人气排行榜
IPS 部署策略:保护网络免受高级攻击 (ips部署的两种方式)
随着网络威胁的不断演变,入侵检测和防御系统 (IPS) 已成为保护网络免受高级攻击的必要组件。IPS 是一种网络安全设备,用于检测并阻止恶意网络流量,包括病毒、恶意软件和网络攻击。
IPS 部署策略
IPS 的有效部署需要仔细规划和实现。有两种主要类型的 IPS 部署策略:
串行部署
在串行部署中,IPS 设备直接放置在网络路径中,所有流量都必须通过它。这种方法提供最高级别的保护,因为 IPS 可以检测和阻止所有经过的流量。
优点:最高级别的保护可检测和阻止所有网络流量中的威胁缺点:可能会影响网络性能部署和维护成本较高可能会创建单点故障并行部署
在并行部署中,IPS 设备放置在网络侧支中,仅监测流量的一个子集。这种方法对性能影响较小,但提供较低的保护级别。
优点:影响性能更小部署和维护成本较低不会创建单点故障缺点:较低的保护级别可能无法检测或阻止所有网络流量中的威胁最佳做法
以下是 IPS 部署最佳做法:
确定网络风险:在部署 IPS 之前,了解网络的风险状况至关重要。这将帮助您确定所需的保护级别。选择合适的 IPS 设备:选择一个能够满足您的特定需要和预算的 IPS 设备。战略性放置 IPS:将 IPS 放置在网络中,使其能够检测和阻止威胁,同时最大限度地减少性能影响。配置 IPS:根据您的特定网络环境配置 IPS 设置。持续监控 IPS:定期监控 IPS 以确保其正常运行并检测威胁。更新 IPS 签名:IPS 依赖于不断更新的签名数据库,以检测最新威胁。确保您的 IPS 签名是最新的。执行 IPS 策略:制定并实施 IPS 策略,以管理设备并响应安全事件。与其他安全控制相结合:IPS 是网络安全防御系统的一部分,应与其他控制相结合,例如防火墙、防病毒软件和入侵预防系统,以提供全面的保护。结论
IPS 是保护网络免受高级攻击的关键组件。通过仔细规划和实施 IPS 部署策略,您可以最大限度地发挥 IPS 的保护效益,同时最大限度地减少对网络性能的影响。通过采用最佳实践,您可以确保您的网络得到有效保护,免受不断演变的网络威胁侵害。ips应用层一共分几层
ips应用层一共分7层。
简单来说,IPS是IDS的高级版本,不仅可以像IDS一样检测威胁,还可以实时阻断入侵流量,从而及时防止更大的损失。 IPS与被动检测防火墙相比,最大的不同在于主动检测。
IPS使用的技术可以分为:异常检测:异常检测的假设是入侵者的活动不同于正常主体的活动,建立正常活动的“活动概况”。 当当前主体的活动违反其统计规律时,就被认为是一种“入侵”行为。
特征检测:特征检测假设入侵者的活动可以用一个模式来表示,系统的目标是检测主体的活动是否符合这些模式。 特征检测需要特征库支持。
防火墙的类型:
防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者,防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务,包过滤技术是一种简单、有效的安全控制技术。
它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
目前主流使用状态检测功能来检查报文链路状态的合法性,丢弃链路状态不合法的报文,核心基础是会话状态。 当满足接入条件的用户流量第一次穿越防火墙时,会产生一个会话表项,该会话的后续报文将基于该会话表项进行转发。
如何选择高端安全产品?
高端安全产品种类繁多,质量参差不齐,用户选择起来有一定困难。 本文从系统的硬件架构、可靠性保证、性能及关键功能等几个方面介绍如何选择合适的高端安全产品。 先进的硬件架构发动机是车的心脏,选车最主要是看发动机。 选择高端安全产品同样要看他有没有一颗奔腾的“心”。 不过此奔腾非PC上的Intel Pentium,作为通用处理器的Intel Pentium在处理日常业务时功能比较强劲,但在网络数据包的处理上却力不从“芯”,所以使用通用处理器架构的设备已不能满足高端安全产品的需求。 综合目前已有的核心网络处理器技术,对于单纯高性能的要求以FPGA/ASIC架构表现最为突出,对于灵活性和高性能兼顾的需求以多核MIPS架构/FPGA为优,具体比较请参考图1。 另外,多种架构混合的产品形态也越来越常见,不同架构之间可以优势互补,以达到最佳效果。 光有好的发动机,没有强劲的传动装置,发动机的威力也发挥不出来。 总线结构对于高端安全产品来说就象汽车的传动装置。 以往的集中式产品因为总线结构的限制在提升性能方面存在明显不足,集中式产品的接口板是通过共享PCI/PCI-X总线的方式挂接在主控板上,由于受PCI/PCI-X总线带宽的限制,接口板的数量仅仅能够提升端口密度,而无法有效提升性能。 对于分布式设备,由于采用Switch Fabric的交换总线结构,不仅提升了总线带宽,且任何端口的输入到任何端口的输出之间都有独立通道,通过控制矩阵控制每个通道的通断,任意通道之间的带宽都相互独立,这样通过接口板的扩展就能有效提高整机的吞吐量。 Crossbar被称为交叉开关矩阵或纵横式交换矩阵,是构建大容量系统首选的Switch Fabric技术,而Crossbar交换网也是高端安全产品的首要选择。 设备的高可靠性高端安全设备一般布署在关键的网关位置,对可靠性要求极高,这就需要在软硬件设计方面进行充分的可靠性保证,主要可以从以下几方面考量:1) 软件对网络处理单元需要做好充分保护,单个处理单元出现问题,不能影响到其他处理单元的正常工作;2) 网络数据通道需要保持多路,部分物理通道的损坏不会影响其他通路;3) 重要物理部件(如CPU、内存、存储装置以及风扇、电源)做到实时监控,出现故障可以实时报警,软件故障能够自动恢复。 支持风扇、电源等重要物理部件的热插拔;4) 业务模块都支持热插拔,单个业务模块出现硬件故障,不会影响其他业务模块;5) 具备冗余电源;6) 支持虚拟系统和热备功能。 这里对虚拟系统功能详细说明一下。 支持虚拟系统的产品会将所有的系统资源都按配置分配到各个独立的虚拟设备中,每一台虚拟设备都好比一台真实设备,重要资源都是独享的。 当有攻击发生时,各个虚拟设备将抵挡各自的攻击,即使某个虚拟设备系统资源被网络攻击耗尽,也不会影响其他的虚拟设备系统,也就是说其他受虚拟设备保护的服务器仍然可以正常运行。 从购买产品的用户角度来讲,花一台设备的钱买多台虚拟设备,物超所值。 热备功能对于高端安全设备来说也是必不可少的,毕竟单台设备自身可靠性再高,也不能完全避免其他因素的干扰。 对于重要的网络环节,布署两台或多台设备是必要的。 这就需要设备支持良好的热备功能,不仅物理链路能在秒级内及时切换,而且网上的现有业务不能中断。 另外对于不同的ISP网络接入,网络数据来回路径不一致的情况也能很好处理。 在硬件平台和高可靠系统设计之外,防火墙、入侵防御IPS和应用控制网关等产品在具体功能上还有一些差异,下面将分别论述其关键指标。 如何衡量高端防火墙产品?对于高端防火墙产品而言,各种性能指标一直是衡量其优劣的关键,在用户选择时,可以从网络层性能指标、应用层性能指标和抗攻击性能指标等方面进行评估。 网络层性能指标主要包括吞吐量、时延等。 网络层的吞吐量是以待测设备不丢弃数据包为前提的最大速率,吞吐量越大意味着设备的性能越高。 时延是指设备入口处输入帧最后1个比特到达出口处输出帧的第1个比特输出所用的时间间隔。 时延越小意味着设备性能越高。 目前一些性能优异的高端万兆安全产品,网络层的吞吐量64字节小包已能达到9G以上,128字节及以上能够达到线速,时延各种字节的报文能够控制在20us以内。 应用层性能指标包括并发连接数/每秒新建连接数、应用层吞吐量(HTTP、FTP、SMTP等业务)以及混合业务吞吐量等指标。 每秒新建连接数是测试设备每秒所能建立起的TCP/HTTP连接数及所能保持的最大TCP/HTTP连接数。 每秒新建连接数越大,表示设备在单位时间内的处理能力越强,是设备抗攻击和处理突发流量能力的基础。 最大并发连接数代表设备可以支持的最大的网络同时建立连接的数量,它的大小表示了设备对网络规模大小的支持程度,最大并发连接数越大意味着支持的网络规模越大,最大并发连接数越小意味着支持的网络规模越小。 应用层的吞吐量主要是测试设备对应用层协议的处理能力,指标越高说明应用层协议处理能力越强。 优秀的高端万兆设备,一般每秒新建连接数能在50万之上,并发连接数大于1000万,应用层吞吐量接近线速。 对于高端安全设备来说,抗攻击能力也是选择时要考虑的一个很重要的因素。 以往很多事例都表明,一旦发生争用带宽和大流量攻击事件,最先失去抵抗能力的往往就是网络安全设备本身。 而如何提高设备抗击DDoS的能力也一直是个技术难题,多数厂家目前还停留在软件解决方案上,效果欠佳。 从实际效果来看,FPGA或ASIC芯片架构的设备,可以利用自身处理网络流量速度快的能力,来解决会话层以下的攻击问题,但更多的面向应用层攻击的问题,ASIC局限于扩展性,目前也无能为力,只有FPGA可以通过功能升级应对不断变化的应用层攻击。 一些抗攻击能力较强的设备,由于采用硬件防攻击技术,目前防SYN Flood和UDP Flood等DDOS攻击能力已经能够达到10G。 综上所述,对于高端防火墙产品而言,衡量其优劣的关键指标小结如下: 性能指标产品类型网络层吞吐量网络层时延每秒新建连接数并发连接数应用层吞吐量防SYN Flood攻击能力性能优异的高端万兆设备>9G(64B)10G(>=128B)<20us>500K>1000万>9G>9G普通万兆设备<2G(64B)>10us<100K<200万<5G<1G如何衡量IPS入侵防御产品?入侵检测防御市场目前主要有IPS和IDS两类产品。 从产品的设计来看,现有的IDS的硬件都是基于X86架构,其性能往往不能满足高端用户的需求。 另一方面,IDS产品的攻击检测技术相对落后,同时受其硬件资源和组网方式的限制,导致IDS存在误报/漏报多、时延大、加密协议无法处理等种种问题。 另外,IDS只能旁路检测而无法在线阻断攻击的特点也越来越不能满足广大用户的需要,因此IDS产品目前已经进入生命周期的末期,在入侵检测防御市场,IPS产品已经取代IDS成为市场的主流。 用户在面对类似需求时,可以从以下几个方面来考虑如何选择IPS产品:u 高性能在串接的部署方式下,设备的性能指标一直是关注的重点,选择时可以从网络层性能指标和应用层性能指标两方面进行评估。 网络层性能指标主要包括吞吐量、TCP/UDP背景压力处理性能、时延等,应用层性能指标包括并发连接数/每秒新建连接数、混合HTTP流量下并发在线连接数等。 u 丰富的功能特性衡量IPS产品的功能需要从两个方面来看。 一是其核心功能,如攻击特征库及漏洞特征库的丰富性及特征库生成的专业性。 考虑到现有网络中还存在大量的通过恶意代码和网页挂马等方式的攻击,优秀的IPS产品必须是攻击漏洞检测防御和病毒防御相结合,在系统设计时充分考虑包括攻击漏洞防御和先进的病毒、蠕虫、木马等防御功能。 同时,攻击/病毒检测的准确性和全面性便成为最重要的考量指标。 检测的准确性主要由检测算法和检测机制决定,检测的全面性则主要由特征库的全面性、特征提取手段等因素决定。 这些都需要大量的人力投入和雄厚的技术积累,决不是朝夕之功。 另一个功能是作为internet网关边际防护产品,其对诸如P2P的应用识别和控制的带宽管理能力以及对诸如DDOS攻击的防护能力,也是衡量该产品的重要参考因素,同时符合用户在部署internet边界网关产品时希望尽量少部署设备的想法。 尤其是现阶段DDoS防御功能越来越多的被广大用户所关注,一些厂商推出了专门的DDoS防御产品,但是作为用户来说,购置一台高端入侵防御系统当然希望功能越完善越好。 P2P识别控制更是入侵防御系统非常有特色的功能,作为带宽滥用的主要防护手段,P2P监控功能为入侵防御系统增加了不少附加值。 u 丰富的相应动作和控制策略在做到对各种攻击及时准确识别的同时,丰富有效的控制策略也是入侵防御系统必须重视的一项衡量指标,控制策略的丰富性在一定程度上可以影响防御的及时性和有效性,例如识别之后可以只告警不动作、识别后立即进行隔离或者识别后采取web重定向等相应动作,这些控制策略可以在第一时间隔离攻击源,带来更高的安全性。 u 高可靠性高端入侵防御系统往往部署在网络总出口、核心、数据中心前端等关键结点,可靠性是一个非常重要的指标,双电源冗余备份、掉电保护、二层回退机制、异常透传等能力都是一个高端入侵防御系统应该具备的可靠性保障功能,从而最大限度的减少安全网关发生异常的可能性,并且保证即使安全网关异常也不会造成严重丢包乃至断网等事故的发生。 u 完备的特征库维护各种各样的攻击病毒日新月异层出不穷,所以特征库对入侵防御系统尤为重要。 高端入侵防御系统应该具备全面、有效的特征库,能够全面识别各种网络威胁,并且在最短的时间内补充新出现的特征。 特征库需更新周期短,频率高,保证第一时间识别出网络新威胁。 特征库的升级策略要灵活多样,手动升级、定期自动升级、自定义升级等都是产品必备的升级策略。 产品进行特征库升级时需要保证对业务透明,即不会影响正常的业务运行,在没有感知的情况下快速完成升级过程。 如何选择应用控制网关产品?性能勿庸置疑是衡量高端应用控制网关的决定性指标,包括吞吐量、时延、每秒新建连接数等。 作为应用层控制网关,应用协议特征库的准确性全面性,以及特征库升级的及时性也是产品的必要指标。 除此之外,应用控制网关的功能主要关注点如下:u 全面精确的应用识别应用控制网关产品最核心的技术指标就是对网络应用协议的识别能力,尤其是P2P这种吞噬网络带宽的应用。 应用协议的识别能力不但包括识别协议的数量,还包括识别的粒度和准确性。 能够识别的协议数量多自然是好事,但是一种协议可能包含很多子协议,例如P2P就会包含迅雷、BT等子协议,而迅雷又会包含web迅雷、软件迅雷、迅雷看看等很多子协议,协议划分粒度越细就越便于灵活控制;协议识别的准确性也是至关重要的,假如漏识别或误识别,就会造成该限制的业务没有被限制,而不该限制的正常业务又因为被限制或阻断而无法使用。 u 丰富细致的带宽管理高端应用控制网关应该具备网络应用协议识别的全面性和准确性、细粒度的带宽控制、全面的QoS能力、完整的用户上网行为记录和便捷的记录查询、以及丰富的网络内容过滤手段等;同时控制策略丰富灵活,在时间、用户/组、应用协议等各个维度都能够灵活制定相应的策略或策略组合,为用户提供完善的控制机制。 u 全面的上网行为审计上网行为审计也随着互联网的广泛应用越来越被重视,政府、企业、学校都需要对内部人员的上网访问进行一定监管,这就需要着重选择审计功能强大的应用控制网关。 从web访问审计、email/webmail行为审计、聊天行为审计等上网行为审计,到上网访问内容的回放、聊天内容回放等上网过程的完全记录,都是审计需求应该考虑的功能指标。 另外,一些上网行为控制功能如web网页关键字过滤、email/webmail内容过滤等功能也是比较重要的参考指标。 数据中心访问行为审计同样属于审计需求的范畴,但是考量的指标就由网络应用转移到了数据库应用,主要包括所支持数据库的种类,对各种数据库操作所能够支持的程度,以及对数据库的各种操作所能够设置的控制策略是否丰富细致等。 u 完善易用的管理平台应用控制网关类产品以网络流量监控、用户行为审计等见长,这些应用决定了它需要有大量的报表呈现给用户,从而报表是否丰富、是否能够提供各种维度的直观报表、是否有足够的参考价值等是其非常重要的衡量指标。 更专业更高级的应用控制网关所提供的报表,不但能够将现网的各种信息清晰直观的呈现,还能够将信息进行整合分析,为运营商的运营、企业的上网管理、学校的上网行为监督等提供有效的参考数据。 同时,多设备的集中管理也是衡量产品竞争力的关键,良好的多设备管理平台直接决定了日后使用、维护成本的高低。 优秀的应用控制网关管理平台能够做到分权、分级管理,并能提供接口供管理中心进行统一管理。 另外,管理平台的开放性设计接口也可为系统后续的个性化设计提供支撑。 此外,对于运营商来说,共享接入监控和防范、VoIP监控和防范也是较常见的功能需求。 应用控制网关具备很多应用层控制功能,不同需求的用户所关注的功能不同,根据自身需求来选择主要功能考量指标是选择应用控制网关产品时需要注意的地方。 随着网络安全事件的频繁发生,高端安全产品在网络安全解决方案中充当着越来越重要的角色。 由于产品本身的重要性及其较高的价格因素,选择时要从多方面进行考虑。 希望本文能够在如何选择可靠高效的安全设备上起到一定的参考作用。
ids ips的区别
IDS和IPS的区别在于它们的功能、部署位置以及工作机制的不同。 在功能上,IDS(入侵检测系统)主要用于监测网络和系统的运行状况,尽可能发现攻击企图、攻击行为或攻击结果,以保证网络资源的安全。 而IPS(入侵防御系统)则是一种更高级的网络安全设施,它不仅能够监测网络或网络设备的资料传输行为,还能够即时地中断、调整或隔离一些不正常或具有伤害性的网络资料传输行为。 在部署位置上,IDS通常采用旁路接入,在网络中的位置选择为:尽可能靠近攻击源、尽可能靠近受保护资源,这些位置通常是服务器区域的交换机上;Internet接入路由器滞后的第一台交换机上;重点保护网段的局域网交换机上。 而IPS通常采用Inline接入,在办公网络中,至少需要在以下区域部署:办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。 在工作机制上,IDS主要针对已发生的攻击事件或异常行为进行处理,属于被动防护。 以NIDS为例,它以旁路方式对所监测的网络数据进行获取、还原,根据签名进行模式匹配,或者进行一系列统计分析,根据结果对有问题的会话进行阻断,或者和防火墙产生联动。 IDS的一个致命缺点在于,它对阻断UDP会话不太灵,对加密的数据流束手无策。 相比之下,IPS针对攻击事件或异常行为可提前感知及预防,属于主动防护。 根据设置的过滤器,分析相对应的数据包,通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。 IPS的阻断方式较IDS更为可靠,可以中断拦截UDP会话,也可以确保符合签名规则的数据包不漏发到被保护区域。 然而,IPS的一个致命缺点是,同样硬件的情况下,其性能比IDS低得多。 在实际应用中,误杀漏杀主要取决于签名库。 随着UDP协议的广泛使用,IPS在UDP上的误杀率可能会高于IDS。 因此,在选择IDS和IPS时,需要综合考虑网络环境、安全需求以及预算等因素。
相关标签: 保护网络免受高级攻击、 IPS、 ips部署的两种方式、 部署策略、
本文地址:http://www.hyyidc.com/article/34970.html
<a href="http://www.hyyidc.com/" target="_blank">好有缘导航网</a>
