NIP介紹

NIP簡(jiǎn)介：

NIP是華為的IPS設(shè)備。

NIP出廠時(shí)固定接口板和擴(kuò)展接口卡上的業(yè)務(wù)接口都劃分為固定接口對(duì)，每對(duì)接口對(duì)之間相互獨(dú)立并隔離。您可以將每對(duì)接口對(duì)視作一臺(tái)虛擬IPS設(shè)備或IDS設(shè)備，基于不同的接口對(duì)配置不同的應(yīng)用安全策略，滿足不同的安全防護(hù)需求。

NIP的業(yè)務(wù)接口都工作在二層，能夠不改變客戶現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，直接透明接入客戶網(wǎng)絡(luò)，且配置了缺省的威脅防護(hù)策略，接入網(wǎng)絡(luò)后即可啟動(dòng)防護(hù)。

NIP產(chǎn)品默認(rèn)開(kāi)啟阻截的簽名的比率非常高，在不影響用戶正常業(yè)務(wù)的情況下，可以最大程度地化解威脅。管理員就無(wú)需對(duì)照冗長(zhǎng)的日志來(lái)查看是否有誤報(bào)，是否需要關(guān)閉一些簽名等。

IPS部署模式

概述：

IPS（入侵防御系統(tǒng)）部署模式：直路部署，單臂部署，旁路部署。

IDS（入侵檢測(cè)系統(tǒng)）部署模式：旁路部署。

IPS直路部署場(chǎng)景（三種情況）：

當(dāng)NIP作為IPS設(shè)備直路部署時(shí)，用戶只需要將接口對(duì)串行接入到需要保護(hù)的網(wǎng)絡(luò)鏈路上，即完成 了部署。直路部署的IPS設(shè)備，能有效防御攻擊。

情況一：

部署互聯(lián)網(wǎng)入口的應(yīng)用場(chǎng)景，主要用來(lái)保護(hù)企業(yè)內(nèi)網(wǎng)客戶端的安全

情況二：

部署服務(wù)器前端保護(hù)企業(yè)內(nèi)部信息系統(tǒng)（數(shù)據(jù)庫(kù)、DNS服務(wù)器、Web服務(wù)器、eMail服務(wù)器等）的安全。同時(shí)，利用NIP的報(bào)表功能，管理員可以直觀地了解網(wǎng)絡(luò)的健康狀況。

情況三：

企業(yè)各部門網(wǎng)絡(luò)前面部署NIP，在企業(yè)總部和分支機(jī)構(gòu)之間部署NIP，保護(hù)各網(wǎng)絡(luò)內(nèi)部應(yīng)用的安全，同時(shí)防止安全風(fēng)險(xiǎn)向其他網(wǎng)絡(luò)蔓延。
即使企業(yè)的總部和分支之間是通過(guò)VPN連接的，NIP也無(wú)需做VPN解密。原因是NIP部署的位置在邊界路由器或者防火墻的后面，NIP收到的報(bào)文都已解密。

IPS直路部署可以零配置上線，上行口插a01，下行口插b01，初始情況，在接口對(duì)下調(diào)用了默認(rèn)策略

部署優(yōu)缺點(diǎn)：

• 優(yōu)點(diǎn)：能對(duì)流量進(jìn)行控制、零配置上線。
• 缺點(diǎn)：單點(diǎn)故障，加大網(wǎng)絡(luò)延時(shí)。

IPS單臂部署：

通過(guò)VLAN引流，單臂部署的方式的優(yōu)勢(shì)在于：不需要改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，節(jié)省NIP物理接口。

當(dāng)NIP作為IPS設(shè)備單臂部署或作為IDS設(shè)備時(shí)，用戶只需要使用接口對(duì)中的一個(gè)接口旁掛在網(wǎng)絡(luò)中。

NIP在單臂部署方式下支持的功能不如直路部署方式時(shí)全面，不支持流量Bypass

A場(chǎng)景：

NIP只與交換機(jī)邊一根線，交換機(jī)的G0/2口配置trunk。允許Vlan100和Vlan101，NIP上起子接口，配置Vlan100，Vlan101（配置VLAN tag，在NIP上勾選同口進(jìn)出模式）

場(chǎng)景B：

NIP出廠的時(shí)候會(huì)生成如a01-b01這種接口對(duì)，從a01-流進(jìn)來(lái)的會(huì)從b01流出去（反之亦然）。并且可以解vlan tag和打vlan tag。因此給a01配成vlan100，b01配成vlan200當(dāng)流量從a0/2口流入到a01，然后NIP再?gòu)腷01接口處到vlan200，因此流量經(jīng)過(guò)NIP時(shí)，NIP發(fā)現(xiàn)攻擊便可給予做阻斷動(dòng)作

部署優(yōu)缺點(diǎn)：

• 優(yōu)點(diǎn)：可以對(duì)流量做阻斷。
• 缺點(diǎn)：流量都要經(jīng)過(guò)NIP，NIP是入侵防御系統(tǒng)，NIP會(huì)對(duì)數(shù)據(jù)包做重組，會(huì)對(duì)數(shù)據(jù)的傳輸層，網(wǎng)絡(luò)層，應(yīng)用層中各字段做分析并與簽名庫(kù)存做比對(duì)，如果沒(méi)有問(wèn)題，才轉(zhuǎn)發(fā)出去。這樣會(huì)加大網(wǎng)絡(luò)的延時(shí)。同時(shí)，這里NIP會(huì)是一個(gè)單點(diǎn)故障，為解決這問(wèn)題一般會(huì)做雙機(jī)。

IPS旁路部署：

通過(guò)交換機(jī)鏡像引流。

NIP提供的固定接口對(duì)缺省工作在直路IPS模式，旁路部署時(shí)需要將接口對(duì)切換到IDS模式，使用接口對(duì)中的IDS接口進(jìn)行旁路部署。

旁路部署主要用來(lái)記錄各類攻擊事件和網(wǎng)絡(luò)應(yīng)用流量情況，進(jìn)而進(jìn)行網(wǎng)絡(luò)安全事件審計(jì)和用戶行為分析。在這種部署方式下一般不進(jìn)行防御響應(yīng)，如果有特殊需要也可以配置進(jìn)行響應(yīng)。旁路部署方式NIP不參與流量轉(zhuǎn)發(fā)，配置的安全策略用來(lái)指定對(duì)哪些威脅進(jìn)行檢測(cè)并記錄。

NIP旁路部署的情況下，也具備一定的響應(yīng)能力，也就是在發(fā)現(xiàn)威脅后，能夠通過(guò)發(fā)送RST報(bào)文來(lái) 終止某個(gè)TCP流，減緩攻擊的危害。

IPS旁路部署注意點(diǎn)：

• IDS設(shè)備和旁路部署的IPS設(shè)備，只檢測(cè)攻擊行為，不防御。
• IDS設(shè)備和旁路部署的IPS設(shè)備不提供反病毒功能。
• IDS設(shè)備和旁路部署的IPS設(shè)備只檢測(cè)并記錄攻擊事件，不進(jìn)行異常流量清洗。(應(yīng)用層DDOS）
• IDS設(shè)備和旁路部署的IPS設(shè)備不提供應(yīng)用流量控制功能，管理員可以通過(guò)分析和報(bào)表功能，查看 網(wǎng)絡(luò)流量中的應(yīng)用組成情況
• IDS設(shè)備、旁路部署的IPS設(shè)備以及單臂部署的IPS設(shè)備不提供網(wǎng)絡(luò)級(jí)高可靠性。（雙機(jī)熱備和 Bypass卡）

直連支持雙機(jī)熱備，主備模式和負(fù)載分擔(dān)。

旁路部署只支持主備模式。

IDS部署模式

IDS部署場(chǎng)景：

IDS產(chǎn)品采用的是旁路部署方式，一般直接通過(guò)交換機(jī)的監(jiān)聽(tīng)口進(jìn)行網(wǎng)絡(luò)報(bào)文采樣，或者在需要監(jiān)聽(tīng)的網(wǎng)絡(luò)線路上放置偵聽(tīng)設(shè)備（如分光器）。每臺(tái)交換機(jī)上只能監(jiān)聽(tīng)到和該交換機(jī)直連的主機(jī)間的流量和通過(guò)該交換機(jī)發(fā)往其他交換機(jī)的流量，部署在其他交換機(jī)下的主機(jī)間的流量無(wú)法被監(jiān)聽(tīng)。由于企業(yè)內(nèi)網(wǎng)可能層次化部署交換機(jī)，這種情況下，需要將所有需要監(jiān)聽(tīng)的網(wǎng)段的交換機(jī)上的流量都通過(guò)監(jiān)聽(tīng)端口連接到IDS設(shè)備上，然后對(duì)流量進(jìn)行檢測(cè)分析

總結(jié)：

• 直路：直接串連進(jìn)現(xiàn)網(wǎng)，可以對(duì)攻擊行為進(jìn)行實(shí)時(shí)防護(hù)，缺點(diǎn)是部署的時(shí)候需要斷網(wǎng)，并增加了故障點(diǎn)
• 單臂：旁掛在交換機(jī)上，不需改變現(xiàn)網(wǎng)，缺點(diǎn)是流量都經(jīng)過(guò)一個(gè)接口，處理性能減半，另外不支持BYPASS
• 旁路：通過(guò)流量鏡像方式部署，不改變現(xiàn)網(wǎng)，缺點(diǎn)是只能檢測(cè)不能進(jìn)行防御

IPS設(shè)備和IDS設(shè)備的主要差異在于部署位置和作用不同。IPS設(shè)備的主要部署方式是直路接入原 有網(wǎng)絡(luò)，阻斷包含攻擊的連接；而IDS設(shè)備的部署方式是旁路監(jiān)聽(tīng)，主要用于分析流量、記錄各類攻擊事件作為后續(xù)評(píng)估網(wǎng)絡(luò)狀況和審計(jì)的依據(jù)。IPS設(shè)備也提供了與IDS設(shè)備一樣的旁路部署方式，并且支持直路/旁路混合部署，使得一 臺(tái)IPS設(shè)備可以同時(shí)提供IPS和IDS的能力。

IPS工作原理：

NIP工作原理：

進(jìn)入流量防護(hù)和整形模塊，按照配置的閾值清洗掉DoS/DDoS異常攻擊流量。

進(jìn)入應(yīng)用識(shí)別和控制模塊，基于業(yè)務(wù)感知技術(shù)識(shí)別出P2P、IM、游戲等網(wǎng)絡(luò)應(yīng)用協(xié)議，并根據(jù)配置的動(dòng)作進(jìn)行阻斷、限流等響應(yīng)措施

進(jìn)入報(bào)文重組模塊為威脅檢測(cè)做準(zhǔn)備。重組包括IP分片重組和TCP流重組，防止一些攻擊使用分片和分段技巧來(lái)躲避檢測(cè)。

進(jìn)入威脅防護(hù)引擎，對(duì)各類網(wǎng)絡(luò)攻擊、漏洞利用等進(jìn)行防護(hù)。
A.首先進(jìn)入?yún)f(xié)議和應(yīng)用識(shí)別模塊，識(shí)別流量承載的協(xié)議。
B.進(jìn)入解碼和歸一模塊，還原協(xié)議原有內(nèi)容，并進(jìn)行協(xié)議規(guī)范性檢查
C.進(jìn)入簽名檢測(cè)模塊，通過(guò)將報(bào)文內(nèi)容和威脅防護(hù)簽名進(jìn)行模式匹配來(lái)檢測(cè)和防范攻擊。
? NIP對(duì)簽名的響應(yīng)動(dòng)作除告警、阻斷外，還支持IP隔離、防火墻聯(lián)動(dòng)、攻擊抓包等。

進(jìn)入U(xiǎn)RL過(guò)濾規(guī)則匹配模塊，根據(jù)配置的URL過(guò)濾規(guī)則匹配用戶的URL訪問(wèn)請(qǐng)求，并作出相應(yīng)的處理。
進(jìn)入文件提取模塊，根據(jù)協(xié)議分析的結(jié)果，提取出其中的文件數(shù)據(jù)，并組裝成完整的文件，交給病毒掃描引擎進(jìn)行處理。

進(jìn)入病毒掃描引擎，對(duì)文件進(jìn)行分析，識(shí)別出該文件真實(shí)的文件類型后進(jìn)行病毒掃描，并根據(jù)配置的動(dòng)作進(jìn)行阻斷、告警等響應(yīng)措施，防范病毒威脅。
如果是壓縮文件，則進(jìn)行解壓縮處理，并對(duì)解壓縮出來(lái)的子文件進(jìn)行分析并識(shí)別其真實(shí)的文件類型，再進(jìn)行病毒掃描。
如果不是壓縮文件，則結(jié)合其真實(shí)文件類型，進(jìn)行病毒掃描。

NIP配置思路

配置管理IP
出廠時(shí)，管理接口的IP地址設(shè)置為192.168.0.1/24，首先根據(jù)實(shí)際網(wǎng)絡(luò)的數(shù)據(jù)規(guī)劃修改管理接口的IP地址、配置默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器，然后等NIP接入網(wǎng)絡(luò)中，這樣NIP就能訪問(wèn)互聯(lián)網(wǎng)、接受來(lái)自控制臺(tái)的訪問(wèn)等。

配置接口對(duì)
NIP出廠時(shí)a01-b01已固定成為IPS接口對(duì)

升級(jí)簽名庫(kù)和應(yīng)用控制知識(shí)庫(kù)
NIP加載簽名庫(kù)后才能進(jìn)行威脅防護(hù)相關(guān)的配置，加載應(yīng)用控制知識(shí)庫(kù)后才能進(jìn)行應(yīng)用控制相關(guān)的配置；
NIP首次上電啟動(dòng)會(huì)自動(dòng)加載出廠默認(rèn)的簽名庫(kù)和應(yīng)用控制知識(shí)庫(kù)。雖然使用出廠默認(rèn)的簽名庫(kù)和知識(shí)庫(kù)也可以完成業(yè)務(wù)配置，但是建議在配置業(yè)務(wù)前先升級(jí)簽名庫(kù)和應(yīng)用控制知識(shí)庫(kù)來(lái)獲取最新的防范能力。NIP進(jìn)行運(yùn)行維護(hù)階段后，如無(wú)特殊情況，周期性升級(jí)簽名庫(kù)和應(yīng)用控制知識(shí)庫(kù)即可。
升級(jí)簽名庫(kù)和應(yīng)用控制知識(shí)庫(kù)需要激活license，每臺(tái)NIP都對(duì)應(yīng)唯一的license文件；

配置應(yīng)用安全（應(yīng)用控制策略、威脅防護(hù)策略）
NIP已經(jīng)為常用的應(yīng)用場(chǎng)景定義了威脅防護(hù)策略模板，可以直接引用策略模板生成策略，當(dāng)策略模板不能滿足需求時(shí)，也可以自行配置威脅防護(hù)策略。

將應(yīng)用控制策略和威脅防護(hù)策略應(yīng)用到接口對(duì)
接口對(duì)是雙向的，分別a01到b01和b01到a01。將威脅防護(hù)策略應(yīng)用到接口對(duì)時(shí)，要將策略應(yīng)用在發(fā)起訪問(wèn)的方向。

配置流量安全（可選）

配置帶寬策略（可選）

查看日志和報(bào)表
NIP能夠?qū)⑷罩敬嫒刖彌_區(qū)，并直接通過(guò)NIP自動(dòng)的嵌入式web服務(wù)器查看。同時(shí)，還可以配置將日志發(fā)送到NIP manager，NIP manager會(huì)將日志匯總、分析并生成報(bào)表，方便管理員了解網(wǎng)絡(luò)中流量的具體情況。

NIP知識(shí)點(diǎn)

簽名是什么?NIP簽名集包括哪些內(nèi)容？

入侵防御簽名用來(lái)描述網(wǎng)絡(luò)中攻擊行為的特征，NIP通過(guò)將數(shù)據(jù)流和入侵防御簽名進(jìn)行比較來(lái)檢測(cè)和防范攻擊。

預(yù)定義簽名是入侵防御特征庫(kù)中包含的簽名。
預(yù)定義簽名包含的內(nèi)容：名稱、方向、協(xié)議、嚴(yán)重性、描述、可信度、狀態(tài)、類別、對(duì)策、參考信息、被攻擊廠商列表
每個(gè)預(yù)定義簽名都有缺省的動(dòng)作：放行 告警 阻斷

自定義簽名是指管理員通過(guò)自定義規(guī)則創(chuàng)建的簽名。
自定義簽名包含的內(nèi)容：ID、方向、協(xié)議、嚴(yán)重性、描述、名稱、源目地址、源目端口，源目掩碼、搜索長(zhǎng)度、搜索偏移、關(guān)鍵字
每個(gè)預(yù)定義簽名都有缺省的動(dòng)作:阻斷和告警 放行

簽名集是滿足指定過(guò)濾條件的預(yù)定義簽名的集合（NTP 2000 5000)
簽名集 內(nèi)容包括：名稱、方向、嚴(yán)重性、可信度、協(xié)議、類別、狀態(tài)、動(dòng)作。

?

防火墻叫簽名過(guò)濾器.

簽名過(guò)濾器：

簽名過(guò)濾器是滿足指定過(guò)濾條件的集合。簽名過(guò)濾器的過(guò)濾條件包括：簽名的類別、對(duì)象、協(xié)議、嚴(yán)重性、操作系統(tǒng)等。

?

簽名過(guò)濾器的動(dòng)作分為阻斷、告警和采用簽名的缺省動(dòng)作。

簽名過(guò)濾器的動(dòng)作優(yōu)先級(jí)高于簽名缺省動(dòng)作，當(dāng)簽名過(guò)濾器的動(dòng)作不采用簽名缺省動(dòng)作時(shí)，以簽名過(guò)濾器設(shè)置的動(dòng)作為準(zhǔn)。

各簽名過(guò)濾器之間存在優(yōu)先關(guān)系（按照配置順序，先配置的優(yōu)先）。如果一個(gè)安全配置文件中的兩個(gè)簽名過(guò)濾器包含同一個(gè)簽名，當(dāng)報(bào)文命中此簽名后，設(shè)備將根據(jù)優(yōu)先級(jí)高的簽名過(guò)濾器的動(dòng)作對(duì)報(bào)文進(jìn)行處理。

例外簽名：

根據(jù)簽名ID，例外簽名的動(dòng)作分為阻斷、告警、放行和添加黑名單

例外簽名的動(dòng)作優(yōu)先級(jí)高于簽名過(guò)濾器。如果一個(gè)簽名同時(shí)命中例外簽名和簽名過(guò)濾器，則以例外簽名的動(dòng)作為準(zhǔn)。

注意：IPS部署方式，如果管理員允許病毒通過(guò)，采用例外簽名！

簽名、簽名過(guò)濾器、例外簽名優(yōu)先級(jí)：

例外簽名>簽名過(guò)濾器>簽名缺省

IDS是如何被動(dòng)防御攻擊的？

通過(guò)與防火墻聯(lián)動(dòng)來(lái)進(jìn)行防御，最大支持3臺(tái)。
NIP會(huì)以旁路的方式接入到網(wǎng)絡(luò)上，經(jīng)過(guò)防火墻的流量同時(shí)會(huì)鏡像到NIP的業(yè)務(wù)口，由NIP檢測(cè)和分析應(yīng)用層的攻擊、漏洞、病毒、異常流量等。然后NIP把需要被阻斷的報(bào)文IP地址、阻斷時(shí)間信息從管理接口發(fā)送給防火墻，由防火墻實(shí)施阻斷操作。

IDS主動(dòng)防御:NIP旁路部署的情況下，也具備一定的響應(yīng)能力，也就是在發(fā)現(xiàn)威脅后，能夠通過(guò)發(fā)送RST報(bào)文來(lái) 終止某個(gè)TCP流，減緩攻擊的危害

如果出現(xiàn)IPS誤報(bào)，最快的解決方案？

A. 做例外簽名 ——- FW設(shè)備
B. 會(huì)話中取消UTM ———FW設(shè)備

防火墻如何匹配簽名？

NGFW將解析后的報(bào)文特征與簽名進(jìn)行匹配，如果命中了簽名，則進(jìn)行響應(yīng)處理。

IPS與AV特性對(duì)比:

• 相同點(diǎn): 兩者都是基于特征檢測(cè)方式，檢測(cè)效果依賴于特征庫(kù)的更新。
• 不同點(diǎn)
  • IPS特性關(guān)注所有協(xié)議，側(cè)重于報(bào)文內(nèi)容級(jí)別的檢測(cè)；反病毒特性針對(duì)特定協(xié)議（FTP/HTTP/SMTP/POP3/IMAP/NFS/SMB），側(cè)重文件級(jí)別的檢測(cè)。
  • 單就病毒檢測(cè)這一塊來(lái)說(shuō)，兩者功能有重疊，IPS特性中也包括病毒檢測(cè)，但是檢測(cè)力度和支持情況不如反病毒特性。IPS特性和反病毒特征是相互補(bǔ)充的關(guān)系，不存在取代關(guān)系

FW和NIP都支持反病毒，設(shè)備區(qū)別？

• FW是基于策略調(diào)用的，NIP是全局調(diào)用的。

• 防火墻AV支持的協(xié)議類型更多，IPS（NIP 2000設(shè)備）:FTP/HTTP/SMTP/POP3，而且IPS旁路部署不支持AV

• 防火墻AV支持和 IPS（NIP 6000設(shè)備）:IMAP的動(dòng)作不一樣，而且IPS旁路部署不支持AV

防火墻的反病毒對(duì)IMAP支持上傳和下載放行，動(dòng)作為告警。

NIP排隊(duì)IMAP支持上傳和下載，動(dòng)作為：告警、宣告、刪除附件。默認(rèn)告警。

Anti-DDoS和IPS的引流對(duì)比：

Anti-ddos 引流方式： 策略路由引流 BGP引流

Anti-ddos 回注方式： 二層回注、UNR路由回注、策略路由回注、GRE回注 MPLS VPN回注 MPLS LSP回注

IPS設(shè)備引流方式： VLAN TAG 鏡像

FW IPS使用限制和注意事項(xiàng)：

入侵防御特征庫(kù)的升級(jí)需要License支持。License過(guò)期后，用戶只能使用設(shè)備已有的入侵防御功能，不能獲取最新的入侵防御特征庫(kù)。

IPS特征庫(kù)升級(jí)之后，如果之前配置的簽名在特征庫(kù)中已經(jīng)不存在，則這條簽名就會(huì)失效，該簽名對(duì)應(yīng)的所有配置信息也會(huì)隨之失效。

License加載完成后，還需要手動(dòng)加載IPS特征庫(kù)，這樣才能正常使用入侵防御功能。

在報(bào)文來(lái)回路徑不一致的組網(wǎng)環(huán)境中，可能無(wú)法有效檢測(cè)到網(wǎng)絡(luò)入侵。

在雙機(jī)熱備組網(wǎng)環(huán)境中，推薦在主備備份方式下開(kāi)啟入侵防御功能。在逐流負(fù)載分擔(dān)組網(wǎng)環(huán)境下，支持入侵防御功能，但檢測(cè)率會(huì)有所下降。

NIP的可靠性：

• Bypass
• 雙機(jī)熱備

NIP的部署處理過(guò)程時(shí)相比防火墻有什么特點(diǎn)？

• NIP是純二層設(shè)備
• 正常從a01進(jìn)從b01(一對(duì)對(duì)應(yīng)接口對(duì)關(guān)系）出

IPS部署方式，如果管理員允許病毒通過(guò)，該采取什么樣的措施？

寫一條例外簽名

簽名中去往服務(wù)器端和去往客戶端有什么區(qū)別

關(guān)注的方向不同

總結(jié)

以上是生活随笔為你收集整理的IPS与IDS部署场景（直路部署，单臂部署，旁路部署，阻断）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。