防火墙入侵防御

0. 入侵概述

· 入侵是指指未经授权而尝试访问信息系统资源、篡改信息系统中的数据，使信息系统不可靠或不能使用的行为。

· 入侵企图破坏信息系统的完整性、机密性、可用性以及可控性。

· 常见入侵手段如下：

1> 利用系统及软件的漏洞
2> DDoS攻击
3> 病毒及恶意软件安全威胁

· 什么是漏洞威胁？

1> 网络攻击者、企业内部恶意员工利用系统及软件的漏洞入侵服务器，严重威胁企业关键业务数据的安全。

· 什么是DDoS攻击？

1> Distributed Denial of Service，即分布式拒绝服务。

2> DDoS攻击是指攻击者通过控制大量的僵尸主机，向被攻击目标发送大量精心构造的攻击报文。

3> 造成被攻击者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者产生拒绝向正常用户提供服务的效果。

4> 目前，互联网中存在着大量的僵尸主机和僵尸网络，在商业利益的驱使下，DDoS攻击已经成为互联网面 临的重要安全威胁。遭受DDoS攻击时，网络带宽被大量占用，网络陷于瘫痪；受攻击服务器资源被耗尽无 法响应正常用户请求，严重时会造成系统死机，企业业务无法正常运行。

· 什么是恶意代码入侵威胁？

1> 恶意代码包含病毒、木马和间谍软件等.

2> 恶意代码可感染或附着在应用程序或文件中，一般通过邮件或文件共享等方式进行传播。

3> 恶意代码入侵威胁包括以下特点：

[1] 浏览网页和邮件传输是病毒、木马、间谍软件进入内网的主要途径。
[2] 病毒能够破坏计算机系统，纂改、损坏业务数据。
[3] 木马使攻击者不仅可以窃取计算机上的重要信息，还可以对内网计算机破坏。
[4] 间谍软件搜集、使用并散播企业员工的敏感信息，严重干扰企业的正常业务。
[5] 桌面型反病毒软件难以从全局上防止恶意代码泛滥。

1. 入侵防御技术

· 入侵防御是一种安全机制，通过分析网络流量，检测入侵。

· 并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。

· 入侵防御功能通常用于防护来自内部或外部网络对内网服务器和客户端的入侵。

· 华为USG-IPS功能部署模式：接口对直路部署

1> 透明接入网络。

2> 优点：实时监控，提高安全性。

3> 缺点：增加转发延迟，降低转发效率，设备故障后会导致网络中断。

· 华为USG-IPS功能部署模式：旁路检测部署

1> 旁路检测。

2> 优点：设备故障不会影响现有网络，不会导致网络转发延迟。

3> 缺点：通过流量备份技术执行非实时监控，安全性较低。

· 华为USG-IPS功能部署模式：三层接口，激活IPS功能

1> 防火墙正常使用三层接口，做为各区域网关，通过激活并调用IPS功能也可以实现检测。

2> 优点：无需更改现有配置和增加物理连线，实时监控，安全性高。

3> 缺点：对设备性能要求高，增加转发延迟，降低转发效率，设备故障后会导致网络中断。

· 华为入侵检测实现机制（四块内容）：

· 什么是签名？

1> 入侵防御签名用来描述网络中攻击行为的特征。

2> 防火墙通过将数据流和入侵防御签名进行比较来检测和防范攻击。

· 什么是签名过滤器？

1> 由于设备升级签名库后会存在大量签名，而这些签名是没有进行分类的。

2> 且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，并过滤掉。

3> 签名过滤器是满足指定过滤条件的集合。

· 什么是例外签名？

1>由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与签名过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

2> 例外签名的动作分为：
[1] 阻断：丢弃命中签名的报文并记录日志。
[2] 告警：对命中签名的报文放行，但记录日志。
[3] 放行：对命中签名的报文放行，且不记录日志。
[4] 添加黑名单：丢弃命中签名的报文，记录日志，并可将报文的源地址或目的地址添加至黑名单。

3> 例外签名的动作优先级高于签名过滤器。

· 入侵防御对数据流的处理

1> 当数据流命中的攻击防御模板中包含入侵防御模板时，设备将数据流送到入侵防御模块，并依次匹配入侵防御模板引用的签名。