46.IPS入侵防护系统

46.IPS入侵防护系统

入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

基于网络的入侵检测系统通常采用混杂模式，采用的技术包括：模式匹配、频率或阈值、事件的相关性、统计意义上的非正常现象检测。

入侵防护系统分类

1、基于主机的防护系统（HIPS），安装在受保护的主机系统中，通过监视内核的系统调用，检测并阻挡针对本机的威胁和攻击。

2、基于网络的防护系统（NIPS），布置于网络出口处，一般串联于防火墙与路由器之间，对攻击的误报会造成合法的通信被阻断，导致拒绝服务。

3、应用入侵防护系统（AIPS），一般部署于服务器前端。

入侵检测系统分为两类–集中式和分布式。
分布式入侵检测系统分为层次式、协作式、对等式，其中对等式能真正避免单点失效故障。

应用入侵防护系统可以阻挡多种入侵，例如cookie篡改、SQL代码嵌入、参数篡改、缓冲器溢出、强制浏览等等。

至于TAP是分路器，用于入侵检测，而非入侵防护。

入侵检测系统的部署

入侵检测系统的探测器可以通过三种方式部署：
1、在交换机上做镜像端口（网络接口卡与交换设备的监控端口连接，通过交换设备的span/mirror功能将流向各端口的数据包复制一份给监控端口）。

2、串接集线器（在网络中增加一台集线器，通过集线器获取数据包）。

3、部署TAP分路器（通过一个TAP对交换式网络中的数据包进行分析和处理）。

集线器会把数据广播到所有端口，扩大冲突域，对网络性能造成很大的影响。但是，探测器的基本功能是捕获网络数据包，并对数据包进一步分析和判断，当发现可疑的事件时触发探测器发送警报，如果把探测器串联到链路中，网络中传输的所有数据包都要被分析，对网络性能影响最大（参考各类车站的安检）。

交换机采用的是交换式技术，正常情况下只会把数据转发到通往目的地的端口，不会将数据扩散到其他端口，所以无法实现监听，除非被配置了镜像端口。

防病毒软件的配置

网络版防病毒系统由系统中心、服务器端、客户端、管理控制台组成。

管理控制台既可以安装在服务器端，也可以安装在客户端。

服务器端和客户端的安装都可以采用本地安装、远程安装、web安装、脚本登录安装等方式。

系统的升级可以从网站升级，也可以从上级中心升级，还可以从网站上下载升级包后手动升级。

系统的数据通信端口是允许由管理员设定的。

Cisco PIX 525防火墙配置命令conduit

permit|deny设定允许或拒绝访问

global_ip是由global或static命令定义的全局IP地址

protocol指的是连接协议，可选项包括TCP、UDP、ICMP。

port表示服务的端口号

网络安全评估和漏洞查找办法

网络安全风险评估系统是一种集网络安全检测、风险评估、修复、统计分析和网络安全风险集中控制管理功能于一体的网络安全设备。

网络安全评估分析技术常被用来进行穿透实验和安全审计。

大型网络中，评估分析系统通常采用控制台和代理相结合的结构。

采用漏洞扫描工具是实施漏洞查找的常用方法，扫描分为被动和主动两种。被动扫描对网络上流量进行分析，不产生额外的流量，不会导致系统的崩溃；主动扫描则更多地带有入侵的意味，可能会影响网络系统的正常运行。

ISS能扫描一些众所周知的系统漏洞和系统弱点，并具有漏洞分析功能。

X-Scanner采用多线程方式对指定IP地址段进行安全漏洞扫描。

网络安全规范

TCSEC划分了7个等级，安全级别从低到高分别是D、C1、C2、B1、B2、B3、A1。D类安全要求最低，属于非安全保护类；C类是用户能定义访问控制要求的自主保护类型；B类属于强制型安全保护类型；A类安全要求最高。

防火墙系统结构

包过滤路由的关键是制订包过滤规则，包过滤路由器分析所接收的包，按照每一条包过滤规则加以判断，符合转发规则的包将被转发，不符合的包将被丢弃。
数据包位于网络层，所以包过滤在网络层、传输层进行操作，无法处理应用层的信息。Teardrop利用OS处理分片重叠报文的漏洞进行攻击（报文，传输层），包过滤路由器能够阻断的Teardrop攻击。