IPS入侵防御讲解人:朱建英2010、07入侵防御(入侵防御(IPSIPS))入侵防御系统(IntrusionPreventionSystem)简称IPS,能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。DCFOS的IPS功能对协议的检测流程包括两部分,分别是协议解析和引擎匹配。协议解析过程对协议进行分析、发现协议异常后,系统会根据配置处理数据包(记录日志、阻断屏蔽),并产生日志信息报告给管理员;分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征匹配检测,发现与特征库中特征相匹配的数据包后,系统根据配置处理数据包(记录日志、重置、屏蔽),并产生日志信息报告给管理员。攻击特征攻击特征IPS特征库包含多种攻击特征,特征根据协议进行分类,以特征ID作为特征的唯一标识。特征ID由两部分构成,分别为协议ID(第1位或者第1和第2位)和攻击特征ID(后5位),例如ID“600120”中,“6”表示Telnet协议,“00120”表示攻击特征ID。攻击特征ID大于60000的为协议异常特征,攻击特征小于60000的为攻击特征协议ID与协议对应关系表协议ID协议协议ID协议协议ID协议协议ID协议1DNS7Other-TCP13TFTP19NetBIOS2FTP8Other-UDP14SNMP20DHCP3HTTP9IMAP15MySQL21LDAP4POP310Finger16MSSQL22VoIP5SMTP11SUNRPC17Oracle--6Telnet12NNTP18MSRPC--配置IPS功能防护您的网络,需要按照以下步骤进行操作:•1、确认DCFOS版本支持IPS功能(DCFOS4.0以上)。•2、安装IPS许可,然后重启设备。•3、升级IPS攻击特征库。•4、创建IPSProfile•5、将IPSProfile绑定到安全域。•以下范例从第四步开始演示IPSIPS配置流量配置流量•1、DCFOS支持两种IPS工作模式,分别是IPS在线模拟模式和IP模式。IPS在线模拟模式提供协议异常和网络攻击行为的警告、日志功能,不能检出攻击组重置和阻断操作;IPS模式在提供协议异常和网络攻击行为的告警、日志功能的同时,还对检出攻击做重置和阻断操作。•系统默认情况下工作在IPS模式下。IPSIPS工作模式工作模式IPS模式IPS模式在线模拟模式IPS>Profile新建创建创建IPSProfileIPSProfileProfile名称启用需检测的协议IPS>ProfileDCFOS提供对每种协议的单独配置,可以根据需要细化协议具体检测。修改修改IPSProfileIPSProfile协议配置协议配置具体配置内容包括对该协议下不同严重等级的攻击的动作、以及针对不同协议解析的具体防护参数配置IPS>安全域绑定新建IPS防护功能可以给予安全域启用,绑定到安全域上的IPS策略对该安全域全局生效,并可根据需要选择对不同攻击方向进行防护。绑定绑定IPSProfileIPSProfile到安全域到安全域日志报表>IPS日志IPS防护功能可以给予安全域启用,绑定到安全域上的IPS策略对该安全域全局生效,并可根据需要选择对不同攻击方向进行防护。查看查看IPSIPS攻击日志攻击日志•1、IPS支持哪两种工作模式?•2、屏蔽IP和屏蔽服务有何区别?问题问题THANKS!
