- 旁路IDS
- 主要用来记录各种攻击事件和网络应用流量情况,进而进行网络安全事件审计和用户行为分析
- 优点
- 不改变网络拓扑,部署简单
- 对网络没有影响,不存在单点故障
- 不会导致网络延迟
- 缺点
- 对流量控制能力弱,
- 无法直接阻断流量
- 直路IPS
- 设备透明接入网络,一般部署在出口防火墙或路由器内
- 优点
- 上下行设备不用做任何调整,零配置上线
- 对流量控制能力强
- 能直接阻断流量
- 缺点
- 流量全部经过NIP,增加网络延迟
- 存在单点故障问题
- 单臂IPS
- 使用接口对中任何一个接口旁挂在交换机Trunk口,能对多个VLAN对之间的流量进行检测和防御
- 优点:
- 不需要改变拓扑
- 显著节省NIP物理接口
- 控制能力强
- 缺点:
- 由于VLAN对之间流量都经过NIP的同一个物理接口,NIP处理性能减半
- 不支持双机热备或Bypass
- 无法避免单点故障
- 双机热备
- 使用负载分担时,上下行设备只能为路由器
- 管理接口是设备上唯一的三层接口。建立两台设备管理接口之间心跳线通过千兆交换机连接
- 双机热备下,业务接口请勿使用Bypass。否则一台设备出现故障,流量无法正常切换到另一台,反而环路等
- 支持的两种双机热备方式:
- 主备备份
- 负载分担(设备上开启“非对称部署模式”)
- 签名库和应用控制知识库升级
- 在线升级
- 外网在线升级
- 内网在线升级(内网部署升级服务器)
- 本地升级
- 版本回退
- 恢复出厂配置
- 在线升级
NIP使用限制
- 不支持对组播报文进行检测
- 不支持对广播报文进行检测
- 不支持对加密报文进行检测
- 不支持对访问设备本身的报文进行检测(可以通过信任主机功能限制可以访问设备的流量)
- 对VPN封装的报文,只支持GRE和MPLS封装的报文进行检测
- 旁路部署方式不能使用Bypass接口卡
- NIP Manager不支持使用ipv6地址作为登录服务器的IP地址
旁路部署:
- 交换机配置观察端口: observe-port 1 interface gi 0/0/24
- 交换机配置镜像端口Int gi 0/0/1 --> port-mirroring to observe-port 1 both
- 配置NIP基本参数 manage-ip 192.168.x.x 24
- 配置接口对
- 升级签名库和应用控制知识库
- 激活license
- 配置定时升级签名库和应用控制知识库
- 手动在线升级签名库和应用控制知识库
- 配置应用控制策略
- 配置威胁防护策略
- 将应用安全策略应用到接口对
- 配置流量安全(需要检测DOS/DDOS配置此项)
- 查看日志和报表
对比项 | 分光 | 镜像 |
场景 | 需要部署分光器,成本高,适合运营商 | 配置观测端口,不需要额外部署其他设备,适合企业网络 |
难度 | 需要安装分光器,部署简单 | 有一定难度 |
对网络影响 | 透明接入不允许原有拓扑,单分光器会导致原来网络的光信号的光功率下降,会影响传输距离 | 不影响网络拓扑 |
对业务影响 | 安装分光器需要短暂中断业务 | 配置镜像时不影响正常业务转发 |
自我思考[知识重点]
IPS工作流程?
网络流量--流量重组--应用协议的识别--IPS检测(查找IPS签名库)--匹配上签名--是否匹配例外签名(是,执行例外签名动作[放行、告警、阻断、加入黑名单)]--否--是否匹配签名过滤器(是,执行签名过滤动作(默认动作、放行、阻断))--否--放行
旁挂NIP,为什么不支持双机热备负载分担?
NIP是纯二层设备,如果做负载分担会环路,不能做双机热备也不能做bypass
NIP是如何实现VLAN转发的?
通过配置VLAN对,根据VLAN对的映射关系进行VLAN转发
防火墙如何匹配签名?
将解析后的报文特征与签名进行匹配,如果命中了签名,则进行处理
如果出现IPS误报,最快的解决方法是?
会话中取消UTM,或者使用例外签名
签名的动作有哪些?
阻断、告警;例外签名动作:1.放行2.阻断3.告警4.加入黑名单;签名集动作:放行、告警,采用签名的动作
FW和NIP都支持反病毒,有什么区别?
NIP全局调用,FW上课针对相应策略
防火墙上的签名有动作,NIP上的签名一定要在覆盖签名下调用
IPS签名有什么?
自定义签名、签名集、例外签名、预定义签名
IPS部署方式,如果管理员允许病毒通过,改采用什么措施?
写一条例外签名
NIP的可靠性如何实现?
双机热备、Bypass卡。
部署双机热备则不能部署bypass。双机热备上下行必须为路由器
IPS和直路部署的区别?
直路可以直接零配置上线,并且支持主备和负载;旁路只支持主备
IDS的主动防御是什么?怎么做到的?
被动是和其他设备联动,主要是直接发送TCP的RESET消息,但只能针对TCP
推荐文章