【文章內容簡介】 所在的位置不同防范的方向不同檢測的細粒度不同47Professional Security Solution Provider所在的位置不同防火墻是安裝在網關上，將可信任區(qū)域和非可信任區(qū)域分開，對進出網絡的數據包進行檢測，實現訪問控制。一個網段只需要部署一個防火墻。 而 NIDS是可以裝在局域網內的任何機器上，一個網段內可以裝上數臺 NIDS引擎，由一個總控中心來控制。48Professional Security Solution Provider防范的方向不同? 防火墻主要是實現對外部網絡和內部網絡通訊的訪問控制，防止外部網絡對內部網絡的可能存在的攻擊。? 網絡 入侵檢測系統被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行檢測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護， 防止內外部的惡意攻擊和網絡資源濫用。49Professional Security Solution Provider檢測的細粒度不同防火墻為了實現快速的網絡包轉換，故只能對網絡包的 IP和端口進行一些防黑檢測，比如端口掃描。可是對通過 IIS漏洞及 Nimda病毒之類的網絡入侵，防火墻是毫無辦法。而網絡入侵檢測系統則可以擁有更多特征的入侵數據特征庫，可以對整個網絡包進行檢查過濾。 50Professional Security Solution Provider入侵檢測系統與防火墻圖示說明 FirewallServersDMZIDS AgentIntra監(jiān)控中心router攻擊者發(fā)現攻擊發(fā)現攻擊發(fā)現攻擊報警報警IDS Agent51Professional Security Solution Provider防火墻與 NIDS聯動時間Dt檢測時間檢測時間Pt防護時間防護時間Rt響應時間響應時間Pt防護時間防護時間 +52Professional Security Solution Provider多樣的入侵響應方式報警信息自定義命令 喇叭打印機郵件防火墻阻斷XML文件TCP截斷53Professional Security Solution Provider典型部署－企業(yè)內部安裝IntraIDS AgentIDS AgentFirewallServersDMZIDS Agent監(jiān)控中心router54Professional Security Solution Provider典型部署－廣域網應用監(jiān)控中心（輔） IDS AgentIDS AgentIDS AgentIDS AgentIDS AgentIDS Agent監(jiān)控中心（主）55Professional Security Solution Provider電力行業(yè)入侵檢測 IDS的部署? IDS系統的主要功能包括：實時檢測入侵行為，事后安全審計 ? 對于安全區(qū) I與 II，建議統一部署一套 IDS管理系統?？紤]到調度業(yè)務的可靠性，采用基于網絡的入侵檢測系統（NIDS），其 IDS探頭主要部署在：? 安全區(qū) I與 II的邊界點、 SPD的接入點、以及安全區(qū) I與 II內的關鍵應用網段。其主要的功能用于捕獲網絡異常行為，分析潛在風險，以及安全審計。? 對于安全區(qū) III，禁止使用安全區(qū) I與 II的 IDS，建議與安全區(qū) IV的 IDS系統統一規(guī)劃部署。56Professional Security Solution Provider如何更有效防御攻擊？入侵保護系統 IPS入侵檢測系統IDSIDSIPS傳統的安全技術? 網絡訪問控制? 不能有效檢測并阻斷夾雜在正常流量中的惡意攻擊代碼 ? 無法發(fā)現內部網絡中的攻擊行為 防火墻的局限入侵檢測系統的不足? 檢測惡意流量，發(fā)現攻擊行為? 旁路部署，無法有效阻斷攻擊? 亡羊補牢，側重安全狀態(tài)監(jiān)控 57Professional Security Solution Provider網絡入侵保護系統 IPS解決什么問題？攻擊防護? 防御黑客攻擊? 防御蠕蟲、網絡病毒? 防御拒絕服務攻擊? 防御間諜軟件管理控制? 控制 IM即時通訊? 控制 P2P下載? 控制網絡在線游戲? 控制在線視頻58Professional Security Solution ProviderIPS與 IDS的不同：實時的保護!!!!!!59Professional Security Solution ProviderIDS/IPS混合防護方案目標客戶? 分層防護，監(jiān)控與防護相結合，更完善 ? 在線 NIPS模式、旁路 NIDS模式相配合? IDS旁路部署，無法阻斷攻擊，亡羊補牢，側重安全狀態(tài)監(jiān)控，注重安全審計? IPS在線部署，精確檢測出惡意攻擊流量；主動防御、實時有效的阻斷攻擊；側重訪問控制，注重主動防御設計要點60Professional Security Solution Provider入侵檢測 /保護產品的選型因素? 攻擊分析技術的要求–新一代檢測 /防護技術的應用（協議識別、協議異常檢測、攻擊結果判定、拒絕服務檢測等）? 攻擊檢測 /防護覆蓋面要求–支持協議、攻擊種類、新增規(guī)則、新增攻擊檢測類型–檢測類型和數目? 分析檢測及時性要求–規(guī)則至少應該保持每周一次的常規(guī)升級和隨時的針對嚴重攻擊的緊急升級 ? 大數據量網絡的要求–基于硬件優(yōu)化的線速入侵檢測和防護? 可靠性、可用性及易用性? 作用–識別、檢測 /阻斷攻擊–禰補防火墻的不足，對于上層應用協議的深層檢測及解碼分析61Professional Security Solution Provider針對難以防范的拒絕服務攻擊? 1999年 Yahoo、 ebay 被拒絕服務攻擊， DDoS出現? 2023年 CERT 被拒絕服務攻擊? 2023年 CNNIC 被拒絕服務攻擊? 2023年 全球 13臺根 DNS 中有 8臺被大規(guī)模拒絕服務? 2023年，兩省高考網上查分系統遭受拒絕服務攻擊，無法完成網上招生工作…62Professional Security Solution ProviderDDoS攻擊的特點? 危害巨大– 兩臺位于寬帶網上的普通服務器就可以使目標癱瘓? 極易實施– 簡單的設備，廣為傳播的免費工具軟件? 難于防范– 甚至防火墻都經常成為被攻擊目標? 難于追查– 需要電信級部門的緊密配合才有可能進行追查? 智能化– IP欺騙技術63Professional Security Solution Provider抗拒絕服務系統實現的效果SYN FloodUDP FloodACK FloodDNS FloodHTTP Get連接耗盡其他 DDoS抗拒絕服務系統使拒絕服務攻擊流不再對服務器造成威脅–保證訪問速度–保證訪問成功率64Professional Security Solution Provider不全面的防御導致被攻擊SYN FloodDNS Flood連接耗盡HTTP GetSYN FloodDNS Flood連接耗盡HTTP Get 全面與否，決定成敗65Professional Security Solution Provider我沒發(fā)過請求DDoS攻擊介紹 —— SYN Flood? SYN_RECV狀態(tài)? 半開連接隊列– 遍歷，消耗 CPU和內存– SYN|ACK 重試– SYN Timeout： 30秒 ~2分鐘? 無暇理睬正常的連接請求 —拒絕服務SYN （我可以連接嗎？）ACK （可以）/SYN（請確認?。┕粽呤芎φ邆卧斓刂愤M行 SYN 請求為何還沒回應就是讓你白等 不能建立正常的連接！SYN Flood 攻擊原理 攻擊現象66Professional Security Solution Provider方便的串聯部署應用場景 部署特色? 采用 CollapsarD型的設備? 零安裝，零配置，即插即用? 網絡隱身，無 IP地址配置? 少量服務器? 小型網絡? 防火墻Server GroupWAN Router COLLAPSARDSwitch67Professional Security Solution Provider旁路部署拓撲圖RouterWANCollapsarDRouterServer Group Server Group Server GroupCollapsarP? 可支持對更大流量的拒絕服務攻擊防御? 完全解決單點故障? 對原有網絡結構影響小68Professional Security Solution Provider抗 拒絕服務 產品的選型因素? 提供內部業(yè)務系統或網站的Inter出口，免遭到 DDoS攻擊。 ? 該防護措施使得網站不用購買額外的帶寬或是設備，節(jié)省了大量重復投資，為客戶帶來了更好的投資回報率。 ? DDoS防護不僅僅可以避免業(yè)務損失，還能夠作為一種增值服務提供給最終用戶，帶來了新的利潤增長點，也增強了其行業(yè)競爭能力。作用? 抵御拒絕服務攻擊種類– SYN Flood、 UDP Flood / UDP DNS Query Flood、 (M)Stream Flood、 ICMP Flood、 HTTP Get Flood、連接耗盡? 攻擊防護的及時性要求– 本地技術支持的能力– 隨時的針對嚴重攻擊的緊急升級? 大數據量網絡的性能要求– 基于專用芯片的硬件架構– 背景流和攻擊流的集群分流? 成熟度和穩(wěn)定程度? 靈活的部署模式選型建議69Professional Security Solution Provider“未雨綢繆 ”的漏洞管理? 操作系統和應用漏洞能夠直接威脅數據的完整性和機密性? 流行蠕蟲的傳播通常也依賴與嚴重的安全漏洞? 黑客的主動攻擊往往離不開對漏洞的利用99% of security breaches target known vulnerabilities for which there are existing countermeasures. — CERT Coordination Center 事實證明， 99%以上攻擊都是利用已公布并有修補措施、但用戶未修補的漏洞。對安全漏洞 “未雨綢繆 ”的管理勝于 “亡羊補牢 ”的修補70Professional Security Solution Provider漏洞掃描技術檢測遠程或本地系統安全脆弱性的一種安全技術 71Professional Security Solution Provider遠程探測系統漏洞遠程掃描原理 72Professional Security Solution Provider漏洞管理中的問題有新漏洞發(fā)布嗎？如何有效管理已經發(fā)現的漏洞？檢查起來太麻煩了，沒空 …怎么去查 ??？73Professional Security Solution Provider漏洞是動態(tài)有生命的漏洞生命周期74Professional Security Solution Provider漏洞掃描器的效果? 提高系統健壯性? 杜絕蠕蟲、病毒傳播和破壞? 有效降低攻擊的破壞程度? 減少管理員工作量75Professional Se