基于策略的安全防御

隨著網絡攻擊技術的不斷提高和網絡安全漏洞的不斷發現，傳統防火墻技術加傳統IDS的技術，已經無法應對一些安全威脅。在這種情況下，IPS技術應運而生，IPS技術可以深度感知并檢測流經的數據流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網絡帶寬資源。

IPS如何實現深度檢測和入侵抵御

對于部署在數據轉發路徑上的IPS，可以根據預先設定的安全策略，對流經的每個報文進行深度檢測（協議分析跟蹤、特征匹配、流量統計分析、事件關聯分析等），如果一旦發現隱藏于其中網絡攻擊，可以根據該攻擊的威脅級別立即采取抵御措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報文；切斷此次應用會話；切斷此次TCP連接。

在哪里部署

進行了以上分析以后，我們可以得出結論，辦公網中，至少需要在以下區域部署IPS，即辦公網與外部網絡的連接部位（入口/出口）；重要服務器集群前端；辦公網內部接入層。至于其它區域，可以根據實際情況與重要程度，酌情部署。

如何部署

在以下案例中，我們可以看到以IPS為核心的多種網絡深度檢測/實時抵御的方案；不同的方案，在不同的應用場景當中，可以適當地擴充或簡化。

一、 基于策略的安全防御

1. 位于辦公網入口的IPS通過應用層協議分析跟蹤和特征匹配，發現目的地為業務服務器A的HTTP數據流中隱藏有針對Windows操作系統的DCOM漏洞的惡意利用；

2. IPS將此安全事件上報至管理中心；

3. 管理中心獲取服務器A的基本信息；

4. 管理中心根據獲取的A的信息，判斷該訪問是否會造成危害，如果A不運行Windows操作系統或者A確實運行Windows但是已經打了針對DCOM漏洞的補丁，則A是安全的；

5. 根據情況，管理中心向IPS下發制定的安全策略；

6. IPS執行安全策略，放行或者阻斷此次連接請求。

事實上，在這里我們描述的是需要管理中心介入的情況，在一些相對簡單的情況下，如果我們事先可以確認服務器集群所運行的操作系統（在90%的情況下這是可能的），那么抵御該網絡攻擊的規則可以直接施加在IPS上，不再需要與管理中心的交互，從而降低部署的復雜度、提高效率。

二、應用感知的智能防御

1. 辦公網用戶訪問Internet上的WWW服務器；

2. IPS檢測到該請求，判斷該請求符合事先設定的安全策略，放行；

3. 該用戶與外部服務器的連接建立；

4. 該用戶試圖通過已經建立的連接，利用二次代理，發起對某非法或不良網站的訪問請求；

5. 根據對應用層協議的深度分析和內容識別，IPS檢測到該企圖，阻斷該次HTTP連接；

6. 上報該安全事件到管理中心備查；

7. IPS可以根據管理中下發的策略，對該用戶進行一定時間的懲罰（拒絕該用戶后續的上網請求）。

三、行為分析的智能防御，阻止病毒、蠕蟲泛濫

1. 某辦公網用戶通過公共區域網絡訪問業務服務器集群；

2. 正常連接建立后，位于服務器集群前端的IPS檢測到來自該用戶的通信流量中隱藏有某種病毒的行為特征，立即阻斷該用戶的此次訪問，并且上報該安全事件給管理中心；

3. 管理中心分析該安全事件，根據報文信息定位到該用戶，并且制定新的安全策略；

4. 接入管理更改該用戶的安全等級，下發更新的安全策略給相關網絡設備；

5. 更新了安全策略的網絡設備將該用戶隔離至某特定區域，避免該病毒感染其他網絡用戶，并采取后續行動。

IPS深度檢測與入侵抵御的關鍵技術

高性能、高可靠性的硬件平臺

依賴于對網絡設備體系架構的深刻理解和強大的設計開發能力，華為3Com為IPS產品設計了專用的高性能硬件平臺。該平臺徹底拋棄了目前市面上常見的工控機架構。

協議分析與跟蹤技術

通過前面的分析，我們可以看到協議分析與跟蹤對IPS設備的重要性。與傳統防火墻不同的是，IPS不但要分析和跟蹤IP、ICMP、UDP、TCP這幾種網絡層、傳輸層的協議，而且，還要對HTTP、HTTPS、FTP、TFTP、SNMP、Telnet、SMTP、POP、DNS、RPC、LDAP、ICQ、MSN、Yahoo Messenger等眾多的應用層協議進行分析、跟蹤。沒有對網絡協議和操作系統的深刻理解，要完成這件工作是不可能的。華為3Com已經具備了在操作系統的內核級別對應用協議進行全面跟蹤、深度分析的實力；而且，在引入網絡處理器后，所有的邏輯檢測和協議分析、跟蹤都要下移到網絡處理器中，采用微碼實現，進一步提高系統性能。

特征匹配的性能

從海量的數據中去尋找一定的特征，在計算領域，這歷來是一個高計算量、高復雜度的問題；而IPS的報文內容識別，恰恰要基于此工作。那么，如何解決這個CPU殺手和提高設備性能之間的矛盾呢？

華為3Com采用專用的硬件加速卡來解決這個問題。基于專門的內容查找芯片設計的硬件加速卡在系統中與CPU、網絡處理器協同工作，在需要對報文進行內容搜索的情況下，為CPU和網絡處理器卸載負擔，使得CPU和網絡處理器可以專注于報文處理和邏輯檢測，從而將內容搜索對系統效率的影響降至最低。目前華為3Com設計的硬件加速卡，可以在千兆的環境下線速地處理流量。