【2、IPS】网神SecIPS 3600入侵防御系统技术白皮书【V201812】-精品文档整理-精品文档资料.docx

《【2、IPS】网神SecIPS 3600入侵防御系统技术白皮书【V201812】-精品文档整理-精品文档资料.docx》由会员分享，可在线阅读，更多相关《【2、IPS】网神SecIPS 3600入侵防御系统技术白皮书【V201812】-精品文档整理-精品文档资料.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内部公开网神SecIPS 3600入侵防御系统技术白皮书网神信息技术（北京）股份有限公司目 录1 前言12 入侵防御系统应具备哪些功能13 网神SecIPS 3600入侵防御系统23.1 主要功能2网络适用性2基础安全防护3入侵防御技术3三至七层DDoS3一体化引擎4流量可视4流量管控与优化5负载均衡5高可靠性6可视化展示6安全管理63.2 产品特色7先进的多核处理器，大幅提升处理性能7成熟的流检测技术，提升性能和准确性7全面入侵检测技术，阻断各种入侵攻击7精细化的流量管理，保障应用服务带宽7丰富安全攻击报表，及时知晓网络状况8任意定义流量镜像，方便取证入侵行为8稳定可靠，支持高并发、大流量业

2、务场景84 解决方案95 结束语101 前言随着信息化建设的发展，社会各行各业对网络的依赖性也越来越高。近年来，网络攻击活动愈演愈烈，而网络攻击造成的破坏性因信息化程度的高度集中也越来越大。因此，如何有效的对网络攻击行为、异常行为进行监测防御，是目前信息化安全建设中持续关注的方向。目前，网络的入侵和攻击呈现如下趋势：1）除具备针对网络层/传输层的基础攻击防护外，越来越注重应用层深度识别和防御。2）网络应用越来越复杂，单纯的依靠端口识别应用以达到攻击检测的目的不再有效。3）网络带宽的快速增长给入侵防护系统的处理能力带来挑战，具备大流量业务并发处理能力尤其重要4）网络安全趋势可视化展示需求越来越突

3、出2 入侵防御系统应具备哪些功能为了应对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS 等混合威胁及黑客攻击，不仅需要精确检测到各种类型的攻击，更重要的是降低攻击对用户网络的影响，从而保证业务系统的连续性、稳定性和可用性。 一款优秀的网络入侵防御系统（Intrusion Prevention System，简称“IPS”）应该具备以下特征： 1) 满足高性能的要求，提供强大的分析和处理能力，保证正常网络通信的质量；2) 提供针对各类攻击的实时检测和防御功能，同时具备丰富的访问控制能力，在任何未授权活动开始前发现攻击，避免或减缓攻击可能给企业带来的损失； 3) 准确识别各种网络流量，降低漏报

4、和误报率，避免影响正常的业务通讯；4) 全面、精细的流量控制功能，确保企业关键业务持续稳定运转；5) 具备丰富的高可用性，提供BYPASS（硬件、软件）和HA等可靠性保障措施；6) 可扩展的多链路IPS防护能力，避免不必要的重复安全投资；7) 提供灵活的部署方式，支持在线模式和旁路模式的部署，第一时间把攻击阻断在网络之外，也支持旁路模式部署，用于攻击检测，适合不同客户需求； 8) 支持分级部署、集中管理，满足不同规模网络的使用和管理需求；9) 支持用户、连接、日志、安全事件的可视化展示。3 网神Sec 3600入侵防御系统针对日趋复杂的应用安全威胁和混合型网络攻击，网神Sec 3600入侵防御

5、系统在原有的产品基础上进行更新优化。产品依赖高效的一体化引擎，实现被防护网络的流量分析，异常或攻击行为的告警及阻断，2-7层安全防护控制，用户行为、网络健康状况的可视化展示。3.1 主要功能网络适用性1) 工作模式：支持透明、路由、混合三种工作模式。2) 路由：支持静态路由、策略路由、OSPF、RIPv1/v2、BGP路由等。3) NAT：支持静态NAT、动态NAT、网络地址端口转换NPAT。4) VLAN：支持802.1Q、Vlan Trunk。5) NTP：支持NTP Server/Client。6) PPPoE：支持PPPoE Server/Client。7) 802.3ad：支持链路8

6、02.3ad聚合。8) ARP：支持静态ARP和Gratuitous ARP设置，以及动态ARP显示。基础安全防护1) 包过滤：可实现基于IP地址、服务端口、IP协议、物理端口、DSCP值、IP优先级、TOS值、TTL值、ICMP类型、分片状态、TCP状态、时间等安全策略的状态包过滤。2) 会话数限制：可控制ACL策略的会话数，实现会话数统计和控制两种功能，控制粒度到单个IP。3) ALG：可控制FTP、H.323、H.323GK、TNS、PPTP、MMS、RTSP、SIP、XDMCP等ALG，并可自定义。4) 黑白名单：可根据黑白名单预定义防护策略。5) IP/MAC绑定：可绑定IP/MAC

7、地址，且可自动探测和唯一性检查。6) 本地安全策略：可限定主机或接入接口对本地服务的访问，如PPPoE服务。入侵防御技术1) 入侵防御技术：支持基于IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式的攻击识别；支持模式匹配、异常检测、统计分析，以及抗IDS/IPS逃逸等多种检测技术。2) 协议分析：可依据端口识别协议类型，可分析HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、GRE等多种协议。3) 特征规则：内置攻击特征库，特征数量超过2,000条，并可自定义攻击特征，可阻挡蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL

8、注入、XSS跨站脚本等多种攻击4) 事件取证：支持对攻击行为的数据留存和事件追踪。三至七层DDoS1) 抗应用型攻击：包括Web cc、http get flood、DNS query flood等攻击。2) 抗流量性攻击：包括SYN Flood、UDP Flood、ICMP Flood 、ARP Flood、Frag Flood、Stream Flood等攻击。3) 抗蠕虫连接型攻击：可基于ACL或者源或目地IP地址进行连接数统计和控制，支持连接排行榜，可早期预警。4) 抗普通常见攻击：包括ipspoof、sroute、land、TCP标志位攻击、fraggle攻击、winnuke、ques

9、o、sf_scan、null_scan、xmas_scan、ping-of-death、smurf、arp-reverse-query、arp-spoofing、支持对超大ICMP报文实施控制。5) 特定工具攻击：防护trinoo工具攻击、防护tfn工具攻击、防护tfn2k工具攻击、防护stacheldraht工具攻击一体化引擎2-7层应用层防护采用一体化引擎技术，使用一体化策略配置可进行2-4层防护策略、应用识别策略、入侵防护策略、关键字过滤策略、URL过滤策略、AV防护策略等安全策略的一次配置，全模块应用。流量可视1) 流量分析：可显示系统最近10分钟、1小时、24小时的上下行流量趋势、总

10、流量、总流量占比，并支持趋势图和关联用户。2) 应用状态显示：实时图表显示用户连接数、当前会话数、应用使用排名、链路负载使用等信息，实时显示应用流量TOP10，支持最近10分钟、1小时、24小时跨度的应用统计。3) 连接趋势显示：可显示系统最近10分钟、1小时、24小时的并发连接数、新建连接数趋势4) 攻击事件显示：实时显示攻击事件（包括名称/时间/类别/特征/源地址/目的地址）及按照时段（小时/天/周）的分类统计和严重程度统计等信息。5) 流量统计：提供多种统计方式，如显示接口IN/OUT流量图、显示接口流入/流出最活跃的10个内部IP/外部IP、Top10应用分布图等。6) 报表分析：提供

11、多种报表，可依据五元组、应用协议、时间点/时间段等元素自定义报表内容并显示。7) 告警通知：可对接口流量/应用/协议的异常状态进行告警，并以Email/SNMP trap/声音等方式通知管理员。流量管控与优化1) 流量分类：采用基于优化的高速流匹配技术， 以多种依据（源IP/目的IP/IP范围/源端口/目的端口/端口范围/网络协议/应用协议等）对流量进行分类。2) 流量控制：可基于应用分类/应用协议/应用行为等方式进行多层次流量控制；支持一条策略即可实现针对每个用户/IP的细粒度带宽控制；支持针对上/下行带宽分别实时流量控制；支持黑白名单等方式实时流量控制。3) 流量镜像：支持将流量通过镜像口

12、镜像出去，供第三方设备存储、分析、审计等。4) 带宽保障：基于多种方式（源IP/目的IP/源端口/目的端口/时间/时程/应用程序/网络协议等）设定最小保证带宽和最大使用带宽。5) 带宽切割：将每条链路切割成多组彼此互不影响的通道（PIPE），每个通道可再分割多个虚拟通道（Virtual Channel），设定带宽管理规则。6) 优先级设定：支持对通过设备的IP报文修改IP优先级、ToS字段以达到优化整网带宽的目的。7) 响应时间窗口管理和分析：持续跟踪应用程序/服务器响应时间变化情况，改善控制策略以保障网络应用最大的可用性和性能。8) 自定义应用管理：内置抓包分析模块，提取无法识别的应用程序特

13、征; 用户可自定义添加应用特征码到规则库。9) 智能带宽管理：检查带宽使用状况，自动调整各个应用的使用水平，保证关键业务的可靠性和可用性。10) 带宽借用：依据网络带宽利用率，可智能地利用闲余带宽。11) 流量模块自学习：依据网络流量的状态，可自动学习并生成流量最优的策略。负载均衡1) 多出口负载均衡：支持根据策略路由和ISP地址库自动选路；支持根据监测到的链路状态自动选择出口链路。2) 服务器负载均衡：支持探测服务器的负载、端口存活情况；支持根据配置的服务器负载策略进行分发；支持根据服务器的负载情况动态分配连接。3) 基于Outbound链路的负载均衡：支持通过IP地址、端口号、协议类型及组

14、合方式的负载均衡，支持轮叫调度、加权轮叫调度、源地址散列调度、目标地址散列调度、最小连接调度、加权最小连接调度、基于局部性的最小连接调度和带复制的基于局部性的最小连接调度等8种调度算法。4) 基于Inbound链路的负载均衡：支持通过响应DNS请求对访问服务器的流量进行负载均衡，支持轮叫调度、加权轮叫调度、源地址散列调度和目标地址散列调度等4种调度算法。高可靠性1) 双机热备：支持A-A和AS模式的双机热备。2) HA监控：支持HA状态实时查看。3) 同步：支持配置同步、session同步。可视化展示1) 安全事件：支持实时显示入侵攻击事件告警，提供多种业务报表；支持入侵事件的区域统计、应用统

15、计、病毒统计和DDOS攻击统计，支持显示系统最近1小时、24小时、1周、1个月的入侵攻击事件趋势。2) 安全地图：支持安全事件的地图展示，支持病毒、入侵攻击事件、木马蠕虫的统计展示，支持按区域的攻击事件统计展示，支持区域的威胁态势分析。安全管理1) 管理方式：支持友好的中文Web图形界面配置，支持Telnet、SSH、串口登陆命令行模式配置。2) 系统监控：包括CPU利用率、内存利用率、接口流量、会话查询、电源指示灯的监控状态显示，支持CPU使用率趋势展示，支持内存使用率趋势展示。3) 网络工具：通过Ping、Traceroute 、ARP测试、TCP测试、HTTP测试手段判断网络和应用的联通

16、性。4) 用户管理权限：支持多级用户管理权限，web管理支持密码、证书认证。3.2 产品特色网神SecIPS 3600产品基于高性能硬件处理架构，为客户提供从2-7层的安全防御，主要的产品特色有：先进的多核处理器，大幅提升处理性能特征搜索引擎的处理效率决定了IPS处理性能是否优越。IPS系列产品采用当前先进的多核处理芯片，芯片内置高速硬件内容搜索引擎。采用多核CPU与内容搜索引擎之间的报文异步处理技术，大幅提高了系统的特征比对处理性能。成熟的流检测技术，提升性能和准确性IPS系列产品采用的流检测技术综合运用了ACL高效分流技术和Session状态跟踪技术，结合跨包检测、关联分析和“零”缓存等技

17、术，大幅提升了报文检测的准确性和处理性能。从而，一举克服了传统的IPS基于文件检测的实时性差和基于单包检测的准确性差的技术缺陷。全面入侵检测技术，阻断各种入侵攻击IPS系列产品提供模式匹配、异常检测、统计分析，以及抗IDS/IPS逃逸等多种检测技术。针对HTTP、FTP、SMTP、IMAP、POP3、Telnet、DNS、RPC、MSSQL、Oracle、NNTP、LDAP、VOIP、TFTP等多种协议和应用， IPS提供攻击检测和防御。IPS系列产品可对正常网络的行为特征进行自学习，从而产生历史数据，一旦有异常出现，则能够立即启动相应的安全策略，比如告警、阻断、回探等。集成专业的抗DDoS攻

18、击功能模块，可清洗24层的洪水型攻击流量，以及应用型DDoS攻击流量，从而在一个IPS系统中实现全方位的入侵防护。精细化的流量管理，保障应用服务带宽IPS系列产品可基于链路、用户、IP地址、时间段、应用协议等定义带宽分配策略，基于内置的QoS硬件引擎定义带宽通道，支持最大带宽、保证带宽、速率上限和下限、优先级等控制。提供流量自学习功能，系统可自学习网络流量状态，并生成最优的流量控制策略模板。丰富安全攻击报表，及时知晓网络状况IPS提供全面的日志记录功能，日志种类丰富。IPS自身的运行健康状况、被防护网络内的业务应用分布、流量分析统计、遭受攻击的范围及趋势都可以通过报表形式进行汇总分析，报表支持

19、PDF、TXT、HTML、CSV、DOCX等格式的导出浏览。系统类日志：支持会话日志、设备管理日志、系统诊断日志、负载均衡日志、特征库升级日志、用户管理配置日志的记录基础防护类日志：支持ACL 包过滤日志、DOS/DDOS攻击日志、黑白名单匹配日志、NAT日志、应用连接日志的记录入侵防护日志：支持特征匹配告警日志、异常行为告警日志、URL/FTP/WEB/MAIL等方式或应用的内容过滤日志、病毒检测日志、挂马防护日志、僵尸网络攻击日志的记录。任意定义流量镜像，方便取证入侵行为IPS依赖高效的一体化引擎进行数据的匹配、分析、响应，针对接收到的流量，支持应用识别、入侵防护、关键字过滤、URL过滤、

20、AV等安全模块的一次性扫描，产生的入侵防御可疑事件可以进入事件分析池进行事件确认，也可以进行事件还原二次分析。稳定可靠，支持高并发、大流量业务场景IPS提供多种机制保障产品的稳定可靠，进而持续为被防护网络提供安全保障。BYPASS机制：提供软硬件BYPASS功能，可以保障业务运行可靠性；多出口负载均衡：支持ISP自动选路，支持服务器/链路负载均衡，支持多种静态（轮询调度、加权轮询调度、目标地址散列调度、源地址散列调度算法）、动态调度算法（最小连接调度、加权最小连接调度、基于局部性的最少连接调度、带复制的基于局部性的最少链接调度）；支持健康状态主动探测，故障自动切换。双机热备：支持主备、主主切换

21、，支持配置、业务会话实时同步。基于状态自动探测的双机热备和多机热备，切换时间平均小于1秒钟。4 解决方案数据中心通常情况下由非常庞大的服务器机群组成，服务器上的数据、应用软件、服务器本身的安全都成为数据中心安全的重点，也因此会在服务器机群前面加上一层又一层的安全防护措施，其中IPS是重要防护措施的重点之一。图4-1 数据中心简易网络拓扑l 网络特点1） 后端存在大量的服务器和存储设备，数据和网络安全极其重要。2） 外部入侵攻击的重点目标。3） 病毒、蠕虫、挂马、漏洞成为外部入侵攻击的常用利用手段。4） 网关处的访问流量较大，对安全设备的并发新建速率、并发数量有较高要求。l 网络需求1） 在网关

22、处必须实施严格的安全防范措施。2） 在网关处对异常流量实施清洗，以防止影响正常的业务访问。3） 数据中心网络的漏洞检测和评估尤为重要。4） 数据中心网络需要实时维护，系统管理员责任重大。l 解决方案1） 在出口地方部署IPS，对报文内容做深度的检测。2） 启用IPS流量清洗功能，对异常流量实施清洗。3） 开启IPS的入侵监控中心，实时监控入侵事件。4） 开启日志审计模块，将相关日志留存。5） 开启应用层内容过滤、应用识别告警防护、启用防病毒、启用IPS策略模板。6） 选用高端系列IPS产品，启用负载均衡。5 结束语针对目前网络安全的形势，推出基于自主知识产权的入侵防御系列安全产品，结合多核芯片特点，独创多项高效并行计算方法，入侵防御应用层检测性能高达20Gbps。同时拥有丰富的、独具特色的安全功能，可靠、稳定，具有较强的竞争力。通过在线部署IPS，能够有效的阻断攻击，保证合规流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。网神信息技术（北京）股份有限公司总部（北京）通信地址：北京市海淀区上地信息产业基地开拓路7号先锋大厦2段1层邮 编：100085电 话：+86(10)62972892传 真：+86(10)62972896客户热线：400-610-8220(724小时)网 址：