華為3COM渠道HSE培訓(xùn)教材__深度安全抵御2

1、深度安全抵御目錄Table of Contents安全威脅發(fā)展趨勢安全威脅發(fā)展趨勢應(yīng)用層安全威脅分析應(yīng)用層安全威脅分析深度安全抵御深度安全抵御1999年以前的網(wǎng)絡(luò)安全模型 ExtranetExtranetPrivate WANPrivate WANInternetInternetUsersUsersAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 1GbpsAvg. BW = 1GbpsAvg. BW = 100MbpsAvg. BW = 100Mbps- - 有公共有公共DMZDMZ的具

2、安全廣播域的具安全廣播域 - - IDSIDS用于信息安全的辯析和審計用于信息安全的辯析和審計 DMZDMZWebWebFTPFTPSMTPSMTPDNSDNSL2 SwitchL2 SwitchL3 SwitchIDSALERT!ALERT!IDSALERT!ALERT!IDSALERT!ALERT!Avg. BW = Avg. BW = N x 1.54MbpsN x 1.54MbpsN x 45.3 MbpsN x 45.3 Mbps1,000s of Network Elements1,000s of Network Elements廣域網(wǎng)邊緣廣域網(wǎng)邊緣局域網(wǎng)邊緣局域網(wǎng)邊緣核心局域網(wǎng)核

3、心局域網(wǎng)局域網(wǎng)分發(fā)層局域網(wǎng)分發(fā)層 局域網(wǎng)接入局域網(wǎng)接入趨勢一：網(wǎng)絡(luò)邊界的消失移動辦公的普及90%以上的計算機會感染了間諜軟件、廣告軟件、木馬和病毒等惡意軟件后果：重要數(shù)據(jù)丟失，機器被遠程控制，病毒和蠕蟲在內(nèi)網(wǎng)恣意傳播漏洞數(shù)漏洞數(shù) x 系統(tǒng)數(shù)系統(tǒng)數(shù) = 不可完成的任務(wù)不可完成的任務(wù) 趨勢二：威脅和應(yīng)用息息相關(guān): :InternetInternal UsersPort 80Web servicesWeb enabled appsIM trafficRich mediaInternet access43%43%55%43%98%80 HTTP“75的成功針對WEB服務(wù)器的攻擊是通過應(yīng)用層完成的，而不

4、是網(wǎng)絡(luò)層來完成的。應(yīng)用層威脅可以穿透防火墻趨勢三：威脅涌現(xiàn)和傳播速度越來越快Zero Day Attack！趨勢三：威脅涌現(xiàn)和傳播速度越來越快CodeRed案例：SQL Slammer案例： 每8.5 秒感染范圍就擴展一倍在10分鐘內(nèi)感染了全球90有漏洞的機器趨勢三：威脅涌現(xiàn)和傳播速度越來越快趨勢四：越來越多的威脅變成利益驅(qū)動技術(shù)驅(qū)動isdomoney利益驅(qū)動某ICP受到DDoS攻擊威脅 2005年11月1日英國人Devid Levi因為“網(wǎng)絡(luò)釣魚”被判刑4年利用ebay騙取$355,000 間諜軟件/廣告軟件背后大量的利益空間趨勢五：攻擊變的越來越簡單目錄Table of Contents安

5、全威脅發(fā)展趨勢安全威脅發(fā)展趨勢應(yīng)用層安全威脅分析應(yīng)用層安全威脅分析深度安全抵御深度安全抵御應(yīng)用層威脅簡介TippingPoint綜合威脅抵御蠕蟲/病毒DoS/DDoS間諜軟件網(wǎng)絡(luò)釣魚帶寬濫用垃圾郵件蠕蟲蠕蠕 蟲蟲什么是計算機蠕蟲？定義：計算機蠕蟲是指通過計算機網(wǎng)絡(luò)傳播的病毒，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞甚至癱瘓。第一個Internet蠕蟲是出現(xiàn)于1988年的Morris病毒蠕蟲特點傳播快、傳播廣蠕蟲特點危害高網(wǎng)絡(luò)擁擠2004年初，I-Worm/Netsky、I-Worm/BBEagle、I-Worm/MyDoom三大蠕蟲病毒一齊爆發(fā)，蠶食25%網(wǎng)絡(luò)帶寬DoS（Denial of Service）攻擊

6、I-Worm/MyDoom.a蠕蟲定于爆發(fā)后1星期對發(fā)動DoS攻擊。sco網(wǎng)站雖積極備戰(zhàn)，但由于感染點過多，在遭受攻擊當天即陷入癱瘓經(jīng)濟損失巨大I-Worm/CodeRed: 20億美元 I-Worm/Sobig: 26億美元計算機蠕蟲的類型系統(tǒng)漏洞型群發(fā)郵件型共享型寄生型混合型系統(tǒng)漏洞型蠕蟲特點：利用系統(tǒng)設(shè)計漏洞主動感染傳播紅色代碼(CodeRed)：MS01-033，微軟索引服務(wù)器緩沖區(qū)溢出漏洞，TCP 80SQL SLAMMER：MS02-039，SQL服務(wù)器漏洞，UDP 1434沖擊波(Blaster)MS03-026，RPC DCOM服務(wù)漏洞，TCP 135 139等等震蕩波(Sas

7、ser)：MS04-011，LSASS本地安全認證子系統(tǒng)服務(wù)漏洞，TCP 445等ZotobMS05-39，windows PnP服務(wù)漏洞，TCP 445蠕蟲的組成彈頭傳播引擎目標選擇算法掃描引擎有效負荷彈頭緩沖區(qū)溢出、共享文件、電子郵件傳播引擎、HTTP目標選擇算法EMAIL地址、主機列表、DNS等等掃描引擎有效負荷后門、拒絕服務(wù)攻擊、其他操作蠕蟲的傳播和防御蠕蟲的傳播過程：探測探測滲透滲透扎根扎根傳播傳播破壞破壞隔離Text限制免疫治療防御蠕蟲過程為所有的系統(tǒng)及時打上漏洞補?。ㄖ行难a丁服務(wù)器)用IPS/IPS來檢查蠕蟲的活動用訪問控制來限制蠕蟲傳播用PVLAN來保護關(guān)鍵服務(wù)器用網(wǎng)管工具來追

8、蹤被感染的主機通過CAR來限制蠕蟲流量全網(wǎng)部署病毒掃描措施間諜軟件間諜軟件間諜軟件什么是間諜軟件？定義：間諜軟件駐留在計算機的系統(tǒng)中，收集有關(guān)用戶操作習慣的信息，并將這些信息通過互聯(lián)網(wǎng)悄無聲息地發(fā)送給軟件的發(fā)布者，由于這一過程是在用戶不知情的情況下進行，因此具有此類雙重功能的軟件通常被稱作SpyWare（間諜軟件）。 間諜軟件有什么危害？不斷向外連接和彈出廣告窗口，耗費了大量的網(wǎng)絡(luò)帶寬占用大量硬盤和CPU資源造成計算機計算緩慢、死機修改IE設(shè)置、安裝工具條，很難修改回去安裝后門、病毒和向外泄漏信息個人信息和密碼、上網(wǎng)習慣、EMAIL聯(lián)系人地址等等間諜軟件有哪些類型？瀏覽器劫持：例如，CoolW

9、ebSearchIE工具條和彈出窗口：例如，某些網(wǎng)絡(luò)廣告Winsock劫持中間人代理：MarketScore間諜軟件怎么傳播的？某些免費軟件帶有間諜軟件：如Kazaa、iMesh、eMule、WeatherBug等等下面的 EULA（最終用戶授權(quán)協(xié)議來自一個著名的間諜軟件：間諜軟件怎么傳播的？通過瀏覽器安裝間諜軟件濫用控件：如ActiveX利用瀏覽器程序漏洞：IE CHM文件處理漏洞下面一個網(wǎng)站試圖在您的計算機上安裝惡意軟件怎么防止間諜軟件？保持安全意識，對可能出現(xiàn)的安全威脅保持警惕如不隨便安裝下載的免費軟件正確設(shè)置IE安全域保持操作系統(tǒng)的升級打補丁安裝防間諜軟件：Anti-Spyware、基

10、于網(wǎng)絡(luò)的防御方式帶寬濫用帶寬濫用帶寬濫用什么是帶寬濫用？“帶寬濫用”是指對于企業(yè)網(wǎng)絡(luò)來說，非業(yè)務(wù)數(shù)據(jù)流（如P2P文件傳輸與即時通訊、垃圾郵件、病毒和網(wǎng)絡(luò)攻擊 ）消耗了大量帶寬，輕則影響企業(yè)業(yè)務(wù)無法正常運作，重則致使企業(yè)IT系統(tǒng)癱瘓。據(jù)研究機構(gòu)Cachelogic調(diào)查，如今P2P占了全球網(wǎng)絡(luò)流量的一半以上P2P濫用的危害影響、癱瘓企業(yè)系統(tǒng)的正常運作網(wǎng)絡(luò)不斷擴容，總還不夠用ISP最頭疼的問題版權(quán)糾紛美國電影協(xié)會起訴BT網(wǎng)站帶寬殺手-P2P什么是P2P？ P2P，全稱叫做Peer-to-Peer，即對等互聯(lián)網(wǎng)絡(luò)技術(shù)（點對點網(wǎng)絡(luò)技術(shù)），它讓用戶可以直接連接到其它用戶的計算機，進行文件共享與交換。P2P

11、的典型應(yīng)用BT、eMule、eDonkey、PoP文件共享傳輸IM即使通訊軟件 殺手中的頂尖高手-BTBT全稱：BitTorrent當前中國的P2P流量中BT占了60%英國網(wǎng)絡(luò)流量統(tǒng)計公司CacheLogic表示,去年全球有超過一半的文件交換是通過BT進行的 BT占了互聯(lián)網(wǎng)總流量的35這比所有點對點程序加起來還要多使得瀏覽網(wǎng)頁這些主流應(yīng)用所占的流量相形見絀 BitTorrent創(chuàng)始人Bram Cohen Peer listpc1 202.45.3.pc2 65.80.21.pc3 145.10.9.pc4 202.78.1.pc5 65.31.13.BT原理通過通過HTTP訪問服務(wù)器，索要訪問

12、服務(wù)器，索要Peer列表列表pc1pc2pc3pc4pc5pc6通過通過bt客戶端指定端口，客戶端指定端口，與種子建立連接與種子建立連接pc0 如何防止帶寬濫用、限流BT封堵端口適用官方BT支持BT軟件層出不窮端口可以任意改變封堵BT服務(wù)器IPBT服務(wù)器多不勝數(shù)架設(shè)簡單，每天不斷增加BT客戶端端口范圍貪婪貪婪ABC可以手工設(shè)置BitComet沒有公開BitTorrent Plus可以手工設(shè)置BitTorrent68816889比特精靈比特精靈Bit Spirit16881DUDU加速下載加速下載沒有公開沒有公開如何防止帶寬濫用、限流BTBT建立連接過程IPS深度檢測，截斷/限

13、流BT協(xié)議報文、TCP三次握手、BT對等協(xié)議二次握手、握手成功，傳輸數(shù)據(jù)二次握手報文頭二次握手報文頭DoS/DDoSDoS/DDoS什么是DoS/DDoS攻擊？定義：DoS(Denial of Service，拒絕服務(wù))，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。DDoS (Distributed Denial of Service，分布式拒絕服務(wù))攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或者多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。DoS/DDoS的危害服務(wù)器宕機，業(yè)務(wù)中斷大面積斷網(wǎng)，網(wǎng)絡(luò)癱瘓DoS 攻擊是導(dǎo)

14、致去年損失最為慘重的計算機犯罪事件，其帶攻擊是導(dǎo)致去年損失最為慘重的計算機犯罪事件，其帶來的損失是其它各類攻擊造成損失總和的兩倍有余。來的損失是其它各類攻擊造成損失總和的兩倍有余。” 2004 年年CSI/FBI 計算機犯罪及安全調(diào)查。計算機犯罪及安全調(diào)查。 網(wǎng)上黑客每周發(fā)起的網(wǎng)上黑客每周發(fā)起的DoS攻擊超過了攻擊超過了4000次次DoS/DDoS危害的特點黑客幕后操控，計劃性，針對性eBay等網(wǎng)上購物網(wǎng)站經(jīng)常遭到DoS攻擊，導(dǎo)致惡意競拍,引起拍賣者不滿。日本政府網(wǎng)站在去年和今年先后三次造黑客DoS攻擊，導(dǎo)致網(wǎng)站無法正常開放。通過蠕蟲傳播，范圍性，破壞性2003年大名鼎鼎的Blaster不僅導(dǎo)

15、致計算機重啟，幕后操縱者還通過后門對微軟的安全補丁大本營網(wǎng)站的80端口發(fā)起了一場SYN flood攻擊。迫使微軟下決心每月發(fā)布漏洞補丁。2004年MyDoom蠕蟲成為有史以來傳播最快的郵件病毒，在一周之內(nèi)感染十萬臺計算機，并控制被感染計算機向微軟網(wǎng)站發(fā)動DoS攻擊。微軟懸賞25萬美元，捉拿MyDoom的作者。DoS攻擊的分類資源占領(lǐng)型一對一進行攻擊 如：SYN Flood with IP Spoofing多對一進行攻擊 如：TFN系統(tǒng)漏洞型網(wǎng)絡(luò)層 如： Ping of Death應(yīng)用層 如： Windows漏洞資源占用型一對一攻擊一對一半連接攻擊典型案例：SYN Flood with IP S

16、poofing發(fā)送帶有偽造源IP地址的SYN包，造成大量半連接耗盡服務(wù)器資源。特點：生命周期長，無法通過下載補丁，升級軟件等方式解決防范：通過TCP Proxy、TCP Cookie Hello?Where are you?I am here.正常TCP三次握手完成連接通過半連接耗盡正常服務(wù)資源Hello?Hello?Hello?Where are you?Where are you?Where are you?資源占用型多對一攻擊多對一資源比拼典型案例：DDoS攻擊（典型工具：TFN）通過發(fā)送大量的正常連接，侵占服務(wù)器帶寬資源。近乎于無賴式的攻擊。特點：危害大，完成三次握手難以防御，補丁、傳

17、統(tǒng)防火墻和服務(wù)器幾乎無法應(yīng)對。防范: CPS(Connection Per Second)、限制固定IP最大連接數(shù)著名的DDoS攻擊工具TFNTFN(Tribe Flood Network)德國著名黑客Mixter編寫的分布式拒絕服務(wù)攻擊工具TFN由主控端程序和代理端組成攻擊者到主控端TCP綁定主控端到代理端ICMP_ECHOREPLY代理端對目標機SYN Flood、ICMP Flood、UDP Flood、Smurf 攻擊免費的DDoS攻擊工具，還包括Trinoo、TFN2k、Stacheldraht等，使得DDoS攻擊技術(shù)門檻降低更加普及，對網(wǎng)絡(luò)造成嚴重威脅MixterIDID字段包含命

18、令字段包含命令DDoS攻擊模型受害者攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸軍團系統(tǒng)漏洞型網(wǎng)絡(luò)層網(wǎng)絡(luò)層軟件漏洞導(dǎo)致典型：Ping of Death根據(jù)TCP/IP的規(guī)范，一個包的長度最大為65536字節(jié)。盡管一個包的長度不能超過65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于65536字節(jié)的包時，就是受到了Ping of Death攻擊，該攻擊會造成主機的宕機。 特點：種類繁多，一擊致命，攻擊方式生命周期短防范：防火墻匹配攻擊特征，升級系統(tǒng)。系統(tǒng)漏洞型應(yīng)用層應(yīng)用層的漏洞也會導(dǎo)致DoS攻擊MS04-29：當 RPC 運行時庫處理特制的消息時

19、，存在一個信息泄露和拒絕漏洞MS05-45：網(wǎng)絡(luò)連接管理器中的漏洞可能允許拒絕服務(wù)特點：層出不窮 一擊致命，防火墻無法防御。防范：及時打補丁利用數(shù)字疫苗技術(shù)IPS進行精確阻斷。網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚什么是網(wǎng)絡(luò)釣魚（Phishing）？“網(wǎng)絡(luò)釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務(wù)數(shù)據(jù)，如信用卡號、賬戶用戶名、口令和社保編號等內(nèi)容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用戶中，有高達5%的人都會對這些騙局做出響應(yīng)。在美國和英國已經(jīng)開始出現(xiàn)專門反網(wǎng)絡(luò)釣魚的組織，越來越多在線企業(yè)、技術(shù)公司、安全機

20、構(gòu)加入到反“網(wǎng)絡(luò)釣魚”組織的行列，比如微軟、戴爾都宣布設(shè)立專案分析師或推出用戶教育計劃，微軟還捐出4.6萬美元的軟件，協(xié)助防治“網(wǎng)絡(luò)釣魚”。網(wǎng)絡(luò)釣魚示例典型的釣魚過程釣魚者釣魚者Victim Web Server受害用戶受害用戶發(fā)送釣魚郵件發(fā)送釣魚郵件受害者點擊釣魚受害者點擊釣魚URL釣魚網(wǎng)站被瀏覽釣魚網(wǎng)站被瀏覽受害者發(fā)送機密信息受害者發(fā)送機密信息入侵主機，入侵主機，安裝釣魚網(wǎng)安裝釣魚網(wǎng)站和站和垃圾郵件箱垃圾郵件箱Mail Drop Service信息被發(fā)送到另外一個郵箱信息被發(fā)送到另外一個郵箱釣魚者索取信息釣魚者索取信息網(wǎng)絡(luò)釣魚成功的關(guān)鍵要素被釣魚的人必須是某個品牌的客戶（如PayPal、C

21、itibank、中國工商銀行等等）被釣魚的人必須對釣魚者發(fā)來的信息非常信任，認為它和該網(wǎng)站的交流是正確有效有保護的被釣魚的人必須馬上采取措施以避免某種損失或災(zāi)害網(wǎng)絡(luò)釣魚進行進行欺騙的技術(shù)手段偽造發(fā)件人地址 ：發(fā)件人可以是 可以是 ，但是實際上不是偽造虛假連接：圖像連接其他欺騙技術(shù)其他欺騙技術(shù)高級釣魚話題利用XSS漏洞跨站腳本漏洞（Cross Site Script）允許在一個合法的站點上插入非法的腳本惡意的腳本在客戶機上被執(zhí)行，而這個客戶機信任該站點客戶機上的信息被惡意腳本獲得，包括用戶login的名字，cookie等等特別具有欺騙性，用戶看到的界面是“合法的站點”，包括URL、數(shù)字證書等等，

22、但是由于服務(wù)器的漏洞，導(dǎo)致客戶機上機密信息被盜取如何防釣魚？客戶機：不要隨便點擊EMAIL、ICQ和聊天室里的鏈接不要連接到不信任的網(wǎng)絡(luò)和使用不信任的計算機啟用個人防火墻不斷的更新客戶機軟件（防病毒、WEB瀏覽器、EMAIL客戶端）用數(shù)字證書企業(yè)：使用IPS教育用戶，并讓他們的軟件保持更新部署防垃圾郵件和防病毒措施目錄Table of Contents安全威脅發(fā)展趨勢安全威脅發(fā)展趨勢應(yīng)用層安全威脅分析應(yīng)用層安全威脅分析深度安全抵御深度安全抵御網(wǎng)絡(luò)層次越高資產(chǎn)價值越大L5-L7: Application LayerL4: Transport LayerL3: Network LayerL2: L

23、nk LayerL1: Phy. LayerRouterTraditionalFirewallTCP/IP StackNICOSesWeb ServersWeb ApplicationFrameworksApplications風險越高越迫切需要被保護Application DataSession IDHTTP Request/RespondTCP ConnectionIP PacketEthernet PacketBit on Wire深度安全抵御的必要條件: 深度業(yè)務(wù)感知 深度安全抵御的必要條件: 線內(nèi)操作方式 只有在線內(nèi)對流量進行處理，才能真正阻擋出現(xiàn)在網(wǎng)絡(luò)上出現(xiàn)的攻擊服務(wù)器服務(wù)器防火墻

24、防火墻IDS報警報警 !發(fā)送TCPRST指令，終止TCP連接 to 重新配置防火墻，使其能阻擋來自攻擊地址的流量TCP resets 和 重新Firewall 不能真正工作 整個操作要花100毫秒的時間 ，這對現(xiàn)代的網(wǎng)絡(luò)來說是一個巨大的時間窗口 不能阻擋類似于Slammer(單個UDP數(shù)據(jù)報)的攻擊 IPS能在一個攻擊發(fā)生危害之前，對其實施阻擋 它根據(jù)每個數(shù)據(jù)包，作出允許還是拒絕的決定 服務(wù)器防火墻IDS線內(nèi)操作，并且以網(wǎng)速運行，只要檢測到攻擊，就進行阻擋深度安全抵御的其他必要條件對威脅的動態(tài)自適應(yīng)抵御能力蠕蟲、帶寬濫用、間諜軟件、網(wǎng)絡(luò)釣魚、DDoS、垃圾郵件高性能延遲吞吐量高可靠易部署和管理

25、華為3Com TippingPoint 核心屬性屬性Value為IPS特性特定定制ASIC硬件平臺為實現(xiàn)高安全性和網(wǎng)絡(luò)提供可擴展硬件平臺 50Mb 5Gb 性能為網(wǎng)絡(luò)周邊和內(nèi)部網(wǎng)絡(luò)提供可升級的解決方案 交換機似的延時要實現(xiàn)網(wǎng)絡(luò)線內(nèi)部署時，絲毫不影響網(wǎng)絡(luò)性能線內(nèi)攻擊阻擋有效地、前瞻性終止攻擊速率整形實現(xiàn)帶寬管理和網(wǎng)絡(luò)性能保護 完善的過濾器方方法精確并且全面的攻擊過濾器now with SYN 代理機制和連接速率限制 為各類進化的DDOS攻擊，提供最先進的保護TippingPoint威脅防御引擎（TSE） 基于特定NP+ASIC+FPGA的硬件解決方案 支持10,000條平行過濾器 微秒級的延時（

26、150微秒）10 專利流流狀態(tài)狀態(tài)表表Multi-flow Analysis 基線基線 異常流量檢測異常流量檢測IP 碎片重組碎片重組TCP流重組流重組 第七層的數(shù)據(jù)包第七層的數(shù)據(jù)包流進行檢查流進行檢查 并行處理并行處理 正則表達式匹配正則表達式匹配 協(xié)議解碼協(xié)議解碼流量整形流量整形數(shù)據(jù)流數(shù)據(jù)流分類和標識分類和標識數(shù)據(jù)包數(shù)據(jù)包丟棄和重定向丟棄和重定向報警和通知報警和通知標準化標準化n可編程過濾器可編程過濾器1 2 3TippingPoint對新威協(xié)的自適應(yīng)性專門設(shè)計硬件引摯，支持多達1萬條的過濾器基于軟件解決方案擴展性差在過濾器設(shè)計深度和廣度尋求平衡點TippingPoint 今天已超過160

27、0 個過濾器每周都在增長數(shù)字疫苗服務(wù)緊緊跟進Sans報告的危急漏洞 TippingPoint 控測引摯支持:基于簽名的過濾器基于協(xié)議異常過濾器基于流量異常過濾器基于漏洞的過濾器大量協(xié)議解碼器TippingPoint 過濾器的方法用法用法: 固定模式 正則表達式檢測和防止檢測和防止 : 病毒 特洛伊木馬 已知攻擊 P2P應(yīng)用 未經(jīng)授權(quán)的即時通訊 用法用法: 遵守RFC 協(xié)議解碼器 SYN 代理服務(wù)器 標準化檢測和防止檢測和防止 : 規(guī)避 未知的攻擊 流量異常 未經(jīng)授權(quán)的訪問 SYN Floods用法用法: 協(xié)議解碼器 正則表達式 應(yīng)用消息分析 檢測和防止檢測和防止 : 未知攻擊 蠕蟲/Walk-

28、in 蠕蟲 未經(jīng)授權(quán)的訪問用法用法: 流量閾值 連接限制 連接速率限制檢測和防止檢測和防止: DDoS 攻擊 未知的攻擊 流量異常高可用性和基于狀態(tài)網(wǎng)絡(luò)冗余 熱插撥，雙電源支持 內(nèi)置監(jiān)控 Watchdog 計時器安全和管理引擎 自動或手動切換到L2 交換機方式99.999% 網(wǎng)絡(luò)可靠性網(wǎng)絡(luò)狀態(tài)冗余Active-ActiveActive-Passive沒有 IP 地址或 MAC 地址對路由協(xié)議透明 HSRP, VRRP, OSPF基于狀態(tài)網(wǎng)絡(luò)冗余基于狀態(tài)網(wǎng)絡(luò)冗余內(nèi)置的高可用性內(nèi)置的高可用性TippingPoint 提供更多的入侵防御保護 超高的性能定制的硬件 5 Gbps 呑吐量t 交換機似的延

29、時 2百萬個會話數(shù) 每秒鐘建立25萬個會話 整個數(shù)據(jù)流的全面檢查 64k速率整形隊列 1萬個并行過濾器 基礎(chǔ)設(shè)施保護 應(yīng)用保護性能保護當今的業(yè)務(wù)需求 性能、可靠性、保護相互間不能影響應(yīng)用保護 用戶和服務(wù)器提供防護 對第二層到第七層實行全部的檢查 對存在的漏洞提供保護 對網(wǎng)絡(luò)邊界和內(nèi)部網(wǎng)絡(luò)提供保護 實現(xiàn)零時差攻擊保護 不必緊急實施為危險漏洞打補丁 防止應(yīng)用程序和操作系統(tǒng)損壞或宕機 保護: Microsoft 應(yīng)用軟件 & 操作系統(tǒng) Oracle應(yīng)用 Linux O/S VoIP來自: 蠕蟲/Walk-in 蠕蟲 病毒 特洛伊木馬 DDoS 攻擊 內(nèi)部攻擊 未經(jīng)授權(quán)的訪問 基礎(chǔ)設(shè)施保護應(yīng)用保護性能

30、保護基礎(chǔ)設(shè)施保護 為網(wǎng)絡(luò)設(shè)備提供防護 對網(wǎng)絡(luò)設(shè)備的漏洞提供保護 對出現(xiàn)的反常流量進行防范 自動測量流量基線 速率限制, 阻擋, 或?qū)Τ^閥值的流量報警 支持用戶定義的 IP filters, ACLs保護: 路由器 交換機 防火墻 VoIP來自: 蠕蟲/Walk-in 蠕蟲 病毒 特洛伊木馬 DDoS 攻擊 SYN Floods攻擊 異常流量基礎(chǔ)設(shè)施保護應(yīng)用保護性能保護自動對異常流量進行控制 對指定的流量類型設(shè)置主要和次要閥值 對路由器和交換機提供保護 對未知攻擊進行的零時差攻擊進行防御 采取措施采取措施: 速率整形到速率整形到 2 Mbps主要閾主要閾2 Mbpstime指定流量的帶寬指定流

31、量的帶寬2 Mbps(e.g., ICMP traffic)采取措施采取措施: 發(fā)出預(yù)警郵件發(fā)出預(yù)警郵件次要閾次要閾4 Mbps7 Mbps基礎(chǔ)設(shè)施保護 為網(wǎng)絡(luò)設(shè)備提供防護 保護: 帶寬 服務(wù)器 關(guān)健的應(yīng)用和流量 來自: P2P應(yīng)用 未經(jīng)授權(quán)的即時通信 未經(jīng)授權(quán)的應(yīng)用 DDoS 攻擊性能保護 對網(wǎng)絡(luò)性能提供防護 即使在沒有受到攻擊的情況下，提高網(wǎng)絡(luò)的性能 對非關(guān)健應(yīng)用進行速率限制 消除對帶寬的占用 控制一些不講道德應(yīng)用 消除對網(wǎng)絡(luò)誤用和濫用 控制P2P的流量 基礎(chǔ)設(shè)施保護應(yīng)用保護性能保護性能保護TippingPoint 覆蓋P2P的應(yīng)用 TippingPoint 能對98%的P2P的進行限速和

32、阻擋 Kazaa (48%)Morpheus (22%)Imesh (10%)AudioGalaxy (6%)BearShare (4%)LimeWire (3%)Grokster (2%)WinMX (1%)Blubster (1%)eDonkey (1%)Other (2%)Top 10 P2P ApplicationsSource: AssetMetrix Research Labs性能保護帶寬管理對流量的影響 為關(guān)健應(yīng)用提帶寬保保護 對誤用和濫用網(wǎng)絡(luò)進行控制 02040608010012014016018020013:0019:001:007:0013:0019:001:007:001

33、3:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00Mbps (Average per Hour)OracleE-mailHTTPP2P Rate LimitKazaaeDonkeyWinMX數(shù)字疫苗在線更新機制 SANSCERTVendor AdvisoriesBugtraqVulnWatchPacketStormSecuriteam漏洞分析系統(tǒng)智能化原始數(shù)據(jù)采集疫苗生成大規(guī)模的分發(fā)系統(tǒng)通過AkamaiCND在56個國家的 9,700 服務(wù)器進行分

34、發(fā) RISKWeekly Report過濾器類型簽名（Signature） 漏洞（Vulnerability） 異常流量和（或）異常流量統(tǒng)計保護的時間過程時間間隙：“安全窗口”時間從以前的幾個月到現(xiàn)在的幾天一旦蠕蟲出現(xiàn)，有漏洞危險的主機受到保護 蠕蟲在幾分鐘內(nèi)會全球擴散 Slammer蠕蟲在10分鐘內(nèi)攻擊了90%有漏洞的機器 攻擊者在準備攻擊，危險即將來臨. 沖擊波蠕蟲（Blaster）是在攻擊碼 出現(xiàn)二天后開始的攻擊漏洞公布漏洞公布攻擊碼攻擊碼出現(xiàn)出現(xiàn)蠕蟲蠕蟲出現(xiàn)出現(xiàn)所有所有有漏洞的主機有漏洞的主機受到威協(xié)受到威協(xié)TippingPoint數(shù)字疫苗數(shù)字疫苗在幾小時或幾天內(nèi)在幾小時或幾天內(nèi)分發(fā)到

35、客戶分發(fā)到客戶Huawei-3Com 為客戶提供保護數(shù)字疫苗覆蓋范圍和發(fā)展為應(yīng)對各種動態(tài)攻擊和滿足用戶需求，Huawei-3Com不斷開發(fā)針對不同領(lǐng)域的數(shù)字疫苗：Feb 2002TippingPoint Launches first IPS漏洞防護漏洞防護Jan, 2004Mydoom.A Explodes病毒防護病毒防護VoIP基于應(yīng)用流量整形基于應(yīng)用流量整形 (P2P , IM, etc.)高級高級 DDOSJune, 2004New VoIP Digital Vaccine capabilities announcedAugust, 2004Advanced DDOS capabilit

36、ies announcedNovember, 2004First IPS to provide Spyware Coverage 間諜軟件間諜軟件虛擬軟件補丁技術(shù)一個漏洞（弱點）就是軟件程序中存有的一個安全缺陷一個攻擊就是能充分一個存在的安全缺陷，從而實現(xiàn)不需任何授權(quán)就能對易受攻擊（有漏洞）的系統(tǒng)進行訪問的程序簡單攻擊過濾器只是僅僅針對一個特定的攻擊編寫的過濾器由于受到處理器引擎性能限制，過濾器開發(fā)人員只能采用這種最基本的過濾器結(jié)果：漏報、誤報、繼續(xù)受到攻擊IPS的弱點過濾器實際應(yīng)是一個虛擬軟件補丁，它能覆蓋整個漏洞漏洞“特征碼”攻擊 A “特征碼”攻擊 B“特征碼”(由攻擊A的粗糙的簽名造成

37、遺漏的攻擊）誤報(粗糙的簽名）簡單的攻擊A的過濾器虛擬軟件補丁TippingPoint 安全管理系統(tǒng)（SMS）SMS是一個硬件產(chǎn)器，軟件在出廠時已預(yù)安裝安裝簡單擴展性強企業(yè)級安全策略管理基于端口策略管理基于設(shè)備的策略管理TippingPoint抵御蠕蟲紅色代碼(CodeRed)：MS01-033，微軟索引服務(wù)器緩沖區(qū)溢出漏洞，通過TCP 80傳播Filter Name: 0260: HTTP: Code Red WormSQL SLAMMER：MS02-039，SQL服務(wù)器漏洞，通過UDP 1434進行傳播Filter Name: 1456: MS-SQL: Slammer-Sapphire

38、Worm 沖擊波(Blaster)：MS03-026，RPC DCOM服務(wù)漏洞，利用TCP 135 139等傳播Filter Name: 2289: MS-RPC: DCOM ISystemActivator Overflow 震蕩波(Sasser)：MS04-011，LSASS本地安全認證子系統(tǒng)服務(wù)漏洞，利用TCP 139 445端口傳播Filter Name: 2754: MS-RPC: LSASS Active Directory Interface Overflow zotob：MS05-39，windows PnP服務(wù)漏洞，利用TCP 445端口進行傳播Filter Name: 36

39、77: MS-RPC: Windows PlugnPlay Request Anomaly TippingPoint抵御間諜軟件1Kazaa自帶間諜軟件：免費版本夾帶了Cydoor、Gator(GAIN)、MyWaySearch Toolbar和Altnet P2P網(wǎng)絡(luò)組件與Kazaa綁定TippingPoint解決方案：TippingPoint透過防止間諜軟件的滲透來提升網(wǎng)絡(luò)使用網(wǎng)絡(luò)管理者可以設(shè)定IPS偵測并阻擋基于用戶瀏覽習慣的目標廣告要求，防止出現(xiàn)有害廣告阻擋所有數(shù)據(jù)傳輸或登入Altnet PeerPoints Manager TippingPoint抵御間諜軟件2問題描述：越來越多間諜

40、軟件透過Internet Explorer的安全漏洞來完成安裝漏洞舉例：MHTML通訊協(xié)議處理程序的跨網(wǎng)域漏洞。TippingPoint解決方案：Filter 2736：IE CHM Vulnerability（IE CHM文件處理漏洞）保護網(wǎng)頁瀏覽器中的安全漏洞，其提供的過濾器它專門阻擋對Internet Explorer漏洞的利用它可以防止該漏洞導(dǎo)致的進一步間諜軟件下載TippingPoint抵御帶寬濫用以BT為例Filter Name: 2265: BitTorrent: .torrent Category: Performance Protection - Misuse & Abuse

41、 這個filter可以阻止下載機器通過HTTP協(xié)議發(fā)送下載種子文件的請求Filter Name: 2268: BitTorrent: .torrent Category: Performance Protection - Misuse & Abuse這個filter可以阻止通過HTTP協(xié)議的種子文件下載Filter Name: 2269: BitTorrent: Tracker Contact Category: Performance Protection - Misuse & Abuse 這個filter可以阻止下載機器和Tracker的連接 Filter Name: 2270: BitT

42、orrent: Peer-to-Peer Communications Category: Performance Protection - Misuse & Abuse 這個filter可以阻止或者限流BT對端之間的下載和上傳流量TippingPoint抵御DDoSSYN Proxy技術(shù)防Syn Flood 攻擊流量異常檢測流量模型學(xué)習和基線閾值設(shè)置連接限制（Established Connection Flood）連接速率限制（Connection Per Second Flood）TippingPoint抵御網(wǎng)絡(luò)釣魚釣魚者釣魚者Victim Web Server受害用戶受害用戶發(fā)送釣魚郵

43、件發(fā)送釣魚郵件受害者點擊釣魚受害者點擊釣魚URL釣魚網(wǎng)站被瀏覽釣魚網(wǎng)站被瀏覽受害者發(fā)送機密信息受害者發(fā)送機密信息入侵主機，入侵主機，安裝釣魚網(wǎng)安裝釣魚網(wǎng)站和站和垃圾郵件箱垃圾郵件箱Mail Drop Service信息被發(fā)送到另外一個郵箱信息被發(fā)送到另外一個郵箱釣魚者索取信息釣魚者索取信息123TippingPoint抵御釣魚1. 1. 發(fā)送釣魚郵件發(fā)送釣魚郵件TippingPoint TippingPoint 通過基于行為的過濾器、結(jié)合內(nèi)容檢測等技術(shù)阻止釣魚郵件通過基于行為的過濾器、結(jié)合內(nèi)容檢測等技術(shù)阻止釣魚郵件 2. 2. 釣魚網(wǎng)站被瀏覽釣魚網(wǎng)站被瀏覽 WebWeb站點的顯示內(nèi)容被站點的顯

44、示內(nèi)容被IPSIPS評估是否利用了系統(tǒng)漏洞來進行欺騙評估是否利用了系統(tǒng)漏洞來進行欺騙 3. 3. 受害者提交敏感形象受害者提交敏感形象IPSIPS可以阻止敏感信息的傳送可以阻止敏感信息的傳送TippingPoint 產(chǎn)品系列安全管理系統(tǒng)（安全管理系統(tǒng)（SMS）Up to 2.0 Gbps8x10/100/1000Copper/FiberUp to 1.2 Gbps8x10/100/1000Copper/FiberUpto 400 Mbps8x10/100/1000Copper/FiberUp to 200 Mbps4x10/100/1000CopperUp to 5.0 Gbps8x10/10

45、0/1000Copper/FiberUp to 100 Mbps2x10/100/1000CopperUp to 50 Mbps2x10/100/1000Copper(Active- Standby)行業(yè)對TippingPoint的需求機會點 政府：政府電子政務(wù)外網(wǎng) 金融：金融數(shù)據(jù)中心外聯(lián)網(wǎng) 電力：電廠、電力數(shù)據(jù)通信網(wǎng) 公共事業(yè)：大企業(yè)數(shù)據(jù)中心、高校校園網(wǎng) 商業(yè)網(wǎng)絡(luò)：中心企業(yè)網(wǎng)絡(luò)Internet出口 運營商：城域網(wǎng)、ICT研發(fā)研發(fā)財經(jīng)財經(jīng)市場市場DMZ區(qū)區(qū)SMTPPOP3WEBERPOACRM數(shù)據(jù)中心數(shù)據(jù)中心TIPI部署在Internet邊界，放在防火墻后面，可以抵御來自Internet的針對

46、DMZ區(qū)服務(wù)器的應(yīng)用層攻擊來自Internet的DDoS攻擊TIPI部署在數(shù)據(jù)中心：抵御來自內(nèi)網(wǎng)攻擊，保護核心服務(wù)器和核心數(shù)據(jù)提供虛擬軟件補丁服務(wù)，保證服務(wù)器最大正常運行時間TIPI部署在內(nèi)部局域網(wǎng)段之間，可以抑制內(nèi)網(wǎng)惡意流量，如間諜軟件、蠕蟲病毒等等的泛濫和傳播抵御內(nèi)網(wǎng)攻擊深度安全抵御保護網(wǎng)絡(luò)安全分支機構(gòu)分支機構(gòu)分支機構(gòu)分支機構(gòu)分支機構(gòu)分支機構(gòu)TIPI部署在廣域網(wǎng)邊界：抵御來自分支機構(gòu)攻擊保護廣域網(wǎng)線路帶寬TIPI部署在外網(wǎng)Internet邊界，放在防火墻前面，可以保護防火墻等網(wǎng)絡(luò)基礎(chǔ)設(shè)施對Internet出口帶寬進行精細控制，防止帶寬濫用渠道增值服務(wù)“網(wǎng)絡(luò)B超”專業(yè)網(wǎng)絡(luò)體檢經(jīng)過系統(tǒng)培訓(xùn)，渠

47、道可以為客戶提供專業(yè)安全服務(wù)： 了解網(wǎng)絡(luò)問題 正常業(yè)務(wù)流量：如notes、CRM、ERP 濫用帶寬流量：如IM、P2P 惡意流量：如攻擊、間諜軟件、木馬、蠕蟲 找出問題根源 定位攻擊源、間諜軟件感染源、蠕蟲病毒源 提供個性化報表一目了然 提供專業(yè)安全建議后顧“無”憂EMAIL流量間諜軟件流量P2P文件共享IM流量notes和web流量怎樣尋找并抓住TippingPoint機會點？用戶有非常關(guān)心的安全熱點問題嗎？引導(dǎo)用戶進行“網(wǎng)絡(luò)網(wǎng)絡(luò)B超超”Y在線測試發(fā)現(xiàn)的問題怎么解決？把把IPS做進方案：做進方案：結(jié)合行業(yè)特點，針對熱點問題，給出解決方案讓用戶接受讓用戶接受IPS：用賣點和案例說明產(chǎn)品的獨一無

48、二，打消用戶顧慮等等，專家說，Cisco說，把把IPS產(chǎn)品介紹給用戶：產(chǎn)品介紹給用戶：在線測試在線測試！NIPS可以解決用戶關(guān)心的六大熱點問題六大熱點問題？網(wǎng)頁被篡改總在花錢升級網(wǎng)絡(luò)帶寬，但帶寬總也不夠（被P2P等無關(guān)流量消耗殆盡）服務(wù)器應(yīng)用訪問很慢（這時，可能遇到大量的DoS和DDoS攻擊）病毒和蠕蟲泛濫間諜軟件泛濫服務(wù)器上的應(yīng)用是關(guān)鍵應(yīng)用，不能經(jīng)常宕機維護，不能隨時打補丁TippingPoint AwardsFrost and Sullivan 2005 Network Security Infrastructure Protection Entrepreneurial Company o

49、f the YearTippingPoint was named the 2005 Network Security Infrastructure Protection Entrepreneurial Company of the Year by Frost & Sullivan.Information Security Magazine2004 Product of the YearTippingPoint was selected by Information Security Magazine as 2004 Product of the Year for Intrusion Preve

50、ntion Systems. SC Magazine Best Buy of 2004TippingPoints was selected by SC Magazine as a Best Buy in 2004 for intrusion prevention SC Global Awards 2005TippingPoint is a finalist in the 2005 SC Global Awards category of Best Security Solution. IDG Network Awards 2004 WinnerTippingPoint is the winne

51、r of the Network Protection Product of the Year from IDG and TechW. The prestigious IDG awards recognize the very best in the industry and reward companies for innovative and effective use of networking technology. SC Magazine Best BuyTippingPoint was selected by SC Magazine as a Best Buy in their g

52、roup test of intrusion prevention products. Common Criteria CertificationTippingPoint is the first Intrusion Prevention System (IPS) to obtain all four government-validated protection profiles: analyzer, sensor, scanner and system. SANS Trusted ToolTippingPoints Intrusion Prevention System has been

53、selected as a Trusted Tool by the SANS Institute, the worlds premier security research and training organization.NSS Gold AwardTippingPoints Intrusion Prevention System is the first and only product to win the coveted NSS Gold Award in the IPS space.eWeek Excellence AwardTippingPoints Intrusion Prev

54、ention Systems received the Enterprise Resource Protection eWeek Excellence Award announced in the April 5, 2004 issue of eWeek Magazine.InfoWorld 100University of Dayton, a TippingPoint customer, was recognized as a technological leader and awarded with the InfoWorld 100 for its advancements made through implementing TippingPoints Intrusion Prevention Systems. eWeek Labs Analysts Choice AwardTippingPoints IPS ably handled both real and staged attacks on eWEEK Labs test network, attached to the Internet for nearly a