绿盟网络入侵防护系统产品白皮书

Size: px

Start display at page:

Download "绿盟网络入侵防护系统产品白皮书"

斌童
5 years ago
Views:

1 绿盟网络入侵防护系统产品白皮书

3 目录一. 前言... 2 二. 为什么需要入侵防护系统防火墙的局限入侵检测系统的不足入侵防护系统的特点... 3 三. 如何评价入侵防护系统... 4 四. 绿盟网络入侵防护系统体系结构主要功能产品特点多种技术融合的入侵检测机制 ~7 层深度入侵防护能力强大的防火墙功能先进的 Web 威胁抵御能力灵活高效的病毒防御能力基于对象的虚拟系统基于应用的流量管理实用的上网行为管理灵活的组网方式强大的管理能力完善的报表系统完备的高可用性丰富的响应方式高可靠的自身安全性解决方案多链路防护解决方案交换防护解决方案路由防护解决方案混合防护解决方案五. 结论密级 : 完全公开

4 一. 前言随着网络与信息技术的发展, 尤其是互联网的广泛普及和应用, 网络正逐步改变着人类的生活和工作方式越来越多的政府企业组织建立了依赖于网络的业务信息系统, 比如电子政务电子商务网上银行网络办公等, 对社会的各行各业产生了巨大深远的影响, 信息安全的重要性也在不断提升近年来, 企业所面临的安全问题越来越复杂, 安全威胁正在飞速增长, 尤其混合威胁的风险, 如黑客攻击蠕虫病毒木马后门间谍软件僵尸网络 DDoS 攻击垃圾邮件网络资源滥用 (P2P 下载 IM 即时通讯网游视频 ) 等, 极大地困扰着用户, 给企业的信息网络造成严重的破坏能否及时发现并成功阻止网络黑客的入侵保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题二. 为什么需要入侵防护系统说起网络安全, 相信许多人已经不陌生了大家可能都曾遇到过下面这些情况 : 没有及时安装新发布的一个安全补丁, 造成服务器宕机, 网络中断 ; 蠕虫病毒爆发, 造成网络瘫痪, 无法网上办公, 邮件收不了, 网页打不开 ; 公司 WEB 服务器遭受 SQL 注入攻击, 造成公司主页内容被篡改 ; 因为员工访问了不安全的页面, 个人电脑被植入后门木马等恶意软件, 从而导致公司机密资料被窃 ; 有的员工使用 BT 电驴等 P2P 软件下载电影或 MP3, 造成上网速度奇慢无比 ; 有的员工沉迷在 QQ 或 MSN 上聊天, 玩反恐精英传奇等网络游戏, 或看在线视频, 不专心工作, 导致企业生产力下降 ; 部分员工电脑成为僵尸网络的肉机, 向外网发起 DOS 攻击, 引起公安部门注意并上门进行调查根据调查数据显示, 以上事件呈逐年上升趋势, 给企业造成越来越大的直接和间接损失对于上述威胁, 传统的安全手段 ( 如防火墙入侵检测系统 ) 都无法有效进行阻止 -2- 密级 : 完全公开

5 2.1 防火墙的局限绝大多数人在谈到网络安全时, 首先会想到防火墙, 企业一般采用防火墙作为安全保障体系的第一道防线, 防御黑客攻击但是, 随着攻击者知识的日趋成熟, 攻击工具与手法的日趋复杂多样, 单纯的防火墙已经无法满足企业的安全需要, 部署了防火墙的安全保障体系仍需要进一步完善传统防火墙的不足主要体现在以下几个方面 : 防火墙作为访问控制设备, 无法检测或拦截嵌入到普通流量中的恶意攻击代码, 比如针对 WEB 服务的 Code Red 蠕虫等有些主动或被动的攻击行为是来自防火墙内部的, 防火墙无法发现内部网络中的攻击行为作为网络访问控制设备, 受限于功能设计, 防火墙难以识别复杂的网络攻击并保存相关信息, 以协助后续调查和取证工作的开展 2.2 入侵检测系统的不足入侵检测系统 IDS( Intrusion Detection System) 是继防火墙之后迅猛发展起来的一类安全产品, 它通过检测分析网络中的数据流量, 从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象, 及时识别入侵行为和未授权网络流量并实时报警 IDS 弥补了防火墙的某些设计和功能缺陷, 侧重网络监控, 注重安全审计, 适合对网络安全状态的了解, 但随着网络攻击技术的发展,IDS 也面临着新的挑战 : IDS 旁路在网络上, 当它检测出黑客入侵攻击时, 攻击已到达目标造成损失 IDS 无法有效阻断攻击, 比如蠕虫爆发造成企业网络瘫痪,IDS 无能为力蠕虫病毒 DDoS 攻击垃圾邮件等混合威胁越来越多, 传播速度加快, 留给人们响应的时间越来越短, 使用户来不及对入侵做出响应, 往往造成企业网络瘫痪,IDS 无法把攻击防御在企业网络之外 2.3 入侵防护系统的特点基于目前网络安全形势的严峻, 入侵防护系统 (Intrusion Prevention System) 作为新一代安全防护产品应运而生网络入侵防护系统作为一种在线部署的产品, 提供主动的实时的防护, 其设计目标旨在准确监测网络异常流量, 自动对各类攻击性的流量, 尤其是应用层的威胁进行实时阻断, 而不是简单地在监测到恶意流量的同时或之后才发出告警 IPS 是通过直接串联到网络链路中 -3- 密级 : 完全公开

6 而实现这一功能的, 即 IPS 接收到外部数据流量时, 如果检测到攻击企图, 就会自动地将攻击包丢掉或采取措施将攻击源阻断, 而不把攻击流量放进内部网络三. 如何评价入侵防护系统针对越来越多的蠕虫病毒间谍软件垃圾邮件 DDoS 等混合威胁及黑客攻击, 不仅需要有效检测到各种类型的攻击, 更重要的是降低攻击的影响, 从而保证业务系统的连续性和可用性一款优秀的网络入侵防护系统应该具备以下特征 : 满足高性能的要求, 提供强大的分析和处理能力, 保证正常网络通信的质量 ; 提供针对各类攻击的实时检测和防御功能, 同时具备丰富的访问控制能力, 在任何未授权活动开始前发现攻击, 避免或减缓攻击可能给企业带来的损失 ; 准确识别各种网络流量, 降低漏报和误报率, 避免影响正常的业务通讯 ; 全面精细的流量控制功能, 确保企业关键业务持续稳定运转 ; 具备丰富的高可用性, 提供 BYPASS( 硬件软件 ) 和 HA 等可靠性保障措施 ; 可扩展的多链路 IPS 防护能力, 避免不必要的重复安全投资 ; 提供灵活的部署方式, 支持在线模式和旁路模式的部署, 第一时间把攻击阻断在企业网络之外, 同时也支持旁路模式部署, 用于攻击检测, 适合不同客户需要 ; 支持分级部署集中管理, 满足不同规模网络的使用和管理需求四. 绿盟网络入侵防护系统针对日趋复杂的应用安全威胁和混合型网络攻击, 绿盟科技提供了完善的安全防护方案绿盟网络入侵防护系统 ( 以下简称 NSFOCUS NIPS ) 是绿盟科技拥有完全自主知识产权的新一代安全产品, 作为一种在线部署的产品, 其设计目标旨在准确监测网络异常流量, 自动应对各类攻击流量, 第一时间将安全威胁阻隔在企业网络外部这类产品弥补了防火墙入侵检测等产品的不足, 提供动态的深度的主动的安全防御, 为企业提供了一个全新的入侵防护解决方案 -4- 密级 : 完全公开

2 主要功能 NSFOCUS NIPS 是网络入侵防护系统同类产品中的精品典范, 该产品高度融合高性能高安全性高可靠性和易操作性等特性, 产品内置先进的 Web

7 4.1 体系结构 NSFOCUS NIPS 的体系架构包括三个主要组件 : 安全中心网络引擎升级站点, 方便各种网络环境的灵活部署和管理图 4.1 绿盟网络入侵防护系统体系架构 4.2 主要功能 NSFOCUS NIPS 是网络入侵防护系统同类产品中的精品典范, 该产品高度融合高性能高安全性高可靠性和易操作性等特性, 产品内置先进的 Web 信誉机制, 同时具备深度入侵防护精细流量控制, 以及全面用户上网行为监管等多项功能, 能够为用户提供深度攻击防御和应用带宽保护的完美价值体验入侵防护实时主动拦截黑客攻击蠕虫网络病毒后门木马 D.o.S 等恶意流量, 保护企业信息系统和网络架构免受侵害, 防止操作系统和应用程序损坏或宕机 -5- 密级 : 完全公开

8 Web 安全基于互联网 Web 站点的挂马检测结果, 结合 URL 信誉评价技术, 保护用户在访问被植入木马等恶意代码的网站时不受侵害, 及时有效地第一时间拦截 Web 威胁流量控制阻断一切非授权用户流量, 管理合法网络资源的利用, 有效保证关键应用全天候畅通无阻, 通过保护关键应用带宽来不断提升企业 IT 产出率和收益率上网行为监管全面监测和管理 IM 即时通讯 P2P 下载网络游戏在线视频, 以及在线炒股等网络行为, 协助企业辨识和限制非授权网络流量, 更好地执行企业的安全策略 4.3 产品特点 NSFOCUS NIPS 基于高性能硬件处理平台, 为客户提供从网络层到应用层, 直至内容层的深度安全防御, 以下将对 NSFOCUS NIPS 的产品功能特色进行逐一介绍多种技术融合的入侵检测机制 NSFOCUS NIPS 以全面深入的协议分析为基础, 融合权威专家系统智能协议识别协议异常检测流量异常检测会话关联分析, 以及状态防火墙等多种技术, 为客户提供从网络层应用层到内容层的深度安全防护智能协议识别和分析协议识别是新一代网络安全产品的核心技术传统安全产品如防火墙, 通过协议端口映射表 ( 或类似技术 ) 来判断流经的网络报文属于何种协议但是, 事实上, 协议与端口是完全无关的两个概念, 我们仅仅可以认为某个协议运行在一个相对固定的缺省端口包括木马后门在内的恶意程序, 以及基于 Smart Tunnel( 智能隧道 ) 的 P2P 应用 ( 如各种 P2P 下载工具 IP 电话等 ),IMS( 实时消息系统如 MSN Yahoo Pager), 网络在线游戏等应用都可以运行在任意一个指定的端口, 从而逃避传统安全产品的检测和控制 NSFOCUS NIPS 采用独有的智能协议识别技术, 通过动态分析网络报文中包含的协议特征, 发现其所在协议, 然后递交给相应的协议分析引擎进行处理, 能够在完全不需要管理员参与的情况下, 高速准确地检测出通过动态端口或者智能隧道实施的恶意入侵, 可以准确发现绑定在任意端口的各种木马后门, 对于运用 Smart Tunnel 技术的软件也能准确捕获和分析 -6- 密级 : 完全公开

9 NSFOCUS NIPS 具备极高的检测准确率和极低的误报率, 能够全面识别超过 100 种以上的应用层协议基于特征分析的专家系统特征分析主要检测各类已知攻击, 在全盘了解攻击特征后, 制作出相应的攻击特征过滤器, 对网络中传输的数据包进行高速匹配, 确保能够准确快速地检测到此类攻击 NSFOCUS NIPS 装载权威的专家知识库, 提供高品质的攻击特征介绍和分析, 基于高速智能模式匹配方法, 能够精确识别各种已知攻击, 包括病毒特洛伊木马 P2P 应用即时通讯等, 并通过不断升级攻击特征, 保证第一时间检测到攻击行为绿盟科技拥有的业界权威安全漏洞研究团队 NSFocus 小组, 致力于分析来自于全球的各类攻击威胁, 并努力找到各种漏洞的修补方案, 形成解药, 融于 NSFOCUS NIPS 攻击特征库, 以保持产品持续先进的攻击防护能力协议异常检测基于特征检测 ( 模式匹配 ) 的 NIPS 产品可以精确地检测出已知的攻击通过不断升级的特征库,NIPS 可以在第一时间检测到入侵者的攻击行为但是, 事实上, 存在三个方面的因素导致协议异常的诞生厂商从提取某个攻击特征到最终用户的 NIPS 产品升级需要一个时间间隔, 在这个时间间隔内, 基于特征检测的 NIPS 产品是无法检测到黑客的该攻击行为的 ; 来自 0-day 或未公开 exploit 的隐蔽攻击即使是安全厂商往往也无法第一时间获得攻击特征, 通常 NIPS 无法检测这类具有最高风险的攻击行为 ; Internet 上蠕虫在 15 分钟内席卷全球, 即使是最优秀的厂商也不能够在这么短的时间内完成对其的发现和检测协议异常检测是 NSFOCUS NIPS 应用的另外一项关键技术, 以深度协议分析为核心的 NSFOCUS NIPS, 将发现的任何违背 RFC 规定的行为视为协议异常协议异常最为重要的作用是检测检查特定应用执行缺陷 ( 如 : 应用缓冲区溢出异常 ), 或者违反特定协议规定的异常 ( 如 :RFC 异常 ), 从而发现未知的溢出攻击零日攻击以及拒绝服务攻击作为一项成熟的技术, 协议异常检测技术使得 NSFOCUS NIPS 具有接近 100% 的检测准确率和几乎 0 的误报率流量异常检测流量异常检测主要通过学习和调整特定网络环境下的正常流量值, 来发现非预期的异常流量一旦正常流量被设定为基准 (baseline),nsfocus NIPS 会将网络中传输的数据包与这个基准作比较, 如果实际网络流量统计结果与基准达到一定的偏离, 则产生警报 -7- 密级 : 完全公开

在内置流量建模机制的同时,NSFOCUS NIPS 还提供可调整的门限阀值, 供网管员针对具体环境做进一步调整, 避免因为单纯的流量过大而产生误报流量异常检测和过滤机制使得 NSFOCUS NIPS 可以有效抵御分布式拒绝服务攻击 (DDOS) 未知的蠕虫流氓流量和其他零日攻击 4.3.

10 在内置流量建模机制的同时,NSFOCUS NIPS 还提供可调整的门限阀值, 供网管员针对具体环境做进一步调整, 避免因为单纯的流量过大而产生误报流量异常检测和过滤机制使得 NSFOCUS NIPS 可以有效抵御分布式拒绝服务攻击 (DDOS) 未知的蠕虫流氓流量和其他零日攻击 ~7 层深度入侵防护能力业界领先的安全漏洞研究能力绿盟科技作为微软的 MAPP(Microsoft Active Protections Program) 项目合作伙伴, 可以在微软每月发布安全更新之前获得漏洞信息, 为客户提供更及时有效的保护公司的安全研究部门 NSFocus 小组, 已经独立发现了 40 多个 Microsoft HP CISCO SUN Juniper 等国际著名厂商的重大安全漏洞, 保证了 NSFOCUS NIPS 技术的领先和规则库的及时更新, 在受到攻击以前就能够提供前瞻性的保护高品质攻击特征库覆盖广泛的攻击特征库携带超过 2000 条, 由 NSFocus 安全小组精心提炼经过时间考验的攻击特征, 并通过国际最著名的安全漏洞库 CVE 严格的兼容性标准评审, 获得最高级别的 CVE 兼容性认证 (CVE Compatible) 绿盟科技具有领先的漏洞预警能力, 是目前国内唯一向国外 ( 美国 ) 出口入侵检测规则库的公司绿盟科技每周定期提供攻击特征库的升级更新, 在紧急情况下可提供即时更新广泛精细的攻击检测和防御能力 NSFOCUS NIPS 主动防御已知和未知攻击, 实时阻断各种黑客攻击, 如缓冲区溢出 SQL 注入暴力猜测拒绝服务扫描探测非授权访问蠕虫病毒僵尸网络等, 广泛精细的应用防护帮助客户避免安全损失 NSFOCUS NIPS 同时具备全面阻止木马后门广告软件间谍软件等恶意程序下载和扩散的功能, 有助于企业降低 IT 成本防止潜在的隐私侵犯和保护机密信息 IP 碎片重组与 TCP 流汇聚 NSFOCUS NIPS 具有强大的 IP 碎片重组 TCP 流汇聚, 以及数据流状态跟踪等能力, 能够检测到黑客采用任意分片方式进行的攻击虚拟补丁 NSFOCUS NIPS 提供虚拟补丁功能, 在紧急漏洞出现而系统仍不具备有效补丁解决方案时, 为客户提供实时防御, 增强了客户应对突发威胁的能力, 在厂商就新漏洞提供补丁和更新之前确保企业信息系统的安全 -8- 密级 : 完全公开

11 强大的 D.o.S 攻击防护能力 NSFOCUS NIPS 能够全面抵御 ICMP Flood UDP Flood ACK Flood 等常见的 D.o.S 攻击, 阻挡或限制未经授权的应用程序触发的带宽消耗, 极大限度地减轻 D.o.S 攻击对网络带来的危害支持应用重组 NSFOCUS NIPS 可以记录网络的通信报文, 并解码回放, 目前支持 HTTP SMTP FTP Telnet POP3 等多种协议强大的防火墙功能访问控制 NSFOCUS NIPS 内置状态防火墙, 支持基于网络接口源 / 目的 IP 地址协议时间等元素, 自定义访问控制策略 NAT 支持 NSFOCUS NIPS 提供地址转换功能, 支持静态 NAT(Static NAT) 动态 NAT(Pooled NAT) 和端口 NAT(PAT), 支持多对一多对多和一对一等多种地址转换方式路由支持 NSFOCUS NIPS 提供控制力更强, 使用更灵活的策略路由功能, 能够根据协议类型应用 IP 源地址等策略来选择数据转发路径, 而且能够根据报文数据流的发起方向来确定以后的路由, 满足各种应用环境的需要 VLAN 特性 NSFOCUS NIPS 支持工业标准的 802.1Q VLAN Trunk 封装协议, 实现两个交换机同一 VLAN 间的数据交互, 同时具备不同 VLAN 虚拟接口间的路由功能, 极大增强了 NSFOCUS NIPS 对交换式网络的部署适应能力先进的 Web 威胁抵御能力越来越多的病毒木马等恶意代码将基于 HTTP 方式传播, 新一代的 Web 威胁具备混合性渗透性和利益驱动性, 成为当前增长最快的风险因素员工对互联网的依赖性使得企业网络更容易受到攻击, 导致用户信息受到危害, 对公司数据资产和关键业务构成极大威胁 NSFOCUS NIPS 内置先进可靠的 Web 信誉机制, 采用独特的 Web 信誉评价技术和 URL 过滤技术, 在用户访问被植入木马的页面时, 给予及时报警和阻断, 能够有效抵御 Web 安全威胁渗入企业内网, 防止潜在的隐私侵犯, 保护企业机密信息 -9- 密级 : 完全公开

6 基于对象的虚拟系统基于对象的策略管理系统 NSFOCUS NIPS 提供业界领先的基于对象的策略管理系统, 完全统一的规则配置方式强大而灵活 NSFOCUS NIPS 的所有策略 ( 规则 ) 配置都使用包括网络服务时间

12 4.3.5 灵活高效的病毒防御能力 NSFOCUS NIPS 具备高效的防病毒能力, 用户可选择基于 NSFOCUS 或卡巴斯基的防病毒引擎, 采用基于特征扫描和启发式扫描技术, 实现针对 HTTP SMTP POP3 IMAP FTP IM 等多种协议的病毒流量监测和控制, 第一时间完成对木马病毒蠕虫病毒宏病毒, 以及脚本病毒的查杀, 控制或消除上述威胁对系统的危害基于对象的虚拟系统基于对象的策略管理系统 NSFOCUS NIPS 提供业界领先的基于对象的策略管理系统, 完全统一的规则配置方式强大而灵活 NSFOCUS NIPS 的所有策略 ( 规则 ) 配置都使用包括网络服务时间事件等元素在内的预定义对象以及对象组完成, 通过组的概念可以减少防火墙和 NIPS 的规则数量, 简化了产品的管理工作量虚拟系统 (VIPS) NSFOCUS NIPS 提供基于对象的虚拟系统 (VIPS), 针对不同的网络环境和安全需求, 基于对象制定不同的规则和响应方式, 每个虚拟系统分别执行不同的规则集, 实现面向不同对象实现不同策略的智能化入侵防护图 4.2 虚拟 IPS 功能实现示意图 -10- 密级 : 完全公开

4.3.7 基于应用的流量管理 NSFOCUS NIPS 提供强大灵活的流量管理功能, 采用全局维度 ( 协议 / 端口 ) 局部维度 ( 源 / 目的 IP

智能识别并分类各类应用后, 通过流量许可和优先级控制, 阻断一切非授权用户流量, 管理合法网络资源的利用, 使得网络中不同类型的流量具有更合理的比例和分布,

8 实用的上网行为管理 NSFOCUS NIPS 结合协议分析和会话关联等多种技术, 综合分析应用软件特征和数据内容, 能够智能识别各种主流的 P2P 下载

9 灵活的组网方式工作模式 NSFOCUS NIPS 支持五种安全区模式 : 透明 (Layer2) 路由(Layer3) 监听(Monitor) 直通

13 4.3.7 基于应用的流量管理 NSFOCUS NIPS 提供强大灵活的流量管理功能, 采用全局维度 ( 协议 / 端口 ) 局部维度 ( 源 / 目的 IP 地址网段 ) 时间维度( 时间 ) 流量纬度( 带宽 ) 等流量控制四元组, 实现基于内容面向对象的流量保护策略 NSFOCUS NIPS 智能识别并分类各类应用后, 通过流量许可和优先级控制, 阻断一切非授权用户流量, 管理合法网络资源的利用, 使得网络中不同类型的流量具有更合理的比例和分布, 并结合最小带宽保证, 及最大带宽和会话限制, 有效保证关键应用全天候畅通无阻实用的上网行为管理 NSFOCUS NIPS 结合协议分析和会话关联等多种技术, 综合分析应用软件特征和数据内容, 能够智能识别各种主流的 P2P 下载 IM 即时通信在线视频网络游戏和在线炒股等用户上网行为, 从而更好地协助企业了解当前的网络应用状况, 发现非授权网络流量后进行及时限制或阻断灵活的组网方式工作模式 NSFOCUS NIPS 支持五种安全区模式 : 透明 (Layer2) 路由(Layer3) 监听(Monitor) 直通 (Direct) 管理(Mgt), 能够快速部署在各种网络环境中独立式多路 NIPS 部署 NSFOCUS NIPS 支持独立式多路 NIPS 部署, 各路 NIPS 相互独立, 彼此没有数据交换图 4.3 独立式多路 NIPS 部署方式 -11- 密级 : 完全公开

交换式多路 NIPS 部署 NSFOCUS NIPS 交换式多路 NIPS 部署,NIPS 类似交换机一样, 一进多出或多进多出, 适用于复杂的网络环境图

10 强大的管理能力灵活的 Web 管理方式 NSFOCUS NIPS 支持灵活的 Web 管理方式, 适合在任何 IP 可达地点远程管理, 支持 MS

支持三种管理模式 : 单级管理多级管理主辅管理, 满足不同企业不同管理模式需要单级管理模式 : 安全中心直接管理网络引擎,

14 交换式多路 NIPS 部署 NSFOCUS NIPS 交换式多路 NIPS 部署,NIPS 类似交换机一样, 一进多出或多进多出, 适用于复杂的网络环境图 4.4 交换式多路 NIPS 部署方式强大的管理能力灵活的 Web 管理方式 NSFOCUS NIPS 支持灵活的 Web 管理方式, 适合在任何 IP 可达地点远程管理, 支持 MS IE Netscape Firefox Opera 等主路的浏览器, 真正意义上实现了跨平台管理丰富的多级管理方式 NSFOCUS NIPS 支持三种管理模式 : 单级管理多级管理主辅管理, 满足不同企业不同管理模式需要单级管理模式 : 安全中心直接管理网络引擎, 一个安全中心可以管理多台网络引擎适合小型企业, 用于局域网络主辅管理模式 : 网络引擎同时接受一个主安全中心和多个辅助安全中心的管理主安全中心可以完全控制网络引擎 ; 辅助安全中心只能接受网络引擎发送的日志信息, 不能操作网络引擎适合大型企业或者有分权管理需求的用户 -12- 密级 : 完全公开

15 多级管理模式 : 安全中心支持任意层次的级联部署, 实现多级管理上级安全中心可以将最新的升级补丁规则模板文件等统一发送到下级安全中心, 保持整个系统的完整统一性 ; 下级安全中心可以通过配置过滤器, 使上级安全中心只接收它关心的信息适合跨广域网的大型企业用户带外管理 (OOB) 功能 NSFOCUS NIPS 提供带外管理 (OOB) 功能, 解决远程应急管理的需求, 减少客户运营成本提高运营效率减少宕机时间提高服务质量升级管理 NSFOCUS NIPS 支持多种升级方式, 包括实时在线升级自动在线升级离线升级, 使 NIPS 提供最前沿的安全保障完善的报表系统高品质的报表事件 NSFOCUS NIPS 事件过滤系统支持采用攻击发生时间范围事件名称事件类别所属服务源网络范围目的网络范围触发探测器攻击结果事件动作等多种粒度过滤探测器所产生的告警日志, 仅记录相关的攻击告警事件, 极大地减小了攻击告警的数量, 提高了对于高风险攻击的反应速度多样化的综合报表 NSFOCUS NIPS 报表系统提供了详细的综合报表自定义三种类型 10 多个类别的报表模板, 支持生成 : 日周月季度年度综合报表报表支持 MS Word Html JPG 格式导出同时支持定时通过电子邮件发送报表至系统管理员强大的零管理从实时升级系统到报表系统, 从攻击告警到日志备份,NSFOCUS NIPS 完全支持零管理技术所有管理员需要日常进行的操作均可由系统定时自动后台运行, 极大地降低了维护费用与管理员的工作强度完备的高可用性丰富的 HA 部署能力 NSFOCUS NIPS 具备基于会话配置等信息同步的 HA 部署能力, 支持 A/A 和 A/S 两种部署方式, 在出现设备宕机端口失效等故障时, 能够完成主机和备机的即时切换, 确保关键应用的持续正常运转完整的 BYPASS 解决方案 -13- 密级 : 完全公开

决方案 : NSFOCUS NIPS 的 BYPASS 特性由以下三部分组成, 由此形成一套完整的 BYPASS 解提供软件 BYPASS 功能, 系统软件故障时, 自动实现旁路保护, 避免网络中断等事故的发生 ; 网络接口内置 fail-open 特性, 产品出现故障时, 能自动转变成通路, 不影响流量正常传输 ; 支持外置 BYPASS 硬件设备部署, 扩展形成完整的 BYPASS

16 决方案 : NSFOCUS NIPS 的 BYPASS 特性由以下三部分组成, 由此形成一套完整的 BYPASS 解提供软件 BYPASS 功能, 系统软件故障时, 自动实现旁路保护, 避免网络中断等事故的发生 ; 网络接口内置 fail-open 特性, 产品出现故障时, 能自动转变成通路, 不影响流量正常传输 ; 支持外置 BYPASS 硬件设备部署, 扩展形成完整的 BYPASS 解决方案冗余电源支持用性 NSFOCUS NIPS 支持热插拔的冗余双电源, 避免电源硬件故障时设备宕机, 提高设备可丰富的响应方式 NSFOCUS NIPS 提供丰富的响应方式, 包括 : 丢弃数据包阻断会话邮件报警短信报警安全中心显示日志数据库记录写入 XML 文件, 运行用户自定义命令等, 同时提供标准 snmp trap(v1 V2 V3) 和 syslog 接口, 可接受第三方管理平台的安全事件集中监控报告和管理高可靠的自身安全性安全可靠的系统平台 NSFOCUS NIPS 采用安全可靠的硬件平台, 全内置封闭式结构, 配置完全自主知识产权的专用系统, 经过优化和安全性处理, 稳定可靠系统内各组件通过强加密的 SSL 安全通道进行通讯防止窃听, 确保了整个系统的安全性和抗毁性用户权限分级管理 NSFOCUS NIPS 安全中心身份验证系统采用独立于操作系统的权限管理系统, 管理权限与审计权限独立, 提供对系统使用情况的全面监管和审计实时日志归并 NSFOCUS NIPS 归并引擎由规则驱动, 可以执行任意粒度的日志归并动作, 完全避免 Stick 此类 Anti-NIPS 攻击多点备份 NSFOCUS NIPS 的探测引擎可以将攻击告警日志, 实时发送到多个绿盟安全中心或日志数据库保存, 避免因为数据损坏或丢失而导致系统不可用的事故发生 -14- 密级 : 完全公开

4.4 解决方案绿盟科技提供一系列完整的入侵防护解决方案, 实现从企业网络核心至边缘, 以及分支机构的全面保护, 适用于不同环境的多种安全防护需求 4.4.1 多链路防护解决方案目前, 很多企业为了保证网络带宽资源的充足和网络冗余,

NSFOCUS NIPS 支持多路 NIPS 部署, 每路 NIPS 单独防护一个 ISP 接入链路, 一台 NSFOCUS NIPS 可以同时防护多条链路, 节约客户投资 ; 2.

17 4.4 解决方案绿盟科技提供一系列完整的入侵防护解决方案, 实现从企业网络核心至边缘, 以及分支机构的全面保护, 适用于不同环境的多种安全防护需求多链路防护解决方案目前, 很多企业为了保证网络带宽资源的充足和网络冗余, 网络出口采用多链路连接方式, 连接到两个或更多 ISP 服务商针对这种连接方式, 绿盟科技入侵防护系统提供多链路防护的解决方案, 在网络出口处部署一台绿盟网络入侵防护系统, 采用多路 NIPS 的部署方式 : 1. NSFOCUS NIPS 支持多路 NIPS 部署, 每路 NIPS 单独防护一个 ISP 接入链路, 一台 NSFOCUS NIPS 可以同时防护多条链路, 节约客户投资 ; 2. NSFOCUS NIPS 的各路 NIPS 是相互独立的, 彼此之间没有数据交换, 互不干扰, 保证了各链路流量的自身安全 ; 3. NSFOCUS NIPS 实时监测各种流量, 提供从网络层应用层到内容层的深度安全防护图 4.5 NSFOCUS NIPS 多链路防护解决方案 -15- 密级 : 完全公开

4.4.2 交换防护解决方案企业内部网络根据工作地点和职责, 划分为不同的网段,

是很多网管员关心的问题针对以上需求, 绿盟科技入侵防护系统提供交换防护的解决方案 : 1.

18 4.4.2 交换防护解决方案企业内部网络根据工作地点和职责, 划分为不同的网段, 各网段通过交换机连接, 进行数据交换如何有效检测不同网段之间内部数据交换的安全性, 是很多网管员关心的问题针对以上需求, 绿盟科技入侵防护系统提供交换防护的解决方案 : 1. NSFOCUS NIPS 类似二层交换机一样, 采用一进多出或多进多出的方式, 同时与不同网段相连接, 进行数据交换 ; 2. NSFOCUS NIPS 实时监测各网段之间的各种流量, 提供从网络层应用层到内容层的深度安全防护图 4.6 NSFOCUS NIPS 交换防护解决方案路由防护解决方案目前, 很多企业网络连接到互联网, 一般在网络边界部署路由器防火墙以及入侵防护系统, 串联的设备比较多, 造成网络边界单点故障率提高, 影响整个网络安全性 -16- 密级 : 完全公开

NSFOCUS NIPS 深度融合的 IPS/IDS/ 防火墙集成平台圆满解决了防火墙静态防御和 IPS 动态防御的融合难题, 为客户提供更全面的入侵防护解决方案图 4.

19 针对以上网络特点, 绿盟科技网络入侵防护系统提供路由防护的解决方案 : 1. NSFOCUS NIPS 部署在网络边界, 类似于一个路由器, 提供静态路由和策略路由, 又是一台防火墙, 实现 NAT 地址转换和流量管理, 提供网络层安全防护, 还是一台网络入侵防护系统, 实现应用层和内容层的安全防御 ; 2. NSFOCUS NIPS 深度融合的 IPS/IDS/ 防火墙集成平台圆满解决了防火墙静态防御和 IPS 动态防御的融合难题, 为客户提供更全面的入侵防护解决方案图 4.7 NSFOCUS NIPS 路由防护解决方案混合防护解决方案大型企业的网络规模很大, 结构相对复杂, 不仅有总部, 还有各地的分支机构, 既要保护网络边界的安全, 同时又要保护企业内网的安全针对大型企业网络特点, 绿盟科技网络入侵防护系统提供混合防护的解决方案 : 1. 在总部互联网出入口处在线部署 NSFOCUS NIPS, 实现路由防护, 提供互联网的从网络层应用层到内容层的深度安全防护 ; -17- 密级 : 完全公开

通过一个绿盟安全中心, 实现对全网 NIPS 设备的集中管理安全信息的集中分析和处理, 有效解决企业面临的安全问题, 提高投资回报率图 4.8 NSFOCUS NIPS 混合防护解决方案五.

20 2. 在总部内部网段之间以及与分支机构网络之间在线部署 NSFOCUS NIPS, 提供透明接入的独立多路 NIPS 一进一出的交换式 NIPS 多进多出的全方位立体式的安全防护体系, 实现内网的安全区域划分和控制 ; 3. 在企业服务器区旁路部署 NSFOCUS NIPS, 相当于入侵检测系统, 监测分析服务器区的安全状况, 保护服务器安全 ; 4. 通过一个绿盟安全中心, 实现对全网 NIPS 设备的集中管理安全信息的集中分析和处理, 有效解决企业面临的安全问题, 提高投资回报率图 4.8 NSFOCUS NIPS 混合防护解决方案五. 结论随着安全漏洞不断被发现, 黑客的技巧和破坏能力不断提高, 网络受到越来越多的攻击每天成千上万的蠕虫病毒木马垃圾邮件在网络上传播, 阻塞甚至中断网络 ;BT 电驴等 P2P 下载软件轻易的占据 100% 的企业网络上行下行带宽 ; 员工沉浸在 QQ MSN 等聊天或反恐精英传奇等网络游戏中不能自拔, 从而影响了正常的工作这些新型的混合威胁越 -18- 密级 : 完全公开

21 来越给企业造成巨大的损失, 而对于上述威胁, 传统防火墙入侵检测系统和防病毒系统都无法有效地阻止为了弥补目前安全设备 ( 防火墙入侵检测等 ) 对攻击防护能力的不足, 我们需要一种新的工具用于保护业务系统不受黑客攻击的影响这种工具不仅仅能够精确识别各种黑客攻击, 而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断绿盟网络入侵防护系统提供了业界领先的实时主动的防护能力, 通过新一代的入侵防护技术, 绿盟科技的产品和技术能够有效的阻断攻击, 保证合法流量的正常传输, 这对于保障业务系统的运行连续性和完整性有着极为重要的意义 -19- 密级 : 完全公开

绿盟网络入侵检测系统产品白皮书

绿盟网络入侵检测系统产品白皮书绿盟网络入侵检测系统产品白皮书版权声明本文中出现的任何文字叙述文档格式插图照片方法过程等内容, 除另有特别注明, 版权均属绿盟科技所有, 受到有关产权及版权法保护任何个人机构未经绿盟科技的书面授权许可, 不得以任何方式复制或引用本文的任何片断 - II - 目录一. 前言... 1 二. 为什么需要入侵检测系统... 1 2.1 防火墙的局限... 2 2.2 入侵检测系统的特点...