入侵检测与防火墙联动课件.pptx

1、信息安全产品配置与应用Configuration and Application of Information Security Products重庆电子工程职业学院|路亚信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇模块三、IDS产品配置与应用信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇入侵检测与防火墙联动 入侵检测系统与防火墙的联动是指入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的

2、时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。一般来说，很多情况下，不少用户的防火墙与IDS并不是同一家的产品，因此在联动的协议上面大都遵从 opsec协议（Check Point公司）或者 topsec协议(天融信公司)进行通信，不过也有某些厂家自己开发相应的通信规范的。目前总得来说，联动有一定效果，但是稳定性不理想，特别是攻击者利用伪造的包信息，让IDS错误判断，进而错误指挥防火墙将合法的地址无辜屏蔽掉。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇IDS与防火墙联动的工作模型 主机C 主机D 主机B

3、主机 A 受保护网络Internet黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等NGIDS检测引擎检测引擎NGIDS控制台控制台信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇 这种阻断非法链接的方式还是有很大的局限性的。整个从发现到阻断的操作需要100毫秒的时间，这对现代网络来说是一个巨大的时间窗口，而且它只能针对相同的攻击的第二次以后的链接进行阻断，第一次攻击还是会放行的。因此比如说单个数据包的攻击，类似于Slammer(单个UDP数据报)的攻击，就无法进行阻断，因为这种攻击方式它只对同一个目的地址发送一次攻击数据包。信

4、息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇模块三、IDS产品配置与应用信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇入侵防御的定义IPSIntrusion Prevention System，即入侵防御系统，有时又称IDP（Intrusion detection and Prevention），即入侵检测和防御系统，指具备IDS的检测能力，并在线部署在网络的进出口处，具备实时阻断网络入侵的安全技术设备。IPS是一种主动的、积极的入侵检测、防御系统，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶

5、意流量传送时或传送后才发出警报。IPS的主要作用就是实时监控网络和(或)系统活动,它能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，能够在发生损失之前阻断恶意流量。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇那么为什么需要IPS呢？因为传统防火墙的局限性。表现为以下几点：1.防火墙不能防止合法开发 的端口的攻击；2.防火墙一般不检测和拦截 到来自内部的攻击；3.防火墙无法防范数据驱动 型的攻击；4.防火墙不具有专业的防病 毒功能。BackOrifice-31337HTTP-80 Nimda/P2PFTP

6、-21SMTP-25BackOrifice-31337信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇IDS与防火墙的联动无法达到理想的效果，整个联动阻断操作要花100毫秒的时间，这对现代的网络来说是一个巨大的时间窗口,而且不能阻挡类似于Slammer(单个UDP数据报)的攻击。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇IDS与IPS的分工 IPS与IDS分工各有侧重，适合于不同的安全策略。IDS非常适合于网络攻击的监控和安全威胁的告警，可以部署在任何关键区域或敏感网段中，实时监控和保护该网段的安全运行状态，特别适合于检测内网中的攻

7、击或非法事件。而IPS能够实时阻断网络蠕虫病毒、拒绝服务攻击（DOS）等多种攻击事件。适合于串行部署在网关位置，防止攻击进入内网。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇IDS的发展趋势的发展趋势与与IPS分别承担不同角色分别承担不同角色IDS非常适合于网络攻击的监控和安全威胁的告警，但是它的被动模式限制打开了IPS作为主动型防御武器与之竞争的大门。IDSIDSIDS：用于检测：用于检测网络中可疑行为网络中可疑行为的软件与硬件的的软件与硬件的组合。组合。IDSIDSIDS系统的主要系统的主要作用：实时检测、作用：实时检测、告警和安全审计。告警和安全审计。ID

8、S优势：可以部署在优势：可以部署在任何关键区域或敏任何关键区域或敏感网段中，实时监感网段中，实时监控和保护该网段的控和保护该网段的安全运行状态。特安全运行状态。特别适合于别适合于检测内网检测内网中的攻击或非法事中的攻击或非法事件。件。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇IDS的发展趋势的发展趋势与与IPS分别承担不同角色分别承担不同角色IPSIPSIPS：能够检测：能够检测并主动阻断网络并主动阻断网络中可疑行为的硬中可疑行为的硬件和件和/或软件。或软件。IPSIPS优势：能够实时阻优势：能够实时阻断网络蠕虫病毒、断网络蠕虫病毒、拒绝服务攻击拒绝服务攻击（

9、DOS）等多种攻）等多种攻击事件。适合于串击事件。适合于串行部署在网关位置，行部署在网关位置，防止攻击进入内网。防止攻击进入内网。与与IDS的主要区别的主要区别在于：串行（在于：串行（in-line）工作和自动）工作和自动阻断。阻断。与IDS分工各有侧重，适合于不同的安全策略，将并存于市场，为用户提供全面的安全保障。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇未来发展IPS也和IDS一样也存在技术上的难点。比如，单点故障问题，设计要求IPS必须以嵌入模式工作在网络中，而这就可能造成瓶颈问题或单点故障。如果IPS出现故障而关闭，用户就会面对一个由IPS造成的拒绝服

10、务问题，所有客户都将无法访问企业网络提供的应用；性能瓶颈问题，IPS 设备可能是一个潜在的网络瓶颈，它必须与数千兆或者更大容量的网络流量保持同步，尤其是当加载了数量庞大的检测特征库时，设计不够完善的 IPS设备无法支持这种响应速度，不仅会增加滞后时间，而且会降低网络的效率。误报和漏报问题，IPS的检测原理与IDS相同，如果不能避免“误报”，则合法流量也有可能被意外拦截，而IPS一旦拦截了一个“攻击性”数据包，就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分，其结果可想而知：这个客户整个会话就会被关闭，而且此后该客户重新发起的所有访问请求都会被“尽职尽责”的IPS拦截。不过随着技术不断的完善IPS，IDS都会越来越成熟，应用范围也会越来越广。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇