H3C+IPS技术白皮书

XX特性典型配置指导 正文 H3C IPS技术白皮 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf H3C IPS技术白皮书 关键词：i-Ware、H3C、IPS、白皮书、White Paper 摘 要：本文介绍了H3C公司基于i-Ware软件平台的IPS技术。 缩略语清单： 缩略语 英文全名 中文解释 IPS Intrusion Prevention System 入侵防御系统 目 录 31 概述 31.1 相关术语 31.2 网络安全现状 51.3 基于网络的攻击与检测技术 52 威胁的识别 52.1 基于滥用误用的带宽管理技术 72.2 在应用中识别入侵威胁 72.3 2-7层 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 异常检测 82.4 拒绝服务检测技术 102.5 基于流状态特征检测技术 103 安全响应 103.1 通过 113.2 阻断 113.3 流量控制 113.4 通知 124 IPS 安全策略 125 安全更新 126 安全审计 136.1 日志 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 136.1.1 操作日志 136.1.2 系统日志 136.1.3 告警 136.2 日志的查询 146.3 日志的输出 147 典型组网案例 147.1 企业出口部署 157.2 保护IDC 158 总结和展望 1 概述 1.1 相关术语 1. 段(segment) · 段是一个物理组网下对经过UTM设备数据的一个逻辑划分，通常是一对或者多对接口，或者包含VLAN ID的接口数据流，IPS相关的业务都基于segment进行配置。 1.2 网络安全现状 融入全球化的Internet是企业网络发展的必然趋势，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入Internet，提供远程接入服务供业务伙伴和出差员工访问等，企业网络边界的淡化，企业面临的威胁的机会也增大了，只要一个访问入口防护不完整，则“黑客”将可以入侵企业，获取数据或者破坏。 随着网络的全球化，威胁的涌现和传播速度也越来越快，如著名的SQL Slammer，在爆发时，每8.5秒感染范围就扩展一倍，在10分钟内感染了全球90％有漏洞的机器；威胁和应用也越来越息息相关，如下图体现了这个趋势： 图1 威胁与应用息息相关 同时随着网络越来越普及，攻击工具也越来越成熟、自动化程度也、易用和平民化，使用者无需了解太多的知识就可以完成一次攻击，如下图显示了这个趋势： 图2 攻击正变的越来越简单 目前Internet面临的安全威胁从方法上有如下几种： · 漏洞利用，比如针对软件操作系统对内存操作的缺陷，采用缓冲区溢出方法，以获得高操作权限运行攻击代码；如著名的微软MS05-047 Windows UMPNPMGR wsprintfW 栈溢出漏洞； · 欺骗攻击，如IP地址欺骗等，其利用TCP/IP协议建立的连接未进行认证的缺陷进行源IP地址的伪造，从而达到访问关键信息的目的； · 蠕虫/病毒，蠕虫/病毒是目前网络上最为常见的威胁，其具有传播快覆盖广的特点，如红色代码病毒(Code Red)，在12小时之内覆盖全部的Internet网络，给全球带来了极大的危害；通常蠕虫/病毒通过利用现有系统软件的一些漏洞，从而达到传播的目的； · 木马，通常在系统中会秘密打开一个访问程序，以绕过系统的安全策略，从而达到获取信息的目的； · 拒绝服务，通常称之为DoS/DDoS攻击，其通过单台或者多台设备作为攻击的发起者，对一个特定的目标进行DoS攻击，从而达到破坏的目的，通常拒绝服务攻击会伴随者采用IP地址欺骗等方法以隐藏攻击者的目的； · 带宽滥用，对于企业来说，非业务数据流(如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击 )消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪，如目前最流行的BT、eMute、eDonkey等协议，据统计，当前中国的P2P流量中BT占了60%，据此可见一般； 1.3 基于网络的攻击与检测技术 IPS作为入侵防护设备，其基本的功能是识别尽可能多的攻击，同时又避免不必要的误报，同时也需要保证企业有限的带宽不被滥用，为了达到上述目标，单纯的采用一种技术手段是无法做到的，H3C的独创的UCIE(Universal Content Inspection Engine)创新性的融合了多种内容识别技术，保证了系统能够快速高效的发现异常流量并阻断，同时保证正常业务的开展；UCIE主要包括如下几项技术： · 基于流的状态特征检测技术，基于攻击固定特征的检测这是IDS/IPS最基本攻击检测技术，而基于流的状态特征检测技术与以往的不同的是，可以是基于协议上下文的特征检测技术，这样可以很好的避免误报的发生；如某一个特征只在三次会话之后的client方向发生，则检测时只会针对这部分数据流进行检测，而不会引起误报； · 协议异常检测技术，通常也叫协议分析，即对照RFC规范对通讯的协议进行检查，这对于检测基于RFC未规范一些未知攻击或新的攻击非常有效；同时对于基于固定特征的逃逸也具有先天的免疫； · 智能的自适应多层次防护技术(Intelligent Adapt Multi-Level Protection Architecture)，可以很好的解决DoS/DDoS攻击防护问题，该技术通过对保护对象的流量进行流量学习和建模，针对不同的类型流量采用不同的动作，并通过不断的学习调整等过程，保证保护对象避免DDoS/DoS攻击的困扰； · 在应用中识别威胁技术： 融合协议识别和威胁识别的基础上进行有状态的深度威胁分析，从而更好减少误报； · 基于滥用误用的带宽管理技术：在应用的智能识别基础上，对于识别出的滥用和误用协议可以进行多层次和多纬度的带宽管理； 2 威胁的识别 2.1 基于滥用误用的带宽管理技术 网络“以内容为王”造成了当前网络上应用的层出不穷，这种繁荣的背后意味着：必须对网络中的应用及其行为进行深入的感知和分析，对应用的流量和行为进行细粒度分层次的管理，从而预防可能的滥用和误用，杜绝各种应用所引入的潜在威胁。H3C提出了应用的智能识别、应用层次划分、细粒度应用流量和行为管理、应用支持升级等一系列技术，为用户应对应用带来的威胁提供了十分有效的管理手段。 图3 深入应用，杜绝威胁 1. H3C应用识别技术以对网络应用的模型化分析为基础，能够全方位、多角度识别网络中的各种应用，为应用威胁管理提供有效支持： · 快速识别客户网络在特定端口下的重要服务，而且i-Ware应用识别支持用户根据自身网络应用布局，快速定制自身重要服务的端口。 · 通过深入的数据特征和状态模型分析，动态智能识别各类应用，使大量隐藏在网络流量中的应用，无论是吞食网络带宽的P2P、IM、流媒体、下载、网游等应用，还是影响运营商或内容提供商收益的的黑话、网络电视等应用，都尽数显形。 · 通过层次化分析模型，分层次细化识别用户网络应用，深入挖掘出应用之间的包含、协商、承载、隧道、代理等各种关系。 2. H3C支持对应用进行树形、层次化、可调整和可定义的管理，用户可以在任何一个Segment上，在任意用户群之间，对任意一级的应用流量和行为进行限制、阻断或监控。 3. H3C支持对应用进行可扩展的、层次化定义，可以对应用进行快速的升级，从而快速实时应对网络中新出现的应用及其带来的威胁。H3C通过专门的安全和应用分析团队，根据网络应用最新发展和客户网络管理需求，及时分析网络中的新应用和威胁，提取数字基因，更新用户设备的特征库，从而很好的满足用户对新应用的管理需求。 2.2 在应用中识别入侵威胁 H3C在强大的应用识别基础上进行有状态的深度威胁分析，使IPS的入侵检测和传统的仅依据数据报文特征入侵检测有本质的不同。应用识别以当前数据流的应用识别结果为环境，指导系统有目的进行深度威胁分析，使入侵防御变成内容管理指导下的一个环节；同时检测结果在内容环境下进行校验和状态分析，使入侵检测的发现由单纯特征发现演变成非法应用行为模型和攻击行为模型的发现。 2.3 2-7层协议异常检测 i-Ware在层次化的分析架构下，为用户网络提供2-7层全方位的协议异常检测。 · 识别链路层异常识别。i-Ware支持对MPLS，VLAN，QinQ等封装的逐层剥离和检验，支持对ARP攻击的检测。 · 识别网络层异常识别。i-Ware对IP层进行细致的正规化处理，能够识别畸形的IP报文、蓄意构造的IP分片、伪造IP地址的欺骗报文。 · 识别传输层异常识别。I-Ware对TCP、UDP、ICMP进行细致的正规化处理。任何不满足RFC规定或者有恶意利用系统漏洞嫌疑的报文都将被识别出来。 · 可扩展的应用层异常识别。i-Ware可以动态扩展新的应用支持，而且在任何一个应用层协议上，都可以对应扩展相应的异常检测数字基因，进行有状态的异常检测。i-Ware通过细致的协议分析和状态检测，识别出相应协议层次上的异常。 图4 2-7层协议异常检测 2.4 拒绝服务检测技术 DoS/DDoS攻击从实现手法来看，主要 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 现为两种，一种是利用漏洞实现DoS的攻击，如Teardrop、Ping of Death等，另外一种是通过模拟大量的实际应用流量达到消耗目标主机的资源，从而达到DoS/DDoS攻击的目的，通常DoS/DDoS攻击伴随着源IP地址欺骗。从DoS/DDoS攻击的对应的协议层次来看，主要有： 1. 二层相关的攻击，如ARP Flood； 2. 半连接接相关攻击，如TCP SYN Flood、UDP Flood、ICMP Flood； 3. 全连接相关的攻击，如TCP Connection攻击；如TCP 空连接攻击； 4. 应用层相关的攻击，如HTTP Get Flood、DNS query Flood等，其利用客户端与服务器端流量不均衡的特点，采用小流量的请求包，消耗服务器的处理资源或者产生大流量的响应，从而达到DDoS/DoS攻击的目的； 智能的自适应多层次防护架构(Intelligent Adapt Multi-Level Protection Architecture)一个针对DoS/DDoS攻击进行多级防范和验证的架构，其检测框架如下： 图5 智能的自适应多层次防护架构 根据对网络流量进行分析和建模，在系统中形成不同的流量检测和学习模板，在统计分析根据流量检测模板进行流量学习和分析，在行为分析阶段，则通过自动生成的动态过滤规则对异常流量进行过滤处理，动态或者静态过滤规则部分根据不同的业务进行分别的处理，如针对HTTP进行HTTP redirection，针对DNS进行DNS redirection，针对IP则进行TTL认证等动作，上述过程是一个闭环的循环动态的一个调整过程，系统中通过不断的学习、调整和判断以适应网络的情况并作出适当的动作。 智能的自适应多层次防护架构(ILMLPA)对DDoS的检测可以分成如下几个阶段： 1. 策略构建阶段，即通过学习模板进行不同业务和正常情况进行学习，从而获得不同流量类型的流量统计数据并生成检测规则； 2. 调整阶段，即通过策略构建阶段学习到的业务和流量(检测规则)，进行重新学习和调整； 3. 检测阶段，在策略构建和调整完成之后，通过上述检测规则对网络中的异常流量进行判断，如果发现存在异常，则通过动态生成过滤规则对网络流量进行过滤和验证，如验证源IP合法性、对发现异常的流量进行丢弃等； 目前系统中支持如下流量学习模板： · IP模板 · TCP模板 · UDP模板 · HTTP模板 · DNS模板 · SCAN模板 · TCP Connection模板 详细的关于DoS/DDoS防护请见白皮书《DoS/DDoS防护技术白皮书》 2.5 基于流状态特征检测技术 i-Ware通过使用自主的基于流状态的特征检测专利技术，有效地防范了漏报和误报。 对于流报文，如TCP流，若只是对一个个的单个报文作特征检测，这会引入漏报。基于以上原理，攻击者对攻击流中的报文作分段处理，就可以有效地进行攻击逃逸。通过流恢复，能够一定程度地缓解这种攻击逃逸的有效程度，但不能杜绝这类攻击逃逸，同时引入了系统缓存负担。i-Ware通过基于流状态的特征检测专利技术，能够有效地防范漏报，进而杜绝这类攻击逃逸。 对于流报文，如语音流、视频流报文，若不进行识别，直接使用攻击特征检测，可能引入误报。i-Ware通过基于流状态的特征检测专利技术，能够精确地识别出这类流报文，不作攻击特征检测，这有效地防范了误报。 3 安全响应 在检测到攻击时，i-Ware根据规则配置的动作做出响应。响应动作可以是下面动作中的一个或多个的组合： · 允许（Permit） · 阻断（Block） · 通知（Notify） · 流量控制（RateLimit） 3.1 通过 对于一些可能用于攻击的正常报文，用户可以根据自己的情况选择是Permit还是Block。例如ICMP重定向报文可以用来攻击，但也可以是正常的。如果用户的网络确实不需要此类报文，也不会产生此类报文，则可以设置为Block，否则，可以设置为permit。 3.2 阻断 禁止攻击报文通过。对于阻断动作，除了阻断当前报文外，对Block动作还可以设置以下参数： · 对发送该攻击的源是否隔离：如果一个源被隔离，则后续所有报文都不能通过。如果不隔离，则只丢弃检测到攻击的报文。 · 对于TCP连接，还可选择是否发送TCP Reset报文；如果要发送TCP Reset报文，是向源、目的、还是向双方发送。 · 对于HTTP Request报文，还可选择是要回应重定向报文，还是回应指定的页面。在用户自定义的回应页面中，可以增加规则名称、规则描述、以及其它自定义信息。 3.3 流量控制 通过对流量和连接数进行控制，可以阻止基于流量的攻击和滥用误用对网络造成的影响。流量控制可以参考《H3C 带宽管理技术白皮书》。 3.4 通知 通过设置IPS规则带有Notify动作，可以在检测到相应攻击时记录攻击事件。攻击事件可以输出到本地数据库、通过Email通知管理员、输出到用户终端、输出到Syslog主机。攻击事件中包括以下信息： · 攻击事件发生的时间 · 攻击名称 · 攻击所在的段 · 攻击的方向 · 源IP · 目的IP · 协议 · 源端口 · 目的端口 · 应用协议 · 命中次数 支持事件聚合，将相同事件合并处理，可以在频繁发生攻击时减轻系统事件处理对资源的消耗。 4 IPS 安全策略 i-Ware提供了灵活的安全策略，以满足各种用户的需要。一个IPS安全策略由一系列的IPS规则组成，每一个IPS规则定义了对一个具体的攻击采用什么样的响应动作。用户通过定义一个或多个IPS安全策略，并可以对不同的用户和保护对象应用不同的IPS安全策略，实现了高度的可定制性。同时，还可以指定免检用户IP列表和免检服务器IP列表，以满足特殊需求。 Web管理界面提供了按照攻击的严重级别、攻击的分类、规则的使能状态、响应动作进行规则配置处理的手段，大大简化了用户的操作。 设备提供了一个缺省的IPS策略，可以满足大多数情况下的需要。用户还可以添加自己的安全策略。用户可以通过从一个已有的IPS策略复制得到一个新的IPS安全策略，再对新的安全策略进行修改来得到自己的IPS安全策略。 5 安全更新 H3C定期在网站上更新攻击特征库，以保证对新的攻击及时响应。特征库的升级可以通过手动升级，也可以定期自动升级。 6 安全审计 i-Ware提供了丰富的日志功能，为审计、设备故障诊断提供了丰富的信息，并提供了日志条件查询，方便日志的分析。 6.1 日志内容 日志记录分为以下几种类型： · 操作日志： · 系统日志 · Trap 6.1.1 操作日志 将用户对设备的操作记录到日志中，以备查询。操作日志包括： · 操作的日期和时间 · 登录方式：Web、CLI、SNMP · 用户名 · 用户IP · 执行的操作 · 操作对象 · 操作结果 · 其它相关信息 对设备配置信息的添加、修改、删除操作记录日志，对日志信息的审计操作记录日志。 6.1.2 系统日志 对系统运行过程中的关键事件记录日志。便于了解系统历史运行状态，以及为系统的故障诊断提供信息。 6.1.3 告警 支持系统运行状态通过Trap通知网管。 6.2 日志的查询 可以根据多种查询条件对系统中的操作日志和系统日志进行查询。可以根据严重等级、业务模块标识、产生日志的开始时间、结束时间进行查询。并支持其组合条件查询。 6.3 日志的输出 日志可以输出到指定的用户终端、本地文件、远程日志主机。 7 典型组网案例 7.1 企业出口部署 图6 企业出口 在这种部署方式下，IPS以在线透明方式部署在网络中，并不影响企业网络的已有拓扑，系统对于发现的异常行为，如攻击可以即时的阻断，对可疑的网络流量进行识别和认证，对于识别出带宽滥用行为执行用户设定的动作，对于企业需要的应用实现带宽保证； 7.2 保护IDC 图7 UTM部署在IDC之前 在这种部署方式下，UTM以在线透明方式部署在网络中，并不影响企业网络的已有拓扑，对于IDC中不同的服务，根据不同服务提供的业务和环境，设置不同的保护策略，如对于SMTP服务，则在攻击防护策略中，可以设置开启与SMTP协议相关的攻击，而对于其他无关的攻击规则，如RPC等，则可以关闭。 8 总结和展望 随着网络应用的不断发展，IPS也从传统的攻击防范逐步走向内容控制之路，H3C的UTM融合了上述多种攻击检测和防范技术很好的体现了这一点，提供了SecPath U200-S/M/A 系列UTM产品，同时提供了高性能的IPS/防火墙功能，与网络设备实现无缝连接。 Copyright © 2007-2008 杭州华三通信技术有限公司 版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 本文档中的信息可能变动,恕不另行通知。 UTM UTM SMTP POP3 WEB � EMBED Excel.Chart.8 \s �错误！嵌入对象无效。� 2008-07-08 版权所有，侵权必究 第1页 Copyright © 2007 杭州华三通信技术有限公司 第15页, 共15页 _1249383480.vsd � 链路层 网络层 多种链路头剥离和校验 传输层 ARP正规化 应用层 应用扩展 异常检测数字基因 IP分片攻击，IP欺骗 IP正规化 TCP/UDP/ICMP正规化 各类Food攻击 _1249388616.vsd � � I-Ware Web （HTTP） Email（SMTP/POP3） Downloader 用户网络内部多种应用潜藏着各类威胁： 非法或受控应用 滥用误用 应用系统的漏洞利用 病毒， i-Ware深入应用： 掐断非法或受控应用 发现和阻止滥用误用 制止应用系统的漏洞利用 杀除病毒， 非法或受控应用 （黑话，Backdoor，P2P） 应用升级 _1249390001.xls Chart1 171 345 311 262 417 1090 2437 4129 3784 2683 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 数 1995-2004年网络安全漏洞发现情况统计（CERT/CC） Sheet1 年份 报告数 1995 171 1996 345 1997 311 1998 262 1999 417 2000 1090 2001 2437 2002 4129 2003 3784 2004(Q1-Q3) 2683 2005 Sheet2 Sheet3 _1237039749.vsd � 动态或 者静态 过滤规 则 动态验证 统计分析 行为分析 带宽管理 速率调整 自动生成动态过滤规则