IPS入侵防御.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,IPS,入侵防御,讲解人：朱建英,2010,、,07,入侵防御（,IPS,）,入侵防御系统（,Intrusion Prevention System,）简称,IPS,，能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。,DCFOS,的,IPS,功能对协议的检测流程包括两部分，分别是协议解析和引擎匹配。协议解析过程对协议进行分析、发现协议异常后，系统会根据配置处理数据包（记录日志、阻断屏蔽），并产生日志信息报告给管理员；分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征匹配检测，发现与特征库中特征相匹配的数据包后，系统根据配置处理数据包（记录日志、重置、屏蔽），并产生日志信息报告给管理员。,攻击特征,IPS,特征库包含多种攻击特征，特征根据协议进行分类，以特征,ID,作为特征的唯一标识。特征,ID,由两部分构成，分别为协议,ID,（第,1,位或者第,1,和第,2,位）和攻击特征,ID,（后,5,位），例如,ID“600120”,中，“,6”,表示,Telnet,协议，“,00120”,表示攻击特征,ID,。攻击特征,ID,大于,60000,的为协议异常特征，攻击特征小于,60000,的为攻击特征,协议,ID,与协议对应关系表,协议,ID,协议,协议,ID,协议,协议,ID,协议,协议,ID,协议,1,DNS,7,Other-TCP,13,TFTP,19,NetBIOS,2,FTP,8,Other-UDP,14,SNMP,20,DHCP,3,HTTP,9,IMAP,15,MySQL,21,LDAP,4,POP3,10,Finger,16,MSSQL,22,VoIP,5,SMTP,11,SUNRPC,17,Oracle,-,-,6,Telnet,12,NNTP,18,MSRPC,-,-,配置,IPS,功能防护您的网络，需要按照以下步骤进行操作：,1,、确认,DCFOS,版本支持,IPS,功能（,DCFOS4.0,以上）。,2,、安装,IPS,许可，然后重启设备。,3,、升级,IPS,攻击特征库。,4,、创建,IPS Profile,5,、将,IPS Profile,绑定到安全域。,以下范例从第四步开始演示,IPS,配置流量,1,、,DCFOS,支持两种,IPS,工作模式，分别是,IPS,在线模拟模式和,IP,模式。,IPS,在线模拟模式提供协议异常和网络攻击行为的警告、日志功能，不能检出攻击组重置和阻断操作；,IPS,模式在提供协议异常和网络攻击行为的告警、日志功能的同时，还对检出攻击做重置和阻断操作。,系统默认情况下工作在,IPS,模式下。,IPS,工作模式,IPS,模式,IPS,模式在线模拟模式,IPSProfile,新建,创建,IPS Profile,Profile,名称,启用需检测的协议,IPSProfile,DCFOS,提供对每种协议的单独配置，可以根据需要细化协议具体检测。,修改,IPS Profile,协议配置,具体配置内容包括对该协议下不同严重等级的攻击的动作、以及针对不同协议解析的具体防护参数配置,IPS,安全域绑定 新建,IPS,防护功能可以给予安全域启用，绑定到安全域上的,IPS,策略对该安全域全局生效，并可根据需要选择对不同攻击方向进行防护。,绑定,IPS Profile,到安全域,日志报表,IPS,日志,IPS,防护功能可以给予安全域启用，绑定到安全域上的,IPS,策略对该安全域全局生效，并可根据需要选择对不同攻击方向进行防护。,查看,IPS,攻击日志,1,、,IPS,支持哪两种工作模式？,2,、屏蔽,IP,和屏蔽服务有何区别？,问题,THANKS!,