[159期]51CTO技术门诊 何种入侵防护系统更适合

企业动态
说到网络攻击,很多运维人员都挠头。这骇客说来就来,很少提前打招呼,还是需要找个反入侵的系统。这反入侵系统种类繁多,功能各有特色。比如IPS,就与大多数IDS系统的被动工作方式不同,入侵防护系统倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。

说到网络攻击,很多运维人员都挠头。这骇客说来就来,很少提前打招呼,还是需要找个反入侵的系统。这反入侵系统种类繁多,功能各有特色。比如IPS,就与大多数IDS系统的被动工作方式不同,入侵防护系统倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。那如何挑选一款适合单位的入侵防护系统呢?什么样的才能解决自己所遇到的问题?

技术门是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!

 

   本期门诊特邀两位经验丰富的安全顾问 杜建峰、吴航 来与大家一起交流探讨挑选入侵防护系统时需要注意的问题和事项。

姓  名:杜建峰

 

 

擅长领域:网络、安全、通信、移动应用

 

Check Point软件技术有限公司北方区安全顾问。毕业于北京交通大学通信与控制工程系,具有Check Point CCSE高级安全工程师认证。曾就职于NOKIA公司,安氏(iS-One) 公司,现就职于Check Point担任北方区高级安全顾问工作。杜建峰具有10年以上的安全行业从业经验,具备丰富的电信,金融等行业的安全设计与咨询培训工作。

姓  名:吴 航

擅长领域:网络、安全、通信,移动应用

 

Check Point软件技术有限公司北方区安全顾问。毕业于北京信息科技大学自动化系。具有CISP信息安全注册师,以及Check Point CCSE高级安全工程师认证。拥有超过8年的安全行业从业经验。曾给包括金融、电信、政府、军队等大型客户进行安全设计与咨询培训工作。

 

查看本期门诊精彩实录: http://doctor.51cto.com/develop-172.html  

 

参与最新技术门诊:http://doctor.51cto.com/

 

精选本期网友提问与专家解答,以供网友学习参考。

 

Q:请问,如何构建适合企业的入侵防护系统呢?

 

A这个问题很大的, 通常先了解自己的网络应用, 再分析比较各个产品厂商,最好找到类似的企业案例应用参考;最后当然实践出真知,上线测试一下,如果可以再模拟攻击一下,看好不好用。

 

Q:老师您们好:主动防护一般主要是哪几种形式?假如遭到恶意攻击时应采取怎样的应急措施?

 

A根据不同的厂家和技术, 可以reject , drop , reset 连接等;遭到恶意攻击如果不是性能上的, 可以防火墙或之前的访问控制上直接加黑名单阻断,如果是DOS或DDOS, 在你的日志上有攻击源地址, 你可以找你的接入商要求封掉该地址对你的连接,或者从网络等方式找到该地址的所有维护者,通常是某些IDC里托管的机器,可以联系该IDC管理员,出示证据,解释清楚, 通常管理员会断哪个肉鸡的网再通知哪个所有人,起码我之前这样作过。

 

 

Q:学网络安全并不是很好,我想问下,如果把所有的漏洞都补齐,黑客还能入侵我们的操作系统吗?如何发现自己的系统被入侵了?入侵检测系统,检测的哪种行为算是被入侵?

 

A漏洞都补齐(只是理论上,没有哪个厂家宣称自己没有任何弱点) ,也可能被侵入;比如你的系统已经把所有的想象到的补丁都打了, 但你上网访问某些网站,说要下载某个运行软件, 你同意了, 或者根本就是混在其他应用里下来的, 是你主动连接下载的, 那就没有用;所以通常IPS就是,等你人为的犯错,它也是可以起到一定防护作用的入侵检测系统,检测的哪种行为算是被入侵?要看它的策略定义了。

 

 

Q:个人比较头疼被入侵的问题,公司业务已经被入侵过多次,包括webshell、挂马以及DDOS流量攻击,打击很大,但是一直也没找到让人踏实好用的方法解决掉这些问题,趁此机会请教两位安全方向的大师,对于做互联网行业的公司,其公网服务器的保护该做哪些方面的安全措施?哪些设备对这些方面的防护效果会比较好?麻烦推荐下,谢谢!!

 

A通常来说.公网上的服务应用,首先建议要用不是那么知名的漏洞很多的那些应用软件,其次系统加固一下,把系统缺省启动的那些不用的应用和端口都关掉,能修正的补丁用上,帐户密码就不用说了, 不要上来Root 权限就可以直接连接,怎么也得用低级帐号登陆再在需要时候切换哪;之后前面最少有防火墙做访问限制,只开放对外的端口和应用,对那些维护类的如telnet / ssh / ftp等在防火墙上最好作好日志记录, 能有先一步的认证机制或VPN连接就更好了,之后如果可以,再放个 IPS , 针对你的应用重点防御; 你觉得防护作的差不多了, 找个知名的攻击类探测扫描器的厂商,针对性攻击尝试一下,如果还有漏洞就再补。

 

 

Q:请教两位专家:

 

1、选择了IPS,是否就没有必要再用IDS产品了呢?

 

2、现在网络安全界很流行UTM,那选择了UTM这样的综合安全防护产品,是否就可以不用再单独考虑IPS系统了呢?

 

A 1. IPS 重在防御IDS 重在检测,功能上有很大区别并不能相互替代;

 

2. 传统UTM,网关之中的IPS功能较为简单,无法和单一IPS解决方案相比。

Check Point 基于软件刀片架构的XTM安全网关解决了传统UTM的局限性,网关中的IPS模块可以提供企业级IPS功能和性能。

Q:我们公司最近也在做入侵防护系统的选型工作,但是面对市面上那么多品牌和型号的IPS产品,我们该如何选择呢?需要考虑哪些技术指标呢?

A这个要多查些网络对比评论的文章了.通常选择的指标, 性能方面有加载检测防护策略条件下的吞吐量, 时间延迟,最大并法容量,新建连接能力等, 硬件上有Fail-open卡,电源风扇磁盘存储的冗余等, 软件功能有检测项目的数目,测试的误报率和漏报率,管理界面的友好度, 统计分析报表等。

Q:一般的中小企业有上这种产品的必要吗?   一般的防火墙,路由器,交换机的基础架构再上这个是否会减低网络的传输效率? 这和反病毒,UTM类的安全产品具体有什么不同?

A中小型企业从安全的角度看, 也有需要, 但要看在安全方面的投资;安全和应用有的时候是有些矛盾的, 安全控制的越厉害, 用起来就有慢啊等不方便的地方, 但安全是一种需求,甚至是制度要求, 该要的还是要部署;安全产品类型很多了,防火墙, IPS , 防病毒等是不同的方面, 不能互相彻底替代的。

Q:老师,您好。我想问问,在以linux搭建服务器的中小企业在安全方面有什么地方注意的,是不是使用linux的系统出现安全问题的可能性要比window少一下呢?

A按个人经验,linux会少些问题;但不要忘了,linux也是很普遍应用的系统,上面的很多缺省服务也是有名的漏洞多;所以用linux注意要关闭不用的服务和端口,还有 root和其他系统用户之间的转换,与目录文件权限。

Q:请问:有5win2k3 服务器,主要应用web mssqlmysql mail ;每个服务器大致有200个左右制作质量层次不齐网站(客户测试的),导致资源负载过大。或经常有挂马发生,或者某个网站线程死掉无法打开。还有就是攻击某个网站,导致整个服务器打不开如何有一个好的方案对服务器进行优化。能对上述问题有好的解决或者控制购买软硬件可建议一二。

A这个不是IPS就能解决的,需要提升系统设备性能, 做系统加固;最好通过虚拟机分开,不要所有应用都挂在一个系统里;然后才是前面IPS针对主要应用进行针对性防护。

Q:请问专家,IPS系统是否具有蜜罐的功能?如果攻击者采用DDOS攻击,那么是否能够有什么有效的措施阻止该类攻击??

A部分品牌有,通过分类后将DOS类型的攻击数据流导引开;原则上DDOS是没有特别好的方法阻止的, 你在被动的接受,只有提升系统设备性能和检测判决的精度,还有联系上层接入商,从上层封杀DDOS的肉鸡地址。

查看更多精彩门诊:http://doctor.51cto.com/

责任编辑:佚名 来源: 51CTO
相关推荐

2010-04-12 13:50:15

CDP技术

2010-06-21 09:45:59

2011-03-29 09:39:18

2010-05-31 17:04:17

2011-03-11 09:58:01

51CTO专家门诊服务器并行开发基础

2011-06-08 08:57:29

2010-03-04 12:38:36

技术快讯

2011-11-11 13:36:48

Exchange Se

2013-01-29 15:49:10

IT技术周刊

2012-06-12 16:08:35

http:www.51cto.cedm

2011-09-06 14:59:32

开发技术周刊

2011-06-01 16:35:50

51CTO投稿

2011-10-25 15:49:57

VPN

2014-12-30 17:08:14

IT技术周刊

2011-12-12 13:15:56

开放平台

2011-09-08 13:50:51

51cto 51CTO

2011-04-19 08:59:33

2011-11-23 13:50:05

开发技术周刊

2011-11-14 16:41:32

51CTO技术沙龙Exchange迁移

2012-05-02 10:28:57

安全技术
点赞
收藏

51CTO技术栈公众号