【51CTO.com 独家特稿】入侵防御系统方案
入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠,不可用的故意行为。
通常提到对入侵行为的防御,大家都会想到防火墙。防火墙作为企业级安全保障体系的第一道防线,已经得到了非常广泛的应用,但是各式各样的攻击行为还是被不断的发现和报道,这就意味着有一类攻击行为是防火墙所不能防御的,比如说应用层的攻击行为。
想要实现完全的入侵防御,首先需要对各种攻击能准确发现,其次是对攻击进行实时的阻断与响应。防火墙等访问控制设备没有能做到完全的协议分析,仅能实现较为低层的入侵防御,对应用层的攻击以及其他非法行为无法进行判断,而入侵检测等旁路设备由于部署方式的局限,在发现攻击后无法及时切断可疑连接,都达不到完全防御的要求。
想要实现完全的入侵防御,就需要将完全协议分析和在线防御相融合,这就是入侵防御系统(IPS):online式在线部署,深层分析网络实时数据,精确判断隐含其中的攻击行为,实施及时的阻断。
基于赵明的需求,我们推荐赵明使用启明星辰的天清IPS系统来解决问题。
赵明网站入侵防护系统IPS的部署
本次部署的网络入侵防护系统位于Web主备服务器之前,Web服务器区的数据是最安全敏感的数据,安全级别最高,所以部署IPS首先考虑服务器区。
产品部署网络拓扑图如下:
天清入侵防御部署图
天清入侵防御功能分析
天清入侵防御系统(Intrusion Prevention System)是启明星辰自行研制开发的入侵防御类网络安全产品,围绕深层防御、精确阻断这个核心,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。
天清入侵防御系统(IPS)融入了启明星辰公司在入侵攻击识别方面的积累和研究成果,使其在精确阻断方面达到国际领先水平,不仅可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击等多种深层攻击行为进行主动阻断,而且能够有效的防御像SQL注入、跨站脚本攻击这些针对应用业务的攻击行为,弥补了其它安全产品深层防御效果的不足。
◆WEB业务安全主动检测,全面、专业
天清入侵防御系统提供创新的主动式WEB业务安全检查,整合多种专业检查工具的自动化检测平台和专业安全服务团队,及时、全面的检测和呈现网页木马和WEB漏洞,并提供补救措施。检测过程无需客户参与,网络调整或者网络割接,节约WEB业务安全运维成本。
◆WEB业务深层防御能力出众
近年来应用系统的WEB化程度的提高,针对WEB安全的威胁,如SQL注入、跨站脚本等攻击行为也层出不穷。由于这类攻击多依托于正常的开放协议,且变种多样,使得普通的安全产品无法实现全面、准确的防御。天清入侵防御系统采用专利技术算法,对SQL注入、跨脚本攻击等针对WEB业务的攻击行为有很好的判断和防御能力,和传统学术界以及产业界的技术相比,可以做到无误报,无漏报。
◆精确阻断达到国际领先水平
天清入侵防御系统融合了基于攻击躲避原理的阻断方法与基于攻击特征的阻断方法,不但有效提高了对各种深层攻击行为的识别能力,而且对攻击变种、异形攻击等无法通过特征判断的攻击行为也能实现精确阻断。
◆在线部署,高效可靠
天清入侵防御系统是以透明方式串行部署于网络中, 通过虚拟引擎技术可以实现多策略防护。通过软、硬件双Bypass功能,即使在最恶劣的情况下,天清入侵防御系统也不会成为网络的故障点。天清入侵防御系统通过合理分配资源、CPU与任务绑定等技术,大幅提升了系统的性能,其微秒级时延和千兆高吞吐量可满足电信级业务的应用。
◆综合管理,易用、易查
天清入侵防御系统同时支持远程登录管理和集中拓扑管理模式,提供向导式的策略配置管理,可根据需求灵活调整保护策略,达到最佳防御效果,并提供对历史记录信息细致的查询分析功能。
◆支持在线更新,防御最新威胁
天清入侵防御系统可通过在线自动升级,增加对最新威胁的防御能力。
天清入侵防御技术优势
◆高效的数据处理性能
正如很多边界防护设备一样,串行的接入模式需要面对的一个主要问题是如何使设备不成为网络传输的瓶颈。天清入侵防御系统采用了如下先进技术确保其具有高效的传输性能:
POLL技术:在通常的系统中,数据处理都是采用中断响应机制来进行的。采用中断在数据包较少的情况下,是一个比较好的解决方案,但在数据量较大的情况下,尤其是在千兆级环境下,处理大量中断所消耗的系统资源是相当可观的,我们在这里采用了轮询方式的POLL技术,CPU一直保持工作状态,而并且等待唤醒状态,以节约在大数据量情况下的CPU开销。在对数据包的转发中采用POLL技术,可以确保较低的传输时延。
驱动的内部无锁技术:常见的数据结构有这么三种:堆栈、队列和树。在不同的情况下,采用不同的数据结构,我们对捕获后的数据的存储方式采用的是环状队列,也就是说,无需等待中断,随时都可以从存储空间中实时获得可进行分析的数据。
自适应的CPU负载均衡技术:我们将每一个实际的CPU都虚拟成了多个虚拟的CPU,分别用于处理不同的事务:分别处理中断、检测和通讯等。
以上这三项技术的协同应用,使得天清入侵防御系统在数据包的处理性能方面有着出众的表现。其微秒级的分析时延,完全可以适应电信级用户网络环境需求。
◆权威性的检测特征库
基于误用的检测方法要达到精确检测其核心之一就是检测特征(signature)提取的准确性,构造一个好的入侵防御系统,依赖于能否准确地提取和描述检测特征。特别是在串行环境下,明晰而精确的检测特征将会是决定保护措施优劣的重要砝码。
天清入侵防御系统在提炼检测特征的时候采用了如下两种方式:
方式A:基于漏洞机理的分析方法。
利用漏洞机理的方法来提取和定义特征,可以实现检测和具体攻击工具的无关性,特别对于防止新型变种的攻击和攻击工具改造非常有效。
方式B:基于攻击过程的分析方法。
攻击过程分析法则是完全站在攻击者的角度,破析完整的攻击过程,可以判断攻击是处在攻击尝试阶段还是已经攻击成功。
另外,天清入侵防御系统中对检测特征的定义都是通过统一的标准化VT++语言来描述,VT++语言的使用,不但保证了特征的快速更新,还向用户提供了便于自行定义检测特征的接口,从而扩充了检测内容和范围。
天清入侵防御系统的检测防御规则库全面兼容CVE和CNCVE,对用户而言,提供了更详细了解网络中发生行为的机会。
◆准确的攻击检测能力
天清入侵防御系统在对数据链路层到应用层的网络数据全面分析的基础之上,融合漏洞分析信息,可以对上报的攻击事件进行事先的预分析,达到精确报警的目的。
此外,天清入侵防御系统采用了启明星辰公司设计并实现的高效协议自识别方法——VFPR (Venus Fast Protocol Recognition),该协议自识别方法基于协议指纹识别和协议规则验证技术实现,能够在网络协议通信初期根据前期网络报文特征自动识别所属协议类型,并采用预先建立的协议验证规则进一步验证协议识别结果正确性。
◆灵活的安全策略管理
天清入侵防御系统采用基于策略的防护方式,内置了多种默认安全策略集,用户可以根据需要选择最适合自己需要的策略,以达到最佳防护效果。
除了默认的安全策略集外,天清入侵防御系统还提供了向导式的策略管理方式,在策略集间还可实现与、或、并、交等逻辑操作,便于用户自定义选择最佳安全策略。
典型部署
天清入侵防御系统提供了即插即用的部署方式,无须更改拓扑结构就可为网络提供充分防护。
◆单级部署模式:
将入侵防御系统部署在区域边界,提供有针对性的重点防护。
◆多级部署模式:
跨地域部署入侵防御系统,通过互联网实现远程分级防御、统一管理、集中上报。