NIP介紹

NIP簡介：

NIP是華為的IPS設備。

NIP出廠時固定接口板和擴展接口卡上的業務接口都劃分為固定接口對，每對接口對之間相互獨立并隔離。您可以將每對接口對視作一臺虛擬IPS設備或IDS設備，基于不同的接口對配置不同的應用安全策略，滿足不同的安全防護需求。

NIP的業務接口都工作在二層，能夠不改變客戶現有的網絡拓撲結構，直接透明接入客戶網絡，且配置了缺省的威脅防護策略，接入網絡后即可啟動防護。

NIP產品默認開啟阻截的簽名的比率非常高，在不影響用戶正常業務的情況下，可以最大程度地化解威脅。管理員就無需對照冗長的日志來查看是否有誤報，是否需要關閉一些簽名等。

IPS部署模式

概述：

IPS（入侵防御系統）部署模式：直路部署，單臂部署，旁路部署。

IDS（入侵檢測系統）部署模式：旁路部署。

IPS直路部署場景（三種情況）：

當NIP作為IPS設備直路部署時，用戶只需要將接口對串行接入到需要保護的網絡鏈路上，即完成 了部署。直路部署的IPS設備，能有效防御攻擊。

情況一：

部署互聯網入口的應用場景，主要用來保護企業內網客戶端的安全

情況二：

部署服務器前端保護企業內部信息系統（數據庫、DNS服務器、Web服務器、eMail服務器等）的安全。同時，利用NIP的報表功能，管理員可以直觀地了解網絡的健康狀況。

情況三：

企業各部門網絡前面部署NIP，在企業總部和分支機構之間部署NIP，保護各網絡內部應用的安全，同時防止安全風險向其他網絡蔓延。
即使企業的總部和分支之間是通過VPN連接的，NIP也無需做VPN解密。原因是NIP部署的位置在邊界路由器或者防火墻的后面，NIP收到的報文都已解密。

IPS直路部署可以零配置上線，上行口插a01，下行口插b01，初始情況，在接口對下調用了默認策略

部署優缺點：

• 優點：能對流量進行控制、零配置上線。
• 缺點：單點故障，加大網絡延時。

IPS單臂部署：

通過VLAN引流，單臂部署的方式的優勢在于：不需要改變網絡拓撲結構，節省NIP物理接口。

當NIP作為IPS設備單臂部署或作為IDS設備時，用戶只需要使用接口對中的一個接口旁掛在網絡中。

NIP在單臂部署方式下支持的功能不如直路部署方式時全面，不支持流量Bypass

A場景：

NIP只與交換機邊一根線，交換機的G0/2口配置trunk。允許Vlan100和Vlan101，NIP上起子接口，配置Vlan100，Vlan101（配置VLAN tag，在NIP上勾選同口進出模式）

場景B：

NIP出廠的時候會生成如a01-b01這種接口對，從a01-流進來的會從b01流出去（反之亦然）。并且可以解vlan tag和打vlan tag。因此給a01配成vlan100，b01配成vlan200當流量從a0/2口流入到a01，然后NIP再從b01接口處到vlan200，因此流量經過NIP時，NIP發現攻擊便可給予做阻斷動作

部署優缺點：

• 優點：可以對流量做阻斷。
• 缺點：流量都要經過NIP，NIP是入侵防御系統，NIP會對數據包做重組，會對數據的傳輸層，網絡層，應用層中各字段做分析并與簽名庫存做比對，如果沒有問題，才轉發出去。這樣會加大網絡的延時。同時，這里NIP會是一個單點故障，為解決這問題一般會做雙機。

IPS旁路部署：

通過交換機鏡像引流。

NIP提供的固定接口對缺省工作在直路IPS模式，旁路部署時需要將接口對切換到IDS模式，使用接口對中的IDS接口進行旁路部署。

旁路部署主要用來記錄各類攻擊事件和網絡應用流量情況，進而進行網絡安全事件審計和用戶行為分析。在這種部署方式下一般不進行防御響應，如果有特殊需要也可以配置進行響應。旁路部署方式NIP不參與流量轉發，配置的安全策略用來指定對哪些威脅進行檢測并記錄。

NIP旁路部署的情況下，也具備一定的響應能力，也就是在發現威脅后，能夠通過發送RST報文來 終止某個TCP流，減緩攻擊的危害。

IPS旁路部署注意點：

• IDS設備和旁路部署的IPS設備，只檢測攻擊行為，不防御。
• IDS設備和旁路部署的IPS設備不提供反病毒功能。
• IDS設備和旁路部署的IPS設備只檢測并記錄攻擊事件，不進行異常流量清洗。(應用層DDOS）
• IDS設備和旁路部署的IPS設備不提供應用流量控制功能，管理員可以通過分析和報表功能，查看 網絡流量中的應用組成情況
• IDS設備、旁路部署的IPS設備以及單臂部署的IPS設備不提供網絡級高可靠性。（雙機熱備和 Bypass卡）

直連支持雙機熱備，主備模式和負載分擔。

旁路部署只支持主備模式。

IDS部署模式

IDS部署場景：

IDS產品采用的是旁路部署方式，一般直接通過交換機的監聽口進行網絡報文采樣，或者在需要監聽的網絡線路上放置偵聽設備（如分光器）。每臺交換機上只能監聽到和該交換機直連的主機間的流量和通過該交換機發往其他交換機的流量，部署在其他交換機下的主機間的流量無法被監聽。由于企業內網可能層次化部署交換機，這種情況下，需要將所有需要監聽的網段的交換機上的流量都通過監聽端口連接到IDS設備上，然后對流量進行檢測分析

總結：

• 直路：直接串連進現網，可以對攻擊行為進行實時防護，缺點是部署的時候需要斷網，并增加了故障點
• 單臂：旁掛在交換機上，不需改變現網，缺點是流量都經過一個接口，處理性能減半，另外不支持BYPASS
• 旁路：通過流量鏡像方式部署，不改變現網，缺點是只能檢測不能進行防御

IPS設備和IDS設備的主要差異在于部署位置和作用不同。IPS設備的主要部署方式是直路接入原 有網絡，阻斷包含攻擊的連接；而IDS設備的部署方式是旁路監聽，主要用于分析流量、記錄各類攻擊事件作為后續評估網絡狀況和審計的依據。IPS設備也提供了與IDS設備一樣的旁路部署方式，并且支持直路/旁路混合部署，使得一 臺IPS設備可以同時提供IPS和IDS的能力。

IPS工作原理：

NIP工作原理：

進入流量防護和整形模塊，按照配置的閾值清洗掉DoS/DDoS異常攻擊流量。

進入應用識別和控制模塊，基于業務感知技術識別出P2P、IM、游戲等網絡應用協議，并根據配置的動作進行阻斷、限流等響應措施

進入報文重組模塊為威脅檢測做準備。重組包括IP分片重組和TCP流重組，防止一些攻擊使用分片和分段技巧來躲避檢測。

進入威脅防護引擎，對各類網絡攻擊、漏洞利用等進行防護。
A.首先進入協議和應用識別模塊，識別流量承載的協議。
B.進入解碼和歸一模塊，還原協議原有內容，并進行協議規范性檢查
C.進入簽名檢測模塊，通過將報文內容和威脅防護簽名進行模式匹配來檢測和防范攻擊。
? NIP對簽名的響應動作除告警、阻斷外，還支持IP隔離、防火墻聯動、攻擊抓包等。

進入URL過濾規則匹配模塊，根據配置的URL過濾規則匹配用戶的URL訪問請求，并作出相應的處理。
進入文件提取模塊，根據協議分析的結果，提取出其中的文件數據，并組裝成完整的文件，交給病毒掃描引擎進行處理。

進入病毒掃描引擎，對文件進行分析，識別出該文件真實的文件類型后進行病毒掃描，并根據配置的動作進行阻斷、告警等響應措施，防范病毒威脅。
如果是壓縮文件，則進行解壓縮處理，并對解壓縮出來的子文件進行分析并識別其真實的文件類型，再進行病毒掃描。
如果不是壓縮文件，則結合其真實文件類型，進行病毒掃描。

NIP配置思路

配置管理IP
出廠時，管理接口的IP地址設置為192.168.0.1/24，首先根據實際網絡的數據規劃修改管理接口的IP地址、配置默認網關和DNS服務器，然后等NIP接入網絡中，這樣NIP就能訪問互聯網、接受來自控制臺的訪問等。

配置接口對
NIP出廠時a01-b01已固定成為IPS接口對

升級簽名庫和應用控制知識庫
NIP加載簽名庫后才能進行威脅防護相關的配置，加載應用控制知識庫后才能進行應用控制相關的配置；
NIP首次上電啟動會自動加載出廠默認的簽名庫和應用控制知識庫。雖然使用出廠默認的簽名庫和知識庫也可以完成業務配置，但是建議在配置業務前先升級簽名庫和應用控制知識庫來獲取最新的防范能力。NIP進行運行維護階段后，如無特殊情況，周期性升級簽名庫和應用控制知識庫即可。
升級簽名庫和應用控制知識庫需要激活license，每臺NIP都對應唯一的license文件；

配置應用安全（應用控制策略、威脅防護策略）
NIP已經為常用的應用場景定義了威脅防護策略模板，可以直接引用策略模板生成策略，當策略模板不能滿足需求時，也可以自行配置威脅防護策略。

將應用控制策略和威脅防護策略應用到接口對
接口對是雙向的，分別a01到b01和b01到a01。將威脅防護策略應用到接口對時，要將策略應用在發起訪問的方向。

配置流量安全（可選）

配置帶寬策略（可選）

查看日志和報表
NIP能夠將日志存入緩沖區，并直接通過NIP自動的嵌入式web服務器查看。同時，還可以配置將日志發送到NIP manager，NIP manager會將日志匯總、分析并生成報表，方便管理員了解網絡中流量的具體情況。

NIP知識點

簽名是什么?NIP簽名集包括哪些內容？

入侵防御簽名用來描述網絡中攻擊行為的特征，NIP通過將數據流和入侵防御簽名進行比較來檢測和防范攻擊。

預定義簽名是入侵防御特征庫中包含的簽名。
預定義簽名包含的內容：名稱、方向、協議、嚴重性、描述、可信度、狀態、類別、對策、參考信息、被攻擊廠商列表
每個預定義簽名都有缺省的動作：放行 告警 阻斷

自定義簽名是指管理員通過自定義規則創建的簽名。
自定義簽名包含的內容：ID、方向、協議、嚴重性、描述、名稱、源目地址、源目端口，源目掩碼、搜索長度、搜索偏移、關鍵字
每個預定義簽名都有缺省的動作:阻斷和告警 放行

簽名集是滿足指定過濾條件的預定義簽名的集合（NTP 2000 5000)
簽名集 內容包括：名稱、方向、嚴重性、可信度、協議、類別、狀態、動作。

?

防火墻叫簽名過濾器.

簽名過濾器：

簽名過濾器是滿足指定過濾條件的集合。簽名過濾器的過濾條件包括：簽名的類別、對象、協議、嚴重性、操作系統等。

?

簽名過濾器的動作分為阻斷、告警和采用簽名的缺省動作。

簽名過濾器的動作優先級高于簽名缺省動作，當簽名過濾器的動作不采用簽名缺省動作時，以簽名過濾器設置的動作為準。

各簽名過濾器之間存在優先關系（按照配置順序，先配置的優先）。如果一個安全配置文件中的兩個簽名過濾器包含同一個簽名，當報文命中此簽名后，設備將根據優先級高的簽名過濾器的動作對報文進行處理。

例外簽名：

根據簽名ID，例外簽名的動作分為阻斷、告警、放行和添加黑名單

例外簽名的動作優先級高于簽名過濾器。如果一個簽名同時命中例外簽名和簽名過濾器，則以例外簽名的動作為準。

注意：IPS部署方式，如果管理員允許病毒通過，采用例外簽名！

簽名、簽名過濾器、例外簽名優先級：

例外簽名>簽名過濾器>簽名缺省

IDS是如何被動防御攻擊的？

通過與防火墻聯動來進行防御，最大支持3臺。
NIP會以旁路的方式接入到網絡上，經過防火墻的流量同時會鏡像到NIP的業務口，由NIP檢測和分析應用層的攻擊、漏洞、病毒、異常流量等。然后NIP把需要被阻斷的報文IP地址、阻斷時間信息從管理接口發送給防火墻，由防火墻實施阻斷操作。

IDS主動防御:NIP旁路部署的情況下，也具備一定的響應能力，也就是在發現威脅后，能夠通過發送RST報文來 終止某個TCP流，減緩攻擊的危害

如果出現IPS誤報，最快的解決方案？

A. 做例外簽名 ——- FW設備
B. 會話中取消UTM ———FW設備

防火墻如何匹配簽名？

NGFW將解析后的報文特征與簽名進行匹配，如果命中了簽名，則進行響應處理。

IPS與AV特性對比:

• 相同點: 兩者都是基于特征檢測方式，檢測效果依賴于特征庫的更新。
• 不同點
  • IPS特性關注所有協議，側重于報文內容級別的檢測；反病毒特性針對特定協議（FTP/HTTP/SMTP/POP3/IMAP/NFS/SMB），側重文件級別的檢測。
  • 單就病毒檢測這一塊來說，兩者功能有重疊，IPS特性中也包括病毒檢測，但是檢測力度和支持情況不如反病毒特性。IPS特性和反病毒特征是相互補充的關系，不存在取代關系

FW和NIP都支持反病毒，設備區別？

• FW是基于策略調用的，NIP是全局調用的。

• 防火墻AV支持的協議類型更多，IPS（NIP 2000設備）:FTP/HTTP/SMTP/POP3，而且IPS旁路部署不支持AV

• 防火墻AV支持和 IPS（NIP 6000設備）:IMAP的動作不一樣，而且IPS旁路部署不支持AV

防火墻的反病毒對IMAP支持上傳和下載放行，動作為告警。

NIP排隊IMAP支持上傳和下載，動作為：告警、宣告、刪除附件。默認告警。

Anti-DDoS和IPS的引流對比：

Anti-ddos 引流方式： 策略路由引流 BGP引流

Anti-ddos 回注方式： 二層回注、UNR路由回注、策略路由回注、GRE回注 MPLS VPN回注 MPLS LSP回注

IPS設備引流方式： VLAN TAG 鏡像

FW IPS使用限制和注意事項：

入侵防御特征庫的升級需要License支持。License過期后，用戶只能使用設備已有的入侵防御功能，不能獲取最新的入侵防御特征庫。

IPS特征庫升級之后，如果之前配置的簽名在特征庫中已經不存在，則這條簽名就會失效，該簽名對應的所有配置信息也會隨之失效。

License加載完成后，還需要手動加載IPS特征庫，這樣才能正常使用入侵防御功能。

在報文來回路徑不一致的組網環境中，可能無法有效檢測到網絡入侵。

在雙機熱備組網環境中，推薦在主備備份方式下開啟入侵防御功能。在逐流負載分擔組網環境下，支持入侵防御功能，但檢測率會有所下降。

NIP的可靠性：

• Bypass
• 雙機熱備

NIP的部署處理過程時相比防火墻有什么特點？

• NIP是純二層設備
• 正常從a01進從b01(一對對應接口對關系）出

IPS部署方式，如果管理員允許病毒通過，該采取什么樣的措施？

寫一條例外簽名

簽名中去往服務器端和去往客戶端有什么區別

關注的方向不同

總結

以上是生活随笔為你收集整理的IPS与IDS部署场景（直路部署，单臂部署，旁路部署，阻断）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。