IPS原理可参考:入侵防御IPS技术%E6%8A%80%E6%9C%AF/>)
NIP介绍
NIP简介:
NIP是华为的IPS设备。
NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离。您可以将每对接口对视作一台虚拟IPS设备或IDS设备,基于不同的接口对配置不同的应用安全策略,满足不同的安全防护需求。
NIP的业务接口都工作在二层,能够不改变客户现有的网络拓扑结构,直接透明接入客户网络,且配置了缺省的威胁防护策略,接入网络后即可启动防护。
NIP产品默认开启阻截的签名的比率非常高,在不影响用户正常业务的情况下,可以最大程度地化解威胁。管理员就无需对照冗长的日志来查看是否有误报,是否需要关闭一些签名等。
IPS部署模式
概述:
IPS(入侵防御系统)部署模式:直路部署,单臂部署,旁路部署。
IDS(入侵检测系统)部署模式:旁路部署。
IPS直路部署场景(三种情况):
当NIP作为IPS设备直路部署时,用户只需要将接口对串行接入到需要保护的网络链路上,即完成 了部署。直路部署的IPS设备,能有效防御攻击。
情况一:
部署互联网入口的应用场景,主要用来保护企业内网客户端的安全
情况二:
部署服务器前端保护企业内部信息系统(数据库、DNS服务器、Web服务器、eMail服务器等)的安全。同时,利用NIP的报表功能,管理员可以直观地了解网络的健康状况。
情况三:
企业各部门网络前面部署NIP,在企业总部和分支机构之间部署NIP,保护各网络内部应用的安全,同时防止安全风险向其他网络蔓延。
即使企业的总部和分支之间是通过VPN连接的,NIP也无需做VPN解密。原因是NIP部署的位置在边界路由器或者防火墙的后面,NIP收到的报文都已解密。
IPS直路部署可以零配置上线,上行口插a01,下行口插b01,初始情况,在接口对下调用了默认策略
部署优缺点:
- 优点:能对流量进行控制、零配置上线。
- 缺点:单点故障,加大网络延时。
IPS单臂部署:
通过VLAN引流,单臂部署的方式的优势在于:不需要改变网络拓扑结构,节省NIP物理接口。
当NIP作为IPS设备单臂部署或作为IDS设备时,用户只需要使用接口对中的一个接口旁挂在网络中。
NIP在单臂部署方式下支持的功能不如直路部署方式时全面,不支持流量Bypass
A场景:
NIP只与交换机边一根线,交换机的G0/2口配置trunk。允许Vlan100和Vlan101,NIP上起子接口,配置Vlan100,Vlan101(配置VLAN tag,在NIP上勾选同口进出模式)
场景B:
NIP出厂的时候会生成如a01-b01这种接口对,从a01-流进来的会从b01流出去(反之亦然)。并且可以解vlan tag和打vlan tag。因此给a01配成vlan100,b01配成vlan200当流量从a0/2口流入到a01,然后NIP再从b01接口处到vlan200,因此流量经过NIP时,NIP发现攻击便可给予做阻断动作
部署优缺点:
- 优点:可以对流量做阻断。
- 缺点:流量都要经过NIP,NIP是入侵防御系统,NIP会对数据包做重组,会对数据的传输层,网络层,应用层中各字段做分析并与签名库存做比对,如果没有问题,才转发出去。这样会加大网络的延时。同时,这里NIP会是一个单点故障,为解决这问题一般会做双机。
IPS旁路部署:
通过交换机镜像引流。
NIP提供的固定接口对缺省工作在直路IPS模式,旁路部署时需要将接口对切换到IDS模式,使用接口对中的IDS接口进行旁路部署。
旁路部署主要用来记录各类攻击事件和网络应用流量情况,进而进行网络安全事件审计和用户行为分析。在这种部署方式下一般不进行防御响应,如果有特殊需要也可以配置进行响应。旁路部署方式NIP不参与流量转发,配置的安全策略用来指定对哪些威胁进行检测并记录。
NIP旁路部署的情况下,也具备一定的响应能力,也就是在发现威胁后,能够通过发送RST报文来 终止某个TCP流,减缓攻击的危害。
IPS旁路部署注意点:
- IDS设备和旁路部署的IPS设备,只检测攻击行为,不防御。
- IDS设备和旁路部署的IPS设备不提供反病毒功能。
- IDS设备和旁路部署的IPS设备只检测并记录攻击事件,不进行异常流量清洗。(应用层DDOS)
- IDS设备和旁路部署的IPS设备不提供应用流量控制功能,管理员可以通过分析和报表功能,查看 网络流量中的应用组成情况
- IDS设备、旁路部署的IPS设备以及单臂部署的IPS设备不提供网络级高可靠性。(双机热备和 Bypass卡)
直连支持双机热备,主备模式和负载分担。
旁路部署只支持主备模式。
IDS部署模式
IDS部署场景:
IDS产品采用的是旁路部署方式,一般直接通过交换机的监听口进行网络报文采样,或者在需要监听的网络线路上放置侦听设备(如分光器)。每台交换机上只能监听到和该交换机直连的主机间的流量和通过该交换机发往其他交换机的流量,部署在其他交换机下的主机间的流量无法被监听。由于企业内网可能层次化部署交换机,这种情况下,需要将所有需要监听的网段的交换机上的流量都通过监听端口连接到IDS设备上,然后对流量进行检测分析
总结:
- 直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
- 单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
- 旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
IPS设备和IDS设备的主要差异在于部署位置和作用不同。IPS设备的主要部署方式是直路接入原 有网络,阻断包含攻击的连接;而IDS设备的部署方式是旁路监听,主要用于分析流量、记录各类攻击事件作为后续评估网络状况和审计的依据。IPS设备也提供了与IDS设备一样的旁路部署方式,并且支持直路/旁路混合部署,使得一 台IPS设备可以同时提供IPS和IDS的能力。
IPS工作原理:
NIP工作原理:
- 进入流量防护和整形模块,按照配置的阈值清洗掉DoS/DDoS异常攻击流量。
- 进入应用识别和控制模块,基于业务感知技术识别出P2P、IM、游戏等网络应用协议,并根据配置的动作进行阻断、限流等响应措施
- 进入报文重组模块为威胁检测做准备。重组包括IP分片重组和TCP流重组,防止一些攻击使用分片和分段技巧来躲避检测。
- 进入威胁防护引擎,对各类网络攻击、漏洞利用等进行防护。
A.首先进入协议和应用识别模块,识别流量承载的协议。
B.进入解码和归一模块,还原协议原有内容,并进行协议规范性检查
C.进入签名检测模块,通过将报文内容和威胁防护签名进行模式匹配来检测和防范攻击。
NIP对签名的响应动作除告警、阻断外,还支持IP隔离、防火墙联动、攻击抓包等。 - 进入URL过滤规则匹配模块,根据配置的URL过滤规则匹配用户的URL访问请求,并作出相应的处理。
进入文件提取模块,根据协议分析的结果,提取出其中的文件数据,并组装成完整的文件,交给病毒扫描引擎进行处理。 - 进入病毒扫描引擎,对文件进行分析,识别出该文件真实的文件类型后进行病毒扫描,并根据配置的动作进行阻断、告警等响应措施,防范病毒威胁。
如果是压缩文件,则进行解压缩处理,并对解压缩出来的子文件进行分析并识别其真实的文件类型,再进行病毒扫描。
如果不是压缩文件,则结合其真实文件类型,进行病毒扫描。
NIP配置思路
- 配置管理IP
出厂时,管理接口的IP地址设置为192.168.0.1/24,首先根据实际网络的数据规划修改管理接口的IP地址、配置默认网关和DNS服务器,然后等NIP接入网络中,这样NIP就能访问互联网、接受来自控制台的访问等。 - 配置接口对
NIP出厂时a01-b01已固定成为IPS接口对 - 升级签名库和应用控制知识库
NIP加载签名库后才能进行威胁防护相关的配置,加载应用控制知识库后才能进行应用控制相关的配置;
NIP首次上电启动会自动加载出厂默认的签名库和应用控制知识库。虽然使用出厂默认的签名库和知识库也可以完成业务配置,但是建议在配置业务前先升级签名库和应用控制知识库来获取最新的防范能力。NIP进行运行维护阶段后,如无特殊情况,周期性升级签名库和应用控制知识库即可。
升级签名库和应用控制知识库需要激活license,每台NIP都对应唯一的license文件; - 配置应用安全(应用控制策略、威胁防护策略)
NIP已经为常用的应用场景定义了威胁防护策略模板,可以直接引用策略模板生成策略,当策略模板不能满足需求时,也可以自行配置威胁防护策略。 - 将应用控制策略和威胁防护策略应用到接口对
接口对是双向的,分别a01到b01和b01到a01。将威胁防护策略应用到接口对时,要将策略应用在发起访问的方向。 - 配置流量安全(可选)
- 配置带宽策略(可选)
- 查看日志和报表
NIP能够将日志存入缓冲区,并直接通过NIP自动的嵌入式web服务器查看。同时,还可以配置将日志发送到NIP manager,NIP manager会将日志汇总、分析并生成报表,方便管理员了解网络中流量的具体情况。
NIP知识点
签名是什么?NIP签名集包括哪些内容?
入侵防御签名用来描述网络中攻击行为的特征,NIP通过将数据流和入侵防御签名进行比较来检测和防范攻击。
预定义签名是入侵防御特征库中包含的签名。
预定义签名包含的内容:名称、方向、协议、严重性、描述、可信度、状态、类别、对策、参考信息、被攻击厂商列表
每个预定义签名都有缺省的动作:放行 告警 阻断
自定义签名是指管理员通过自定义规则创建的签名。
自定义签名包含的内容:ID、方向、协议、严重性、描述、名称、源目地址、源目端口,源目掩码、搜索长度、搜索偏移、关键字
每个预定义签名都有缺省的动作:阻断和告警 放行
签名集是满足指定过滤条件的预定义签名的集合(NTP 2000 5000)
签名集 内容包括:名称、方向、严重性、可信度、协议、类别、状态、动作。
防火墙叫签名过滤器.
签名过滤器:
签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括:签名的类别、对象、协议、严重性、操作系统等。
签名过滤器的动作分为阻断、告警和采用签名的缺省动作。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器的动作不采用签名缺省动作时,以签名过滤器设置的动作为准。
各签名过滤器之间存在优先关系(按照配置顺序,先配置的优先)。如果一个安全配置文件中的两个签名过滤器包含同一个签名,当报文命中此签名后,设备将根据优先级高的签名过滤器的动作对报文进行处理。
例外签名:
根据签名ID,例外签名的动作分为阻断、告警、放行和添加黑名单
例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。
注意:IPS部署方式,如果管理员允许病毒通过,采用例外签名!
签名、签名过滤器、例外签名优先级:
例外签名>签名过滤器>签名缺省
IDS是如何被动防御攻击的?
通过与防火墙联动来进行防御,最大支持3台。
NIP会以旁路的方式接入到网络上,经过防火墙的流量同时会镜像到NIP的业务口,由NIP检测和分析应用层的攻击、漏洞、病毒、异常流量等。然后NIP把需要被阻断的报文IP地址、阻断时间信息从管理接口发送给防火墙,由防火墙实施阻断操作。
IDS主动防御:NIP旁路部署的情况下,也具备一定的响应能力,也就是在发现威胁后,能够通过发送RST报文来 终止某个TCP流,减缓攻击的危害
如果出现IPS误报,最快的解决方案?
A. 做例外签名 ——- FW设备
B. 会话中取消UTM ———FW设备
防火墙如何匹配签名?
NGFW将解析后的报文特征与签名进行匹配,如果命中了签名,则进行响应处理。
IPS与AV特性对比:
- 相同点: 两者都是基于特征检测方式,检测效果依赖于特征库的更新。
- 不同点
- IPS特性关注所有协议,侧重于报文内容级别的检测;反病毒特性针对特定协议(FTP/HTTP/SMTP/POP3/IMAP/NFS/SMB),侧重文件级别的检测。
- 单就病毒检测这一块来说,两者功能有重叠,IPS特性中也包括病毒检测,但是检测力度和支持情况不如反病毒特性。IPS特性和反病毒特征是相互补充的关系,不存在取代关系
FW和NIP都支持反病毒,设备区别?
FW是基于策略调用的,NIP是全局调用的。
防火墙AV支持的协议类型更多,IPS(NIP 2000设备):FTP/HTTP/SMTP/POP3,而且IPS旁路部署不支持AV
- 防火墙AV支持和 IPS(NIP 6000设备):IMAP的动作不一样,而且IPS旁路部署不支持AV
防火墙的反病毒对IMAP支持上传和下载放行,动作为告警。
NIP排队IMAP支持上传和下载,动作为:告警、宣告、删除附件。默认告警。
Anti-DDoS和IPS的引流对比:
Anti-ddos 引流方式: 策略路由引流 BGP引流
Anti-ddos 回注方式: 二层回注、UNR路由回注、策略路由回注、GRE回注 MPLS VPN回注 MPLS LSP回注
IPS设备引流方式: VLAN TAG 镜像
FW IPS使用限制和注意事项:
- 入侵防御特征库的升级需要License支持。License过期后,用户只能使用设备已有的入侵防御功能,不能获取最新的入侵防御特征库。
- IPS特征库升级之后,如果之前配置的签名在特征库中已经不存在,则这条签名就会失效,该签名对应的所有配置信息也会随之失效。
- License加载完成后,还需要手动加载IPS特征库,这样才能正常使用入侵防御功能。
- 在报文来回路径不一致的组网环境中,可能无法有效检测到网络入侵。
- 在双机热备组网环境中,推荐在主备备份方式下开启入侵防御功能。在逐流负载分担组网环境下,支持入侵防御功能,但检测率会有所下降。
NIP的可靠性:
- Bypass
- 双机热备
NIP的部署处理过程时相比防火墙有什么特点?
- NIP是纯二层设备
- 正常从a01进从b01(一对对应接口对关系)出
IPS部署方式,如果管理员允许病毒通过,该采取什么样的措施?
写一条例外签名
签名中去往服务器端和去往客户端有什么区别
关注的方向不同
