1、IPS入侵防御系統介紹技術創新，變革未來IPS（Intrusion Prevention System ，入侵防御系統）作為網絡安全防護的關鍵設備，在當今網絡安全防范體系架構中占據著極其重要的位置。本課程系統地介紹了IPS技術的應用背景、發展歷程、原理、主要功能以及工作模式等，同時還介紹了H3C IPS功能的配置管理方法。引入了解應用層安全威脅了解IPS的基本概念掌握IPS的工作模式和應用場景掌握IPS的主要功能和實現原理掌握H3C UTM產品IPS功能的基本配置課程目標學習完本課程，您應該能夠：安全威脅發展趨勢應用層安全威脅分析IPS的發展背景和技術演進IPS主要功能和防護原理IPS工作模式

2、和典型應用場景H3C UTM產品IPS功能配置和維護目錄根據國家計算機網絡應急技術處理協調中心（簡稱CNCERT/CC）報告，計算機犯罪近年來平均每年至少以50的驚人速度在遞增！計算機犯罪行為愈演愈烈移動辦公的普及無線網絡的廣泛應用90%以上的計算機會感染了間諜軟件、廣告軟件、木馬和病毒等惡意軟件后果：重要數據丟失，機器被遠程控制，病毒和蠕蟲在內網恣意傳播趨勢一：網絡邊界的消失漏洞數 x 系統數 = 天文數字 趨勢二：威脅和應用息息相關Zero Day Attack！趨勢三：威脅涌現和傳播速度越來越快 SQL Slammer案例每8.5 秒感染范圍就擴展一倍在10分鐘內感染了全球90有漏洞的機

3、器趨勢三：威脅涌現和傳播速度越來越快（續）趨勢四：利益驅動導致威脅越來越多技術驅動MWisdomoney利益驅動銷售漏洞、敲詐勒索利用黑客技術進行敲詐勒索互聯網黑市交易（漏洞/SHELL）僵尸網絡生財有道利用僵尸網絡發動DoS攻擊網絡釣魚日漸流行間諜/廣告軟件背后的利益空間趨勢五：攻擊變的越來越簡單趨勢六：攻擊產業化漏洞研究者工具開發者惡意軟件開發者病毒蠕蟲間諜軟件木馬工具銷售者直接攻擊建立僵尸網絡僵尸網絡：租賃、販賣、勒索間諜活動企業/政府欺詐銷售點擊率非法/惡意競爭偷竊勒索盈利商業銷售金融欺詐攻擊執行者DDoS垃圾郵件釣魚敏感信息竊取IT資源消耗拒絕服務安全威脅發展趨勢應用層安全威脅分析I

4、PS的發展背景和技術演進IPS主要功能和防護原理IPS工作模式和典型應用場景H3C UTM產品IPS功能配置和維護目錄網絡釣魚蠕蟲病毒拒絕服務帶寬濫用垃圾郵件無所不在的網絡安全威脅間諜軟件應用層威脅簡介安全漏洞：遠程入侵的突破口系統安全漏洞軟件安全漏洞緩沖區溢出漏洞攻擊最常見的漏洞緩沖區溢出攻擊向程序的緩沖區寫入超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其他的指令，以達到攻擊的目的。根本原因是缺少錯誤檢測堆棧溢出攻擊（stack smashing attack）函數指針溢出攻擊（function pointer attack） Web應用攻擊針對Web應用的攻擊是近

5、幾年最常發生的安全威脅攻擊結果： 網頁篡改 網頁掛馬 帳號失竊 傀儡機 釣魚網站 拒絕服務最常用攻擊方式： SQL注入攻擊 基礎軟件漏洞利用 跨站腳本攻擊 舉個例子說明原理：在網站管理登錄頁面要求帳號密碼認證時，如果攻擊者在“UserID”輸入框內輸入“Everybody”，在密碼框里輸入“anything or 1=1”，提交頁面后，查詢的SQL語句就變成了：Select from user where username=everyboby and password=anything or 1=1。不難看出，由于“1=1”是一個始終成立的條件，判斷返回為“真”，密碼的限制形同虛設，不管用戶的

6、密碼是不是Anything，他都可以以Everybody的身份遠程登錄，獲得后臺管理權，在網站上發布任何信息。 SQL注入攻擊攻擊原理：利用Web應用程序（網頁程序）對用戶的網頁輸入數據缺少必要的合法性判斷的程序設計漏洞，攻擊者將惡意的SQL命令注入到后臺數據庫，達到攻擊目的。 攻擊后果：非法獲得網站權限、網頁篡改、網頁掛馬、竊取網站數據等。舉個例子說明原理：如攻擊者可在URL中加入“function()”，則存在跨站腳本漏洞的網站就會執行攻擊者的function()。攻擊者在網頁上輸入精心構造的HTML或JavaScript代碼網站數據庫網站Web程序網站Web程序其他受害客戶跨站腳本漏洞攻

7、擊攻擊原理：攻擊者利用網站程序對用戶的輸入沒有進行充分的有效性檢驗和敏感詞過濾的漏洞，輸入精心構造的HTML或Java script腳本，當其他合法的用戶瀏覽到該頁面時，將執行惡意攻擊者留下的代碼，遭受攻擊者的進一步攻擊。攻擊后果：網頁掛馬、拒絕服務正常網站攻擊者獲得網站權限，或者在網站上注入惡意代碼攻擊者利用網站的漏洞網站漏洞基礎軟件漏洞應用系統漏洞操作系統漏洞Web服務器漏洞ASP/PHP/CGI漏洞數據庫漏洞SQL輸入檢查漏洞 - SQL注入攻擊HTML輸入檢查漏洞 - 跨站腳本攻擊網站被控制網頁被篡改網頁被掛馬帳號失竊成為傀儡機拒絕服務Web應用攻擊總結什么是網絡蠕蟲網絡蠕蟲：一種通過

8、網絡傳播的惡性病毒，它具有病毒的一些共性,如傳播性、隱蔽性、破壞性等等；同時具有自己的一些特征，如不利用文件寄生（有的只存在于內存中）,對網絡造成拒絕服務，以及和黑客技術相結合等。兩種主要傳播方式： 1、利用遠程系統漏洞進行網絡傳播，如阻擊波、震蕩波、SQL蠕蟲王； 2、利用電子郵件、IM、局域網共享等進行網絡傳播，如愛蟲、求職信蠕蟲； 有的蠕蟲會綜合以上兩種方式進行網絡傳播，如Nimda、熊貓燒香等。蠕蟲造成的危害： 1、消耗主機資源，甚至破 壞主機系統，造成主機拒絕服務； 2、蠕蟲傳播造成的流量導致網絡擁塞， 甚至導致整個互聯網癱瘓、失控； 3、蠕蟲與黑客技術等相結合，竊取受害 者的敏感信

9、息或者控制受害者主機。蠕蟲類型和傳播速度系統漏洞型群發郵件型共享型寄生型混合型蠕蟲類型利用漏洞的攻擊過程掃描ABC開啟了445端口 網絡蠕蟲發送針對多個目標IP的445端口的SYN請求報文，以判斷目標機是否開啟了445端口攻擊機目標網絡ABC開啟了445端口，且存在漏洞 網絡蠕蟲向開啟了445端口的目標機B發送溢出報文，如果B沒打相關補丁，溢出成功，蠕蟲獲得B的系統權限攻擊機目標機 利用漏洞的攻擊過程溢出、獲得權限ABC被蠕蟲控制 網絡蠕蟲蠕蟲控制目標機B：1、指使B通過FTP從攻擊機上下載蠕蟲程序；2、指使B運行下載的蠕蟲程序。攻擊機目標機利用漏洞的攻擊過程蠕蟲控制目標機ABC 蠕蟲 網絡蠕

10、蟲攻擊機成為攻擊機利用漏洞的攻擊過程目標機成為蠕蟲蠕蟲的傳播和防御蠕蟲的傳播過程：探測滲透扎根傳播破壞隔離限制免疫治療防御蠕蟲過程：為所有的系統及時打上漏洞補丁用IPS來檢查蠕蟲的活動用訪問控制來限制蠕蟲傳播用PVLAN來保護關鍵服務器用網管工具來追蹤被感染的主機通過CAR來限制蠕蟲流量全網部署病毒掃描措施駐留在計算機的系統中，收集有關用戶信息，并發送給軟件的發布者在用戶不知情的情況下進行 什么是間諜軟件間諜軟件分類與危害間諜軟件的分類 瀏覽器劫持：例如，CoolWebSearchIE工具條和彈出窗口：例如，某些網絡廣告Winsock劫持中間人代理：MarketScore間諜軟件的危害 耗費網

11、絡帶寬 占用大量硬盤和CPU資源 修改IE設置、安裝后門、病毒泄漏個人信息什么是網絡釣魚典型的釣魚過程釣魚者Victim Web Server受害用戶發送釣魚郵件受害者點擊釣魚URL釣魚網站被瀏覽受害者發送機密信息入侵主機，安裝釣魚網站和垃圾郵件箱Mail Drop Service信息被發送到另外一個郵箱釣魚者索取信息木馬木馬程序通常包括客戶端和服務器端。木馬就是利用客戶端對服務器端進行遠程控制的程序。木馬的傳播方式：偽裝工具程序，誘騙運行捆綁在知名工具程序中利用漏洞侵入后，安裝木馬下載器下載木馬威脅日益嚴峻木馬威脅增長快速商業化運作跡象明顯2007年新增病毒分布68.7117.336.123

12、.514.33木馬蠕蟲腳本漏洞病毒惡意廣告其他病毒P2P簡介P2P：全稱叫做“Peer-to-Peer”，即對等互聯網絡技術（點對點網絡技術），它讓用戶可以直接連接到其它用戶的計算機，進行文件共享與交換。P2P流量泛濫帶來的安全問題： 占用大量企業網絡帶寬資源，企業關鍵業務受影響； 大量上傳下載，容易造成病毒、木馬等惡意代碼的傳播，嚴重威脅企業信息安全。DoS/DDoS攻擊DoS(Denial of Service，拒絕服務)攻擊造成服務器或網絡設備拒絕提供正常服務的攻擊行為被稱為DoS攻擊DDoS (Distributed Denial of Service，分布式拒絕服務)攻擊指借助于客戶

13、/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或者多個目標發動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力DoS/DDoS的危害 服務器宕機，業務中斷 大面積斷網，網絡癱瘓DoS 攻擊是導致去年損失最為慘重的計算機犯罪事件，其帶來的損失是其它各類攻擊造成損失總和的兩倍有余。” 2004 年CSI/FBI 計算機犯罪及安全調查。 網上黑客每周發起的DoS攻擊超過了4000次DDoS攻擊分類 資源占領型一對一進行攻擊如：SYN Flood with IP Spoofing多對一進行攻擊如：TFN 系統漏洞型網絡層如： Ping of Death應用層如： Windows漏洞DDoS攻擊模型

14、受害者攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸軍團應用層安全威脅占主流上述分析的安全威脅中除了網絡層DDoS以外，其他安全威脅都是應用層的安全威脅應用層安全威脅成為互聯網壓倒性的威脅應用層安全威脅的防范成為網絡安全的首要課題 存在的安全威脅 物理層安全威脅 IT系統網絡層應用層網絡層次安全威脅發展趨勢應用層安全威脅分析IPS的發展背景和技術演進IPS主要功能和防護原理IPS工作模式和典型應用場景H3C UTM產品配置和維護目錄 不同網絡層次面臨的安全威脅中間件數據庫操作系統HTTPSMTPDNSSQLP2PTCPUDPIP ICMP路由協議以太網ARP/RARP 物理鏈

15、路IM應用程序應用層網絡層鏈路層物理層層次主要安全威脅知名安全事故舉例防護技術物理層設備或傳輸線路物理損壞07年初，多條國際海底通信光纜發生中斷防盜、防震、防災等鏈路層ARP欺騙、廣播風暴07年，ARP病毒產生的ARP欺騙造成部分高校大面積斷網MAC地址綁定、VLAN隔離、安全組網網絡層訪問控制問題、協議異常、網絡層DDoS90年代末的Teardrop、Land攻擊；00年2月，雅虎、亞馬遜等被大流量攻癱安全域技術、防火墻技術應用層漏洞利用、掃描探測、協議異常、蠕蟲、病毒、木馬、釣魚、SQL注入、P2P、應用層DDoS 舉不勝舉入侵防御技術8/scripts/.%c0%af./winnt/sy

16、stem32/cmd.exe?/c+dir+c:Internet互聯網用戶FireWallPort 80Web servicesWeb enabled appsIM trafficRich mediaInternet access80 HTTP絕大部分攻擊是通過應用層完成的，而不是網絡層來完成的。防火墻無法解決應用層安全問題1987198819901995 Denning在博士論文中提出了一個抽象的入侵檢測專家系統模型，第一次提出把入侵檢測作為解決計算機系統安全問題的手段 Morris蠕蟲事件使得Internet約5天無法正常使用，該事件導致了許多IDS系統的開發研制。 美國軍方、美國國家計算

17、機安全中心均開發了主機型IDS。 1990年，Heberlein提出基于網絡的IDS：NSM(網絡安全監視)，用來檢測所監視的廣域網的網絡流量中的可疑行為。 IDS從嘗試性、研究性，開始走向市場化。200320001998 IPS在國外成為入侵防御產品的主流，美國軍方等均使用IPS。 國際著名咨詢機構Gartner副總裁Richard Stiennon發表：IDS is dead。 美國安全廠商提出IPS概念，并發布IPS產品。 隨后，國外安全廠商紛紛推出IPS。 Martin Roesch 發布了開源IDS：Snort。2005 H3C推出了國內首款IPS產品，并逐漸在大量的應用中得到客戶的

18、認可，解決了實際安全問題，培育了IPS市場。2008 IPS在國內取得了大量應用，用戶群體包括銀行數據中心、證券、運營商、電力等行業。IPS的技術演進安全威脅發展趨勢應用層安全威脅分析IPS的發展背景和技術演進IPS主要功能和防護原理IPS工作模式和典型應用場景H3C UTM產品IPS功能配置和維護目錄IPS定義包頭內部網絡 IPS防火墻協議數據內容InternetIPS（Intrusion Prevention System，入侵防御系統），是一種基于應用層、主動防御的產品，它以在線方式部署于網絡關鍵路徑上，通過對數據報文的深度檢測，實時發現威脅并主動進行處理。目前已成為應用層安全防護的主流

19、設備。數據流重組協議識別分析并行處理支持近千種協議特征分析 并行處理包括攻擊特征、病毒特征轉發限流、整形阻斷、重定向、隔離等IPS的基本原理 數據流重組：把數據流重組到連接會話中 協議識別分析：分析錯誤、識別流量、解析協議載荷 特征模式匹配：依靠已有數據庫來進行攻擊特征或模式的匹配 根據不同的預設條件對經過分析的數據執行不同策略定制策略H3C的SecPath T系列IPS產品ISP/大型數據中心大型企業總部大型分支/中型企業中型分支/小型企業SOHO/小型分支SecPath T1000-CSecPath T1000-ASecPath T1000-MSecPath T5000-A3ISP/大型數

20、據中心大型企業總部大型分支/中型企業中型分支/小型企業/SOHO無源連接設備PFCSecPath PFCSecBalde IPS超萬兆IPS+SecPath T200-ASecPath T1000-SSecPath T200-MSecPath T200-SH3C的SecPath T系列IPS產品特點高精度高效率的檢測引擎全面及時的攻擊特征庫多重高可靠性安全與網絡深度融合集成強大的防病毒引擎強大靈活的管理功能H3C SecPath T 系列IPS基于時間特性的帶寬管理和URL過濾 Anti-DDoS網絡層次越高資產價值越大L5-L7: Application LayerL4: Transport

21、 LayerL3: Network LayerL2: Lnk LayerL1: Phy. Layer路由器傳統防火墻TCP/IP StackNICOSesWeb ServersWeb ApplicationFrameworksApplications風險越高越迫切需要被保護Application DataSession IDHTTP Request/RespondTCP ConnectionIP PacketEthernet PacketBit on WireL4-7層業務感知 只有在線內對流量進行處理，才能真正阻擋出現在網絡上出現的攻擊服務器防火墻IDS報警 !發送TCPRST指令，終止TC

22、P連接重新配置防火墻，使其能阻擋來自攻擊地址的流量防火墻與IDS聯動無法實現整個操作要花100毫秒的時間 ，這對現代微秒級的網絡來說是一個巨大的延時 事后防御，不能阻擋單包攻擊 IPS能在一個攻擊發生危害之前，對其實施阻擋根據每個數據包，作出允許還是拒絕的決定，不需要與防火墻聯動線內操作方式 服務器防火墻IDS線內操作，并且以網速運行，只要檢測到攻擊，就進行阻擋高效高精度的檢測引擎FIRST：Full Inspection with Rigorous State Test，基于精確狀態的全面檢測數據流狀態跟蹤分片重組流量分析流恢復丟棄報文報文正規化協議識別分析并行處理支持近千種協議特征分析 并

23、行處理包括攻擊特征、病毒特征丟棄報文、隔離限流阻斷、重定向、隔離等正常數據流黑白流匹配丟棄報文全面的特征庫卡巴斯基專業防病毒特征庫擁有10萬種病毒特征漏洞庫漏洞特征庫數量3000+協議庫可實時檢測和識別800多種應用層協議漏洞庫協議庫病毒庫綜合防御H3C SecPath IPS業界唯一及時的特征庫更新漏洞分析、攻擊分析、協議分析漏洞特征庫生成蜜罐系統跟蹤操作系統、數據庫、瀏覽器、服務器、中間件、網頁軟件、應用軟件等系統的漏洞研究”Zero-Day“漏洞、ZDI組織與CVE、SANS、微軟、Commtouch、卡巴斯基等合作 分析歸納出漏洞特征和攻擊特征 分析歸納出應用協議的特征 生成特定格式的

24、特征規則庫 對漏報、誤報進行嚴格驗證H3C攻防研究團隊生成攻擊特征庫和協議庫H3C攻防研究團隊漏洞特征庫生成嚴格的攻防驗證H3C 鑒定測試中心漏洞特征庫生成特征庫上網發布H3C 用服部門 自動升級 手動升級及時更新的特征庫配合強大的檢測引擎，實現虛擬補丁卡巴斯基病毒庫卡巴斯基P2P流量游戲流量視頻流量業務流量全面的應用識別協議庫P2P流量業務流量可基于應用、時間段、IP地址、IP地址組、Vlan等策略進行靈活控制強大的帶寬管理能精確識別并限制P2P/IM、炒股軟件、網絡多媒體、網絡游戲等應用，限流粒度可以精確到8Kbps視頻流量游戲流量強大的DDoS防御流量異常檢測流量模型學習和基線閾值設置連

25、接限制（Established Connection Flood）連接速率限制（Connection Per Second Flood）有效請求SecPath IPS允許有效請求通過服務器黑客代理傀儡機傀儡機代理代理代理代理代理熱插撥，雙電源支持 支持二層回退功能內置的高可用性（二層回退） 借助于掉電保護模塊，可保證IPS掉電時，網絡依然暢通。T1000系列內置掉電保護模塊（內置優勢：微秒級切換時間）掉電保護模塊PFC（Power Free Connector)高可靠性檢測引擎正常模式檢測引擎二層交換模式PFC主機網絡流量USB供電SecPath IPS交換機交換機豐富、靈活的全中文界面管理功

26、能設備管理：攻擊事件報表：攻擊事件分布：攻擊事件查詢：安全與網絡的融合智能聯動服務器區IPS防火墻2、IPS檢測到安全異常, 上報SecCenter（syslog）3、Seccenter將syslog信息根據預定策略匯聚分析，將需要聯動的告警上報給安全管理中心（TRAP）EAD4、安全管理中心收到告警后查找攻擊源，通過EAD/UAM對攻擊源下發聯動策略匯聚交換機核心交換機SecCenterISCC1、經過EAD認證的用戶進行掃描、蠕蟲等攻擊操作，造成安全威脅內網防護的策略：對非法攻擊阻斷并查找攻擊源，徹底保障內網安全EAD用戶EAD用戶EAD用戶5、EAD/UAM通過交換機對用戶權限進行控制告

27、警安全管理中心網站被控制網頁被篡改網頁被掛馬帳號失竊上傳惡意代碼成為惡意網站安全威脅防范網站側檢測點攻擊者獲得網站權限，或者在網站上注入惡意代碼正常網站攻擊者利用網站的漏洞網站漏洞基礎軟件漏洞應用系統漏洞操作系統漏洞Web服務器漏洞ASP/PHP/CGI漏洞數據庫漏洞SQL輸入檢查漏洞 - SQL注入攻擊HTML輸入檢查漏洞 - 跨站腳本攻擊(1)(2)基礎軟件漏洞特征，檢測并阻斷應用系統漏洞的通用特征檢測并阻斷對典型惡意代碼的樣本進行提取,根據樣本特征,阻斷惡意代碼上傳安全威脅防范用戶側檢測點正常用戶惡意代碼利用用戶的系統漏洞用戶系統漏洞操作系統漏洞應用程序漏洞Windows漏洞IE漏洞.R

28、ealPlay漏洞Flash Player漏洞播放器漏洞網游客戶端漏洞被植入木馬的傀儡機訪問惡意網頁(1)對用戶側軟件漏洞進行分析，提取特征，檢測并阻斷利用軟件漏洞的惡意代碼報文防火墻交換機H3C IPSIDCIP重組TCP流恢復協議識別HTTP協議分析HTTP解碼分析SQL注入原理，歸納出常見SQL注入的特征，如HTTP提交的SQL特殊字符和SQL語句關鍵詞深入分析HTTP協議，確保SQL注入特征與HTTP協議結合起來特征庫團隊跟蹤最新SQL注入技術，及時研究總結解決方法，并發布特征庫H3C IPS設備提供策略定制，可根據客戶網站的實際情況，定制檢測策略SQL注入防范分析跨站腳本攻擊行為，歸

29、納出常見跨站攻擊的特征，如HTML、Javascript等特殊字符和關鍵字深入分析HTTP協議，確保跨站攻擊特征與HTTP協議結合起來基于行為分析的攻擊識別技術實現精確阻斷，通過異常行為特征匹配準確識別攻擊行為防范跨站腳本攻擊H3C IPS防御系統漏洞主機操作系統漏洞，如Windows、Linux、Unix等應用程序漏洞，如IE、Adobe、Office等網絡操作系統漏洞，如思科IOS等中間件漏洞，如WebShpere、WebLogic等數據庫漏洞，如SQL Server、Oracle等本土軟件漏洞，如聯眾游戲、暴風影音等H3C IPS防御木馬、后門木馬活動過程掛馬種馬木馬活動木馬傳播方式利用

30、目標機系統漏洞傳播誘使用戶點擊運行木馬程序木馬下載器更新木馬變種移動介質H3C IPS防御網絡釣魚主要釣魚網站相關的特征規則H3C IPS防御間諜軟件、廣告軟件截止09年12月，間諜軟件相關特征規則共450條H3C IPS防御DDoS攻擊允許有效請求通過服務器攻擊者代理主控端主控端代理代理代理代理代理H3C IPSH3C IPS通過Syn Cookie機制防范Syn Flood攻擊。H3C IPS可通過限制單個源地址的每秒連接數來防范CPS Flood、Connection Flood攻擊。H3C IPS可通過流量閾值模型、反向認證等方式來防范UDP Flood、ICMP Flood、HTTP

31、 Get Flood、DNS Flood等DDoS攻擊。H3C IPS可內置的攻擊特征規則可檢測常見DDoS攻擊工具TFN、TFN2k、 Stacheldraht 、Trinoo的控制報文，可切斷DDoS攻擊工具的控制通道。P2P協議識別特征碼文件P2P協議分析應用帶寬管理限制P2P流量BitTorrent比特精靈BitCometFlashBTMSNYahoo MessageeMuleeDonkeyP2P流量控制個人用戶資源服務器特征匹配P2P流量限速后的P2P流量技術實現原理P2P流量的識別和控制、TCP三次握手、BT對等協議二次握手、握手成功，傳輸數據二次握手報文頭H3C特征庫團隊分析常見

32、的P2P等網絡濫用協議，形成協議特征庫，定期更新，確保能檢測并限制各種P2P等網絡濫用流量。研發部企業策劃部P2P流量監管典型應用1針對不同的部門實施不同的P2P流量控制策略。例如，可以給因正常業務需要訪問P2P應用的部門相連的安全域或者接口分配2M P2P帶寬，其他無需P2P應用的部門所連接的安全域或者接口不分配P2P應用流量帶寬，真正做到有限帶寬有效利用。InternetSecPath UTM為企業策劃部分配2M的P2P帶寬對研發部P2P流量進行封殺研發部企業策劃部P2P流量監管典型應用2針對不同的時間段實施不同的P2P流量控制策略，可以在防火墻上配置基于時間段的P2P流量控制策略。例如，

33、上班時間限制P2P應用流量為2M，下班時間不對P2P應用流量進行限制。InternetSecPath UTM每周一到周五的8:3018:00之間，P2P最大帶寬為2M其余時間不限制研發部企業策劃部P2P流量監管典型應用3對于多網絡接入的企業，如果想對不同出口的P2P流量采用不同的控制策略，可以在防火墻上基于出口進行P2P流量管理。例如，對于同時擁有Internet和教育網接入的企業，可對Internet出口P2P應用流量限制帶寬為2M，對教育網出口P2P應用流量不限制帶寬。InternetSecPath UTMInternet P2P最大帶寬限制為2M教育網P2P帶寬不限制教育網安全威脅發展趨

34、勢應用層安全威脅分析IPS的發展背景和技術演進H3C IPS主要功能和防護原理IPS工作模式和主要應用場景H3C UTM產品IPS功能配置和維護目錄路由器交換機SecPath IPS 在線部署模式內部網絡路由器交換機SecPath IPS 旁路部署模式內部網絡鏡像IPS在線部署方式透明部署于網絡的關鍵路徑上，對流經的數據流進行2-7層深度分析，實時防御外部和內部攻擊。是實際應用中IPS的主要部署方式。IDS旁路部署方式對網絡流量進行監測與分析，記錄攻擊事件并告警。IPS工作模式IPS典型應用場景研發財經市場DMZ區SMTPPOP3WEBERPOACRM數據中心IPS旁路部署在DMZ區，交換機將

35、進出DMZ區的流量鏡像到IPS，可以檢測來自Internet的針對DMZ區服務器的應用層攻擊檢測來自Internet的DDoS攻擊IPS部署在數據中心：抵御來自內網攻擊，保護核心服務器和核心數據提供虛擬軟件補丁服務，保證服務器最大正常運行時間基于服務的帶寬管理IPS部署在內部局域網段之間，可以抑制內網惡意流量，如間諜軟件、蠕蟲病毒抵御內網攻擊分支機構分支機構分支機構IPS部署在廣域網邊界：抵御來自分支機構攻擊保護廣域網線路帶寬IPS部署在外網Internet邊界，放在防火墻前面，可以保護防火墻等網絡基礎設施對Internet出口帶寬進行精細控制，防止帶寬濫用URL過濾，過濾敏感網頁安全威脅發展

36、趨勢應用層安全威脅分析IPS的發展背景和技術演進IPS主要功能和防護原理IPS工作模式和典型應用場景H3C UTM產品IPS功能配置和維護目錄U200-S的三種管理方法U200-S產品簡介U200-S的安全策略配置U200-S的常見故障診斷基于串口命令行管理方法基于HTTP/HTTPS的Web管理方法基于Telnet/SSH的命令行管理方法新建串口連接使用windows系統自帶的“超級終端”工具注意選擇的串口與配置電纜實際連接的串口一致設置串口終端的參數點擊“還原為默認值”，設置波特率為9600，數據位為8，奇偶校驗為無，停止位為1，數據流控制為無串口管理界面基于串口命令行管理方法基于HTTP

37、/HTTPS的Web管理方法基于Telnet/SSH的命令行管理方法Web管理登錄界面G0/0是默認的管理口，地址是：默認用戶名/密碼：admin/admin注：驗證碼不區分大小寫基于串口命令行管理方法基于HTTP/HTTPS的Web管理方法基于Telnet/SSH的命令行管理方法在設備上開啟Telnet Server功能在PC上使用Telnet客戶端進行登錄基于Telnet的命令行管理方式默認的用戶名和密碼為：adminH3Ctelnet server enable% Telnet server has been startedU200-S的三種管理方法U200-S產品簡介U200-S的安全

38、策略配置U200-S的常見故障診斷U200-S產品簡介【說明】：只有在CF卡存在的情況下，才能啟動IPS功能業務口ConsoleCF卡插槽U200是H3C公司的UTM（Unified Threat Management，統一威脅管理）設備。定位于中小型企業用戶。具有防火墻、入侵檢測與防御、防病毒、P2P流量控制、URL過濾等功能。可構建多種形式VPN。U200-S的三種管理方法U200-S產品簡介U200-S的安全策略配置U200-S的常見故障診斷攻擊防護策略帶寬管理策略URL過濾策略病毒防護策略 在實際應用時，IPS為必配項其他幾項策略為可選項，請根據用戶需求做適當配置WANDMZ - WW

39、WINTERNALSegmentZone APolicyPolicyPolicyPORTPORTZone B安全區域和段 PolicyRule1001Rule6004Rule1002SignatureblocknotifyENABLEProtocol: TCPStatus: EstablishPayload: 特征、規則和策略 基本配置安全區域配置段配置引流配置安全策略配置攻擊防護策略配置帶寬管理策略配置URL過濾策略配置病毒防護策略配置激活安全策略安全策略的配置步驟創建攻擊防護策略配置攻擊防護規則應用攻擊防護策略到段上攻擊防護安全策略的配置攻擊防護策略日志的配置攻擊防護日志兩種類型，阻斷和告

40、警（在數據庫里為2張不同的表）可以使用過濾條件包括有攻擊名稱、攻擊級別、動作類型等可以導出并進行分析帶寬控制概念BWC 類型流量限制會話數限制時間表特性段帶寬控制8Kbps 1000MbpsN/AN/A策略帶寬控制8Kbps 1000MbpsN/AN/A應用帶寬控制8Kbps 1000Mbps1 1000 連接/秒有8Kbps 10Mbps每會話1 65535 最大連接數Segment BWC200 MbpsPolicy BWC20 Mbps15 Mbps10 MbpsP2P: BlockFTP: 4Mbps200Kbps / SessionSMTP: 500KbpsVOIP: Permit帶寬控制策略的配置步驟創建帶寬控制策略配置帶寬控制規則應用帶寬控制策略到段上帶寬控制配置示例1、在導航欄中選擇“帶寬管理 策略管理”；2、在“規則配置”中單擊按鈕；3、在“規則配置”中選擇“文件服務器”服務對應的動作集為“Block”；4、在“規則配置”中選擇“BitTorrent”服務對應的動作集為“Rate Limit”；5、在“策略應用范圍”上添加到段0上。URL ：http:/porta