目录
IPS(Intrusion Prevention Systems)入侵防御、IDS(Intrusion Detection Systems) 入侵检测
IPS技术原理--抵御2-7层已知威胁
部署方式:串联部署
工作范围:2-7层
工作特点:根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通
目的:IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御
入侵防御实现机制
重组应用数据:进入IPS前,会先对IP分片报文重组和TCP流重组,确保应用层数据的连续性,有效检测出逃避入侵检测的攻击行为。
协议识别和协议解析:进入IPS前,根据内容识别出多种应用层协议。识别出应用层协议后,根据具体协议进行精细的解码并深入提取报文特征进行入侵检测。
特征匹配:将解析后的报文特征和签名进行匹配,如果命中了签名则进行响应。
响应处理:完成检测后会根据管理员配置的动作对匹配到的签名进行响应处理。
签名
入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。
入侵防御签名分为预定义和自定义签名。
预定义签名:
IPS签名库中预先定义的签名。用户购买了带入侵防御升级功能的License后即可获得包含预定义签名的签名库,并且能够不断地从安全服务中心获取新的入侵防御版本来更新签名库。预定义签名的内容是固定的,不能被创建或修改。
每个预定义签名都有缺省的动作,分为:
- 放行:指对命中签名的报文放行,不记录日志。
- 告警:指对命中签名的报文放行,但记录日志。
- 阻断:指丢弃命中签名的报文,阻断该报文所在的数据流并记录日志。
自定义签名:
管理员根据网络流量特点对特定的入侵行为自行定义的签名。通常在预定义签名以外,管理员出于某种原因要阻止特定的行为时创建的。比如,员工使用QQ时,某些行为(并非预定义签名中检测的入侵行为)需要阻断,则可根据行为特征来设定自定义签名,动作为阻断,引入到配置文件中。当网络中某些入侵来临,而预定义签名库尚未更新的情况下,管理员分析入侵特征后也可创建自定义签名。而当预定义签名库更新后,便可使用预定义签名。
自定义签名的攻击特征使用正则表达式定义。正则表达式是一种模式匹配工具。管理员可以使用元字符灵活的配置自定义签名。
自定义签名的动作分为阻断和告警,您可以在创建自定义签名时配置签名的响应动作。
签名过滤器
由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作分为:
- 阻断:丢弃命中签名的报文,并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括:签名的类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才能加入签名过滤器中。例如,当只需要对HTTP类型的报文进行入侵防御,可以通过过滤条件只加入HTTP协议的签名。
例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
- 阻断:丢弃命中签名的报文并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 放行:对命中签名的报文放行,且不记录日志。
- 添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目标地址添加至黑名单。
例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。
例如:签名过滤器中过滤出一批符合条件的签名,且动作统一设置为阻断。但是员工经常使用的某款自研转件却被拦截了。观察日志发现,用户经常使用的该款自研软件命中了签名过滤器中某个签名,被误阻断了。此时管理员可将此签名引入到例外签名中,并修改动作为放行。
入侵防御对数据流的处理
当数据流命中的安全策略中包含入侵防御配置文件时,设备将数据流宋儒道入侵防御模块,并依次匹配入侵防御配置文件引用的签名。
当数据流命中多个签名,对该数据流的处理方式如下:
- 如果这些签名的实际动作都为告警时,最终动作为告警。
- 如果这些签名中至少一个签名的实际动作为阻断时,最终动作为阻断。
当数据流命中了多个签名管理器时,设备会按照优先级最高的签名过滤器的动作来处理。
签名的实际动作由签名缺省动作、签名过滤器和例外签名配置的动作共同决定。
检测方向
当配置引用了入侵防御配置文件的安全策略时,安全策略的方向是会话发起的方向,而非攻击流量的方向。
保护内网服务端流量
保护内网客户端流量
IDS技术原理 --网络摄像头(旁观者)
部署方式:旁路部署,可多点部署
工作范围:2-7层
工作特点:根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头
目的:传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。(只发现,不执行)