• 旁路IDS
    • 主要用来记录各种攻击事件和网络应用流量情况,进而进行网络安全事件审计和用户行为分析
    • 优点
      • 不改变网络拓扑,部署简单
      • 对网络没有影响,不存在单点故障
      • 不会导致网络延迟
    • 缺点
      • 对流量控制能力弱,
      • 无法直接阻断流量
  • 直路IPS
    • 设备透明接入网络,一般部署在出口防火墙或路由器内
    • 优点
      • 上下行设备不用做任何调整,零配置上线
      • 对流量控制能力强
      • 能直接阻断流量
    • 缺点
      • 流量全部经过NIP,增加网络延迟
      • 存在单点故障问题
  • 单臂IPS
    • 使用接口对中任何一个接口旁挂在交换机Trunk口,能对多个VLAN对之间的流量进行检测和防御
    • 优点:
      • 不需要改变拓扑
      • 显著节省NIP物理接口
      • 控制能力强
    • 缺点:
      • 由于VLAN对之间流量都经过NIP的同一个物理接口,NIP处理性能减半
      • 不支持双机热备或Bypass
      • 无法避免单点故障
  • 双机热备
    • 使用负载分担时,上下行设备只能为路由器
    • 管理接口是设备上唯一的三层接口。建立两台设备管理接口之间心跳线通过千兆交换机连接
    • 双机热备下,业务接口请勿使用Bypass。否则一台设备出现故障,流量无法正常切换到另一台,反而环路等
    • 支持的两种双机热备方式:
      • 主备备份
      • 负载分担(设备上开启“非对称部署模式”)
  • 签名库和应用控制知识库升级
    • 在线升级
      • 外网在线升级
      • 内网在线升级(内网部署升级服务器)
    • 本地升级
    • 版本回退
    • 恢复出厂配置

NIP使用限制

  • 不支持对组播报文进行检测
  • 不支持对广播报文进行检测
  • 不支持对加密报文进行检测
  • 不支持对访问设备本身的报文进行检测(可以通过信任主机功能限制可以访问设备的流量)
  • 对VPN封装的报文,只支持GRE和MPLS封装的报文进行检测
  • 旁路部署方式不能使用Bypass接口卡
  • NIP Manager不支持使用ipv6地址作为登录服务器的IP地址

旁路部署:

  1. 交换机配置观察端口: observe-port 1 interface gi 0/0/24
  2. 交换机配置镜像端口Int gi 0/0/1  --> port-mirroring to observe-port 1 both
  3. 配置NIP基本参数 manage-ip 192.168.x.x 24
  4. 配置接口对
  5. 升级签名库和应用控制知识库
    1. 激活license
    2. 配置定时升级签名库和应用控制知识库
    3. 手动在线升级签名库和应用控制知识库
  6. 配置应用控制策略
  7. 配置威胁防护策略
  8. 将应用安全策略应用到接口对
  9. 配置流量安全(需要检测DOS/DDOS配置此项)
  10. 查看日志和报表
对比项分光镜像
场景需要部署分光器,成本高,适合运营商配置观测端口,不需要额外部署其他设备,适合企业网络
难度需要安装分光器,部署简单有一定难度
对网络影响透明接入不允许原有拓扑,单分光器会导致原来网络的光信号的光功率下降,会影响传输距离不影响网络拓扑
对业务影响安装分光器需要短暂中断业务配置镜像时不影响正常业务转发
分光VS镜像 我选镜像

自我思考[知识重点]

IPS工作流程?

网络流量--流量重组--应用协议的识别--IPS检测(查找IPS签名库)--匹配上签名--是否匹配例外签名(是,执行例外签名动作[放行、告警、阻断、加入黑名单)]--否--是否匹配签名过滤器(是,执行签名过滤动作(默认动作、放行、阻断))--否--放行

旁挂NIP,为什么不支持双机热备负载分担?

NIP是纯二层设备,如果做负载分担会环路,不能做双机热备也不能做bypass

NIP是如何实现VLAN转发的?

通过配置VLAN对,根据VLAN对的映射关系进行VLAN转发

防火墙如何匹配签名?

将解析后的报文特征与签名进行匹配,如果命中了签名,则进行处理

如果出现IPS误报,最快的解决方法是?

会话中取消UTM,或者使用例外签名

签名的动作有哪些?

阻断、告警;例外签名动作:1.放行2.阻断3.告警4.加入黑名单;签名集动作:放行、告警,采用签名的动作

FW和NIP都支持反病毒,有什么区别?

NIP全局调用,FW上课针对相应策略
防火墙上的签名有动作,NIP上的签名一定要在覆盖签名下调用

IPS签名有什么?

自定义签名、签名集、例外签名、预定义签名

IPS部署方式,如果管理员允许病毒通过,改采用什么措施?

写一条例外签名

NIP的可靠性如何实现?

双机热备、Bypass卡。
部署双机热备则不能部署bypass。双机热备上下行必须为路由器

IPS和直路部署的区别?

直路可以直接零配置上线,并且支持主备和负载;旁路只支持主备

IDS的主动防御是什么?怎么做到的?

被动是和其他设备联动,主要是直接发送TCP的RESET消息,但只能针对TCP

推荐文章

https://www.xuemian168.com/?cat=2

留下评论

您的电子邮箱地址不会被公开。 必填项已用 * 标注

富强民主文明和谐