的 主 机/服 务 器 操 作系 统 平 台 紧 密 相

11、 关，不 同 的 平 台 需 要 不 同 的 软 件 代 理 程 序。2.基 于 网 络 的 入 侵 防 护（NIPS）NIPS 通 过 检 测 流 经 的 网 络 流 量，提 供 对 网 络 系 统 的 安 全 保护。由 于 它 采 用 在 线 连 接 方 式，所 以 一 旦 辨 识 出 入 侵 行 为，NIPS就 可 以 去 除 整 个 网 络 会 话，而 不 仅 仅 是 复 位 会 话。同 样 由 于 实 时在 线，NIPS需 要 具 备 很 高 的 性 能，以 免 成 为 网 络 的 瓶 颈，因 此 NIPS通 常 被 设 计 成 类 似 于 交 换 机 的 网 络 设 备，提 供 线

12、 速 吞 吐 速 率 以 及多 个 网 络 端 口。NIPS 必 须 基 于 特 定 的 硬 件 平 台，才能 实 现 千 兆 级 网 络 流 量 的深 度 数 据 包 检 测 和 阻 断 功 能。这 种 特 定 的 硬 件 平 台 通 常 可 以 分 为三 类：一 类 是 网 络 处 理 器（网 络 芯 片），一 类 是 专 用 的 FPGA编 程芯 片，第 三 类 是 专 用 的 ASIC芯 片。在 技 术 上，NIPS吸 取 了 目 前 NIDS的 所 有 成 熟 技 术，包 括 特征 匹 配、协 议 分 析 和 异 常 检 测。特 征 匹 配 是 最 广 泛 应 用 的 技 术，具 有

13、 准 确 率 高、速 度 快 的 特 点。基 于 状 态 的 特 征 匹 配 不 但 可 以 检测 攻 击 行 为 的 特 征，还 能 检 查 当 前 网 络 的 会 话 状 态，避 免 受 到 欺骗 攻 击。协 议 分 析 是 一 种 较 新 的 入 侵 检 测 技 术，它 充 分 利 用 网 络 协 议的 高 度 有 序 性，并 结 合 高 速 数 据 包 捕 捉 和 协 议 分 析，来 快 速 检 测某 种 攻 击 特 征。协 议 分 析 正 在 逐 渐 进 入 成 熟 应 用 阶 段。协 议 分 析能 够 理 解 不 同 协 议 的 工 作 原 理，以 此 分 析 这 些 协 议 的

14、数 据 包，来寻 找 可 疑 或 不 正 常 的 访 问 行 为。协 议 分 析 不 仅 仅 基 于 协 议 标 准（如RFC），还 基 于 协 议 的 具 体 实 现，这 是 因 为 很 多 协 议 的 实 现 偏 离 了协 议 标 准。通 过 协 议 分 析，IPS能 够 针 对 插 入（Insertion）与 规避（Evasion）攻 击 进 行 检 测。异 常 检 测 的 误 报 率 比 较 高，NIPS 网络管理员 http:/ 不 将 其 作 为 主 要 技 术。3.应 用 入 侵 防 护（A IP）NIPS 产 品 有 一 个 特 例，即 应 用 入 侵 防 护（Applicat

15、ion Intrusion Prevention,AIP），它 把 基 于 主 机 的 入 侵 防 护 扩 展 成为 位 于 应 用 服 务 器 之 前 的 网 络 设 备。A I P被 设 计 成 一 种 高 性 能 的设 备，配 置 在 应 用 数 据 的 网 络 链 路 上，以 确 保 用 户 遵 守 设 定 好 的安 全 策 略，保 护 服 务 器 的 安 全。NIPS工 作 在 网 络 上，直 接 对 数 据包 进 行 检 测 和 阻 断，与 具 体 的 主 机/服 务 器 操 作 系 统 平 台 无 关。NIPS 的 实 时 检 测 与 阻 断 功 能 很 有 可 能 出 现 在

16、未 来 的 交 换 机上。随 着 处 理 器 性 能 的 提 高，每 一 层 次 的 交 换 机 都 有 可 能 集 成 入侵 防 护 功 能。技 术 特 征 （1）嵌 入 式 运 行：只 有 以 嵌 入 模 式 运 行 的 IPS设 备 才 能 够 实现 实 时 的 安 全 防 护，实 时 阻 拦 所 有 可 疑 的 数 据 包，并 对 该 数 据 流的 剩 余 部 分 进 行 拦 截。（2）深 入 分 析 和 控 制：IPS必 须 具 有 深 入 分 析 能 力，以 确 定哪 些 恶 意 流 量 已 经 被 拦 截，根 据 攻 击 类 型、策 略 等 来 确 定 哪 些 流量 应 该 被

17、拦 截。（3）入 侵 特 征 库：高 质 量 的 入 侵 特 征 库 是 IPS高 效 运 行 的 必要 条 件，IPS还 应 该 定 期 升 级 入 侵 特 征 库，并 快 速 应 用 到 所 有 传感 器。（4）高 效 处 理 能 力：IPS必 须 具 有 高 效 处 理 数 据 包 的 能 力，对 整 个 网 络 性 能 的 影 响 保 持 在 最 低 水 平。IPS面 临 的 挑 战 IPS技 术 需 要 面 对 很 多 挑 战，其 中 主 要 有 三 点：一 是 单 点 故障，二 是 性 能 瓶 颈，三 是 误 报 和 漏 报。设 计 要 求 IPS必 须 以 嵌 入 模 式 工 作

18、 在 网 络 中，而 这 就 可 能 造成 瓶 颈 问 题 或 单 点 故 障。如 果 IDS出 现 故 障，最 坏 的 情 况 也 就 是 网络管理员 http:/ 造 成 某 些 攻 击 无 法 被 检 测 到，而 嵌 入 式 的 IPS设 备 出 现 问 题，就会 严 重 影 响 网 络 的 正 常 运 转。如 果 IPS出 现 故 障 而 关 闭，用 户 就会 面 对 一 个 由 IPS造 成 的 拒 绝 服 务 问 题，所 有 客 户 都 将 无 法 访 问企 业 网 络 提 供 的 应 用。即 使 IPS设 备 不 出 现 故 障，它 仍 然 是 一 个 潜 在 的 网 络 瓶 颈

19、，不 仅 会 增 加 滞 后 时 间，而 且 会 降 低 网 络 的 效 率，I PS 必 须 与 数 千兆 或 者 更 大 容 量 的 网 络 流 量 保 持 同 步，尤 其 是 当 加 载 了 数 量 庞 大的 检 测 特 征 库 时，设 计 不 够 完 善 的 IPS嵌 入 设 备 无 法 支 持 这 种 响应 速 度。绝 大 多 数 高 端 IPS产 品 供 应 商 都 通 过 使 用 自 定 义 硬 件（FPGA、网 络 处 理 器 和 ASIC芯 片）来 提 高 IPS的 运 行 效 率。误 报 率 和 漏 报 率 也 需 要 IPS认 真 面 对。在 繁 忙 的 网 络 当 中，

20、如 果 以 每 秒 需 要 处 理 十 条 警 报 信 息 来 计 算，IPS每 小 时 至 少 需 要处 理 36,000条 警 报，一 天 就 是 864,000条。一 旦 生 成 了 警 报，最基 本 的 要 求 就 是 IPS能 够 对 警 报 进 行 有 效 处 理。如 果 入 侵 特 征 编写 得 不 是 十 分 完 善，那 么 误 报 就 有 了 可 乘 之 机，导 致 合 法 流 量也 有 可 能 被 意 外 拦 截。对 于 实 时 在 线 的 IPS来 说，一 旦 拦 截 了 攻 击 性 数 据 包，就 会 对 来 自 可 疑 攻 击 者 的 所 有 数 据 流 进 行 拦 截。如 果 触 发 了 误 报 警 报 的 流 量 恰 好 是 某 个 客 户 订 单 的 一 部 分，其 结果 可 想 而 知，这 个 客 户 整 个 会 话 就 会 被 关 闭，而 且 此 后 该 客 户 所有 重 新 连 接 到 企 业 网 络 的 合 法 访 问 都 会 被 IPS拦 截。