联想网御IPS入侵防护系统系列产品介绍2649386324.docx

《联想网御IPS入侵防护系统系列产品介绍2649386324.docx》由会员分享，可在线阅读，更多相关《联想网御IPS入侵防护系统系列产品介绍2649386324.docx（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.联想网御IIPS入侵侵防护系统统产品白皮书书V2.0联想网御科科技（北京京）有限公公司版权信息版权所有有 2000120007，联想网御御科技(北北京)有限限公司本文档中出出现的任何何文字叙述述、文档格格式、插图图、照片、方方法、过程程等内容，除除另有特别别注明，版版权均属联联想网御科科技(北京)有限公司司所有，受受国家有关关产权及版版权法保护护。如何个个人、机构构未经联想想网御科技技(北京)有限公司司的书面授授权许可，不不得以任何何方式复制制或引用本本文档

2、的任任何片段。商标信息联想网御，LLegennd，Leenovoo，leaadsecc等标识及及其组合是是联想网御御科技(北京)有限公司司拥有的商商标，受商商标法和有有关国际公公约的保护护。第三方信息息本文档中所所涉及到的的产品名称称和商标，属属于各自公公司或组织织所有。联想网御科科技（北京京）有限公公司Lenovvo Seecuriity TTechnnologgies Inc.北京市海淀淀区中关村村南大街66号中电信信息大厦88层 110008868/F ZZhonggdiann Infformaationn Towwer NNo.6 Zhonngguaancunn Souuth SStr

3、eeet, Haidiian DDistrrict, Beiijingg电话(TEEL)：010-8216669999传真(FAAX)：0100-8211669998技术热线(Custtomerr Hottlinee)：0100-8211677666电子信箱(E-maail)：infooseclenoovo.ccom公司网站：目 录1、序言42、联想网网御解决方方案IPPS入侵防防护系统74、联想网网御IPSS入侵防护护系统系列列产品介绍绍74.1简介介74.2系统统架构84.3工作作模式95、联想网网御IPSS入侵防护护系统产品品特点95.1联想想网御IPPS入侵防防护系统专专用操作系系统的

4、特点点和优点105.2联想想网御IPPS入侵防防护系统内内容处理硬硬件体系结结构135.2.11硬件体系系结构简介介135.2.22内容处理理加速引擎擎155.2.33在联想网网御IPSS入侵防护护系统结构构中的高可可靠性165.3结论论176、联想网网御IPSS入侵防护护系统主要要功能176.1 动动态入侵防防护/保护176.2防病病毒206.3高可可靠性（HHA）206.4管理理功能211、序言近几年来，随随着信息化化建设的飞飞速发展，信信息安全的的内容也越越来越广泛泛，用户对对安全设备备和安全产产品的要求求也越来越越高。尽管管防火墙、IIDS等传传统安全产产品在不断断的发展和和自我完善善

5、，但是道道高一尺魔魔高一丈，黑黑客们不仅仅专门针对对安全设备备开发各种种工具来伪伪装攻击、逃逃避检测，在在攻击和入入侵的形式式上也与应应用相结合合越来越紧紧密。这些些都使传统统的安全设设备在保护护网络安全全上越来越越难。混合攻击带带来的新挑挑战随着红色代代码、Niimda等等有里程碑碑式的病毒毒出现，改改写了病毒毒形态和病病毒的历史史，病毒已已经不再只只具有破坏坏力。新的的病毒已经经成为黑客客的攻击和和入侵手段段，借助病病毒的传播播方式，黑黑客们可以以轻易地窃窃取网络中中的敏感数数据和信息息。黑客程程序、木马马、病毒已已经有机地地结合起来来，使之成成为黑客攻攻击的新工工具。同时时，木马、病病毒

6、等恶意意程序也经经常通过邮邮件、恶意意的Webb网页（或或者被篡改改的Webb网页）、文文件下载等等传播途径径使得病毒毒的危害范范围和扩散散速度加大大。这些都都给传统的的安全设备备带来新的的挑战。一些老式的的防火墙不不具备内容容检测的能能力，不具具备检测新新型的混合合攻击和防防护的能力力。较新的的深度检测测防火墙往往往在分片片的数据包包前一筹莫莫展,所以以传统的防防火墙不具具备完备的的内容检测测能力，无无法做到内内容安全过过滤。IDDS设备虽虽然可以检检测网络中中的攻击，但但是它不能能对攻击行行为进行有有效的防御御和阻断，IIDS的大大量误报也也使得管理理员难以从从大量的日日志中找出出有价值的

7、的信息。桌桌面防病毒毒软件防护护对象是终终端，往往往需要使用用者的对操操作系统和和其软件都都有较高的的操作水平平，并且防防病毒软件件往往会限限制用户一一些正常操操作，为了了突破限制制用户会不不得不关闭闭防毒软件件，这些都都使得防病病毒软件实实施的效果果受到了很很大的影响响，所以不不能保障网网络的安全全。什么是IPPSIPS是继继“防火墙”、“信息加密密”等传统安安全保护方方法之后的的新一代安安全保障技技术。它监监视计算机机系统或网网络中发生生的事件，并并对它们进进行分析，以以寻找危及及信息的机机密性、完完整性、可可用性或试试图绕过安安全机制的的入侵行为为并进行有有效拦截。（IIPS）就就是自动

8、执执行这种监监视和分析析过程，并并且执行阻断的的硬件产品品。防火墙的局局限性防火墙是阻阻止黑客攻攻击的一种种有效手段段，但随着着攻击技术术的发展，这这种单一的的防护手段段已不能确确保网络的的安全，它它存在以下下的弱点和和不足：1. 防火墙无法法阻止内部部人员所做做的攻击防火墙保护护的是网络络边界安全全，对在网网络内部所所发生的攻攻击行为无无能为力，而而据调查，网网络攻击事事件有600%以上是是由内部人人员所为。2. 防火墙对信信息流的控控制缺乏灵灵活性防火墙是依依据管理员员定义的过过滤规则对对进出网络络的信息流流进行过滤滤和控制的的。如果规规则定义过过于严格，则则限制了网网络的互连连互通；如如

9、果规则定定义过于宽宽松，则又又带来了安安全隐患。防防火墙自身身无法根据据情况的变变化进行自自我调整。3. 在攻击发生生后，利用用防火墙保保存的信息息难以调查查和取证在攻击发生生后，能够够进行调查查和取证，将将罪犯绳之之以法，是是威慑网络络罪犯、确确保网络秩秩序的重要要手段。防防火墙由于于自身的功功能所限，难难以识别复复杂的网络络攻击并保保存相关的的信息。为了确保计计算机网络络安全，必必须建立一一整套的安安全防护体体系，进行行多层次、多多手段的检检测和防护护。入侵防防护系统就就是安全防防护体系中中重要的一一环，它能能够及时识识别网络中中发生的入入侵行为并并实时报警警并且进行行有效拦截截防护。需需

10、要说明的的是，虽然然目前很多多防火墙都都集成有入入侵防护模模块，但由由于技术和和性能上的的限制，它它们通常只只能检测少少数几种简简单的攻击击，无法与与专业的入入侵防护系系统相比。专专业入侵防防护系统所所具有的实实时性、动动态检测和和主动防御御等特点，弥弥补了防火火墙等静态态防御工具具的不足。为什么要使使用入侵防防护系统对于一个行行之有效的的安全解决决方案，它它必须考虑虑当前在应应用和安全全上的挑战战。这些挑挑战包括： 1) 对分布式应应用的依赖赖性不断增增强 各个机构构日益依赖赖基于Weeb的应用用和业务级级的分布式式应用来开开展业务。分分支机构和和生产部门门也会通过过广域网从从远程访问问CR

11、M和ERP等关关键应用。 2) 网络化应用用容易受到到攻击 由于80、139等端端口通常是是打开的，因因此如果不不对借助这这些端口穿穿越防火墙墙进入网络络的流量进进行检测，网网络化应用用将非常容容易遭到病病毒、入侵侵、蠕虫和和DoS等形形式的攻击击。为保护护网络化应应用的安全全，需要对对所有流量量进行深入入的数据包包检测，以以实时拦截截攻击，并并且防止安安全性侵害害进入网络络并威胁各各个应用。 3) 呈爆炸性增增长的攻击击 应用用攻击的数数量和严重重性都在飞飞快地增长长，仅20003年就就出现了44200多多种攻击形形式，而且且这一数字字每年都会会翻一番。 4) 相应地，这这些攻击造造成的损失

12、失也呈直线线上升趋势势。据报道道，20003年8月成为ITT历史上最最糟的一个个月。在该该月，仅SSobigg病毒就在在全球造成成了2977亿美元的的经济损失失。 5) 当前的安全全工具无法法拦截这些些攻击 在应用用层的攻击击面前，防防火墙、IIDS以及及防病毒网网关等现有有的安全工工具缺乏相相应的处理理能力、性性能和应用用安全智能能，从而使使各个机构构暴露无遗遗。 因此，一种种能用数千千兆位的速速度对所有有流量进行行双向扫描描并且可以以实时防范范各种应用用层攻击（比比如蠕虫、病病毒、木马马和Doss攻击）的的内置安全全解决方案案，无疑已已成为当务务之急。 联想网御IIPS入侵侵防护系统统在业

13、内首首先提供了了以快速防防范入侵和和拒绝服务务攻击的产产品。该产品可以实实时地隔离离、拦截和和阻止各种种应用攻击击，从而为为所有网络络化应用、用用户和资源源提供了直直接保护。2、联想网网御解决方方案IPPS入侵防防护系统针对以上的的各种不安安全以及难难以管理的的因素，网御御IPS入入侵防护系系统作作为信息安安全的新一一代门户，就就应运而生生了。自22001年年联想网御御开始研发发带入侵防防御系统模模块的防火火墙以来，经经过不断地地努力，在在20077年第一季度我们们即将实现现联想IPPS入侵防防护系统产产品上市的的梦想。在在众多国内内乃至全球球安全厂商商中，联想想网御是研研发IPSS入侵防护护

14、系统产品品的领跑者者，在20002年就就取得多项项该领域的的技术专利利。 联想网御御通过对入入侵防护、防火墙的的整合和改改良，使IIPS入侵侵防护系统统产品可以以很好地防防御目前流流行的混合合型数据攻攻击的威胁胁。这些特特性和技术术使得ITT管理人员员可以很容容易地控制制如Insstantt Messsagee信息和PP2P应用用的传输，并并且阻断来来自内部的的数据攻击击以及垃圾圾数据流的的泛滥。同同时，设备备可以支持持动态的行行为特征库库更新，更更具备7层层的数据包包检测能力力。完全克克服了目前前市场上深深度包检测测的技术弱弱点。特别别针对分包包攻击的内内容效果明明显。 为为了突破硬硬件平台

15、限限制，联想想网御采用用专用的AASIC芯芯片来完成成对网络数数据包的内内容检测，打打破了传统统防火墙内内容处理障障碍 ，提供了了实时入侵侵防护功能能所需的强强大计算处处理功能。4、联想网网御IPSS入侵防护护系统系列列产品介绍4.1简介介作为国内领领先的专业业的防火墙墙/VPNN厂商，联联想网御在在服务用户户的过程中中，很早就就认识到传传统安全设设备的局限限性。早在在20011年，我们们在国内率率先推出集集防火墙、防防病毒、IIDS功能能于一身的的产品，并并申请了发发明专利（专专利号: 01100917889）。近近年来一直直在技术上上努力创新新，针对多多安全功能能整合、并并行处理等等方面进

16、行行软件体系系结构的改改进和优化化，并寻找找合适的高高性能硬件件平台。同同时，由于于IPS入入侵防护系系统涉及技技术非常全全面，既有有网络层、传传输层安全全也有应用用层安全技技术，既有有软件技术术也有硬件件技术，不不可能由一一家公司独独立完成，必必须广泛合合作，尤其其是和业界界领先厂商商合作。22005年年，联想网网御专门赴赴美国硅谷谷技术考察察，并且成成功地和多多家顶级安安全软硬件件厂商展开开深入合作作。终于在在20077年Q1成功推出出了成熟的的IPS入入侵防护系系统产品。目目前，联想想网御已经经拥有提供供业界最优优秀IPSS入侵防护护系统产品品的能力，产产品线覆盖盖百兆、千千兆IPSS入

17、侵防护护系统。联想网御IIPS入侵侵防护系统统产品采用用了独特的的高性能、高高安全性、高高可靠性的的操作系统统，提高了了自身安全全性的同时时，加速了了多线程的的内容处理理，为运行行在其上层层的防火墙墙、VPNN、防病毒毒等安全引引擎提供了了强大而安安全的性能能支持。联联想网御IIPS入侵侵防护系统统使用了专专门的ASSIC内容容处理加速速芯片，大大大提高了了系统的内内容处理能能力，为特特征匹配，加加解密，启启发式扫描描提供了硬硬件加速。联联想网御IIPS入侵侵防护系统统在各个安安全引擎中中运用了新新的算法和和技术，针针对传统包包过滤无法法检测的威威胁；针对对未知的攻攻击行为，使使用了实时时动态

18、保护护技术。4.2系统统架构联想网御PPowerr V IPS入入侵防护系系统主要由由硬件平台台、专用操操作系统、IPS管理服务系统、IPS安全引擎等四个部分组成。硬件平台根据用户使用环境的不同，选取专用安全平台或基于高性能服务器架构进行设计，并且使用专门ASIC内容处理芯片进行扫描和模式匹配的加速；专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统；IPS安全引擎采用模块化设计，针对不同的应用环境和不同的安全策略，可以配置不同的功能模块。入 侵 防 护CLIHA报警日志监控高效强化安全的操作系统CPUASIC内容处理芯片4.3工作作模式联想网御全全系列产品品均采用联联想网御新一代代多安

19、全域域设计， IPS入入侵防护系系统系列产产品多口的的硬件设计计可以使多多安全域需需求得到完完全的满足足，完全突突破了传统统的内网、外外网、停火火区的理念念，可以根根据企业内内部不同的的部门设置置不同的互互通安全规规则，使得得不仅在内内网与外网网的安全得得到保障，同同时保障了了企业内部部不同部门门之间的安安全需求。联想网御IIPS入侵侵防护系统统支持全透透明交换工工作模式，与与网御IPPS入侵防防护系统可可连接各个个网络之间间构成一个个统一的交交换式物理理子网，子子网内部还还可以有自自己的第二二级路由器器。除安全全管理以外外，防火墙墙本身的工工作不需要要IP地址址，为隐式式全透明防防火墙。这这

20、样一方面面大大降低低了防火墙墙自身受到到攻击的可可能性，另另一方面也也使系统安安装变得十十分简单，不不再需要改改变原有的的网络拓扑扑结构和各各主机与设设备的网络络设置，即即不需要重重新划分网网段和调整整网络结构构。同时强强化了对虚虚拟局域网网（VLAAN）和生生成树协议议（STPP）的支持持。联想网御IIPS入侵侵防护系统统同时支持持路由工作作模式，与与网御防火火墙Powwer VV IPS入入侵防护系系统可连接接不同的物物理网段。防防火墙接口口可以通过过配置别名名设备，可可以使得一一个物理接接口上绑定定多个IPP地址。联想网御IIPS入侵侵防护系统统还支持集集群工作模模式，可以以通过多台台防

21、火墙的的集群提高高整个网络络系统的可可靠性，降降低出现网网络中断的的风险。5、联想网网御IPSS入侵防护护系统产品品特点联想网御IIPS入侵侵防护系统统的完善体体系结构包包括两大部部分：强化化安全的专专用操作系系统和模块块化硬件系系统。以下下分别介绍绍这两大部部分5.1联想想网御IPPS入侵防防护系统专专用操作系系统的特点点和优点联想网御IIPS入侵侵防护系统统操作系统统是专用的的、实时的的强化安全全的操作系系统，它在在全平台上上支持病毒毒扫描，内内容过滤，sateful检测防火墙，IP安全（IPSec）VPN，基于网络的IDS和流量管理应用。以下介绍其设计特点、应用级和网络级功能，以及高性能

22、，高可靠性，高灵活性和扩展性。 高性能并行行处理联想网御IIPS入侵侵防护系统统高端产品品设计为双双CPU。 利用对称称多处理技技术，有效效地分解和和协调在双双处理器之之间不同的的任务。 在任一特特定时间， 两个处理器都负载在最佳的处理水平。 由于利用了专门的算法， 任务切分和协调过程中的消耗减到了最小程度。 实时体系结结构与非实时OOS（例如如许多防火火墙和设备备采用的不不同风格的的Linuux）相比比，联想网网御IPSS入侵防护护系统操作作系统是使使数据流程程处理达到到优化的实实时操作系系统。在非非实时OSS中，核心心并不总是是对输入的的数据包触触发的中断断作出及时时反应；这这不仅使数数据

23、包排队队时间增长长， 而且造成成系统资源源（例如内内存）不能能有效地利利用，因而而增加了丢丢包率。联联想网御IIPS入侵侵防护系统统操作系统统的设计集集成了智能能排队和管管道管理， 与包的到达/处理相关的系统中断得到立刻的重视。同时，基于内容处理加速模块的硬件加速使各种类型流量的处理时间达到最小，加上最短的排队时间，从而给用户提供了最好的实时系统。 实时内容级级智能常规的安全全网关设计计有两类：状态包检检测（基于于流程的,floww-bassed）和和应用代理理（ prroxy）。在在基于流程程的网关中中，安全策策略是大多多在包一级级定义和执执行的（虽虽然状态检检测对一定定类型的流流量保持会会

24、话上下文文）。 这种方法法因为包在在处理后马马上送走, 而导致致高处理速速度和高吞吞吐量； 但是， 由于处理理是在包一一级的， 系统不理理解高一级级语言，（例例如协议）或或目标（例例如文件），因因此不能识识别有害的的脚本、病病毒攻击、或或不想要的的内容。相相比之下，基基于代理的的系统，安安全网关终终断进入和和流出的会会话，检测测包，将它它们重新组组合为原始始的数据流流，理解会会话的当前前状态，并并能够对预预先定义的的违规、或或动态产生生的安全或或网络策略略进行检测测内容。这这种方法有有足够的智智能在应用用级运作，因因而能进行行应用级处处理。但是是，重新组组合所有的的包和检测测数据流需需要耗费大

25、大量的计算算资源，那那会使基于于代理的网网关变得性性能减低许许多。联想网御IIPS入侵侵防护系统统设计为综综合基于流流程的和基基于代理的的两者优点点，而同时时又克服它它们的弱点点。联想网网御IPSS入侵防护护系统设计计为具有基基于流程的的检测引擎擎和多应用用级代理（HTTP, SMTP,POP3, IMAP等）。专利设计在包检测和代理之间给出最佳的协调。由内容加速单元提供了基于代理系统的智能，而在性能上达到通常只有基于流程的系统才能达到的水平。结果使联想网御IPS入侵防护系统不仅能达到常规的网络级安全, 例如防火墙，VPN和NIDS，而且能在网络界面边缘高速地处理应用级安全功能，例如病毒与蠕虫

26、扫描、URL和关键词内容过滤、跨过防火墙的话音Voice over IP (VoIP)。 完整的投资资保护和完完整的网络络保护联想网御IIPS入侵侵防护系统统专用操作作系统设计计的另一个个优点是能能适应新的的功能和应应用。模块块化设计使使得能方便便地添入或或修改新的的代理。在在引入新的的协议和业业务时，不不需要改变变整个操作作系统结构构（或硬件件系统结构构）。联想想网御IPPS入侵防防护系统专专用操作系系统适应支支持VoIIP NAAT的能力力就代表了了操作系统统灵活性的的一个很好好的例子。使使用得越来来越多的VVoIP，协协议比较复复杂，例如如H.3223, MMGCP, SIPP等，不能能

27、由常规的的网络地址址转换防火火墙来防护护。如果不不使用代理理，为了让让VoIPP通行，VooIP网关关要求在防防火墙中打打开“洞”。然而，这这些洞往往往会被入侵侵者利用，利利用话音业业务来损坏坏防火墙，并并增加未经经容许的网网络接入。如果网络保保护网关能能理解复杂杂的VoIIP协议，它它们就能处处理VoIIP业务安安全，不需需要开“洞”，而“洞”往往会让让VoIPP和潜在的的有害流量量通过。如如上所述，基基于流程的的网关一般般缺少智能能来理解复复杂的高级级的协议，而而常规的基基于代理的的设计缺少少必要的性性能，来处处理对延迟迟敏感的话话音，以免免引入不能能接受的抖抖动和延迟迟。 这就是联联想网

28、御IIPS入侵侵防护系统统专用操作作系统的立立足之处：它能容易易地适应HH.3233协议，分分隔H.3323信息息本体。高高性能的操操作系统核核心，结合合专门建立立的内容处处理加速硬硬件，能使使联想网御御IPS入入侵防护系系统适合新新的应用，而而无须重新新设计系统统或对硬件件升级作大大的改动。 提供分区间间安全的虚虚拟系统支支撑用户能够建建立一个单单个的联想想网御IPPS入侵防防护系统单单元行为，就就好象它包包含大量的的独立的“虚拟系统统”，它们提提供专门的的服务，对对各个部门门或用户分分别具有自自己独特的的策略。联联想网御IIPS入侵侵防护系统统体系结构构中设计了了虚拟系统统支撑。符符合80

29、22.1Q标标准的一个个或多个VVLAN能能被映射到到一个虚拟拟系统，带带有VLAAN中继支支撑的交换换机/路由器与与联想网御御IPS入入侵防护系系统的物理理接口相连连接。联想想网御IPPS入侵防防护系统能能提供多达达500个虚虚拟系统。基基于角色的的管理允许许不同的管管理员仅管管理它们授授权的虚拟拟系统，使使它们建立立和维护它它们自己的的一套安全全策略、地地址和地址址组， 以及监视视系统状态态。 提供Cloosed-loopp 保护的的体系结构构常规入侵检检测系统的的主要问题题正在于检检测系统本本身，因为为它们只检检测，提供供报告，但但不能防护护或防止攻攻击。主要要原因在于于大多数IIDS,

30、 例如防火火墙，防病病毒扫描，是是在点上的的解决办法法，它们互互相不通气气。联想网网御IPSS入侵防护护系统专用用操作系统统平台组成成了一个共共框架，它它无缝地自自然地集成成了所有支支持的应用用。当系统统中的NIIDS模块块检测一个个攻击时，它它能采用一一个或多个个防护措施施，例如重重新设置连连接， 放弃与攻攻击相关的的包，告示示防火墙阻阻挡攻击，或或等候到攻攻击指示灯灯显示达到到某个门限限。这是一一种“clossed lloop”保护，根根据这一强强有力的概概念， 将被动防防护变为主主动防护。 高可用性(HA)的的备份保护护联想网御IIPS入侵侵防护系统统通常用于于关键任务务环境，例例如运营

31、服服务商基础础设施或大大型企业，不不能容忍由由于任一点点故障的业业务丢失。用用户使用备备分的一对对联想网御御IPS入入侵防护系系统单元，并并利用专用用冗余协议议，来确保保万一有故故障发生时时的故障恢恢复零中断断。正如支支持高可用用性的其它它协议一样样，例如VVRRP和和路由器故故障恢复零零中断的HHSRP，联联想网御IIPS入侵侵防护系统统专用冗余余协议提供供安全会话话的故障恢恢复零中断断。协议中中包含几项项技术，包包括： 连续地piing互相相连接，以以证实备份份中的每一一伙伴处在在健康状态态中。 如果有一一个模块发发生故障或或无电， 业务会转转到另一个个系统中。 链接状态监监视 监视上行行

32、和下行交交换机/路由器的的流量状态态，聚焦于于为维持连连接而从待待命状态转转到使用状状态。联想网御IIPS入侵侵防护系统统能利用专专用冗余协协议，配置置为完全的的备份环境境， 使得没有有单个点的的故障。联联想网御IIPS入侵侵防护系统统能配置为为支持热备备份模式或或双机容错错（acttive-actiive）负负载共享模模式。5.2联想想网御IPPS入侵防防护系统内内容处理硬硬件体系结结构5.2.11硬件体系系结构简介介联想网御IIPS入侵侵防护系统统设计为传传送高速度度的吞吐量量，并优化化为第七层层， 以及第二二层和第三三层包处理理。系统由由以下四个个主要部分分组成：联想网御IIPS入侵侵防

33、护系统统内容处理理硬件体系系结构1 内容处理加加速模块CConteent PProceessinng Accceleeratiion MModulle(CPPAM)联想网御御IPS入入侵防护系系统中有两两个部件，每每一个由一一个内容处处理芯片和和一个内容容处理加速速单元组成成。内容处处理加速单单元有一个个专用的内内容检测处处理器，它它与其它专专用硬件一一起，优化化为强化内内容搜索，模模式识别，和和数据分析析大多数数时间消耗耗在病毒扫扫描，内容容过滤和基基于网络的的入侵检测测。 内容处理理芯片包含含一个专利利的内容处处理引擎，以以及加密加加速引擎和和内置的防防火墙策略略引擎。 这些引擎擎分别处理

34、理防病毒和和蠕虫探测测，NIDDS特征探探测，DEES、3DESS、AES加速速，加密，NAT,和执行防火墙策略。CPAM 模块有专用的快速存储器，所以很少要求通过总线与管理模块中的系统内存相交互。正是由于这一有效的数据流动体系结构， 联想网御IPS入侵防护系统能达到应用层内容处理的高吞吐量。2 管理模块 Manaagemeent MModulle(MMM) - MM 是是基于高性性能处理器器设计。管管理模块的的功能是流流程控制， 和处理不能被内容处理加速模块有效处理的包和流量。MM还支持各种管理接口和相关的功能（GUI，CLI, SNMP等）。3 背板总线模模块 Baackpllane Bu

35、s Moduule(BBBM） - BBBM由数数据通道(Dataapathh)和管理理总线组成成。 这一模块块的特点是是多总线设设计， 它控制在在两条不同同的总线上上发生的信信息和数据据交换控制在管管理通道（Management path）上的信息流程，和数据通道上模块行程之间的数据交换，以提供负载流量能力。这一设计实现了在不同模块之间的高效率通信。4 接口模块 Inteerfacce Moodulee(IM) - 支支持输入/输出接口口， 流量通过过这些物理理接口进入入和离开联联想网御IIPS入侵侵防护系统统系统。根根据流量的的特点，包包被路由到到管理模块块或内容控控制处理加加速模块去去处

36、理。注注意， 如果VLAAN/虚拟拟系统支撑撑是设置为为接通的，流流经过一个个物理接口口的数据能能代表从多多个子网络络的流量，取取决于不同同的安全策策略。5.2.22内容处理理加速引擎擎联想网御IIPS入侵侵防护系统统内容处理理器利用模模块设计，包包含有四个个数据处理理引擎： 特征扫描引引擎 该引擎支持持高速扫描描病毒， 蠕虫和入入侵攻击特特征以及被被禁止的内内容。关键键的部件是是模式匹配配模块， 它将文件件的一个一一个字节， 与表示病毒、蠕虫和入侵攻击存在或黑名单上的内容的数据库相匹配。病毒和蠕虫虫特征存储储在专用的的高速存储储器中， 它直接被被内容处理理器存取， 而任何数据不在数据通道上传

37、输。这一方法将扫描活动与包传输完全隔离， 从而使联想网御IPS入侵防护系统能在支持应用层处理时不降低系统性能。当流量从一一个应用层层协议HTTTP, SNMPP, POOP3 IIMAP之之一 传到达联联想网御IIPS入侵侵防护系统统时，专用用操作系统统将包导向向到内容处处理加速芯芯片， 它在专门门的扫描存存储器中将将包组合为为文件。扫扫描引擎将将数据与直直接与它连连接的高速速存储器中中的特征数数据库匹配配。 一旦扫描描完成， 扫描引擎擎向管理模模块接口告告示扫描的的结果， 并接受下下一批数据据。操作在在被检测有有攻击时进进行，或者者整个文件件被扫描时时进行。 加密引擎内容处理器器提供高性性能

38、加密引引擎， 支持DESS, Trriplee-DESS, AEES加密。Trriplee-DESS的吞吐量量高达6000Mbpps. 安全策略引引擎这一子系统统提供包和和协议的分分隔(paarsinng)，是是能快速对对策略匹配配包流程的的关键。策策略引擎处处理防火墙墙功能， 例如地址址翻译和状状态检测， 管理包的重新组合和分裂。 内容处理加加速单元（CPAU）内容处理加加速单元（CPAU） 是作为一个额外的加速引擎， 进一步加速应用层处理。CPAU在在建立和管管理会话相相关的强化化处理任务务中担负着着重要的角角色，包含含了公共秘秘钥(puublicc Keyy Cryyptoggraphh

39、y) 引引擎 ，以加速速秘钥的产产生和改变变。CPAAU是可编编程的并可可用软件升升级的, 以便适应应新的算法法和应用。5.2.33在联想网御御IPS入侵侵防护系统统结构中的的高可靠性性联想网御IIPS入侵侵防护系统统是为满足足大型企业业和运营服服务商设计计的， 高可靠性性是设计中中最重要的的考虑因素素。 在部件级，使使用高质量量部件，部部件均由获获得ISOO-90000认证的的提供商提提供 高端设备采采用双CPPU处理器器体系结构构， 使其中一一个CPUU在另一个个CPU出现现故障时承承担负载 利用误差检检测和校正正存储，以以防止存储储故障 高端设备采采用冗余、热热备份的电电源，冗余余、热备

40、份份的电扇组组合，以保保证连续的的运作和在在线维修， 不会造成停机。为了保证最最大的可靠靠性， 可将联想想网御IPPS入侵防防护系统配配置为冗余余、高可用用性模式，热热备份单元元使得在单单元发生故故障时能维维持当前的的会话。5.3结论论联想网御IIPS入侵侵防护系统统设计为不不仅可以处处理网络层层安全，而而且具有应应用层功能能，包括其其他如病毒毒和蠕虫扫扫描和内容容过滤。联想网御IIPS入侵侵防护系统统装有强化化安全的、实实时的操作作系统，采采用故障恢恢复零中断断备份逻辑辑，和利用用专门的内内容处理加加速单元加加速，是一一个无与伦伦比的网络络安全网关关。 它提供给给大企业和和运营服务务商高性能

41、能、高可靠靠性、高安安全性。其其体系结构构还保证了了对新业务务的快速适适应，而不不需要改变变硬件。采采用一个在在单个的单单元上运行行的集成的的安全和内内容管理功功能，预付付出的采购购设备的成成本和运行行中的管理理成本均可可大大地减减少。从而而，在低成成本和保护护投资的同同时，用户户的安全性性和生产率率得到很好好改善。6、联想网网御IPSS入侵防护护系统主要要功能6.1 动动态入侵防防护/保护联想网御IIPS入侵侵防护系统统先进的入入侵检测/防御技术术包括： 状态检测 内容重组 通信协议检检测 应用协议检检测 内容检测图： 联想想网御IPPS入侵防防护系统先先进的入侵侵检测/防御技术术联想网御I

42、IPS入侵侵防护系统统的异常检检测技术是是通过分析析整个数据据包进行的的，它远比比基于特征征的IDSS 更强，包包括包头、协协议信息、应应用信息、包包内容和会会话行为等等。通过分分别运用66 个完全全内容重组组和关联的的检测过程程和动态威威胁防御系系统，详细细地会话信信息被跟踪踪和分析，以以检测出最最先进的威威胁和未知知的“零小时”（zeroo-houur）攻击击。这些攻攻击包括：基于网络络的蠕虫和和木马 野蛮攻击击 碎片不良数据据包 Crosss-siite 脚脚本 Direectorry Trraverrsal拒绝服务务 信息查询询 会话劫持持欺骗 缓冲区溢溢出 无端注入入及其他。 状态检

43、测引引擎：状态态检测引擎擎是设计为为跟踪每一一个经过联联想网御IIPS入侵侵防护系统统的会话的的所有通信信层包括基基于连接和和非基于连连接的协议议。它保存存积累的状状态和会话话信息，以以确保每一一个会话后后续的包能能被正确的的发送和接接收。 内容重组模模块：内容容重组模块块重组所有有的数据包包，以保证证包能以正正确的顺序序排列。这这样就可以以去掉那些些重叠的分分段、重复复的分段、大大小无效的的包、偏移移量无效的的包过滤许许多基于碎碎片、不合合法偏移量量、fraagrouute 逃逃避等的攻攻击。 通信协议检检测引擎：通信协议议检测引擎擎保证协议议确实是有有效的，包包括TCPP、UDP、ICMP

44、P 等。所所有的协议议头都需要要对语法和和语义的合合法性及进进行检验，带带有不良协协议信息的的包将被识识别出来并并阻挡。 应用协议检检测引擎：应用协议议检测引擎擎确保协议议头符合合合法的语法法和语义。协协议头数值值的有效性性被验证，溢溢出被阻止止。合法的的应用如TTelneet、SMTPP、POP33等的一致致性被检查查，而有害害应用如BBackOOrifiice、SubSSevenn、TFN22K 等被被识别出来来，并在它它们可能对对网络造成成危害之前前被阻挡。 内容检测模模块：内容容检测模块块分析应用用负载，寻寻找已知和和未知的恶恶意内容。内内容检测模模块使用复复杂的评估估系统和会会话行为

45、模模板来进行行深度包分分析，并在在应用内容容类型之间间加以区别别，以确保保对每一个个会话流量量的最大检检测能力。 行为检测模模块：行为为检测模块块将异常检检测带到一一个新的水水平。通过过将双向会会话信息的的关联、数数据信息、通通道信息、控控制信息、活活动会话和和僵尸会话话信息汇集集到一起进进行分析。随随着流量信信息的积累累，系统开开发出正常常流量模板板知识，当当有不良和和异常流量量流经联想想网御IPPS入侵防防护系统，它它们会很快快被识别并并阻挡。 动态威胁防防御系统：动态威胁胁防御系统统将各种检检测过程关关联在一起起，可以很很好的检测测各种已知知和未知的的攻击。通通过检查每每一个异常常检测引

46、擎擎的输出结结果，并与与已知和学学到的会话话活动相比比较，误报报率便会大大大降低。 工作模式：路由，透透明，混合合 包过滤：支支持状态检检测 身份认证：支持内置置的认证数数据库，支持Raadiuss和LDAAP认证服服务器 服务：提供供几十种标标准服务，并并且支持用用户自定义义服务和服服务组 虚拟IP映映射：通过过将公用IIP地址映映射到内部部或DMZZ区的服务务器的私有有IP地，提提供安全的的外部访问问，使公网网用户能够够访问内网网资源 VLAN：支持8002.1QQ，支持VVLAN TRUNNK，支持持透明、路路由模式，支支持NATT功能 IPV6:支持IPPV6地址址，支持IIPV6 隧

47、道 NAT:支支持动态地地址转换和和静态地址址转换，支支持双向地地址转换，支支持端口转转换 内容过滤：基于启发发式检测和和异常检测测，支持多多种协议的的重组 时间策略控控制：根据据自定义时时间周期，进进行安全策策略控制 组播：支持持组播协议议 非IP 协协议支持：支持对非非IP 协协议的传输输与控制 带宽管理：支持设置置优先级和和DSCPP控制，支支持最大和和最小带宽宽控制6.2防病病毒 病毒扫描：应用启发发式高速扫扫描技术，支支持网络病病毒和蠕虫虫的实时扫扫描 协议扫描：支持HTTTP、SSMTP、IIMAP协协议的病毒毒扫描 VPN扫描描：支持在在VPN加加密隧道中中扫描病毒毒6.3高可可靠性（HHA）在高可用性性群集中的的每台联想想网御IPPS入侵防防护系统加加强了整体体的安全性性策略并拥拥有相同的的配置设置置。一个HHA群集最最多可以添添加32台台设备。HHA群集中中的每台设设备必须是是相同的型型号并运行行相同的固固件镜像。 联想网御IIPS入侵侵防护系统统高可用性性支持冗余余链接与冗冗余设备。联想网御IIPS入侵侵防护系统统可以配置置在主动被动（aactivve-paassivve，A-P）或主主动主动动（actt