绿盟网络入侵防护系统
产品白皮书
? 2011 绿盟科技
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录
一. 前言 (2)
二. 为什么需要入侵防护系统 (2)
2.1防火墙的局限 (3)
2.2入侵检测系统的不足 (3)
2.3入侵防护系统的特点 (3)
三. 如何评价入侵防护系统 (4)
四. 绿盟网络入侵防护系统 (4)
4.1体系结构 (5)
4.2主要功能 (5)
4.3产品特点 (6)
4.3.1 多种技术融合的入侵检测机制 (6)
4.3.2 2~7层深度入侵防护能力 (8)
4.3.3 强大的防火墙功能 (9)
4.3.4 先进的Web威胁抵御能力 (9)
4.3.5 灵活高效的病毒防御能力 (10)
4.3.6 基于对象的虚拟系统 (10)
4.3.7 基于应用的流量管理 (11)
4.3.8 实用的上网行为管理 (11)
4.3.9 灵活的组网方式 (11)
4.3.10 强大的管理能力 (12)
4.3.11 完善的报表系统 (13)
4.3.12 完备的高可用性 (13)
4.3.13 丰富的响应方式 (14)
4.3.14 高可靠的自身安全性 (14)
4.4解决方案 (15)
4.4.1 多链路防护解决方案 (15)
4.4.2 交换防护解决方案 (16)
4.4.3 路由防护解决方案 (16)
4.4.4 混合防护解决方案 (17)
五. 结论 (18)
一. 前言
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正逐步改变着人类的生活和工作方式。越来越多的政府、企业组织建立了依赖于网络的业务信息系统,比如电子政务、电子商务、网上银行、网络办公等,对社会的各行各业产生了巨大深远的影响,信息安全的重要性也在不断提升。
近年来,企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游、视频)等,极大地困扰着用户,给企业的信息网络造成严重的破坏。
能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题。
二. 为什么需要入侵防护系统
说起网络安全,相信许多人已经不陌生了。大家可能都曾遇到过下面这些情况:
◆没有及时安装新发布的一个安全补丁,造成服务器宕机,网络中断;
◆蠕虫病毒爆发,造成网络瘫痪,无法网上办公,邮件收不了,网页打不开;
◆公司WEB服务器遭受SQL注入攻击,造成公司主页内容被篡改;
◆因为员工访问了不安全的页面,个人电脑被植入后门、木马等恶意软件,从而导致公司
机密资料被窃;
◆有的员工使用BT、电驴等P2P软件下载电影或MP3,造成上网速度奇慢无比;
◆有的员工沉迷在QQ或MSN上聊天,玩反恐精英、传奇等网络游戏,或看在线视频,不
专心工作,导致企业生产力下降;
◆部分员工电脑成为僵尸网络的“肉机”,向外网发起DOS攻击,引起公安部门注意并上
门进行调查。
根据调查数据显示,以上事件呈逐年上升趋势,给企业造成越来越大的直接和间接损失。对于上述威胁,传统的安全手段(如防火墙、入侵检测系统)都无法有效进行阻止。
2.1 防火墙的局限
绝大多数人在谈到网络安全时,首先会想到“防火墙”,企业一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足企业的安全需要,部署了防火墙的安全保障体系仍需要进一步完善。
传统防火墙的不足主要体现在以下几个方面:
◆防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针
对WEB服务的Code Red蠕虫等。
◆有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行
为。
◆作为网络访问控制设备,受限于功能设计,防火墙难以识别复杂的网络攻击并保存相关
信息,以协助后续调查和取证工作的开展。
2.2 入侵检测系统的不足
入侵检测系统IDS(Intrusion Detection System)是继防火墙之后迅猛发展起来的一类安全产品,它通过检测、分析网络中的数据流量,从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象,及时识别入侵行为和未授权网络流量并实时报警。
IDS弥补了防火墙的某些设计和功能缺陷,侧重网络监控,注重安全审计,适合对网络安全状态的了解,但随着网络攻击技术的发展,IDS也面临着新的挑战:
◆IDS旁路在网络上,当它检测出黑客入侵攻击时,攻击已到达目标造成损失。IDS无法有
效阻断攻击,比如蠕虫爆发造成企业网络瘫痪,IDS无能为力。
◆蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应
的时间越来越短,使用户来不及对入侵做出响应,往往造成企业网络瘫痪,IDS无法把攻击防御在企业网络之外。
2.3 入侵防护系统的特点
基于目前网络安全形势的严峻,入侵防护系统(Intrusion Prevention System)作为新一代安全防护产品应运而生。
网络入侵防护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中
而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
三. 如何评价入侵防护系统
针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击,不仅需要有效检测到各种类型的攻击,更重要的是降低攻击的影响,从而保证业务系统的连续性和可用性。
一款优秀的网络入侵防护系统应该具备以下特征:
◆满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量;
◆提供针对各类攻击的实时检测和防御功能,同时具备丰富的访问控制能力,在任何未授
权活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失;
◆准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;
◆全面、精细的流量控制功能,确保企业关键业务持续稳定运转;
◆具备丰富的高可用性,提供BYPASS(硬件、软件)和HA等可靠性保障措施;
◆可扩展的多链路IPS防护能力,避免不必要的重复安全投资;
◆提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间把攻击阻断在企业网
络之外,同时也支持旁路模式部署,用于攻击检测,适合不同客户需要;
◆支持分级部署、集中管理,满足不同规模网络的使用和管理需求。
四. 绿盟网络入侵防护系统
针对日趋复杂的应用安全威胁和混合型网络攻击,
绿盟科技提供了完善的安全防护方案。绿盟网络入侵防
护系统(以下简称“NSFOCUS NIPS”)是绿盟科技
拥有完全自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动应对各类攻击流量,第一时间将安全威胁阻隔在企业网络外部。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵防护解决方案。
4.1 体系结构
NSFOCUS NIPS的体系架构包括三个主要组件:安全中心、网络引擎、升级站点,方便各种网络环境的灵活部署和管理。
图 4.1 绿盟网络入侵防护系统体系架构
4.2 主要功能
NSFOCUS NIPS是网络入侵防护系统同类产品中的精品典范,该产品高度融合高性能、高安全性、高可靠性和易操作性等特性,产品内置先进的Web信誉机制,同时具备深度入侵防护、精细流量控制,以及全面用户上网行为监管等多项
功能,能够为用户提供深度攻击防御和应用带宽保护的完
美价值体验。
入侵防护
实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木
马、D.o.S等恶意流量,保护企业信息系统和网络架构免
受侵害,防止操作系统和应用程序损坏或宕机。
◆Web安全
基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁。
◆流量控制
阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。
◆上网行为监管
全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。
4.3 产品特点
NSFOCUS NIPS基于高性能硬件处理平台,为客户提供从网络层、到应用层,直至内容层的深度安全防御,以下将对NSFOCUS NIPS的产品功能特色进行逐一介绍。
4.3.1 多种技术融合的入侵检测机制
NSFOCUS NIPS以全面深入的协议分析为基础,融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析,以及状态防火墙等多种技术,为客户提供从网络层、应用层到内容层的深度安全防护。
◆智能协议识别和分析
协议识别是新一代网络安全产品的核心技术。传统安全产品如防火墙,通过协议端口映射表(或类似技术)来判断流经的网络报文属于何种协议。
但是,事实上,协议与端口是完全无关的两个概念,我们仅仅可以认为某个协议运行在一个相对固定的缺省端口。包括木马、后门在内的恶意程序,以及基于Smart Tunnel(智能隧道)的P2P应用(如各种P2P下载工具、IP电话等),IMS(实时消息系统如MSN、Yahoo Pager),网络在线游戏等应用都可以运行在任意一个指定的端口,从而逃避传统安全产品的检测和控制。
NSFOCUS NIPS采用独有的智能协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理,能够在完全不需要管理员参与的情况下,高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵,可以准确发现绑定在任意端口的各种木马、后门,对于运用Smart Tunnel技术的软件也能准确捕获和分析。
NSFOCUS NIPS具备极高的检测准确率和极低的误报率,能够全面识别超过100种以上的应用层协议。
◆基于特征分析的专家系统
特征分析主要检测各类已知攻击,在全盘了解攻击特征后,制作出相应的攻击特征过滤器,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。
NSFOCUS NIPS装载权威的专家知识库,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。
绿盟科技拥有的业界权威安全漏洞研究团队NSFocus小组,致力于分析来自于全球的各类攻击威胁,并努力找到各种漏洞的修补方案,形成解药,融于NSFOCUS NIPS攻击特征库,以保持产品持续、先进的攻击防护能力。
◆协议异常检测
基于特征检测(模式匹配)的NIPS产品可以精确地检测出已知的攻击。通过不断升级的特征库,NIPS可以在第一时间检测到入侵者的攻击行为。但是,事实上,存在三个方面的因素导致协议异常的诞生。
?厂商从提取某个攻击特征到最终用户的NIPS产品升级需要一个时间间隔,在这个时间间隔内,基于特征检测的NIPS产品是无法检测到黑客的该攻击行为的;
?来自0-day或未公开exploit的隐蔽攻击即使是安全厂商往往也无法第一时间获得攻击特征,通常NIPS无法检测这类具有最高风险的攻击行为;
?Internet上蠕虫在15分钟内席卷全球,即使是最优秀的厂商也不能够在这么短的时间内完成对其的发现和检测。
协议异常检测是NSFOCUS NIPS应用的另外一项关键技术,以深度协议分析为核心的NSFOCUS NIPS,将发现的任何违背RFC规定的行为视为协议异常。协议异常最为重要的作用是检测检查特定应用执行缺陷(如:应用缓冲区溢出异常),或者违反特定协议规定的异常(如:RFC异常),从而发现未知的溢出攻击、零日攻击以及拒绝服务攻击。作为一项成熟的技术,协议异常检测技术使得NSFOCUS NIPS具有接近100%的检测准确率和几乎0的误报率。
◆流量异常检测
流量异常检测主要通过学习和调整特定网络环境下的“正常流量”值,来发现非预期的异常流量。一旦正常流量被设定为基准(baseline),NSFOCUS NIPS会将网络中传输的数据包与这个基准作比较,如果实际网络流量统计结果与基准达到一定的偏离,则产生警报。
在内置流量建模机制的同时,NSFOCUS NIPS还提供可调整的门限阀值,供网管员针对具体环境做进一步调整,避免因为单纯的流量过大而产生误报。
流量异常检测和过滤机制使得NSFOCUS NIPS可以有效抵御分布式拒绝服务攻击(DDOS)、未知的蠕虫、流氓流量和其他零日攻击。
4.3.2 2~7层深度入侵防护能力
◆业界领先的安全漏洞研究能力
绿盟科技作为微软的MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软每月发布安全更新之前获得漏洞信息,为客户提供更及时有效的保护。
公司的安全研究部门NSFocus小组,已经独立发现了40多个Microsoft、HP、CISCO、SUN、Juniper等国际著名厂商的重大安全漏洞,保证了NSFOCUS NIPS技术的领先和规则库的及时更新,在受到攻击以前就能够提供前瞻性的保护。
◆高品质攻击特征库
覆盖广泛的攻击特征库携带超过2000条,由NSFocus安全小组
精心提炼、经过时间考验的攻击特征,并通过国际最著名的安全漏洞库
CVE严格的兼容性标准评审,获得最高级别的CVE兼容性认证(CVE
Compatible)。
绿盟科技具有领先的漏洞预警能力,是目前国内唯一向国外(美国)出口入侵检测规则库的公司。绿盟科技每周定期提供攻击特征库的升级更新,在紧急情况下可提供即时更新。
◆广泛精细的攻击检测和防御能力
NSFOCUS NIPS主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL 注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、僵尸网络等,广泛精细的应用防护帮助客户避免安全损失。
NSFOCUS NIPS同时具备全面阻止木马后门、广告软件、间谍软件等恶意程序下载和扩散的功能,有助于企业降低IT成本、防止潜在的隐私侵犯和保护机密信息。
◆IP碎片重组与TCP流汇聚
NSFOCUS NIPS具有强大的IP碎片重组、TCP流汇聚,以及数据流状态跟踪等能力,能够检测到黑客采用任意分片方式进行的攻击。
◆虚拟补丁
NSFOCUS NIPS提供“虚拟补丁”功能,在紧急漏洞出现而系统仍不具备有效补丁解决方案时,为客户提供实时防御,增强了客户应对突发威胁的能力,在厂商就新漏洞提供补丁和更新之前确保企业信息系统的安全。
◆强大的D.o.S攻击防护能力
NSFOCUS NIPS能够全面抵御ICMP Flood、UDP Flood、ACK Flood等常见的D.o.S 攻击,阻挡或限制未经授权的应用程序触发的带宽消耗,极大限度地减轻D.o.S攻击对网络带来的危害。
◆支持应用重组
NSFOCUS NIPS可以记录网络的通信报文,并解码回放,目前支持HTTP、SMTP、FTP、Telnet、POP3等多种协议。
4.3.3 强大的防火墙功能
◆访问控制
NSFOCUS NIPS内置状态防火墙,支持基于网络接口、源/目的IP地址、协议、时间等元素,自定义访问控制策略。
◆NAT支持
NSFOCUS NIPS提供地址转换功能,支持静态NAT(Static NAT)、动态NAT(Pooled NAT)和端口NAT(PAT),支持多对一、多对多和一对一等多种地址转换方式。
◆路由支持
NSFOCUS NIPS提供控制力更强,使用更灵活的策略路由功能,能够根据协议类型、应用、IP源地址等策略来选择数据转发路径,而且能够根据报文数据流的发起方向来确定以后的路由,满足各种应用环境的需要。
◆VLAN特性
NSFOCUS NIPS支持工业标准的802.1Q VLAN Trunk封装协议,实现两个交换机同一VLAN间的数据交互,同时具备不同VLAN虚拟接口间的路由功能,极大增强了NSFOCUS NIPS对交换式网络的部署适应能力。
4.3.4 先进的Web威胁抵御能力
越来越多的病毒、木马等恶意代码将基于HTTP方式传播,新一代的Web威胁具备混合性、渗透性和利益驱动性,成为当前增长最快的风险因素。员工对互联网的依赖性使得企业网络更容易受到攻击,导致用户信息受到危害,对公司数据资产和关键业务构成极大威胁。
NSFOCUS NIPS内置先进、可靠的Web信誉机制,采用独特的Web信誉评价技术和URL过滤技术,在用户访问被植入木马的页面时,给予及时报警和阻断,能够有效抵御Web 安全威胁渗入企业内网,防止潜在的隐私侵犯,保护企业机密信息。
4.3.5 灵活高效的病毒防御能力
NSFOCUS NIPS具备高效的防病毒能力,用户可选择基于NSFOCUS或卡巴斯基的防病毒引擎,采用基于特征扫描和启发式扫描技术,实现针对HTTP、SMTP、POP3、IMAP、FTP、IM等多种协议的病毒流量监测和控制,第一时间完成对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。
4.3.6 基于对象的虚拟系统
◆基于对象的策略管理系统
NSFOCUS NIPS提供业界领先的基于对象的策略管理系统,完全统一的规则配置方式强大而灵活。NSFOCUS NIPS的所有策略(规则)配置都使用包括网络、服务、时间、事件等元素在内的预定义对象以及对象组完成,通过组的概念可以减少防火墙和NIPS的规则数量,简化了产品的管理工作量。
◆虚拟系统(VIPS)
NSFOCUS NIPS提供基于对象的虚拟系统(VIPS),针对不同的网络环境和安全需求,基于对象制定不同的规则和响应方式,每个虚拟系统分别执行不同的规则集,实现面向不同对象、实现不同策略的智能化入侵防护。
图 4.2 虚拟IPS功能实现示意图
4.3.7 基于应用的流量管理
NSFOCUS NIPS提供强大、灵活的流量管理功能,采用全局维度(协议/端口)、局部维度(源/目的IP地址、网段)、时间维度(时间)、流量纬度(带宽)等流量控制四元组,实现基于内容、面向对象的流量保护策略。
NSFOCUS NIPS智能识别并分类各类应用后,通过流量许可和优先级控制,阻断一切非授权用户流量,管理合法网络资源的利用,使得网络中不同类型的流量具有更合理的比例和分布,并结合最小带宽保证,及最大带宽和会话限制,有效保证关键应用全天候畅通无阻。
4.3.8 实用的上网行为管理
NSFOCUS NIPS结合协议分析和会话关联等多种技术,综合分析应用软件特征和数据内容,能够智能识别各种主流的P2P下载、IM即时通信、在线视频、网络游戏和在线炒股等用户上网行为,从而更好地协助企业了解当前的网络应用状况,发现非授权网络流量后进行及时限制或阻断。
4.3.9 灵活的组网方式
◆工作模式
NSFOCUS NIPS支持五种安全区模式:透明(Layer2)、路由(Layer3)、监听(Monitor)、直通(Direct)、管理(Mgt),能够快速部署在各种网络环境中。
◆独立式多路NIPS部署
NSFOCUS NIPS支持独立式多路NIPS部署,各路NIPS相互独立,彼此没有数据交换。
图 4.3 独立式多路NIPS部署方式
◆交换式多路NIPS部署
NSFOCUS NIPS交换式多路NIPS部署,NIPS类似交换机一样,一进多出或多进多出,适用于复杂的网络环境。
图 4.4 交换式多路NIPS部署方式
4.3.10 强大的管理能力
◆灵活的Web管理方式
NSFOCUS NIPS支持灵活的Web管理方式,适合在任何IP可达地点远程管理,支持MS IE、Netscape、Firefox、Opera等主路的浏览器,真正意义上实现了跨平台管理。
◆丰富的多级管理方式
NSFOCUS NIPS支持三种管理模式:单级管理、多级管理、主辅管理,满足不同企业不同管理模式需要。
单级管理模式:安全中心直接管理网络引擎,一个安全中心可以管理多台网络引擎。适合小型企业,用于局域网络。
主辅管理模式:网络引擎同时接受一个主安全中心和多个辅助安全中心的管理。主安全中心可以完全控制网络引擎;辅助安全中心只能接受网络引擎发送的日志信息,不能操作网络引擎。适合大型企业或者有分权管理需求的用户。
多级管理模式:安全中心支持任意层次的级联部署,实现多级管理。上级安全中心可以将最新的升级补丁、规则模板文件等统一发送到下级安全中心,保持整个系统的完整统一性;下级安全中心可以通过配置过滤器,使上级安全中心只接收它关心的信息。适合跨广域网的大型企业用户。
◆带外管理(OOB)功能
NSFOCUS NIPS提供带外管理(OOB)功能,解决远程应急管理的需求,减少客户运营成本、提高运营效率、减少宕机时间、提高服务质量。
◆升级管理
NSFOCUS NIPS支持多种升级方式,包括实时在线升级、自动在线升级、离线升级,使NIPS提供最前沿的安全保障。
4.3.11 完善的报表系统
◆高品质的报表事件
NSFOCUS NIPS事件过滤系统支持采用攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志,仅记录相关的攻击告警事件,极大地减小了攻击告警的数量,提高了对于高风险攻击的反应速度。
◆多样化的综合报表
NSFOCUS NIPS报表系统提供了详细的综合报表、自定义三种类型10多个类别的报表模板,支持生成:日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG格式导出。同时支持定时通过电子邮件发送报表至系统管理员。
◆强大的“零管理”
从实时升级系统到报表系统,从攻击告警到日志备份,NSFOCUS NIPS完全支持零管理技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行,极大地降低了维护费用与管理员的工作强度。
4.3.12 完备的高可用性
◆丰富的HA部署能力
NSFOCUS NIPS具备基于会话、配置等信息同步的HA部署能力,支持A/A和A/S两种部署方式,在出现设备宕机、端口失效等故障时,能够完成主机和备机的即时切换,确保关键应用的持续正常运转。
◆完整的BYPASS解决方案
NSFOCUS NIPS的BYPASS特性由以下三部分组成,由此形成一套完整的BYPASS解决方案:
?提供软件BYPASS功能,系统软件故障时,自
动实现旁路保护,避免网络中断等事故的发生;
?网络接口内置fail-open特性,产品出现故障时,
能自动转变成通路,不影响流量正常传输;
?支持外置BYPASS硬件设备部署,扩展形成完整的BYPASS解决方案。
◆冗余电源支持
NSFOCUS NIPS支持热插拔的冗余双电源,避免电源硬件故障时设备宕机,提高设备可用性。
4.3.13 丰富的响应方式
NSFOCUS NIPS提供丰富的响应方式,包括:丢弃数据包、阻断会话、邮件报警、短信报警、安全中心显示、日志数据库记录、写入XML文件,运行用户自定义命令等,同时提供标准snmp trap(V1、V2、V3)和syslog接口,可接受第三方管理平台的安全事件集中监控、报告和管理。
4.3.14 高可靠的自身安全性
◆安全可靠的系统平台
NSFOCUS NIPS采用安全、可靠的硬件平台,全内置封闭式结构,配置完全自主知识产权的专用系统,经过优化和安全性处理,稳定可靠。系统内各组件通过强加密的SSL安全通道进行通讯防止窃听,确保了整个系统的安全性和抗毁性。
◆用户权限分级管理
NSFOCUS NIPS安全中心身份验证系统采用独立于操作系统的权限管理系统,管理权限与审计权限独立,提供对系统使用情况的全面监管和审计。
◆实时日志归并
NSFOCUS NIPS归并引擎由规则驱动,可以执行任意粒度的日志归并动作,完全避免Stick此类Anti-NIPS攻击。
◆多点备份
NSFOCUS NIPS的探测引擎可以将攻击告警日志,实时发送到多个绿盟安全中心或日志数据库保存,避免因为数据损坏或丢失而导致系统不可用的事故发生。
4.4 解决方案
绿盟科技提供一系列完整的入侵防护解决方案,实现从企业网络核心至边缘,以及分支机构的全面保护,适用于不同环境的多种安全防护需求。
4.4.1 多链路防护解决方案
目前,很多企业为了保证网络带宽资源的充足和网络冗余,网络出口采用多链路连接方式,连接到两个或更多ISP服务商。
针对这种连接方式,绿盟科技入侵防护系统提供多链路防护的解决方案,在网络出口处部署一台绿盟网络入侵防护系统,采用多路NIPS的部署方式:
1. NSFOCUS NIPS支持多路NIPS部署,每路NIPS单独防护一个ISP接入链路,一台
NSFOCUS NIPS可以同时防护多条链路,节约客户投资;
2. NSFOCUS NIPS的各路NIPS是相互独立的,彼此之间没有数据交换,互不干扰,保证
了各链路流量的自身安全;
3. NSFOCUS NIPS实时监测各种流量,提供从网络层、应用层到内容层的深度安全防护。
图 4.5 NSFOCUS NIPS多链路防护解决方案
4.4.2 交换防护解决方案
企业内部网络根据工作地点和职责,划分为不同的网段,各网段通过交换机连接,进行数据交换。如何有效检测不同网段之间内部数据交换的安全性,是很多网管员关心的问题。
针对以上需求,绿盟科技入侵防护系统提供交换防护的解决方案:
1. NSFOCUS NIPS类似二层交换机一样,采用一进多出或多进多出的方式,同时与不同网
段相连接,进行数据交换;
2. NSFOCUS NIPS实时监测各网段之间的各种流量,提供从网络层、应用层到内容层的深
度安全防护。
图 4.6 NSFOCUS NIPS交换防护解决方案
4.4.3 路由防护解决方案
目前,很多企业网络连接到互联网,一般在网络边界部署路由器、防火墙以及入侵防护系统,串联的设备比较多,造成网络边界单点故障率提高,影响整个网络安全性。
针对以上网络特点,绿盟科技网络入侵防护系统提供路由防护的解决方案:
1. NSFOCUS NIPS部署在网络边界,类似于一个路由器,提供静态路由和策略路由,又是
一台防火墙,实现NAT地址转换和流量管理,提供网络层安全防护,还是一台网络入侵防护系统,实现应用层和内容层的安全防御;
2. NSFOCUS NIPS深度融合的IPS/IDS/防火墙集成平台圆满解决了防火墙静态防御和IPS
动态防御的融合难题,为客户提供更全面的入侵防护解决方案。
图 4.7 NSFOCUS NIPS路由防护解决方案
4.4.4 混合防护解决方案
大型企业的网络规模很大,结构相对复杂,不仅有总部,还有各地的分支机构,既要保护网络边界的安全,同时又要保护企业内网的安全。
针对大型企业网络特点,绿盟科技网络入侵防护系统提供混合防护的解决方案:
1. 在总部互联网出入口处在线部署NSFOCUS NIPS,实现路由防护,提供互联网的从网络
层、应用层到内容层的深度安全防护;
2. 在总部内部网段之间以及与分支机构网络之间在线部署NSFOCUS NIPS,提供透明接入
的、独立多路NIPS一进一出的、交换式NIPS多进多出的全方位、立体式的安全防护体系,实现内网的安全区域划分和控制;
3. 在企业服务器区旁路部署NSFOCUS NIPS,相当于入侵检测系统,监测、分析服务器区
的安全状况,保护服务器安全;
4. 通过一个绿盟安全中心,实现对全网NIPS设备的集中管理、安全信息的集中分析和处理,
有效解决企业面临的安全问题,提高投资回报率。
图 4.8 NSFOCUS NIPS混合防护解决方案
五. 结论
随着安全漏洞不断被发现,黑客的技巧和破坏能力不断提高,网络受到越来越多的攻击。每天成千上万的蠕虫、病毒、木马、垃圾邮件在网络上传播,阻塞甚至中断网络;BT、电驴等P2P下载软件轻易的占据100%的企业网络上行下行带宽;员工沉浸在QQ、MSN等聊天或反恐精英、传奇等网络游戏中不能自拔,从而影响了正常的工作。这些新型的混合威胁越
入侵防御TOPIDP之IPS产品分析 学院:计算机科学与工程学院 年级:大三 学号: 姓名: 专业:信息安全 2013.11.15
摘要 本文介绍了天融信公司开发的入侵防御系统I P S的产品特点、功能、特性以及应用等,使读者对I P S有一个简要的概念。 关键词:特点;特性:功能;
目录 摘要..............................一产品厂家 二产品概述 三产品特点 四产品功能 4、1 入侵防护 4、2 DoS/DDoS防护 4、3 应用管控 4、4 网络病毒检测 4、5 URL过滤 五产品特性 六产品应用 6、1 典型部署 6、2 内网部署 七结论
一、产品厂家 北京天融信网络安全技术有限公司1995年成立于中国信息产业摇篮的北京,十八年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。 天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,降低安全风险,创造业务价值。 ●构建可信网络安全世界 ●中国安全硬件市场领导者 ●快速成长的安全管理业务 ●互联网安全云服务的开拓者 ●实现安全的业务交付 ●安全研究与前沿探索 ●技术创新引领发展 ●国家安全企业责任 二、产品概述 天融信公司的网络卫士入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。 TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作,不断跟踪、挖掘和分析新出现的各种漏洞信息,并将研究成果直接应用于产品,保障了TopIDP产品检测的全面、准确和及时有效。
蓝盾入侵防御(BD-NIPS)系统技术白皮书 蓝盾信息安全技术股份有限公司
目录 一、产品需求背景 (3) 二、蓝盾入侵防御系统 (4) 2.1概述 (4) 2.2主要功能 (5) 2.3功能特点 (8) 2.3.1固化、稳定、高效的检测引擎及稳定的运行性能 (8) 2.3.2 检测模式支持和协议解码分析能力 (8) 2.3.3 检测能力 (9) 2.3.4 策略设置和升级能力 (11) 2.3.5 响应能力 (12) 2.3.6管理能力 (13) 2.3.7 审计、取证能力 (14) 2.3.8 联动协作能力 (15) 三、产品优势 (16) 3.1强大的检测引擎 (16) 3.2全面的系统规则库和自定义规则 (16) 3.3数据挖掘及关联分析功能 (16) 3.4安全访问 (16) 3.5日志管理及查询 (17) 3.6图形化事件分析系统 (17) 四、型号 (18)
一、产品需求背景 入侵防御系统是近十多年来发展起来的新一代动态安全防范技术,它通过对计算机网络或系统中若干关键点数据的收集,并对其进行分析,从而发现是否有违反安全策略的行为和被攻击的迹象。也许有人会问,我已经使用防火墙了,还需要入侵防御系统吗?答案是肯定的。 入侵防御是对防火墙及其有益的补充,入侵防御系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与在线防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵防御被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 有了入侵防御系统,您可以: ?知道是谁在攻击您的网络 ?知道您是如何被攻击的 ?及时阻断攻击行为 ?知道企业内部网中谁是威胁的 ?减轻重要网段或关键服务器的威胁 ?取得起诉用的法律证据
IPS原理 防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS 系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。 IPS工作原理 IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。 针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。 过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。 IPS的种类 * 基于主机的入侵防护(HIPS) HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品,因此它们在防范红色代码和Nimda的攻击中,起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取
●版权声明 Copyright ? 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。 未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (4) 2产品特点 (4) 3产品功能 (12) 4产品资质............................................................................. 错误!未定义书签。
1产品概述 网神SecIPS 3600入侵防御系统(简称:“网神IPS”)将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库,可检测防护3000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有丰富的上网行为管理,可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而,很好地提供了动态、主动、深度的安全防御。 2产品特点 网神IPS的完善体系结构包括两大部分:强化安全的专用操作系统和模块化硬件系统。以下分别介绍这两大部分。 高效的体系结构 在平台优化的核心技术方面,主要有以下三个方面。 1)零拷贝技术 数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝,有效地减少内存存取次数。 2)核心层优化 所有报文的解析与比对都由核心层(Kernel)进行,完全不用通过核心层与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。
入侵防御系统的功能是:简单来说,它能够监视网络或网络设备的网络资料传输行为的计算机网络完全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行。选择入侵防御系统很重要,一定要找专业从事网络安全与服务的高科技公司。入侵防御系统的功能下面就详细介绍一下,这里以铱迅品牌的入侵防御系统做案例: 铱迅入侵防御系统(英文:Yxlink Intrusion Prevention System,简称:Yxlink IPS),是铱迅信息结合多年在应用安全理论与新一代动态检测防御实践经验积累的基础上,自主研发的一款应用级入侵防御系统,它可以在线地检测网络和系统资源,发现攻击后能够实施有效的阻断,防止攻击到达目标网络或主机。可给您网络中的各网络单元提供2-7层的全方位的保护,为网络提供深层次的、有效的安全防护。 铱迅入侵防御系统致力于解决黑客攻击、蠕虫、网络病毒、后门木马等恶意流量带来的信息系统侵害,广泛适用于“政府、金融、运营商、公安、能源、工商、社保、交通、卫生、教育、电子商务”等所有涉及网络应用的各个行业。部署铱迅入侵防御系统产品,可以帮助客户主动防护网络、主机系统,为用户的信息安全提供最大的保障。 万兆高并发与请求速率处理技术 铱迅入侵防御系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。
庞大内置特征库 特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。 铱迅入侵防御系统装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。 攻击碎片重组技术 通过铱迅入侵防御系统独有的碎片包重组技术,可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.doczj.com/doc/4211314807.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
网络卫士入侵防御系统 配置案例 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/4211314807.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印? 2009天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.doczj.com/doc/4211314807.html,
目录 前言 (3) 文档目的 (3) 读者对象 (3) 约定 (4) 相关文档 (4) 技术服务体系 (4) 配置导入、导出 (6) 配置导出 (6) 基本需求 (6) 配置要点 (6) WEBUI配置步骤 (6) 配置导入 (7) 基本需求 (7) 配置要点 (7) WEBUI配置步骤 (8) 在线升级 (9) 基本需求 (9) 配置要点 (9) WEBUI配置步骤 (9) 注意事项 (10) 规则库升级 (11) 基本需求 (11) 配置要点 (11) WEBUI配置步骤 (11) 注意事项 (12) TOPIDP快速简易配置 (14) 基本需求 (14) 配置要点 (14) WEBUI配置步骤 (14) 注意事项 (17) 应用协议控制-BT (18) 基本需求 (18) 配置要点 (18) WEBUI配置步骤 (18) 注意事项 (20) 以IDS方式接入 (21) 基本需求 (21) 配置要点 (21) WEBUI配置步骤 (21) 注意事项 (24) IPS策略+防火墙功能 (25) 基本需求 (25) 配置要点 (25)
H3C SecPath T 系列入侵防御系统 配置指南
前言 本书简介 本手册主要介绍H3C SecPath T 系列入侵防御系统的产品概况、安装前的准备、安装过程、设备启动以及常见问题处理。在安装设备的过程中,为避免可能出现的设备损坏和人身伤害,请仔细阅读本手册。本手册各章节内容如下: ?第1 章产品介绍。介绍了设备的概况、产品外观、产品规格以及接口。 ?第2 章接口模块。介绍设备支持的接口模块规格、外观、指示灯含义、接口属性和连接电缆。 ?第3 章安装前的准备。介绍设备安装前的准备工作及相关的安全注意事项。 ?第4 章设备安装。介绍设备的安装、线缆的连接以及安装后的检查。 ?第5 章设备启动及软件升级。介绍设备初次上电时的启动过程以及升级软件的方法。 ?第6 章常见问题处理。对设备操作过程的常见问题进行故障说明及故障处理。 本书约定 1.命令行格式约定 2.图形界面格式约定
3.各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下: 。
目录 1 产品介绍............................................................................. 1-1 1.1 产品概述............................................................................ 1-1 1.2 产品外观及指示灯说明................................................................ 1-1 1.2.1 T200/T200-E产品外观 .......................................................... 1-1 1.2.2 T200-A/M/S产品外观 ........................................................... 1-3 1.2.3 T1000-A/M/S/C产品外观 ........................................................ 1-6 1.3 产品规格............................................................................ 1-8 1.3.1 处理器和存储器................................................................ 1-8 1.3.2 外形尺寸和重量................................................................ 1-9 1.3.3 固定接口和槽位数............................................................. 1-10 1.3.4 输入电源..................................................................... 1-11 1.3.5 工作环境..................................................................... 1-12 1.4 产品组件........................................................................... 1-12 1.4.1 处理器及存储器............................................................... 1-12 1.4.2 各类接口..................................................................... 1-13 1.4.3 USB接口..................................................................... 1-19 1.4.4 扩展接口卡(选配)........................................................... 1-19 1.4.5 RPS电源(选配)............................................................. 1-19 2 接口模块............................................................................. 2-1 2.1 4GBE/8GBE ...................................................................................................................................... 2-1 2.2 4GBP ................................................................................................................................................. 2-3 2.3 GT4C ................................................................................................................................................. 2-5 2.4 GX4C................................................................................................................................................. 2-7 3 安装前的准备......................................................................... 3-1 3.1 通用安全注意事项.................................................................... 3-1 3.2 检查安装场所........................................................................ 3-1 3.2.1 温度/湿度要求.................................................................. 3-1 3.2.2 洁净度要求.................................................................... 3-1 3.2.3 防静电要求.................................................................... 3-2 3.2.4 抗干扰要求.................................................................... 3-2 3.2.5 防雷击要求.................................................................... 3-2 3.2.6 接地要求...................................................................... 3-3 3.2.7 布线要求...................................................................... 3-3 3.3 激光使用安全........................................................................ 3-3 3.4 安装工具............................................................................ 3-3 4 设备安装............................................................................. 4-1 4.1 安装前的确认........................................................................ 4-1 4.2 安装流程............................................................................ 4-2
网络卫士入侵防御系统 安装手册 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/4211314807.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印 ?2011 天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.doczj.com/doc/4211314807.html,
目录 1前言 (1) 1.1文档目的 (1) 1.2读者对象 (1) 1.3约定 (1) 1.4相关文档 (2) 1.5技术服务体系 (2) 2安装网络卫士入侵防御系统 (3) 2.1系统组成与规格 (3) 2.1.1系统组成 (3) 2.1.2系统规格 (3) 2.2系统安装 (3) 2.2.1硬件设备安装 (3) 2.2.2检查设备工作状态 (4) 2.3登录网络卫士入侵防御系统 (4) 2.3.1缺省出厂配置 (5) 2.3.2通过CONSOLE口登录 (6) 2.3.3设置其他管理方式 (8) 2.3.4管理主机的相关设置 (10) 2.3.5通过浏览器登录 (11) 2.4恢复出厂配置 (11) 3典型应用 (13) 3.1部署在防火墙前 (13) 3.2部署在防火墙后 (13)
1前言 本安装手册主要介绍网络卫士入侵防御系统(即TopIDP)的安装和使用。通过阅读本文档,用户可以了解如何正确地在网络中安装网络卫士入侵防御系统,并进行简单配置。 本章内容主要包括: ●文档目的 ●读者对象 ●约定 ●相关文档 ●技术服务体系 1.1文档目的 本文档主要介绍如何安装网络卫士入侵防御系统及其相关组件,包括设备安装和扩展模块安装等。 1.2读者对象 本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: 初次使用和安装网络卫士入侵防御系统。 管理网络卫士入侵防御系统。 1.3约定 本文档遵循以下约定: 1)命令语法描述采用以下约定, 尖括号(<>)表示该命令参数为必选项。 方括号([])表示该命令参数是可选项。 竖线(|)隔开多个相互独立的备选参数。 黑体表示需要用户输入的命令或关键字,例如help命令。 斜体表示需要用户提供实际值的参数。 2)图形界面操作的描述采用以下约定: “”表示按钮。
网络入侵防护方案 合肥中方网络安全公司 2013年4月22日
文档说明 非常感谢上海
目录 1
5.6DAP阶段二——30天 (19) 5.7DAP阶段三——1天 (20) 6IntruShield网络入侵防护产品简介 (21) 6.1网络攻击特征检测 (21) 6.2异常检测 (22) 6.3拒绝服务检测 (23) 6.4入侵防护 (24) 6.5实时过滤蠕虫病毒和Spyware间谍程序 (26) 6.6虚拟IPS (27) 6.7灵活的部署方式 (28)
天融信产品白皮书网络卫士入侵防御系统 TopIDP系列
网络卫士入侵防御系统 TopIDP 天融信公司为了满足市场上用户对入侵防御产品的需求,推出了“网络卫士入侵防御系统TopIDP”。它是基于新一代并行处理技术开发的网络入侵防御系统,通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。 TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台,保证了TopIDP 产品更高性能地对网络入侵进行防护。TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。入侵防御策略库随时防护目前业内最流行的入侵攻击行为。与现在市场上的入侵防御系统相比,TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向,堪称网络入侵检测和防御系统的典范。 强大的高性能多核并行处理架构 TopIDP产品采用了先进的多核处理器硬件平台,将并行处理技术成功地融入到天融信自主知识产权操作系统TOS(Topsec Operating System)系统,集成多项发明专利,形成了先进的多核并发运算的架构技术体系。在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任高速网络的安全防护要求。
图1 多核CPU内部运算示意图 ●精确的基于目标系统的流重组检测引擎 传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击,任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器主机上形成真正的攻击。TopIDP产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。 ●准确与完善的检测能力 TopIDP产品的智能检测引擎可分析网络攻击的组合行为特征来准确识别各种攻击,准确性更高;可以智能地识别出多种攻击隐藏手段及变种攻击,带来更高安全性;通过智能化检测引擎,能够识别出多种高危网络行为,并可以将此类行为以告警方式通知管理员,达到防患于未然的目的,带来更高网络安全性;同时新版TopIDP具有强大的木马检测与识别能力;完善的应用攻击检测与防护能力;丰富的网络应用控制能力和及时的应急响应能力。
小型网络入侵防御系统的技术研究和实现 王新留 谷利泽 杨义先 北京邮电大学网络与交换技术国家重点实验室 信息安全中心 100876 wxl322520@https://www.doczj.com/doc/4211314807.html, 摘要:针对小型网络的安全防御问题,利用开源IDS(Intrusion Detection System)-Snort,设计了一种IDS告警的融合、过滤机制,实现了IDS和防火墙的智能化联动,并且在入侵检测中成功引入漏洞扫描技术。通过将入侵检测技术、防火墙技术和漏洞扫描技术三者融合在一起,本文构建出一种适用于小型网络的入侵防御系统。 关键词:IDS,IPS,防火墙,漏洞扫描,Snort Research and implementation on small-typed network Intrusion Prevention System Wang XinLiu Gu Lize Yang Yixian Information Security Center, State Key Laboratory of Networking and Switching Technology, Beijing University of Posts and Telecommunications 100876 wxl322520@https://www.doczj.com/doc/4211314807.html, Abstract: Focusing on the problem of small-typed network security prevention, using the open source IDS(Intrusion Detection System)-Snort, a kind of mechanism for fusing and filtering IDS’s alerts is designed, the intelligent interaction between Snort and firewall is completed, and the vulnerability scanning technology is successfully introduced into the intrusion detection. Through integrating IDS, firewall, and vulnerability scanning technology together, an Intrusion Prevention System for small-typed network is built by this paper. Key words: IDS, IPS, firewall, vulnerability scanning, Snort 1 引言 网络安全是一个系统的概念,有效的安全策略和整体解决方案的制定是网络信息安全的首要目标。IDS、防火墙等安全产品的简单堆垒在当前的威胁和攻击面前变得越来越脆弱。因此,对安全产品的整合,逐渐被人们所关注,从IDS和防火墙的联动发展起来的入侵防御系统(Intrusion Prevention System, IPS)脱颖而出。IPS是指不但能检测入侵的发生,而且能通过一定的响应方式,实时中止入侵行为的发生和发展,实时保护信息系统不受攻击的一种智能化的安全产品[2]。它的出现弥补了防火墙及入侵检测系统单一产品的不足。 目前,一些研究人员研究实现了基于Snort与防火墙联动的入侵防御系统。其原理是:当Snort 检测到入侵事件时,就往防火墙中动态添加防御规则,实时阻止入侵事件的发生。这很大程度上弥补了防火墙和入侵检测系统单一产品的不足,并能实时中止入侵行为。但是它们并没有引入好的告警融合、过滤机制,加上Snort的误报,这种简单的联动方式会造成防火墙中的阻塞规则过多,严
入侵防御系统是位于防火墙和网络之间的设备,一般用于数据包传输的检测过滤,保护企业网络文件传输的安全性,以防被盗取或者有非法入侵的文件。为了企业的正常运营入侵防御系统是十分重要的,那么铱迅的入侵防御系统有哪些功能呢?下面简单的来了解一下吧。 产品功能 强大的攻击防御能力: 铱迅入侵防御系统提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。 铱迅入侵防御系统是网络拓扑的一部分,而不仅是一个被动的旁路设备,它在线决定数据包的命运,进出被保护网络的数据包都要经过入侵防御系统的深层检查,综合采用多种检测技术,包括特征检测、异常检测、DoS/DDoS检测等,提高入侵检测的准确性,一旦发现入侵,立刻阻断攻击者对攻击目标的访问,从而达到防御攻击的目的。 病毒过滤: 铱迅入侵防御系统具备效率高、灵活的防病毒能力,实现针对HTTP、SMTP、POP3、IMAP、FTP、IM等多种协议的病毒流量监测和控制,及时完成对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。 “铱迅入侵防御系统”系列产品能够识别和检测2-7层网络攻击行为,有效的防范黑客攻击、蠕虫、网络病毒、后门木马、D.o.S 、Shellcode等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。同时用户也可以通过自定义特征码进行防护。 准确的网络流量分析技术:
“铱迅入侵防御系统”系列产品可辨识超过各种网络及应用程序与数据包协议,完全遵循RFC规定,支持IP 破碎数据包辨识与重组。 流量控制: 阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT 产出率和收益率。 异常行为与检测: “铱迅入侵防御系统”产品针对应用层协议提供了细粒度的协议限制功能和协议异常检测功能, 支持的协议包括:HTTP、SMTP、POP3、IMAP和DNS等。”铱迅入侵防御系统”支持对应用级别协议进行异常检测,通过拒绝异常数据包来阻止这些非法的数据包,较大化保障网络安全。 上网行为管理: “铱迅入侵防御系统”能够有效的综合分析应用软件特征和数据内容,能够智能识别各种主流的P2P 下载、QQ即时通信、在线视频、网络游戏和在线炒股等用户上网行为,从而更好地协助企业了解当前的网络应用状况,发现非授权网络流量后进行及时限制或阻断: 1)检测/封锁来自IM/P2P软件的行为及威胁 2)封锁网络游戏程序 3)封锁远端控制软件 4)范围涵盖一般及特殊定制的应用软件 5)可利用子网络群组分别管理和控制
绿盟网络入侵防护系统 产品白皮书 ? 2011 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 前言 (2) 二. 为什么需要入侵防护系统 (2) 2.1防火墙的局限 (3) 2.2入侵检测系统的不足 (3) 2.3入侵防护系统的特点 (3) 三. 如何评价入侵防护系统 (4) 四. 绿盟网络入侵防护系统 (4) 4.1体系结构 (5) 4.2主要功能 (5) 4.3产品特点 (6) 4.3.1 多种技术融合的入侵检测机制 (6) 4.3.2 2~7层深度入侵防护能力 (8) 4.3.3 强大的防火墙功能 (9) 4.3.4 先进的Web威胁抵御能力 (9) 4.3.5 灵活高效的病毒防御能力 (10) 4.3.6 基于对象的虚拟系统 (10) 4.3.7 基于应用的流量管理 (11) 4.3.8 实用的上网行为管理 (11) 4.3.9 灵活的组网方式 (11) 4.3.10 强大的管理能力 (12) 4.3.11 完善的报表系统 (13) 4.3.12 完备的高可用性 (13) 4.3.13 丰富的响应方式 (14) 4.3.14 高可靠的自身安全性 (14) 4.4解决方案 (15) 4.4.1 多链路防护解决方案 (15) 4.4.2 交换防护解决方案 (16) 4.4.3 路由防护解决方案 (16) 4.4.4 混合防护解决方案 (17) 五. 结论 (18)
DPtech IPS2000测试方案 迪普科技 2011年07月
目录 DPtech IPS2000测试方案 (1) 第1章产品介绍 (1) 第2章测试计划 (2) 2.1测试方案 (2) 2.2测试环境 (2) 2.2.1 透明模式 (2) 2.2.2 旁路模式 (3) 第3章测试容 (4) 3.1功能特性 (4) 3.2响应方式 (4) 3.3管理特性 (4) 3.4安全性 (5) 3.5高可靠性 (5) 第4章测试方法及步骤 (6) 4.1功能特性 (6) 4.1.1 攻击防护 (6) 4.1.2 防病毒 (8) 4.1.3 访问控制 (10) 4.1.4 最接数与DDoS (11) 4.1.5 黑功能 (12) 4.2响应方式 (13) 4.2.1 阻断方式 (13) 4.2.2 日志管理 (14) 4.3管理特性 (15) 4.3.1 设备管理 (15) 4.3.2 报表特性 (16) 4.4安全特性 (17) 4.4.1 用户的安全性 (17) 4.4.2 设备的安全性 (19) 第5章测试总结 (21)
第1章产品介绍 随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。 如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。迪普科技在IPS2000 N系列IPS中,创新性的采用了并发硬件处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。同时,迪普科技IPS还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。以IPS2000-TS-N为例,IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品,即使在同时开启其置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部署于多个大型数据中心、园区出口。 漏洞库的全面性、专业性、及时性是决定IPS对攻击威胁能否有效防御的另一关键。迪普科技拥有专业的漏洞研究团队,能不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞,凭借其强大的漏洞研究能力,已得到业界普遍认可并成为微软的MAPP合作伙伴,微软在发布漏洞之前,迪普科技能提前获取该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字补丁。迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间具备防御零时差攻击(Zero-day Attack)的能力,最大程度的保护用户安全。目前,迪普科技已成为中国国家漏洞库的主要提供者之一。借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS的可用性,并极大减少了IPS误报、漏报给用户带来的困扰。 IPS2000 N系列是目前全球唯一可提供万兆线速处理能力的IPS产品,并在漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。IPS2000 N系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。