2022年HC主动式入侵防御系统解决方案 .pdf
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《2022年HC主动式入侵防御系统解决方案 .pdf》由会员分享,可在线阅读,更多相关《2022年HC主动式入侵防御系统解决方案 .pdf(18页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、内容简述用途密级说明上次修改H3C IPS 入侵防御系统技术建议书模板用于撰写和H3C IPS 入侵防御系统相关的技术建议书内部公开,严禁外传2008-7-15 主动式入侵防御系统解决方案模版杭州华三通信技术有限公司安全产品行销部2008 年 07 月 15 日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 18 页 - - - - - - - - - 主动式入侵防御系统解决方案模版杭州华三通信技术有限公司http:/ 第 2 页目录一、客户 IT 应用现状 . 3二、I
2、T 部门面临的挑战 . 4三、主动式防御系统的发明及价值 . 11四、部署主动入侵防御系统的建议 . 15五、H3C IPS 的特点和优势 . 17名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 18 页 - - - - - - - - - 主动式入侵防御系统解决方案模版杭州华三通信技术有限公司http:/ 第 3 页一、 客户 IT 应用现状。网络规模:。网络上的应用:。未来发展规划:。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - -
3、 - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 18 页 - - - - - - - - - 主动式入侵防御系统解决方案模版杭州华三通信技术有限公司http:/ 第 4 页二、 IT 部门面临的挑战IT 部门对企业高效运营和快速发展的贡献毋庸置疑,种种益处自不必多言,但是如果网络崩溃、应用瘫痪,损失将令人痛心,甚至无法弥补,IT 部门也将承受极大的压力,所以保证网络和应用系统安全、 可靠和高效的运行成为IT 部门的关键任务。要实现上述目标,首先,让我们来对网络和系统运行面临的挑战做出详细的分析。系统漏洞:无可厚非,软件开发人员在开发一个系统的时候,将实现
4、相应的功能作为首要的任务,而且他们在编写和调试程序时通常仅考虑用户正常使用的情况,而对误用和恶意使用这些例外和异常情况处理考虑不周之处,也就形成了系统漏洞,或称系统的弱点。系统已不再是孤立的系统,而是通过网络互联的系统,即组成了计算机网络,计算机网络的使用者中有专业水平很高但思想并不纯洁的群体,他们利用这些漏洞对系统展开入侵和攻击,导致对网络和应用系统极大威胁,使网络和系统的使用和拥有者遭受严重的损失。自计算机紧急事件相应组(CERT)与 1995 年开始对系统漏洞进行跟踪以来,截止08 年 7 月份,已公开的漏洞累计达4 万多个,其中80可以被远程利用。下图是微软08 年 6 月份公开的部分
5、漏洞。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 18 页 - - - - - - - - - 主动式入侵防御系统解决方案模版杭州华三通信技术有限公司http:/ 第 5 页典型的漏洞例子如MS SQL 的缓冲区溢出漏洞,即03 年 1 月爆发的SQL Slammer 蠕虫攻击的对象, 该蠕虫在10 分钟内在整个互联网传播,击毁令人难以置信数量的服务器,更为严重的是影响了 13 个根 DNS 中的 5 个。另外一个不幸是MS RPC DCOM缓冲区溢出漏洞,也就是臭名
6、昭著的 Blaster 攻击的对象, 相信很多用户对此都有体会。其实漏洞不只MS Windows 有,路由器等网络设备的操作系统,如CISCO IOS ,以及网络安全设备,如Check Point FW1 也有。如此多的漏洞, 对 IT 部门意味着什么?安全小组必须采取行动获得补丁程序、测试、最后将其部署在服务器上,为什么不直接给服务器打补丁呢?因为不能保证补丁对应用系统没有影响,为了以防万一,必须对补丁程序进行测试和验证,然后才允许将其投入生产系统。从补丁程序获得、测试和验证,再到最终的部署,完成这一系列任务需要多长时间?答案是,可能需要几个小时到几天,而在此期间攻击可能已经发生,损失已无法
7、挽回。针对 Web 的攻击:攻击者除了利用操作系统、浏览器、数据库、Web 服务器、 ASP/PHP 等基础软件漏洞实现攻击外, 还经常利用Web 应用程序开发过程当中对网页输入缺乏有效检查的网页漏洞进行攻击,最常用的方式是SQL 注入攻击、跨站脚本攻击,经常造成网页挂马、网页篡改、帐号被盗、网络钓鱼等严重后果,给企业形象、企业财产都造成重大损失。下图是过去几年的中国大陆被篡改网页数量的统计图。拒绝服务攻击和分布式拒绝服务攻击:除了由于操作系统和网络协议存在漏洞和缺陷,而可能遭受攻击外,现在 IT 部门还会拒绝服务攻击( DoS)和分布式拒绝服务攻击(DDoS)的挑战。 DOS 和 DDOS
8、攻击可以被分为两类:一种是利用网络协议的固有缺陷或实现上的弱点来进行攻击,与漏洞攻击相似。这类攻击典型的例子如Teardrop、Land、KoD 和 Winnuke ;对第一种DOS 攻击可以通过打补丁的方法来防御,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 18 页 - - - - - - - - - 主动式入侵防御系统解决方案模版杭州华三通信技术有限公司http:/ 第 6 页但对付第二种攻击就没那么简单了,另一类DOS 和 DDOS 利用看似合理的海量服务请求来
9、耗尽网络和系统的资源,从而使合法用户无法得到服务的响应。早期的 DOS 攻击由单机发起,在攻击目标的 CPU 速度不高、内存有限、网络带宽有限的情况下效果是明显的。随着网络和系统性能的大幅提高,CPU 的主频已达数G,服务器的内存通常在2G 以上,此外网络的吞吐能力已达万兆,单机发起的DoS 攻击好比孤狼斗猛虎,没有什么威胁。狼的习性是群居,一只固然势单力薄,但如果群起而攻之,恐怕猛虎也难抵挡,这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话,攻击者使用10 台攻击机、 100 台呢共同发起攻击呢? DDoS 就是利用大量的傀儡机来发起攻击,积少成多超过网络和系统的能力的极限,
10、最终击溃高性能的网络和系统。常见的 DDOS 攻击方法有SYN Flood 、Established Connection Flood 和 Connection Per Second Flood。 已发现的DOS 攻击程序有ICMP Smurf 、 UDP 反弹,而典型的 DDOS 攻击程序有Zombie、TFN2K 、Trinoo 和 Stacheldraht。DOS 和 DDOS 攻击会耗尽用户宝贵的网络和系统资源,使依赖计算机网络的正常业务无法进行,严重损害企业的声誉并造成极大的经济损失,使IT 部门承受极大的压力。例如,2000 年 2月 7-9 日爆发的“数字珍珠港事件”,据2006
11、 美国 CSI/FBI 的计算机犯罪和安全调研分析,DOS和 DDOS 攻击已成为对企业损害最大的犯罪行为,超出其他各种犯罪类型两倍。零时差攻击:零时差攻击( Zero-day Attack )是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。显而易见,零时差攻击对应用系统和网络的威胁和损害令人恐怖,这相当于在用户没有任何防备的情况下,黑客发起了闪电战,可能在极短的时间内摧毁关键的应用系统及令网络瘫痪。回顾历史,可以发现从系统漏洞、协议弱点被发现到用户遭受攻击的时间正快速缩短,即零时差攻击的可能性越来越大,如下图所示:名师资料总结 - -
12、 -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 18 页 - - - - - - - - - 主动式入侵防御系统解决方案模版杭州华三通信技术有限公司http:/ 第 7 页从 2003 年 7 月 16 日微软公布RPC DCOM 缓冲区溢出安全漏洞(MS03-026 )到 8 月 11-13日 Blast 蠕虫摧毁大约140 万台主机的时间大约是1 个月( 26 天),而到Witty 蠕虫,时间缩短到 48 小时。再来看最近发生的事情,2005-8-5 日微软公布了6 个安全漏洞,其中三个
13、是严重漏洞,如下所示:(1) MS05-038 Cumulative Security Update for Internet Explorer (Rating: Critical) (2) MS05-039 Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (Rating: Critical) (3) MS05-040 Vulnerability in Windows Telephony Service Could Allow Remote Code Exec
14、ution (Rating: Important) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 18 页 - - - - - - - - - 主动式入侵防御系统解决方案模版杭州华三通信技术有限公司http:/ 第 8 页(4) MS05-041 Vulnerability in Remote Desktop Protocol Could Allow Denial of Service (Rating: Moderate) (5) MS05-042 Vulnerabil
15、ities in Kerberos Could Lead to Elevation of Privilege (Rating: Moderate) (6) MS05-043 Vulnerability in Print Spooler Service Could Allow Remote Code Execution (Rating: Critical) 不幸的是,在第二天,即24 小时内就出现了针对上面第二个漏洞的攻击。这对IT 部门确实构成了极大的压力,因为测试、评估及部署漏洞补丁需要数天时间,而此时攻击已出现并可能随时到来。间谍软件:间谍软件(英文名称为“spyware”)是一种来自互联
16、网的,能够在用户不知情的情况下偷偷进行非法安装(安装后很难找到其踪影),并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件在安装时什么都不显示,运行时用户也不知晓,删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动,并已经建立了一个进入个人电脑的通道,很容易对用户电脑做后续的攻击。间谍软件能够消耗计算能力,使计算机崩溃,并使用户被淹没在网络广告的汪洋大海中。它还能够窃取密码、信用卡号和其它机密数据。作为互联网用户,应该对此保持警惕了。最新统计显示,在过去的12 个月中,全球感染间谍软件的企业数量增长了近50%。在 100人以上的企业中,有17%的企业网络中藏有间谍软件,如键
17、盘跟踪程序等。间谍软件可分为两类,一类是“广告型间谍软件”。与其他软件一同安装,或通过ActiveX控件安装,用户并不知道它的存在。记录用户的姓名、性别、年龄、密码、域、电话号码、邮件地址、 VPN 、Web 浏览记录、网上购物活动、硬件或软件设置等信息。这类间谍软件还会改变目标系统的行为, 诸如霸占IE 首页与改变搜寻网页的设定,让系统联机到用户根本不会去的广告名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 18 页 - - - - - - - - - 主动式入侵防御系
18、统解决方案模版杭州华三通信技术有限公司http:/ 第 9 页网站,以致计算机屏幕不停弹跳出各式广告。而且软件设置简单,只要填写自己的邮件地址和设置一下运行即可。另一类被称为 “监视型间谍软件”,它具有记录键盘操作的键盘记录器功能和屏幕捕获功能,可以用来在后台记录下所有用户的系统活动,比如网站访问、程序运行、网络聊天记录、键盘输入包括用户名和密码、桌面截屏快照等。主要被企业、私人侦探、司法机构、间谍机构等使用。间谍软件的恶行不仅让机密信息曝光,对产能亦造成负面冲击,同时也拖累系统资源,诸如瓜分其它应用软件的频宽与内存,导致系统没来由减速。间谍软件在未来将会变得更具威胁性,不仅可以窃取口令、信用
19、卡号,而且还可以偷走各种类型的身份信息,用于一些更加险恶的目的,如捕捉和传送Word 和 Excel 文档,窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道,那么用户面临的危险将是不可想象的。协议异常和违规:在一切正常的情况下,两个系统间该如何进行某种数据交换,协议都对其进行了定义。由于某些服务器不能有效处理异常流量,许多攻击会通过违反应用层协议,使黑客得以进行拒绝服务(DoS)攻击,或者获得对服务器的根本访问权限。通过执行协议RFC 或标准,我们可以阻止这种攻击。除处理违反协议的情况外,这种机制还可截获命令中的非法参数,阻止许多缓冲溢出攻击的发生。 比如根据 RFC 2821,在一个正
20、常的SMTP 连接过程中, 只有在客户端至少发送过一个“ RCPT TO” 请求命令之后,客户端发送“ DATA ” 请求命令才是合法的。侦测和扫描:刺探是利用各种手段尝式取得目标系统的敏感信息的行为,这些敏感信息包括系统安全状况、系统状态、服务信息、数据资料等;采用工具对系统进行规模化、自动化的刺探工作称为扫描。其工具称为扫描器。扫描器最初是提供给管理员的一些极具威力的网络工具,利用它,网管员可以获得当前系统信息和安全状况。正是因为扫描器能有效的获取系统信息,因此也成为黑客最喜欢的工具。黑客利用扫描器的自动化和规模化的特性,只要简单的几步操作,即可搜集到目标信息。网络和滥用在较短的时间内,
21、互联网 “杀手级”应用已经从电子邮件、 网络浏览演变为点对点 (Peer-to-Peer,P2P)应用。在音乐和电影数字化技术不断成熟的条件下,用户可以从互联网上轻松并免费获得名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 18 页 - - - - - - - - - 主动式入侵防御系统解决方案模版杭州华三通信技术有限公司http:/ 第 10 页这些数据文件,这使得P2P 应用程序成为互联网上下载最多的软件之一。他们共享着成千上万Petabytes 的数据( 1Peta
22、Bytes=100 万 GB)。如此大量的数据传输,已足以使网络阻塞并耗尽所有的可用带宽。近来有研究表明,P2P 流量大约占用服务提供商多达60%的网络带宽。P2P 应用使得企业网络基础结构的流量负担沉重。这些应用消耗了大量的网络资源,同时妨碍关键业务的访问。另外,黑客会设法利用P2P应用漏洞来攻击巨大的P2P应用用户群,对系统及网络带来严重的安全隐患。同时,由于用户下载受版权保护的资源,P2P 应用也带来了严峻的法律问题,使接入业务提供商背上了沉重的法律包袱。因此,对高速网络的管理人员而言,这些应用不啻于为他们带来了传输、安全以及法律方面的噩梦。为避免网络带宽消耗过大及恶意攻击,可以采用入侵
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年HC主动式入侵防御系统解决方案 2022 HC 主动 入侵 防御 系统 解决方案
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内