IPS原理可参考:入侵防御IPS技术
NIP是华为的IPS设备。
NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离。您可以将每对接口对视作一台虚拟IPS设备或IDS设备,基于不同的接口对配置不同的应用安全策略,满足不同的安全防护需求。
NIP的业务接口都工作在二层,能够不改变客户现有的网络拓扑结构,直接透明接入客户网络,且配置了缺省的威胁防护策略,接入网络后即可启动防护。
NIP产品默认开启阻截的签名的比率非常高,在不影响用户正常业务的情况下,可以最大程度地化解威胁。管理员就无需对照冗长的日志来查看是否有误报,是否需要关闭一些签名等。
IPS(入侵防御系统)部署模式:直路部署,单臂部署,旁路部署。
IDS(入侵检测系统)部署模式:旁路部署。
当NIP作为IPS设备直路部署时,用户只需要将接口对串行接入到需要保护的网络链路上,即完成 了部署。直路部署的IPS设备,能有效防御攻击。
情况一:
部署互联网入口的应用场景,主要用来保护企业内网客户端的安全
情况二:
部署服务器前端保护企业内部信息系统(数据库、DNS服务器、Web服务器、eMail服务器等)的安全。同时,利用NIP的报表功能,管理员可以直观地了解网络的健康状况。
企业各部门网络前面部署NIP,在企业总部和分支机构之间部署NIP,保护各网络内部应用的安全,同时防止安全风险向其他网络蔓延。
即使企业的总部和分支之间是通过VPN连接的,NIP也无需做VPN解密。原因是NIP部署的位置在边界路由器或者防火墙的后面,NIP收到的报文都已解密。
IPS直路部署可以零配置上线,上行口插a01,下行口插b01,初始情况,在接口对下调用了默认策略
通过VLAN引流,单臂部署的方式的优势在于:不需要改变网络拓扑结构,节省NIP物理接口。
当NIP作为IPS设备单臂部署或作为IDS设备时,用户只需要使用接口对中的一个接口旁挂在网络中。
NIP在单臂部署方式下支持的功能不如直路部署方式时全面,不支持流量Bypass
NIP只与交换机边一根线,交换机的G0/2口配置trunk。允许Vlan100和Vlan101,NIP上起子接口,配置Vlan100,Vlan101(配置VLAN tag,在NIP上勾选同口进出模式)
场景B:
NIP出厂的时候会生成如a01-b01这种接口对,从a01-流进来的会从b01流出去(反之亦然)。并且可以解vlan tag和打vlan tag。因此给a01配成vlan100,b01配成vlan200当流量从a0/2口流入到a01,然后NIP再从b01接口处到vlan200,因此流量经过NIP时,NIP发现攻击便可给予做阻断动作
通过交换机镜像引流。
NIP提供的固定接口对缺省工作在直路IPS模式,旁路部署时需要将接口对切换到IDS模式,使用接口对中的IDS接口进行旁路部署。
旁路部署主要用来记录各类攻击事件和网络应用流量情况,进而进行网络安全事件审计和用户行为分析。在这种部署方式下一般不进行防御响应,如果有特殊需要也可以配置进行响应。旁路部署方式NIP不参与流量转发,配置的安全策略用来指定对哪些威胁进行检测并记录。
NIP旁路部署的情况下,也具备一定的响应能力,也就是在发现威胁后,能够通过发送RST报文来 终止某个TCP流,减缓攻击的危害。
直连支持双机热备,主备模式和负载分担。
旁路部署只支持主备模式。
IDS产品采用的是旁路部署方式,一般直接通过交换机的监听口进行网络报文采样,或者在需要监听的网络线路上放置侦听设备(如分光器)。每台交换机上只能监听到和该交换机直连的主机间的流量和通过该交换机发往其他交换机的流量,部署在其他交换机下的主机间的流量无法被监听。由于企业内网可能层次化部署交换机,这种情况下,需要将所有需要监听的网段的交换机上的流量都通过监听端口连接到IDS设备上,然后对流量进行检测分析
IPS设备和IDS设备的主要差异在于部署位置和作用不同。IPS设备的主要部署方式是直路接入原 有网络,阻断包含攻击的连接;而IDS设备的部署方式是旁路监听,主要用于分析流量、记录各类攻击事件作为后续评估网络状况和审计的依据。IPS设备也提供了与IDS设备一样的旁路部署方式,并且支持直路/旁路混合部署,使得一 台IPS设备可以同时提供IPS和IDS的能力。
入侵防御签名用来描述网络中攻击行为的特征,NIP通过将数据流和入侵防御签名进行比较来检测和防范攻击。
预定义签名是入侵防御特征库中包含的签名。
预定义签名包含的内容:名称、方向、协议、严重性、描述、可信度、状态、类别、对策、参考信息、被攻击厂商列表
每个预定义签名都有缺省的动作:放行 告警 阻断
自定义签名是指管理员通过自定义规则创建的签名。
自定义签名包含的内容:ID、方向、协议、严重性、描述、名称、源目地址、源目端口,源目掩码、搜索长度、搜索偏移、关键字
每个预定义签名都有缺省的动作:阻断和告警 放行
签名集是满足指定过滤条件的预定义签名的集合(NTP 2000 5000)
签名集 内容包括:名称、方向、严重性、可信度、协议、类别、状态、动作。
签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括:签名的类别、对象、协议、严重性、操作系统等。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器的动作不采用签名缺省动作时,以签名过滤器设置的动作为准。
各签名过滤器之间存在优先关系(按照配置顺序,先配置的优先)。如果一个安全配置文件中的两个签名过滤器包含同一个签名,当报文命中此签名后,设备将根据优先级高的签名过滤器的动作对报文进行处理。
根据签名ID,例外签名的动作分为阻断、告警、放行和添加黑名单
例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。
注意:IPS部署方式,如果管理员允许病毒通过,采用例外签名!
例外签名>签名过滤器>签名缺省
通过与防火墙联动来进行防御,最大支持3台。
NIP会以旁路的方式接入到网络上,经过防火墙的流量同时会镜像到NIP的业务口,由NIP检测和分析应用层的攻击、漏洞、病毒、异常流量等。然后NIP把需要被阻断的报文IP地址、阻断时间信息从管理接口发送给防火墙,由防火墙实施阻断操作。
IDS主动防御:NIP旁路部署的情况下,也具备一定的响应能力,也就是在发现威胁后,能够通过发送RST报文来 终止某个TCP流,减缓攻击的危害
A. 做例外签名 ------- FW设备
B. 会话中取消UTM ---------FW设备
NGFW将解析后的报文特征与签名进行匹配,如果命中了签名,则进行响应处理。
FW是基于策略调用的,NIP是全局调用的。
防火墙AV支持的协议类型更多,IPS(NIP 2000设备):FTP/HTTP/SMTP/POP3,而且IPS旁路部署不支持AV
防火墙AV支持和 IPS(NIP 6000设备):IMAP的动作不一样,而且IPS旁路部署不支持AV
防火墙的反病毒对IMAP支持上传和下载放行,动作为告警。
NIP排队IMAP支持上传和下载,动作为:告警、宣告、删除附件。默认告警。
Anti-ddos 引流方式: 策略路由引流 BGP引流
Anti-ddos 回注方式: 二层回注、UNR路由回注、策略路由回注、GRE回注 MPLS VPN回注 MPLS LSP回注
IPS设备引流方式: VLAN TAG 镜像
IPS部署方式,如果管理员允许病毒通过,该采取什么样的措施?
写一条例外签名
签名中去往服务器端和去往客户端有什么区别
关注的方向不同