学习笔记:入侵检测与防御技术应用

时间:2024-03-22 19:13:48

功能介绍

NIP能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击。

Web应用防护:
• 互联网中90%的应用都架设在Web平台上,包括网上银行、网络购物、网络游戏、门户网站、企业ERP/CRM等。不论是企业内部应用或是外部网络服务均离不开Web技术,Web技术在承载重要网络应用的同时,也存在着巨大的安全风险。目前,针对Web应用漏洞的攻击已经成为主流,占Web攻击的一半以上,其中尤以SQL注入攻击和跨站脚本攻击最为突出。另外,各种扫描、猜测和窥探攻击,还有对于服务器可用性产生极大危害的DoS/DDoS攻击,严重威胁着Web应用的安全性。
• Web应用防护已成为企业网络安全防护的重心。NIP6000提供丰富的签名用来防御SQL注入攻击和XSS跨站脚本攻击,同时还提供DoS/DDoS攻击防御功能为Web服务器提供有效安全防护。而且还可以对传统单包攻击进行有效的防范。

异常流量防护:
• 通常情况下,在大中型企业、数据中心等网络中往往部署着服务器,而服务器(如邮件服务器、Web服务器等)已成为网络攻击的重点。目前有针对性的攻击往往采用大流量的DDoS类型的攻击,如常见的SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood和SIP Flood攻击,这些DDoS类型的攻击不仅造成网络带宽拥塞,同时还严重威胁着服务器正常提供业务,甚者造成服务器宕机。

反病毒
• NIP6000提供的反病毒功能对最容易传播病毒的文件传输与共享协议以及邮件协议进行检测和扫描,可以防范多种躲避病毒检测的机制,实现针对病毒的强大防护能力。
• 支持丰富的应用层协议和应用程序:支持对HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB传输的文件进行病毒检测。
• 支持对压缩文件进行病毒扫描:支持对zip、gzip和tar压缩文件进行解压,然后再进行病毒扫描,最高可支持3层解压。
• 支持海量的病毒特征库。
o NIP6000自带的病毒特征库支持检测主流的病毒家族,可以覆盖常见的流行病毒。
• 支持针对不同流量配置不同的防护措施,支持添加应用例外和病毒例外定制病毒防护策略。
o 通过安全策略,网络管理员可以针对不同流量制定细粒度的防护策略,对不同的网络环境采取不同级别的保护。
o 同时,通过对部分常见的基于HTTP协议的应用程序设置额外的防护动作,或者根据日志将部分误报的病毒类型添加到病毒例外中,可以对反病毒策略进行灵活的调整,以保证业务的正常传输。

应用场景

学习笔记:入侵检测与防御技术应用
• 如图所示,NIP6000的主要的应用场景有互联网边界、IDC/服务器前端、网络边界、旁路监控。

互联网边界

• 此种场景NIP6000一般部署于出口防火墙或路由器后端、透明接入网络。如果需要保护多条链路,可使用NIP6000的多个接口对同时接入。

该场景下主要关注如下功能:
o 应用控制:对P2P、视频网站、即时通讯软件等应用流量进行合理控制,保证企业主要业务的顺畅运行。
o 入侵防御:防御来自互联网的蠕虫活动、针对浏览器和插件漏洞的攻击,使得企业办公网络健康运行。拦截基于漏洞攻击传播的木马或间谍程序活动,保护办公电脑的隐私、身份等关键数据信息。
o 反病毒:对内网用户从Internet下载的文件进行病毒扫描,防止内网PC感染病毒。
o URL过滤:对内网用户访问的网站进行控制,防止用户随意访问网站而影响工作效率或者导致网络威胁。

IDC/服务器前端

此种场景一般采用双机部署避免单点故障。NIP6000的部署位置有如下两种:
o 位置1:直路部署于服务器前端,此时NIP6000采用透明方式接入(图中为此种部署方式)。
o 位置2:旁挂于交换机或路由器,外网和服务器之间的流量、服务器区之间的流量都先引流到NIP6000处理后再回注到主链路。
• 该场景下主要关注如下功能:
o 入侵防御:防御对Web、Mail、DNS等服务器的蠕虫活动、针对服务和平台的漏洞攻击。防御恶意软件造成服务器数据的损坏、篡改或失窃。防御针对Web应用的SQL注入攻击、各种扫描、猜测和窥探攻击。
o 反病毒:对用户向服务器上传的文件进行病毒扫描,防止服务器感染病毒。
o DDoS攻击防范:防御针对服务器的DoS/DDoS攻击造成服务器不可用。

网络边界

• 对于大中型企业,内网往往被划分为安全等级不同的多个区域,区域间有风险隔离、安全管控的需求。如图所示,研发部和市场部边界部署了NIP6000,总部和分支机构之间也部署了NIP6000,实现了网络区域的隔离,避免安全风险的大规模扩散。

该场景下主要关注如下功能:
o 入侵检测:防御蠕虫活动、针对浏览器和插件漏洞的攻击,使得企业办公网络健康运行。拦截基于漏洞攻击传播的木马或间谍程序活动,保护办公电脑的隐私、身份等关键数据信息。
o 反病毒:对上传下载的文件进行病毒扫描,防止内网PC感染病毒。

旁路监控

• 旁路部署在网络中监控网络安全状况也是IPS产品的一种应用场景,此种场景下IPS产品主要用来记录各类攻击事件和网络应用流量情况,进而进行网络安全事件审计和用户行为分析。在这种部署方式下一般不进行防御响应。
• 旁路部署的关键在于NIP6000需要获取到镜像的业务流量进行检测而不参与流量转发。可以将NIP6000连接到交换机的观察端口上,或者使用侦听设备(如分光器),通过镜像或分光的方式把流量复制到NIP6000上。

该场景下主要关注如下功能:
o 应用识别:识别并统计P2P、视频网站、即时通讯软件等应用流量,通过报表为企业管理员直观呈现企业的应用使用情况。
o 入侵检测:检测外网针对内网的攻击、内网员工发起的攻击,通过日志和报表呈现攻击事件供企业管理员评估网络安全状况。同时提供攻击事件风险评估功能降低管理员评估难度。
o 防火墙联动:NIP6000旁路部署时防御能力弱,检测到攻击后可以通知防火墙阻断攻击流量。

学习笔记:入侵检测与防御技术应用
• NIP6000的签名是基于漏洞,而不是基于某种具体的攻击编写的,所有利用该漏洞的攻击都能被阻挡,像是给保护目标打了补丁一样。
• 就像只有特定纹路的钥匙才能打开一个锁一样,只有特定“特征”的蠕虫才能攻陷一个漏洞。NIP6000保护未修补的操作系统和应用程序漏洞的过程如下:
• 分析新发现漏洞的特征。
• 使用该特征对网络流量进行扫描,拦截符合这个特征的报文,所有利用该漏洞的蠕虫都能被立即阻挡,而不需要具体某种蠕虫本身的特征。

NIP6000设备

硬件介绍

学习笔记:入侵检测与防御技术应用
• 在这里以NIP6330为例来介绍NIP6000入侵防御设备的硬件结构。设备采用一体化机箱的结构设计,由固定接口板、电源模块、内置风扇模块组成,并且支持选配硬盘、双电源和多种扩展卡来提升系统可靠性和接口的扩展能力。

NIP6330各组件的主要作用:
• 固定接口板
o 管理平面:提供了配置、测试、维护等接口,完成系统的运行状态监控、环境监控、日志和告警信息处理、系统加载、系统升级等功能。
o 转发平面:进行报文的基础解析与处理,并与其他平面联动进行报文的转发、丢弃或转换。
o 控制平面:获取网络用户认证信息并将结果反馈给转发平面,使转发平面可以基于用户进行报文处理。
o 智能感知引擎:对报文进行业务感知和内容解析,识别报文所属的应用,以及报文或流中承载的文件、病毒、URL地址、入侵、攻击等信息。并将检测结果提供给转发平面进行进一步处理。

• 扩展插槽
o 支持插接扩展卡,以获得更多的接口或者其他特定功能。
• 电源模块
o 标配交流单电源。支持选配双电源,组成1+1冗余备份,在另一块电源模块工作正常的前提下,支持热插拔。

• 硬盘组合
o 用于存储日志和报表数据,支持选配硬盘组合SM-HDD-SAS300G-B。

接口对

• 所谓接口对,即一进一出两个接口。将两个同类型接口组成接口对后,从一个接口进入的流量固定从另一个接口转发出去,不需要查询MAC地址表。(接口对可以是一个接口)
• 能组成接口对的接口类型包括二层以太网主接口和二层Eth-Trunk主接口。以太网接口只能与以太网接口组成接口对,Eth-Trunk接口只能与Eth-Trunk接口组成接口对。支持跨板组成接口对。

• 缺省情况下,固定接口板和扩展接口卡上的业务接口都划分为固定接口对。即,GigabitEthernet 1/0/1和GigabitEthernet 1/0/2组成接口对,GigabitEthernet 1/0/3和GigabitEthernet 1/0/4组成接口对,以此类推。
• NIP以出厂配置启动后,默认接口是二层接口且自动成对。如果接口数为单数,最后一个接口剩余不做接口对。同时,接口对中一个接口加入Trust区域,另一个接口加入Untrust区域,不在接口对中的接口也加入Trust区域。如有三个接口分别为接口1、2、3,则接口1与接口2自动组成接口对,接口1和接口3在Trust区域,接口2在Untrust区域。
• IPS是通过直接嵌入到网络流量中实现入侵防御功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS 设备中被清除掉。

入侵防御机制

学习笔记:入侵检测与防御技术应用
重组应用数据
• 进入IPS前,会先对IP分片报文重组和TCP流重组,确保应用层数据的连续性,有效检测出逃避入侵检测的攻击行为。

协议识别和协议解析
• 进入IPS前,根据内容识别出多种应用层协议。识别出应用层协议后,根据具体协议进行精细的解码并深入提取报文特征进行入侵检测。

特征匹配
• 将解析后的报文特征和签名进行匹配,如果命中了签名则进行响应。

响应处理
• 完成检测后会根据管理员配置的动作对匹配到的签名进行响应处理。

签名

• 入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。入侵防御签名分为预定义和自定义签名。

每个预定义签名都有缺省的动作,分为:
• 放行:指对命中签名的报文放行,不记录日志。
• 告警:指对命中签名的报文放行,但记录日志。
• 阻断:指丢弃命中签名的报文,阻断该报文所在的数据流并记录日志。

预定义签名
• IPS签名库中预先定义的签名。用户购买了带入侵防御升级功能的License后即可获得包含预定义签名的签名库,并且能够不断地从安全服务中心获取新的入侵防御版本来更新签名库。预定义签名的内容是固定的,不能被创建或修改。

自定义签名
• 管理员根据网络流量特点对特定的入侵行为自行定义的签名。通常在预定义签名以外,管理员出于某种原因要阻止特定的行为时创建的。比如,员工使用QQ时,某些行为(并非预定义签名中检测的入侵行为)需要阻断,则可根据行为特征来设定自定义签名,动作为阻断,引入到配置文件中。当网络中某些入侵来临,而预定义签名库尚未更新的情况下,管理员分析入侵特征后也可创建自定义签名。而当预定义签名库更新后,便可使用预定义签名。
• 自定义签名的攻击特征使用正则表达式定义。正则表达式是一种模式匹配工具。管理员可以使用元字符灵活地配置自定义签名。自定义签名的动作分为阻断和告警,您可以在创建自定义签名时配置签名的响应动作。

签名过滤器

• 由于设备升级签名库后会存在大量签名,而这些签名是没有进行分类的,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
• 签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括:签名的类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才能加入签名过滤器中。例如,当只需要对HTTP类型的报文进行入侵防御,可以通过过滤条件只加入HTTP协议的签名。

签名过滤器的动作分为:
o 阻断:丢弃命中签名的报文,并记录日志。
o 告警:对命中签名的报文放行,但记录日志。
o 采用签名的缺省动作,实际动作以签名的缺省动作为准。
• 签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

例外签名

• 由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

例外签名的动作分为:
• 阻断:丢弃命中签名的报文并记录日志。
• 告警:对命中签名的报文放行,但记录日志。
• 放行:对命中签名的报文放行,且不记录日志。
• 添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。
• 例外签名的动作优先级高于签名过滤器的。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。

入侵防御对数据流的处理

学习笔记:入侵检测与防御技术应用
学习笔记:入侵检测与防御技术应用
当数据流命中多个签名,对该数据流的处理方式如下:
• 如果这些签名的实际动作都为告警时,最终动作为告警。
• 如果这些签名中至少有一个签名的实际动作为阻断时,最终动作为阻断。
• 当数据流命中了多个签名过滤器时,设备会按照优先级最高的签名过滤器的动作来处理。

NIP策略特点

• 设备能够识别出流量的属性,并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作。
• 如果动作为“允许”,则对流量进行内容安全检测。最终根据内容安全检测的结论来判断是否对流量进行放行。
• 如果动作为“禁止”,则禁止流量通过。

• 内容安全一体化检测是指使用设备的智能感知引擎对一条流量的内容只进行一次检测和处理,就能实现包括反病毒、入侵防御和URL过滤在内的内容安全功能,通过各种内容安全功能来保证网络安全。