360入侵防御系统
白皮书
目录
1.产品概述 (1)
2.产品特色 (1)
2.1.实时主动的安全防御能力 (1)
2.2.优异的产品性能和自身安全性 (4)
2.3.虚拟化、弹性化的管理方式 (5)
2.4.高度容错能力 (5)
2.5.全面的网络安全检测、控制与展示 (5)
3.技术优势 (6)
3.1.控制层面与数据层面相分离的并行计算技术 (6)
3.2.丰富且全面的入侵检测技术 (7)
3.3.高效的检测引擎体系结构 (9)
4.典型应用 (9)
4.1.部署IPS的两个阶段 (9)
4.2.完整的部署带来无处不在的防护能力 (10)
5.客户价值 (11)
1.产品概述
针对日趋复杂的应用安全威胁和混合型网络攻击,360企业安全集团推出完善的安全防护方案。360入侵防御系统(简称360IPS)全线产品采用多核芯片,基于自主研发的、充分利用多核优势的360SecOS软件系统,采用多层次深度检测技术和多扫描引擎负载分担与备份技术,完全满足当前网络带宽和网络攻击泛滥、应用越来越复杂的趋势和需求。
360IPS作为一种在线部署的产品,通过准确监测网络异常流量,自动应对各类攻击流量,及时将安全威胁阻隔在企业网络外部。入侵防御产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵防护解决方案。
2.产品特色
2.1.实时主动的安全防御能力
360入侵防御系统以在线的方式部署在客户网络的关键路径上,通过对数据流进行2到7层的深度分析,具有能精确、实时地识别和阻断病毒、木马、SQL注入、跨站脚本攻击、DoS/DDoS、扫描等安全威胁,还具有防火墙、文件控制、URL过滤、关键字过滤、P2P、IM等网络滥用流量的识别和限制功能。
360入侵防御系统检测引擎结合了异常检测与攻击特征数据库检测的技术,它同时也包含了深层数据包检查能力,除了检查第四层数据包外,更能深入检查到第七层的数据包内容,以阻挡恶意攻击的穿透,同时不影响正常程序的工作。
360入侵防御系统的检测引擎提供多种检测模式来保证准确度,并且在不影响网络性能的状况下,提供客户最佳的保护;在360入侵防御系统上使用的检测方法包括: 状态模式检测(Stateful Detection)
许多的攻击是试图推翻通讯协议状态。基于多年TCP/IP的研究,360入侵防御系统开发了一个状态检查引擎来分析协议状态,并且防止畸形数据包攻击网络。
●攻击特征数据库模式检测(Signature-based Detection)
360入侵防御系统检测与保护针对应用协议和脆弱系统的攻击,具有超过4,000多条的攻击特征数据库,这些攻击特征数据库是由深具网络安全经验的360企业安全集团安全研究团队开发制定。
缓冲区溢出检测(Buffer-overflow Detection)
缓冲区溢出是一种黑客经常利用的通用技术,例如冲击波攻击就是利用微软的RPC DCOM漏洞感染网络上数百万的主机。360入侵防御系统可以通过内置特征库阻挡缓冲区溢出攻击,阻止黑客取得非法的授权进入网络。
木马/后门检测(Trojan/Backdoor Detection)
黑客使用木马和后门程序取得非法授权进入个人计算机或服务器。基于现有的木马和后门程序的技术,360入侵防御系统可以通过内置特征库检测并防止木马和后门程序。
拒绝服务/分布式拒绝服务检测(DoS/DDoS Detection)
黑客可以在不需要任何授权的情况下发送大量的数据包进入网络,这些流量可以是单一个数据包或是自动发送分布式拒绝服务攻击的工具所产生的攻击信号,一些蠕虫也可以发送大量的扫描讯号进入网络,360入侵防御系统利用拒绝服务/分布式拒绝服务检测机制防止此类型的所有攻击。
访问控制检测(Access Control Detection)
一些会造成敏感信息泄漏的网络行为是非常危险的,360入侵防御系统利用攻击特征数据库来防止这些行为的发生,360入侵防御系统也提供最大的灵活性,让客户可以定制专属的策略。此项功能可让客户自行制定网络第三层至第七层的防御策略。
Web攻击检测(Web Attack Detection)
Web服务在全世界被广泛地使用,但是却发现相当多的弱点,利用这些弱点是相当容易的,信息可以通过因特网自由分享,为了防止黑客利用Web服务的弱点,360入侵防御系统可以针对Web服务器的弱点进行保护。
弱点扫描/探测检测(Vulnerability Scan/Probe Detection)
为了得到信息和系统的漏洞,黑客会在网络上发送检查数据包来扫描系统,360入侵防御系统可以检测出这些弱点扫描/探测的数据包,并提供最好的保护。
基于邮件的攻击检测(Mail-based Attack Detection)
基于邮件的攻击在现在是很普通的,例如W32/Mydoom引起全世界几十亿的金融损失,360入侵防御系统提供SMTP过滤功能及病毒数据库以防止病毒侵入邮件服务器。
蠕虫检测(Worm Detection)
网络蠕虫会如此的令人讨厌是因为它能够迅速的繁殖,并因此引起全世界网络的异常甚至是瘫痪,360入侵防御系统能够阻挡蠕虫的攻击,保障网络的安全与干净。
●异常检测(Anomaly Detection)
协议异常检测(Protocol Anomaly Detection)
360企业安全集团安全团队研究与分析因特网的协议和标准,一般的因特网服务器遵循这些标准提供稳定的服务,黑客经常利用破坏这些标准协议的方式强迫进入,360入侵防御系统检测并清除这些异常数据包,保障服务器免遭受这些未知数据包的攻击。
流量异常检测(Traffic Anomaly Detection)
当网络被攻击时,网络流量异常的增加是很正常的,依据多年网络攻击事件处理的经验,360企业安全集团安全团队建立了最佳的规则,并将此统计分析方法整合进360入侵防御系统,提供最佳的检测与防御。
扫描/探测检测(Scan/Probe Detection)
主机计数是黑客了解网络拓朴与主机状态的一种方式,主机/端口扫描是黑客决定下一步攻击方式的重要因素,360入侵防御系统会在黑客试图扫描时即检测并加以防御,隐藏黑客想要取得的信息并保障整个网络的安全。
洪流检测(Flooding Detection)
网络洪流攻击会造成服务器与网络设备许多不必要的负荷,有时这些攻击可以造成核心路由器的死机,使得网络系统完全瘫痪,360入侵防御系统能够检测并阻挡此类的攻击事件,保护服务器及网络系统。
拒绝服务/分布式拒绝服务检测(DoS/DDoS Detection)
拒绝服务/分布式拒绝服务攻击是网络管理员的恶梦,360入侵防御系统能分析网络流量来检测与阻挡拒绝服务/分布式拒绝服务的攻击。
●其它领域的检测(Other Detection Scopes)
360入侵防御系统提供网络应用层检测技术控制多种网络行为:
实时聊天程序(Instant Messenger)
360入侵防御系统是一个网络第七层设备,能够检测出网络第七层应用层的不同行为,例如QQ、MSN的聊天、QQ、MSN文件传输、QQ、MSN电视会议等,它们不以某些特定端口提供服务,360入侵防御系统能够针对不同的行为分别做出不同的处理。分开制定安全策略,使得IT经理能有效地管理他们的安全策略。
流媒体和在线下载程序(P2P)
P2P流媒体和在线下载程序会严重消耗网络带宽,并造成网络速度变慢,通过使用P2P在线下载程序也可能对外泄漏内部机密信息,360入侵防御系统是一个网络第七层的设备,可以轻易的检测出迅雷、网际快车等各种P2P在线下载程序和PPStream、QQLive 等流媒体应用程序,IT经理能有效地通过360入侵防御系统管理他们的安全策略。
网页邮件/论坛(Web Mail/ Post)
利用网页邮件服务器与论坛发出机密信息是非常容易的,通过360入侵防御系统,IT经理可以轻松并有效地管理此类行为。
指定网站过滤
360入侵防御系统支持指定网站过滤功能,客户可以自定义建立URL白名单和黑名单。
垃圾邮件(SPAM)
360入侵防御系统能通过自定义关键字来进行垃圾邮件的过滤。
2.2.优异的产品性能和自身安全性
360入侵防御系统依赖先进的体系架构、高性能专用硬件,在实际网络环境部署中性能表现优异,具有线速的分析与处理能力。
360入侵防御系统采用专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准,保证了高可靠性;独特的硬件体系结构大大提升了处理能力、吞吐量;操作系统经过优化和安全性处理,保证系统的安全性和抗毁性。
2.3.虚拟化、弹性化的管理方式
360入侵防御系统提供虚拟IPS的弹性设置,用户可以利用一台IPS设备,依照实际的网络规划,把网络端口做不同的划分,成为虚拟的IPS设备来运行,每一个虚拟的IPS设备可以拥有独立的安全防御策略,这样运用可以大大增加IPS在大型网络架构中的使用弹性。
2.4.高度容错能力
360入侵防御系统支持失效开放(Fail bypass)机制,当出现软件故障、硬件故障、电源故障时,系统bypass电口自动切换到直通状态以保障网络可用性,避免单点故障,不会成为业务的阻断点。
360入侵防御系统的工作模式灵活多样,支持inline主动防御、旁路检测方式,能够快速部署在各种网络环境中。
360入侵防御系统支持通过链路冗余的双机热备份和负载均衡技术实现设备安全长时间稳定运行。
2.5.全面的网络安全检测、控制与展示
360入侵防御系统具有DDOS防护(防CC攻击)、漏洞防护、URL过滤、关键词过滤、防病毒、流量管理、应用管控等众多网络安全方面的功能,能够为用户网络提供较为全面的网络安全防护功能。
360入侵防御系统中包含了众多安全措施的报表信息,提供了流量统计和监控、入侵监控、应用排名、AV排名、木马排名、URL过滤排名和关键词过滤等众多报表信息,并且可以对历史日志的事件根据不同等级和类别进行查询。
在线实时网络攻击监测
360入侵防御系统的在线实时网络攻击监测功能可依靠入侵攻击事件的威胁程度做分类监控,提供客户实时的警示,以便采取进一步措施,阻挡与防范各类的安全事件。
网络入侵攻击事件查询
360入侵防御系统对于网络攻击的查询可以按不同攻击类型分为四大类,第一类为应用安全类,包括web关键字过滤,url过滤,文件控制,web邮箱过滤等信息。用户可以按时间段、日志类型及日志级别进行日志的查询、删除和导出;第二类为入侵防护类,此类查询是重要攻击事件的查询,可以针对服务器主机或网络攻击种类进行网络攻击事件查询;第三类则为垃圾邮件类,此类查询是防病毒及反垃圾邮件日志信息的查询。包括基于流量的防病毒,基于文件的防病毒,反垃圾邮件等。第四类则为DDOS防护日志,展示DDOS的防护信息。
客户可通过可视选项,选择所需要的不同防护日志信息,客户可透过这些日志信息,了解到内部哪些服务器主机经常受到哪些种类的攻击,而这些攻击源是由哪些IP 地址发出,经由这些日志报表的协助,加强经常受到攻击的服务器主机本身的安全防护,并追踪攻击来源。
在线实时流量监测
360入侵防御系统提供在线实时流量监测功能,360入侵防御系统提供各种不同的数据包(TCP、UDP、ICMP、IGMP、ARP、IPX)流量变化的情形,用以协助客户观察整个网络流量有无异常状况发生。
系统事件查询
对于与360入侵防御系统系统本身相关的事件,包括远程登陆、设备设定更改等均会被记录起来,以保障系统本身的安全,及追查网络异常的状况。
3.技术优势
3.1.控制层面与数据层面相分离的并行计算技术
360SecOS系统被划分为控制平面(Control Plane)、数据平面(Data Plane)以及系统虚拟层,控制平面主要负责对系统管理、协议处理、数据转发进行控制;数据平面专门负责数据转发、安全过滤业务处理,TCP/IP协议栈的2、3、4层均在数据平面进行处理,每个CPU核心均实现了IPV4、IPV6、MPLS引擎,可以并行处理
网络数据包;系统虚拟层主要为控制平面和数据平面提供统一的系统服务接口,包括内存管理、时钟管理、任务管理、中断管理、文件系统管理、设备管理等;底层驱动负责各种设备的初始化、寄存器设置和控制以及报文收发控制等。
软件平台充分利用多核硬件架构以达到高性能的主要技术:
(1).数据平面并行处理数据报文。
(2).采用巧妙的数据分流技术,使得数据报文被均衡的分配到并行处理器。
(3).尽量避免发送出去的报文乱序,如果乱序,由数据平面的保序模块处理后
再发送出去以保证设备发送到网络的报文是有序的,以免影响整个网络和一
些网络应用程序的正常运行。
(4).实现流引擎转发和处理,同时提供快速转发路径,流转发确保安全防护得
到保证,快速转发确保处理高性能。
(5).利用芯片本身的加密引擎或者硬件加速设备,实现高速加解密或者深度内
容过滤,如防病毒、反垃圾邮件等。
(6).数据平面支持二次分发,当系统发现某个CPU负荷太重的时候将启动二
次分发机制,把部分报文分发到负荷较轻的CPU上继续处理。
3.2.丰富且全面的入侵检测技术
常见的网络入侵通常采用下面几种技术:漏洞攻击、木马植入、间谍软件和蠕虫传播,360IPS综合运用多种技术来做到有效检测并及时阻断入侵事件的发生。
流量学习
入侵行为一般都会与正常流量或报文特征存在一定的差异,但同样入侵手法并非一成不变,网络黑客会根据情况不断的变化攻击入侵手法从而试图绕过安全设备的检测和阻断。360IPS,可以针对正常网络的行为特征进行学习,从而产生历史数据,一旦有异常出现,则能够立即启动相应的安全策略比如告警、阻断、回探等方式进行。
特征比对
特征比对是当前入侵防护最常用的技术,是当前比较有效和高效的检测方法。360企业安全集团拥有完备的特征库,客户可以选择在线实时更新或离线更新。
通常特征比对非常耗费设备性能,随着特征规则中的通配符数量的上升,IPS产
品的性能将受到严重的挑战。360IPS充分利用多核并行计算的优势,设计多个扫描引擎并行进行特征比对,使得设备整体性能达到非常可观的级别。
流分类与检测
一般的,入侵检测有数据两种数据检测技术:基于文件的检测和基于流的检测。
通常情况下,基于单个报文实施特征检测就可以应付大部分的入侵行为,但是比较狡猾的入侵行为往往将特征分散在不同的报文中,这样基于单包的检测则会失效,这时候就得要求入侵防护系统缓存报文并重组成文件实施检测。这种技术的优点是检测准确率较高,缺点是入侵防护系统往往由于性能不足、实时性较差而成为网络中的瓶颈。
而基流特征的检测,克服基于文件检测的实时性较差和基于单包检测的准确性较差的缺陷。360IPS结合自身ACL的高效分流技术和Session的状态跟踪技术,通过跨包检测、关联分析和“零”缓存技术,在基于流的检测方面取得很好的效果。
抗DDoS攻击技术
360IPS采用独创的多核并行计算算法和智能防护算法,对攻击行为进行智能分析,动态形成攻击特征库,可有效防护SYN Flood、UDP Flood、ICMP Flood等二十多种攻击,保障正常业务不受影响。
360IPS的抗DDoS功能模块采用如下多种防护技术:
●特征识别:通过分析网络流量特征,与特征库比对扫描,可以有效识别常用
的攻击。
●反探校验:在识别和判断是否是攻击的时候,可以验证源地址和连接的有效
性,防止伪造源地址和连接的攻击。
●状态监测:支持简单包过滤、状态包过滤和动态包过滤,可以分别选用,根
据五元组信息进行访问控制。
●智能学习:360入侵防御系统的防护采用多种算法,除了传统的统计丢包算
法,还通过智能学习、关联分析等算法使得SYN Flood/UDP Flood等具有良好效果。检查通信过程是否符合TCP/IP协议的完整性,并对HTTP、DNS、P2P 等协议进行深度分析,支持对SYN/SYN ACK/ACK Flood攻击、HTTP Get Flood 攻击、DNS Query Flood攻击、CC攻击的防护,支持BT、电驴等P2P协议的
识别、阻断和限制。
●连接限制:支持对具体IP的并发连接和新建连接限制,可根据五元组限制并
发连接总数和新建连接速率限制,可防止大规模攻击和蠕虫扩散的发生。
●流量控制:通过内置的QoS硬件引擎,支持最大带宽、保证带宽、优先级,
从而有效的实施网络资源的合理分配。
3.3.高效的检测引擎体系结构
1) 零拷贝技术
直接存储器访问(DMA)是一种不需要处理器参与的传输,在系统存储器和外设之间进行传输数据块的技术。DMA不仅减轻系统处理单元的工作,而且以比处理器的读取和写入速率高得多的速率传输数据。360入侵防御系统采用的Scatter-Gather DMA 增强了这种技术,提供从一个非连续的存储器块到另一个存储器,采用通过一系列较小的连续数据块传输的方法进行数据传输。数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝,有效地减少内存存取次数。
2) 核心层优化
所有报文的解析与比对都由核心层(Kernel)进行,完全不用通过核心层与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。
3) 实时特征比对
360入侵防御系统采用的特征比对引擎能直接比对特征码格式,相对于一般只对报文内容进行文字搜索的作法,引擎同时整合了第四层的特征内容,减少了处理器额外比对并且有效降低误判,实现线速对比。
4.典型应用
4.1.部署IPS的两个阶段
为了让IPS能准确无误的保护您的网络,部署IPS设备应该按照以下的两个阶段
进行:
第一阶段:IPS 以监测模式工作,只检测攻击并告警,不进行阻断
首先,将IPS 的工作模式设置为IPS 监视模式,在该模式下,IPS 的检测引擎将根据安全策略对网络中通过的数据进行检测,如果用户设置了对攻击数据包的阻断功能,IPS 会产生相应的阻断报警,但是不会采取任何阻断或流量控制操作。这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段,根据检测到的网络中可能出现的攻击行为,对攻击签名特征库和阈值等参数做出调整,减少IPS 产生误报的可能性。
另外在此模式下,用户可以观察IPS 设备的加入会不会对原有的网络应用产生影响,以确保IPS 的性能能够满足原有网络应用的需求。
第二阶段:IPS 以阻断模式工作,全面检测,全面防护
在经过第一阶段的学习、调整和适应后,已经可以确认IPS 能够以监视方式正常运行,并且不会阻断正常合法的网络数据包,这时候就可以开启IPS 的防御功能,进入阻断攻击、全面防御的阶段。
4.2. 完整的部署带来无处不在的防护能力
360IPS INTERNET 360IPS 360IPS
360IPS Web Server
Mail Server Ftp Server 结合上图中的综合部署方案,我们能够清晰的看到360入侵防御系统所带来的防护效应。
?针对应用程序防护
360入侵防御系统提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护,如:蠕虫与木马程序。利用深层检测应用层数据包的技术,360入侵防御系统可以分辨出合法与有害的封包内容。最新型的攻击可以透过伪装成合法应用的技术,轻易的穿透防火墙。而360入侵防御系统运用重组TCP 流量以检视应用层数据包内容的方式,以辨识合法与恶意的数据流。大部分的入侵防御系统都是针对已知的攻击进行防御,然而360入侵防御系统运用漏洞基础的过滤机制,可以防范所有已知与未知形式的攻击。
?针对网络架构防护
路由器、交换器、DNS 服务器以及防火墙都是有可能被攻击的网络设备,如果这些网络设备被攻击导致停机,那么所有企业中的关键应用程序也会随之停摆。而360入侵防御系统的网络架构防护机制提供了一系列的网络漏洞过滤器以保护网络设备免于遭受攻击。
?针对性能保护
是用来保护网络带宽及主机性能,免于被非法的应用程序占用正常的网络性能。如果网络链路拥塞,那么重要的应用程序数据将无法在网络上传输。非商用的应用程序,如点对点文档共享(P2P)应用或实时通讯软件(IM) 将会快速的耗尽网络的带宽,通过对具体应用的有效控制,能够从根本上缓解因上述问题的涌现给网络链路带来的压力。
5.客户价值
洞悉威胁全面防护
系统内置超过4000条攻击事件特征库,可以实时检测防护各种入侵攻击及违规行为。辅以应用特征库、病毒特征库,全面检测网络各种形式的威胁并实时予以响应。
精细控制与误报避免
根据业务需要,不同网络接口可以配置不同的安全策略和响应方式,方便管理员灵活规划设计。同时,依托于360公司强大的安全分析团队以及系统内置的精准特征
库,确保不误杀关键业务。
业务连续保证
内置软硬件bypass机制,即使系统发生故障也不会影响业务系统的正常工作,保障业务永续开展。
业务平滑扩容
随着业务的增长,用户网络环境愈发复杂,该产品可以横向扩容,多台产品组成系统集群,最大化节约总拥有成本。
入侵防御TOPIDP之IPS产品分析 学院:计算机科学与工程学院 年级:大三 学号: 姓名: 专业:信息安全 2013.11.15
摘要 本文介绍了天融信公司开发的入侵防御系统I P S的产品特点、功能、特性以及应用等,使读者对I P S有一个简要的概念。 关键词:特点;特性:功能;
目录 摘要..............................一产品厂家 二产品概述 三产品特点 四产品功能 4、1 入侵防护 4、2 DoS/DDoS防护 4、3 应用管控 4、4 网络病毒检测 4、5 URL过滤 五产品特性 六产品应用 6、1 典型部署 6、2 内网部署 七结论
一、产品厂家 北京天融信网络安全技术有限公司1995年成立于中国信息产业摇篮的北京,十八年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。 天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,降低安全风险,创造业务价值。 ●构建可信网络安全世界 ●中国安全硬件市场领导者 ●快速成长的安全管理业务 ●互联网安全云服务的开拓者 ●实现安全的业务交付 ●安全研究与前沿探索 ●技术创新引领发展 ●国家安全企业责任 二、产品概述 天融信公司的网络卫士入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。 TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作,不断跟踪、挖掘和分析新出现的各种漏洞信息,并将研究成果直接应用于产品,保障了TopIDP产品检测的全面、准确和及时有效。
蓝盾入侵防御(BD-NIPS)系统技术白皮书 蓝盾信息安全技术股份有限公司
目录 一、产品需求背景 (3) 二、蓝盾入侵防御系统 (4) 2.1概述 (4) 2.2主要功能 (5) 2.3功能特点 (8) 2.3.1固化、稳定、高效的检测引擎及稳定的运行性能 (8) 2.3.2 检测模式支持和协议解码分析能力 (8) 2.3.3 检测能力 (9) 2.3.4 策略设置和升级能力 (11) 2.3.5 响应能力 (12) 2.3.6管理能力 (13) 2.3.7 审计、取证能力 (14) 2.3.8 联动协作能力 (15) 三、产品优势 (16) 3.1强大的检测引擎 (16) 3.2全面的系统规则库和自定义规则 (16) 3.3数据挖掘及关联分析功能 (16) 3.4安全访问 (16) 3.5日志管理及查询 (17) 3.6图形化事件分析系统 (17) 四、型号 (18)
一、产品需求背景 入侵防御系统是近十多年来发展起来的新一代动态安全防范技术,它通过对计算机网络或系统中若干关键点数据的收集,并对其进行分析,从而发现是否有违反安全策略的行为和被攻击的迹象。也许有人会问,我已经使用防火墙了,还需要入侵防御系统吗?答案是肯定的。 入侵防御是对防火墙及其有益的补充,入侵防御系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与在线防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵防御被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 有了入侵防御系统,您可以: ?知道是谁在攻击您的网络 ?知道您是如何被攻击的 ?及时阻断攻击行为 ?知道企业内部网中谁是威胁的 ?减轻重要网段或关键服务器的威胁 ?取得起诉用的法律证据
●版权声明 Copyright ? 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。 未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (4) 2产品特点 (4) 3产品功能 (12) 4产品资质............................................................................. 错误!未定义书签。
1产品概述 网神SecIPS 3600入侵防御系统(简称:“网神IPS”)将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库,可检测防护3000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有丰富的上网行为管理,可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而,很好地提供了动态、主动、深度的安全防御。 2产品特点 网神IPS的完善体系结构包括两大部分:强化安全的专用操作系统和模块化硬件系统。以下分别介绍这两大部分。 高效的体系结构 在平台优化的核心技术方面,主要有以下三个方面。 1)零拷贝技术 数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝,有效地减少内存存取次数。 2)核心层优化 所有报文的解析与比对都由核心层(Kernel)进行,完全不用通过核心层与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.doczj.com/doc/6d7587515.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
网络卫士入侵检测系统 TopSentry 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/6d7587515.html,
版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有, 未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形 式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失, 天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考, 有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有 不得翻印? 1995-2009天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的 注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.doczj.com/doc/6d7587515.html,
目 录 1 产品概述 (1) 2 产品特点 (1) 3 产品功能 (5) 4 运行环境与标准 (6) 5 典型应用 (8) 5.1 基本的典型应用 (8) 5.2 多级管理部署方式 (8)
1 产品概述 网络卫士入侵检测系统是由北京天融信公司自主研发的基于网络的入侵检测系统。 北 京天融信公司基于多年来积累的安全产品研发和实施经验, 集中强大的研发队伍推出具有 完善功能和出色性能的入侵检测产品。 网络卫士入侵检测系统部署于网络中的关键点,实时监控各种数据报文及网络行为, 提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系 形成强大的协防体系,大大增强了用户的整体安全防护强度。 2 产品特点 增强的多重入侵检测技术 ?网络卫士 IDS 综合使用误用检测、异常检测、智能协议分析、会话状态分析、实 时关联检测等多种入侵检测技术,大大提高了准确度,减少了漏报、误报现象。 ?采用基于协议分析的误用检测技术,实时跟踪各种系统、软件漏洞,并及时更新 事件库,可以及时、准确地检测到各种已知攻击。 ?网络卫士 IDS 建立了完备的异常统计分析模型, 用户还可以根据实际网络环境适 当调整相关参数,更加准确地检测到行为异常攻击。并且,基于内置的强大协议 解码器,网络卫士 IDS 能够检测到各种违背 RFC协议规范的协议异常攻击。 ?内置了遵循 RFC 规范, 并基于对协议在实践中的具体执行过程的充分理解而建立 的协议解码器。通过详尽、细粒度的应用协议分析技术,提高了检测的准确性。 ?有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的, 因为攻击行为 包含在多个请求中。加入状态特性分析,即不仅仅检测单一的连接请求或响应, 而是将一个会话的所有流量作为一个整体来考虑。 网络卫士 IDS能够维护完整的 会话列表,并实时跟踪会话状态。通过重组网络数据包、监控并分析会话状态, 在有效地防止 IDS 规避攻击的同时,不仅可以减少误报和漏报,而且可以大大提 高检测性能。
入侵防御系统的功能是:简单来说,它能够监视网络或网络设备的网络资料传输行为的计算机网络完全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行。选择入侵防御系统很重要,一定要找专业从事网络安全与服务的高科技公司。入侵防御系统的功能下面就详细介绍一下,这里以铱迅品牌的入侵防御系统做案例: 铱迅入侵防御系统(英文:Yxlink Intrusion Prevention System,简称:Yxlink IPS),是铱迅信息结合多年在应用安全理论与新一代动态检测防御实践经验积累的基础上,自主研发的一款应用级入侵防御系统,它可以在线地检测网络和系统资源,发现攻击后能够实施有效的阻断,防止攻击到达目标网络或主机。可给您网络中的各网络单元提供2-7层的全方位的保护,为网络提供深层次的、有效的安全防护。 铱迅入侵防御系统致力于解决黑客攻击、蠕虫、网络病毒、后门木马等恶意流量带来的信息系统侵害,广泛适用于“政府、金融、运营商、公安、能源、工商、社保、交通、卫生、教育、电子商务”等所有涉及网络应用的各个行业。部署铱迅入侵防御系统产品,可以帮助客户主动防护网络、主机系统,为用户的信息安全提供最大的保障。 万兆高并发与请求速率处理技术 铱迅入侵防御系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。
庞大内置特征库 特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。 铱迅入侵防御系统装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。 攻击碎片重组技术 通过铱迅入侵防御系统独有的碎片包重组技术,可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。
H3C SecPath T 系列入侵防御系统 配置指南
前言 本书简介 本手册主要介绍H3C SecPath T 系列入侵防御系统的产品概况、安装前的准备、安装过程、设备启动以及常见问题处理。在安装设备的过程中,为避免可能出现的设备损坏和人身伤害,请仔细阅读本手册。本手册各章节内容如下: ?第1 章产品介绍。介绍了设备的概况、产品外观、产品规格以及接口。 ?第2 章接口模块。介绍设备支持的接口模块规格、外观、指示灯含义、接口属性和连接电缆。 ?第3 章安装前的准备。介绍设备安装前的准备工作及相关的安全注意事项。 ?第4 章设备安装。介绍设备的安装、线缆的连接以及安装后的检查。 ?第5 章设备启动及软件升级。介绍设备初次上电时的启动过程以及升级软件的方法。 ?第6 章常见问题处理。对设备操作过程的常见问题进行故障说明及故障处理。 本书约定 1.命令行格式约定 2.图形界面格式约定
3.各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下: 。
目录 1 产品介绍............................................................................. 1-1 1.1 产品概述............................................................................ 1-1 1.2 产品外观及指示灯说明................................................................ 1-1 1.2.1 T200/T200-E产品外观 .......................................................... 1-1 1.2.2 T200-A/M/S产品外观 ........................................................... 1-3 1.2.3 T1000-A/M/S/C产品外观 ........................................................ 1-6 1.3 产品规格............................................................................ 1-8 1.3.1 处理器和存储器................................................................ 1-8 1.3.2 外形尺寸和重量................................................................ 1-9 1.3.3 固定接口和槽位数............................................................. 1-10 1.3.4 输入电源..................................................................... 1-11 1.3.5 工作环境..................................................................... 1-12 1.4 产品组件........................................................................... 1-12 1.4.1 处理器及存储器............................................................... 1-12 1.4.2 各类接口..................................................................... 1-13 1.4.3 USB接口..................................................................... 1-19 1.4.4 扩展接口卡(选配)........................................................... 1-19 1.4.5 RPS电源(选配)............................................................. 1-19 2 接口模块............................................................................. 2-1 2.1 4GBE/8GBE ...................................................................................................................................... 2-1 2.2 4GBP ................................................................................................................................................. 2-3 2.3 GT4C ................................................................................................................................................. 2-5 2.4 GX4C................................................................................................................................................. 2-7 3 安装前的准备......................................................................... 3-1 3.1 通用安全注意事项.................................................................... 3-1 3.2 检查安装场所........................................................................ 3-1 3.2.1 温度/湿度要求.................................................................. 3-1 3.2.2 洁净度要求.................................................................... 3-1 3.2.3 防静电要求.................................................................... 3-2 3.2.4 抗干扰要求.................................................................... 3-2 3.2.5 防雷击要求.................................................................... 3-2 3.2.6 接地要求...................................................................... 3-3 3.2.7 布线要求...................................................................... 3-3 3.3 激光使用安全........................................................................ 3-3 3.4 安装工具............................................................................ 3-3 4 设备安装............................................................................. 4-1 4.1 安装前的确认........................................................................ 4-1 4.2 安装流程............................................................................ 4-2
网络卫士入侵防御系统 配置案例 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/6d7587515.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印? 2009天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.doczj.com/doc/6d7587515.html,
目录 前言 (3) 文档目的 (3) 读者对象 (3) 约定 (4) 相关文档 (4) 技术服务体系 (4) 配置导入、导出 (6) 配置导出 (6) 基本需求 (6) 配置要点 (6) WEBUI配置步骤 (6) 配置导入 (7) 基本需求 (7) 配置要点 (7) WEBUI配置步骤 (8) 在线升级 (9) 基本需求 (9) 配置要点 (9) WEBUI配置步骤 (9) 注意事项 (10) 规则库升级 (11) 基本需求 (11) 配置要点 (11) WEBUI配置步骤 (11) 注意事项 (12) TOPIDP快速简易配置 (14) 基本需求 (14) 配置要点 (14) WEBUI配置步骤 (14) 注意事项 (17) 应用协议控制-BT (18) 基本需求 (18) 配置要点 (18) WEBUI配置步骤 (18) 注意事项 (20) 以IDS方式接入 (21) 基本需求 (21) 配置要点 (21) WEBUI配置步骤 (21) 注意事项 (24) IPS策略+防火墙功能 (25) 基本需求 (25) 配置要点 (25)
NetEye IDS 东软入侵检测系统 NetEye IDS 技术白皮书
Neteye IDS 目录 1概述 (2) 1.1网络面临的主要威胁 (2) 1.2入侵检测系统IDS,消除网络威胁 (2) 1.3NetEye IDS 2.2, 给您提供全面的安全 (2) 2系统结构 (2) 2.1检测引擎 (2) 2.2NetEye IDS 管理主机 (2) 3功能模块简介 (2) 3.1网络攻击与入侵检测功能 (2) 3.2多种通信协议内容恢复功能 (2) 3.3应用审计和网络审计功能 (2) 3.4图表显示网络信息功能 (2) 3.5报表功能 (2) 3.6实时网络监控功能 (2) 3.7网络扫描器。 (2) 3.8数据备份恢复功能 (2) 3.9其它辅助管理,配置工具。 (2) 4技术特点 (2) 5典型应用示例 (2) 5.1简单区域网应用示例 (2) 5.2分布式监测应用示例 (2) 2
Neteye IDS 1概述 由于互联网络的发展,整个世界经济正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计 算机网络在经济和生活的各个领域正在迅速普及,一句话,整个社会对网络 的依赖程度越来越大。众多的企业、各种组织、政府部门与机构都在组建和 发展自己的网络,并连接到Internet上,以充分利用网络的信息和资源。网 络已经成为社会和经济发展强大动力,其地位越来越重要。伴随着网络的发 展,带来了很多的问题,其中安全问题尤为突出。了解网络面临的各种威胁, 防范和消除这些威胁,实现真正的网络安全已经成了网络发展中最重要的事 情。 网络面临的主要威胁 日益严重的网络信息安全问题,不仅使上网企业、机构及用户蒙受巨大的经济损失,而且使国家的安全与主权面临严重威胁。要避免网络信息安全 问题,首先必须搞清楚触发这一问题的原因。总结起来,主要有以下几个方 面原因: (1)黑客的攻击:黑客对于大家来说,不再是一个高深莫测的人物,黑客技术逐渐被越来越多的人掌握和发展。目前,世界上有20多万个黑客网 站,这些站点介绍一些攻击方法和攻击软件的使用以及系统存在的一些漏 洞,因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网 络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力” 强,是网络安全的主要威胁。 (2)管理的欠缺: 3
天融信产品白皮书网络卫士入侵防御系统 TopIDP系列
网络卫士入侵防御系统 TopIDP 天融信公司为了满足市场上用户对入侵防御产品的需求,推出了“网络卫士入侵防御系统TopIDP”。它是基于新一代并行处理技术开发的网络入侵防御系统,通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。 TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台,保证了TopIDP 产品更高性能地对网络入侵进行防护。TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。入侵防御策略库随时防护目前业内最流行的入侵攻击行为。与现在市场上的入侵防御系统相比,TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向,堪称网络入侵检测和防御系统的典范。 强大的高性能多核并行处理架构 TopIDP产品采用了先进的多核处理器硬件平台,将并行处理技术成功地融入到天融信自主知识产权操作系统TOS(Topsec Operating System)系统,集成多项发明专利,形成了先进的多核并发运算的架构技术体系。在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任高速网络的安全防护要求。
图1 多核CPU内部运算示意图 ●精确的基于目标系统的流重组检测引擎 传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击,任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器主机上形成真正的攻击。TopIDP产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。 ●准确与完善的检测能力 TopIDP产品的智能检测引擎可分析网络攻击的组合行为特征来准确识别各种攻击,准确性更高;可以智能地识别出多种攻击隐藏手段及变种攻击,带来更高安全性;通过智能化检测引擎,能够识别出多种高危网络行为,并可以将此类行为以告警方式通知管理员,达到防患于未然的目的,带来更高网络安全性;同时新版TopIDP具有强大的木马检测与识别能力;完善的应用攻击检测与防护能力;丰富的网络应用控制能力和及时的应急响应能力。
■版权声明绿盟威胁分析系统产品白皮书 【绿盟科技】 ■文档编号NSF-PROD-TAC-产品白皮书-V1.0 ■密级完全公开 ■版本编号V1.0 ■日期2013-10-10 ■撰写人唐伽佳■批准人段小华 ?2016绿盟科技
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■版本变更记录 时间版本说明修改人 2013-10-10 V1.0 新建唐伽佳
目录 一. 前言 (1) 二. 攻防的新特点 (2) 三. 攻防技术发展特点 (3) 四. 绿盟威胁分析系统 (4) 4.1体系结构 (6) 4.2主要功能 (6) 4.3部署方案 (10) 五. 结论 (10)
插图索引 图 4.1 绿盟威胁分析系统体系架构 (6) 图 4.2 NSFOCUS TAC 虚拟执行过程图 (8) 图 4.3 NSFOCUS TAC SPAN和TAP部署方案 (10) 图 4.4 NSFOCUS NIPS(N系列)多链路防护解决方案......................................... 错误!未定义书签。
一. 前言 如今,政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站,或者使用DoS方式来中断网站的服务;而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益,也可以入侵、窃取客户的个人金融信息,更有甚者破坏对方的服务以至国家的基础设施。动机的变化,同时也带来了攻击方式的变化。 从过去广泛、漫无目的的攻击威胁,在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁(Advanced Persistent Threat)。高级可持续威胁(APT)是由美国空军的信息安全分析师与2006年创造的术语,一般来说,高级可持续威胁具备以下三个特点: 高级:攻击者为黑客入侵技术方面的专家,能够自主的开发攻击工具,或者挖掘漏洞,并通过结合多种攻击方法和工具,以达到预定攻击目标。 持续性渗透:攻击者会针对确定的攻击目标,进行长期的渗透。在不被发现的情况下,持续攻击以获得最大的效果。 威胁:这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标,这个团队训练有素、有组织性、有充足的资金,同时有充分的政治或经济动机。 此类APT威胁往往可以绕过防火墙、IPS、AV以及网闸等传统的安全机制,悄无声息的从企业或政府机构获取高级机密资料。在2012年Verizon信息外泄调查报告中可以看到,2011年发生的重大信息数据外泄的受访组织中,有59%是在相关执法机构告知后才知道信息外泄的情况。 Gartner在2012年的报告中说道:“越来越多的人同意APT攻击是可以避开我们传统的基于特征的安全检测机制,并且存在与系统内的时间越来越长,无法被侦测出来。威胁真的发生了,你已经被入侵,只是你不知道而已”。 高级可持续威胁(APT)已经成为当今公认最具威胁的网络攻击类型。
入侵防御系统是位于防火墙和网络之间的设备,一般用于数据包传输的检测过滤,保护企业网络文件传输的安全性,以防被盗取或者有非法入侵的文件。为了企业的正常运营入侵防御系统是十分重要的,那么铱迅的入侵防御系统有哪些功能呢?下面简单的来了解一下吧。 产品功能 强大的攻击防御能力: 铱迅入侵防御系统提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。 铱迅入侵防御系统是网络拓扑的一部分,而不仅是一个被动的旁路设备,它在线决定数据包的命运,进出被保护网络的数据包都要经过入侵防御系统的深层检查,综合采用多种检测技术,包括特征检测、异常检测、DoS/DDoS检测等,提高入侵检测的准确性,一旦发现入侵,立刻阻断攻击者对攻击目标的访问,从而达到防御攻击的目的。 病毒过滤: 铱迅入侵防御系统具备效率高、灵活的防病毒能力,实现针对HTTP、SMTP、POP3、IMAP、FTP、IM等多种协议的病毒流量监测和控制,及时完成对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。 “铱迅入侵防御系统”系列产品能够识别和检测2-7层网络攻击行为,有效的防范黑客攻击、蠕虫、网络病毒、后门木马、D.o.S 、Shellcode等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。同时用户也可以通过自定义特征码进行防护。 准确的网络流量分析技术:
“铱迅入侵防御系统”系列产品可辨识超过各种网络及应用程序与数据包协议,完全遵循RFC规定,支持IP 破碎数据包辨识与重组。 流量控制: 阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT 产出率和收益率。 异常行为与检测: “铱迅入侵防御系统”产品针对应用层协议提供了细粒度的协议限制功能和协议异常检测功能, 支持的协议包括:HTTP、SMTP、POP3、IMAP和DNS等。”铱迅入侵防御系统”支持对应用级别协议进行异常检测,通过拒绝异常数据包来阻止这些非法的数据包,较大化保障网络安全。 上网行为管理: “铱迅入侵防御系统”能够有效的综合分析应用软件特征和数据内容,能够智能识别各种主流的P2P 下载、QQ即时通信、在线视频、网络游戏和在线炒股等用户上网行为,从而更好地协助企业了解当前的网络应用状况,发现非授权网络流量后进行及时限制或阻断: 1)检测/封锁来自IM/P2P软件的行为及威胁 2)封锁网络游戏程序 3)封锁远端控制软件 4)范围涵盖一般及特殊定制的应用软件 5)可利用子网络群组分别管理和控制
绿盟网络入侵防护系统 产品白皮书 ? 2011 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 前言 (2) 二. 为什么需要入侵防护系统 (2) 2.1防火墙的局限 (3) 2.2入侵检测系统的不足 (3) 2.3入侵防护系统的特点 (3) 三. 如何评价入侵防护系统 (4) 四. 绿盟网络入侵防护系统 (4) 4.1体系结构 (5) 4.2主要功能 (5) 4.3产品特点 (6) 4.3.1 多种技术融合的入侵检测机制 (6) 4.3.2 2~7层深度入侵防护能力 (8) 4.3.3 强大的防火墙功能 (9) 4.3.4 先进的Web威胁抵御能力 (9) 4.3.5 灵活高效的病毒防御能力 (10) 4.3.6 基于对象的虚拟系统 (10) 4.3.7 基于应用的流量管理 (11) 4.3.8 实用的上网行为管理 (11) 4.3.9 灵活的组网方式 (11) 4.3.10 强大的管理能力 (12) 4.3.11 完善的报表系统 (13) 4.3.12 完备的高可用性 (13) 4.3.13 丰富的响应方式 (14) 4.3.14 高可靠的自身安全性 (14) 4.4解决方案 (15) 4.4.1 多链路防护解决方案 (15) 4.4.2 交换防护解决方案 (16) 4.4.3 路由防护解决方案 (16) 4.4.4 混合防护解决方案 (17) 五. 结论 (18)
DPtech IPS2000测试方案 迪普科技 2011年07月
目录 DPtech IPS2000测试方案 (1) 第1章产品介绍 (1) 第2章测试计划 (2) 2.1测试方案 (2) 2.2测试环境 (2) 2.2.1 透明模式 (2) 2.2.2 旁路模式 (3) 第3章测试容 (4) 3.1功能特性 (4) 3.2响应方式 (4) 3.3管理特性 (4) 3.4安全性 (5) 3.5高可靠性 (5) 第4章测试方法及步骤 (6) 4.1功能特性 (6) 4.1.1 攻击防护 (6) 4.1.2 防病毒 (8) 4.1.3 访问控制 (10) 4.1.4 最接数与DDoS (11) 4.1.5 黑功能 (12) 4.2响应方式 (13) 4.2.1 阻断方式 (13) 4.2.2 日志管理 (14) 4.3管理特性 (15) 4.3.1 设备管理 (15) 4.3.2 报表特性 (16) 4.4安全特性 (17) 4.4.1 用户的安全性 (17) 4.4.2 设备的安全性 (19) 第5章测试总结 (21)
第1章产品介绍 随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。 如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。迪普科技在IPS2000 N系列IPS中,创新性的采用了并发硬件处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。同时,迪普科技IPS还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。以IPS2000-TS-N为例,IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品,即使在同时开启其置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部署于多个大型数据中心、园区出口。 漏洞库的全面性、专业性、及时性是决定IPS对攻击威胁能否有效防御的另一关键。迪普科技拥有专业的漏洞研究团队,能不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞,凭借其强大的漏洞研究能力,已得到业界普遍认可并成为微软的MAPP合作伙伴,微软在发布漏洞之前,迪普科技能提前获取该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字补丁。迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间具备防御零时差攻击(Zero-day Attack)的能力,最大程度的保护用户安全。目前,迪普科技已成为中国国家漏洞库的主要提供者之一。借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS的可用性,并极大减少了IPS误报、漏报给用户带来的困扰。 IPS2000 N系列是目前全球唯一可提供万兆线速处理能力的IPS产品,并在漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。IPS2000 N系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。