IPS入侵防護系統

入侵防護系統分類

1、基於主機的防護系統（hips），安裝在受保護的主機系統中，通過監視核心的系統呼叫，檢測並阻擋針對本機的威脅和攻擊。

2、基於網路的防護系統（nips），布置於網路出口處，一般串聯於防火牆與路由器之間，對攻擊的誤報會造成合法的通訊被阻斷，導致拒絕服務。

3、應用入侵防護系統（aips），一般部署於伺服器前端。

入侵檢測系統分為兩類–集中式和分布式。

分布式入侵檢測系統分為層次式、協作式、對等式，其中對等式能真正避免單點失效故障。

應用入侵防護系統可以阻擋多種入侵，例如cookie篡改、sql**嵌入、引數篡改、緩衝器溢位、強制瀏覽等等。

至於tap是分路器，用於入侵檢測，而非入侵防護。

入侵檢測系統的部署

入侵檢測系統的探測器可以通過三種方式部署：

1、在交換機上做映象埠（網路介面卡與交換裝置的監控埠連線，通過交換裝置的span/mirror功能將流向各埠的資料報複製乙份給監控埠）。

2、串接集線器（在網路中增加一台集線器，通過集線器獲取資料報）。

3、部署tap分路器（通過乙個tap對交換式網路中的資料報進行分析和處理）。

集線器會把資料廣播到所有埠，擴大衝突域，對網路效能造成很大的影響。但是，探測器的基本功能是捕獲網路資料報，並對資料報進一步分析和判斷，當發現可疑的事件時觸發探測器傳送警報，如果把探測器串聯到鏈路中，網路中傳輸的所有資料報都要被分析，對網路效能影響最大（參考各類車站的安檢）。

交換機採用的是交換式技術，正常情況下只會把資料**到通往目的地的埠，不會將資料擴散到其他埠，所以無法實現監聽，除非被配置了映象埠。

防病毒軟體的配置

網路版防病毒系統由系統中心、伺服器端、客戶端、管理控制台組成。

管理控制台既可以安裝在伺服器端，也可以安裝在客戶端。

伺服器端和客戶端的安裝都可以採用本地安裝、遠端安裝、web安裝、指令碼登入安裝等方式。

系統的資料通訊埠是允許由管理員設定的。

cisco pix 525防火牆配置命令conduit

permit|deny設定允許或拒絕訪問

global_ip是由global或static命令定義的全域性ip位址

protocol指的是連線協議，可選項包括tcp、udp、icmp。

port表示服務的埠號

網路安全評估和漏洞查詢辦法

網路安全風險評估系統是一種集網路安全檢測、風險評估、修復、統計分析和網路安全風險集中控制管理功能於一體的網路安全裝置。

網路安全評估分析技術常被用來進行穿透實驗和安全審計。

大型網路中，評估分析系統通常採用控制台和**相結合的結構。

採用漏洞掃瞄工具是實施漏洞查詢的常用方法，掃瞄分為被動和主動兩種。被動掃瞄對網路上流量進行分析，不產生額外的流量，不會導致系統的崩潰；主動掃瞄則更多地帶有入侵的意味，可能會影響網路系統的正常執行。

iss能掃瞄一些眾所周知的系統漏洞和系統弱點，並具有漏洞分析功能。

x-scanner採用多執行緒方式對指定ip位址段進行安全漏洞掃瞄。

網路安全規範

tcsec劃分了7個等級，安全級別從低到高分別是d、c1、c2、b1、b2、b3、a1。d類安全要求最低，屬於非安全保護類；c類是使用者能定義訪問控制要求的自主保護型別；b類屬於強制型安全保護型別；a類安全要求最高。

防火牆系統結構

包過濾路由的關鍵是制訂包過濾規則，包過濾路由器分析所接收的包，按照每一條包過濾規則加以判斷，符合**規則的包將被**，不符合的包將被丟棄。

資料報位於網路層，所以包過濾在網路層、傳輸層進行操作，無法處理應用層的資訊。teardrop利用os處理分片重疊報文的漏洞進行攻擊（報文，傳輸層），包過濾路由器能夠阻斷的teardrop攻擊。