1、IPS入侵防御系統(tǒng)介紹技術(shù)創(chuàng)新，變革未來IPS（Intrusion Prevention System ，入侵防御系統(tǒng)）作為網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵設(shè)備，在當(dāng)今網(wǎng)絡(luò)安全防范體系架構(gòu)中占據(jù)著極其重要的位置。本課程系統(tǒng)地介紹了IPS技術(shù)的應(yīng)用背景、發(fā)展歷程、原理、主要功能以及工作模式等，同時還介紹了H3C IPS功能的配置管理方法。引入了解應(yīng)用層安全威脅了解IPS的基本概念掌握IPS的工作模式和應(yīng)用場景掌握IPS的主要功能和實現(xiàn)原理掌握H3C UTM產(chǎn)品IPS功能的基本配置課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：安全威脅發(fā)展趨勢應(yīng)用層安全威脅分析IPS的發(fā)展背景和技術(shù)演進(jìn)IPS主要功能和防護(hù)原理IPS工作模式

2、和典型應(yīng)用場景H3C UTM產(chǎn)品IPS功能配置和維護(hù)目錄根據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱CNCERT/CC）報告，計算機(jī)犯罪近年來平均每年至少以50的驚人速度在遞增！計算機(jī)犯罪行為愈演愈烈移動辦公的普及無線網(wǎng)絡(luò)的廣泛應(yīng)用90%以上的計算機(jī)會感染了間諜軟件、廣告軟件、木馬和病毒等惡意軟件后果：重要數(shù)據(jù)丟失，機(jī)器被遠(yuǎn)程控制，病毒和蠕蟲在內(nèi)網(wǎng)恣意傳播趨勢一：網(wǎng)絡(luò)邊界的消失漏洞數(shù) x 系統(tǒng)數(shù) = 天文數(shù)字 趨勢二：威脅和應(yīng)用息息相關(guān)Zero Day Attack！趨勢三：威脅涌現(xiàn)和傳播速度越來越快 SQL Slammer案例每8.5 秒感染范圍就擴(kuò)展一倍在10分鐘內(nèi)感染了全球90有漏洞的機(jī)

3、器趨勢三：威脅涌現(xiàn)和傳播速度越來越快（續(xù)）趨勢四：利益驅(qū)動導(dǎo)致威脅越來越多技術(shù)驅(qū)動MWisdomoney利益驅(qū)動銷售漏洞、敲詐勒索利用黑客技術(shù)進(jìn)行敲詐勒索互聯(lián)網(wǎng)黑市交易（漏洞/SHELL）僵尸網(wǎng)絡(luò)生財有道利用僵尸網(wǎng)絡(luò)發(fā)動DoS攻擊網(wǎng)絡(luò)釣魚日漸流行間諜/廣告軟件背后的利益空間趨勢五：攻擊變的越來越簡單趨勢六：攻擊產(chǎn)業(yè)化漏洞研究者工具開發(fā)者惡意軟件開發(fā)者病毒蠕蟲間諜軟件木馬工具銷售者直接攻擊建立僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)：租賃、販賣、勒索間諜活動企業(yè)/政府欺詐銷售點擊率非法/惡意競爭偷竊勒索盈利商業(yè)銷售金融欺詐攻擊執(zhí)行者DDoS垃圾郵件釣魚敏感信息竊取IT資源消耗拒絕服務(wù)安全威脅發(fā)展趨勢應(yīng)用層安全威脅分析I

4、PS的發(fā)展背景和技術(shù)演進(jìn)IPS主要功能和防護(hù)原理IPS工作模式和典型應(yīng)用場景H3C UTM產(chǎn)品IPS功能配置和維護(hù)目錄網(wǎng)絡(luò)釣魚蠕蟲病毒拒絕服務(wù)帶寬濫用垃圾郵件無所不在的網(wǎng)絡(luò)安全威脅間諜軟件應(yīng)用層威脅簡介安全漏洞：遠(yuǎn)程入侵的突破口系統(tǒng)安全漏洞軟件安全漏洞緩沖區(qū)溢出漏洞攻擊最常見的漏洞緩沖區(qū)溢出攻擊向程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，以達(dá)到攻擊的目的。根本原因是缺少錯誤檢測堆棧溢出攻擊（stack smashing attack）函數(shù)指針溢出攻擊（function pointer attack） Web應(yīng)用攻擊針對Web應(yīng)用的攻擊是近

5、幾年最常發(fā)生的安全威脅攻擊結(jié)果： 網(wǎng)頁篡改 網(wǎng)頁掛馬 帳號失竊 傀儡機(jī) 釣魚網(wǎng)站 拒絕服務(wù)最常用攻擊方式： SQL注入攻擊 基礎(chǔ)軟件漏洞利用 跨站腳本攻擊 舉個例子說明原理：在網(wǎng)站管理登錄頁面要求帳號密碼認(rèn)證時，如果攻擊者在“UserID”輸入框內(nèi)輸入“Everybody”，在密碼框里輸入“anything or 1=1”，提交頁面后，查詢的SQL語句就變成了：Select from user where username=everyboby and password=anything or 1=1。不難看出，由于“1=1”是一個始終成立的條件，判斷返回為“真”，密碼的限制形同虛設(shè)，不管用戶的

6、密碼是不是Anything，他都可以以Everybody的身份遠(yuǎn)程登錄，獲得后臺管理權(quán)，在網(wǎng)站上發(fā)布任何信息。 SQL注入攻擊攻擊原理：利用Web應(yīng)用程序（網(wǎng)頁程序）對用戶的網(wǎng)頁輸入數(shù)據(jù)缺少必要的合法性判斷的程序設(shè)計漏洞，攻擊者將惡意的SQL命令注入到后臺數(shù)據(jù)庫，達(dá)到攻擊目的。 攻擊后果：非法獲得網(wǎng)站權(quán)限、網(wǎng)頁篡改、網(wǎng)頁掛馬、竊取網(wǎng)站數(shù)據(jù)等。舉個例子說明原理：如攻擊者可在URL中加入“function()”，則存在跨站腳本漏洞的網(wǎng)站就會執(zhí)行攻擊者的function()。攻擊者在網(wǎng)頁上輸入精心構(gòu)造的HTML或JavaScript代碼網(wǎng)站數(shù)據(jù)庫網(wǎng)站W(wǎng)eb程序網(wǎng)站W(wǎng)eb程序其他受害客戶跨站腳本漏洞攻

7、擊攻擊原理：攻擊者利用網(wǎng)站程序?qū)τ脩舻妮斎霙]有進(jìn)行充分的有效性檢驗和敏感詞過濾的漏洞，輸入精心構(gòu)造的HTML或Java script腳本，當(dāng)其他合法的用戶瀏覽到該頁面時，將執(zhí)行惡意攻擊者留下的代碼，遭受攻擊者的進(jìn)一步攻擊。攻擊后果：網(wǎng)頁掛馬、拒絕服務(wù)正常網(wǎng)站攻擊者獲得網(wǎng)站權(quán)限，或者在網(wǎng)站上注入惡意代碼攻擊者利用網(wǎng)站的漏洞網(wǎng)站漏洞基礎(chǔ)軟件漏洞應(yīng)用系統(tǒng)漏洞操作系統(tǒng)漏洞Web服務(wù)器漏洞ASP/PHP/CGI漏洞數(shù)據(jù)庫漏洞SQL輸入檢查漏洞 - SQL注入攻擊HTML輸入檢查漏洞 - 跨站腳本攻擊網(wǎng)站被控制網(wǎng)頁被篡改網(wǎng)頁被掛馬帳號失竊成為傀儡機(jī)拒絕服務(wù)Web應(yīng)用攻擊總結(jié)什么是網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲：一種通過

8、網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性,如傳播性、隱蔽性、破壞性等等；同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中）,對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等。兩種主要傳播方式： 1、利用遠(yuǎn)程系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)傳播，如阻擊波、震蕩波、SQL蠕蟲王； 2、利用電子郵件、IM、局域網(wǎng)共享等進(jìn)行網(wǎng)絡(luò)傳播，如愛蟲、求職信蠕蟲； 有的蠕蟲會綜合以上兩種方式進(jìn)行網(wǎng)絡(luò)傳播，如Nimda、熊貓燒香等。蠕蟲造成的危害： 1、消耗主機(jī)資源，甚至破 壞主機(jī)系統(tǒng)，造成主機(jī)拒絕服務(wù)； 2、蠕蟲傳播造成的流量導(dǎo)致網(wǎng)絡(luò)擁塞， 甚至導(dǎo)致整個互聯(lián)網(wǎng)癱瘓、失控； 3、蠕蟲與黑客技術(shù)等相結(jié)合，竊取受害 者的敏感信

9、息或者控制受害者主機(jī)。蠕蟲類型和傳播速度系統(tǒng)漏洞型群發(fā)郵件型共享型寄生型混合型蠕蟲類型利用漏洞的攻擊過程掃描ABC開啟了445端口 網(wǎng)絡(luò)蠕蟲發(fā)送針對多個目標(biāo)IP的445端口的SYN請求報文，以判斷目標(biāo)機(jī)是否開啟了445端口攻擊機(jī)目標(biāo)網(wǎng)絡(luò)ABC開啟了445端口，且存在漏洞 網(wǎng)絡(luò)蠕蟲向開啟了445端口的目標(biāo)機(jī)B發(fā)送溢出報文，如果B沒打相關(guān)補丁，溢出成功，蠕蟲獲得B的系統(tǒng)權(quán)限攻擊機(jī)目標(biāo)機(jī) 利用漏洞的攻擊過程溢出、獲得權(quán)限ABC被蠕蟲控制 網(wǎng)絡(luò)蠕蟲蠕蟲控制目標(biāo)機(jī)B：1、指使B通過FTP從攻擊機(jī)上下載蠕蟲程序；2、指使B運行下載的蠕蟲程序。攻擊機(jī)目標(biāo)機(jī)利用漏洞的攻擊過程蠕蟲控制目標(biāo)機(jī)ABC 蠕蟲 網(wǎng)絡(luò)蠕

10、蟲攻擊機(jī)成為攻擊機(jī)利用漏洞的攻擊過程目標(biāo)機(jī)成為蠕蟲蠕蟲的傳播和防御蠕蟲的傳播過程：探測滲透扎根傳播破壞隔離限制免疫治療防御蠕蟲過程：為所有的系統(tǒng)及時打上漏洞補丁用IPS來檢查蠕蟲的活動用訪問控制來限制蠕蟲傳播用PVLAN來保護(hù)關(guān)鍵服務(wù)器用網(wǎng)管工具來追蹤被感染的主機(jī)通過CAR來限制蠕蟲流量全網(wǎng)部署病毒掃描措施駐留在計算機(jī)的系統(tǒng)中，收集有關(guān)用戶信息，并發(fā)送給軟件的發(fā)布者在用戶不知情的情況下進(jìn)行 什么是間諜軟件間諜軟件分類與危害間諜軟件的分類 瀏覽器劫持：例如，CoolWebSearchIE工具條和彈出窗口：例如，某些網(wǎng)絡(luò)廣告Winsock劫持中間人代理：MarketScore間諜軟件的危害 耗費網(wǎng)

11、絡(luò)帶寬 占用大量硬盤和CPU資源 修改IE設(shè)置、安裝后門、病毒泄漏個人信息什么是網(wǎng)絡(luò)釣魚典型的釣魚過程釣魚者Victim Web Server受害用戶發(fā)送釣魚郵件受害者點擊釣魚URL釣魚網(wǎng)站被瀏覽受害者發(fā)送機(jī)密信息入侵主機(jī)，安裝釣魚網(wǎng)站和垃圾郵件箱Mail Drop Service信息被發(fā)送到另外一個郵箱釣魚者索取信息木馬木馬程序通常包括客戶端和服務(wù)器端。木馬就是利用客戶端對服務(wù)器端進(jìn)行遠(yuǎn)程控制的程序。木馬的傳播方式：偽裝工具程序，誘騙運行捆綁在知名工具程序中利用漏洞侵入后，安裝木馬下載器下載木馬威脅日益嚴(yán)峻木馬威脅增長快速商業(yè)化運作跡象明顯2007年新增病毒分布68.7117.336.123

12、.514.33木馬蠕蟲腳本漏洞病毒惡意廣告其他病毒P2P簡介P2P：全稱叫做“Peer-to-Peer”，即對等互聯(lián)網(wǎng)絡(luò)技術(shù)（點對點網(wǎng)絡(luò)技術(shù)），它讓用戶可以直接連接到其它用戶的計算機(jī)，進(jìn)行文件共享與交換。P2P流量泛濫帶來的安全問題： 占用大量企業(yè)網(wǎng)絡(luò)帶寬資源，企業(yè)關(guān)鍵業(yè)務(wù)受影響； 大量上傳下載，容易造成病毒、木馬等惡意代碼的傳播，嚴(yán)重威脅企業(yè)信息安全。DoS/DDoS攻擊DoS(Denial of Service，拒絕服務(wù))攻擊造成服務(wù)器或網(wǎng)絡(luò)設(shè)備拒絕提供正常服務(wù)的攻擊行為被稱為DoS攻擊DDoS (Distributed Denial of Service，分布式拒絕服務(wù))攻擊指借助于客戶

13、/服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或者多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力DoS/DDoS的危害 服務(wù)器宕機(jī)，業(yè)務(wù)中斷 大面積斷網(wǎng)，網(wǎng)絡(luò)癱瘓DoS 攻擊是導(dǎo)致去年損失最為慘重的計算機(jī)犯罪事件，其帶來的損失是其它各類攻擊造成損失總和的兩倍有余。” 2004 年CSI/FBI 計算機(jī)犯罪及安全調(diào)查。 網(wǎng)上黑客每周發(fā)起的DoS攻擊超過了4000次DDoS攻擊分類 資源占領(lǐng)型一對一進(jìn)行攻擊如：SYN Flood with IP Spoofing多對一進(jìn)行攻擊如：TFN 系統(tǒng)漏洞型網(wǎng)絡(luò)層如： Ping of Death應(yīng)用層如： Windows漏洞DDoS攻擊模型

14、受害者攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸軍團(tuán)應(yīng)用層安全威脅占主流上述分析的安全威脅中除了網(wǎng)絡(luò)層DDoS以外，其他安全威脅都是應(yīng)用層的安全威脅應(yīng)用層安全威脅成為互聯(lián)網(wǎng)壓倒性的威脅應(yīng)用層安全威脅的防范成為網(wǎng)絡(luò)安全的首要課題 存在的安全威脅 物理層安全威脅 IT系統(tǒng)網(wǎng)絡(luò)層應(yīng)用層網(wǎng)絡(luò)層次安全威脅發(fā)展趨勢應(yīng)用層安全威脅分析IPS的發(fā)展背景和技術(shù)演進(jìn)IPS主要功能和防護(hù)原理IPS工作模式和典型應(yīng)用場景H3C UTM產(chǎn)品配置和維護(hù)目錄 不同網(wǎng)絡(luò)層次面臨的安全威脅中間件數(shù)據(jù)庫操作系統(tǒng)HTTPSMTPDNSSQLP2PTCPUDPIP ICMP路由協(xié)議以太網(wǎng)ARP/RARP 物理鏈

15、路IM應(yīng)用程序應(yīng)用層網(wǎng)絡(luò)層鏈路層物理層層次主要安全威脅知名安全事故舉例防護(hù)技術(shù)物理層設(shè)備或傳輸線路物理損壞07年初，多條國際海底通信光纜發(fā)生中斷防盜、防震、防災(zāi)等鏈路層ARP欺騙、廣播風(fēng)暴07年，ARP病毒產(chǎn)生的ARP欺騙造成部分高校大面積斷網(wǎng)MAC地址綁定、VLAN隔離、安全組網(wǎng)網(wǎng)絡(luò)層訪問控制問題、協(xié)議異常、網(wǎng)絡(luò)層DDoS90年代末的Teardrop、Land攻擊；00年2月，雅虎、亞馬遜等被大流量攻癱安全域技術(shù)、防火墻技術(shù)應(yīng)用層漏洞利用、掃描探測、協(xié)議異常、蠕蟲、病毒、木馬、釣魚、SQL注入、P2P、應(yīng)用層DDoS 舉不勝舉入侵防御技術(shù)8/scripts/.%c0%af./winnt/sy

16、stem32/cmd.exe?/c+dir+c:Internet互聯(lián)網(wǎng)用戶FireWallPort 80Web servicesWeb enabled appsIM trafficRich mediaInternet access80 HTTP絕大部分攻擊是通過應(yīng)用層完成的，而不是網(wǎng)絡(luò)層來完成的。防火墻無法解決應(yīng)用層安全問題1987198819901995 Denning在博士論文中提出了一個抽象的入侵檢測專家系統(tǒng)模型，第一次提出把入侵檢測作為解決計算機(jī)系統(tǒng)安全問題的手段 Morris蠕蟲事件使得Internet約5天無法正常使用，該事件導(dǎo)致了許多IDS系統(tǒng)的開發(fā)研制。 美國軍方、美國國家計算

17、機(jī)安全中心均開發(fā)了主機(jī)型IDS。 1990年，Heberlein提出基于網(wǎng)絡(luò)的IDS：NSM(網(wǎng)絡(luò)安全監(jiān)視)，用來檢測所監(jiān)視的廣域網(wǎng)的網(wǎng)絡(luò)流量中的可疑行為。 IDS從嘗試性、研究性，開始走向市場化。200320001998 IPS在國外成為入侵防御產(chǎn)品的主流，美國軍方等均使用IPS。 國際著名咨詢機(jī)構(gòu)Gartner副總裁Richard Stiennon發(fā)表：IDS is dead。 美國安全廠商提出IPS概念，并發(fā)布IPS產(chǎn)品。 隨后，國外安全廠商紛紛推出IPS。 Martin Roesch 發(fā)布了開源IDS：Snort。2005 H3C推出了國內(nèi)首款I(lǐng)PS產(chǎn)品，并逐漸在大量的應(yīng)用中得到客戶的

18、認(rèn)可，解決了實際安全問題，培育了IPS市場。2008 IPS在國內(nèi)取得了大量應(yīng)用，用戶群體包括銀行數(shù)據(jù)中心、證券、運營商、電力等行業(yè)。IPS的技術(shù)演進(jìn)安全威脅發(fā)展趨勢應(yīng)用層安全威脅分析IPS的發(fā)展背景和技術(shù)演進(jìn)IPS主要功能和防護(hù)原理IPS工作模式和典型應(yīng)用場景H3C UTM產(chǎn)品IPS功能配置和維護(hù)目錄IPS定義包頭內(nèi)部網(wǎng)絡(luò) IPS防火墻協(xié)議數(shù)據(jù)內(nèi)容InternetIPS（Intrusion Prevention System，入侵防御系統(tǒng)），是一種基于應(yīng)用層、主動防御的產(chǎn)品，它以在線方式部署于網(wǎng)絡(luò)關(guān)鍵路徑上，通過對數(shù)據(jù)報文的深度檢測，實時發(fā)現(xiàn)威脅并主動進(jìn)行處理。目前已成為應(yīng)用層安全防護(hù)的主流

19、設(shè)備。數(shù)據(jù)流重組協(xié)議識別分析并行處理支持近千種協(xié)議特征分析 并行處理包括攻擊特征、病毒特征轉(zhuǎn)發(fā)限流、整形阻斷、重定向、隔離等IPS的基本原理 數(shù)據(jù)流重組：把數(shù)據(jù)流重組到連接會話中 協(xié)議識別分析：分析錯誤、識別流量、解析協(xié)議載荷 特征模式匹配：依靠已有數(shù)據(jù)庫來進(jìn)行攻擊特征或模式的匹配 根據(jù)不同的預(yù)設(shè)條件對經(jīng)過分析的數(shù)據(jù)執(zhí)行不同策略定制策略H3C的SecPath T系列IPS產(chǎn)品ISP/大型數(shù)據(jù)中心大型企業(yè)總部大型分支/中型企業(yè)中型分支/小型企業(yè)SOHO/小型分支SecPath T1000-CSecPath T1000-ASecPath T1000-MSecPath T5000-A3ISP/大型數(shù)

20、據(jù)中心大型企業(yè)總部大型分支/中型企業(yè)中型分支/小型企業(yè)/SOHO無源連接設(shè)備PFCSecPath PFCSecBalde IPS超萬兆IPS+SecPath T200-ASecPath T1000-SSecPath T200-MSecPath T200-SH3C的SecPath T系列IPS產(chǎn)品特點高精度高效率的檢測引擎全面及時的攻擊特征庫多重高可靠性安全與網(wǎng)絡(luò)深度融合集成強(qiáng)大的防病毒引擎強(qiáng)大靈活的管理功能H3C SecPath T 系列IPS基于時間特性的帶寬管理和URL過濾 Anti-DDoS網(wǎng)絡(luò)層次越高資產(chǎn)價值越大L5-L7: Application LayerL4: Transport

21、 LayerL3: Network LayerL2: Lnk LayerL1: Phy. Layer路由器傳統(tǒng)防火墻TCP/IP StackNICOSesWeb ServersWeb ApplicationFrameworksApplications風(fēng)險越高越迫切需要被保護(hù)Application DataSession IDHTTP Request/RespondTCP ConnectionIP PacketEthernet PacketBit on WireL4-7層業(yè)務(wù)感知 只有在線內(nèi)對流量進(jìn)行處理，才能真正阻擋出現(xiàn)在網(wǎng)絡(luò)上出現(xiàn)的攻擊服務(wù)器防火墻IDS報警 !發(fā)送TCPRST指令，終止TC

22、P連接重新配置防火墻，使其能阻擋來自攻擊地址的流量防火墻與IDS聯(lián)動無法實現(xiàn)整個操作要花100毫秒的時間 ，這對現(xiàn)代微秒級的網(wǎng)絡(luò)來說是一個巨大的延時 事后防御，不能阻擋單包攻擊 IPS能在一個攻擊發(fā)生危害之前，對其實施阻擋根據(jù)每個數(shù)據(jù)包，作出允許還是拒絕的決定，不需要與防火墻聯(lián)動線內(nèi)操作方式 服務(wù)器防火墻IDS線內(nèi)操作，并且以網(wǎng)速運行，只要檢測到攻擊，就進(jìn)行阻擋高效高精度的檢測引擎FIRST：Full Inspection with Rigorous State Test，基于精確狀態(tài)的全面檢測數(shù)據(jù)流狀態(tài)跟蹤分片重組流量分析流恢復(fù)丟棄報文報文正規(guī)化協(xié)議識別分析并行處理支持近千種協(xié)議特征分析 并

23、行處理包括攻擊特征、病毒特征丟棄報文、隔離限流阻斷、重定向、隔離等正常數(shù)據(jù)流黑白流匹配丟棄報文全面的特征庫卡巴斯基專業(yè)防病毒特征庫擁有10萬種病毒特征漏洞庫漏洞特征庫數(shù)量3000+協(xié)議庫可實時檢測和識別800多種應(yīng)用層協(xié)議漏洞庫協(xié)議庫病毒庫綜合防御H3C SecPath IPS業(yè)界唯一及時的特征庫更新漏洞分析、攻擊分析、協(xié)議分析漏洞特征庫生成蜜罐系統(tǒng)跟蹤操作系統(tǒng)、數(shù)據(jù)庫、瀏覽器、服務(wù)器、中間件、網(wǎng)頁軟件、應(yīng)用軟件等系統(tǒng)的漏洞研究”Zero-Day“漏洞、ZDI組織與CVE、SANS、微軟、Commtouch、卡巴斯基等合作 分析歸納出漏洞特征和攻擊特征 分析歸納出應(yīng)用協(xié)議的特征 生成特定格式的

24、特征規(guī)則庫 對漏報、誤報進(jìn)行嚴(yán)格驗證H3C攻防研究團(tuán)隊生成攻擊特征庫和協(xié)議庫H3C攻防研究團(tuán)隊漏洞特征庫生成嚴(yán)格的攻防驗證H3C 鑒定測試中心漏洞特征庫生成特征庫上網(wǎng)發(fā)布H3C 用服部門 自動升級 手動升級及時更新的特征庫配合強(qiáng)大的檢測引擎，實現(xiàn)虛擬補丁卡巴斯基病毒庫卡巴斯基P2P流量游戲流量視頻流量業(yè)務(wù)流量全面的應(yīng)用識別協(xié)議庫P2P流量業(yè)務(wù)流量可基于應(yīng)用、時間段、IP地址、IP地址組、Vlan等策略進(jìn)行靈活控制強(qiáng)大的帶寬管理能精確識別并限制P2P/IM、炒股軟件、網(wǎng)絡(luò)多媒體、網(wǎng)絡(luò)游戲等應(yīng)用，限流粒度可以精確到8Kbps視頻流量游戲流量強(qiáng)大的DDoS防御流量異常檢測流量模型學(xué)習(xí)和基線閾值設(shè)置連

25、接限制（Established Connection Flood）連接速率限制（Connection Per Second Flood）有效請求SecPath IPS允許有效請求通過服務(wù)器黑客代理傀儡機(jī)傀儡機(jī)代理代理代理代理代理熱插撥，雙電源支持 支持二層回退功能內(nèi)置的高可用性（二層回退） 借助于掉電保護(hù)模塊，可保證IPS掉電時，網(wǎng)絡(luò)依然暢通。T1000系列內(nèi)置掉電保護(hù)模塊（內(nèi)置優(yōu)勢：微秒級切換時間）掉電保護(hù)模塊PFC（Power Free Connector)高可靠性檢測引擎正常模式檢測引擎二層交換模式PFC主機(jī)網(wǎng)絡(luò)流量USB供電SecPath IPS交換機(jī)交換機(jī)豐富、靈活的全中文界面管理功

26、能設(shè)備管理：攻擊事件報表：攻擊事件分布：攻擊事件查詢：安全與網(wǎng)絡(luò)的融合智能聯(lián)動服務(wù)器區(qū)IPS防火墻2、IPS檢測到安全異常, 上報SecCenter（syslog）3、Seccenter將syslog信息根據(jù)預(yù)定策略匯聚分析，將需要聯(lián)動的告警上報給安全管理中心（TRAP）EAD4、安全管理中心收到告警后查找攻擊源，通過EAD/UAM對攻擊源下發(fā)聯(lián)動策略匯聚交換機(jī)核心交換機(jī)SecCenterISCC1、經(jīng)過EAD認(rèn)證的用戶進(jìn)行掃描、蠕蟲等攻擊操作，造成安全威脅內(nèi)網(wǎng)防護(hù)的策略：對非法攻擊阻斷并查找攻擊源，徹底保障內(nèi)網(wǎng)安全EAD用戶EAD用戶EAD用戶5、EAD/UAM通過交換機(jī)對用戶權(quán)限進(jìn)行控制告

27、警安全管理中心網(wǎng)站被控制網(wǎng)頁被篡改網(wǎng)頁被掛馬帳號失竊上傳惡意代碼成為惡意網(wǎng)站安全威脅防范網(wǎng)站側(cè)檢測點攻擊者獲得網(wǎng)站權(quán)限，或者在網(wǎng)站上注入惡意代碼正常網(wǎng)站攻擊者利用網(wǎng)站的漏洞網(wǎng)站漏洞基礎(chǔ)軟件漏洞應(yīng)用系統(tǒng)漏洞操作系統(tǒng)漏洞Web服務(wù)器漏洞ASP/PHP/CGI漏洞數(shù)據(jù)庫漏洞SQL輸入檢查漏洞 - SQL注入攻擊HTML輸入檢查漏洞 - 跨站腳本攻擊(1)(2)基礎(chǔ)軟件漏洞特征，檢測并阻斷應(yīng)用系統(tǒng)漏洞的通用特征檢測并阻斷對典型惡意代碼的樣本進(jìn)行提取,根據(jù)樣本特征,阻斷惡意代碼上傳安全威脅防范用戶側(cè)檢測點正常用戶惡意代碼利用用戶的系統(tǒng)漏洞用戶系統(tǒng)漏洞操作系統(tǒng)漏洞應(yīng)用程序漏洞Windows漏洞IE漏洞.R

28、ealPlay漏洞Flash Player漏洞播放器漏洞網(wǎng)游客戶端漏洞被植入木馬的傀儡機(jī)訪問惡意網(wǎng)頁(1)對用戶側(cè)軟件漏洞進(jìn)行分析，提取特征，檢測并阻斷利用軟件漏洞的惡意代碼報文防火墻交換機(jī)H3C IPSIDCIP重組TCP流恢復(fù)協(xié)議識別HTTP協(xié)議分析HTTP解碼分析SQL注入原理，歸納出常見SQL注入的特征，如HTTP提交的SQL特殊字符和SQL語句關(guān)鍵詞深入分析HTTP協(xié)議，確保SQL注入特征與HTTP協(xié)議結(jié)合起來特征庫團(tuán)隊跟蹤最新SQL注入技術(shù)，及時研究總結(jié)解決方法，并發(fā)布特征庫H3C IPS設(shè)備提供策略定制，可根據(jù)客戶網(wǎng)站的實際情況，定制檢測策略SQL注入防范分析跨站腳本攻擊行為，歸

29、納出常見跨站攻擊的特征，如HTML、Javascript等特殊字符和關(guān)鍵字深入分析HTTP協(xié)議，確保跨站攻擊特征與HTTP協(xié)議結(jié)合起來基于行為分析的攻擊識別技術(shù)實現(xiàn)精確阻斷，通過異常行為特征匹配準(zhǔn)確識別攻擊行為防范跨站腳本攻擊H3C IPS防御系統(tǒng)漏洞主機(jī)操作系統(tǒng)漏洞，如Windows、Linux、Unix等應(yīng)用程序漏洞，如IE、Adobe、Office等網(wǎng)絡(luò)操作系統(tǒng)漏洞，如思科IOS等中間件漏洞，如WebShpere、WebLogic等數(shù)據(jù)庫漏洞，如SQL Server、Oracle等本土軟件漏洞，如聯(lián)眾游戲、暴風(fēng)影音等H3C IPS防御木馬、后門木馬活動過程掛馬種馬木馬活動木馬傳播方式利用

30、目標(biāo)機(jī)系統(tǒng)漏洞傳播誘使用戶點擊運行木馬程序木馬下載器更新木馬變種移動介質(zhì)H3C IPS防御網(wǎng)絡(luò)釣魚主要釣魚網(wǎng)站相關(guān)的特征規(guī)則H3C IPS防御間諜軟件、廣告軟件截止09年12月，間諜軟件相關(guān)特征規(guī)則共450條H3C IPS防御DDoS攻擊允許有效請求通過服務(wù)器攻擊者代理主控端主控端代理代理代理代理代理H3C IPSH3C IPS通過Syn Cookie機(jī)制防范Syn Flood攻擊。H3C IPS可通過限制單個源地址的每秒連接數(shù)來防范CPS Flood、Connection Flood攻擊。H3C IPS可通過流量閾值模型、反向認(rèn)證等方式來防范UDP Flood、ICMP Flood、HTTP

31、 Get Flood、DNS Flood等DDoS攻擊。H3C IPS可內(nèi)置的攻擊特征規(guī)則可檢測常見DDoS攻擊工具TFN、TFN2k、 Stacheldraht 、Trinoo的控制報文，可切斷DDoS攻擊工具的控制通道。P2P協(xié)議識別特征碼文件P2P協(xié)議分析應(yīng)用帶寬管理限制P2P流量BitTorrent比特精靈BitCometFlashBTMSNYahoo MessageeMuleeDonkeyP2P流量控制個人用戶資源服務(wù)器特征匹配P2P流量限速后的P2P流量技術(shù)實現(xiàn)原理P2P流量的識別和控制、TCP三次握手、BT對等協(xié)議二次握手、握手成功，傳輸數(shù)據(jù)二次握手報文頭H3C特征庫團(tuán)隊分析常見

32、的P2P等網(wǎng)絡(luò)濫用協(xié)議，形成協(xié)議特征庫，定期更新，確保能檢測并限制各種P2P等網(wǎng)絡(luò)濫用流量。研發(fā)部企業(yè)策劃部P2P流量監(jiān)管典型應(yīng)用1針對不同的部門實施不同的P2P流量控制策略。例如，可以給因正常業(yè)務(wù)需要訪問P2P應(yīng)用的部門相連的安全域或者接口分配2M P2P帶寬，其他無需P2P應(yīng)用的部門所連接的安全域或者接口不分配P2P應(yīng)用流量帶寬，真正做到有限帶寬有效利用。InternetSecPath UTM為企業(yè)策劃部分配2M的P2P帶寬對研發(fā)部P2P流量進(jìn)行封殺研發(fā)部企業(yè)策劃部P2P流量監(jiān)管典型應(yīng)用2針對不同的時間段實施不同的P2P流量控制策略，可以在防火墻上配置基于時間段的P2P流量控制策略。例如，

33、上班時間限制P2P應(yīng)用流量為2M，下班時間不對P2P應(yīng)用流量進(jìn)行限制。InternetSecPath UTM每周一到周五的8:3018:00之間，P2P最大帶寬為2M其余時間不限制研發(fā)部企業(yè)策劃部P2P流量監(jiān)管典型應(yīng)用3對于多網(wǎng)絡(luò)接入的企業(yè)，如果想對不同出口的P2P流量采用不同的控制策略，可以在防火墻上基于出口進(jìn)行P2P流量管理。例如，對于同時擁有Internet和教育網(wǎng)接入的企業(yè)，可對Internet出口P2P應(yīng)用流量限制帶寬為2M，對教育網(wǎng)出口P2P應(yīng)用流量不限制帶寬。InternetSecPath UTMInternet P2P最大帶寬限制為2M教育網(wǎng)P2P帶寬不限制教育網(wǎng)安全威脅發(fā)展趨

34、勢應(yīng)用層安全威脅分析IPS的發(fā)展背景和技術(shù)演進(jìn)H3C IPS主要功能和防護(hù)原理IPS工作模式和主要應(yīng)用場景H3C UTM產(chǎn)品IPS功能配置和維護(hù)目錄路由器交換機(jī)SecPath IPS 在線部署模式內(nèi)部網(wǎng)絡(luò)路由器交換機(jī)SecPath IPS 旁路部署模式內(nèi)部網(wǎng)絡(luò)鏡像IPS在線部署方式透明部署于網(wǎng)絡(luò)的關(guān)鍵路徑上，對流經(jīng)的數(shù)據(jù)流進(jìn)行2-7層深度分析，實時防御外部和內(nèi)部攻擊。是實際應(yīng)用中IPS的主要部署方式。IDS旁路部署方式對網(wǎng)絡(luò)流量進(jìn)行監(jiān)測與分析，記錄攻擊事件并告警。IPS工作模式IPS典型應(yīng)用場景研發(fā)財經(jīng)市場DMZ區(qū)SMTPPOP3WEBERPOACRM數(shù)據(jù)中心IPS旁路部署在DMZ區(qū)，交換機(jī)將

35、進(jìn)出DMZ區(qū)的流量鏡像到IPS，可以檢測來自Internet的針對DMZ區(qū)服務(wù)器的應(yīng)用層攻擊檢測來自Internet的DDoS攻擊IPS部署在數(shù)據(jù)中心：抵御來自內(nèi)網(wǎng)攻擊，保護(hù)核心服務(wù)器和核心數(shù)據(jù)提供虛擬軟件補丁服務(wù)，保證服務(wù)器最大正常運行時間基于服務(wù)的帶寬管理IPS部署在內(nèi)部局域網(wǎng)段之間，可以抑制內(nèi)網(wǎng)惡意流量，如間諜軟件、蠕蟲病毒抵御內(nèi)網(wǎng)攻擊分支機(jī)構(gòu)分支機(jī)構(gòu)分支機(jī)構(gòu)IPS部署在廣域網(wǎng)邊界：抵御來自分支機(jī)構(gòu)攻擊保護(hù)廣域網(wǎng)線路帶寬IPS部署在外網(wǎng)Internet邊界，放在防火墻前面，可以保護(hù)防火墻等網(wǎng)絡(luò)基礎(chǔ)設(shè)施對Internet出口帶寬進(jìn)行精細(xì)控制，防止帶寬濫用URL過濾，過濾敏感網(wǎng)頁安全威脅發(fā)展

36、趨勢應(yīng)用層安全威脅分析IPS的發(fā)展背景和技術(shù)演進(jìn)IPS主要功能和防護(hù)原理IPS工作模式和典型應(yīng)用場景H3C UTM產(chǎn)品IPS功能配置和維護(hù)目錄U200-S的三種管理方法U200-S產(chǎn)品簡介U200-S的安全策略配置U200-S的常見故障診斷基于串口命令行管理方法基于HTTP/HTTPS的Web管理方法基于Telnet/SSH的命令行管理方法新建串口連接使用windows系統(tǒng)自帶的“超級終端”工具注意選擇的串口與配置電纜實際連接的串口一致設(shè)置串口終端的參數(shù)點擊“還原為默認(rèn)值”，設(shè)置波特率為9600，數(shù)據(jù)位為8，奇偶校驗為無，停止位為1，數(shù)據(jù)流控制為無串口管理界面基于串口命令行管理方法基于HTTP

37、/HTTPS的Web管理方法基于Telnet/SSH的命令行管理方法Web管理登錄界面G0/0是默認(rèn)的管理口，地址是：默認(rèn)用戶名/密碼：admin/admin注：驗證碼不區(qū)分大小寫基于串口命令行管理方法基于HTTP/HTTPS的Web管理方法基于Telnet/SSH的命令行管理方法在設(shè)備上開啟Telnet Server功能在PC上使用Telnet客戶端進(jìn)行登錄基于Telnet的命令行管理方式默認(rèn)的用戶名和密碼為：adminH3Ctelnet server enable% Telnet server has been startedU200-S的三種管理方法U200-S產(chǎn)品簡介U200-S的安全

38、策略配置U200-S的常見故障診斷U200-S產(chǎn)品簡介【說明】：只有在CF卡存在的情況下，才能啟動IPS功能業(yè)務(wù)口ConsoleCF卡插槽U200是H3C公司的UTM（Unified Threat Management，統(tǒng)一威脅管理）設(shè)備。定位于中小型企業(yè)用戶。具有防火墻、入侵檢測與防御、防病毒、P2P流量控制、URL過濾等功能。可構(gòu)建多種形式VPN。U200-S的三種管理方法U200-S產(chǎn)品簡介U200-S的安全策略配置U200-S的常見故障診斷攻擊防護(hù)策略帶寬管理策略URL過濾策略病毒防護(hù)策略 在實際應(yīng)用時，IPS為必配項其他幾項策略為可選項，請根據(jù)用戶需求做適當(dāng)配置WANDMZ - WW

39、WINTERNALSegmentZone APolicyPolicyPolicyPORTPORTZone B安全區(qū)域和段 PolicyRule1001Rule6004Rule1002SignatureblocknotifyENABLEProtocol: TCPStatus: EstablishPayload: 特征、規(guī)則和策略 基本配置安全區(qū)域配置段配置引流配置安全策略配置攻擊防護(hù)策略配置帶寬管理策略配置URL過濾策略配置病毒防護(hù)策略配置激活安全策略安全策略的配置步驟創(chuàng)建攻擊防護(hù)策略配置攻擊防護(hù)規(guī)則應(yīng)用攻擊防護(hù)策略到段上攻擊防護(hù)安全策略的配置攻擊防護(hù)策略日志的配置攻擊防護(hù)日志兩種類型，阻斷和告

40、警（在數(shù)據(jù)庫里為2張不同的表）可以使用過濾條件包括有攻擊名稱、攻擊級別、動作類型等可以導(dǎo)出并進(jìn)行分析帶寬控制概念BWC 類型流量限制會話數(shù)限制時間表特性段帶寬控制8Kbps 1000MbpsN/AN/A策略帶寬控制8Kbps 1000MbpsN/AN/A應(yīng)用帶寬控制8Kbps 1000Mbps1 1000 連接/秒有8Kbps 10Mbps每會話1 65535 最大連接數(shù)Segment BWC200 MbpsPolicy BWC20 Mbps15 Mbps10 MbpsP2P: BlockFTP: 4Mbps200Kbps / SessionSMTP: 500KbpsVOIP: Permit帶寬控制策略的配置步驟創(chuàng)建帶寬控制策略配置帶寬控制規(guī)則應(yīng)用帶寬控制策略到段上帶寬控制配置示例1、在導(dǎo)航欄中選擇“帶寬管理 策略管理”；2、在“規(guī)則配置”中單擊按鈕；3、在“規(guī)則配置”中選擇“文件服務(wù)器”服務(wù)對應(yīng)的動作集為“Block”；4、在“規(guī)則配置”中選擇“BitTorrent”服務(wù)對應(yīng)的動作集為“Rate Limit”；5、在“策略應(yīng)用范圍”上添加到段0上。URL ：http:/porta