假想案例談論IPS系統部署
IPS系統已經在互聯網中被廣泛的應用。今天我們在以下假想的案例中,可以看到以IPS系統為核心的多種網絡深度檢測/實時抵御的方案;不同的方案,在不同的應用場景當中,可以適當地擴充或簡化。
一、 基于策略的安全防御
1. 位于辦公網入口的IPS系統通過應用層協議分析跟蹤和特征匹配,發現目的地為業務服務器A的HTTP數據流中隱藏有針對Windows操作系統的DCOM漏洞的惡意利用;
2. IPS系統將此安全事件上報至管理中心;
3. 管理中心獲取服務器A的基本信息;
4. 管理中心根據獲取的A的信息,判斷該訪問是否會造成危害,如果A不運行Windows操作系統或者A確實運行Windows但是已經打了針對DCOM漏洞的補丁,則A是安全的;
5. 根據情況,管理中心向IPS系統下發制定的安全策略;
6. IPS系統執行安全策略,放行或者阻斷此次連接請求。
事實上,在這里我們描述的是需要管理中心介入的情況,在一些相對簡單的情況下,如果我們事先可以確認服務器集群所運行的操作系統(在90%的情況下這是可能的),那么抵御該網絡攻擊的規則可以直接施加在IPS系統上,不再需要與管理中心的交互,從而降低部署的復雜度、提高效率。
二、應用感知的智能防御
1. 辦公網用戶訪問Internet上的WWW服務器;
2. IPS系統檢測到該請求,判斷該請求符合事先設定的安全策略,放行;
3. 該用戶與外部服務器的連接建立;
4. 該用戶試圖通過已經建立的連接,利用二次代理,發起對某非法或不良網站的訪問請求;
5. 根據對應用層協議的深度分析和內容識別,IPS系統檢測到該企圖,阻斷該次HTTP連接;
6. 上報該安全事件到管理中心備查;
7. IPS系統可以根據管理中下發的策略,對該用戶進行一定時間的懲罰(拒絕該用戶后續的上網請求)。
三、行為分析的智能防御,阻止病毒、蠕蟲泛濫
1. 某辦公網用戶通過公共區域網絡訪問業務服務器集群;
2. 正常連接建立后,位于服務器集群前端的IPS系統檢測到來自該用戶的通信流量中隱藏有某種病毒的行為特征,立即阻斷該用戶的此次訪問,并且上報該安全事件給管理中心;
3. 管理中心分析該安全事件,根據報文信息定位到該用戶,并且制定新的安全策略;
4. 接入管理更改該用戶的安全等級,下發更新的安全策略給相關網絡設備;
5. 更新了安全策略的網絡設備將該用戶隔離至某特定區域,避免該病毒感染其他網絡用戶,并采取后續行動。
【編輯推薦】
- 國內出現首批擁有IDS和IPS產品雙CVE認證的安全廠商
- IPS是使網絡健康的關鍵防護措施
- 移動計算安全關注導致更多IPS、SSL VPN花費
- 在企業中配置IPS的最佳實踐
- 新版DefensePro成為IPS抵抗DDoS攻擊的典范
