1、DPtech IPS2000入侵防御系统,1,目 录,2,根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)报告,网络安全事件依然持续不断爆发。,安全事件不断爆发,2009 年CNCERT 共接收21927 件网络安全事件报告,3,趋势一:网络无边界,边界在哪里?,VPN、移动办公、无线网络等应用日渐增多,网络边界日益模糊,以防火墙为代表的传统边界安全防护手段无能为力,4,趋势二:新业务模式层出不穷,WEB2.0,云计算,P2P应用,网上支付,5,趋势三:安全漏洞不断爆发,Zero Day Attack!,网络设备、操作系统、数据库软件、应用软件漏洞数不胜数 微软操作系统视频功能
2、组件高危漏洞 微软Office 组件高危漏洞 微软IE 浏览器0day 漏洞 域名系统软件Bind 9 高危漏洞 ,6,趋势四:安全威胁多样化,应用层 安全威胁,蠕虫/病毒,DoS/DDoS,间谍软件,网络钓鱼,带宽滥用,垃圾邮件,7,趋势五:利益驱动下的信息犯罪,越来越多信息安全事件是以经济利益为驱动 病毒、木马、攻击已形成产业链,8,目 录,9,DPtech IPS2000产品系列,百兆级,千兆级,万兆级,IPS2000-MC-N,IPS2000-TS-N,IPS2000-MA-N,IPS2000-GS-N,IPS2000-GE-N,IPS2000-MS-N,IPS2000-ME-N,IP
3、S2000-GA-N,迪普科技拥有从百兆至万兆的全系列入侵防御系统,可覆盖中小型企业、大型企业以及运营商的各种应用层安全防护需求。,10,DPtech IPS2000产品系列,IPS2000-MC/MS/MA-N,IPS2000-MEN,千兆光口,千兆电口,管理口,串口,11,DPtech IPS2000产品系列,IPS2000-GS/GA-N,IPS2000-GE-N,12,DPtech IPS2000产品系列,IPS2000-TS-N,13,DPtech IPS2000产品系列,14,DPtech系列产品硬件架构,多核CPU硬件架构提高CPU处理能力,多核并发处理网络流量,提高设备处理性能
4、内置FPGA硬件以及硬件逻辑检测引擎通过FPGA的硬件检测引擎,极大的提高设备性能以及设备的竞争力,DPtech系列产品硬件架构,内置高速网络转发和处理芯片网络接口密度高、数量多、接口类型丰富,能够满足各种部署和组网需求掉电保护模块保证在异常断电等各种突发环境下的网络可用性,从而保证设备的可靠性,15,DPtech系列产品软件架构,16,网络操作系统平台自主研发的高性能网络操作系统平台,支撑各种不同的网络产品,同时保障相同产品的各种款型系列资源整合深度流检测引擎高精度、高性能、低误报率的深度流检测引擎,通过对网络报文内容的深度检测,充分挖掘流量特征,为网络协议分析、IPS攻击、病毒检测、审计分
5、析、url过滤等提供准确的信息,DPtech系列产品软件架构,17,Web应用防护引擎对HTTP报文进行细致分析,完成协议切分、进行解码处理、进行负载处理以及进行语法和语义分析,防护多种Web攻击DDos检测引擎基于报文内容和统计学原理,精确识别各种DDos攻击,18,目 录,19,超强性能,多核CPU+大容量FPGA,实现不同会话的并行处理硬件网络加速单元NA按照不同的报文内容,将不同的会话分发到不同的CPU进行处理,同时实现CPU间均衡负载分担深度流检测引擎只进行一次匹配,输出检测结果供后续策略模块使用(该会话的应用协议、是否命中攻击规则,是否命中病毒特征,是否命中URL特征,是否命中DD
6、os特征等),20,超强性能,10GE 通道,10GE 通道,FPGA,CPU,交换芯片,转发,报文,21,超强性能,深度流检测引擎,Web防护引擎,DDos引擎,FPGA,协议分析引擎,其他业务,CPU,10GE 通道,转发,交换芯片,10GE 通道,报文,22,深度流检测引擎,采用多模式匹配算法算法的性能与特征多少无关,并保证检测高性能。随着分析的深入,数量越来越庞大的特征对设备整体性能无任何影响通用检测引擎检测引擎只需对报文内容检测一次,即能满足多种检测需求,如协议特征、病毒特征、IPS特征、url特征等各种特征挖掘,大大提高多复杂并发业务的检测性能,23,IPS攻击防护,漏洞都是由于应
7、用系统的错误导致的,针对不同的防护对象可以开启不同的防护策略IPS具备全面的攻击防护功能 Web安全 缓冲区溢出漏洞 操作系统漏洞 恶意代码 协议异常功能,24,IPS攻击防护-Web安全-SQL注入,原理 利用程序中的漏洞,构造特殊的SQL语句并提交以获取敏感信息危害 获取系统控制权 未经授权状况下操作数据库的数据 恶意篡改网页内容 私自添加系统帐号或数据库使用者帐号,25,IPS攻击防护-Web安全-SQL注入案例1,某论坛用户登录的页面代码如下:,$sql = “SELECT * FROM user WHERE username = $username AND pwd = $passwo
8、rd“; $result = mysql_query($sql) ;,IE中正常的URL如下: http:/a.b.c.d/user.php?username=dptech&pwd=dptech SQL语句为:SELECT * FROM user WHERE username = dptech AND pwd = dptech,26,IPS攻击防护-Web安全-SQL注入案例1,构造如下的URL: http:/a.b.c.d/user.php?username=dptech/*,实际插入的SQL语句变为: SELECT * FROM user WHERE username = dptech/*
9、 AND pwd = ,27,IPS攻击防护-Web安全-SQL注入案例2,某论坛用户修改密码的页面代码如下:,$sql = “UPDATE $tblname SET pwd = $password WHERE username = $username“; $result = mysql_query($sql) ;,IE中正常的URL如下: http:/a.b.c.d/changepwd.php?username=dptech&pwd=dptech SQL语句为:UPDATE user SET pwd = dptech WHERE username = dptech,28,IPS攻击防护-We
10、b安全-SQL注入案例2,实际插入的SQL语句变为: UPDATE user SET pwd = abcd,level=3 WHERE username = isis,构造如下的URL: http:/a.b.c.d/changepwd.php?username=dptech&pwd=abcd ,level=3,29,IPS攻击防护-Web安全-SQL注入防范,1.通过分析SQL语法和语义,进行精确识别2.只在GET消息的URL部分和POST消息的负载部分检测,减少误报 3.针对知名SQL注入工具进行特征提取(穿山甲、HDSL) 4.支持主流数据库的注入攻击(SQL Server/Mysql/O
11、racle) 5.支持SQL注入探测(and攻击/or攻击/数据库类型查询攻击/表名查询攻击等) 6. 支持SQL注入攻击(联合查询攻击/数据更新攻击/数据删除攻击/通过数据库执行系统命令攻击),30,IPS攻击防护-Web安全-XSS,原理 网站对输入过滤不严格 攻击者往Web页面的html代码中插入恶意的数据,用户认为该页面是可信赖的,当用户浏览该页之时,嵌入Web页里的恶意代码/脚本会被执行危害 存在漏洞的是网站,被攻击的是浏览该网站的用户,31,IPS攻击防护-Web安全-XSS案例,假设某BBS网站可以发贴 1、攻击者在发贴区域发布脚本,其中包含恶意代码,例如重定向到某个恶意网站 d
12、ocument.localiton=http:/ 2、浏览者正常浏览该页面,正常情况下应该看到发布的内容,但服务器在传给客户端的HTML页面中包含了这段代码,导致用户的页面被重定向到恶意网站 3、恶意网站可以收集访问它的用户的个人信息,32,IPS攻击防护-Web安全-XSS防护,1.通过分析XSS的语义,进行精确识别2.只在GET消息的URL部分和POST消息的负载部分检测,减少误报3.针对各种XSS攻击探测进行识别(alert攻击/script攻击/iframe攻击) 4.支持多个Web应用程序攻击( phpCommunityCalendar/ Tikiwiki/PHPBB等跨站脚本攻击)
13、,33,IPS攻击防护-Web安全-其他,LDAP注入目录穿越命令注入PHP文件包含,34,IPS攻击防护-缓冲区溢出,原理 栈溢出 堆溢出危害 获取系统控制权,35,IPS攻击防护-缓冲区溢出-MS08-067,MS08-067:服务器服务中的漏洞可能允许远程执行代码 漏洞原因:Windows系统在处理特定格式的RPC请求时,在解析其中目录格式的时候存在缓冲区溢出漏洞,远程攻击者可以通过这个漏洞实现对系统的完全控制攻击报文:,36,IPS攻击防护-缓冲区溢出防范,IE/FireFox/Netsacape等各种浏览器溢出漏洞(MS06-055/MS07-069/MS08-010/MS09-05
14、7/MS10-002等IE溢出漏洞) 各种客户端应用程序溢出漏洞(QQ软件/迅雷下载软件/暴风影音/中国游戏中心/微软Ofiice Word Excel等办公软件) 各种网络设备溢出漏洞(Cisco IOS/Cisco ACS/ D-Link路由器) Web服务器溢出漏洞(IIS/Apache),37,IPS攻击防护-操作系统漏洞,原理 操作系统对外提供网络服务存在溢出漏洞危害 获取系统控制权,38,IPS攻击防护-操作系统漏洞防范,Windows操作系统(包括MS05-039/MS05-047/MS080-067/MS09-001等最近几年微软发布的操作系统安全漏洞) Unix类操作系统漏洞
15、(包括Unix/Linux/FreeBSD) 3. Novell操作系统漏洞(包括 edirectory/ Novell Distributed Print Services等操作系统安全漏洞) 4. Solaris操作系统漏洞(主要为Solaris系统提供的各种网络服务漏洞),39,IPS攻击防护-恶意代码,蠕虫攻击( Beagle.AA/尼姆达/飞客蠕虫/ Nachi.B等) 木马攻击(冰河/任我行/广外男生/NetSky/ bersek等) 钓鱼攻击(中国银行/工商银行/农业银行等) 间谍软件攻击( Adware hxdl/ Hijacker starware toolbar/ Keyl
16、ogger keylogger pro/ Adware web-nexus等),40,IPS攻击防护-协议异常,多媒体协议异常攻击(SIP/H.323)邮件协议异常攻击(SMTP/POP3)FTP协议异常攻击,41,病毒防护,从越来越多的病毒通过网络进行传播,到绝大部分病毒都是通过网络进行传播内嵌卡巴斯基病毒库并持续更新,准确识别市面上传播的病毒通过深度流检测引擎,能快速识别此流量是否带有病毒。结合协议分析引擎,能够准确查杀承载在HTTP、FTP、TFTP、邮件等多种应用之上的病毒,42,病毒防护,主动防护通过将检测出病毒的报文进行阻断,并通过断开恶意连接以及主动将恶意流阻断等方式,让受害主机
17、或服务器接受不到任何恶意报文。病毒库实时更新保证病毒库的准确性,43,URL过滤,url分类库对海量url进行分类,url分类库的url条目数达到1000万条的级别。分类管理对url进行分类管理,如对成人暴力类url进行过滤使用快速内存索引算法快速内存索引算法保证海量url的高效率和低误报率,44,URL过滤,支持用户自定义url用户可灵活配置定义url,如通过配置IP和主机名,也可通过配置url特征(正则表达式)实现任意url的深度识别结合深度流检测引擎和协议分析引擎的HTTP子引擎,以及内存索引算法,可高效对海量url进行处理主动防护通过将违法url进行阻断以及主动断开违法连接达到主动防护
18、的目的,45,Dos/DDos,SYN 半连接攻击,46,Dos/DDos,DDoS 攻击,47,Dos/DDos,Syn flood是一种最常见的DDoS攻击。服务器接受syn报文后需要消耗资源保存半连接状态,通过大量的非法泛洪syn报文,迫使服务器消耗大量的资源保存非法半连接而不能提供正常服务Syn cookie算法是专门针对syn flood攻击进行防护的技术。通过截取syn报文,并使用不消耗任何资源的算法计算出cookie值并给客户端syn_ack应答,达到保护服务器的目的,48,Dos/DDos防范,泛洪攻击(SYN Flood/UDP Flood/ICMP Flood/DHCP F
19、lood) DNS Reply攻击/DNS Request攻击/DNS 固定域名攻击/DNS 热点域名攻击CC攻击等,49,带宽管理,通过特征库分析,识别800+种以上应用 采用智能令牌桶技术,进行精确限速 对每IP按照网络应用进行限速 按照接口以及按照网络应用进行限速 对关键应用可以进行带宽保证 对非法应用进行阻断,50,目 录,51,路由器,交换机,DPtech IPS,内部网络,路由器,交换机,DPtech IPS,镜像,IPS在线部署方式 部署于网络的关键路径上,对流经的数据流进行2-7层深度分析,实时防御外部和内部攻击。,IDS旁路部署方式 对网络流量进行监测与分析,记录攻击事件并告
20、警。,IPS典型组网,内部网络,52,断电保护设备-PFP,53,IPS正常时,流量情况: IN-1-2-A-B-3-4-OUTIPS异常时,流量情况: IN-1-4-OUT,断电保护设备-PFP,54,目 录,55,登陆IPS的Web页面,PC直连设备管理口,缺省IP地址为192.168.0.1;用户名:admin,密码:admin,56,添加IP用户组,在【网络管理】-【网络用户组】中,添加IP用户组,57,添加管理路由,如果设备需要跨网段管理,则需在【网络管理】-【单播IPv4路由】中,添加指定或默认路由,58,下发IPS策略,在【IPS规则】中创建规则后,引用到【IPS策略】中的指定接
21、口,59,IPS日志输出到UMC,在【日志管理】-【业务日志】中,开启将IPS日志输出UMC功能(IP:UMC安装服务器的IP地址,PORT:9514),60,流量分析日志输出到UMC,在【审计分析】-【流量分析】中,开启将流量分析日志输出UMC功能(IP:UMC安装服务器的IP地址,PORT:9502),61,登陆UMC的Web页面,在服务器安装UMC后,用IE访问其网卡IP地址(注:UMC地址需与IPS管理地址互通),用户名:admin,密码:UMCAdministrator,62,添加IPS设备,在【设备管理】-【设备列表】中,添加IPS设备,63,UMC与IPS时间同步,在【系统管理】
22、-【时间同步配置】中,点击“立即同步”(注:UMC与IPS时间不一致,会影响日志统计),64,查看日志情况,在【网络监控】中查看流量分析日志,在【攻击监控】中查看IPS日志(如果未使用UMC,则在IPS设备【IPS日志】中查看),65,目 录,66,IE使用6.0或更高版本,首次登陆请清空IE缓存管理口缺省IP地址为192.168.0.1 缺省用户名是admin,密码是admin设备支持管理员使用HTTP/HTTPS协议登陆web管理界面的总数最多为5个,准备工作,67,Console口配置管理地址,配置管理口地址不同设备型号管理口名称不同 Console口初始密码为DPTECH,68,软件版
23、本升级,通过WEB页面导入软件版本,并指定为下次启动版本,重启后自动加载指定版本,完成软件版本升级,69,FAQ,为什么管理口配了IP地址,PC却Ping不通? 在同网段中,需同属一网段;在不同网段中,需在IPS设备上添加相应的路由。 在WEB界面上直接对管理口的IP设置修改,会有什么结果? 会导致当前WEB界面无法访问,需要重新访问修改后的IP地址。,70,FAQ,当设备异常断电时,之前在WEB界面上的配置是否保存? 保存,设备开启情况下,对于操作与配置都是实时保存的。 设备上的USB接口做什么用的? 外置断电保护PFP,以及3G扩展。 我有特征库文件,为什么不能升级? 需要导入相应Lice
24、nse。,71,FAQ,已将软件版本导入设备的CF卡中,为什么重启后不能加载该版本? 须将该版本状态选为“使用中”才可。 设备运行一段时间后,发现部分系统日志和操作日志不见了,为什么? 在无手动删除的情况下,查看是否超过了保存该日志的时间。,72,FAQ,输出到UMC的业务日志和流量分析的端口号是什么? 业务日志是9514,流量分析日志是9502。 为什么配置策略的时候,优先使用指定用户组,而不用All users? 做到对业务的细化,同时过滤多余信息。,73,FAQ,接入设备后,发现接口协商成半双工产生丢包,怎么办? 需要双方都强制相应的速率和双工状态 。 如果IPS与UMC系统时间间隔过大
25、,有何影响? UMC产生的日志会有相应的滞后,建议安装UMC后,立即开启时间同步功能 。,74,FAQ,如何快速诊断UMC的运行状态? 在设备已配置了流量分析、业务日志发送到UMC,且参数正确情况下,双击Windows系统任务栏上的UMC客户端,可直接查看UMC运行状态 查看UMC的设备管理中,是否有IPS设备信息。(若无设备信息,需手动添加) 在IPS配置正常,且已经触发业务日志或者流量分析,但UMC没日志情况下。使用抓包工具,查看安装UMC服务器上的网卡是否收到了9514或者9502的报文:有报文,则需排查是否是本地防火墙等安全类软件导致;无报文,查看IPS到UMC的链路情况(路由,访问控制策略等),75,FAQ,我开启了特征库自动升级,为什么没有生效? 在License有效的情况下,确定设备可以直接访问互联网。(使用诊断工具Ping外网IP地址,确保设备管理口到公网访问畅通),
