扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
基于策略的安全防御
随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
IPS如何实现深度检测和入侵抵御
对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。
在哪里部署
进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。
如何部署
在以下案例中,我们可以看到以IPS为核心的多种网络深度检测/实时抵御的方案;不同的方案,在不同的应用场景当中,可以适当地扩充或简化。
一、 基于策略的安全防御
1. 位于办公网入口的IPS通过应用层协议分析跟踪和特征匹配,发现目的地为业务服务器A的HTTP数据流中隐藏有针对Windows操作系统的DCOM漏洞的恶意利用;
2. IPS将此安全事件上报至管理中心;
3. 管理中心获取服务器A的基本信息;
4. 管理中心根据获取的A的信息,判断该访问是否会造成危害,如果A不运行Windows操作系统或者A确实运行Windows但是已经打了针对DCOM漏洞的补丁,则A是安全的;
5. 根据情况,管理中心向IPS下发制定的安全策略;
6. IPS执行安全策略,放行或者阻断此次连接请求。
事实上,在这里我们描述的是需要管理中心介入的情况,在一些相对简单的情况下,如果我们事先可以确认服务器集群所运行的操作系统(在90%的情况下这是可能的),那么抵御该网络攻击的规则可以直接施加在IPS上,不再需要与管理中心的交互,从而降低部署的复杂度、提高效率。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者