IPS(入侵预防系统)也像入侵侦查系统一样,专门深入网路数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。
除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。
IPS虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。下面我们就来了解下行为处理法是如何运转工作的,我们依旧以华为公司的Tippingpoint入侵防御系统为例进行介绍。
第一步:登录到IPS系统管理界面,我们在左边找到IPS选项下的security profiles,这个是关于安全配置的信息,在这里我们能够看到默认的是default security profile,这个是系统集成时厂商制订好的。(如图1)
第二步:下面我们来修改这个默认的default security profile,打开后会显示该安全策略应用的接口,由于笔者所在公司只使用了两个接口,一个入一个出所以这里不用修改。(如图2)
第三步:接下来是profile details(advanced)设置,这里是关于策略的详细信息进行配置的。
我们可以看到默认情况系统针对各个攻击类型划分了类别,每个类别是一个category.可以处理的攻击包括exploits益出,identity theft,security policy(安全策略),virus病毒,spyware间谍程序等等,种类很多这里就不一一罗列了。
对于每个大类category来说我们都可以设置IPS操作的行为以及处理方法,包括block禁止通行,block+notify禁止通行并提示,block+notify+trace禁止通行并提示而且追踪源地址,limit rate to 10M容许速度限制为10M,limit rate to 5M,permit+notify,perminotify+trace容许通行并追踪数据等等。
基本上这里罗列的行为处理方法足够在实际中使用了,如果企业需要特殊的行为处理操作的话可以按照下文介绍的方法添加。
这里有一个recommended的意思是推荐,他表示对于该大类处理方法按照单独小类进行处理,例如virus下有A病毒与B病毒,如果大类virus设置为recommended的话,那么具体到处理AB病毒时按照A病毒与B病毒自身设置的行为处理规则运行。
IPS一般作为防火墙和防病毒软体的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据,有兴趣的读者可以关注更多的相关资源。
【编辑推荐】