1、SecPath IPS入侵防御系統產品介紹引入為什么需要IPS？SecPath IPS有哪些產品和功能？i-Ware軟件平臺有什么特色？如何部署IPS？目錄SecPath IPS產品介紹SecPath IPS主要特性SecPath IPS應用場景為什么需要IPS應用層的攻擊可穿透防火墻，而目前90以上的攻擊是基于應用層的攻擊。4HTTPSMTPDNSSQLP2PTCPUDPIPICMP路由協議以太網ARP/RARP物理鏈路IM操作系統中間件數據庫應用程序應用層網絡層5鏈路層物理層層次主要安全威脅知名安全事故舉例防護技術物理層設備或傳輸線路物理損壞07年初，多條國際海底通信光 纜發生中斷防盜、防

2、震、防災等鏈路層ARP欺騙、廣播風暴07年，ARP病毒產生的ARP欺騙造成部分高校大面積斷網MAC地址綁定、VLAN隔離、安全組網網絡層訪問控制問題、協議異常、網絡層DDoS90年代末的Teardrop、Land 攻擊；00年2月，雅虎、亞馬 遜等被大流量攻癱安全域技術、防火墻技 術應用層漏洞利用、掃描探測、協議異常、蠕 蟲、病毒、木馬、釣魚、SQL注入、P2P、應用層DDoS 舉不勝舉入侵防御技術不同網絡層次面臨的安全威脅技術原因：系統漏洞系統漏洞不可避免：主機操作系統：Windows、Linux、Unix應用程序：IE、Adobe、Office網絡操作系統：思科IOS網絡服務：DNS、We

3、b中間件：WebShpere、WebL6社會原因：攻擊產業化漏洞研究者工具開發者惡意軟件開發者病毒蠕蟲間諜軟件木馬工具銷售者直接攻擊建立僵尸網絡僵尸網絡：租賃、販賣、勒索間諜活動 企業/政府欺詐銷售非法/惡意競爭偷竊勒索盈利商業銷售點擊率金融欺詐攻擊執行者DDoS垃圾郵件釣魚敏感信息竊取IT資源消耗拒絕服務7應用層安全產品：IPS還是IDS？防火墻交換機IPS防火墻交換機IDS鏡像內部網絡IDS：Intrusion Detection System，入侵檢測系統IPS：Intrusion Prevention System，入侵防御系統包頭協議數據內容內部網絡8IPS與IDS的區別9IPSID

4、S實現思路全自動的精確檢測、實時阻斷半自動的粗放檢測告警硬件架構專有硬件架構、多核架構X86架構檢測引擎多重檢測機制單一檢測機制特征規則提取精細粗放部署方式在線部署，也可旁路部署旁路部署響應方式主要是阻斷加告警，也可設置 為僅告警主要是告警可靠性機制很高低，為旁路部署設計，可靠性 要求低IPS、IDS的發展歷史1987198819901995Denning在博士 論文中提出了一個 抽象的入侵檢測專 家系統模型，第一 次提出把入侵檢測 作為解決計算機系 統安全問題的手段Morris蠕蟲事件使正常使用，該事件導 致了許多IDS系統的 開發研制。美國軍方、美國國 家計算機安全中心均 開發了主機型ID

5、S。1990年，Heberlein得Internet約5天無法提出基于網絡的IDS：用來檢測所監視的廣 域網的網絡流量中的 可疑行為。IDS從嘗試性、研究性，開始走向NSM(網絡安全監視)， 市場化。200320001998IPS在國外成為入侵防Gartner副總裁Richard Stiennon發表： IDS is dead。美國安全廠商提 出IPS概念，并發布IPS產品。隨后，國外安全 廠商紛紛推出IPS。Martin Roesch發布了開源IDS：Snort。2005問題，培育了IPS市 場。2011IPS在國內取得了大 IPS在國內市場出量應用，用戶群體包現，并逐漸在大量的御產品的主流

6、，美國軍括銀行數據中心、證應用中得到客戶的認方等均使用IPS。券、運營商、電力等可，解決了實際安全 國際著名咨詢機構行業。10交換機、路由器防火墻IPS時間軸網絡規模更大網絡業務類型更多網絡商用化更深入網絡攻擊更精細更 頻繁大規模部署，使網絡實 現了互聯互通規模部署，使網絡實現 了訪問控制，解決了部 分安全問題開始規模部署，使網絡 實現深度感知和入侵防 御縱觀網絡、網絡設備、網絡安全設備的發展，IPS的部署已成必然趨勢應用層安全產品IPS是網絡安全發展方向11H3C IPS的深度檢測網絡層次越高資產價值越大L5-L7:應用層L4: 傳輸層L3: 網絡層L2: 鏈路層L1: 物理層路由器傳統防火

7、墻IP 協議棧網絡接口卡Web服務器應用越迫切需 要風險越高被保護應用數據會話 IDHTTP 請求/響應TCP 連接IP 報文以太網報文比特流TCP 協議棧物理線路12SecPath IPS系列產品SecPath T200-SSecPath T200-ASecPath T200-MSecPath T1000-SSecPath T1000-ASecPath T1000-MSecPath T5000-S3ISP/大型數據中心大型企業總部大型分支/中型企業中型分支/小型企業SecPath T1000-C13SecPathIPS T200SCPU1 *RMI XLS208，2核，主 頻750M管理口1

8、*10/100M/1000M以太電口Flash4MB擴展槽NA內存1GB1+1電源備份NACF卡1GB(內置)吞吐量800MbpsUSB口1個新建連接數50,000接口4*10/100M/1000M 以太電口最大連接數500,14SecPathIPS T200M/A15CPURMI XLR716，4核，主頻800M管理口1*10/100M/1000M以太電口Flash4MB擴展槽2內存2GB1+1電源備份可選配CF卡1GB(內置)吞吐量1.2G(M)/1.6G(A)USB口1個新建連接數10萬(M)/15萬(A)接口2*Combo千兆業務接口，光電復合最大連接數100萬擴展接口模塊：410/1

9、00M/1000M以太電口，或810/100M/1000M以 太電口，或41000M SFP光口SecPath IPS T1000-S前板外觀交流電源 輸入擴展卡插 槽擴展卡插 槽10/100/1000Base-T 接口ConsoleUSB口管理口16CPURMI XLR732，8核，主頻1G管理口1*10/100M/1000M 以太電口Flash4MB擴展槽2（410/100/1000M以太電口, 或41000M SFP光口）內存4GB1+1電源備份自帶CF卡1GB(內置)吞吐量4GUSB口1個新建連接數20萬接口4*（10/100/1000M以太 電口）最大連接數200萬SecPath I

10、PS T1000-A前板外觀交流電源 輸入擴展卡插 槽擴展卡插 槽10/100/1000Base-T 接口ConsoleUSB口管理口17CPURMI XLR732，8核，主頻1G管理口1*10/100M/1000M 以太電口Flash4MB擴展槽2（410/100/1000M以太電口, 或41000M SFP光口）內存4GB1+1電源備份自帶CF卡1GB(內置)吞吐量5.5GUSB口1個新建連接數25萬接口4*（10/100/1000M以太 電口）最大連接數200萬SecPath IPS T5000-S3電源風扇電源主控板業務板業務板18CPURMI XLR732，8核，主頻1G管理口主控(

11、1塊) 業務板(2塊)：各2（10/100/1000M以太電口+10/100/1000M光電復合Combo口）Flash4MB擴展槽NA內存4GB1+1電源備份自帶CF卡2GB(內置)吞吐量9GUSB口2新建連接數50萬接口16SFP(1000M)+8（10/100/1000M，光電復合Combo口）最大連接數400萬先進的多核硬件平臺設備配置管理、全局信息統計流量分析協議識別深度檢測響應動作流量分析協議識別深度檢測響應動作流量分析協議識別深度檢測響應動作流量分析協議識別深度檢測響應動作流量分析協議識別深度檢測響應動作流量分析協議識別深度檢測響應動作流量分析協議識別深度檢測響應動作多核平臺實現

12、對安全業務的并行處理，既能夠適應應用層多變的特點，又能夠達 到專業級的高性能。Multi-C19體現“系統集中管理業務并行處 理”的思想控制平面運行在一個獨立的硬件線 程內，完成系統控制和系統管理功 能數據平面運行在多個獨立的硬件內 核之上，實現業務并行處理數據平面因業務量大而繁忙時，控制平面的管理配置不會受影響20高可用性機制：控制平面和數據平面分離豐富的產品功能簡潔的管理界面精確的攻擊防范 全面的病毒檢測靈活的帶寬管理策略 智能的DDoS攻擊防護豐富的URL過濾手段 豐富的日志和報表功能高可靠性21漏洞庫協議庫病毒庫綜合防御H3C IPS：三庫合一實現全面攻擊防御創新技術帶來的價值：更有效

13、地防御混合型威脅切合新型攻擊手法的發展趨勢提高防御精度和效率我是誰？病毒、木馬、蠕蟲、惡意代碼、 后門、黑客程序、垃圾郵件、釣魚、間諜 軟 件 22高效高精度的檢測： 特征庫三庫合一蜜罐系統跟蹤操作系統、數據庫、瀏覽器、服務器、 中間件、網頁軟件、應用軟件等系統的漏洞研究”Zero-Day“漏洞、ZDI組織與CVE、SANS、微軟、Commtouch、卡巴 斯基等合作分析歸納出漏洞特征和攻擊特征 分析歸納出應用協議的特征生成特定格式的特征規則庫對漏報、誤報進行嚴格驗證漏洞分析、攻擊 分析、協議分析H3C攻防研究團隊生成攻擊特征 庫和協議庫H3C攻防研究團隊嚴格的攻防驗證H3C 鑒定測試中心特征

14、庫上網發布H3C 用服部門自動升級 手動升級及時更新的特征庫配 合強大的檢測引擎， 實現虛擬補丁卡巴斯基病毒庫卡巴斯基23持續安全防護：特征庫的發布流程持續安全防護：H3C攻防研究團隊攻防研究持續投入：40余人的資深安全研究人員，分布在北京、杭州、北美2個攻防實驗室，分布在北京、杭州實時跟蹤研究業界安全動態和攻擊手法，每周定期形成安全公告每周發布攻擊特征庫更新包每周聯合卡巴斯基發布病毒特征庫更新包多維度合作：知名廠商合作：微軟、卡巴斯基、Commtouch權威安全組織合作認證：CVE客戶安全機構合作：工商銀行總行安全研究部門、江蘇省經信委攻防實驗室、 多個高校/高職的網絡安全實驗室（包括清華大

15、學）/Products Technology/Products/IP Security/Characteristic Service Area/24熱插撥，雙電源支持支持二層回退功能內置的高可用性（軟件二層回退）硬件掉電保護模塊PFC（Power Free Connector)檢測引擎正常模式檢測引擎二層交換模式網絡流量USB供電PFC主機借助于掉電保護模塊，可保證IPS掉電 時，網絡依然暢通。T1000系列內置掉電保護模塊SecPath IPS交換機交換機高可靠性機制：軟件二層回退和硬件掉電保護25設備管理：攻擊事件報表：攻擊事件分布：攻擊事件查詢：26豐富、靈活的全中文界面管理功能服務器區

16、IPS防火墻2、IPS檢測到安全異常, 上 報SecCenter（syslog）3、Seccenter將syslog信 息根據預定策略匯聚分 析，將需要聯動的告警 上報給安全管理中心（ TRAP）EAD4、安全管理中心收到 告警后查找攻擊源，通 過EAD/UAM對攻擊源下發聯動策略匯聚交換機核心交換機SecCenterISCC1、經過EAD認證的用 戶進行掃描、蠕蟲等 攻擊操作，造成安全 威脅內網防護的策略：對非法攻擊阻斷并查找攻擊源，徹底保障內網安全EAD用戶EAD用戶EAD用戶5、EAD/UAM通過交 換機對用戶權限進行 控制告警安全管理中心安全與網絡的融合：智能聯動27iWare平臺架構

17、i-Ware采用Linux作為內核，從整體上分成4大平面：管理平面、 控制平面、數據平面和支撐平面，數據平面主要負責業務處理和轉發功能；控制平面配合數據平面完成各種業務的配置保存和下發，如IPS、防病毒等業務的配置；支撐平面是指在操作系統的基礎上提供業務運行的軟件基礎； 管理平面則提供對外的設備管理接口，包括CLI、SNMP、Web、 日志等。28FIRST：Full Inspection with Rigorous State Test，基于精確狀態的全面檢測。數據流狀態跟蹤分 片 重 組流 量 分 析流 恢 復丟棄報文報 文 正 規 化協議識別分析并行處理 支持近千種協議特征分析并行處理包

18、括攻擊特征、病毒特征丟棄報文、隔離限流阻斷、重定向、隔離等正常數據流黑 白 流 匹 配丟棄報文iWare - FIRST 專有引擎技術29CVE：Common Vulnerabilities & Exposures，通 用漏洞披露，是系統漏洞和漏洞防護領域事實上的工 業標準從CVE Searchable、CVE Output、CVE Mapping、 Documentation等方面進行嚴格認證確保IPS可以為用戶提供更全面、更及時的攻擊特征 庫，有效防御零日攻擊確保IPS可以通過CVE標準與其他安全產品或安全測 試工具進行“對話”，從而幫助用戶更有效地消除系 統漏洞帶來的安全風險相關資料鏈接

19、/compatible/30IPS通過權威安全組織CVE兼容性認證微軟提前通 知漏洞信息H3C生成特征 庫實現防御漏洞被發出現利用漏洞的 現并公布蠕蟲或攻擊方法相關鏈接/security/msrc/collaboration/mapp.aspxMAPP旨在整合全球安全資源，通過認證的安全廠商，可提前獲取微軟漏洞的技術細節信息MAPP認證確保H3C IPS在攻擊出現之前就能提供前瞻性安全防護IPS通過微軟MAPP認證31其它榮譽與資質32目錄SecPath IPS產品介紹SecPath IPS主要特性SecPath IPS典型組網相關概念34安全區域和段安全區域是一個物理/網絡上的概念（特定的物

20、理端口 + VLAN ID）段可以看作是連接兩個安全區域的一個透明網橋策略被應用在段上特征、規則和策略特征定義了一組檢測因子來決定如何對當前網絡中的流量進行檢測規則的范疇比特征要廣，規則 = 特征 + 啟用狀態 + 動作集策略是一個包含了多條規則的集合動作和動作集動作定義了設備對流量將要執行的操作動作集是一個包含了多種動作的集合安全區域和段段是具有方向性的兩個安全域的組合。通過在段上配置各 種安全策略可以實現對段內不良網絡行為的監控和限制。WANDMZ - WWWINTERNAL段安全區域 A策略策略策略端口端口安全區域 B35攻擊、規則和策略啟用防攻擊等功能需要新建策略，在策略內根據需求定義

21、 不同的規則。策略特征1001特征6004特征1002規則通知阻斷使能協議: TCP狀態: Established載荷: 36動作、動作集動作集是一組動作的集合，可以被IPS、帶寬和URL等策略 引用，用于設置對匹配報文所采取的動作，包括阻斷動作 和通知動作。動作集阻斷 / 允許 / 限速報文跟蹤上傳 or NOT通知 or NOT+限速下行帶寬控制上行帶寬控制每連接帶寬控制新建連接速率控制最大連接數控制37SecPath IPS攻擊防范原理Mail ServeruseruserAttack惡意攻擊 正常訪問與IPS內部“特征庫” 特征相匹配“FIRST”技術Web S38SecPath IP

22、S病毒防范SasserExploit for RPC-LSASS執行 Shellcode: 通過 tftp下載 sasser.exeSasser.exe PE HeaderBlock by IPSBlock by AVIPS中病毒相關的特征和病毒防護功能的區別 IPS中病毒、蠕蟲相關的特征只檢測病毒、蠕蟲間的通訊等特征 AV特征庫則檢測傳輸層中數據的特定內容(如文件PE頭，特定的二進制代碼)39SecPath IPS URL過濾可在設備上指定域名和URI路徑的匹配規則，以及相應執 行的動作，以對收到的HTTP請求報文進行過濾。/portal/res/200707/16/20070716_120

23、096_H3C%20showroom_207640_1515_0.jpg傳輸層數據如下： 00 : 1378 0 : 80GET /portal/res/200707/16/20070716_120096_H3C%20showroom_207640_1515_0.jpg HTTP/1.1 Accept: */*Accept-Language: zh-cnUA-CPU: x86Accept-Encoding: gzip, deflateIf-Modified-Since: Mon, 16 Jul 2007 07:48:58 GMT If-None-Match: 6ea942c47dc7c71:2

24、63User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR2.0.50727)Host: （HOST內容過濾）Connection: Keep-Alive目的IP 地址：0目的TCP端口：80（www）域名（Host）：URI：/portal/res/200707/16/20070716_120096_H3C%20showroom_207640_1515_40SecPath IPS帶寬管理網絡流量按照其用途的不同劃分成不同的服務類型，例如 E-Mail服務、VoIP服務

25、等，對不同的服務類型實施不同的 管理控制行為，稱為帶寬管理。段 1: 100Mbps段 3: 15Mbps段 2: 40MbpsFTP: 限速+記錄日志41P2P: 阻斷SMTP: 記錄日志VOIP: 允許200Mbps目錄SecPath IPS產品特性SecPath IPS主要特性SecPath IPS典型組網SecPath IPS部署方式在線部署方式直連是指設備直接處于數據轉發的鏈路上，可以直接捕獲數據報 文并執行各種安全動作IPS是PFC設備，即使出現故障也不會影響鏈路連通路由器43Secpath IPS交換機 在線部署方式SecPath IPS部署方式路由器44旁路部署方式旁路是指設備不在數據轉發的鏈路上，通常是通過接收流量鏡像、 探測復制報文的方式捕獲數據報文，不能直接執行各種安全動作， 只能通過響應報文間接執行安全動作交換機Secpath IPS旁路部署方式鏡像應用于局域網/園區網匯聚交換機IPS核心交換機45細分場景H3C IPS價值互聯網出 口 掛馬的惡意網頁防護，確保用 戶上網安全 防范來自互聯網的木馬、蠕蟲 病毒等進入園區網 防范來自互聯網的惡意攻擊者 對園區網的漏洞掃描探