IPS如何实现深度检测和入侵抵御
作者:ling 来源:赛迪论坛 添加时间:2006-5-26 12:42:28基于策略的安全防御
随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
IPS如何实现深度检测和入侵抵御
对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。
在哪里部署
进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。
如何部署
在以下案例中,我们可以看到以IPS为核心的多种网络深度检测/实时抵御的方案;不同的方案,在不同的应用场景当中,可以适当地扩充或简化。
一、 基于策略的安全防御
1. 位于办公网入口的IPS通过应用层协议分析跟踪和特征匹配,发现目的地为业务服务器A的HTTP数据流中隐藏有针对Windows操作系统的DCOM漏洞的恶意利用;
2. IPS将此安全事件上报至管理中心;
3. 管理中心获取服务器A的基本信息;
4. 管理中心根据获取的A的信息,判断该访问是否会造成危害,如果A不运行Windows操作系统或者A确实运行Windows但是已经打了针对DCOM漏洞的补丁,则A是安全的;
进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。
如何部署
在以下案例中,我们可以看到以IPS为核心的多种网络深度检测/实时抵御的方案;不同的方案,在不同的应用场景当中,可以适当地扩充或简化。
一、 基于策略的安全防御
1. 位于办公网入口的IPS通过应用层协议分析跟踪和特征匹配,发现目的地为业务服务器A的HTTP数据流中隐藏有针对Windows操作系统的DCOM漏洞的恶意利用;
2. IPS将此安全事件上报至管理中心;
3. 管理中心获取服务器A的基本信息;
4. 管理中心根据获取的A的信息,判断该访问是否会造成危害,如果A不运行Windows操作系统或者A确实运行Windows但是已经打了针对DCOM漏洞的补丁,则A是安全的;
第 1 页,共 2 页 [1] [2]
站内搜索