DPI深度安全技术之IPS功能介绍-6W100-整本手册.pdf

李华

102

1页

1次

2022-06-27

免费下载

IPS相关说明

IPS功能需要购买并正确安装License后才能使用。License过期后，IPS功能可以采用设备中已有的IPS特征库正常工作，

但无法将特征库升级到更高版本。

DPI深度安全

IPS

新华三资料开发部出品

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品

技术介绍

IPS功能简介

IPS（Intrusion Prevention System，入侵防御系统）是一种对应用层攻击进行检测并防御的安全防护技术。IPS通过分

析网络流量来实时检测入侵行为，并通过响应动作阻断入侵行为，确保企业信息系统和网络免受攻击。

跨站脚本攻击

Device

（具备IPS功能）

Internet

内部服务器

内部主机

内部文件

HTML注入

蠕虫

SQL注入攻击

放行报文

丢弃报文

外网访问内网流量

内网访问外网流量

内网访问内网流量

木马

IPS实现原理

IPS功能通过应用层检测引擎对报文进行特征匹配来实时检测入侵行为，并基于IPS策略对报文进行处理。IPS策略中定

义了对哪些IPS特征进行匹配，以及对匹配成功的报文执行的动作。

应用层检测引擎对报文进行解压缩、重组和协议解析等

处理后，将报文与IPS特征进行匹配。如果特征匹配成

功，则下发匹配结果到IPS业务模块；如果特征匹配失

败，则直接放行报文，不进行后续IPS业务处理。

匹配特征

a b c

特征

1 2 3

s h e

a 1 b c 2 3

IPS业务模块根据动作推导结果，执行相应的动作：

 如果报文只与一个IPS特征匹配成功，则执行推导

出的动作。

 如果报文与多个IPS特征匹配成功，则执行推导出

的多个动作中优先级最高的动作。

其中，对于源阻断、报文捕获、记录日志，只要匹配成

功的特征中存在这些动作就会执行。

执行动作

动作a

动作b

报文捕获记录日志源阻断

动作a

重置

重定向

丢弃

允许

优先级由高到低

动作c

手工配置特征

导入Snort特征

官网获取特征库

加载特征到设备，为特征匹配提供丰富的资源。设备支持

如下两种类型的特征。

 预定义特征：从官网获取特征库文件后，可采用定时

升级、立即升级或离线升级的方式加载特征库到设备。

 自定义特征：包括Snort特征和手工配置特征。其中，

Snort特征是通过编辑Snort格式的IPS特征文件，并

将其导入设备中生成的IPS特征。

加载特征

IPS业务模块根据特征匹配结果，判断出特征所属的IPS

策略，进而推导出该IPS策略中特征需要执行的动作。

在一个IPS策略中，特征可能执行如下几类动作：

 IPS策略中指定特征的特例动作。

 IPS策略中所有特征统一执行的动作。

 IPS策略中指定特征的预定义动作。

各类动作的优先级由高到低依次为：特例动作 > 统一动

作 > 预定义动作。

推导动作

动作a

特征3

预定义动作统一动作特例动作

IPS策略3 IPS策略2 IPS策略1

动作b 动作c

特征3 特征2 特征1

IPS技术优势

不仅可以对二层到四层的报文信息进行检测，还可以对应

用层信息（如HTTP数据）进行深入检测和分析，发现潜

在的攻击。

深度检测报文内容

a X b c

在HTTP报文首部URI字段搜索

到关键字：abc

有效防误报

当用户通过IPS日志发现误报情况时，可通过IPS白名

单功能，将日志中的源IP地址、特征ID和URL加入IPS

白名单，设备将放行匹配白名单的报文，降低误报率。

特征ID

URL

源IP地址

IPS白名单

可视化展示IPS日志信息、统计排行和攻击趋势数据，并

支持将所展示的内容以报表的形式导出。帮助用户清晰地

了解网络安全现状，为用户制定和调整防护策略提供有力

的数据支持。

Top 5 攻击分类

溢出攻击

注入攻击

蠕虫

木马

跨网站脚本攻击

可视化展示统计数据

为了满足用户特定组网环境下的定制化防护需求，IPS支

持创建自定义特征，提供专项防护。用户可在充分掌握

攻击特点的情况下配置特征的具体内容，例如攻击所属

类型、攻击基于的应用层协议以及具体的协议字段等。

攻击类型：漏洞（跨站脚本）

协议字段：User-Agent

匹配方向：客户端

应用层协议：HTTP

匹配内容：MSIE

自定义特征A

灵活的自定义IPS特征资源丰富、更新及时的特征库

攻防团队实时掌握最新的攻击技术和趋势，不断丰富特征

库资源，并定期在官网发布IPS特征库。特征库涵盖了主

流操作系统、网络设备、数据库系统和应用软件系统的全

部漏洞特征以及蠕虫、病毒和木马等海量网络攻击特征。

定期更新特征库（每周一次）

24小时紧急更新特征库

IPS特征库

（当发现重大安全漏洞时）

IPS典型应用

边界部署，抵御外部攻击

设备部署在网络出口，实时检测并阻断黑客攻击流量。保证内网服务器和内网用户的安全。防御的典型攻击包括SQL注

入、XSS攻击、webshell上传、weblogic、struts2和 java反序列化等。

内部主机

内部服务器

Device

（具备IPS功能）

Internet

Switch Router

内网部署，防止非法外联

设备部署在内网，实时检测并阻断异常流量。可防止内网服务器非法外联、阻断内部恶意攻击、阻止已被入侵的主机在

企业内部横向传播等，保证内部业务系统和内网主机的安全。防御的典型攻击包括MS17-010、挖矿病毒、内网渗透的

横向攻击等。

内部主机（A区）

内部服务器

Switch

Internet

Gateway

Device

（具备IPS功能）

内部主机（B区）

Switch

IPS相关说明

IPS功能需要购买并正确安装License后才能使用。License过期后，IPS功能可以采用设备中已有的IPS特征库正常工作，

但无法将特征库升级到更高版本。

DPI深度安全

IPS

新华三资料开发部出品

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品

技术介绍

IPS功能简介

IPS（Intrusion Prevention System，入侵防御系统）是一种对应用层攻击进行检测并防御的安全防护技术。IPS通过分

析网络流量来实时检测入侵行为，并通过响应动作阻断入侵行为，确保企业信息系统和网络免受攻击。

跨站脚本攻击

Device

（具备IPS功能）

Internet

内部服务器

内部主机

内部文件

HTML注入

蠕虫

SQL注入攻击

放行报文

丢弃报文

外网访问内网流量

内网访问外网流量

内网访问内网流量

木马

IPS实现原理

IPS功能通过应用层检测引擎对报文进行特征匹配来实时检测入侵行为，并基于IPS策略对报文进行处理。IPS策略中定

义了对哪些IPS特征进行匹配，以及对匹配成功的报文执行的动作。

应用层检测引擎对报文进行解压缩、重组和协议解析等

处理后，将报文与IPS特征进行匹配。如果特征匹配成

功，则下发匹配结果到IPS业务模块；如果特征匹配失

败，则直接放行报文，不进行后续IPS业务处理。

匹配特征

a b c

特征

1 2 3

s h e

a 1 b c 2 3

IPS业务模块根据动作推导结果，执行相应的动作：

 如果报文只与一个IPS特征匹配成功，则执行推导

出的动作。

 如果报文与多个IPS特征匹配成功，则执行推导出

的多个动作中优先级最高的动作。

其中，对于源阻断、报文捕获、记录日志，只要匹配成

功的特征中存在这些动作就会执行。

执行动作

动作a

动作b

报文捕获记录日志源阻断

动作a

重置

重定向

丢弃

允许

优先级由高到低

动作c

手工配置特征

导入Snort特征

官网获取特征库

加载特征到设备，为特征匹配提供丰富的资源。设备支持

如下两种类型的特征。

 预定义特征：从官网获取特征库文件后，可采用定时

升级、立即升级或离线升级的方式加载特征库到设备。

 自定义特征：包括Snort特征和手工配置特征。其中，

Snort特征是通过编辑Snort格式的IPS特征文件，并

将其导入设备中生成的IPS特征。

加载特征

IPS业务模块根据特征匹配结果，判断出特征所属的IPS

策略，进而推导出该IPS策略中特征需要执行的动作。

在一个IPS策略中，特征可能执行如下几类动作：

 IPS策略中指定特征的特例动作。

 IPS策略中所有特征统一执行的动作。

 IPS策略中指定特征的预定义动作。

各类动作的优先级由高到低依次为：特例动作 > 统一动

作 > 预定义动作。

推导动作

动作a

特征3

预定义动作统一动作特例动作

IPS策略3 IPS策略2 IPS策略1

动作b 动作c

特征3 特征2 特征1

IPS技术优势

不仅可以对二层到四层的报文信息进行检测，还可以对应

用层信息（如HTTP数据）进行深入检测和分析，发现潜

在的攻击。

深度检测报文内容

a X b c

在HTTP报文首部URI字段搜索

到关键字：abc

有效防误报

当用户通过IPS日志发现误报情况时，可通过IPS白名

单功能，将日志中的源IP地址、特征ID和URL加入IPS

白名单，设备将放行匹配白名单的报文，降低误报率。

特征ID

URL

源IP地址

IPS白名单

可视化展示IPS日志信息、统计排行和攻击趋势数据，并

支持将所展示的内容以报表的形式导出。帮助用户清晰地

了解网络安全现状，为用户制定和调整防护策略提供有力

的数据支持。

Top 5 攻击分类

溢出攻击

注入攻击

蠕虫

木马

跨网站脚本攻击

可视化展示统计数据

为了满足用户特定组网环境下的定制化防护需求，IPS支

持创建自定义特征，提供专项防护。用户可在充分掌握

攻击特点的情况下配置特征的具体内容，例如攻击所属

类型、攻击基于的应用层协议以及具体的协议字段等。

攻击类型：漏洞（跨站脚本）

协议字段：User-Agent

匹配方向：客户端

应用层协议：HTTP

匹配内容：MSIE

自定义特征A

灵活的自定义IPS特征资源丰富、更新及时的特征库

攻防团队实时掌握最新的攻击技术和趋势，不断丰富特征

库资源，并定期在官网发布IPS特征库。特征库涵盖了主

流操作系统、网络设备、数据库系统和应用软件系统的全

部漏洞特征以及蠕虫、病毒和木马等海量网络攻击特征。

定期更新特征库（每周一次）

24小时紧急更新特征库

IPS特征库

（当发现重大安全漏洞时）

IPS典型应用

边界部署，抵御外部攻击

设备部署在网络出口，实时检测并阻断黑客攻击流量。保证内网服务器和内网用户的安全。防御的典型攻击包括SQL注

入、XSS攻击、webshell上传、weblogic、struts2和 java反序列化等。

内部主机

内部服务器

Device

（具备IPS功能）

Internet

Switch Router

内网部署，防止非法外联

设备部署在内网，实时检测并阻断异常流量。可防止内网服务器非法外联、阻断内部恶意攻击、阻止已被入侵的主机在

企业内部横向传播等，保证内部业务系统和内网主机的安全。防御的典型攻击包括MS17-010、挖矿病毒、内网渗透的

横向攻击等。

内部主机（A区）

内部服务器

Switch

Internet

Gateway

Device

（具备IPS功能）

内部主机（B区）

Switch

of 1

免费下载

h3c 数据安全

关注

评论