为您找到与防火墙部署在IPS前还是IPS后相关的共200个结果:
在管理规模较大的网络环境时,网络安全往往是花费精力最多的一环。就拿配置Windows XP SP2的防火墙来说,如果让网管为网内计算机逐一进行配置的话,工作量会非常大,而且在细节配置上也容易出错。那么,如何才能提高规模化环境内的防火墙配置效率呢?
Windows防火墙是Windows XP SP2中一个极为重要的安全设计,它可以有效地协助我们完成计算机的安全管理。今天,笔者将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙,提高为网内计算机配置防火墙的效率。
为什么要集中部署
首先,我们要了解组策略对Windows防火墙的作用是什么。组策略可以决定本地管理员级别的用户是否可以对Windows防火墙进行各种设置,可以决定Windows防火墙的哪些功能被“禁用”或“允许”……
显然,上述几个功能正好能够配合域功能进行机房的安全管理,这就为组策略能够批量化部署机房的Windows防火墙打下了基础。此时,所有客户机的 Windows防火墙的应用权限将统一归域管理员管理,本地管理员对Windows防火墙的任何设置要在域管理员的“批准”下方可进行。此外,域管理员还可使用组策略来完成所有客户机的Windows防火墙配置,而不必逐台进行了。
用组策略部署防火墙
在明白了集中部署的好处后,现在让我们一步步实现。请大家先了解一下本文的测试环境“Windows Server 2003域服务器+Windows XP SP2客户机”。本文将介绍如何在Windows Server 2003域服务器管理的机房中的客户机(Windows XP SP2)上,对所有安装了Windows XP SP2的客户机进行Windows防火墙的集中部署。
提示:为什么不是在域服务器中进行组策略的新建与配置,而是在客户机上运行?其实这很容易理解,Windows Server 2003操作系统(中文版)中还没有Windows防火墙,所以无法进行配置。但是,这一点将会随着Windows Server 2003 SP1中文正式版的推出而得到彻底解决。
OK!现在让我们开始实际操作。首先,在Windows XP SP2客户机的“运行”栏中输入“MMC”命令并回车,在打开的“控制台”窗口中,依次单击“文件→添加/删除管理单元”,添加“组策略对象编辑器”。
在弹出的“欢迎使用组策略向导”界面中,点击“浏览”按钮并在“浏览组策略对象”窗口中的空白处单击鼠标右键,在弹出的菜单中选择“新建”,并命名为“firewall”即可返回控制台窗口。
提示:客户机的当前登录账户必须具有管理员权限,方可新建GPO(组策略对象)。因此,临时解决这个问题的方法就是在DC中将客户机的账户添加到Administrators组,接着客户机临时使用管理员账户登录系统并进行GPO配置即可
返回控制台窗口后,在“firewall”策略集中可以看到“域配置文件”和“标准配置文件”两个策略子集(图1)。其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用。
图1
显然,我们需要在域配置文件中进行策略的设置。下面简单地说说如何对其中的子策略进行安全配置:
保护所有网络连接:已启用;这样才能强制要求客户机启用Windows防火墙,不受客户机本地策略的影响。
不允许例外:未配置;这个可以让客户机自行安排。
定义程序例外:已启用;即按照程序文件名定义例外通信,这样可以集中配置机房中允许运行的网络程序等。
允许本地程序例外:已禁用;如果禁用则Windows防火墙的“例外”设置部分将呈灰色。
允许远程管理例外:已禁用;如果不允许客户机进行远程管理,那么请禁用。
允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用,那么应该启用。
允许ICMP例外:已禁用;如果希望使用Ping命令,则必须启用。
允许远程桌面例外:已禁用;即关闭客户机可以接受基于远程桌面的连接请求功能。
允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息。
阻止通知:已禁用。
允许记录日志:未配置;允许记录通信并配置日志文件设置。
阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包。
定义端口例外:已启用;按照TCP和UDP端口指定例外通信。
允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置。
现在,让我们通过“定义端口例外”项来介绍一下如何进行具体配置。首先,在“域配置文件”设置区域中,双击“Windows防火墙:定义端口例外”项,在弹出的属性窗口中单击“已启用→显示”,并进行“添加”。接着,使用“port:transport:scope:status:name”的格式输入要阻止或启用的端口信息(如“80:TCP:*:enabled:Webtest”)。
提示:port是指端口号码;transport是指TCP或UDP;scope中的“*”表示用于所有系统或允许访问端口的计算机列表;status是已启用或已禁用;name是用作此条目标签的文本字符串。
完成上述设置后,保存策略为“firewall”文件。现在,就得进行非常重要的一步操作,在“命令提示符”窗口中运行“Gpupdate /force”命令强制组策略设置应用到域网络中已经登录的计算机
验证部署效果
完成组策略的刷新后,先来看看本机中的Windows防火墙是否响应了策略。由于前面已经定义了“允许本地程序例外”项的状态为“已禁用”,根据这个定义,Windows防火墙的“例外”设置部分应变为灰色。现在,让我们打开本机中的Windows防火墙,可以看到被禁用的部分已经呈灰色,这说明本机已响应组策略设置了。
接着,再来看看DC是否响应了组策略。在DC服务器的“运行”栏中输入“dsa.msc”命令并回车,弹出“Active Directory”窗口后,请进入“shyzhong.com”(请根据实际情况选择)的属性窗口。在“组策略”选项卡部分可以看到保存的 firewall已经自动出现在列表中了。如果没有出现可以手工添加(图2)。
图2
到了这一步,可以看出整个设置是成功的。而此后,域中任何一台使用Windows XP SP2的计算机只要登录到域,那么该计算机就会自动下载Windows防火墙的设置并开始应用。至此,整个机房的Windows 防火墙配置操作就成功完成了。
利用组策略集中部署SP2防火墙的操作并不复杂,但是它的效果却是一劳永逸的。大家会发现组策略对于集中管理网络安全来说实在是一个不可多得的好助手
浏览量:2
下载量:0
时间:
定义所需要的防御能力
防火墙的监视、冗余度以及控制水平是需要进行定义的。通过企业系统策略的设计,IT人员要确定企业可接受的风险水平(偏执到何种程度)。接下来IT人员需要列出一个必须监测什么传输、必须允许什么传输通行,以及应当拒绝什么传输的清单。换句话说,IT人员开始时先列出总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作清单中。
关注财务问题
很多专家建议,企业的IT人员只能以模糊的表达方式论述这个问题。但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的;从头建立一个高端防火墙可能需要几个月。另外,系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是,使建立的防火墙不需要高额的维护和更新费用。
体现企业的系统策略
IT人员需要明白,安装后的防火墙是为了明确地拒绝——除对于连接到网络至关重要的服务之外的所有服务。或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂,防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
网络设计
出于实用目的,企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。因此,基于这一事实,在技术上还需要做出几项决策:传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。
IT人员需要做出的决定是,是否将暴露的简易机放置在外部网络上为Telnet、Ftp、News等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及提供的服务水平的降低。
浏览量:2
下载量:0
时间:
1、计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。
2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致。
3、拒绝的规则一定要放在允许的规则前面。
4、当需要使用拒绝时,显式拒绝是首要考虑的方式。
5、在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。
6、在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。
7、尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。
8、永远不要在商业网络中使用Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的ISA形同虚设。
9、如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。
10、ISA的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。
11、永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信的。
12、SNat客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为Web代理客户或防火墙客户。
13、无论作为访问规则中的目的还是源,最好使用IP地址。
14、如果你一定要在访问规则中使用域名集或URL集,最好将客户配置为Web代理客户。
15、请不要忘了,防火墙策略的最后还有一条DENY 4 ALL。
16、最后,请记住,防火墙策略的测试是必需的。
浏览量:2
下载量:0
时间:
在管理规模较大的网络环境时,网络安全往往是花费精力最多的一环。就拿配置Windows XP SP2的防火墙来说,如果让网管为网内计算机逐一进行配置的话,工作量会非常大,而且在细节配置上也容易出错。那么,如何才能提高规模化环境内的防火墙配置效率呢?
Windows防火墙是Windows XP SP2中一个极为重要的安全设计,它可以有效地协助我们完成计算机的安全管理。今天,小编将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙,提高为网内计算机配置防火墙的效率。
完成组策略的刷新后,先来看看本机中的Windows防火墙是否响应了策略。由于前面已经定义了“允许本地程序例外”项的状态为“已禁用”,根据这个定义,Windows防火墙的“例外”设置部分应变为灰色。现在,让我们打开本机中的Windows防火墙,可以看到被禁用的部分已经呈灰色,这说明本机已响应组策略设置了。
接着,再来看看DC是否响应了组策略。在DC服务器的“运行”栏中输入“dsa.msc”命令并回车,弹出“Active Directory”窗口后,请进入“shyzhong.com”(请根据实际情况选择)的属性窗口。在“组策略”选项卡部分可以看到保存的firewall已经自动出现在列表中了。如果没有出现可以手工添加
到了这一步,可以看出整个设置是成功的。而此后,域中任何一台使用Windows XP SP2的计算机只要登录到域,那么该计算机就会自动下载Windows防火墙的设置并开始应用。至此,整个机房的Windows 防火墙配置操作就成功完成了。
利用组策略集中部署SP2防火墙的操作并不复杂,但是它的效果却是一劳永逸的。大家会发现组策略对于集中管理网络安全来说实在是一个不可多得的好助手。
浏览量:2
下载量:0
时间:
防火墙部署原则有哪些?今天读文网小编要跟大家介绍下防火墙部署原则有哪些,下面就是读文网小编为大家整理到的资料,请大家认真看看!
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
浏览量:2
下载量:0
时间:
华为的产品主要涉及通信网络中的交换网络、传输网络、无线及有线固定接入网络和数据通信网络及无线终端产品,那么你知道华为USG防火墙 IPsec 怎么配置吗?下面是读文网小编整理的一些关于华为USG防火墙 IPsec 怎么配置的相关资料,供你参考。
USG-1和USG-2模拟企业边缘设备,分别在2台设备上配置NAT和IPsec 实现2边私网可以通过互相通信。
浏览量:2
下载量:0
时间:
cisco思科是全球领先的大品牌,相信很多人也不陌生,那么你知道asa防火墙ipsec 配置吗?下面是读文网小编整理的一些关于asa防火墙ipsec 配置的相关资料,供你参考。
第一步:在外部接口启用IKE协商
crypto isakmp enable outside
第二步:配置isakmp协商策略
isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可
isakmp policy 5 authentication pre-sharehttps://配置认证方式为预共享密钥
isakmp policy 5 encryption deshttps://配置isakmp 策略的加密算法
isakmp policy 5 hash md5 https://配置isakmp 策略的哈希算法
isakmp policy 5 group 2https://配置Diffie-Hellman组
isakmp policy 5 lifetime 86400https://默认的有效时间
第三步:配置需要加密的数据流
192.168.241.0为本地内网地址,10.10.10.0为对方内网地址
access-list ipsec- extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0
第四步:设置到对方私网地址的路由
配置静态路由指向outside接口x.x.x.x为ASA防火墙outside接口地址
route outside 10.10.10.0 255.255.255.0 x.x.x.x
第五步:配置ipsec的数据转换格式集
crypto ipsec transform-set my_trans esp-des esp-none
第六步:建立加密静态映射图
crypto map _to_test 10 match address ipsec-https://配置哪些数据流会启用IPSEC加密
crypto map _to_test 10 set peer x.x.x.xhttps://指定对端地址x.x.x.x为对端公网地址
crypto map _to_test 10 set transform-set my_transhttps://建立加密静态映射图,加密格式引用数据转换格式集my_trans(两边要一致)
第七步:将加密静态映射图应用于外网接口
crypto map _to_test interface outside
第八步:建立IPSEC 隧道组
tunnel-group x.x.x.x type ipsec-l2lhttps://建立IPSEC 隧道组类型
tunnel-group x.x.x.x ipsec-attributeshttps://配置IPSEC 隧道组参数
pre-shared-key *https://配置预共享密钥,两边要一致,否则第一阶段协商不起来
二。IPSEC (client to site)
第一步:配置地址池
ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 https://ipsec拨入后的地址池
第二步:配置隧道分离ACL
access-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any
第三步:配置访问控制ACL
access-list testipsec extended permit ip any 192.168.0.0 255.255.0.0
第四步:配置不走NAT的ACL
access-list nonat- extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0
nat (inside) 0 access-list nonat-https:// 不走NAT
crypto isakmp enable outsidehttps://在外部接口启用IKE协商
第五步:配置IKE策略
isakmp policy 5 authentication pre-sharehttps://配置认证方式为预共享密钥
isakmp policy 5 encryption deshttps://配置isakmp 策略的加密算法
isakmp policy 5 hash md5 https://配置isakmp 策略的哈希算法
isakmp policy 5 group 2https://配置Diffie-Hellman组
isakmp policy 5 lifetime 86400https://默认的有效时间
第六步:配置组策略
group-policy ipsectest internalhttps://配置组策略
group-policy ipsectest attributeshttps://配置组策略属性
-filter value testipsechttps://设置访问控制
-tunnel-protocol IPSec https://配置隧道协议
split-tunnel-policy tunnelspecifiedhttps://建立隧道分离策略
split-tunnel-network-list value split-sslhttps://配置隧道分离,相当于推送一张路由表
第七步:设置隧道组
tunnel-group ipsectest type remote-accesshttps://设置隧道组类型
tunnel-group ipsectest general-attributeshttps://设置隧道组属性
address-pool testipsechttps://设置地址池
default-group-policy ipsectesthttps://指定默认的组策略
tunnel-group ipsectest ipsec-attributeshttps://设置 远程登入(即使用隧道分离)的ipsec属性
pre-shared-key *https://设置共享密钥
1.查看IPSEC 的相关信息基本命令
show crypto isakmp sa https://查看IPSEC isakmp(IPSEC第一阶段)协商的结果
show crypto ipsec sa peer X.X.X.X https://查看IPSEC 会话的相关信息(IPSEC第二阶段)debug crypto ipsec
https://ipsec site to site建立不起来的时候可使用debug命令来获取相关错误信息,通常ASA设备的CPU利用率都比较低,debug命令可放心使用,具体情况区别对待
IPSEC第一阶段协商不起来的常见原因:
peer路由不通
crypto iskmp key没有设置或者不一致
isakmp的策略(IKE策略)不匹配
IPSEC第二阶段协商不起来的常见原因:
IPSEC加密流不对称
Ipsec协商参数不一致
2.IPSEC ipsec site to site需要注意的问题
ipsec会话有默认的时间限制,到默认的时间后会话会失效重新建立,当两端设备类型不一致时,两边的会话的默认到期时间由于不一致将会导致问题,这个参数不影响IPSEC 的建立,但是当一边到期后,另外一边ipsecsession保留在那里,而发起访问的服务器是从保留session的那一端过来的话,将不会重新建立新的ipsec会话。当两端设备不一样时需要注意,kilobytes这个参数是说传输完多少数据后ipsecsession到期,seconds指的是多长时间后会话到期。
可在全局模式下配置:
crypto ipsec security-association lifetime kilobytes *
crypto ipsec security-association lifetime seconds *
也可在加密静态映射图
crypto map abcmap 1 set security-association lifetime seconds *
crypto map abcmap 1 set security-association lifetime kilobytes *
看过文章“asa防火墙ipsec 配置”
浏览量:2
下载量:0
时间:
IPS web应用防火墙作用很大,那么它是怎么样防止cookie欺骗的呢?下面由读文网小编给你做出详细的IPS web应用防火墙防止cookie欺骗介绍!希望对你有帮助!
要进行Cookies欺骗,其实很简单。比如在Win9X下的安装目录下,有一名为hosts.sam的文件,以文本方式打开后会看到这样的格式:
127.0.0.1localhost
经过设置,便可以实现域名解析的本地化,只需将IP和域名依上面的格式添加到文件中并另存为hosts即可。hosts文件实际上可以看成一个本机的DNS系统,它可以负责把域名解释成IP地址,它的优先权比DNS服务器要高,它的具体实现是TCP/IP协议中的一部分。
总之,在某种程度上虽然可以实现Cookies的欺骗,给网络应用带来不安全的因素,但Cookies文件本身并不会造成用户隐私的泄露,也不会给黑客提供木马程序的载体,只要合理使用,它们会给网站管理员进行网站的维护和管理以及广大用户的使用都带来便利。
看了“ IPS web应用防火墙如何防止cookie欺骗”文章的还看了:
浏览量:2
下载量:0
时间:
ips是ips,防火墙是防火墙,那么它们有什么区别呢?下面由读文网小编给你做出详细的ips和防火墙区别介绍!希望对你有帮助!
IDS技术
根据采集数据源的不同,IDS可分为主机型IDS(Host-based IDS,HIDS)和网络型IDS(Network-based IDS,NIDS)。
HIDS和NIDS都能发现对方无法检测到的一些入侵行为,可互为补充。完美的IDS产品应该将两者结合起来。目前主流IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。
传统的入侵检测技术有:
ips和防火墙区别1、模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。
ips和防火墙区别2、异常检测
异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。
ips和防火墙区别3、完整性分析
完整性分析关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制,能够识别微小变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要攻击导致文件或对象发生了改变,完整性分析都能够发现。完整性分析一般是以批处理方式实现,不用于实时响应。入侵检测面临的问题
1、误报和漏报
IDS系统经常发出许多假警报。误警和漏警产生的原因主要有以下几点:
● 当前IDS使用的主要检测技术仍然是模式匹配,模式库的组织简单、不及时、不完整,而且缺乏对未知攻击的检测能力;
● 随着网络规模的扩大以及异构平台和不同技术的采用,尤其是网络带宽的迅速增长,IDS的分析处理速度越来越难跟上网络流量,从而造成数据包丢失;
● 网络攻击方法越来越多,攻击技术及其技巧性日趋复杂,也加重了IDS的误报、漏报现象。
2、拒绝服务攻击
IDS是失效开放(Fail Open)的机制,当IDS遭受拒绝服务攻击时,这种失效开放的特性使得黑客可以实施攻击而不被发现。
3、插入和规避
插入攻击和规避攻击是两种逃避IDS检测的攻击形式。其中插入攻击可通过定制一些错误的数据包到数据流中,使IDS误以为是攻击。规避攻击则相反,可使攻击躲过IDS的检测到达目的主机。插入攻击的意图是使IDS频繁告警(误警),但实际上并没有攻击,起到迷惑管理员的作用。规避攻击的意图则是真正要逃脱IDS的检测,对目标主机发起攻击。黑客经常改变攻击特征来欺骗基于模式匹配的IDS。
IDS发展趋势
在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下,基于特征检测匹配技术的IDS已经力不从心。IDS出现了销售停滞,但IDS不会立刻消失,而是将IDS将成为安全信息管理(SIM)框架的组成部分。在SIM框架中,IDS的作用可以通过检测和报告技术得到加强。分析人士指出,IDS的作用正转变为调查取证和安全分析。大约5年后,一致性安全管理以及内核级的安全技术将共同结束基于特征检测的IDS技术的使命。
美国网络世界实验室联盟成员Joel Snyder认为,未来将是混合技术的天下,在网络边缘和核心层进行检测,遍布在网络上的传感设备和纠正控制台通力协作将是安全应用的主流。
一些厂商通过将IDS报警与安全漏洞信息进行关联分析,着手解决IDS的缺陷。SIM厂商在实现安全信息分析的方式上开始采取更加模块化的方法,将安全漏洞管理、异常检测、网络评估、蜜罐模块与IDS模块搭配在一起,以更好地确定和响应安全事件。IPS主动防护
尽管IDS是一种受到企业欢迎的解决方案,它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是它不会主动在攻击发生前阻断它们。同时,许多入侵检测系统基于签名,所以它们不能检测到新的攻击或老式攻击的变形,它们也不能对加密流量中的攻击进行检测。
而入侵防护系统(Intrution Protection System,IPS)则倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。
简单地理解,IPS等于防火墙加上入侵检测系统,但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,而且在大多数情况下,可以提供网络地址转换、服务代理、流量统计等功能。
和防火墙比较起来,IPS的功能比较单一,它只能串联在网络上,对防火墙所不能过滤的攻击进行过滤。一般来说,企业用户关注的是自己的网络能否避免被攻击,对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处,在一些专业的机构,或对网络安全要求比较高的地方,入侵检测系统和其他审计跟踪产品结合,可以提供针对企业信息资源的全面审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。
IPS目前主要包含以下几种类型:1、基于主机的入侵防护(HIPS),它能够保护服务器的安全弱点不被不法分子所利用;2、基于网络的入侵防护(NIPS),它可通过检测流经的网络流量,提供对网络系统的安全保护,一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话;3、应用入侵防护,它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。IPS面临的挑战
IPS 技术需要面对很多挑战,其中主要有三点。
1、单点故障。设计要求IPS必须以嵌入模式工作在网络中,而这就可能造成瓶颈问题或单点故障。如果IDS出现故障,最坏的情况也就是造成某些攻击无法被检测到,而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转。如果IPS出现故障而关闭,用户就会面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。
2、性能瓶颈。即使 IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,IPS必须与数千兆或者更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的 IPS 嵌入设备无法支持这种响应速度。绝大多数高端 IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效率。
3、误报和漏报。误报率和漏报率也需要IPS认真面对。在繁忙的网络当中,如果以每秒需要处理十条警报信息来计算,IPS每小时至少需要处理36000条警报,一天就是864000条。一旦生成了警报,最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善,那么“误报”就有了可乘之机,导致合法流量也有可能被意外拦截。对于实时在线的IPS来说,一旦拦截了“攻击性”数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知,这个客户整个会话就会被关闭,而且此后该客户所有重新连接到企业网络的合法访问都会被“尽职尽责”的IPS拦截。
IDS和IPS将共存
虽然IPS具有很大的优势,然而美国网络世界实验室联盟成员Rodney Thayer认为,在报告、分析等相关技术完善得足以防止虚假报警之前,IPS不可能取代IDS设备。IPS可能将取代外围防线的检测系统,而网络中的一些位置仍然需要检测功能,以加强不能提供很多事件信息的IPS。现在市场上的主流网络安全产品可以分为以下几个大类:
1、基础防火墙类,主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。
2、IDS类,此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用。
3、IPS类,解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问。
4、主动安全类,和前面的产品均不同,主动安全产品的特点是协议针对性非常强,比如WAF就是专门负责HTTP协议的安全处理,DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离。
在这几类产品中,就可以分辨出什么是主动安全,什么是被动安全。从安全的最基本概念来说,首先是关闭所有的通路,然后再开放允许的访问。因此,传统防火墙可以说是主动安全的概念,因为默认情况下是关闭所有的访问,然后再通过定制策略去开放允许开放的访问。但由于其设计结构和特点,不能检测到数据包的内容级别,因此,当攻击手段到达应用层面的时候,传统的防火墙都是无能为力的。IDS就不讲了,不能阻断只能是一个事后监督机制,因此在其后出现的IPS,基本上所有的IPS系统都号称能检查到数据包的内容,但犯了一个致命的错误,就是把安全的原则反过来了,变成默认开放所有的访问,只有自己认识的访问,才进行阻断。从另外一个方面,由于在线式造成的性能问题,也不能像杀毒软件一样进行全面而细致的安全审计。因此大多数的IPS在实际运行环境中都形同虚设,通常只是当作一个防DDOS的设备存在。IPS尤其对于未知的,不再其安全库内的攻击手段,基本上都是无能为力的。
在主动安全的体系中,彻底改变了IPS 的致命安全错误。其工作在协议层上,通过对协议的彻底分析和Proxy代理工作模式,同时,结合对应用的访问流程进行分析,只通过自己认识的访问,而对于不认识的访问,则全部进行阻断。比如在页面上的一个留言板,正常人登录都是填入一些留言,提问等,但黑客则完全可能填入一段代码,如果服务器端的页面存在漏洞,则当另外一个用户查看留言板的时候,则会在用户完全不知道的情况下执行这段代码,标准叫法,这叫做跨站攻击。当这段代码被执行后,用户的本地任何信息都有可能被发送到黑客的指定地址上。如果采用防火墙或者IPS,对此类攻击根本没有任何处理办法,因为攻击的手段、代码每次都在变化,没有特征而言。而在采用主动安全的系统中,则可以严格的限制在留言板中输入的内容,由此来防范此类跨站攻击。又如常见的认证漏洞,可能造成某些页面在没有进行用户登录的情况下可以直接访问,这些内容在防火墙或者IPS系统中更加无法处理了。因为他们的请求和正常的请求完全一样,只是没有经过登录流程而已,因此不能进行防护,在主动安全体系里,可以对用户的访问进行流程限定,比如访问一些内容必须是在先通过了安全认证之后才能访问,并且必须按照一定的顺序才能执行。因此,工作在流程和代理层面的主动安全设备可以进一步实现应用系统的真正安全。
另外,在通常情况下,安全访问都采用SSL进行通道连接,传统的IPS根本无法看到用户的访问,从而造成形同虚设的安全网关
看了“ips和防火墙有什么区别 ”文章的还看了:
浏览量:3
下载量:0
时间:
有时候想要部署一下web的应用防火墙!需要我们怎么样去部署呢?下面由读文网小编给你做出详细的部署web应用防火墙方法介绍!希望对你有帮助!
可管理性 你需要执行的第一个对比测试是可管理性。如果Web应用防火墙难以管理,并不提供你需要的政策灵活性,稍后你将为此付出代价。虽然当你在谈论定制应用时,即插即用设备的要求可能有点太过分,但初始部署不应太具挑战性。
你会想知道能否通过努力让Web应用防火墙来保护那些不需要不断监管和微调的应用程序。 可读警报和报告是Web应用防火墙应该具备的必要功能,这些功能能够为你提供关于Web应用防火墙的精准信息,并在出现问题时,提供概述性的威胁描述。评估的互补方面是Web应用防火墙的可用性,这包括提供清晰威胁信息的GUI,能够向下挖取和审查警报的详细信息。
理想情况下,你还能够生成与配置和定制化报告,并能轻松地调整安全策略。 当你在处理分布在世界各地的Web应用基础设施时,中央管理也很有帮助。你想要管理不同的WAF设备,而不需要分别连接到每个设备,这同样也使企业能够横跨整个企业范围建立、维护和执行统一的安全政策。
性能 当涉及Web应用防火墙时,性能是一个关键因素。Web应用防火墙的部署应该不能影响现有基础设施的性能,包括应用程序和网络设备等。这意味着即使Web应用防火墙作为应用程序的安全代理,该应用程序应该继续能够传输数据,而不会遇到请求积压或者重负载的情况,该应用程序应该像没有Web应用防火墙一样运行。
从最终用户的角度来看,Web应用防火墙应该是完全透明的。用户不应该遇到任何明显的延迟或者服务阻碍。 为了避免性能降级,你要确保Web应用防火墙的性能符合或者超过应用程序基础设施的其他因素。
最小误报 误报是一个很重要的方面。你不会希望看到Web应用防火墙对于每个传入的请求都发出警报。这就像“狼来了”一样的道理,当恶意请求真正来到时,你可能会因为误报大幅增加而忽视这个恶意请求。如果你是在阻止模式,这个问题将更加严重。你想做的最后一件事情将是阻止合法流量,这最终将破坏部署在线应用程序的意义。请确保你正在评估的Web应用防火墙具有最小的误报率,只有为数不多的几个。
看了“怎么样部署web应用防火墙 ”文章的还看了:
浏览量:6
下载量:0
时间:
我的防火墙功能还不是很完善!想要部署一下!步骤怎么样呢?下面由读文网小编给你做出详细的部署防火墙的步骤介绍!希望对你有帮助!
步骤一:安装程序时
许多程序在安装时都要求关闭防火墙(如WPS Office 2003)。有些程序虽然并未直接明示,但若不及时关闭,就有可能造成安装失败,比如弹出“读取错误”、“安装*.exe出错”等信息,或者干脆死机,或者安装上去之后不能正常使用。笔者在安装金山影霸、Office XP等程序时已经屡经验证。
步骤二:整理碎片时
在Windows XP中整理磁盘碎片时,屏幕保护程序已不再像在Windows 98那样干扰碎片整理的正常进行(每次都得重新开始),但病毒防火墙却依旧起着干扰作用,尤其是金山毒霸防火墙,会使碎片整理根本无法进行,在整理列表中会不断出现重复的磁盘图标,并且用不了多久就弹出提示:磁盘碎片无法整理,某某错误。这时候试着关掉防火墙,再看看是不是已经正常了。
步骤三:系统还原时
Windows XP中的系统还原几乎可以说是一剂万能后悔药,但可能会遇到下面的情况:在创建新的系统还原点时系统提示:无法完成新还原点的创建,请重新启动计算机,再次运行系统还原。可是即使重新启动之后仍旧无法完成新还原点的创建。其实罪魁祸首还是病毒防火墙,只要关掉它,就可恢复正常了。病毒防火墙对还原系统到过去某一时间的过程也有影响,表现为点击“确定”按钮后系统没有反应,最可怕的是即使勉强完成了系统还原,有的程序也无法正常使用(如金山影霸)。
看了“ 部署防火墙的步骤是什么”文章的还看了:
浏览量:4
下载量:0
时间:
由于一些电脑要访问win10操作系统后,就会提示无法访该网络,这是怎么回事,有可能是防火墙的作用,下面跟着读文网小编来一起了解下Windows10怎么关闭防火墙的方法吧。
第一步:鼠标右键点击桌面上的此电脑,选择属性。
第二步:弹出属性界面后选择控制面板。
第三步:进入控制面板后选择系统和安全,然后选择防火墙选项。
第四步:进入防火墙设置界面后点击左侧栏目的 启用或关闭Windows防火墙,将启用Windows防火墙选择成关闭Windows防火墙确定即可。
浏览量:2
下载量:0
时间:
在共享局域网联机的时候有需要关闭防火墙,否则会引起冲突,那么Win10系统怎样关闭防火墙呢?今天读文网小编与大家分享下Win10系统关闭防火墙的具体操作步骤,有需要的朋友不妨了解下。
第一步:打开“控制面板”界面,找到 Windows防火墙选项打开。
第二步:单击“启用或关闭windows 防火墙”选项。
第三步:选择“关闭windows 防火墙(不推荐)”。
浏览量:2
下载量:0
时间:
对于win7用户来说,一些应用程序有时会自动连接网络,来获取软件窗口中的广告或弹窗,而虽然用户可通过第三方辅助工具来限制这些程序联网,但是对于不经常使用第三方辅助软件的用户来说,那么你知道win7系统怎么利用防火墙限制指定程序连接网络吗?下面是读文网小编整理的一些关于win7系统利用防火墙限制指定程序连接网络的相关资料,供你参考。
1、在开始菜单下,打开控制面板,选择系统与安全,然后点击“Windows 防火墙”。
2、点击左边的高级设置,会出现高级安全windows防火墙设置。
3、点击左边的出站规则,新建一个出站规则。
4、在新建规则下面,选择程序,再选择该程序的安装路径。
5、点击阻止连接,并将下面的3个选框全部勾上。
6、在名称和描述里面,尽量写的稍微详细点,方面后期查看,再点击下一步,直到完成。
win7系统利用防火墙限制指定程序连接网络的相关
浏览量:2
下载量:0
时间:
有时候网络访问开启了防火墙会有影响。那么怎么关闭Win7系统防火墙呢?今天读文网小编与大家分享下关闭Win7系统防火墙的具体操作步骤,有需要的朋友不妨了解下。
关闭防火墙步骤①开始→控制面板→程序和功能→Windows防火墙
关闭防火墙步骤②打开或关闭Windows防火墙
关闭防火墙步骤③关闭 Windows 防火墙(不推荐)→确定
关闭防火墙步骤④也可以通过关闭服务关闭防火墙。
开始→运行里输入:services.msc,回车,打开服务。找到Windows Defender和Windows Firewall设置为自动启动即可。打不开点击属性,将启动类型设置成自动,之后再启动→确定。
看过“怎么关闭Win7系统防火墙”
浏览量:2
下载量:0
时间:
win7自带防火墙影响一些程序的正常运行,那么win7自带防火墙如何关闭呢?读文网小编分享了关闭win7自带防火墙的方法,希望对大家有所帮助。
步骤一:首先,点击开始菜单,再点击“控制面板”,如图所示
步骤二:在控制面板中找到“Windows 防火墙”,如图所示
步骤三:然后在防火墙设置中,点击左侧的“打开或关闭 Windows 防火墙”,如图所示
步骤四:接下来,在专用网络设置和公用网络设置里,分别把防火墙关闭,最后点击“确定”,如图所示
Win7简介
win7 即 Windows 7 。
Windows 7 同时也发布了服务器版本——Windows Server 2008 R2。
2011年2月23日凌晨,微软面向大众用户正式发布了Windows 7升级补丁——Windows 7 SP1(Build7601.17514.101119),另外还包括Windows Server 2008 R2 SP1升级补丁。
Win7特点
Windows 7 的设计主要围绕五个重点——针对笔记本电脑的特有设计;基于应用服务的设计;用户的个性化;视听娱乐的优化;用户易用性的新引擎。 跳跃列表,系统故障快速修复等,这些新功能令Windows 7成为最易用的Windows。
易用:Windows 7简化了许多设计,如快速最大化,窗口半屏显示,跳转列表(Jump List),系统故障快速修复等。
简单:Windows 7将会让搜索和使用信息更加简单,包括本地、网络和互联网搜索功能,直观的用户体验将更加高级,还会整合自动化应用程序提交和交叉程序数据透明性。
效率:Windows 7中,系统集成的搜索功能非常的强大,只要用户打开开始菜单并开始输入搜索内容,无论要查找应用程序、文本文档等,搜索功能都能自动运行,给用户的操作带来极大的便利。
看过“win7自带防火墙如何关闭”
浏览量:2
下载量:0
时间:
防火墙,有利也有弊,各种功能各种阻止,使用远程桌面连接就受到防火墙的阻止了,那么Win8系统防火墙阻止远程桌面连接怎么办呢?接下来大家跟着读文网小编一起来了解一下Win8系统防火墙阻止远程桌面连接的解决方法吧。
1、打开Win8系统的控制面板,接着就依次打开下面的几个选项:系统、安全、远程桌面、高级设置等;
2、接着对设置进行相关的更改,这时候就会弹出来一个新的界面,选中里面的选项-“远程桌面”,将其直接打上勾勾;
3、接着找到里面其他自己需要的选项,比如说括远程的,将其前面全部都打上勾勾;
4、上面的都勾选好之后,就直接点击确定按键对其进行保存,最后直接退出就可以了,这样就能够有效解决防火墙阻止相关的问题了,就可以正常连接了。
防火墙阻止各种应用和程序也是比较正常的,这是windows系统的一种安全机制,除了直接关闭防火墙功能之外,用户还可以自定义对防火墙功能允许指定程序和功能。
看过“Win8系统防火墙阻止远程桌面连接怎么办”
浏览量:2
下载量:0
时间: