联想网御IPS入侵防护系统系列产品介绍14463.docx

《联想网御IPS入侵防护系统系列产品介绍14463.docx》由会员分享，可在线阅读，更多相关《联想网御IPS入侵防护系统系列产品介绍14463.docx（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、联想网御IIPS入入侵防护护系统产品白皮书书V2.0联想网御科科技（北北京）有有限公司司版权信息版权所有有 2000120007，联想网网御科技技(北京京)有限限公司本文档中出出现的任任何文字字叙述、文文档格式式、插图图、照片片、方法法、过程程等内容容，除另另有特别别注明，版版权均属属联想网网御科技技(北京)有限公公司所有有，受国国家有关关产权及及版权法法保护。如如何个人人、机构构未经联联想网御御科技(北京)有限公公司的书书面授权权许可，不不得以任任何方式式复制或或引用本本文档的的任何片片段。商标信息联想网御，LLegeend，LLenoovo，lleaddsecc等标识识及其组组合是联想网网

2、御科技技(北京)有限公公司拥有有的商标标，受商商标法和和有关国国际公约约的保护护。第三方信息息本文档中所所涉及到到的产品品名称和和商标，属属于各自自公司或或组织所所有。联想网御科科技（北北京）有有限公司司Lenovvo SSecuuritty TTechhnollogiies Incc.北京市海淀淀区中关关村南大大街6号号中电信信息大厦厦8层 100008868/F ZZhonngdiian Infformmatiion Towwer No.6 ZZhonngguuanccun Souuth Strreett, Haidiian Disstriict, Beeijiing电话(TEEL)：01

3、00-82216669999传真(FAAX)：0100-82216669988技术热线(Cusstommer Hottlinne)：0100-82216777666电子信箱(E-mmaill)：inffoseecm公司网站：目 录1、序言42、联想网网御解决决方案IPSS入侵防防护系统统74、联想网网御IPPS入侵侵防护系系统系列列产品介介绍74.1简介介74.2系统统架构84.3工作作模式95、联想网网御IPPS入侵侵防护系系统产品品特点95.1联想想网御IIPS入入侵防护护系统专专用操作作系统的的特点和和优点105.2联想想网御IIPS入入侵防护护系统内内容处理理硬件体体系结构构135.2

4、.11硬件体体系结构构简介135.2.22内容处处理加速速引擎155.2.33在联想想网御IIPS入入侵防护护系统结结构中的的高可靠靠性165.3结论论176、联想网网御IPPS入侵侵防护系系统主要要功能176.1 动动态入侵侵防护/保护176.2防病病毒206.3高可可靠性（HA）206.4管理理功能211、序言近几年来，随随着信息息化建设设的飞速速发展，信信息安全全的内容容也越来来越广泛泛，用户户对安全全设备和和安全产产品的要要求也越越来越高高。尽管管防火墙墙、IDDS等传传统安全全产品在在不断的的发展和和自我完完善，但但是道高高一尺魔魔高一丈丈，黑客客们不仅仅专门针针对安全全设备开开发各

5、种种工具来来伪装攻攻击、逃逃避检测测，在攻攻击和入入侵的形形式上也也与应用用相结合合越来越越紧密。这这些都使使传统的的安全设设备在保保护网络络安全上上越来越越难。混合攻击带带来的新新挑战随着红色代代码、NNimdda等有有里程碑碑式的病病毒出现现，改写写了病毒毒形态和和病毒的的历史，病病毒已经经不再只只具有破破坏力。新新的病毒毒已经成成为黑客客的攻击击和入侵侵手段，借借助病毒毒的传播播方式，黑黑客们可可以轻易易地窃取取网络中中的敏感感数据和和信息。黑黑客程序序、木马马、病毒毒已经有有机地结结合起来来，使之之成为黑黑客攻击击的新工工具。同同时，木木马、病病毒等恶恶意程序序也经常常通过邮邮件、恶恶

6、意的WWeb网网页（或或者被篡篡改的WWeb网网页）、文文件下载载等传播播途径使使得病毒毒的危害害范围和和扩散速速度加大大。这些些都给传传统的安安全设备备带来新新的挑战战。一些老式的的防火墙墙不具备备内容检检测的能能力，不不具备检检测新型型的混合合攻击和和防护的的能力。较较新的深深度检测测防火墙墙往往在在分片的的数据包包前一筹筹莫展,所以传传统的防防火墙不不具备完完备的内内容检测测能力，无无法做到到内容安安全过滤滤。IDDS设备备虽然可可以检测测网络中中的攻击击，但是是它不能能对攻击击行为进进行有效效的防御御和阻断断，IDDS的大大量误报报也使得得管理员员难以从从大量的的日志中中找出有有价值的

7、的信息。桌桌面防病病毒软件件防护对对象是终终端，往往往需要要使用者者的对操操作系统统和其软软件都有有较高的的操作水水平，并并且防病病毒软件件往往会会限制用用户一些些正常操操作，为为了突破破限制用用户会不不得不关关闭防毒毒软件，这这些都使使得防病病毒软件件实施的的效果受受到了很很大的影影响，所所以不能能保障网网络的安安全。什么是IPPSIPS是继继“防火墙墙”、“信息加加密”等传统统安全保保护方法法之后的的新一代代安全保保障技术术。它监监视计算算机系统统或网络络中发生生的事件件，并对对它们进进行分析析，以寻寻找危及及信息的的机密性性、完整整性、可可用性或或试图绕绕过安全全机制的的入侵行行为并进进

8、行有效效拦截。（IIPS）就就是自动动执行这这种监视视和分析析过程，并并且执行行阻断的的硬件产产品。防火墙的局局限性防火墙是阻阻止黑客客攻击的的一种有有效手段段，但随随着攻击击技术的的发展，这这种单一一的防护护手段已已不能确确保网络络的安全全，它存存在以下下的弱点点和不足足：1. 防火墙无法法阻止内内部人员员所做的的攻击防火墙保护护的是网网络边界界安全，对对在网络络内部所所发生的的攻击行行为无能能为力，而而据调查查，网络络攻击事事件有660%以以上是由由内部人人员所为为。2. 防火墙对信信息流的的控制缺缺乏灵活活性防火墙是依依据管理理员定义义的过滤滤规则对对进出网网络的信信息流进进行过滤滤和控

9、制制的。如如果规则则定义过过于严格格，则限限制了网网络的互互连互通通；如果果规则定定义过于于宽松，则则又带来来了安全全隐患。防防火墙自自身无法法根据情情况的变变化进行行自我调调整。3. 在攻击发生生后，利利用防火火墙保存存的信息息难以调调查和取取证在攻击发生生后，能能够进行行调查和和取证，将将罪犯绳绳之以法法，是威威慑网络络罪犯、确确保网络络秩序的的重要手手段。防防火墙由由于自身身的功能能所限，难难以识别别复杂的的网络攻攻击并保保存相关关的信息息。为了确保计计算机网网络安全全，必须须建立一一整套的的安全防防护体系系，进行行多层次次、多手手段的检检测和防防护。入入侵防护护系统就就是安全全防护体体

10、系中重重要的一一环，它它能够及及时识别别网络中中发生的的入侵行行为并实实时报警警并且进进行有效效拦截防防护。需需要说明明的是，虽虽然目前前很多防防火墙都都集成有有入侵防防护模块块，但由由于技术术和性能能上的限限制，它它们通常常只能检检测少数数几种简简单的攻攻击，无无法与专专业的入入侵防护护系统相相比。专专业入侵侵防护系系统所具具有的实实时性、动动态检测测和主动动防御等等特点，弥弥补了防防火墙等等静态防防御工具具的不足足。为什么要使使用入侵侵防护系系统对于一个行行之有效效的安全全解决方方案，它它必须考考虑当前前在应用用和安全全上的挑挑战。这这些挑战战包括： 1) 对分布式应应用的依依赖性不不断增

11、强强 各个机机构日益益依赖基基于Weeb的应应用和业业务级的的分布式式应用来来开展业业务。分分支机构构和生产产部门也也会通过过广域网网从远程程访问CCRM和和ERPP等关键键应用。 2) 网络化应用用容易受受到攻击击 由于800、1399等端口口通常是是打开的的，因此此如果不不对借助助这些端端口穿越越防火墙墙进入网网络的流流量进行行检测，网网络化应应用将非非常容易易遭到病病毒、入入侵、蠕蠕虫和DDoS等等形式的的攻击。为为保护网网络化应应用的安安全，需需要对所所有流量量进行深深入的数数据包检检测，以以实时拦拦截攻击击，并且且防止安安全性侵侵害进入入网络并并威胁各各个应用用。 3) 呈爆炸性增增

12、长的攻攻击 应用用攻击的的数量和和严重性性都在飞飞快地增增长，仅仅20003年就就出现了了42000多种种攻击形形式，而而且这一一数字每每年都会会翻一番番。 4) 相应地，这这些攻击击造成的的损失也也呈直线线上升趋趋势。据据报道，2003年8月成为IT历史上最糟的一个月。在该月，仅Sobig病毒就在全球造成了297亿美元的经济损失。 5) 当前的安全全工具无无法拦截截这些攻攻击 在应应用层的的攻击面面前，防防火墙、IDS以及防病毒网关等现有的安全工具缺乏相应的处理能力、性能和应用安全智能，从而使各个机构暴露无遗。 因此，一种种能用数数千兆位位的速度度对所有有流量进进行双向向扫描并并且可以以实时

13、防防范各种种应用层层攻击（比比如蠕虫虫、病毒毒、木马马和Doos攻击击）的内内置安全全解决方方案，无无疑已成成为当务务之急。 联想网御IIPS入入侵防护护系统在在业内首首先提供供了以快快速防范范入侵和和拒绝服服务攻击击的产品品。该产品品可以实实时地隔隔离、拦拦截和阻阻止各种种应用攻攻击，从从而为所所有网络络化应用用、用户户和资源源提供了了直接保保护。2、联想网网御解决决方案IPSS入侵防防护系统统针对以上的的各种不不安全以以及难以以管理的的因素，网网御IPPS入侵侵防护系系统作为信信息安全全的新一一代门户户，就应应运而生生了。自自20001年联联想网御御开始研研发带入入侵防御御系统模模块的防防

14、火墙以以来，经经过不断断地努力力，在220077年第一季度我我们即将将实现联联想IPPS入侵侵防护系系统产品品上市的的梦想。在在众多国国内乃至至全球安安全厂商商中，联联想网御御是研发发IPSS入侵防防护系统统产品的的领跑者者，在220022年就取取得多项项该领域域的技术术专利。 联想网网御通过过对入侵侵防护、防火墙墙的整合合和改良良，使IIPS入入侵防护护系统产产品可以以很好地地防御目目前流行行的混合合型数据据攻击的的威胁。这这些特性性和技术术使得IIT管理理人员可可以很容容易地控控制如IInsttantt Meessaage信信息和PP2P应应用的传传输，并并且阻断断来自内内部的数数据攻击击

15、以及垃垃圾数据据流的泛泛滥。同同时，设设备可以以支持动动态的行行为特征征库更新新，更具具备7层层的数据据包检测测能力。完完全克服服了目前前市场上上深度包包检测的的技术弱弱点。特特别针对对分包攻攻击的内内容效果果明显。 为为了突破破硬件平平台限制制，联想想网御采采用专用用的ASSIC芯芯片来完完成对网网络数据据包的内内容检测测，打破破了传统统防火墙墙内容处处理障碍碍 ，提供供了实时时入侵防防护功能能所需的的强大计计算处理理功能。4、联想网网御IPPS入侵侵防护系系统系列列产品介绍绍4.1简介介作为国内领领先的专专业的防防火墙/VPNN厂商，联联想网御御在服务务用户的的过程中中，很早早就认识识到传

16、统统安全设设备的局局限性。早早在20001年年，我们们在国内内率先推推出集防防火墙、防防病毒、IIDS功功能于一一身的产产品，并并申请了了发明专专利（专专利号: 011109917889）。近近年来一一直在技技术上努努力创新新，针对对多安全全功能整整合、并并行处理理等方面面进行软软件体系系结构的的改进和和优化，并并寻找合合适的高高性能硬硬件平台台。同时时，由于于IPSS入侵防防护系统统涉及技技术非常常全面，既既有网络络层、传传输层安安全也有有应用层层安全技技术，既既有软件件技术也也有硬件件技术，不不可能由由一家公公司独立立完成，必必须广泛泛合作，尤尤其是和和业界领领先厂商商合作。220055年

17、，联联想网御御专门赴赴美国硅硅谷技术术考察，并并且成功功地和多多家顶级级安全软软硬件厂厂商展开开深入合合作。终终于在220077年Q1成功推推出了成成熟的IIPS入入侵防护护系统产产品。目目前，联联想网御御已经拥拥有提供供业界最最优秀IIPS入入侵防护护系统产产品的能能力，产产品线覆覆盖百兆兆、千兆兆IPSS入侵防防护系统统。联想网御IIPS入入侵防护护系统产产品采用用了独特特的高性性能、高高安全性性、高可可靠性的的操作系系统，提提高了自自身安全全性的同同时，加加速了多多线程的的内容处处理，为为运行在在其上层层的防火火墙、VVPN、防防病毒等等安全引引擎提供供了强大大而安全全的性能能支持。联联

18、想网御御IPSS入侵防防护系统统使用了了专门的的ASIIC内容容处理加加速芯片片，大大大提高了了系统的的内容处处理能力力，为特特征匹配配，加解解密，启启发式扫扫描提供供了硬件件加速。联联想网御御IPSS入侵防防护系统统在各个个安全引引擎中运运用了新新的算法法和技术术，针对对传统包包过滤无无法检测测的威胁胁；针对对未知的的攻击行行为，使使用了实实时动态态保护技技术。4.2系统统架构联想网御PPoweer VV IPSS入侵防防护系统统主要由由硬件平平台、专专用操作作系统、IPS管理服务系统、IPS安全引擎等四个部分组成。硬件平台根据用户使用环境的不同，选取专用安全平台或基于高性能服务器架构进行设

19、计，并且使用专门ASIC内容处理芯片进行扫描和模式匹配的加速；专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统；IPS安全引擎采用模块化设计，针对不同的应用环境和不同的安全策略，可以配置不同的功能模块。入 侵 防 护CLIHA报警日志监控高效强化安全的操作系统CPUASIC内容处理芯片4.3工作作模式联想网御全全系列产产品均采采用联想想网御新一一代多安安全域设设计， IPSS入侵防防护系统统系列产产品多口口的硬件件设计可可以使多多安全域域需求得得到完全全的满足足，完全全突破了了传统的的内网、外外网、停停火区的的理念，可可以根据据企业内内部不同同的部门门设置不不同的互互通安全全规则，使使

20、得不仅仅在内网网与外网网的安全全得到保保障，同同时保障障了企业业内部不不同部门门之间的的安全需需求。联想网御IIPS入入侵防护护系统支支持全透透明交换换工作模模式，与与网御IIPS入入侵防护护系统可可连接各各个网络络之间构构成一个个统一的的交换式式物理子子网，子子网内部部还可以以有自己己的第二二级路由由器。除除安全管管理以外外，防火火墙本身身的工作作不需要要IP地地址，为为隐式全全透明防防火墙。这这样一方方面大大大降低了了防火墙墙自身受受到攻击击的可能能性，另另一方面面也使系系统安装装变得十十分简单单，不再再需要改改变原有有的网络络拓扑结结构和各各主机与与设备的的网络设设置，即即不需要要重新划

21、划分网段段和调整整网络结结构。同同时强化化了对虚虚拟局域域网（VVLANN）和生生成树协协议（SSTP）的的支持。联想网御IIPS入入侵防护护系统同同时支持持路由工工作模式式，与网网御防火火墙Poowerr V IPSS入侵防防护系统统可连接接不同的的物理网网段。防防火墙接接口可以以通过配配置别名名设备，可可以使得得一个物物理接口口上绑定定多个IIP地址址。联想网御IIPS入入侵防护护系统还还支持集集群工作作模式，可可以通过过多台防防火墙的的集群提提高整个个网络系系统的可可靠性，降降低出现现网络中中断的风风险。5、联想网网御IPPS入侵侵防护系系统产品品特点联想网御IIPS入入侵防护护系统的的

22、完善体体系结构构包括两两大部分分：强化化安全的的专用操操作系统统和模块块化硬件件系统。以以下分别别介绍这这两大部部分5.1联想想网御IIPS入入侵防护护系统专专用操作作系统的的特点和和优点联想网御IIPS入入侵防护护系统操操作系统统是专用用的、实实时的强强化安全全的操作作系统，它它在全平平台上支支持病毒毒扫描，内内容过滤滤，saatefful检检测防火火墙，IIP安全全（IPPSecc）VPNN，基于于网络的的IDSS和流量量管理应应用。以以下介绍绍其设计计特点、应应用级和和网络级级功能，以以及高性性能，高高可靠性性，高灵灵活性和和扩展性性。 高性能并行行处理联想网御IIPS入入侵防护护系统高

23、高端产品品设计为为双CPPU。 利用对对称多处处理技术术，有效效地分解解和协调调在双处处理器之之间不同同的任务务。 在任一一特定时时间， 两个处处理器都都负载在在最佳的的处理水水平。 由于利利用了专专门的算算法， 任务切切分和协协调过程程中的消消耗减到到了最小小程度。 实时体系结结构与非实时OOS（例例如许多多防火墙墙和设备备采用的的不同风风格的LLinuux）相相比，联联想网御御IPSS入侵防防护系统统操作系系统是使使数据流流程处理理达到优优化的实实时操作作系统。在在非实时时OS中，核核心并不不总是对对输入的的数据包包触发的的中断作作出及时时反应；这不仅仅使数据据包排队队时间增增长， 而且造

24、造成系统统资源（例例如内存存）不能能有效地地利用，因因而增加加了丢包包率。联联想网御御IPSS入侵防防护系统统操作系系统的设设计集成成了智能能排队和和管道管管理， 与包的的到达/处理相相关的系系统中断断得到立立刻的重重视。同同时，基基于内容容处理加加速模块块的硬件件加速使使各种类类型流量量的处理理时间达达到最小小，加上上最短的的排队时时间，从从而给用用户提供供了最好好的实时时系统。 实时内容级级智能常规的安全全网关设设计有两两类：状状态包检检测（基基于流程程的,ffloww-baasedd）和应应用代理理（ pproxxy）。在在基于流流程的网网关中，安安全策略略是大多多在包一一级定义义和执行

25、行的（虽虽然状态态检测对对一定类类型的流流量保持持会话上上下文）。 这种方法因为包在处理后马上送走, 而导致高处理速度和高吞吐量； 但是， 由于处理是在包一级的， 系统不理解高一级语言，（例如协议）或目标（例如文件），因此不能识别有害的脚本、病毒攻击、或不想要的内容。相比之下，基于代理的系统，安全网关终断进入和流出的会话，检测包，将它们重新组合为原始的数据流，理解会话的当前状态，并能够对预先定义的违规、或动态产生的安全或网络策略进行检测内容。这种方法有足够的智能在应用级运作，因而能进行应用级处理。但是，重新组合所有的包和检测数据流需要耗费大量的计算资源，那会使基于代理的网关变得性能减低许多。联

26、想网御IIPS入入侵防护护系统设设计为综综合基于于流程的的和基于于代理的的两者优优点，而而同时又又克服它它们的弱弱点。联联想网御御IPSS入侵防防护系统统设计为为具有基基于流程程的检测测引擎和和多应用用级代理理（HTTTP, SMMTP,POPP3, IMAAP等）。专专利设计计在包检检测和代代理之间间给出最最佳的协协调。由由内容加加速单元元提供了了基于代代理系统统的智能能，而在在性能上上达到通通常只有有基于流流程的系系统才能能达到的的水平。结结果使联联想网御御IPSS入侵防防护系统统不仅能能达到常常规的网网络级安安全, 例如防防火墙，VPN和NIDS，而且能在网络界面边缘高速地处理应用级安全

27、功能，例如病毒与蠕虫扫描、URL和关键词内容过滤、跨过防火墙的话音Voice over IP (VoIP)。 完整的投资资保护和和完整的的网络保保护联想网御IIPS入入侵防护护系统专专用操作作系统设设计的另另一个优优点是能能适应新新的功能能和应用用。模块块化设计计使得能能方便地地添入或或修改新新的代理理。在引引入新的的协议和和业务时时，不需需要改变变整个操操作系统统结构（或或硬件系系统结构构）。联联想网御御IPSS入侵防防护系统统专用操操作系统统适应支支持VooIP NATT的能力力就代表表了操作作系统灵灵活性的的一个很很好的例例子。使使用得越越来越多多的VooIP，协协议比较较复杂，例例如H

28、.3233, MMGCPP, SSIP等等，不能能由常规规的网络络地址转转换防火火墙来防防护。如如果不使使用代理理，为了了让VooIP通通行，VVoIPP网关要要求在防防火墙中中打开“洞”。然而而，这些些洞往往往会被入入侵者利利用，利利用话音音业务来来损坏防防火墙，并并增加未未经容许许的网络络接入。如果网络保保护网关关能理解解复杂的的VoIIP协议议，它们们就能处处理VooIP业业务安全全，不需需要开“洞”，而“洞”往往会会让VooIP和和潜在的的有害流流量通过过。如上上所述，基基于流程程的网关关一般缺缺少智能能来理解解复杂的的高级的的协议，而而常规的的基于代代理的设设计缺少少必要的的性能，来

29、来处理对对延迟敏敏感的话话音，以以免引入入不能接接受的抖抖动和延延迟。 这就是是联想网网御IPPS入侵侵防护系系统专用用操作系系统的立立足之处处：它能能容易地地适应HH.3223协议议，分隔隔H.3323信信息本体体。高性性能的操操作系统统核心，结结合专门门建立的的内容处处理加速速硬件，能能使联想想网御IIPS入入侵防护护系统适适合新的的应用，而而无须重重新设计计系统或或对硬件件升级作作大的改改动。 提供分区间间安全的的虚拟系系统支撑撑用户能够建建立一个个单个的的联想网网御IPPS入侵侵防护系系统单元元行为，就就好象它它包含大大量的独独立的“虚拟系系统”，它们们提供专专门的服服务，对对各个部部

30、门或用用户分别别具有自自己独特特的策略略。联想想网御IIPS入入侵防护护系统体体系结构构中设计计了虚拟拟系统支支撑。符符合8002.11Q标准准的一个个或多个个VLAAN能被被映射到到一个虚虚拟系统统，带有有VLAAN中继继支撑的的交换机机/路由器器与联想想网御IIPS入入侵防护护系统的的物理接接口相连连接。联联想网御御IPSS入侵防防护系统统能提供供多达5500个个虚拟系系统。基基于角色色的管理理允许不不同的管管理员仅仅管理它它们授权权的虚拟拟系统，使使它们建建立和维维护它们们自己的的一套安安全策略略、地址址和地址址组， 以及监监视系统统状态。 提供Cloosedd-looop 保护的的体系

31、结结构常规入侵检检测系统统的主要要问题正正在于检检测系统统本身，因因为它们们只检测测，提供供报告，但但不能防防护或防防止攻击击。主要要原因在在于大多多数IDDS, 例如防防火墙，防防病毒扫扫描，是是在点上上的解决决办法，它它们互相相不通气气。联想想网御IIPS入入侵防护护系统专专用操作作系统平平台组成成了一个个共框架架，它无无缝地自自然地集集成了所所有支持持的应用用。当系系统中的的NIDDS模块块检测一一个攻击击时，它它能采用用一个或或多个防防护措施施，例如如重新设设置连接接， 放弃与与攻击相相关的包包，告示示防火墙墙阻挡攻攻击，或或等候到到攻击指指示灯显显示达到到某个门门限。这这是一种种“c

32、loosedd looop”保护，根根据这一一强有力力的概念念， 将被动动防护变变为主动动防护。 高可用性(HA)的备份份保护联想网御IIPS入入侵防护护系统通通常用于于关键任任务环境境，例如如运营服服务商基基础设施施或大型型企业，不不能容忍忍由于任任一点故故障的业业务丢失失。用户户使用备备分的一一对联想想网御IIPS入入侵防护护系统单单元，并并利用专专用冗余余协议，来来确保万万一有故故障发生生时的故故障恢复复零中断断。正如如支持高高可用性性的其它它协议一一样，例例如VRRRP和和路由器器故障恢恢复零中中断的HHSRPP，联想想网御IIPS入入侵防护护系统专专用冗余余协议提提供安全全会话的的故

33、障恢恢复零中中断。协协议中包包含几项项技术，包包括： 连续地piing互互相连接接，以证证实备份份中的每每一伙伴伴处在健健康状态态中。 如果有有一个模模块发生生故障或或无电， 业务会转到另一个系统中。 链接状态监监视 监视上上行和下下行交换换机/路由器器的流量量状态，聚聚焦于为为维持连连接而从从待命状状态转到到使用状状态。联想网御IIPS入入侵防护护系统能能利用专专用冗余余协议，配配置为完完全的备备份环境境， 使得没没有单个个点的故故障。联联想网御御IPSS入侵防防护系统统能配置置为支持持热备份份模式或或双机容容错（aactiive-acttivee）负载载共享模模式。5.2联想想网御IIPS

34、入入侵防护护系统内内容处理理硬件体体系结构构5.2.11硬件体体系结构构简介联想网御IIPS入入侵防护护系统设设计为传传送高速速度的吞吞吐量，并并优化为为第七层层， 以及第第二层和和第三层层包处理理。系统统由以下下四个主主要部分分组成：联想网御IIPS入入侵防护护系统内内容处理理硬件体体系结构构1 内容处理加加速模块块Conntennt PProccesssingg Acccelleraatioon MModuule(CPAAM)联想网网御IPPS入侵侵防护系系统中有有两个部部件，每每一个由由一个内内容处理理芯片和和一个内内容处理理加速单单元组成成。内容容处理加加速单元元有一个个专用的的内容检

35、检测处理理器，它它与其它它专用硬硬件一起起，优化化为强化化内容搜搜索，模模式识别别，和数数据分析析大多多数时间间消耗在在病毒扫扫描，内内容过滤滤和基于于网络的的入侵检检测。 内容处处理芯片片包含一一个专利利的内容容处理引引擎，以以及加密密加速引引擎和内内置的防防火墙策策略引擎擎。 这些引引擎分别别处理防防病毒和和蠕虫探探测，NNIDSS特征探探测，DDES、3DEES、AESS加速，加加密，NNAT,和执行行防火墙墙策略。CPAM 模块有专用的快速存储器，所以很少要求通过总线与管理模块中的系统内存相交互。正是由于这一有效的数据流动体系结构， 联想网御IPS入侵防护系统能达到应用层内容处理的高吞

36、吐量。2 管理模块 Mannageemennt MModuule(MM) - MM 是基于于高性能能处理器器设计。管管理模块块的功能能是流程程控制， 和处理不能被内容处理加速模块有效处理的包和流量。MM还支持各种管理接口和相关的功能（GUI，CLI, SNMP等）。3 背板总线模模块 BBackkplaane Buss Moodulle(BBBM） - BBMM由数据据通道(Dattapaath)和管理理总线组组成。 这一模模块的特特点是多多总线设设计， 它控制制在两条条不同的的总线上上发生的的信息和和数据交交换控制在在管理通通道（MManaagemmentt paath）上上的信息息流程，和

37、和数据通通道上模模块行程程之间的的数据交交换，以以提供负负载流量量能力。这这一设计计实现了了在不同同模块之之间的高高效率通通信。4 接口模块 Intterffacee Moodulle(IIM) - 支支持输入入/输出接接口， 流量通通过这些些物理接接口进入入和离开开联想网网御IPPS入侵侵防护系系统系统统。根据据流量的的特点，包包被路由由到管理理模块或或内容控控制处理理加速模模块去处处理。注注意， 如果VLLAN/虚拟系系统支撑撑是设置置为接通通的，流流经过一一个物理理接口的的数据能能代表从从多个子子网络的的流量，取取决于不不同的安安全策略略。5.2.22内容处处理加速速引擎联想网御IIPS

38、入入侵防护护系统内内容处理理器利用用模块设设计，包包含有四四个数据据处理引引擎： 特征扫描引引擎 该引擎支持持高速扫扫描病毒毒， 蠕虫和和入侵攻攻击特征征以及被被禁止的的内容。关关键的部部件是模模式匹配配模块， 它将文件的一个一个字节， 与表示病毒、蠕虫和入侵攻击存在或黑名单上的内容的数据库相匹配。病毒和蠕虫虫特征存存储在专专用的高高速存储储器中， 它直接被内容处理器存取， 而任何数据不在数据通道上传输。这一方法将扫描活动与包传输完全隔离， 从而使联想网御IPS入侵防护系统能在支持应用层处理时不降低系统性能。当流量从一一个应用用层协议议HTTTP, SNMMP, POPP3 IIMAPP之一

39、传到达达联想网网御IPPS入侵侵防护系系统时，专专用操作作系统将将包导向向到内容容处理加加速芯片片， 它在专专门的扫扫描存储储器中将将包组合合为文件件。扫描描引擎将将数据与与直接与与它连接接的高速速存储器器中的特特征数据据库匹配配。 一旦扫扫描完成成， 扫描引引擎向管管理模块块接口告告示扫描描的结果果， 并接受受下一批批数据。操操作在被被检测有有攻击时时进行，或或者整个个文件被被扫描时时进行。 加密引擎内容处理器器提供高高性能加加密引擎擎， 支持DEES, Triiplee-DEES, AESS加密。TTripple-DESS的吞吐吐量高达达6000Mbpps. 安全策略引引擎这一子系统统提供

40、包包和协议议的分隔隔(paarsiing)，是能能快速对对策略匹匹配包流流程的关关键。策策略引擎擎处理防防火墙功功能， 例如地地址翻译译和状态态检测， 管理包的重新组合和分裂。 内容处理加加速单元元（CPPAU）内容处理加加速单元元（CPPAU） 是作为为一个额额外的加加速引擎擎， 进一步步加速应应用层处处理。CPAU在在建立和和管理会会话相关关的强化化处理任任务中担担负着重重要的角角色，包包含了公公共秘钥钥(puubliic KKey Cryyptoograaphyy) 引引擎 ，以加加速秘钥钥的产生生和改变变。CPPAU是是可编程程的并可可用软件件升级的的, 以便便适应新新的算法法和应用用

41、。5.2.33在联想网网御IPPS入侵侵防护系系统结构构中的高高可靠性性联想网御IIPS入入侵防护护系统是是为满足足大型企企业和运运营服务务商设计计的， 高可靠靠性是设设计中最最重要的的考虑因因素。 在部件级，使使用高质质量部件件，部件件均由获获得ISSO-990000认证的的提供商商提供 高端设备采采用双CCPU处处理器体体系结构构， 使其中中一个CCPU在在另一个个CPUU出现故故障时承承担负载载 利用误差检检测和校校正存储储，以防防止存储储故障 高端设备采采用冗余余、热备备份的电电源，冗冗余、热热备份的的电扇组组合，以以保证连连续的运运作和在在线维修修， 不会造造成停机机。为了保证最最大

42、的可可靠性， 可将联想网御IPS入侵防护系统配置为冗余、高可用性模式，热备份单元使得在单元发生故障时能维持当前的会话。5.3结论论联想网御IIPS入入侵防护护系统设设计为不不仅可以以处理网网络层安安全，而而且具有有应用层层功能，包包括其他他如病毒毒和蠕虫虫扫描和和内容过过滤。联想网御IIPS入入侵防护护系统装装有强化化安全的的、实时时的操作作系统，采采用故障障恢复零零中断备备份逻辑辑，和利利用专门门的内容容处理加加速单元元加速，是是一个无无与伦比比的网络络安全网网关。 它提供供给大企企业和运运营服务务商高性性能、高高可靠性性、高安安全性。其其体系结结构还保保证了对对新业务务的快速速适应，而而不

43、需要要改变硬硬件。采采用一个个在单个个的单元元上运行行的集成成的安全全和内容容管理功功能，预预付出的的采购设设备的成成本和运运行中的的管理成成本均可可大大地地减少。从从而，在在低成本本和保护护投资的的同时，用用户的安安全性和和生产率率得到很很好改善善。6、联想网网御IPPS入侵侵防护系系统主要要功能6.1 动动态入侵侵防护/保护联想网御IIPS入入侵防护护系统先先进的入入侵检测测/防御技技术包括括： 状态检测 内容重组 通信协议检检测 应用协议检检测 内容检测图： 联想想网御IIPS入入侵防护护系统先先进的入入侵检测测/防御技技术联想网御IIPS入入侵防护护系统的的异常检检测技术术是通过过分析

44、整整个数据据包进行行的，它它远比基基于特征征的IDDS 更更强，包包括包头头、协议议信息、应应用信息息、包内内容和会会话行为为等。通通过分别别运用66 个完完全内容容重组和和关联的的检测过过程和动动态威胁胁防御系系统，详详细地会会话信息息被跟踪踪和分析析，以检检测出最最先进的的威胁和和未知的的“零小时时”（zerro-hhourr）攻击击。这些些攻击包包括：基于网络络的蠕虫虫和木马马 野蛮攻攻击 碎片不良数据据包 Crooss-sitte 脚脚本 Dirrecttoryy Trraveersaal拒绝服务务 信息查查询 会话劫劫持欺骗 缓冲区区溢出 无端注注入及其他。 状态检测引引擎：状状态检

45、测测引擎是是设计为为跟踪每每一个经经过联想想网御IIPS入入侵防护护系统的的会话的的所有通通信层包括括基于连连接和非非基于连连接的协协议。它它保存积积累的状状态和会会话信息息，以确确保每一一个会话话后续的的包能被被正确的的发送和和接收。 内容重组模模块：内内容重组组模块重重组所有有的数据据包，以以保证包包能以正正确的顺顺序排列列。这样样就可以以去掉那那些重叠叠的分段段、重复复的分段段、大小小无效的的包、偏偏移量无无效的包包过滤滤许多基基于碎片片、不合合法偏移移量、ffraggrouute 逃避等等的攻击击。 通信协议检检测引擎擎：通信信协议检检测引擎擎保证协协议确实实是有效效的，包包括TCCP

46、、UDPP、ICMMP 等等。所有有的协议议头都需需要对语语法和语语义的合合法性及及进行检检验，带带有不良良协议信信息的包包将被识识别出来来并阻挡挡。 应用协议检检测引擎擎：应用用协议检检测引擎擎确保协协议头符符合合法法的语法法和语义义。协议议头数值值的有效效性被验验证，溢溢出被阻阻止。合合法的应应用如TTelnnet、SMTTP、POPP3等的的一致性性被检查查，而有有害应用用如BaackOOrifficee、SubbSevven、TFNN2K 等被识识别出来来，并在在它们可可能对网网络造成成危害之之前被阻阻挡。 内容检测模模块：内内容检测测模块分分析应用用负载，寻寻找已知知和未知知的恶意意

47、内容。内内容检测测模块使使用复杂杂的评估估系统和和会话行行为模板板来进行行深度包包分析，并并在应用用内容类类型之间间加以区区别，以以确保对对每一个个会话流流量的最最大检测测能力。 行为检测模模块：行行为检测测模块将将异常检检测带到到一个新新的水平平。通过过将双向向会话信信息的关关联、数数据信息息、通道道信息、控控制信息息、活动动会话和和僵尸会会话信息息汇集到到一起进进行分析析。随着着流量信信息的积积累，系系统开发发出正常常流量模模板知识识，当有有不良和和异常流流量流经经联想网网御IPPS入侵侵防护系系统，它它们会很很快被识识别并阻阻挡。 动态威胁防防御系统统：动态态威胁防防御系统统将各种种检测过过程关联联在一起起，可以以很好的的检测各各种已知知和未知知的攻击击。通过过检查每每一个异异常检测测引擎的的输出结结果，并并与已知知和学到到的会话话活动相相比较，误误报率便便会大大大降低。 工作模式：路由，透透明，混混合 包过滤：支支持状态态检测 身份认证：支持内内置的认认证数据据库，支持RRadiius和和LDAAP认证证服务器器 服务：提供供几十种种标准服服务，并并且支持持用户自自定义服服务和服服务组 虚拟IP映映射：通通过将公公用IPP地