資源描述:
《天清入侵防御系統(tǒng)產(chǎn)品白皮書》由會員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1����、第1章?概述?1.1?關(guān)于天清?天清入侵防御系統(tǒng)(Intrusion?Prevention?System)是啟明星辰信息技術(shù)有限公司自行研制開發(fā)的入侵防御類網(wǎng)絡(luò)安全產(chǎn)品。?天清入侵防御系統(tǒng)圍繞深層防御��、精確阻斷這個核心�����,通過對網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷���,在判定為攻擊行為后立即予以阻斷�����,主動而有效的保護(hù)網(wǎng)絡(luò)的安全����。?啟明星辰堅信����,不了解黑客技術(shù)的最新發(fā)展����,就談不上對黑客入侵的有效防范����。為了了解黑客活動的前沿狀況,把握黑客技術(shù)的動態(tài)發(fā)展�,深化對黑客行為的本質(zhì)分析,預(yù)防黑客的突然襲擊并以最快速度判斷黑客的最新攻擊手段���,啟明星辰專門建立了積極防御實(shí)驗(yàn)室(V-AD-LAB)�,通過持
2��、續(xù)不斷地研究��、實(shí)踐和積累��,逐漸建立起一系列數(shù)據(jù)����、信息和知識庫作為公司產(chǎn)品、解決方案和專業(yè)服務(wù)的技術(shù)支撐��,如攻擊特征庫、系統(tǒng)漏洞庫����、系統(tǒng)補(bǔ)丁庫和IP定位數(shù)據(jù)庫等����。?啟明星辰在入侵檢測技術(shù)領(lǐng)域的成就受到了國家權(quán)威部門的肯定和認(rèn)可,成為國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)和CNCVE的承建單位.??啟明星辰對國內(nèi)外最新的網(wǎng)絡(luò)系統(tǒng)安全漏洞與應(yīng)用軟件漏洞一直進(jìn)行著最及時和最緊密的跟蹤�,對重大安全問題成立專項(xiàng)研究小組進(jìn)行技術(shù)攻關(guān),并將發(fā)現(xiàn)的漏洞及時呈報給國際CVE(Common?Vulnerabilities?and?Exposures)組織�����。目前已有多個漏洞的命名被國際CVE組
3���、織采用�����,獲得了該組織機(jī)構(gòu)唯一的標(biāo)識號�。?天清入侵防御系統(tǒng)強(qiáng)大的功能����、簡單的操作�、友好的用戶界面��、全面的技術(shù)支持解除了您的后顧之憂����,是您值得信賴的網(wǎng)絡(luò)安全產(chǎn)品。1.2?入侵防御?首先我們來探討一個問題:入侵攻擊行為包括哪些����?什么樣的行為可以稱為入侵攻擊行為?我們來看對入侵行為的標(biāo)準(zhǔn)定義:入侵是指在非授權(quán)的情況下�����,試圖存取信息�����、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠�����,不可用的故意行為�。?通常提到對入侵行為的防御,大家都會想到防火墻�����。防火墻作為企業(yè)級安全保障體系的第一道防線,已經(jīng)得到了非常廣泛的應(yīng)用���,但是各式各樣的攻擊行為還是被不斷的發(fā)現(xiàn)和報道�����,這就意味著有一類攻擊行為是防火墻所不能防御的,比
4�、如說應(yīng)用層的攻擊行為。?想要實(shí)現(xiàn)完全的入侵防御��,首先需要對各種攻擊能準(zhǔn)確發(fā)現(xiàn)���,其次是需要實(shí)時的阻斷防御與響應(yīng)����。防火墻等訪問控制設(shè)備沒有能做到完全的協(xié)議分析����,僅能實(shí)現(xiàn)較為低層的入侵防御,對應(yīng)用層攻擊等行為無法進(jìn)行判斷����,而入侵檢測等旁路設(shè)備由于部署方式的局限�,在發(fā)現(xiàn)攻擊后無法及時切斷可疑連接�,都達(dá)不到完全防御的要求。?想要實(shí)現(xiàn)完全的入侵防御���,就需要將完全協(xié)議分析和在線防御相融合����,這就是入侵防御系統(tǒng)(IPS):online式在線部署����,深層分析網(wǎng)絡(luò)實(shí)時數(shù)據(jù),精確判斷隱含其中的攻擊行為����,實(shí)施及時的阻斷。?1.3?入侵防御系統(tǒng)和入侵檢測系統(tǒng)?入侵檢測系統(tǒng)�、入侵防御系統(tǒng)是兩款互相獨(dú)立,但又有著內(nèi)
5���、在聯(lián)系的安全產(chǎn)品:?入侵檢測系統(tǒng)以旁路方式部署�,監(jiān)視交換機(jī)上的所有實(shí)時傳輸數(shù)據(jù)���,專注的是全面檢測��、有效呈現(xiàn)���,這意味著入侵檢測系統(tǒng)是作為安全監(jiān)督管理工具存在�,提供給用戶全面的信息展現(xiàn)�,為改善用戶網(wǎng)絡(luò)的風(fēng)險控制環(huán)境提供決策依據(jù)。?入侵防御系統(tǒng)以在線方式部署���,實(shí)時分析鏈路上的傳輸數(shù)據(jù),對隱藏在其中的攻擊行為進(jìn)行阻斷����,專注的是深層防御、精確阻斷�,這意味著入侵防御系統(tǒng)是作為安全防御工具存在,解決用戶面臨的實(shí)際應(yīng)用上的難題�����,進(jìn)一步優(yōu)化用戶網(wǎng)絡(luò)的風(fēng)險控制環(huán)境���。?關(guān)注點(diǎn)的不同��、部署目標(biāo)的不同決定了兩款產(chǎn)品在客戶價值上的差異和發(fā)展方向上的不同��。?對于那些重點(diǎn)關(guān)注風(fēng)險控制���,由于風(fēng)險管理要求不高��,對檢測
6�、和監(jiān)控?zé)o具體要求的行業(yè)����,使用入侵防御系統(tǒng)就可以很好的滿足其安全需求。?對于那些IT設(shè)施是其業(yè)務(wù)運(yùn)營基礎(chǔ)的行業(yè)��,IT設(shè)施的風(fēng)險將極大影響其經(jīng)營風(fēng)險�,他們既關(guān)注風(fēng)險管理又關(guān)注風(fēng)險控制,希望通過風(fēng)險管理不斷完善風(fēng)險控制措施����,這種類型的用戶需要的是入侵檢測和入侵防御相結(jié)合的解決方案。?對于只關(guān)注風(fēng)險管理的檢測與監(jiān)控���,監(jiān)督風(fēng)險控制的改進(jìn)狀況的監(jiān)督管理機(jī)構(gòu)和部門����,防御具體的攻擊行為不是其工作的重點(diǎn),他們需要的是能夠全面呈現(xiàn)風(fēng)險信息的入侵檢測系統(tǒng)���。第2章?深層防御與精確阻斷?2.1?深層防御?有數(shù)據(jù)顯示�,70%以上的攻擊行為發(fā)生在傳輸層和應(yīng)用層之間�����,我們稱這類4-7層上的攻擊為深層攻擊行為��。深層
7��、攻擊行為有如下特點(diǎn):?第一:新攻擊種類出現(xiàn)頻率高����,新攻擊手段出現(xiàn)速度快��。?據(jù)美國CERT/CC的統(tǒng)計數(shù)據(jù)���,2006年共收到信息系統(tǒng)漏洞報告8064個���,比2005年增長了34.6%,漏洞數(shù)量的迅速增長標(biāo)志著新攻擊類型的迅速增長,而在同一份報告中�����,采用分布式蜜罐技術(shù)捕獲的新攻擊樣本數(shù)量平均每天有近100個����,最多的一天幾近700,這意味著平均每天發(fā)現(xiàn)100種新的攻擊手段���,最多的一天發(fā)現(xiàn)的新攻擊手段可多達(dá)700種���,這是一個非常驚人的數(shù)據(jù)。?第二:攻擊過程隱蔽��。?文件捆綁:打開
