绿盟下一代网络入侵防护系统产品白皮书

绿 盟 下 一 代 网 络 入 侵 防 护 系 统 产 品 白 皮 书 绿 盟 科 技 文 档 编 号 NSF-PROD-NIPS- 产 品 白 皮 书 密 级 完 全 公 开 -V1.0 版 本 编 号 V1.0 日 期 2014-06-01 撰 写 人 唐 伽 佳 批 准 人 2015 绿 盟 科 技

版 权 声 明 本 文 中 出 现 的 任 何 文 字 叙 述 文 档 格 式 插 图 照 片 方 法 过 程 等 内 容, 除 另 有 特 别 注 明, 版 权 均 属 绿 盟 科 技 所 有, 受 到 有 关 产 权 及 版 权 法 保 护 任 何 个 人 机 构 未 经 绿 盟 科 技 的 书 面 授 权 许 可, 不 得 以 任 何 方 式 复 制 或 引 用 本 文 的 任 何 片 断 版 本 变 更 记 录 时 间 版 本 说 明 修 改 人 2014-06-01 V1.0 新 建 唐 伽 佳

目 录 一. 前 言... 1 二. 攻 防 的 新 特 点... 1 三. 绿 盟 下 一 代 网 络 入 侵 防 护 系 统... 2 3.1 体 系 结 构... 3 3.2 主 要 功 能... 3 3.3 产 品 特 点... 4 3.3.1 全 新 的 高 性 能 软 硬 件 架 构... 4 3.3.2 用 户 身 份 识 别 与 控 制 功 能... 4 3.3.3 更 精 细 的 应 用 层 安 全 控 制... 5 3.3.4 基 于 用 户 身 份 的 行 为 分 析... 5 3.3.5 全 面 支 持 IPv6... 5 3.3.6 多 种 技 术 融 合 的 入 侵 检 测 机 制... 6 3.3.7 2~7 层 深 度 入 侵 防 护 能 力... 7 3.3.8 先 进 的 Web 威 胁 抵 御 能 力... 9 3.3.9 基 于 应 用 的 流 量 管 理... 9 3.3.10 部 署 极 其 简 便... 9 3.3.11 强 大 的 管 理 能 力... 10 3.3.12 完 善 的 报 表 系 统... 11 3.3.13 完 备 的 高 可 用 性... 11 3.3.14 丰 富 的 响 应 方 式... 13 3.3.15 高 可 靠 的 自 身 安 全 性... 13 3.4 解 决 方 案... 13 3.4.1 多 链 路 防 护 解 决 方 案... 13 3.4.2 混 合 防 护 解 决 方 案... 14 四. 结 论... 15

插 图 索 引 图 3.1 绿 盟 网 络 入 侵 防 护 系 统 体 系 架 构... 3 图 3.3 NSFOCUS NIPS 多 链 路 防 护 解 决 方 案... 14 图 3.4 NSFOCUS NIPS 混 合 防 护 解 决 方 案... 15 - II -

一. 前 言 随 着 网 络 与 信 息 技 术 的 发 展, 尤 其 是 互 联 网 的 广 泛 普 及 和 应 用, 网 络 正 逐 步 改 变 着 人 类 的 生 活 和 工 作 方 式 业 务 对 信 息 和 网 络 的 逐 渐 依 赖 对 社 会 的 各 行 各 业 产 生 了 巨 大 深 远 的 影 响, 信 息 安 全 的 重 要 性 也 在 不 断 提 升 近 年 来, 网 络 信 息 系 统 所 面 临 的 安 全 问 题 越 来 越 复 杂, 安 全 威 胁 正 在 飞 速 增 长, 尤 其 是 基 于 应 用 的 新 型 威 胁, 如 隐 藏 在 HTTP 等 基 础 协 议 之 上 的 应 用 层 攻 击 问 题 web2.0 安 全 问 题 木 马 后 门 间 谍 软 件 僵 尸 网 络 DDoS 攻 击 网 络 资 源 滥 用 (P2P 下 载 IM 即 时 通 讯 网 游 视 频 ) 等, 极 大 地 困 扰 着 用 户, 给 单 位 的 信 息 网 络 造 成 严 重 的 破 坏, 严 重 影 响 了 信 息 化 的 进 一 步 发 展 未 来 几 年, 随 着 云 计 算 物 联 网 智 慧 城 市 移 动 互 联 网 和 微 博 等 新 一 代 应 用 和 技 术 在 行 业 得 到 广 泛 应 用, 在 促 进 应 用 创 新 的 同 时, 也 将 带 来 严 重 的 信 息 安 全 隐 患 攻 防 的 不 断 发 展, 安 全 威 胁 的 不 断 进 化, 新 应 用 新 技 术 的 广 泛 使 用, 对 原 有 的 安 全 保 障 理 念 和 模 式 也 将 带 来 巨 大 的 冲 击, 原 有 的 安 全 检 测 和 防 护 手 段 已 经 不 能 完 全 解 决 面 临 的 安 全 问 题 如 何 在 新 旧 技 术 交 叠 应 用 的 变 革 过 程 中, 更 有 效 地 检 测 和 防 御 系 统 网 络 面 临 的 安 全 问 题, 已 成 为 各 方 关 注 的 重 点 基 于 对 网 络 入 侵 检 测 和 防 护 的 实 践, 以 及 攻 防 的 深 刻 理 解 和 研 究, 绿 盟 科 技 正 式 发 布 国 内 首 款 下 一 代 入 侵 防 护 系 统, 开 启 了 下 一 代 安 全 之 门 该 产 品 采 用 了 全 新 的 检 测 防 护 模 型, 综 合 运 用 智 能 识 别 环 境 感 知 和 行 为 分 析 技 术, 为 用 户 提 供 一 份 看 得 见 检 得 出 防 得 住 的 下 一 代 入 侵 防 护 解 决 方 案, 标 志 着 国 内 入 侵 防 护 市 场 迈 入 一 个 新 的 时 代 二. 攻 防 的 新 特 点 随 着 网 络 的 发 展, 网 络 应 用 不 断 丰 富 以 及 Web 2.0 应 用 快 速 向 业 务 环 境 渗 透, 大 量 应 用 建 立 在 HTTP 等 基 础 协 议 之 上, 或 者 随 机 产 生 端 口 号, 或 者 采 用 SSL 加 密 等 方 式 来 隐 藏 内 容, 应 用 层 面 临 的 恶 意 威 胁 越 来 越 多 应 用 层 攻 击 互 联 网 的 快 速 发 展, 使 得 单 位 的 网 络 应 用 已 经 开 始 变 的 复 杂 多 样, 应 用 复 杂 度 提 高, 安 全 威 胁 向 应 用 化 深 层 化 转 变, 隐 藏 在 应 用 中 的 攻 击 增 多, 越 来 越 多 的 基 于 应 用 的 - 1 -

攻 击 行 为 出 现 了, 网 络 攻 击 也 开 始 转 向 应 用 层 据 Gartner 统 计 : 目 前 75% 攻 击 转 移 到 应 用 层 恶 意 文 件 攻 击 系 统 运 维 者 一 般 只 关 心 操 作 系 统 网 络 设 备 的 安 全 问 题, 而 很 少 在 意 文 件 的 漏 洞 近 年 来, 通 过 恶 意 文 件 开 展 攻 击 比 较 普 遍 将 攻 击 代 码 埋 设 在 Word Excel PDF 及 Flash 等 正 常 格 式 文 件 中, 这 类 文 件 隐 蔽 性 高 欺 骗 性 强, 只 要 用 户 访 问 这 类 文 件, 个 人 电 脑 就 有 遭 到 劫 持 的 危 险, 从 而 威 胁 系 统 和 网 络 的 安 全 用 户 身 份 攻 击 原 有 仅 针 对 IP 采 用 的 安 全 防 护 方 法 已 经 不 能 适 应 当 前 系 统 网 络 攻 防 的 发 展, 仅 依 赖 IP 的 防 护 手 段 无 法 准 确 识 别 用 户 身 份, 无 法 基 于 用 户 身 份 做 细 粒 度 的 策 略 管 理 异 常 行 为 攻 击 对 于 传 统 的 攻 击 行 为, 我 们 仅 需 关 注 恶 意 程 序 的 样 本 提 取 并 做 分 析, 便 可 以 掌 握 攻 击 者 的 动 机 及 传 播 渠 道, 但 对 于 以 APT 为 代 表 的 异 常 行 为 攻 击 以 点 概 面 的 安 全 检 测 手 段 已 显 得 不 合 时 宜 这 类 攻 击 伪 装 成 正 常 流 量, 没 有 特 别 大 的 数 据 包, 地 址 和 内 容 也 没 有 可 疑 的 不 相 配, 所 以 一 般 不 会 触 发 警 报 即 利 用 合 法 身 份 掩 护, 实 施 非 法 行 为 同 时 通 过 加 密 通 道 外 传 数 据, 面 对 这 类 攻 击 威 胁, 我 们 应 当 有 一 套 更 完 善 更 主 动 更 智 能 的 安 全 防 御 体 系 安 全 防 护 的 性 能 要 求 网 络 带 宽 增 长 迅 速, 网 络 正 在 从 千 兆 走 向 万 兆 甚 至 更 多 为 应 对 这 种 变 化, 要 求 安 全 防 护 设 备 应 有 足 够 的 性 能 和 扩 展 性 IPV6 所 带 来 的 安 全 问 题 IPv6 已 是 大 势 所 趋,IPv6 的 使 用 会 带 来 一 些 独 特 的 安 全 难 题, 如 何 在 保 证 业 务 正 常 运 营 的 前 提 下 安 全 平 滑 过 渡 以 及 保 证 安 全 防 护 在 IPv4 网 络 和 IPv6 网 络 上 均 实 现 无 缝 稳 定 地 运 行, 是 单 位 十 分 头 疼 的 问 题, 三. 绿 盟 下 一 代 网 络 入 侵 防 护 系 统 针 对 日 趋 复 杂 的 应 用 安 全 威 胁 和 混 合 型 网 络 攻 击, 绿 盟 科 技 提 供 了 完 善 的 安 全 防 护 方 案 绿 盟 下 一 代 网 络 入 侵 防 护 系 统 ( 以 下 简 称 NSFOCUS NIPS ) 是 绿 盟 科 技 拥 有 完 全 自 主 知 识 产 权 的 新 一 代 安 全 产 品, 作 为 一 种 在 线 部 署 的 产 品, 其 设 计 目 标 旨 在 适 应 攻 防 的 最 新 发 展, 准 确 监 测 网 络 异 常 流 量, 自 动 应 - 2 -

对 各 层 面 安 全 隐 患, 第 一 时 间 将 安 全 威 胁 阻 隔 在 企 业 网 络 外 部 这 类 产 品 弥 补 了 防 火 墙 入 侵 检 测 等 产 品 的 不 足, 提 供 动 态 的 深 度 的 主 动 的 安 全 防 御 为 应 对 新 型 攻 击 带 来 的 威 胁, 从 智 能 识 别 环 境 感 知 行 为 分 析 三 方 面 加 强 了 对 应 用 协 议 异 常 行 为 恶 意 文 件 的 检 测 和 防 护, 为 企 业 提 供 了 一 个 看 得 见 检 得 出 防 得 住 的 全 新 入 侵 防 护 解 决 方 案 3.1 体 系 结 构 NSFOCUS NIPS 的 体 系 架 构 包 括 三 个 主 要 组 件 : 网 络 引 擎 管 理 模 块 安 全 响 应 模 块, 方 便 各 种 网 络 环 境 的 灵 活 部 署 和 管 理 图 3.1 绿 盟 网 络 入 侵 防 护 系 统 体 系 架 构 3.2 主 要 功 能 NSFOCUS NIPS 是 网 络 入 侵 防 护 系 统 同 类 产 品 中 的 精 品 典 范, 该 产 品 高 度 融 合 高 性 能 高 安 全 性 高 可 靠 性 和 易 操 作 性 等 特 性, 产 品 内 置 先 进 的 信 誉 防 护 机 制, 同 时 具 备 深 度 入 侵 防 护 高 级 威 胁 防 护 精 细 流 量 控 制 等 多 项 功 能, 能 够 为 用 户 提 供 深 度 攻 击 防 御 的 完 美 价 值 体 验 - 3 -

入 侵 防 护 实 时 主 动 拦 截 黑 客 攻 击 蠕 虫 网 络 病 毒 后 门 木 马 D.o.S 等 恶 意 流 量, 保 护 企 业 信 息 系 统 和 网 络 架 构 免 受 侵 害, 防 止 操 作 系 统 和 应 用 程 序 损 坏 或 宕 机 高 级 威 胁 防 护 高 级 威 胁 防 护 能 够 基 于 敏 感 数 据 的 外 泄 文 件 识 别 服 务 器 非 法 外 联 等 异 常 行 为 检 测, 实 现 内 网 的 高 级 威 胁 防 护 功 能 僵 尸 网 络 发 现 基 于 实 时 的 信 誉 机 制, 结 合 企 业 级 和 全 球 信 誉 库, 可 有 效 检 测 恶 意 URI 僵 尸 网 络, 保 护 用 户 在 访 问 被 植 入 木 马 等 恶 意 代 码 的 网 站 地 址 时 不 受 侵 害, 第 一 时 间 有 效 拦 截 Web 威 胁, 并 且 能 及 时 发 现 网 络 中 可 能 出 现 的 僵 尸 网 络 主 机 和 C&C 连 接 流 量 控 制 阻 断 一 切 非 授 权 用 户 流 量, 管 理 合 法 网 络 资 源 的 利 用, 有 效 保 证 关 键 应 用 全 天 候 畅 通 无 阻, 通 过 保 护 关 键 应 用 带 宽 来 不 断 提 升 企 业 IT 产 出 率 和 收 益 率 应 用 管 理 全 面 监 测 和 管 理 IM 即 时 通 讯 P2P 下 载 网 络 游 戏 在 线 视 频, 以 及 在 线 炒 股 等 网 络 行 为, 协 助 企 业 辨 识 和 限 制 非 授 权 网 络 流 量, 更 好 地 执 行 企 业 的 安 全 策 略 3.3 产 品 特 点 NSFOCUS NIPS 基 于 高 性 能 硬 件 处 理 平 台, 为 客 户 提 供 从 网 络 层 到 应 用 层, 直 至 内 容 层 的 深 度 安 全 防 御, 以 下 将 对 NSFOCUS NIPS 的 产 品 功 能 特 色 进 行 逐 一 介 绍 3.3.1 全 新 的 高 性 能 软 硬 件 架 构 NSFOCUS NIPS 采 用 了 全 新 的 硬 件 平 台, 全 新 底 层 转 发 模 块 多 核 架 构 和 新 一 代 的 全 并 行 流 检 测 引 擎 技 术, 新 平 台 和 新 架 构 的 引 入, 优 化 了 产 品 的 功 能, 使 处 理 性 能 较 原 来 有 了 大 幅 度 提 升 同 时 大 部 分 配 置 都 是 应 用 配 置 生 效 增 强 了 对 客 户 业 务 的 连 续 性 支 持 3.3.2 用 户 身 份 识 别 与 控 制 功 能 NSFOCUS NIPS 提 供 了 用 户 身 份 识 别 与 基 于 用 户 身 份 的 访 问 控 制 功 能, 可 以 有 效 解 决 用 户 网 内 漫 游 带 来 的 越 权 访 问 传 统 NIPS 产 品 基 于 IP 地 址 进 行 访 问 控 制, 当 非 授 权 子 网 用 - 4 -

户 将 终 端 接 入 到 授 权 子 网 并 配 置 为 授 权 子 网 IP 地 址 后 即 可 访 问 和 使 用 非 授 权 的 网 络 资 源 结 合 NSFOCUS NIPS 产 品 丰 富 的 应 用 识 别 能 力, 可 实 现 细 粒 度 访 问 控 制 3.3.3 更 精 细 的 应 用 层 安 全 控 制 基 于 应 用 的 识 别 技 术, 是 各 种 应 用 层 安 全 防 护 的 基 础, 目 前 各 类 新 的 应 用 层 出 不 穷, 如 QQ MSN 文 件 共 享 Web 服 务 P2P 下 载 等, 这 些 应 用 势 必 会 带 来 新 的 更 复 杂 的 安 全 风 险 这 些 风 险 和 应 用 本 身 密 不 可 分, 如 果 不 结 合 应 用 来 分 析 将 无 法 抵 御 这 些 风 险 NSFOCUS NIPS 采 用 流 检 测 技 术 对 各 类 应 用 进 行 深 入 分 析, 搭 建 应 用 协 议 识 别 框 架, 准 确 识 别 大 部 分 主 流 应 用 协 议, 可 以 对 基 于 应 用 识 别 的 应 用 进 行 精 细 粒 度 的 管 理, 能 够 很 好 的 对 这 些 应 用 安 全 漏 洞 和 利 用 这 些 漏 洞 的 攻 击 进 行 检 测 和 防 御 支 持 在 WEB 界 面 和 安 全 中 心 上 配 置 应 用 管 理 策 略, 可 根 据 应 用 管 理 策 略 控 制 应 用 的 使 用, 并 支 持 在 对 象 中 搜 索 名 称, 提 高 了 策 略 配 置 的 效 率 和 产 品 易 用 性 3.3.4 基 于 用 户 身 份 的 行 为 分 析 系 统 中 的 用 户 根 据 各 自 的 工 作 职 责 和 个 人 爱 好 都 会 形 成 各 自 的 行 为 习 惯, 这 种 行 为 习 惯 能 够 反 应 在 日 常 的 网 络 访 问 活 动 中 对 这 些 网 络 访 问 活 动 进 行 分 析 并 经 过 长 时 间 地 收 敛, 可 以 根 据 用 户 身 份 (Who) 地 理 位 置 /IP 地 址 (Where) 业 务 系 统 / 网 络 应 用 (Whom) 操 作 (What) 时 间 (When) 频 次 (How) 等 条 件 建 立 用 户 的 正 常 网 络 访 问 模 型 建 立 基 于 正 常 网 络 访 问 模 型 的 单 位 网 络 白 环 境, 当 检 测 到 网 络 中 出 现 了 违 背 白 环 境 模 型 的 异 常 行 为 时, 则 对 其 进 行 深 入 分 析, 以 判 断 是 否 是 攻 击 NSFOCUS NIPS 在 用 户 身 份 识 别 应 用 识 别 的 基 础 上, 将 用 户 身 份 业 务 系 统 地 理 位 置 操 作 频 次 等 多 种 与 操 作 相 关 的 网 络 环 境 信 息 进 行 关 联 分 析, 建 立 企 业 网 络 白 环 境, 准 确 识 别 用 户 异 常 行 为 3.3.5 全 面 支 持 IPv6 双 协 议 栈 (dual stack) 架 构, 支 持 IPv6/IPv4 双 协 议 栈 功 能, 能 同 时 辨 识 IPv4 和 IPv6 通 讯 流 量 多 种 隧 道 模 式 的 支 持, 确 保 IPv6 过 渡 时 代 的 网 络 通 畅 IPv6 环 境 下 攻 击 检 测 技 术 和 基 于 IPv6 地 址 格 式 的 安 全 控 制 策 略, 为 IPv6 环 境 提 供 了 有 力 的 入 侵 防 护 能 力 NSFOCUS NIPS 通 过 了 IPv6 Ready 认 证, - 5 -

保 证 了 在 IPv6 环 境 下 的 互 联 互 通 3.3.6 多 种 技 术 融 合 的 入 侵 检 测 机 制 NSFOCUS NIPS 以 全 面 深 入 的 协 议 分 析 为 基 础, 融 合 权 威 专 家 系 统 智 能 协 议 识 别 协 议 异 常 检 测 流 量 异 常 检 测 会 话 关 联 分 析, 以 及 状 态 防 火 墙 等 多 种 技 术, 为 客 户 提 供 从 网 络 层 应 用 层 到 内 容 层 的 深 度 安 全 防 护 智 能 协 议 识 别 和 分 析 协 议 识 别 是 新 一 代 网 络 安 全 产 品 的 核 心 技 术 传 统 安 全 产 品 如 防 火 墙, 通 过 协 议 端 口 映 射 表 ( 或 类 似 技 术 ) 来 判 断 流 经 的 网 络 报 文 属 于 何 种 协 议 但 是, 事 实 上, 协 议 与 端 口 是 完 全 无 关 的 两 个 概 念, 我 们 仅 仅 可 以 认 为 某 个 协 议 运 行 在 一 个 相 对 固 定 的 缺 省 端 口 包 括 木 马 后 门 在 内 的 恶 意 程 序, 以 及 基 于 Smart Tunnel( 智 能 隧 道 ) 的 P2P 应 用 ( 如 各 种 P2P 下 载 工 具 IP 电 话 等 ),IMS( 实 时 消 息 系 统 如 MSN Yahoo Pager), 网 络 在 线 游 戏 等 应 用 都 可 以 运 行 在 任 意 一 个 指 定 的 端 口, 从 而 逃 避 传 统 安 全 产 品 的 检 测 和 控 制 NSFOCUS NIPS 采 用 独 有 的 智 能 协 议 识 别 技 术, 通 过 动 态 分 析 网 络 报 文 中 包 含 的 协 议 特 征, 发 现 其 所 在 协 议, 然 后 递 交 给 相 应 的 协 议 分 析 引 擎 进 行 处 理, 能 够 在 完 全 不 需 要 管 理 员 参 与 的 情 况 下, 高 速 准 确 地 检 测 出 通 过 动 态 端 口 或 者 智 能 隧 道 实 施 的 恶 意 入 侵, 可 以 准 确 发 现 绑 定 在 任 意 端 口 的 各 种 木 马 后 门, 对 于 运 用 Smart Tunnel 技 术 的 软 件 也 能 准 确 捕 获 和 分 析 NSFOCUS NIPS 具 备 极 高 的 检 测 准 确 率 和 极 低 的 误 报 率, 能 够 全 面 识 别 主 流 应 用 层 协 议 基 于 特 征 分 析 的 专 家 系 统 特 征 分 析 主 要 检 测 各 类 已 知 攻 击, 在 全 盘 了 解 攻 击 特 征 后, 制 作 出 相 应 的 攻 击 特 征 过 滤 器, 对 网 络 中 传 输 的 数 据 包 进 行 高 速 匹 配, 确 保 能 够 准 确 快 速 地 检 测 到 此 类 攻 击 NSFOCUS NIPS 装 载 权 威 的 专 家 知 识 库, 提 供 高 品 质 的 攻 击 特 征 介 绍 和 分 析, 基 于 高 速 智 能 模 式 匹 配 方 法, 能 够 精 确 识 别 各 种 已 知 攻 击, 包 括 病 毒 特 洛 伊 木 马 P2P 应 用 即 时 通 讯 等, 并 通 过 不 断 升 级 攻 击 特 征, 保 证 第 一 时 间 检 测 到 攻 击 行 为 - 6 -

绿 盟 科 技 拥 有 的 业 界 权 威 安 全 漏 洞 研 究 团 队 NSFocus 小 组, 致 力 于 分 析 来 自 于 全 球 的 各 类 攻 击 威 胁, 并 努 力 找 到 各 种 漏 洞 的 修 补 方 案, 形 成 解 药, 融 于 NSFOCUS NIPS 攻 击 特 征 库, 以 保 持 产 品 持 续 先 进 的 攻 击 防 护 能 力 协 议 异 常 检 测 基 于 特 征 检 测 ( 模 式 匹 配 ) 的 NIPS(N 系 列 ) 产 品 可 以 精 确 地 检 测 出 已 知 的 攻 击 通 过 不 断 升 级 的 特 征 库,NIPS(N 系 列 ) 可 以 在 第 一 时 间 检 测 到 入 侵 者 的 攻 击 行 为 但 是, 事 实 上, 存 在 三 个 方 面 的 因 素 导 致 协 议 异 常 的 诞 生 厂 商 从 提 取 某 个 攻 击 特 征 到 最 终 用 户 的 NIPS(N 系 列 ) 产 品 升 级 需 要 一 个 时 间 间 隔, 在 这 个 时 间 间 隔 内, 基 于 特 征 检 测 的 NIPS(N 系 列 ) 产 品 是 无 法 检 测 到 黑 客 的 该 攻 击 行 为 的 ; 来 自 0-day 或 未 公 开 exploit 的 隐 蔽 攻 击 即 使 是 安 全 厂 商 往 往 也 无 法 第 一 时 间 获 得 攻 击 特 征, 通 常 NIPS(N 系 列 ) 无 法 检 测 这 类 具 有 最 高 风 险 的 攻 击 行 为 ; Internet 上 蠕 虫 在 15 分 钟 内 席 卷 全 球, 即 使 是 最 优 秀 的 厂 商 也 不 能 够 在 这 么 短 的 时 间 内 完 成 对 其 的 发 现 和 检 测 协 议 异 常 检 测 是 NSFOCUS NIPS 应 用 的 另 外 一 项 关 键 技 术, 以 深 度 协 议 分 析 为 核 心 的 NSFOCUS NIPS, 将 发 现 的 任 何 违 背 RFC 规 定 的 行 为 视 为 协 议 异 常 协 议 异 常 最 为 重 要 的 作 用 是 检 测 检 查 特 定 应 用 执 行 缺 陷 ( 如 : 应 用 缓 冲 区 溢 出 异 常 ), 或 者 违 反 特 定 协 议 规 定 的 异 常 ( 如 :RFC 异 常 ), 从 而 发 现 未 知 的 溢 出 攻 击 零 日 攻 击 以 及 拒 绝 服 务 攻 击 作 为 一 项 成 熟 的 技 术, 协 议 异 常 检 测 技 术 使 得 NSFOCUS NIPS 具 有 接 近 100% 的 检 测 准 确 率 和 几 乎 0 的 误 报 率 流 量 异 常 检 测 流 量 异 常 检 测 主 要 通 过 学 习 和 调 整 特 定 网 络 环 境 下 的 正 常 流 量 值, 来 发 现 非 预 期 的 异 常 流 量 一 旦 正 常 流 量 被 设 定 为 基 准 (baseline),nsfocus NIPS 会 将 网 络 中 传 输 的 数 据 包 与 这 个 基 准 作 比 较, 如 果 实 际 网 络 流 量 统 计 结 果 与 基 准 达 到 一 定 的 偏 离, 则 产 生 警 报 在 内 置 流 量 建 模 机 制 的 同 时,NSFOCUS NIPS 还 提 供 可 调 整 的 门 限 阀 值, 供 网 管 员 针 对 具 体 环 境 做 进 一 步 调 整, 避 免 因 为 单 纯 的 流 量 过 大 而 产 生 误 报 流 量 异 常 检 测 和 过 滤 机 制 使 得 NSFOCUS NIPS 可 以 有 效 抵 御 分 布 式 拒 绝 服 务 攻 击 (DDOS) 未 知 的 蠕 虫 流 氓 流 量 和 其 他 零 日 攻 击 3.3.7 2~7 层 深 度 入 侵 防 护 能 力 业 界 领 先 的 安 全 漏 洞 研 究 能 力 - 7 -

绿 盟 科 技 作 为 微 软 的 MAPP(Microsoft Active Protections Program) 项 目 合 作 伙 伴, 可 以 在 微 软 每 月 发 布 安 全 更 新 之 前 获 得 漏 洞 信 息, 为 客 户 提 供 更 及 时 有 效 的 保 护 公 司 的 安 全 研 究 部 门 NSFOCUS 小 组, 已 经 独 立 发 现 了 40 多 个 Microsoft HP CISCO SUN Juniper 等 国 际 著 名 厂 商 的 重 大 安 全 漏 洞, 保 证 了 NSFOCUS NIPS 技 术 的 领 先 和 规 则 库 的 及 时 更 新, 在 受 到 攻 击 以 前 就 能 够 提 供 前 瞻 性 的 保 护 高 品 质 攻 击 特 征 库 覆 盖 广 泛 的 攻 击 特 征 库 携 带 超 过 6800 条, 由 NSFOCUS 安 全 小 组 精 心 提 炼 经 过 时 间 考 验 的 攻 击 特 征, 并 通 过 国 际 最 著 名 的 安 全 漏 洞 库 CVE 严 格 的 兼 容 性 标 准 评 审, 获 得 最 高 级 别 的 CVE 兼 容 性 认 证 (CVE Compatible) 绿 盟 科 技 具 有 领 先 的 漏 洞 预 警 能 力, 是 目 前 国 内 唯 一 向 国 外 ( 美 国 ) 出 口 入 侵 检 测 规 则 库 的 公 司 绿 盟 科 技 每 周 定 期 提 供 攻 击 特 征 库 的 升 级 更 新, 在 紧 急 情 况 下 可 提 供 即 时 更 新 广 泛 精 细 的 攻 击 检 测 和 防 御 能 力 NSFOCUS NIPS 主 动 防 御 已 知 和 未 知 攻 击, 实 时 阻 断 各 种 黑 客 攻 击, 如 缓 冲 区 溢 出 SQL 注 入 暴 力 猜 测 拒 绝 服 务 扫 描 探 测 非 授 权 访 问 蠕 虫 病 毒 僵 尸 网 络 等, 广 泛 精 细 的 应 用 防 护 帮 助 客 户 避 免 安 全 损 失 NSFOCUS NIPS 同 时 具 备 全 面 阻 止 木 马 后 门 广 告 软 件 间 谍 软 件 等 恶 意 程 序 下 载 和 扩 散 的 功 能, 有 助 于 企 业 降 低 IT 成 本 防 止 潜 在 的 隐 私 侵 犯 和 保 护 机 密 信 息 IP 碎 片 重 组 与 TCP 流 汇 聚 NSFOCUS NIPS 具 有 强 大 的 IP 碎 片 重 组 TCP 流 汇 聚, 以 及 数 据 流 状 态 跟 踪 等 能 力, 能 够 检 测 到 黑 客 采 用 任 意 分 片 方 式 进 行 的 攻 击 虚 拟 补 丁 NSFOCUS NIPS 提 供 虚 拟 补 丁 功 能, 在 紧 急 漏 洞 出 现 而 系 统 仍 不 具 备 有 效 补 丁 解 决 方 案 时, 为 客 户 提 供 实 时 防 御, 增 强 了 客 户 应 对 突 发 威 胁 的 能 力, 在 厂 商 就 新 漏 洞 提 供 补 丁 和 更 新 之 前 确 保 企 业 信 息 系 统 的 安 全 强 大 的 D.o.S 攻 击 防 护 能 力 NSFOCUS NIPS 能 够 全 面 抵 御 ICMP Flood UDP Flood ACK Flood 等 常 见 的 D.o.S 攻 击, 阻 挡 或 限 制 未 经 授 权 的 应 用 程 序 触 发 的 带 宽 消 耗, 极 大 限 度 地 减 轻 D.o.S 攻 击 对 网 络 带 来 的 危 害 应 用 客 户 端 的 漏 洞 防 护 能 力 - 8 -

内 置 最 新 的 基 于 应 用 客 户 端 的 漏 洞 防 护 规 则, 绿 盟 攻 防 研 究 团 队 对 客 户 端 易 受 漏 洞 攻 击 的 应 用 进 行 了 长 期 的 跟 踪 和 研 究, 积 累 了 大 量 的 经 验 成 果, 并 转 化 为 产 品 规 则, 有 力 提 升 了 产 品 的 内 网 入 侵 防 护 能 力 3.3.8 先 进 的 Web 威 胁 抵 御 能 力 越 来 越 多 的 病 毒 木 马 等 恶 意 代 码 将 基 于 HTTP 方 式 传 播, 新 一 代 的 Web 威 胁 具 备 混 合 性 渗 透 性 和 利 益 驱 动 性, 成 为 当 前 增 长 最 快 的 风 险 因 素 员 工 对 互 联 网 的 依 赖 性 使 得 企 业 网 络 更 容 易 受 到 攻 击, 导 致 用 户 信 息 受 到 危 害, 对 公 司 数 据 资 产 和 关 键 业 务 构 成 极 大 威 胁 NSFOCUS NIPS 内 置 先 进 可 靠 的 Web 信 誉 机 制, 采 用 独 特 的 Web 信 誉 评 价 技 术 和 URL 过 滤 技 术, 在 用 户 访 问 被 植 入 木 马 的 页 面 时, 给 予 及 时 报 警 和 阻 断, 能 够 有 效 抵 御 Web 安 全 威 胁 渗 入 企 业 内 网, 防 止 潜 在 的 隐 私 侵 犯, 保 护 企 业 机 密 信 息 3.3.9 基 于 应 用 的 流 量 管 理 NSFOCUS NIPS 提 供 强 大 灵 活 的 流 量 管 理 功 能, 采 用 全 局 维 度 ( 协 议 / 端 口 ) 局 部 维 度 ( 源 / 目 的 IP 地 址 用 户 网 段 ) 时 间 维 度 ( 时 间 ) 流 量 纬 度 ( 带 宽 ) 等 流 量 控 制 四 元 组, 实 现 基 于 内 容 面 向 对 象 的 流 量 保 护 策 略 NSFOCUS NIPS 智 能 识 别 并 分 类 各 类 应 用 后, 通 过 流 量 许 可 和 优 先 级 控 制, 阻 断 一 切 非 授 权 用 户 流 量, 管 理 合 法 网 络 资 源 的 利 用, 使 得 网 络 中 不 同 类 型 的 流 量 具 有 更 合 理 的 比 例 和 分 布, 并 结 合 最 小 带 宽 保 证, 及 最 大 带 宽 和 会 话 限 制, 有 效 保 证 关 键 应 用 全 天 候 畅 通 无 阻 3.3.10 部 署 极 其 简 便 零 配 置 上 线 零 配 置 上 线, 即 设 备 出 厂 状 态 下 不 用 做 任 何 配 置, 联 通 一 对 网 口 即 可 上 线 工 作 并 能 取 得 理 想 的 防 护 效 果 简 便 的 策 略 管 理 客 户 的 网 络 拓 扑 环 境 和 资 产 防 护 类 型 千 差 万 别, 如 何 能 根 据 自 己 网 络 应 用 情 况 简 单 配 置 各 种 入 侵 防 护 策 略, 并 能 取 得 最 好 的 防 护 效 果 是 客 户 面 临 的 一 个 比 较 大 的 问 题 NSFOCUS NIPS 内 置 了 多 种 高 效 的 规 则 模 板, 便 于 用 户 依 照 不 同 的 网 络 环 境 有 选 择 的 使 用, 以 达 到 策 略 管 理 的 最 简 化 和 防 护 效 果 的 最 大 化 例 如, 系 统 缺 省 规 则 模 板 根 据 防 护 的 资 产 类 型 有 WEB 服 务 器 模 板 Windows 服 务 器 模 板 UNIX 服 务 器 模 板, 通 用 服 务 器 模 板 用 - 9 -

户 可 通 过 自 身 网 络 的 资 产 防 护 对 象 来 选 择 使 用, 并 且 还 可 以 通 过 系 统 提 供 的 多 种 自 定 义 方 式 建 立 个 性 的 防 护 模 板, 最 终 达 到 更 好 的 防 护 效 果 这 些 高 效 的 系 统 策 略 模 板 的 建 立 方 式 和 技 术 原 理 : 高 级 规 则 动 作 判 定 算 法 保 证 了 规 则 防 护 和 分 类 的 有 效 性 规 则 配 置 文 件 中 会 以 标 签 形 式 新 增 四 个 标 签 分 别 是 规 则 类 型 可 靠 度 攻 防 相 关 事 件 类 型 策 略 模 板 类 型, 其 中 会 根 据 可 靠 度 和 事 件 类 型 标 签 生 成 策 略 模 板 中 各 个 规 则 动 作 ( 即 阻 断 和 告 警 ), 规 则 配 置 文 件 采 用 了 多 重 判 断 和 算 法 叠 加 的 方 式 进 行 自 动 生 成 规 则 自 动 加 权 算 法 保 证 规 则 的 可 靠 性 独 创 的 绿 盟 规 则 加 权 分 类 算 法, 通 过 加 权 机 制, 依 照 不 同 的 分 类 属 性, 特 征 匹 配 度 综 合 判 断 规 则 的 可 靠 性 并 附 值, 以 不 同 的 权 值 再 次 进 行 规 则 分 类 和 分 组 保 证 了 规 则 的 可 靠 性 3.3.11 强 大 的 管 理 能 力 灵 活 的 Web 管 理 方 式 NSFOCUS NIPS 支 持 灵 活 的 Web 管 理 方 式, 适 合 在 任 何 IP 可 达 地 点 远 程 管 理, 支 持 MS IE Netscape Firefox Opera 等 主 路 的 浏 览 器, 真 正 意 义 上 实 现 了 跨 平 台 管 理 丰 富 的 多 级 管 理 方 式 NSFOCUS NIPS 支 持 三 种 管 理 模 式 : 单 级 管 理 多 级 管 理 主 辅 管 理, 满 足 不 同 企 业 不 同 管 理 模 式 需 要 单 级 管 理 模 式 : 安 全 中 心 直 接 管 理 网 络 引 擎, 一 个 安 全 中 心 可 以 管 理 多 台 网 络 引 擎 适 合 小 型 企 业, 用 于 局 域 网 络 主 辅 管 理 模 式 : 网 络 引 擎 同 时 接 受 一 个 主 安 全 中 心 和 多 个 辅 助 安 全 中 心 的 管 理 主 安 全 中 心 可 以 完 全 控 制 网 络 引 擎 ; 辅 助 安 全 中 心 只 能 接 受 网 络 引 擎 发 送 的 日 志 信 息, 不 能 操 作 网 络 引 擎 适 合 大 型 企 业 或 者 有 分 权 管 理 需 求 的 用 户 多 级 管 理 模 式 : 安 全 中 心 支 持 任 意 层 次 的 级 联 部 署, 实 现 多 级 管 理 上 级 安 全 中 心 可 以 将 最 新 的 升 级 补 丁 规 则 模 板 文 件 等 统 一 发 送 到 下 级 安 全 中 心, 保 持 整 个 系 统 的 完 整 统 一 性 ; 下 级 安 全 中 心 可 以 通 过 配 置 过 滤 器, 使 上 级 安 全 中 心 只 接 收 它 关 心 的 信 息 适 合 跨 广 域 网 的 大 型 企 业 用 户 带 外 管 理 (OOB) 功 能 - 10 -

NSFOCUS NIPS 提 供 带 外 管 理 (OOB) 功 能, 解 决 远 程 应 急 管 理 的 需 求, 减 少 客 户 运 营 成 本 提 高 运 营 效 率 减 少 宕 机 时 间 提 高 服 务 质 量 升 级 管 理 NSFOCUS NIPS 支 持 多 种 升 级 方 式, 包 括 实 时 在 线 升 级 自 动 在 线 升 级 离 线 升 级, 使 NIPS(N 系 列 ) 提 供 最 前 沿 的 安 全 保 障 3.3.12 完 善 的 报 表 系 统 高 品 质 的 报 表 事 件 NSFOCUS NIPS 事 件 过 滤 系 统 支 持 采 用 攻 击 发 生 时 间 范 围 事 件 名 称 事 件 类 别 所 属 服 务 源 网 络 范 围 目 的 网 络 范 围 触 发 探 测 器 攻 击 结 果 事 件 动 作 等 多 种 粒 度 过 滤 探 测 器 所 产 生 的 告 警 日 志, 仅 记 录 相 关 的 攻 击 告 警 事 件, 极 大 地 减 小 了 攻 击 告 警 的 数 量, 提 高 了 对 于 高 风 险 攻 击 的 反 应 速 度 多 样 化 的 综 合 报 表 NSFOCUS NIPS 报 表 系 统 提 供 了 详 细 的 综 合 报 表 自 定 义 三 种 类 型 10 多 个 类 别 的 报 表 模 板, 支 持 生 成 : 日 周 月 季 度 年 度 综 合 报 表 报 表 支 持 MS Word Html JPG 格 式 导 出 同 时 支 持 定 时 通 过 电 子 邮 件 发 送 报 表 至 系 统 管 理 员 强 大 的 零 管 理 从 实 时 升 级 系 统 到 报 表 系 统, 从 攻 击 告 警 到 日 志 备 份,NSFOCUS NIPS 完 全 支 持 零 管 理 技 术 所 有 管 理 员 需 要 日 常 进 行 的 操 作 均 可 由 系 统 定 时 自 动 后 台 运 行, 极 大 地 降 低 了 维 护 费 用 与 管 理 员 的 工 作 强 度 3.3.13 完 备 的 高 可 用 性 丰 富 的 HA 部 署 能 力 NSFOCUS NIPS 具 备 基 于 会 话 配 置 等 信 息 同 步 的 HA 部 署 能 力, 支 持 A/A 和 A/S 两 种 部 署 方 式, 在 出 现 设 备 宕 机 端 口 失 效 等 故 障 时, 能 够 完 成 主 机 和 备 机 的 即 时 切 换, 确 保 关 键 应 用 的 持 续 正 常 运 转 完 整 的 BYPASS 解 决 方 案 IPS 作 为 一 种 在 线 串 联 部 署 设 备, 首 先 要 确 保 客 户 业 务 数 据 畅 通, 而 完 备 的 BYPASS 解 决 方 案 保 证 了 设 备 出 现 故 障 时 基 础 网 络 依 然 畅 通, 确 保 了 客 户 基 础 业 务 数 据 不 受 影 响 NSFOCUS NIPS 的 BYPASS 特 性 由 以 下 三 部 分 组 成, 由 此 形 成 一 套 完 整 的 BYPASS 解 决 方 案 : - 11 -

提 供 硬 件 BYPASS 功 能,IPS 在 出 现 硬 件 故 障 或 意 外 事 故 时 ( 意 外 掉 电 意 外 重 启 硬 件 宕 机 等 ), 数 据 会 自 动 切 到 BYPASS 转 发, 保 证 了 业 务 的 连 续 性 提 供 软 件 BYPASS 功 能, 系 统 软 件 故 障 时, 自 动 实 现 旁 路 保 护, 避 免 网 络 中 断 等 事 故 的 发 生 软 件 BYPASS 工 作 流 程 描 述 : 系 统 内 置 安 全 和 数 通 引 擎, 通 过 心 跳 交 互, 当 数 通 引 擎 检 测 到 安 全 引 擎 更 新 心 跳 超 时 后, 不 会 再 将 包 交 给 安 全 引 擎 进 行 处 理, 而 是 将 等 待 安 全 引 擎 处 理 队 列 中 的 包 和 新 收 到 的 包 直 接 进 行 转 发, 以 保 障 网 络 畅 通 安 全 引 擎 Queue-Out Queue-In 安 全 引 擎 异 常 数 通 引 擎 直 接 转 发 HAL 支 持 外 置 BYPASS 硬 件 设 备 部 署, 如 光 BYPASS 交 换 机 等, 扩 展 形 成 完 整 的 BYPASS 解 决 方 案 过 载 保 护 能 力 当 IPS 部 署 环 境 流 量 超 过 设 备 安 全 引 擎 所 能 承 受 最 大 处 理 能 力 时, 为 保 障 客 户 网 络 畅 通 所 采 用 的 一 种 保 护 措 施 它 的 作 用 是 尽 量 降 低 网 络 延 时, 减 少 因 安 全 引 擎 性 能 问 题 造 成 的 网 络 丢 包 安 全 引 擎 Queue-Out 队 列 满 Queue-In 数 通 引 擎 Fast-path HAL 冗 余 电 源 支 持 - 12 -

NSFOCUS NIPS 支 持 热 插 拔 的 冗 余 双 电 源, 避 免 电 源 硬 件 故 障 时 设 备 宕 机, 提 高 设 备 可 用 性 3.3.14 丰 富 的 响 应 方 式 NSFOCUS NIPS 提 供 丰 富 的 响 应 方 式, 包 括 : 丢 弃 数 据 包 阻 断 会 话 IP 隔 离 邮 件 报 警 短 信 报 警 安 全 中 心 显 示 日 志 数 据 库 记 录 运 行 用 户 自 定 义 命 令 等, 同 时 提 供 标 准 snmp trap(v1 V2 V3) 和 syslog 接 口, 可 接 受 第 三 方 管 理 平 台 的 安 全 事 件 集 中 监 控 报 告 和 管 理 支 持 CEF 通 用 事 件 格 式, 能 够 与 ArcSight 无 缝 融 合 3.3.15 高 可 靠 的 自 身 安 全 性 安 全 可 靠 的 系 统 平 台 NSFOCUS NIPS 采 用 安 全 可 靠 的 硬 件 平 台, 全 内 置 封 闭 式 结 构, 配 置 完 全 自 主 知 识 产 权 的 专 用 系 统, 经 过 优 化 和 安 全 性 处 理, 稳 定 可 靠 系 统 内 各 组 件 通 过 强 加 密 的 SSL 安 全 通 道 进 行 通 讯 防 止 窃 听, 确 保 了 整 个 系 统 的 安 全 性 和 抗 毁 性 用 户 权 限 分 级 管 理 NSFOCUS NIPS 安 全 中 心 身 份 验 证 系 统 采 用 独 立 于 操 作 系 统 的 权 限 管 理 系 统, 管 理 权 限 与 审 计 权 限 独 立, 提 供 对 系 统 使 用 情 况 的 全 面 监 管 和 审 计 实 时 日 志 归 并 NSFOCUS NIPS 归 并 引 擎 由 规 则 驱 动, 可 以 执 行 任 意 粒 度 的 日 志 归 并 动 作, 完 全 避 免 Stick 此 类 Anti-NIPS(N 系 列 ) 攻 击 多 点 备 份 NSFOCUS NIPS 的 探 测 引 擎 可 以 将 攻 击 告 警 日 志, 实 时 发 送 到 多 个 绿 盟 安 全 中 心 或 日 志 数 据 库 保 存, 避 免 因 为 数 据 损 坏 或 丢 失 而 导 致 系 统 不 可 用 的 事 故 发 生 3.4 解 决 方 案 绿 盟 科 技 提 供 一 系 列 完 整 的 入 侵 防 护 解 决 方 案, 实 现 从 企 业 网 络 核 心 至 边 缘, 以 及 分 支 机 构 的 全 面 保 护, 适 用 于 不 同 环 境 的 多 种 安 全 防 护 需 求 3.4.1 多 链 路 防 护 解 决 方 案 目 前, 很 多 企 业 为 了 保 证 网 络 带 宽 资 源 的 充 足 和 网 络 冗 余, 网 络 出 口 采 用 多 链 路 连 接 方 式, 连 接 到 两 个 或 更 多 ISP 服 务 商 - 13 -

针 对 这 种 连 接 方 式, 绿 盟 科 技 入 侵 防 护 系 统 提 供 多 链 路 防 护 的 解 决 方 案, 在 网 络 出 口 处 部 署 一 台 绿 盟 网 络 入 侵 防 护 系 统, 采 用 多 路 NIPS(N 系 列 ) 的 部 署 方 式 : 1. NSFOCUS NIPS 支 持 多 路 NIPS(N 系 列 ) 部 署, 每 路 NIPS(N 系 列 ) 单 独 防 护 一 个 ISP 接 入 链 路, 一 台 NSFOCUS NIPS 可 以 同 时 防 护 多 条 链 路, 节 约 客 户 投 资 ; 2. NSFOCUS NIPS 的 各 路 NIPS(N 系 列 ) 是 相 互 独 立 的, 彼 此 之 间 没 有 数 据 交 换, 互 不 干 扰, 保 证 了 各 链 路 流 量 的 自 身 安 全 ; 3. NSFOCUS NIPS 实 时 监 测 各 种 流 量, 提 供 从 网 络 层 应 用 层 到 内 容 层 的 深 度 安 全 防 护 3.4.2 混 合 防 护 解 决 方 案 图 3.2 NSFOCUS NIPS 多 链 路 防 护 解 决 方 案 大 型 企 业 的 网 络 规 模 很 大, 结 构 相 对 复 杂, 不 仅 有 总 部, 还 有 各 地 的 分 支 机 构, 既 要 保 护 网 络 边 界 的 安 全, 同 时 又 要 保 护 企 业 内 网 的 安 全 针 对 大 型 企 业 网 络 特 点, 绿 盟 科 技 网 络 入 侵 防 护 系 统 提 供 混 合 防 护 的 解 决 方 案 : 1. 在 总 部 互 联 网 出 入 口 处 在 线 部 署 NSFOCUS NIPS, 实 现 路 由 防 护, 提 供 互 联 网 的 从 网 络 层 应 用 层 到 内 容 层 的 深 度 安 全 防 护 ; - 14 -

2. 在 总 部 内 部 网 段 之 间 以 及 与 分 支 机 构 网 络 之 间 在 线 部 署 NSFOCUS NIPS, 提 供 透 明 接 入 的 独 立 多 路 NIPS(N 系 列 ) 一 进 一 出 的 交 换 式 NIPS(N 系 列 ) 多 进 多 出 的 全 方 位 立 体 式 的 安 全 防 护 体 系, 实 现 内 网 的 安 全 区 域 划 分 和 控 制 ; 3. 在 企 业 服 务 器 区 旁 路 部 署 NSFOCUS NIPS, 相 当 于 入 侵 检 测 系 统, 监 测 分 析 服 务 器 区 的 安 全 状 况, 保 护 服 务 器 安 全 ; 4. 通 过 一 个 绿 盟 安 全 中 心, 实 现 对 全 网 NIPS(N 系 列 ) 设 备 的 集 中 管 理 安 全 信 息 的 集 中 分 析 和 处 理, 有 效 解 决 企 业 面 临 的 安 全 问 题, 提 高 投 资 回 报 率 图 3.3 NSFOCUS NIPS 混 合 防 护 解 决 方 案 四. 结 论 随 着 安 全 漏 洞 不 断 被 发 现, 黑 客 的 技 巧 和 破 坏 能 力 不 断 提 高, 网 络 受 到 越 来 越 多 的 攻 击 每 天 成 千 上 万 的 蠕 虫 病 毒 木 马 在 网 络 上 传 播, 阻 塞 甚 至 中 断 网 络 ;BT 电 驴 等 P2P 下 载 软 件 轻 易 的 占 据 100% 的 企 业 网 络 上 行 下 行 带 宽 ; 员 工 沉 浸 在 QQ MSN 等 聊 天 或 反 恐 精 英 传 奇 等 网 络 游 戏 中 不 能 自 拔, 从 而 影 响 了 正 常 的 工 作 这 些 新 型 的 混 合 威 胁 越 来 越 给 企 业 造 - 15 -

成 巨 大 的 损 失, 而 对 于 上 述 威 胁, 传 统 防 火 墙 入 侵 检 测 系 统 和 防 病 毒 系 统 都 无 法 有 效 地 阻 止 为 了 弥 补 目 前 安 全 设 备 ( 防 火 墙 入 侵 检 测 等 ) 对 攻 击 防 护 能 力 的 不 足, 我 们 需 要 一 种 新 的 工 具 用 于 保 护 业 务 系 统 不 受 黑 客 攻 击 的 影 响 这 种 工 具 不 仅 仅 能 够 精 确 识 别 应 用 等 各 层 面 攻 击, 而 且 必 须 在 不 影 响 正 常 业 务 流 量 的 前 提 下 对 攻 击 流 量 进 行 实 时 阻 断, 真 正 做 到 看 得 见 检 得 出 防 得 住 绿 盟 网 络 入 侵 防 护 系 统 提 供 了 业 界 领 先 的 实 时 主 动 的 防 护 能 力, 通 过 新 一 代 的 入 侵 防 护 技 术, 绿 盟 科 技 的 产 品 和 技 术 能 够 有 效 的 阻 断 包 括 应 用 层 面 的 各 层 面 攻 击, 保 证 合 法 流 量 的 正 常 传 输, 这 对 于 保 障 业 务 系 统 的 运 行 连 续 性 和 完 整 性 有 着 极 为 重 要 的 意 义 - 16 -