[网络协议]入侵防御IPS知识

1.工作原理：

串行部署于网络关键路径，对深层攻击行为进行精确识别和实时阻断。

2.与IDS区别

IPS追求精确阻断，IDS追求有效呈现

IDS旁路部署，IPS串行部署

IDS呈现的事件≠ IPS精确阻断的事 件

3.与UTM/NGFW的比较

IDS以威胁防御为核心，从精确检测、在线防护及执行性能方 面将该能力发挥到极致，面向对 威胁防御有专业需求的用户

UTM、NGFW：IPS作为附属模块， 虽然具备较完善的功能，无论是威 胁防御能力，还是处理效能都无法 跟专业IPS相比，适合对威胁防御需求不高的用户

4.系统组成

入侵防御引擎-硬件
  软硬一体设备
  x86多核硬件平台
  安全的操作系统
  https安全管理
  安全策略、入侵防御、防web扫描、弱口令监测

集中管理中心-软件
   软件（免费光盘）
   客户提供服务器（客户方购买Windows系统授权、数据库授权）
   默认授权免费管理3台
   集中管理、升级管理、配置备份、日志存储和统计分析等

5.检测能力

1.特征库（数量6600+，也称事件集，可在线、离线升级，至少支持25个协议，上百个参数/变量）

批量修改
   支持响应模板、批量修改动作、日志、级别等配置
高可用性考虑
   可先检测不阻断
   升级配置中，选择新增哪些级别的事件，
   可加入自定义事件集中。并可设置新增加事件的动作

2.专利算法（针对SQL和xss的 语义分析引擎）

SQL注入攻击检测原理
  使用轻型虚拟机预分析技术（语义分析引擎）和SQL注入模型分析相结合，高效发现攻击行为
  
xss攻击检测检测原理
  对可能携带XSS攻击相关信息的协议变量进行解码、代码提取和语法检测，通过特征、关联分析和异常评估等判断是否攻击行为
  
事件分析检测原理
  提供协议字段、攻击域、原始攻击数据、解码数据等并支持白名单设置

3.APT检测（静态、动态、C&C检测引擎）

静态恶意检测引擎
  恶意代码检测能够实时监测网络环境中的文件，基于特征检测、虚拟仿真等发现异常文件
APT 沙箱联动
  将网络文件上传到沙箱系统进行更深入的检测
  对隐匿在恶意文件里的恶意连接进行阻断

4.防web扫描（采用阈值和算法结合）

检测原理
   通过算法识别Web扫描行为，支持阻断源地址，阻止扫描行为
识别率高

5.弱口令识别（基于规则和流量分析）

工作原理
  分析网络流量，提取用户名和密码，并基于规则判断是否弱口令；
  可检测和阻断暴力穷举探测行为，进一步避免弱口令带来的安全风险

6.威胁情报（支持第三方接口）

  威胁情报涵盖50多类，覆盖木马、挖矿、勒索病毒、僵尸主机IP、恶意网站等
  可与其他安全产品联动（IDS、APT沙箱、DAC入侵分析中心、 SOC安全管理平台等），获得更多威胁情报
  Venuseye威胁情报中心（收集、分析、处理、发布和应用未一体的服务平台）

服务器异常防护工作原理
  通过自定义和流量自学习方式配置重要服务器内联和外联合法行为模型，建立流量行为基线
作用
  基于流量基线，分析网络流量，检测和阻断服务器异常流量，保护服务器的安全

双防病毒引擎
  卡巴斯基和安天知名双引擎
  各种病毒检测：文件、宏、脚本病毒、木马、恶意软件、灰色软件
  病毒库总计>70万

6.安全策略

从上到下匹配

7.安全防护表

系统默认配置安全策略和安全防护表

安全防护表可灵活编辑，可加载不同的事件集

8.集中管理中心

三权用户（配置、管理、审计管理员）
支持双因子认证
初次登陆需要修改密码

业务保障
  硬件BYpass
     断电、重启和设备异常时自动启用
     电口默认支持BYPASS
     光口可选择内置BYPASS板卡或外置BYPASS设备
  过载保护
      可选择高负载下自动启动，不加载安全防护表，优先保障业务通行
  双机、双系统、配置备份等

9.部署

? 部署方式
  旁路、网线模式、透明桥、端口聚合、HA
? 路由配置
  静态路由、策略路由、ISP路由、OSPF动态路由
? NAT地址转换
  源NAT、目的NAT、静态NAT
? DHCP
  DHCP客户端、DHCP中继、DHCP服务器
? 虚拟租户
? IPv4和IPv6双协议栈