蓝盾入侵防御(BD-NIPS)系统技术白皮书
蓝盾信息安全技术股份有限公司
目录
一、产品需求背景 ...............................................................................................................................
二、蓝盾入侵防御系统 .......................................................................................................................
2.1概述...................................................................
2.2主要功能...............................................................
2.3功能特点...............................................................
2.3.1固化、稳定、高效的检测引擎及稳定的运行性能 ...............................................................
2.3.2 检测模式支持和协议解码分析能力 ......................................................................................
2.3.3 检测能力..................................................................................................................................
2.3.4 策略设置和升级能力............................................................................ 错误!未指定书签。
2.3.5 响应能力..................................................................................................................................
2.3.6管理能力...................................................................................................................................
2.3.7 审计、取证能力......................................................................................................................
2.3.8 联动协作能力..........................................................................................................................
三、产品优势 .......................................................................................................................................
3.1强大的检测引擎 .........................................................
3.2全面的系统规则库和自定义规则............................................
3.3数据挖掘及关联分析功能..................................................
3.4安全访问...............................................................
3.5日志管理及查询 .........................................................
3.6图形化事件分析系统 .....................................................
四、型号 ...............................................................................................................................................
一、产品需求背景
入侵防御系统是近十多年来发展起来的新一代动态安全防范技术,它通过对计算机网络或系统中若干关键点数据的收集,并对其进行分析,从而发现是否有违反安全策略的行为和被攻击的迹象。也许有人会问,我已经使用防火墙了,还需要入侵防御系统吗?答案是肯定的。
入侵防御是对防火墙及其有益的补充,入侵防御系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与在线防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵防御被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
有了入侵防御系统,您可以:
?知道是谁在攻击您的网络
?知道您是如何被攻击的
?及时阻断攻击行为
?知道企业内部网中谁是威胁的
?减轻重要网段或关键服务器的威胁
?取得起诉用的法律证据
二、蓝盾入侵防御系统
4.1 概述
蓝盾NIPS是一种实时的网络入侵防御和响应系统。它能够实时监控网络传输,自动检测可疑行为,分析来自网络外部和内部的入侵信号。在系统受到危害之前发出警告,实时对攻击做出阻断响应,并提供补救措施,最大程度地为网络系统提供安全保障。
蓝盾NIPS能够全面、实时地监测网段中的所有数据传输,信息收集与分析同步进行,反应快速,实时性高。用户可以实时查看网络中的通讯。可设置监控IP的流量、端口的流量和总流量,有利于管理员更正确地了解分析网络行为。一旦发现可疑行为,蓝盾IPS可以准确地显示入侵行为及其相关数据,实时向管理员以多种方式告警,以利及时采取措施。蓝盾IPS 可以根据用户的设置,将网络信息、分析结果、入侵记录、流量监控等生成报表以邮件形式发给客户,可供用户查询。
蓝盾NIPS设备提供旁路、透明、网关以及混合接入等灵活多样的部署方式,适合各种复杂的网络结构。蓝盾NIPS对流经被保护网络的流量进行基于内容特征、协议分析以及流量异常等方式的检测,其中协议分析涵盖了TCP/IP协议栈从网络层一直到应用层的各种协议的详细分析和检测,支持的协议包括IP、ICMP、TCP、UDP、Telnet、HTTP等。系统对检测到的异常和攻击事件记入攻击事件数据库,并且可以配置和其他交换机、内置或外挂防火墙联动进行整体防御。
蓝盾NIPS入侵防御系统采用标准的19英寸1-2U机箱;提供了4-6个固定的10/100/1000Mbps自适应以太网接口(4电或4电2光),最多可以同时保护3个子网。同时,蓝盾NIPS入侵防御系统也可以作为NIDS设备旁路部署,可以同时对5个子网实施监控。
蓝盾NIPS采用专为安全应用度身定做的安全操作系统,可以根据不同的应用进行扩展和裁减,并与上层的应用紧密结合,从而能很好的保证设备自身的安全性。
4.2 主要功能
入侵防御
蓝盾入侵防御系统可以对缓冲区溢出、SQL注入、暴力猜测、DOS/DDOS攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警,并通过与蓝盾防火墙联动、TCP Killer、发送邮件、安全中心显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进行动态防御。
流量监测
系统可对网络流量进行实时监测,对 TCP、UDP、ICMP、FTP、P2P等协议及应用进行分析,对造成网络阻塞的源地址进行定位和记录。
实时阻挡攻击
蓝盾入侵防御系统内嵌蓝盾防火墙及入侵防御系统,无论在何种部署模式下都可以对入侵进行在线实时阻挡。
图形化日志分析及报警
系统支持攻击事件输出到数据库并提供查询、统计、图形化分析以及报表输出功能。支持对系统日志、告警日志和操作日志的多样化管理和查询和多种格式导出。
数据挖掘及关联分析
蓝盾NIPS入侵防御系统具有数据挖掘及关联规则智能匹配等高级关联分析功能,能从无序的低级别的端口扫描及轻量级入侵企图中挖掘出入侵事件的前兆,通知网络管理员做好应对措施。
安全访问
蓝盾NIPS设备的以太网口,按功能区分为管理口和业务口。通过用户名/密码、受限的访问IP地址和受限的访问协议以及蓝盾NIPS设备自身的防DoS/DDoS功能,确保用户能够安全访问SecEngine设备管理口。支持受限的访问协议:HTTP、HTTPS、SSH和SNMP。
日志管理及查询
蓝盾NIPS设备支持对系统日志、告警日志和操作日志的多样化管理和查询。系统日志、操作日志可以输出到硬盘日志文件、数据库和远程syslog日志主机。若输出到远程日志主机,需进行相应的配置。日志文件可以以CSV格式导出;可以自动循环日志记录,也可以用户主动删除。
4.3 功能特点
2.3.1固化、稳定、高效的检测引擎及稳定的运行性能
BD-NIPS检测引擎是固化的,采用标准的工业机箱结构,可以方便的放置到标准机柜中,便于机房管理人员的管理。检测引擎的操作系统是BDOS2.0,是蓝盾信息安全技术股份有限公司自主开发的蓝盾防火墙操作系统的改进版。检测引擎系统软件已经预先配置完毕;检测引擎内建有蓝盾防火墙,自身安全性很高,可以防范针对检测引擎的攻击。
蓝盾入侵防御系统是纯硬件架构,含检测与分析功能:支持事件统计分析,协议异常检
测,可有效防止各种攻击欺骗。可检测8000类以上的攻击。蓝盾入侵防御系统采用内存零拷贝、零系统调用以及高性能网络数据包处理技术,可保持稳定的运行性能。
2.3.2 检测模式支持和协议解码分析能力
1)同时支持基于主机和网络两种检测模式
BD-NIPS同时支持基于主机和网络两种检测模式,既有检测网络数据的硬件检测引擎,又有安装在各主机上的主机代理检测客户端软件,能够同时监控主机和网络的入侵信号,在系统受到危害之前发出警告,实时对攻击作出反应,最大程度地为主机和网络提供安全保障。
2)支持多种协议解码分析
能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进行解码分析,能读懂基于这些协议的交互命令和命令执行情况。综合使用了特征匹配、协议分析和异常行为检测等方法,采用了自适应多协议融合分析技术。
2.3.3 检测能力
1) 完备的分析检测能力
BD-NIPS具有完备的功能,主要的功能包括:TCP流重组,端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET 交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。综合使用了特征匹配、协议分析和异常行为检测等方法,采用了自适应多协议融合分析技术。
系统具有强大的IP处理能力,能防止黑客进行各种碎片攻击。TCP多包组合攻击技术(攻击分许多包发送,一次一个或几个字节)可以轻松地绕过普通的模式匹配类型的入侵防御系统。BD-NIPS的TCP流重组功能可以重组TCP连接的双方的通讯,组合各个攻击包,使所有的组合包攻击技术无能为力。
端口扫描是入侵的先兆,黑客一般是先通过扫描来确定用户系统的类型,然后针对性的进行攻击。BD-NIPS具备识别端口扫描功能。普通的入侵防御系统只能识别简单的TCP端口
扫描,不能识别黑客的其它扫描。BD-NIPS可以识别包括TCP扫描、UDP扫描、SYN扫描、SYN+FIN扫描、NULL扫描、XMAS扫描、Full XMAS扫描、Reserved Bits扫描、Vecna扫描、NO ACK扫描、NMAP扫描、SPAU扫描、Invalid ACK扫描在内的几乎所有扫描方式。
UNICODE漏洞和缓冲溢出漏洞是最常用的攻击手法,也是最常见的系统漏洞,BD-NIPS 可以有效的检测到。
BD-NIPS具有完备的功能,特别是BD-NIPS的异常轮廓统计分析技术,使入侵防御系统具有自主学习能力,根据网络中正常情况下的信息,可以检测网络中的异常情况,自动分析出各种新形式的入侵、变种的入侵、系统误用。
2) 强大的攻击特征模式库
BD-NIPS内置攻击模式库有8000多条,能检测出绝大多数攻击行为。并且其中的攻击模式库也在不断地升级、更新。能检测的主要攻击包括:
WEB_ATTACKS攻击、WEB_IIS攻击、WEB_CGI攻击、WEB_FRONTPAGE攻击、FTP攻击、DOS 攻击、DDOS攻击、BACKDOOR攻击、NETBIOS攻击、ICMP攻击、ICMP_EVENT攻击、DNS攻击、SMTP攻击、SCAN攻击、RPC攻击、MSSQL攻击、TELNET攻击、VIRUS攻击、SHELLCODE攻击、REMOTE_SERVICE攻击、FINGER攻击、OVERFLOW攻击等。
3)强大的蠕虫检测能力
BD-NIPS拥有强大的蠕虫检测隔离能力。内置有1000多条蠕虫检测规则,可实时检测各种蠕虫,如SQL蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。同时通过异常检测技术能成功检测新蠕虫,因此在一定的程度上能解决蠕虫滞后的问题。
4)实时检测基于服务的攻击行为
BD-NIPS提供了专门模块检测分析针对基于服务协议的攻击行为。主要的服务有HTTP、TELNET、SMTP、MS SQL、DNS等。
5) 有效的异常检测技术
有效的异常检测与统计检测等检测方法能降低漏报率。BD-NIPS的异常轮廓统计分析技术,使入侵防御系统具有自学习能力,根据网络中正常情况下的信息,可以检测网络中的异常情况,自动分析出各种新形式的入侵、变种的入侵、系统误用。
BD-NIPS使用的异常检测模块的设计原理图如下图。异常数据包跟踪模块从预处理模块获取异常数据包,并建立起跟踪队列,同时使用异常检测方法进行深入的异常检测。为了加快异常检测速度,在异常数据包跟踪模块使用多线程协同式跟踪分析技术。流量状态监控模块监控网络流量状态及每一工作主机的流量状况,同时实时计算出流量变化情况。会话监控模块监控TCP会话,从中发现异常会话。在异常集中分析机器学习模块,将异常数据包跟踪模块、流量状态监控模块、会话监控模块的监控结果进行集中分析、集中关联、集中检测,从中发现异常特征,并进行预警和规则入库。
6)违规行为检测功能
用户可以定义一些规则,监控内部网络各主机间的连接,保护一些重要的主机和服务器,对违反规定或不应该出现的连接,即使还没发生攻击,系统也会进行报警。支持对未受权外联行为的检测。
7)网络流量分析
BD-NIPS提供流量统计分析功能。能统计、分析网络数据流量,发现异常并及时报警。
8)URL关键数据阻断
蓝盾入侵防御系统支持对URL关键数据的阻断,并动态过滤。
2.3.4 策略设置和升级能力
1)灵活的策略设置
BD-NIPS检测引擎内置了大约8000条入侵模式,可以检测已知的大部分入侵,BD-NIPS
同时允许有经验的高级用户自定义入侵模式及特征,做到量体裁衣,检测用户最为关注的事件,并能重现入侵攻击事件。
2)支持实时系统升级
BD-NIPS检测引擎内置有实时的升级模块,可以通过控制中心在线升级检测引擎,而不必停止入侵防御系统的正常工作,从而保证了入侵防御系统的无间断运行。
3)不断更新的入侵模式
新的黑客技术不断涌现,攻击模式需要经常更新;蓝盾信息安全技术股份有限公司将不断地更新对最新攻击手段的识别,及时扩充到入侵模式库中,最大限度的防范黑客入侵。
4)支持远程升级
BD-NIPS具有完善的远程升级能力,用户可以在线远程自动更新攻击特征库或升级软件模块,补充最新发现的攻击特征,使系统拥有最新的产品特性。
5)支持IP地址与MAC地址的绑定
为了防止IP欺骗、地址伪装,本系统具有MAC绑定技术。它可以将IP地址和网卡的硬件地址绑定起来。
2.3.5 响应能力
1)实时的检测分析、响应能力
BD-NIPS能够全面、实时地监测网段中的所有数据传输,信息收集与分析同步进行,反应快速,实时性高。系统可以实时监控网络中的通讯,一旦发现可疑行为,BD-NIPS可以准确地显示入侵行为及其相关数据,实时向管理员告警,以便及时采取措施。
2)支持多种报警和响应手段
BD-NIPS提供多种实时报警和响应手段,报警信息可以通过网络、有线、无线等多种方式通知管理员。报警方式有控制中心声音报警、控制中心图形报警、电子邮件报警、短信报警、消息报警等。在发现发入侵或者异常行为之后,可以根据安全规则提供电子邮件、声讯警示、消息警示窗、TCP阻断等多种响应方式,并可以与防火墙联动,及时切断入侵通道,达到主动式防御。而且对入侵主机进行“反向拍照”,对入侵者的身份进行特征提取、记录。
2.3.6管理能力
1)多网段检测、集中管理
BD-NIPS可以同时对多个网络实现保护。根据用户具体需求,每个防御引擎可以同时部署3个网络,如果作为NIDS设备,可以同时检测多达5个用户网络。强大的多网络检测能力将提高检测的准确性,也将极大地节约包括购买开支、管理开支在内的各项开支。BD-NIPS 检测引擎系统可以集中由控制中心系统进行管理。集中管理可以极大地减少管理工作量。并且支持多探测器集中管理,远程管理,具有完善的管理数据备份、恢复措施。
2)支持分级监控、集中管理
BD-NIPS支持在大型网络中采用分级监控、集中管理模式。下级的报警日志可根据日志报警策略一级一级向上汇总,甚至可送到总控制中心;上级控制中心可管理下级控制中心和下级检测引擎。
3)集管理、监控和分析功能于一体的图形化控制台
为了确保网络系统的安全,减少入侵防御系统部署、配置、管理方面的支出,设计人员经过大量细致的工作,设计出了支持集管理、监控和分析功能于一体的图形化控制台。即使是对网络仅有基本认识的人员,经过简单的技术培训,也可以安装、配置、管理入侵防御系统。可灵活定制和简单管理的管理员视图。
蓝盾IPS系统支持攻击事件输出到数据库并提供查询、统计、图形化分析以及报表输出功能。
统计
统计向用户提供一个时间段内比较突出的攻击事件的统计:比如列出最近1小时发生的攻击,发起攻击最频繁的100个源IP地址,收到攻击最频繁的100个目标IP地址。汇总信息包括统计攻击总数、接口总数、和命中攻击的规则总数;并提供按地址和端口进行统计的攻击数据。
查询
通过时间、IP等查询明细条件,查询符合条件的攻击事件。
图形化分析
图形化分析是在指定的时间内,针对不同的统计属性统计出攻击数,并以图形方式显示。图形化分析结果能分别根据时间、事件规则、IP地址等提供报表。
2.3.7 审计、取证能力
1) 强大的信息记录、查询能力
BD-NIPS有强大的信息记录、查询能力,这些信息包括原始的网络信息(可以当作入侵的证据)、入侵警报信息、系统管理记录等。从而重现入侵攻击事件。用户可以自定义的信息记录规则,只记录用户关心的网络活动,过滤掉用户不关心的网络信息。记录的信息可以进行多样化的、用户定义规则的查询。可以生成各种信息的统计报表。
2)强大的审计和实用的报表功能
BD-NIPS具有强大的审计功能,能对检测到的各种数据,包括原始数据、攻击报警数据、管理日志等进行分类统计、关联分析,可以根据用户的设置,将网络信息、分析结果、入侵记录存储到数据库中,可供查询、生成报表。本系统支持TXT、HTML、PDF格式多达20种日志与审计报表样式,并支持用户灵活定制。
2.3.8 联动协作能力
1)全面的联动能力
BD-NIPS支持BDSEC、OPSEC等主流联动协议,能与蓝盾系列产品和其它第三方厂家的安全产品,如防火墙、安全网关、服务器监控软件、桌面主机代理检测软件和DDoS防御网关等实现联动,共同防御入侵。
BD-NIPS还提供通用联动API接口,任何安全设备厂家使用蓝盾入侵防御系统的通用联动接口,就可以非常容易的和蓝盾入侵防御系统进行联动,从而构架全方位的网络安全防御体系。
2)构建全网防御体系
BD-NIPS通过蓝盾主机审计系统提供服务器监控和桌面主机代理检测客户端,通过在内网每台主机上安装代理检测客户端软件,与本系统检测引擎进行联动,构成一个“全网防御”体系,可以有效防御、隔离冲击波、震荡波等大规模蠕虫攻击。
三、产品优势
3.1强大的检测引擎
蓝盾NIPS检测引擎结合误用检测和异常检测两种检测方法为用户网络提供了完善的保护功能。构成FIRST检测引擎关键技术有:
◆基于状态的特征匹配检测技术:基于状态的特征检测技术依据攻击的特征模式对网
络报文进行匹配;
◆协议分析检测:以常用协议为对象,对不符合标准协议规范的报文进行分析,能检
测出利用协议漏洞进行的各种攻击,包括未知的攻击和变种攻击;
◆异常流量分析检测:通过对网络流量规律的数学建模和智能统计分析,检测攻击者
攻击前为收集信息而进行的扫描等探测行为,阻止进一步的攻击(如DoS/DDoS攻
击)。
3.2全面的系统规则库和自定义规则
蓝盾NIPS入侵防御系统把已知攻击的特征定义(规则)集中在一起放在特征数据库中(共8257条),供系统在特征匹配检测时使用。特征数据库分为两种:
◆系统预定义规则库:设备供应商定期发布或紧急情况下发布的系统预定义规则库;
◆用户自定义规则库:由用户自己定制的规则组成的攻击特征库。
3.3数据挖掘及关联分析功能
蓝盾NIPS入侵防御系统具有数据挖掘及关联规则智能匹配等高级关联分析功能,能从无序的低级别的端口扫描及轻量级入侵企图中挖掘出入侵事件的前兆,通知网络管理员做好应对措施。
3.4安全访问
蓝盾NIPS设备的以太网口,按功能区分为管理口和业务口。通过用户名/密码、受限的访问IP地址和受限的访问协议以及蓝盾NIPS设备自身的防DoS/DDoS功能,确保用户能够安全访问设备管理口。支持受限的访问协议:HTTP、HTTPS、SSH和SNMP。
3.5日志管理及查询
蓝盾NIPS设备支持对系统日志、告警日志和操作日志的多样化管理和查询。系统日志、操作日志可以输出到硬盘日志文件、数据库和远程syslog日志主机。若输出到远程日志主机,需进行相应的配置。日志文件可以以CSV格式导出;可以自动循环日志记录,也可以用户主动删除。
3.6图形化事件分析系统
系统支持攻击事件输出到数据库并提供查询、统计、图形化分析以及报表输出功能。
◆统计
统计向用户提供一个时间段内比较突出的攻击事件的统计:比如列出最近1小时发生的攻击,发起攻击最频繁的100个源IP地址,收到攻击最频繁的100个目标IP地址。汇总信息包括统计攻击总数、接口总数、和命中攻击的规则总数;并提供按地址和端口进行统计的攻击数据。
◆查询
通过时间、IP等查询明细条件,查询符合条件的攻击事件。
◆图形化分析
图形化分析是在指定的时间内,针对不同的统计属性统计出攻击数,并以图形方式显示。图形化分析结果能分别根据时间、事件规则、IP地址等提供报表。
四、型号
入侵防御TOPIDP之IPS产品分析 学院:计算机科学与工程学院 年级:大三 学号: 姓名: 专业:信息安全 2013.11.15
摘要 本文介绍了天融信公司开发的入侵防御系统I P S的产品特点、功能、特性以及应用等,使读者对I P S有一个简要的概念。 关键词:特点;特性:功能;
目录 摘要..............................一产品厂家 二产品概述 三产品特点 四产品功能 4、1 入侵防护 4、2 DoS/DDoS防护 4、3 应用管控 4、4 网络病毒检测 4、5 URL过滤 五产品特性 六产品应用 6、1 典型部署 6、2 内网部署 七结论
一、产品厂家 北京天融信网络安全技术有限公司1995年成立于中国信息产业摇篮的北京,十八年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。 天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,降低安全风险,创造业务价值。 ●构建可信网络安全世界 ●中国安全硬件市场领导者 ●快速成长的安全管理业务 ●互联网安全云服务的开拓者 ●实现安全的业务交付 ●安全研究与前沿探索 ●技术创新引领发展 ●国家安全企业责任 二、产品概述 天融信公司的网络卫士入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。 TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作,不断跟踪、挖掘和分析新出现的各种漏洞信息,并将研究成果直接应用于产品,保障了TopIDP产品检测的全面、准确和及时有效。
蓝盾入侵防御(BD-NIPS)系统技术白皮书 蓝盾信息安全技术股份有限公司
目录 一、产品需求背景 (3) 二、蓝盾入侵防御系统 (4) 2.1概述 (4) 2.2主要功能 (5) 2.3功能特点 (8) 2.3.1固化、稳定、高效的检测引擎及稳定的运行性能 (8) 2.3.2 检测模式支持和协议解码分析能力 (8) 2.3.3 检测能力 (9) 2.3.4 策略设置和升级能力 (11) 2.3.5 响应能力 (12) 2.3.6管理能力 (13) 2.3.7 审计、取证能力 (14) 2.3.8 联动协作能力 (15) 三、产品优势 (16) 3.1强大的检测引擎 (16) 3.2全面的系统规则库和自定义规则 (16) 3.3数据挖掘及关联分析功能 (16) 3.4安全访问 (16) 3.5日志管理及查询 (17) 3.6图形化事件分析系统 (17) 四、型号 (18)
一、产品需求背景 入侵防御系统是近十多年来发展起来的新一代动态安全防范技术,它通过对计算机网络或系统中若干关键点数据的收集,并对其进行分析,从而发现是否有违反安全策略的行为和被攻击的迹象。也许有人会问,我已经使用防火墙了,还需要入侵防御系统吗?答案是肯定的。 入侵防御是对防火墙及其有益的补充,入侵防御系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与在线防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵防御被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 有了入侵防御系统,您可以: ?知道是谁在攻击您的网络 ?知道您是如何被攻击的 ?及时阻断攻击行为 ?知道企业内部网中谁是威胁的 ?减轻重要网段或关键服务器的威胁 ?取得起诉用的法律证据
入侵防御系统的功能是:简单来说,它能够监视网络或网络设备的网络资料传输行为的计算机网络完全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行。选择入侵防御系统很重要,一定要找专业从事网络安全与服务的高科技公司。入侵防御系统的功能下面就详细介绍一下,这里以铱迅品牌的入侵防御系统做案例: 铱迅入侵防御系统(英文:Yxlink Intrusion Prevention System,简称:Yxlink IPS),是铱迅信息结合多年在应用安全理论与新一代动态检测防御实践经验积累的基础上,自主研发的一款应用级入侵防御系统,它可以在线地检测网络和系统资源,发现攻击后能够实施有效的阻断,防止攻击到达目标网络或主机。可给您网络中的各网络单元提供2-7层的全方位的保护,为网络提供深层次的、有效的安全防护。 铱迅入侵防御系统致力于解决黑客攻击、蠕虫、网络病毒、后门木马等恶意流量带来的信息系统侵害,广泛适用于“政府、金融、运营商、公安、能源、工商、社保、交通、卫生、教育、电子商务”等所有涉及网络应用的各个行业。部署铱迅入侵防御系统产品,可以帮助客户主动防护网络、主机系统,为用户的信息安全提供最大的保障。 万兆高并发与请求速率处理技术 铱迅入侵防御系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。
庞大内置特征库 特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。 铱迅入侵防御系统装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。 攻击碎片重组技术 通过铱迅入侵防御系统独有的碎片包重组技术,可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.doczj.com/doc/612710497.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
实验十三 IDS设备部署与配置 【实验名称】 IDS设备部署与配置 【计划学时】 2学时 【实验目的】 1.熟悉IDS设备的部署方式 2.掌握设备的连接和简单设置 【基本原理】 一、IDS的4种部署方式 1镜像口监听 镜像口监听部署模式是最简单方便的一种部署方式,不会影响原有网络拓扑结构。在这种部署方式中,把NIDS设备连接到交换机镜像口网络后,只需对入侵检测规则进行勾选启动,无需对自带的防火墙进行设置,无需另外安装专门的服务器和客户端管理软件,用户使用普通的Web浏览器即可实现对NIDS的管理(包括规则配置、日志查询、统计分析等),大大降低了部署成本和安装使用难度,增加了部署灵活性。 部署方式如下图所示:
2NA T模式(可充当防火墙) NAT模式是将蓝盾NIDS设备作为防护型网关部署在网络出口位置,适合于没有防火墙等防护设备的网络。在这种部署方式中,蓝盾NIDS设备可同时作为防火墙设备、防DDoS 攻击网关使用,可有效利用内置的防火墙进行有效入侵防御联动。NAT部署采取串联方式部署在主交换机前面,需要对网络拓扑结构进行改造,需要对蓝盾NIDS设备的自带防火墙进行规则设置及内外线连接设置,以达到多重防御的效果。用户通过Web浏览器可实现对NIDS 的全面管理(包括规则配置、日志查询、统计分析等)。 部署方式如下图所示:
3透明桥模式 透明桥模式是将蓝盾NIDS设备作为透明设备串接在网络中。这样既可以有效利用到蓝盾NIDS的各项功能,也可以不必改变原有网络拓扑结构。在这种部署方式中,蓝盾NIDS 设备可同时作为防火墙设备、防DDoS攻击网关使用,可以利用内置的防火墙进行有效入侵防御联动。用户通过Web浏览器可实现对NIDS的全面管理(包括规则配置、日志查询、统计分析等)。通常可以透明方式部署在DMZ区域,可将NIDS作为第二道防护网保护服务组群。部署方式如下图所示:
网络卫士入侵防御系统 配置案例 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/612710497.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印? 2009天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.doczj.com/doc/612710497.html,
目录 前言 (3) 文档目的 (3) 读者对象 (3) 约定 (4) 相关文档 (4) 技术服务体系 (4) 配置导入、导出 (6) 配置导出 (6) 基本需求 (6) 配置要点 (6) WEBUI配置步骤 (6) 配置导入 (7) 基本需求 (7) 配置要点 (7) WEBUI配置步骤 (8) 在线升级 (9) 基本需求 (9) 配置要点 (9) WEBUI配置步骤 (9) 注意事项 (10) 规则库升级 (11) 基本需求 (11) 配置要点 (11) WEBUI配置步骤 (11) 注意事项 (12) TOPIDP快速简易配置 (14) 基本需求 (14) 配置要点 (14) WEBUI配置步骤 (14) 注意事项 (17) 应用协议控制-BT (18) 基本需求 (18) 配置要点 (18) WEBUI配置步骤 (18) 注意事项 (20) 以IDS方式接入 (21) 基本需求 (21) 配置要点 (21) WEBUI配置步骤 (21) 注意事项 (24) IPS策略+防火墙功能 (25) 基本需求 (25) 配置要点 (25)
H3C SecPath T 系列入侵防御系统 配置指南
前言 本书简介 本手册主要介绍H3C SecPath T 系列入侵防御系统的产品概况、安装前的准备、安装过程、设备启动以及常见问题处理。在安装设备的过程中,为避免可能出现的设备损坏和人身伤害,请仔细阅读本手册。本手册各章节内容如下: ?第1 章产品介绍。介绍了设备的概况、产品外观、产品规格以及接口。 ?第2 章接口模块。介绍设备支持的接口模块规格、外观、指示灯含义、接口属性和连接电缆。 ?第3 章安装前的准备。介绍设备安装前的准备工作及相关的安全注意事项。 ?第4 章设备安装。介绍设备的安装、线缆的连接以及安装后的检查。 ?第5 章设备启动及软件升级。介绍设备初次上电时的启动过程以及升级软件的方法。 ?第6 章常见问题处理。对设备操作过程的常见问题进行故障说明及故障处理。 本书约定 1.命令行格式约定 2.图形界面格式约定
3.各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下: 。
目录 1 产品介绍............................................................................. 1-1 1.1 产品概述............................................................................ 1-1 1.2 产品外观及指示灯说明................................................................ 1-1 1.2.1 T200/T200-E产品外观 .......................................................... 1-1 1.2.2 T200-A/M/S产品外观 ........................................................... 1-3 1.2.3 T1000-A/M/S/C产品外观 ........................................................ 1-6 1.3 产品规格............................................................................ 1-8 1.3.1 处理器和存储器................................................................ 1-8 1.3.2 外形尺寸和重量................................................................ 1-9 1.3.3 固定接口和槽位数............................................................. 1-10 1.3.4 输入电源..................................................................... 1-11 1.3.5 工作环境..................................................................... 1-12 1.4 产品组件........................................................................... 1-12 1.4.1 处理器及存储器............................................................... 1-12 1.4.2 各类接口..................................................................... 1-13 1.4.3 USB接口..................................................................... 1-19 1.4.4 扩展接口卡(选配)........................................................... 1-19 1.4.5 RPS电源(选配)............................................................. 1-19 2 接口模块............................................................................. 2-1 2.1 4GBE/8GBE ...................................................................................................................................... 2-1 2.2 4GBP ................................................................................................................................................. 2-3 2.3 GT4C ................................................................................................................................................. 2-5 2.4 GX4C................................................................................................................................................. 2-7 3 安装前的准备......................................................................... 3-1 3.1 通用安全注意事项.................................................................... 3-1 3.2 检查安装场所........................................................................ 3-1 3.2.1 温度/湿度要求.................................................................. 3-1 3.2.2 洁净度要求.................................................................... 3-1 3.2.3 防静电要求.................................................................... 3-2 3.2.4 抗干扰要求.................................................................... 3-2 3.2.5 防雷击要求.................................................................... 3-2 3.2.6 接地要求...................................................................... 3-3 3.2.7 布线要求...................................................................... 3-3 3.3 激光使用安全........................................................................ 3-3 3.4 安装工具............................................................................ 3-3 4 设备安装............................................................................. 4-1 4.1 安装前的确认........................................................................ 4-1 4.2 安装流程............................................................................ 4-2
网络卫士入侵防御系统 安装手册 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/612710497.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印 ?2011 天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.doczj.com/doc/612710497.html,
目录 1前言 (1) 1.1文档目的 (1) 1.2读者对象 (1) 1.3约定 (1) 1.4相关文档 (2) 1.5技术服务体系 (2) 2安装网络卫士入侵防御系统 (3) 2.1系统组成与规格 (3) 2.1.1系统组成 (3) 2.1.2系统规格 (3) 2.2系统安装 (3) 2.2.1硬件设备安装 (3) 2.2.2检查设备工作状态 (4) 2.3登录网络卫士入侵防御系统 (4) 2.3.1缺省出厂配置 (5) 2.3.2通过CONSOLE口登录 (6) 2.3.3设置其他管理方式 (8) 2.3.4管理主机的相关设置 (10) 2.3.5通过浏览器登录 (11) 2.4恢复出厂配置 (11) 3典型应用 (13) 3.1部署在防火墙前 (13) 3.2部署在防火墙后 (13)
1前言 本安装手册主要介绍网络卫士入侵防御系统(即TopIDP)的安装和使用。通过阅读本文档,用户可以了解如何正确地在网络中安装网络卫士入侵防御系统,并进行简单配置。 本章内容主要包括: ●文档目的 ●读者对象 ●约定 ●相关文档 ●技术服务体系 1.1文档目的 本文档主要介绍如何安装网络卫士入侵防御系统及其相关组件,包括设备安装和扩展模块安装等。 1.2读者对象 本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: 初次使用和安装网络卫士入侵防御系统。 管理网络卫士入侵防御系统。 1.3约定 本文档遵循以下约定: 1)命令语法描述采用以下约定, 尖括号(<>)表示该命令参数为必选项。 方括号([])表示该命令参数是可选项。 竖线(|)隔开多个相互独立的备选参数。 黑体表示需要用户输入的命令或关键字,例如help命令。 斜体表示需要用户提供实际值的参数。 2)图形界面操作的描述采用以下约定: “”表示按钮。
天融信产品白皮书网络卫士入侵防御系统 TopIDP系列
网络卫士入侵防御系统 TopIDP 天融信公司为了满足市场上用户对入侵防御产品的需求,推出了“网络卫士入侵防御系统TopIDP”。它是基于新一代并行处理技术开发的网络入侵防御系统,通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。 TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台,保证了TopIDP 产品更高性能地对网络入侵进行防护。TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。入侵防御策略库随时防护目前业内最流行的入侵攻击行为。与现在市场上的入侵防御系统相比,TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向,堪称网络入侵检测和防御系统的典范。 强大的高性能多核并行处理架构 TopIDP产品采用了先进的多核处理器硬件平台,将并行处理技术成功地融入到天融信自主知识产权操作系统TOS(Topsec Operating System)系统,集成多项发明专利,形成了先进的多核并发运算的架构技术体系。在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任高速网络的安全防护要求。
图1 多核CPU内部运算示意图 ●精确的基于目标系统的流重组检测引擎 传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击,任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器主机上形成真正的攻击。TopIDP产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。 ●准确与完善的检测能力 TopIDP产品的智能检测引擎可分析网络攻击的组合行为特征来准确识别各种攻击,准确性更高;可以智能地识别出多种攻击隐藏手段及变种攻击,带来更高安全性;通过智能化检测引擎,能够识别出多种高危网络行为,并可以将此类行为以告警方式通知管理员,达到防患于未然的目的,带来更高网络安全性;同时新版TopIDP具有强大的木马检测与识别能力;完善的应用攻击检测与防护能力;丰富的网络应用控制能力和及时的应急响应能力。
蓝盾信息攻防实验室 技术白皮书 蓝盾信息安全技术股份有限公司
目录 一.背景 (3) 1.1背景 (3) 1.2目的 (3) 二.信息安全攻防实验室概述 (4) 2.1概述 (4) 2.2系统组成 (4) 2.2.1系统软硬件 (4) 2.2.2系统模块构成 (5) 2.3课程设计 (5) 三.教学实验室管理平台系统功能 (7) 3.1用户管理 (7) 3.2设备管理 (8) 3.3系统管理 (8) 3.4课件管理 (9) 3.5考试管理 (9) 3.6控制台 (9) 3.7平台拓扑 (10) 3.8架构图和部署方式 (11) 四.攻防实验室平台特点 (12) 五.性能指标(默认装配设备) (13) 附录:基础课程安排 (14) 1.法律法规基础教育: (14) 2.网络攻击教学和实验: (14) 3.安全防御教学和实验: (14) 4.配套安全硬件: (15)
一.背景 1.1背景 随着信息技术不断发展,各行业用户对信息系统的依赖程度也越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。近年来,用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。 然而,种种安全措施并不能阻止来自各方各面的安全威胁,病毒、木马、黑客攻击、网络钓鱼、DDOS等妨害网络安全的行为手段层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。 也正因如此,国内市场对于网络安全人才的需求日趋迫切,网络安全行业的就业需求将以年均14%的速度递增,网络安全人才的薪资水平普遍较高,走俏职场成为必然。 于是,我们开始关注对于网络安全人才的教育培训。但目前对于大部分高校来说,安全教育培训仍是薄弱环节: 1.虽设有信息安全专业,但没有建设完整的有特色的安全实验室; 2.实验设备简陋、单一,大部分实验仍然依托虚拟机来进行,实验效果大打折扣; 3.教师信息安全教学经验不足,无法切合学生实际情况进行针对性的教学; 4.实验室千篇一律,配套多媒体教案不足,可开展的实验内容过于陈旧。 在这种背景之下,在高校内建设信息攻防实验室就成为势在必行。 1.2目的 1)提高学生理论水平 2)锻炼学生实际动手能力
小型网络入侵防御系统的技术研究和实现 王新留 谷利泽 杨义先 北京邮电大学网络与交换技术国家重点实验室 信息安全中心 100876 wxl322520@https://www.doczj.com/doc/612710497.html, 摘要:针对小型网络的安全防御问题,利用开源IDS(Intrusion Detection System)-Snort,设计了一种IDS告警的融合、过滤机制,实现了IDS和防火墙的智能化联动,并且在入侵检测中成功引入漏洞扫描技术。通过将入侵检测技术、防火墙技术和漏洞扫描技术三者融合在一起,本文构建出一种适用于小型网络的入侵防御系统。 关键词:IDS,IPS,防火墙,漏洞扫描,Snort Research and implementation on small-typed network Intrusion Prevention System Wang XinLiu Gu Lize Yang Yixian Information Security Center, State Key Laboratory of Networking and Switching Technology, Beijing University of Posts and Telecommunications 100876 wxl322520@https://www.doczj.com/doc/612710497.html, Abstract: Focusing on the problem of small-typed network security prevention, using the open source IDS(Intrusion Detection System)-Snort, a kind of mechanism for fusing and filtering IDS’s alerts is designed, the intelligent interaction between Snort and firewall is completed, and the vulnerability scanning technology is successfully introduced into the intrusion detection. Through integrating IDS, firewall, and vulnerability scanning technology together, an Intrusion Prevention System for small-typed network is built by this paper. Key words: IDS, IPS, firewall, vulnerability scanning, Snort 1 引言 网络安全是一个系统的概念,有效的安全策略和整体解决方案的制定是网络信息安全的首要目标。IDS、防火墙等安全产品的简单堆垒在当前的威胁和攻击面前变得越来越脆弱。因此,对安全产品的整合,逐渐被人们所关注,从IDS和防火墙的联动发展起来的入侵防御系统(Intrusion Prevention System, IPS)脱颖而出。IPS是指不但能检测入侵的发生,而且能通过一定的响应方式,实时中止入侵行为的发生和发展,实时保护信息系统不受攻击的一种智能化的安全产品[2]。它的出现弥补了防火墙及入侵检测系统单一产品的不足。 目前,一些研究人员研究实现了基于Snort与防火墙联动的入侵防御系统。其原理是:当Snort 检测到入侵事件时,就往防火墙中动态添加防御规则,实时阻止入侵事件的发生。这很大程度上弥补了防火墙和入侵检测系统单一产品的不足,并能实时中止入侵行为。但是它们并没有引入好的告警融合、过滤机制,加上Snort的误报,这种简单的联动方式会造成防火墙中的阻塞规则过多,严
入侵防御系统是位于防火墙和网络之间的设备,一般用于数据包传输的检测过滤,保护企业网络文件传输的安全性,以防被盗取或者有非法入侵的文件。为了企业的正常运营入侵防御系统是十分重要的,那么铱迅的入侵防御系统有哪些功能呢?下面简单的来了解一下吧。 产品功能 强大的攻击防御能力: 铱迅入侵防御系统提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。 铱迅入侵防御系统是网络拓扑的一部分,而不仅是一个被动的旁路设备,它在线决定数据包的命运,进出被保护网络的数据包都要经过入侵防御系统的深层检查,综合采用多种检测技术,包括特征检测、异常检测、DoS/DDoS检测等,提高入侵检测的准确性,一旦发现入侵,立刻阻断攻击者对攻击目标的访问,从而达到防御攻击的目的。 病毒过滤: 铱迅入侵防御系统具备效率高、灵活的防病毒能力,实现针对HTTP、SMTP、POP3、IMAP、FTP、IM等多种协议的病毒流量监测和控制,及时完成对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。 “铱迅入侵防御系统”系列产品能够识别和检测2-7层网络攻击行为,有效的防范黑客攻击、蠕虫、网络病毒、后门木马、D.o.S 、Shellcode等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。同时用户也可以通过自定义特征码进行防护。 准确的网络流量分析技术:
“铱迅入侵防御系统”系列产品可辨识超过各种网络及应用程序与数据包协议,完全遵循RFC规定,支持IP 破碎数据包辨识与重组。 流量控制: 阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT 产出率和收益率。 异常行为与检测: “铱迅入侵防御系统”产品针对应用层协议提供了细粒度的协议限制功能和协议异常检测功能, 支持的协议包括:HTTP、SMTP、POP3、IMAP和DNS等。”铱迅入侵防御系统”支持对应用级别协议进行异常检测,通过拒绝异常数据包来阻止这些非法的数据包,较大化保障网络安全。 上网行为管理: “铱迅入侵防御系统”能够有效的综合分析应用软件特征和数据内容,能够智能识别各种主流的P2P 下载、QQ即时通信、在线视频、网络游戏和在线炒股等用户上网行为,从而更好地协助企业了解当前的网络应用状况,发现非授权网络流量后进行及时限制或阻断: 1)检测/封锁来自IM/P2P软件的行为及威胁 2)封锁网络游戏程序 3)封锁远端控制软件 4)范围涵盖一般及特殊定制的应用软件 5)可利用子网络群组分别管理和控制
绿盟网络入侵防护系统 产品白皮书 ? 2011 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 前言 (2) 二. 为什么需要入侵防护系统 (2) 2.1防火墙的局限 (3) 2.2入侵检测系统的不足 (3) 2.3入侵防护系统的特点 (3) 三. 如何评价入侵防护系统 (4) 四. 绿盟网络入侵防护系统 (4) 4.1体系结构 (5) 4.2主要功能 (5) 4.3产品特点 (6) 4.3.1 多种技术融合的入侵检测机制 (6) 4.3.2 2~7层深度入侵防护能力 (8) 4.3.3 强大的防火墙功能 (9) 4.3.4 先进的Web威胁抵御能力 (9) 4.3.5 灵活高效的病毒防御能力 (10) 4.3.6 基于对象的虚拟系统 (10) 4.3.7 基于应用的流量管理 (11) 4.3.8 实用的上网行为管理 (11) 4.3.9 灵活的组网方式 (11) 4.3.10 强大的管理能力 (12) 4.3.11 完善的报表系统 (13) 4.3.12 完备的高可用性 (13) 4.3.13 丰富的响应方式 (14) 4.3.14 高可靠的自身安全性 (14) 4.4解决方案 (15) 4.4.1 多链路防护解决方案 (15) 4.4.2 交换防护解决方案 (16) 4.4.3 路由防护解决方案 (16) 4.4.4 混合防护解决方案 (17) 五. 结论 (18)
DPtech IPS2000测试方案 迪普科技 2011年07月
目录 DPtech IPS2000测试方案 (1) 第1章产品介绍 (1) 第2章测试计划 (2) 2.1测试方案 (2) 2.2测试环境 (2) 2.2.1 透明模式 (2) 2.2.2 旁路模式 (3) 第3章测试容 (4) 3.1功能特性 (4) 3.2响应方式 (4) 3.3管理特性 (4) 3.4安全性 (5) 3.5高可靠性 (5) 第4章测试方法及步骤 (6) 4.1功能特性 (6) 4.1.1 攻击防护 (6) 4.1.2 防病毒 (8) 4.1.3 访问控制 (10) 4.1.4 最接数与DDoS (11) 4.1.5 黑功能 (12) 4.2响应方式 (13) 4.2.1 阻断方式 (13) 4.2.2 日志管理 (14) 4.3管理特性 (15) 4.3.1 设备管理 (15) 4.3.2 报表特性 (16) 4.4安全特性 (17) 4.4.1 用户的安全性 (17) 4.4.2 设备的安全性 (19) 第5章测试总结 (21)
第1章产品介绍 随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。 如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。迪普科技在IPS2000 N系列IPS中,创新性的采用了并发硬件处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。同时,迪普科技IPS还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。以IPS2000-TS-N为例,IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品,即使在同时开启其置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部署于多个大型数据中心、园区出口。 漏洞库的全面性、专业性、及时性是决定IPS对攻击威胁能否有效防御的另一关键。迪普科技拥有专业的漏洞研究团队,能不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞,凭借其强大的漏洞研究能力,已得到业界普遍认可并成为微软的MAPP合作伙伴,微软在发布漏洞之前,迪普科技能提前获取该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字补丁。迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间具备防御零时差攻击(Zero-day Attack)的能力,最大程度的保护用户安全。目前,迪普科技已成为中国国家漏洞库的主要提供者之一。借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS的可用性,并极大减少了IPS误报、漏报给用户带来的困扰。 IPS2000 N系列是目前全球唯一可提供万兆线速处理能力的IPS产品,并在漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。IPS2000 N系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。