監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

用IPS追蹤入侵者系列之“行為處理法”

申請免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

行為處理法的用途

前文介紹了如何通過IPS入侵防御系統(tǒng)在第一時間發(fā)現(xiàn)攻擊者以及分析下連設(shè)備主機(jī)漏洞,今天我們繼續(xù)為大家講解入侵防御系統(tǒng)IPS的一大特色功能——行為處理法,通過行為處理法我們可以更加靈活的選擇入侵防御系統(tǒng)發(fā)現(xiàn)入侵?jǐn)?shù)據(jù)包后采取的措施與行為,這個特色也是IPS入侵防御系統(tǒng)與IDS入侵檢測系統(tǒng)最大的區(qū)別。

一、行為處理法的用途:

行為處理法就是針對不同類型的網(wǎng)絡(luò)通訊數(shù)據(jù)包采取不同的轉(zhuǎn)發(fā)和處理策略,例如正常通訊數(shù)據(jù)包可以容許通過,漏洞攻擊數(shù)據(jù)包直接禁止通行或者轉(zhuǎn)發(fā)到一個固定的服務(wù)器進(jìn)行分析,一些非常規(guī)數(shù)據(jù)包則首先放行但是對其進(jìn)行記錄監(jiān)控如果影響正常網(wǎng)絡(luò)服務(wù)就馬上禁用。

通過行為處理法我們可以輕松應(yīng)對企業(yè)網(wǎng)絡(luò)通訊中有用的,非法的,不確定的數(shù)據(jù)包,根據(jù)協(xié)議不同功能不同端口不同目的地址的不同采取不同的處理策略。每過一段時間我們可以通過IPS入侵防御系統(tǒng)的日志來分析各個類型的數(shù)據(jù)包,然后根據(jù)統(tǒng)計(jì)歸納制訂新的行為處理規(guī)則,讓企業(yè)網(wǎng)絡(luò)更加穩(wěn)固的運(yùn)行。

二、用行為處理法追蹤入侵者:

下面我們就來了解下行為處理法是如何運(yùn)轉(zhuǎn)工作的,我們依舊以華為公司的Tippingpoint入侵防御系統(tǒng)為例進(jìn)行介紹。

(1)行為處理法之配置安全策略:

第一步:登錄到IPS系統(tǒng)管理界面,我們在左邊找到IPS選項(xiàng)下的security profiles,這個是關(guān)于安全配置的信息,在這里我們能夠看到默認(rèn)的是default security profile,這個是系統(tǒng)集成時廠商制訂好的。(如圖1)

第二步:下面我們來修改這個默認(rèn)的default security profile,打開后會顯示該安全策略應(yīng)用的接口,由于筆者所在公司只使用了兩個接口,一個入一個出所以這里不用修改。(如圖2)

第三步:接下來是profile details(advanced)設(shè)置,這里是關(guān)于策略的詳細(xì)信息進(jìn)行配置的。我們可以看到默認(rèn)情況系統(tǒng)針對各個攻擊類型劃分了類別,每個類別是一個category??梢蕴幚淼墓舭╡xploits益出,identity theft,security policy(安全策略),virus病毒,spyware間諜程序等等,種類很多這里就不一一羅列了,對于每個大類category來說我們都可以設(shè)置IPS操作的行為以及處理方法,包括block禁止通行,block+notify禁止通行并提示,block+notify+trace禁止通行并提示而且追蹤源地址,limit rate to 10M容許速度限制為10M,limit rate to 5M,permit+notify,perminotify+trace容許通行并追蹤數(shù)據(jù)等等。基本上這里羅列的行為處理方法足夠在實(shí)際中使用了,如果企業(yè)需要特殊的行為處理操作的話可以按照下文介紹的方法添加。這里有一個recommended的意思是推薦,他表示對于該大類處理方法按照單獨(dú)小類進(jìn)行處理,例如virus下有A病毒與B病毒,如果大類virus設(shè)置為recommended的話,那么具體到處理AB病毒時按照A病毒與B病毒自身設(shè)置的行為處理規(guī)則運(yùn)行。(如圖3)

第四步:在該默認(rèn)安全策略的最后一個區(qū)域就是我們之前提到的針對單個種類病毒,單個種類的漏洞以及攻擊腳本進(jìn)行策略設(shè)置,理論上小類設(shè)置服從大類的配置類別,如果大類設(shè)置為recommended的話按照小類的action行為參數(shù)實(shí)施。小類行為處理時可以通過右邊的編輯選項(xiàng)修改或叉子按鈕刪除該安全類別。(如圖4)

第五步:每個安全規(guī)律規(guī)則都有詳細(xì)的講解內(nèi)容,我們可以從該頁面了解其運(yùn)行原理以及避免解決辦法。(如圖5)

第六步:針對單獨(dú)小類進(jìn)行設(shè)置可以讓我們的網(wǎng)絡(luò)管理以及IPS入侵防御系統(tǒng)運(yùn)行得更有效率,更加靈活的應(yīng)對不同安全級別不同漏洞種類的攻擊數(shù)據(jù)包。(如圖6)

發(fā)布:2007-04-22 09:08    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA信息化其他應(yīng)用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項(xiàng)目管理系統(tǒng)開發(fā)