如何實(shí)現(xiàn)IPS系統(tǒng)深度檢測(cè)
隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn),傳統(tǒng)防火墻技術(shù)加傳統(tǒng)IDS的技術(shù),已經(jīng)無(wú)法應(yīng)對(duì)一些安全威脅。在這種情況下,IPS系統(tǒng)技術(shù)應(yīng)運(yùn)而生,IPS系統(tǒng)技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量,對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊,對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。
IPS系統(tǒng)如何實(shí)現(xiàn)深度檢測(cè)和入侵抵御
對(duì)于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS系統(tǒng),可以根據(jù)預(yù)先設(shè)定的安全策略,對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測(cè)(協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等),如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡(luò)攻擊,可以根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報(bào)文;切斷此次應(yīng)用會(huì)話;切斷此次TCP連接。
在哪里部署
進(jìn)行了以上分析以后,我們可以得出結(jié)論,辦公網(wǎng)中,至少需要在以下區(qū)域部署IPS系統(tǒng),即辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位(入口/出口);重要服務(wù)器集群前端;辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域,可以根據(jù)實(shí)際情況與重要程度,酌情部署。
IPS系統(tǒng)深度檢測(cè)與入侵抵御的關(guān)鍵技術(shù)
高性能、高可靠性的硬件平臺(tái)
依賴于對(duì)網(wǎng)絡(luò)設(shè)備體系架構(gòu)的深刻理解和強(qiáng)大的設(shè)計(jì)開發(fā)能力,華為3Com為IPS系統(tǒng)產(chǎn)品設(shè)計(jì)了專用的高性能硬件平臺(tái)。該平臺(tái)徹底拋棄了目前市面上常見的工控機(jī)架構(gòu)。
協(xié)議分析與跟蹤技術(shù)
通過(guò)前面的分析,我們可以看到協(xié)議分析與跟蹤對(duì)IPS系統(tǒng)設(shè)備的重要性。與傳統(tǒng)防火墻不同的是,IPS系統(tǒng)不但要分析和跟蹤IP、ICMP、UDP、TCP這幾種網(wǎng)絡(luò)層、傳輸層的協(xié)議,而且,還要對(duì)HTTP、HTTPS、FTP、TFTP、SNMP、Telnet、SMTP、POP、DNS、RPC、LDAP、ICQ、MSN、Yahoo Messenger等眾多的應(yīng)用層協(xié)議進(jìn)行分析、跟蹤。沒(méi)有對(duì)網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的深刻理解,要完成這件工作是不可能的。華為3Com已經(jīng)具備了在操作系統(tǒng)的內(nèi)核級(jí)別對(duì)應(yīng)用協(xié)議進(jìn)行全面跟蹤、深度分析的實(shí)力;而且,在引入網(wǎng)絡(luò)處理器后,所有的邏輯檢測(cè)和協(xié)議分析、跟蹤都要下移到網(wǎng)絡(luò)處理器中,采用微碼實(shí)現(xiàn),進(jìn)一步提高系統(tǒng)性能。
特征匹配的性能
從海量的數(shù)據(jù)中去尋找一定的特征,在計(jì)算領(lǐng)域,這歷來(lái)是一個(gè)高計(jì)算量、高復(fù)雜度的問(wèn)題;而IPS系統(tǒng)的報(bào)文內(nèi)容識(shí)別,恰恰要基于此工作。那么,如何解決這個(gè)CPU殺手和提高設(shè)備性能之間的矛盾呢?
華為3Com采用專用的硬件加速卡來(lái)解決這個(gè)問(wèn)題。基于專門的內(nèi)容查找芯片設(shè)計(jì)的硬件加速卡在系統(tǒng)中與CPU、網(wǎng)絡(luò)處理器協(xié)同工作,在需要對(duì)報(bào)文進(jìn)行內(nèi)容搜索的情況下,為CPU和網(wǎng)絡(luò)處理器卸載負(fù)擔(dān),使得CPU和網(wǎng)絡(luò)處理器可以專注于報(bào)文處理和邏輯檢測(cè),從而將內(nèi)容搜索對(duì)系統(tǒng)效率的影響降至最低。目前華為3Com設(shè)計(jì)的硬件加速卡,可以在千兆的環(huán)境下線速地處理流量。
【編輯推薦】
