« Back
in 安全 思科 read.

IPS基础

IDS与IPS区别:

IDS入侵检测 intrusion detection system

IPS入侵防御 intrusion prevention system
 

Cisco把IPS分成:HIPS(主机) 和 NIPS(网络)
 

IDSIPS作用:主要用于内部网络安全扫描,防范内部攻击
 

网络安全要尽量透明,AD(活动目录)和CA(证书)可以帮助实现透明化的网络安全

网络安全取决于出现网络安全隐患最低的那个层次,比如安全隐患出现在3层,那上层协议将不安全

 

安全轮图(网络安全不是一个完美的解决方案,而是一个循环往复的过程)

Network Security

 

攻击分类:

侦查攻击 作用:了解系统脆弱点

类型:抓包 (认证:802.1x,未授权状态只能eap包通过接口、交换机构架:port-security,防止攻击者通过冲刷mac地址表的方式来制造未知单播泛洪、反抓包工具、加密)、ping扫描 (接口上no ip unreachables   出项调用acl deny icmp any any unreachable)、端口扫描、internet信息检索
 

访问攻击

密码攻击(暴力破解、木马、ip欺骗 urpf、抓包)、信任拓展、端口跳转 在防火墙上禁止dmz主动发起流量、中间人 加密
 

拒绝服务攻击 往往伴随IP地址欺骗

tcp syn泛洪攻击

RFC 2827缓解基于IP地址欺骗的dos攻击 URPF+ACL

在出口设备外部接口的入方向、出方向 deny掉ip spoofing的流量  

DDOS攻击 分布式DOS攻击
 

病毒攻击

病毒不能自动繁衍,需要人为激活

蠕虫可以自我复制

木马,工作原理类似于远程协助工具

 

Types of Network Attacks  

IPS deny(在在线模式下直接deny一个用户) 默认 1小时;block(混杂模式下,登陆到其他设备添加deny策略) 默认半小时