假想案例谈论IPS系统部署

安全
本文通过几个假想案例谈论在企业中如何部署IPS(入侵防御系统)。主要分为基于策略的安全防御、应用感知的智能防御和行为分析的智能防御,阻止病毒、蠕虫泛滥。

IPS系统已经在互联网中被广泛的应用。今天我们在以下假想的案例中,可以看到以IPS系统为核心的多种网络深度检测/实时抵御的方案;不同的方案,在不同的应用场景当中,可以适当地扩充或简化。

一、 基于策略的安全防御

1. 位于办公网入口的IPS系统通过应用层协议分析跟踪和特征匹配,发现目的地为业务服务器A的HTTP数据流中隐藏有针对Windows操作系统的DCOM漏洞的恶意利用;

2. IPS系统将此安全事件上报至管理中心;

3. 管理中心获取服务器A的基本信息;

4. 管理中心根据获取的A的信息,判断该访问是否会造成危害,如果A不运行Windows操作系统或者A确实运行Windows但是已经打了针对DCOM漏洞的补丁,则A是安全的;

5. 根据情况,管理中心向IPS系统下发制定的安全策略;

6. IPS系统执行安全策略,放行或者阻断此次连接请求。

事实上,在这里我们描述的是需要管理中心介入的情况,在一些相对简单的情况下,如果我们事先可以确认服务器集群所运行的操作系统(在90%的情况下这是可能的),那么抵御该网络攻击的规则可以直接施加在IPS系统上,不再需要与管理中心的交互,从而降低部署的复杂度、提高效率。

二、应用感知的智能防御

1. 办公网用户访问Internet上的WWW服务器;

2. IPS系统检测到该请求,判断该请求符合事先设定的安全策略,放行;

3. 该用户与外部服务器的连接建立;

4. 该用户试图通过已经建立的连接,利用二次代理,发起对某非法或不良网站的访问请求;

5. 根据对应用层协议的深度分析和内容识别,IPS系统检测到该企图,阻断该次HTTP连接;

6. 上报该安全事件到管理中心备查;

7. IPS系统可以根据管理中下发的策略,对该用户进行一定时间的惩罚(拒绝该用户后续的上网请求)。

三、行为分析的智能防御,阻止病毒、蠕虫泛滥

1. 某办公网用户通过公共区域网络访问业务服务器集群;

2. 正常连接建立后,位于服务器集群前端的IPS系统检测到来自该用户的通信流量中隐藏有某种病毒的行为特征,立即阻断该用户的此次访问,并且上报该安全事件给管理中心;

3. 管理中心分析该安全事件,根据报文信息定位到该用户,并且制定新的安全策略;

4. 接入管理更改该用户的安全等级,下发更新的安全策略给相关网络设备;

5. 更新了安全策略的网络设备将该用户隔离至某特定区域,避免该病毒感染其他网络用户,并采取后续行动。

【编辑推荐】

  1. 国内出现首批拥有IDS和IPS产品双CVE认证的安全厂商
  2. IPS是使网络健康的关键防护措施
  3. 移动计算安全关注导致更多IPS、SSL VPN花费
  4. 在企业中配置IPS的最佳实践
  5. 新版DefensePro成为IPS抵抗DDoS攻击的典范

 

责任编辑:张启峰 来源: IT168
相关推荐

2009-06-22 16:28:09

2009-11-20 17:24:57

Oracle系统比SA

2010-04-21 11:26:55

2010-08-25 10:35:07

2010-04-21 10:20:48

2010-08-25 10:18:27

2020-05-11 18:13:51

GNULinuxnftables防火墙

2011-11-21 17:05:39

2011-10-28 16:03:06

2022-11-11 09:28:57

软件设计DDD

2010-08-25 13:13:04

2010-08-25 13:55:25

2022-04-15 10:02:42

网络安全

2024-07-26 08:35:29

2011-03-09 13:48:52

综合布线

2009-11-16 13:59:22

Oracle优化

2012-02-08 14:36:14

2019-07-30 13:12:22

2009-11-17 10:20:01

Oracle Spat

2010-10-25 11:59:19

点赞
收藏

51CTO技术栈公众号