网络安全技术与实施项目6-IPS管理与配置课件.ppt

1、学习情境二：网络设备安全管理与配置项目项目6 IPS管理与配置管理与配置6.1 项目背景项目背景6.2 项目知识准备项目知识准备6.3 项目实施项目实施项目习作项目习作网络安全技术与实施6.1 项目背景项目背景项目背景小杨作为某企业的网络管理人员，部署好小杨作为某企业的网络管理人员，部署好防火墙以后，认为万事大吉了。但随着网防火墙以后，认为万事大吉了。但随着网络蠕虫等自动攻击的泛滥，一种漏洞会被络蠕虫等自动攻击的泛滥，一种漏洞会被多种病毒所利用。因此在规则库中光检测多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求，到一种漏洞已经远远不能满足用户的需求，用户需要看到哪种蠕

2、虫或后门木马。这就用户需要看到哪种蠕虫或后门木马。这就需要在规则库的更新和维护上投入更多的需要在规则库的更新和维护上投入更多的资源，不光是跟踪官方公布的漏洞和最常资源，不光是跟踪官方公布的漏洞和最常见的攻击程序等，还要对网络上流传的种见的攻击程序等，还要对网络上流传的种种病毒、木马等程序做分析。规则库的条种病毒、木马等程序做分析。规则库的条数要达到几万条以上，更新速度要达到每数要达到几万条以上，更新速度要达到每天更新，小杨感到无法应对。天更新，小杨感到无法应对。6.2 项目知识准备6.2.1 IPS简介简介 1安全监测概述安全监测概述入侵检测系统（入侵检测系统（IDS）是一种网络监测系统，当有

3、敌人或者恶意用户试图通）是一种网络监测系统，当有敌人或者恶意用户试图通过过Internet进入网络甚至计算机系统时，进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知能够检测出来，并进行报警，通知网络该采取措施进行响应。网络该采取措施进行响应。6.2 项目知识准备6.2.1 IPS简介简介 2入侵检测系统入侵检测系统（1）入侵检测系统的主要功能：）入侵检测系统的主要功能：监测并分析用户和系统的活动；监测并分析用户和系统的活动；核查系统配置和漏洞；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；识别已知的攻击行为；统计分

4、析异常行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。操作系统日志管理，并识别违反安全策略的用户活动。6.2 项目知识准备6.2.1 IPS简介简介 2入侵检测系统入侵检测系统（2）入侵检测系统的类型）入侵检测系统的类型根据入侵检测的信息来源不同，可以将入侵检测系统分为两类，基于主机的根据入侵检测的信息来源不同，可以将入侵检测系统分为两类，基于主机的入侵检测系统和基于网络的入侵检测系统。入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统，主要用于保护运行关键应用的服务器。它通过监基于主机的入侵检测系统，主要用于保护运行关键应用的服务器。它通过监视与分析主机的审

5、计记录和日志文件来检测入侵。视与分析主机的审计记录和日志文件来检测入侵。基于网络的入侵检测系统，主要用于实时监控网络关键路径的信息，它监听基于网络的入侵检测系统，主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。网络上的所有分组来采集数据，分析可疑现象。6.2 项目知识准备6.2.1 IPS简介简介 2入侵检测系统入侵检测系统（3）入侵检测技术）入侵检测技术对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（功能。从技术上，入侵检测分

6、为两类：一种基于标志（signature-based），另），另一种基于异常情况（一种基于异常情况（anomaly-based）。）。6.2 项目知识准备6.2.1 IPS简介简介 2入侵检测系统入侵检测系统（4）入侵检测的步骤）入侵检测的步骤入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：信息收集、数据分析和响应。步骤：信息收集、数据分析和响应。6.2 项目知识

7、准备6.2.1 IPS简介简介 3IPS技术技术随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面企业网络随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面企业网络感染病毒、遭受攻击的速度日益加快，另一方面企业网络受到攻击做出响应的时感染病毒、遭受攻击的速度日益加快，另一方面企业网络受到攻击做出响应的时间却越来越滞后。解决这一矛盾，传统的防火墙或入侵检测技术间却越来越滞后。解决这一矛盾，传统的防火墙或入侵检测技术(IDS)显得力不显得力不从心，这就需要引入一种全新的技术从心，这就需要引入一种全新的技术入侵防护（入侵防护（Intrusion Prevention System，I

8、PS）。）。6.2 项目知识准备6.2.1 IPS简介简介 3IPS技术技术（1）IPS原理原理入侵防护系统入侵防护系统(IPS)则倾向于提供主动防护，其设计宗旨是预先对入侵活动和则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可一个网络端口接收来自外

9、部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。疑内容后，再通过另外一个端口将它传送到内部系统中。6.2 项目知识准备6.2.1 IPS简介简介 3IPS技术技术（2）IPS技术技术一个攻击在网络中发动，但该网络部署了一个攻击在网络中发动，但该网络部署了IPS模式（在线模式），并使用了模式（在线模式），并使用了一个传感器。一个传感器。IPS传感器分析所有经过传感器分析所有经过IPS传感器接口的数据包。传感器接口的数据包。IPS传感器把恶传感器把恶意流量与特征文件（签名）比对，攻击立即停止。意流量与特征文件（签名）比对，攻击立即停止。IPS传感器

10、也能发送警告给管传感器也能发送警告给管理控制登陆或其他的管理意图。违反策略的流量将被理控制登陆或其他的管理意图。违反策略的流量将被IPS传感器丢弃。传感器丢弃。6.2 项目知识准备6.2.1 IPS简介简介 3IPS技术技术（3）Cisco IPS Cisco IOS IPS使用底层的路由基础架构来提供额外的安全层，保护了投资。使用底层的路由基础架构来提供额外的安全层，保护了投资。通过禁止进出网络双向的恶意流量的方式，就可以有效地消除攻击。结合其他的通过禁止进出网络双向的恶意流量的方式，就可以有效地消除攻击。结合其他的Cisco解决方案，可以在网络所有的进入点提供威胁保护。可以通过简单和有效解

11、决方案，可以在网络所有的进入点提供威胁保护。可以通过简单和有效的管理工具来支持。提供了无处不在的入侵防御解决方案，可以顺利地整合在网的管理工具来支持。提供了无处不在的入侵防御解决方案，可以顺利地整合在网络基础架构中，可以预保护重要的资源。络基础架构中，可以预保护重要的资源。Cisco IPS设备使用相同的特征数据库，设备使用相同的特征数据库，支持大约支持大约2000个攻击特征。个攻击特征。6.2 项目知识准备6.2.2 IPS基本安全管理与配置基本安全管理与配置 1在企业中配置在企业中配置IPS的最佳实践的最佳实践在在“监控监控”模式下运行模式下运行IPS，直到系统已经适当地调整过了。这样的配

12、置行，直到系统已经适当地调整过了。这样的配置行为更像是入侵检测系统，识别潜在问题，但是不阻止网络流量。为更像是入侵检测系统，识别潜在问题，但是不阻止网络流量。把把“阻止阻止”模式规则的数量限制在最小量，做些细微的调整，减少假阳性阻止的模式规则的数量限制在最小量，做些细微的调整，减少假阳性阻止的可能性。可能性。考虑使用不能打开（考虑使用不能打开（fail-open）的设备，限制网络上设备故障的影响。在）的设备，限制网络上设备故障的影响。在IPS的失误事件中，这就会允许所有的流量继续而不受中断，虽然配置的安全性的失误事件中，这就会允许所有的流量继续而不受中断，虽然配置的安全性降低了，但是可以保持网

13、络的状态和运行。降低了，但是可以保持网络的状态和运行。6.2 项目知识准备6.2.2 IPS基本安全管理与配置基本安全管理与配置 2Cisco IPS解决方案解决方案Cisco IPS解决方案有本地管理解决方案和中央管理解决方案。解决方案有本地管理解决方案和中央管理解决方案。本地管理解决方案有本地管理解决方案有Cisco路由器和安全设备管理路由器和安全设备管理Cisco Router and Security Device Manager(SDM)和和Cisco IPS 设备管理设备管理Cisco IPS Device Manager(IDM)。中央管理解决方案有中央管理解决方案有Cisco

14、IDS 事件查看器事件查看器Cisco IDS Event Viewer(IEV)、Cisco安全管理安全管理Cisco Security Manager(CSM)和和Cisco安全监控分安全监控分析和响应系统析和响应系统Cisco Security Monitoring,Analysis,and Response System(MARS)。6.2 项目知识准备6.2.2 IPS基本安全管理与配置基本安全管理与配置 3监控特征文件的最佳实践监控特征文件的最佳实践需要为传感器升级最新的特征包，但是要平衡瞬间停机时间，因为在这个期需要为传感器升级最新的特征包，但是要平衡瞬间停机时间，因为在这个期间

15、网络变得容易受到攻击。间网络变得容易受到攻击。当部署大量的传感器时，自动升级特征包要好于对每个传感器手工升级。当部署大量的传感器时，自动升级特征包要好于对每个传感器手工升级。当一个新的特征包可用，下载他们到管理网络的安全服务器上时，要使用其他当一个新的特征包可用，下载他们到管理网络的安全服务器上时，要使用其他IPS来保护这台服务器，一面被外界攻击。来保护这台服务器，一面被外界攻击。6.2 项目知识准备6.2.2 IPS基本安全管理与配置基本安全管理与配置 4使用使用CLI配置配置Cisco IOS IPS总体步骤是总体步骤是：下载：下载IOS IPS文件，在闪存上创建一个文件，在闪存上创建一个

16、IOS IPS配置目录，配置配置目录，配置IOS IPS密钥，启用密钥，启用IOS IPS，装载，装载IOS IPS特征包到路由器。特征包到路由器。（1）下载）下载IOS IPS特征包文件以及公钥特征包文件以及公钥（2）创建目录）创建目录（3）配置密钥）配置密钥（4）启用）启用IOS IPS（5）装载）装载IOS IPS特征包到路由器特征包到路由器.3 项目实施任务任务6-1 配置思科路由器的配置思科路由器的IPS功能功能 1.打开打开PT，搭建实训任务的网络拓扑图，如图所示。，搭建实训任务的网络拓扑图，如图所示。6.3 项目实施2.进行基本的网络连通性配置进行基本的网络连通性配置。3.在路由

17、器在路由器R1上使能上使能IOS的的IPS功能。功能。R1#mkdir ipsdirR1(config)#ip ips config location flash:ipsdirR1(config)#ip ips name iosipsR1(config)#ip ips notify logR1(config)#exitR1#clock set 13:46:40 9 january 2014R1(config)#service timestamps log datetime msecR1(config)#logging host 192.168.1.50任务任务6-1 配置思科路由器的配置思科路

18、由器的IPS功能功能 6.3 项目实施3.在路由器在路由器R1上使能上使能IOS的的IPS功能。功能。R1(config)#ip ips signature-categoryR1(config-ips-category)#category allR1(config-ips-category-action)#retired trueR1(config-ips-category-action)#exitR1(config-ips-category)#category ios_ips basicR1(config-ips-category-action)#retired falseR1(config

19、-ips-category-action)#exitR1(config-ips-cateogry)#exitR1(config)#interface fa0/0R1(config-if)#ip ips iosips out任务任务6-1 配置思科路由器的配置思科路由器的IPS功能功能 6.3 项目实施4.在路由器在路由器R1修改签名。修改签名。R1(config)#ip ips signature-definitionR1(config-sigdef)#signature 2004 0R1(config-sigdef-sig)#statusR1(config-sigdef-sig-status

20、)#retired falseR1(config-sigdef-sig-status)#enabled trueR1(config-sigdef-sig-status)#exitR1(config-sigdef-sig)#engineR1(config-sigdef-sig-engine)#event-action produce-alertR1(config-sigdef-sig-engine)#event-action deny-packet-inline任务任务6-1 配置思科路由器的配置思科路由器的IPS功能功能.3 项目实施任务任务6-2 利用利用GNS3软件配置软件配置IPS功能功

21、能1.搭建实训任务的网络拓扑图，如图所示。搭建实训任务的网络拓扑图，如图所示。6.3 项目实施2.GNS软件对软件对ASA的设置的设置任务任务6-2 利用利用GNS3软件配置软件配置IPS功能功能6.3 项目实施3.配置配置ASA/PIX防火墙启用防火墙启用IPS功能功能ciscoasa(config)#ip audit name ciscoatt attack action alarm drop resetciscoasa(config)#ip audit name cisco info action alarmciscoasa(config)#ip audit interface outs

22、ide ciscociscoasa(config)#ip audit interface outside ciscotattciscoasa(config)#ip audit attack action alarm drop resetciscoasa(config)#ip audit signature 2000 disableciscoasa(config)#ip audit signature 2004 disable任务任务6-2 利用利用GNS3软件配置软件配置IPS功能功能6.3 项目实施任务任务6-3 利用利用GNS3配置配置IPS1.搭建实训任务的网络拓扑图，如图所示。搭建实训

23、任务的网络拓扑图，如图所示。6.3 项目实施任务任务6-3 利用利用GNS3配置配置IPS2.GNS软件对软件对IDS的设置的设置6.3 项目实施任务任务6-3 利用利用GNS3配置配置IPS3.启动启动IPS6.3 项目实施任务任务6-3 利用利用GNS3配置配置IPS3.启动启动IPS6.3 项目实施任务任务6-3 利用利用GNS3配置配置IPS4.基于基于CLI模式初始化配置模式初始化配置IPSsensor#conf tsensor(config)#service hostsensor(config-hos)#network-settingssensor(config-hos-net)#

24、host-ip 192.168.1.2/24,192.168.1.1sensor(config-hos-net)#host-name IPS4200sensor(config-hos-net)#ACcess-list 192.168.1.0/24sensor(config)#service web-serversensor(config-web)#enable-tls truesensor(config-web)#port 4436.3 项目实施任务任务6-3 利用利用GNS3配置配置IPS5.配置配置IDM访问访问6.3 项目实施任务任务6-3 利用利用GNS3配置配置IPS6.在在IE中，输入中，输入https:/192.168.1.2:443，访问，访问IPS设备。设备。项目习作1.上网找到IDS的镜像文件，在GNS软件中练习使用。2.用PIX防火墙实现任务5-2。3.上网找到IDM软件，安装在本机上，练习用WEB方式对IPS进行管理和配置。4.参考IPS的命令手册，用IDM进行配置的方式实现任务6-2。