📖 前言:网络防火墙(简称为“防火墙”)是计算机网络安全管理中应用最早和技术发展最快的安全产品之一。随着互联应用的迅猛发展,各种安全问题和安全隐患日渐突出。防火墙及相关安全技术能够最大可能地解决各类安全问题,堵塞已知的安全漏洞,并提供相应的安全预警和安全态势分析,为用户提供可信赖的网络应用区域。目前,基于防火墙的各类安全技术和产品伴随着网络攻击带来的威胁不断推陈出新,具体表现为:一是防火墙技术已不再仅仅局限于单一的防火墙产品,同时已集成到操作系统、杀病毒软件、路由器、交换机等各类网络产品中;二是基于防火墙技术,先后出现了IDS、IPS、Web防火墙等同类安全技术和产品,并在应用中不断更新迭代;三是细化了网络安全防御措施,出现了漏洞扫描、堡垒机等技术和管理手段;四是基于大数据技术,综合各类安全技术的网络安全态势感知技术得到应用,为网络安全主动防御提出了有效解决方法。
目录
- 🕒 1. 防火墙技术及应用
- 🕘 1.1 概述
- 🕘 1.2 基本工作原理
- 🕘 1.3 基本功能
- 🕘 1.4 应用的局限性
- 🕒 2. Web应用防火墙
- 🕘 2.1 概述
- 🕘 2.2 WAF主要工作流程
- 🕘 2.3 WAF的主要功能模块
- 🕒 3. IDS技术及应用
- 🕘 3.1 概述
- 🕘 3.2 分类
- 🕤 3.2.1 异常检测模型
- 🕤 3.2.2 误用检测模型
- 🕤 3.2.3 混合检测模型
- 🕘 3.3 IDS的信息收集
- 🕤 3.3.1 信息收集的方法
- 🕤 3.3.2 信息收集的渠道
- 🕘 3.4 IDS的信息分析
- 🕒 3. IPS技术及应用
- 🕘 3.1 概述
- 🕘 3.2 分类
- 🕤 3.2.1 基于主机的IPS
- 🕤 3.2.2 基于网络的IPS
- 🕤 3.2.3 应用入侵防护
- 🕘 3.3 IPS的技术特征
- 🕘 3.4 IPS的发展
🕒 1. 防火墙技术及应用
🕘 1.1 概述
防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公共网络)之间或网络安全域之间的一系列部件的组合,通过监测、限制、更改进入不同网络或不同安全域的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以防止发生不可预测的、潜在破坏性的入侵,实现网络的安全保护。
防火墙从功能上是被保护的内部网络与外部网络之间的一道屏障,是不同网络或网络安全域之间信息的唯一出入口,能根据内部网络用户的安全策略控制(允许、拒绝、监测)出入网络的信息流;
防火墙从逻辑上是一个分离器,一个限制器,也是一个分析器,能够有效地监控内部网和外部网络(如Internet)之间的所有活动,保证了内部网络的安全;
从物理实现上,防火墙是位于网络特殊位置的一系列安全部件的组合,它既可以是专用的防火墙硬件设备,也可以是路由器或交换机上的安全组件,还可以是运行有安全软件的主机或直接运行在主机上的防火墙软件。
🕘 1.2 基本工作原理
所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查,而且检查的项目越多、层次越深,则防火墙越安全。
对于一台防火墙来说,如果我们知道了其运行在TCP/IP体系的哪一层,我们就可以知道它的体系结构是什么,主要的功能是什么。例如,当防火墙主要工作在TCP/IP体系的网络层时,由于网络层的数据是IP分组,所以防火墙主要针对IP分组进行安全检查,这时我们需要结合IP分组的结构(如源IP地址、目的IP地址等)来掌握防火墙的功能,进而有针对性地在网络中部署防火墙产品。再如,当防火墙主要工作在应用层时,我们就需要根据应用层的不同协议(如http、DNS、SMTP、FTP、Telnet等)来了解防火墙的主要功能。
🕘 1.3 基本功能
(1)监控并限制访问:针对网络入侵的不安全因素,防火墙通过采取控制进出内、外网络数据包的方法,实时监控网络上数据包的状态,并对这些状态加以分析和处理,及时发现存在的异常行为;同时,根据不同情况采取相应的防范措施,从而提高系统的抗攻击能力。
(2)控制协议和服务:针对网络自身存在的不安全因素,防火墙对相关协议和服务进行控制,使得只有授权的协议和服务才可以通过防火墙,从而大大降低了因某种服务、协议的漏洞而引起安全事故的可能性。例如,当允许外部网络用户匿名访问内部DNS服务器时,就需要在防火墙上对访问协议和服务进行限制,只允许HTTP协议利用TCP 80端口进入网络,而其他协议和端口将被拒绝。防火墙可以根据用户的需要在向外部用户开放某些服务(如WWW、FTP等)的同时,禁止外部用户对受保护的内部网络资源进行访问。
(3)保护内部网络:针对应用软件及操作系统的漏洞或“后门”,防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构,其自身建立在安全操作系统之上;同时,针对受保护的内部网络,防火墙能够及时发现系统中存在的漏洞,对访问进行限制;防火墙还可以屏蔽受保护网络的相关信息。
(4)网络地址转换(NAT):目前,NAT主要通过防火墙和路由器来实现。通过NAT,解决了同一内部网络使用多出口的问题。
(5)虚拟专用网(VPN):目前VPN在网络中得到了广泛应用,作为网络特殊位置的防火墙应具有VPN的功能,以简化网络配置和管理。
(6)日志记录与审计:当防火墙系统被配置为所有内部网络与外部网络(如Internet)连接均需经过的安全节点时,防火墙会对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报信息。另外,防火墙也能够对正常的网络使用情况做出统计。这样网络管理人员通过对统计结果的分析,就能够掌握网络的运行状态,进而更加有效地管理整个网络。
🕘 1.4 应用的局限性
1、防火墙不能防范未通过自身的网络连接
防火墙一般位于内部网络与外部网络的边界处,负责检查所有通过它的通信情况。对于有线网络来说,防火墙是进出网络的唯一节点。但是如果使用无线网络(如无线局域网),内部用户与外部网络之间以及外部用户与内部网络之间的通信就会绕过防火墙,这时防火墙就没有任何用处。
目前,无线局域网技术的发展非常迅速,应用需求迅速上升。所以,在使用无线网络的环境中必须考虑到防火墙存在的局限性,需要通过其他的安全技术和措施加强对无线网络的安全管理。
2、防火墙不能防范全部的威胁
防火墙安全策略的制定建立在已知的安全威胁上,所以防火墙能够防范已知的安全威胁。但是,对于一些未知的安全威胁(如采用最新操作系统漏洞的网络攻击等)防火墙将无能为力。所以,在现在的网络安全实施方案中,在采取了防火墙技术的同时,还要综合采用入侵检测(IDS)、入侵保护(IPS)等技术,最好能够实现彼此之间的联动效果。
3、防火墙不能防止感染了病毒的软件或文件的传输
随着技术的发展,虽然目前主流的防火墙可以对通过的所有数据包进行深度的安全检测,已决定是否允许其通过,但一般只会检查源IP地址、目的IP地址、TCP/UDP端口及网络服务类型,较新的防火墙技术也可以通过应用层协议决定某些应用类型是否通过,但对于这些协议所封装的具体内容防火墙并不检查。所以,即使是最先进的数据包过滤技术在病毒防范上也是不适用的,因为病毒的种类太多,操作系统多种多样,而且目前的病毒编写技术很容易将病毒隐藏在数据中。
4、防火墙不能防范内部用户的恶意破坏
据相关资料统计,目前局域网中有80%以上的网络破坏行为是由内部用户所为,如在局域网中窃取其他主机上的数据、对其他主机进行网络攻击、散布计算机病毒等。这些行为都不通过位于局域网出口处的防火墙,防火墙对其无能为力。
5、防火墙本身也存在安全问题
防火墙的工作过程要依赖于防火墙操作系统,与我们平常所使用的Windows、Linux等操作系统一样,防火墙操作系统也存在安全漏洞,而且防火墙的功能越强、越复杂,其漏洞就会越多;目前,在IP网络中使用的防火墙是基于TCP/IP模型实现的,而TCP/IP本身就存在安全问题。所以,影响TCP/IP安全的因素同样会影响防火墙的安全;防火墙在功能设计上就存在安全隐患。
6、人为因素在很大程度上影响了防火墙的功能
防火墙仅仅提供了安全策略,但具体策略的配置和应用都需要由网络管理员来完成,即使是最智能化的防火墙也不可能了解用户的安全需求,也不会自动识别所有的安全威胁。网络管理员的知识水平、网络管理员对单位网络安全需求的正确定位、网络管理员对具体使用的防火墙产品的熟悉程度等人为因素,在很大程度上决定了防火墙的实际应用效果。
🕒 2. Web应用防火墙
🕘 2.1 概述
一般情况下,攻击者采用以下两种方式实施对Web系统的攻击。
(1)篡改Web系统数据:攻击者通过SQL注入等方式,利用Web应用程序漏洞获得Web系统权限后,可以进行网页挂马、网页篡改、修改数据等操作。例如,攻击者可以通过网页挂马,利用被攻击的Web系统作为后续攻击的跳板,致使更多用户受害;也可以通过网页篡改,丑化Web系统所有者的声誉;还可以通过修改Web系统敏感数据,直接达到获取利益的目的。
(2)窃取用户信息:利用Web应用程序漏洞,构造特殊网页或链接引诱Web系统管理员、普通用户点击,以达到窃取用户数据的目的。例如游戏、网银、论坛等账号的窃取,大多是利用了Web系统的XSS漏洞实现的。
面对Web应用的攻击,最关键的就是有效的检测防护机制。针对此现象,可以通过Web应用安全网关等设备加强对Web系统的安全防护,对SQL注入、XSS攻击等针对应用层的攻击进行防护。并针对Web应用访问进行各方面优化,以提高Web或网络协议应用的可用性,确保业务应用能够快速、安全、可靠地交付。实现这些安全管理功能的技术和产品便是Web应用防火墙(Web Application Firewall,WAF),WAF的主要工作流程如下图所示,其主要功能如下。
(1)WAF旨在保护Web应用程序免受常见攻击的威胁,通过分析应用层的流量以发现任何违背安全策略的安全问题。
(2)WAF在网络中一般位于Web应用服务器前端,用于保护防火墙之后的应用服务器。它提供的功能可能包括服务器之间的流量负载均衡、压缩、加密,HTTP/HTTPS流量的反向代理,检查应用程序的一致性和汇聚TCP会话等。
🕘 2.2 WAF主要工作流程
如图所示,可将WAF的工作原理描述为:Web应用客户端(Web浏览器)向Web网站发起访问请求,该请求报文没有直接发送到Web网站,而是先提交给一个代理模块,由该代理模块将该请求报文转发给Web安全防护引擎进行协议分析,之后再将该请求报文转发给Web网站;
Web网站接受Web请求,并进行响应回复,该响应报文首先在Web安全防护引擎上进行安全性分析,之后再由代理模块转发给Web应用客户端。
在以上操作过程中,主要体现WAF功能的代理模块和Web安全防护引擎中断了Web应用客户端与Web网站之间的直接连接,其目的是对往来的数据包进行安全性分析。在整个工作过程中,对于Web应用客户端和Web网站来说,WAF的存在是透明的。
🕘 2.3 WAF的主要功能模块
WAF提供的主要模块有代理模块和Web安全防护引擎,除此之外还包括Web扫描、Web防篡改、Web应用交付等功能。
(1)代理模块。WAF中的代理(proxy)是Web客户端与Web网站之间的中转站,负责转发Web客户端与Web网站之间的合法信息。根据工作模式的不同,WAF的代理模块主要分为透明代理、反向代理和路由代理 3种模式。
- 透明代理模式:透明代理模式的工作原理是:当Web客户端向Web网站发起连接请求时,TCP连接请求被WAF截取和监控。WAF代理了Web客户端和Web网站之间的会话,将会话分成两段,并基于桥接模式进行转发。从Web客户端来看,Web客户端仍然是直接访问Web网站,感知不到WAF的存在。
- 反向代理模式:反向代理模式是指将真实服务器的地址映射到代理服务器上,该代理服务器称为反向代理服务器。在反向代理模式中,由于客户端实际访问的就是WAF,所以代理服务器在收到HTTP请求报文后,将该请求报文转发给对应的真实服务器。同时,真实服务器在接收到请求后,会将响应先发送给WAF,再由WAF将应答报文发送给客户端。
- 路由代理模式:在路由代理模式中,代理模块扮演着网关的功能。由于网关的存在,使Web客户端与Web网站之间的通信被分割开来,所有往来数据都要经过代理模块。如果WAF工作在路由代理模式下,需要给WAF设备配置合法的IP地址并启用IP路由功能。其他的工作过程与透明代理模式相同。
(2)Web安全防护引擎。WAF通过Web安全防护引擎来抵御外部网络攻击,从而实现对Web网站的安全保护。同时,Web安全防护引擎能够实现对数据内容的过滤,保证数据内容的安全性,防止恶意代理的攻击。与传统的防火墙和IDS系统相比较,Web安全防护引擎具有以下特点。
- 能够实现对HTTP协议的分析:具体表现为:完整地分析HTTP协议,包括报文头部、参数及载荷;支持各种HTTP编码(如压缩);提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备对响应对象(Response)的过滤能力。
- 应用层规则:Web应用通常是定制化的,传统的针对已知漏洞的规则往往无效。WAF提供专用的应用层规则,而且能够检测到潜在的攻击行为,例如检测SSL加密流量中混杂的攻击等。
- 应用层协议过滤:WAF通过解码所有进入的请求,检查这些请求是否合法或符合规范;仅允许正确的格式或符合相关规范(如RFC标准)的请求通过。已知的恶意请求将被阻断,非法植入到协议头部(header)、表单(form)和URL中的脚本将被阻止。
- 正向安全模型(白名单):仅允许已知有效的输入通过,为Web应用提供了一个外部的输入验证机制,使安全性更为可靠。
- 会话防护机制:HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。WAF针对此问题进行了有效补充,可以对基于会话的攻击类型(如Cookie篡改及会话劫持攻击等)进行有效地隔离。
总结:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用(俗称网站)提供保护的产品
🕒 3. IDS技术及应用
🕘 3.1 概述
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
入侵检测(ID)的功能为:
(1)监督并分析用户和系统的活动
(2)检查系统配置和漏洞
(3)检查关键系统和数据文件的完整性
(4)识别代表已知攻击的活动模式
(5)对反常行为模式的统计分析
(6)对操作系统的校验管理,判断是否有破坏安全的用户活动。
🕘 3.2 分类
根据实现技术的不同,IDS可以分为异常检测模型、误用检测模型和混合检测模型三种类型。
🕤 3.2.1 异常检测模型
异常检测(Anomaly Detection)模型主要检测与可接受行为之间的偏差,把当前主体的活动与网络行为比较,网络行为一般是指网络中正常的访问行为特征参数及其阈值的集合,当网络活动行为与系统正常行为有较大偏离时判定为入侵。异常检测常用的是统计方法,最大的特点是能够让入侵检测系统自动学习主体的行为习惯。
如果可以预先定义每项可接受的行为(如对HTTP的正常访问、正常的TCP连接、正常的SMTP协议使用等),那么每项不可接受的行为(如TCP半连接状态、大量连续的SMTP连接等)就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型的漏报率低,但误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
🕤 3.2.2 误用检测模型
误用检测(Misuse Detection)模型主要检测与已知到不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起报警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。误用检测型检测基于已知的系统缺陷和入侵模式,所以又称“特征检测模型”。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生入侵或攻击的漏报。
🕤 3.2.3 混合检测模型
混合检测模型是对异常检测模型和误用检测模型的综合。近几年来,混合检测模型日益受到人们的重视。这类检测在做出决策之前,既分析系统的正常行为,同时还观察可疑的入侵行为,所以判断结果更全面、准确、可靠。
混合检测并不为不同的入侵行为分别建立模型,而是首先通过大量的事例学习什么是入侵行为以及什么是系统的正常行为,发现描述系统特征的一般使用模式,然后再形成对异常和误用都适用的检测模型。
🕘 3.3 IDS的信息收集
入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。此工作由放置在不同网段的传感器或不同主机上的代理来进行,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行等。
🕤 3.3.1 信息收集的方法
根据对象的不同,信息收集的方法包括基于主机的信息收集、基于网络的信息收集和混合型信息收集三种类型。
(1)基于主机的信息收集
系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的可执行程序,它们与命令控制台(console)通信。 基于主机的IDS部署如图所示。
(2)基于网络的信息收集
系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络中每个网段的传感器(sensor)组成。传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。基于网络的IDS部署如图所示(当单位内部网络存在多个网段时,建议在每一个网段分别安装一个传感器)。
(3)混合型信息收集
混合型信息收集是基于网络的信息收集和基于主机的信息收集的有机结合。基于网络的信息收集和基于主机的信息收集都存在不足之处,会造成防御体系的不全面,而混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
🕤 3.3.2 信息收集的渠道
(1) 系统和网络日志文件
日志文件中记录了各种行为类型,每种类型又包含不同的信息。例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然,不正常的或不期望的用户行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等。如图所示的是通过Windows系统“事件查看器”记录的相关日志,网络管理员要养成经常查看日志记录的习惯。
(2) 目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件,保存有重要信息的文件经常是入侵者获取、修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),很可能就是一种入侵产生的指示和信号。
(3) 程序执行中的不期望行为
入侵者在进入用户的系统后,为了安全地运行后门程序,会将该程序运行时进程修改为系统中已有的进程。所以,对于我们熟悉的一些进程的运行状态也要引起网络管理员的关注,当某一进程出现异常(如CPU占用率突然持续保持在较高的水平)时,就要查看该进程提供的服务。
(4) 物理形式的入侵信息
物理形式的入侵包括:一是未授权的对网络硬件连接;二是对物理资源的未授权访问。入侵者会利用各种方法进入用户的网络(一般为内部网络),然后进行各种非法操作,如安装应用软件,修改系统参数,删除用户数据等。
🕘 3.4 IDS的信息分析
IDS对于收集到的各类信息(如系统、网络、数据及用户活动状态和行为等),一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
完整性分析:主要关注某个文件或对象是否被更改,可以通过该文件或该文件所在目录的属性来发现。完整性分析利用强有力的加密机制,可以识别微小的变化。完整性分析的优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其他对象的任何改变,它都能够发现。其缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。
IDS的特点:一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。
🕒 3. IPS技术及应用
🕘 3.1 概述
IPS(Intrusion Protection System,入侵防御系统)是继IDS之后发展起来的一项新型技术,是一种主动的、智能的入侵检测和防御系统,其设计目的主要是预先对入侵活动和攻击行为的网络流量进行拦截,避免造成损失。
🕘 3.2 分类
IPS根据部署方式的不同,分为基于主机的入侵防御系统(Host IPS,HIPS)、基于网络的入侵防御系统(Network IPS,NIPS)和应用入侵保护(Application Intrusion Prevention,AIP)3种类型。
🕤 3.2.1 基于主机的IPS
基于主机的入侵防御(HIPS)通过在服务器等主机上安装代理程序来防止对主机的入侵和攻击,保护服务器免受外部入侵或攻击。HIPS可以根据自定义的安全策略以及分析学习机制来阻断对服务器等主机发起的恶意入侵,HIPS可以阻断缓冲区溢出、更改登录口令、改写动态链接库以及其他试图获得操作系统入侵权的行为,加强了系统整体的安全性。
HIPS利用由包过滤、状态包检测和实时入侵检测组成的分层防护体系,不但能够阻止诸如缓冲区溢出这一类的已知攻击,还能够防范未知攻击,防止针对Web页面、应用系统和资源的未授权的任何非法访问,提供对主机整体的保护。它能够在满足网络实际吞吐率的前提下,最大限度地保护主机的敏感内容,既可以以将相关软件嵌入到应用程序对操作系统的调用中来拦截针对操作系统的可疑调用,提供对主机的安全防护,也可以更改操作系统内核程序的方式,提供比操作系统更加严谨的安全控制机制。HIPS与具体的主机或服务器上所运行的操作系统紧密相关,不同的操作系统需要不同的代理程序。
🕤 3.2.2 基于网络的IPS
基于网络的入侵防护(NIPS)通过检测流经的网络流量,提供对网络系统的安全保护。与IDS的并联方式不同,由于IPS采用串联方式,所以一旦检测出入侵行为或攻击数据流,NIPS就可以去除整个网络会话。另外,由于IPS以串联方式接入整个网络的进出口处,所以NIPS的性能也影响着整体网络的性能,NIPS有可能成为整个网络的瓶颈。为此,对NIPS的硬件组成和处理能力就提出更高的要求。
除在硬件上为NIPS提供保障外,还需要从实现技术上寻找突破。NIPS吸取了目前几乎IDS所有的成熟技术,包括特征匹配、协议分析和异常检测等。其中,特征匹配具有准确率高、速度快等特点,是应用最为广泛的一项技术。基于状态的特征匹配不但检测攻击行为的特征,还要检查当前网络的会话状态,避免受到欺骗攻击。协议分析是一种较新的入侵检测技术,它充分利用网络协议的特征,并结合高速数据包捕捉和协议分析技术,来快速检测某种攻击特征。协议分析能够理解不同协议的工作原理,以此分析这些协议的数据包,来寻找可疑或不正常的访问行为。
🕤 3.2.3 应用入侵防护
应用入侵防护(AIP)是NIPS产品的一个特例,它把NIPS扩展成为位于应用服务器之前的网络设备,为应用服务器提供更安全的保护。AIP被设计成一种高性能的设备,配置在特定的网络链路上,以确保用户遵守已设定好的安全策略,保护服务器的安全。而NIPS工作在网络上,直接对数据包进行检测和阻断,与具体的服务器或主机的操作系统平台无关。
🕘 3.3 IPS的技术特征
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。所有流经IPS的数据包都被分类,分类的依据是数据包的头部信息,如源IP地址、目的IP地址、端口号和应用域等。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续往前发送,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
IPS应具有以下的技术特征:
(1)嵌入式运行:只有以嵌入模式运行的IPS设备才能够实现实时的安全防护,实时阻断所有可疑的数据包,并对该数据流的剩余部分进行拦截。
(2)深入分析和控制:IPS必须具有深入分析能力,以确定哪些流量已经被拦截,并能够根据攻击类型、策略等来确定哪些流量应该被拦截。
(3)入侵特征库:与防病毒系统的病毒库一样,较为完整的高质量的入侵特征库是IPS高效运行的必要条件。当我们在选择一款IPS产品时,除考虑其硬件性能和所采用的技术等指标外,还要重点考虑IPS入侵特征库的升级等问题。
(4)高效处理能力:IPS必须具有对数据包的高效处理能力,争取对整个网络性能的影响降至最低水平,避免IPS成为网络的瓶颈。
🕘 3.4 IPS的发展
从较长的一段时间来看,IPS还不可能完全取代IDS和防火墙产品,IPS还有许多不够完善的地方主要有:单点故障、性能瓶颈、误报和漏报等。这是由于IPS必须串联到网络中,这就可能造成网络瓶颈或单点故障。如果IDS出现故障,最坏的情况也就是造成某些攻击无法被检测到,而串联式的IPS设备出现问题,就会严重影响网络的正常运转,甚至造成所有用户都将无法访问企业网络提供的服务。即使正常使用的IPS设备也仍然是一个潜在的网络瓶颈,串联到网络中的IPS不仅会增加正常的响应时间,而且会降低网络的效率,IPS必须与数千兆或者更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的IPS设备将很难支持这种响应速度,这就为IPS设备的制造技术和成本提出了更高的要求。
针对以上问题,IPS厂商纷纷采用各种方式加以解决。例如,综合应用多种检测技术,采用专用硬件加速系统来提高IPS的运行效率,等等。不过,需要说明的是:因为网络威胁的多样性和综合性已越来越突出,所以IPS的不足并不会成为阻止人们使用IPS的理由。在众多的安全产品中,入侵防御系统的重要性会不断被用户所认可。
OK,以上就是本期知识点“网络安全设备”的知识啦~~ ,感谢友友们的阅读。后续还会继续更新,欢迎持续关注哟📌~
💫如果有错误❌,欢迎批评指正呀👀~让我们一起相互进步🚀
🎉如果觉得收获满满,可以点点赞👍支持一下哟~
❗ 转载请注明出处
作者:HinsCoder
博客链接:🔎 作者博客主页
