当前位置:首页 >> 高中作文 >>

IPS白皮书V1.0-20090824


IPS 产品白皮书
Leadsec-IPS V1.1

流量净化
可拦截DoS/DDoS、扫描、缓冲区溢出、SQL注入、XSS跨站脚本、木马、蠕虫、间谍软件、 网络钓鱼、IP Spoofing等各种攻击,有效净化网络中的攻击流量。

流量优化
可细粒度管控IM、P2P、流媒体、在线游戏、股票、虚拟隧道等上网行为

,并实现精确到 1Kbps的带宽限流,合理优化网络流量。

简单管理
基于JAVA的B/S/D三层架构,实现全中文、图形化集中管理;以邮件、FTP等方式自动定期 向管理员发送预定义日志分析报表,维护成本低。

www.leadsec.com.cn

IPS 产品白皮书

版权信息
?版权所有 2001-2009,联想网御科技(北京)有限公司 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明, 版权均属联想网御科技(北京)有限公司所有,受国家有关产权及版权法保护。如何个人、机构 未经联想网御科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何 片段。

商标信息
联想网御,Legend,Lenovo,leadsec 等标识及其组合是联想网御科技(北京)有限公司拥有的 商标,受商标法和有关国际公约的保护。

第三方信息
本文档中所涉及到的产品名称和商标,属于各自公司或组织所有。

联想网御科技(北京)有限公司 Lenovo Security Technologies Inc. 北京市海淀区中关村南大街6号中电信息大厦8层 100086 8/F Zhongdian Information Tower No.6 Zhongguancun South Street, Haidian District, Beijing 电话(TEL):010-82166999 传真(FAX):010-82166998 技术热线(Customer Hotline):400-810-7766 电子信箱(E-mail):infosec@lenovo.com 公司网站:www.leadsec.com.cn
2

www.leadsec.com.cn

IPS 产品白皮书

目 录
1 2 3 引言................................................................................................................................................. 1 产品简介......................................................................................................................................... 2 产品特色......................................................................................................................................... 4 3.1 流量净化................................................................................................................................. 4 3.1.1 访问控制功能 ....................................................................................................................... 4 3.1.2 入侵防护功能 ....................................................................................................................... 4 流量优化................................................................................................................................. 7 3.2.2 带宽管理功能 ......................................................................................................................10 简单管理............................................................................................................................... 11 可靠性高............................................................................................................................... 11 部署灵活............................................................................................... 错误!未定义书签。 协同防护............................................................................................................................... 12

3.2 3.3 3.4 3.5 3.6 4 5

基本功能....................................................................................................................................... 13 典型部署....................................................................................................................................... 14 5.1 5.2 5.3 5.4 外网防护解决方案 ............................................................................................................... 14 服务器群保护解决方案 ....................................................................................................... 15 上网行为管理解决方案 ....................................................................................................... 16 内外兼顾解决方案 ............................................................................................................... 18

3

www.leadsec.com.cn

IPS 产品白皮书

一、

引言

随着网络与信息化建设的飞速发展,人们的工作、生活方式发生了巨大变化。网上行政审 批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用者带 来了便利,而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时,我们也不 得不面对来自网络内外的各种安全问题。 ? ? ? ? 09 年 5 月南方六省 DNS 断网事件; 09 年 7 月上海车牌拍卖因遭受网络攻击取消; 09 年 8 月全国最大制售木马病毒案开审:涉案金额 3000 多万。 09 年 7、8 月份韩、美大量政府、银行以及包括谷歌等知名企业在内的网络遭受大范 围攻击。 09 年 8 月 12 日,微软公司发布 9 款补丁软件,修复 19 处产品缺陷,其中 5 款为“危 急” 。

?

不断发现的软件漏洞,以及在各种利益驱动下形成的地下黑色产业链,让网络随时可能遭 受到来自外部的各种攻击。而网络内部的 P2P 下载、流媒体、IM 即时消息、网络游戏等互联 网应用不仅严重占用网络资源、降低企业工作效率,同时也成为蠕虫病毒、木马、后门传播的 主要途径。 面对这种内外交困的局面,防火墙、入侵检测等传统安全产品已然招架不住。

?

防火墙的局限性
防火墙是阻止黑客攻击的一种有效手段,但随着攻击技术的发展,这种单一的防护手段已

不能确保网络的安全,它存在以下的弱点和不足: 1. 防火墙无法阻止内部人员所做的攻击 防火墙保护的是网络边界安全,对在网络内部所发生的攻击行为无能为力,而据调查, 网络攻击事件有 60%以上是由内部人员所为。

1

www.leadsec.com.cn

IPS 产品白皮书

2. 防火墙对信息流的控制缺乏灵活性 防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的。如果规 则定义过于严格,则限制了网络的互连互通;如果规则定义过于宽松,则又带来了安全隐 患。防火墙自身无法根据情况的变化进行自我调整。 3. 在攻击发生后,利用防火墙保存的信息难以调查和取证 在攻击发生后,能够进行调查和取证,将罪犯绳之以法,是威慑网络罪犯、确保网络 秩序的重要手段。防火墙由于自身的功能所限,难以识别复杂的网络攻击并保存相关的信 息。

?

入侵检测系统的局限性
为了确保计算机网络安全,必须建立一整套的安全防护体系,进行多层次、多手段的检测

和防护。入侵检测系统就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行 为并实时报警。但专业的入侵检测系统都部署于局域网内的交换机上,进行旁路监听。虽然可 以检测网络中的攻击,但是它不能对攻击行为进行有效的主动防御和阻断。

?

什么是入侵防护系统
入侵防护系统(Intrusion Prevention System,以下简称“IPS” )是继“防火墙”“信息加 、

密” 入侵检测等传统安全保护方法之后的新一代安全保障系统。 串行部署在网络关键节点, 、 IPS 监视计算机系统或网络中发生的事件,并进行分析,以寻找危及信息的机密性、完整性、可用 性或试图绕过安全机制的入侵行为并主动进行有效拦截。专业 IPS 所具有的实时性、动态检测 和主动防御等特点,弥补了防火墙等静态防御工具的不足。 入侵防护系统现在已经发展到第三代产品: “第一代”IPS 在入侵检测基础上增加了主动拦 截的功能; “第二代”IPS 引入了硬件加速技术,大大提高了 IPS 的检测性能;而“第三代”IPS 是在“第二代”的基础上丰富完善了上网行为管理功能。

二、
2

产品简介

联想网御自 2001 年开始研发带入侵检测模块的防火墙,并在 2004 年推出专业入侵检测系

www.leadsec.com.cn

IPS 产品白皮书

统。凭借在网关流处理技术、入侵检测技术、应用分析技术等方面的深厚积累,在 2007 年第一 季度倾力推出业内首款“内外兼修”的入侵防护系统(IPS) ,实现对网络数据流从高效阻止非 法行为(流量净化)到按需限制合法行为(流量优化)的全面管理。从而完满地解决了以往 IPS 只防御外部,无法约束上网行为的安全难题。在众多国内乃至全球安全厂商中,联想网御已经 成为 IPS 产品的技术领跑者。 联想网御 IPS 采用具有自主知识产权的 VSP (Versatile Security Platform) 通用安全平台, 集成了流状态跟踪、协议分析、深度内容解析、异常检测、关联分析等多种分析、检测技术, 配合实时更新的事件特征库,可拦截蠕虫、病毒、木马、间谍软件、DDoS/DoS、SQL 注入、 XSS 跨站脚本等各种网络攻击行为,有效净化网络流量。同时提供丰富的上网行为管理功能, 可对 P2P 下载、IM 聊天软件、在线视频、网络游戏、炒股软件、加密隧道等网络应用按用户 和时间进行阻断或精确到 1Kbps 的带宽限流, 合理优化网络流量。 从而, 很好地弥补了防火墙、 入侵检测等产品的不足,提供了动态、主动、深度的安全防护。

【图 1】 联想网御 IPS 典型应用

3

www.leadsec.com.cn

IPS 产品白皮书

三、

产品特色

3.1 流量净化
联想网御 IPS 通过访问控制、入侵防护功能,可以拦截 DoS/DDoS、扫描、缓冲区溢出、 SQL 注入、XSS 跨站脚本、木马、蠕虫、间谍软件、网络钓鱼等各种攻击,有效净化网络中的 攻击流量。

3.1.1 访问控制功能
联想网御 IPS 内置状态检测防火墙,支持基于网络接口、IP 地址、服务、时间等参数自定 义访问控制规则,以保证网络资源不被非法使用和非法访问。

3.1.2 入侵防护功能
3.1.2.1 阻止蠕虫扩散
蠕虫(worm)与一般的档案型病毒(virus)不同之处, 在于蠕虫具备快速自我复制扩散的功能。 而蠕虫之所以能够快速将自我扩散到其它系统,是因为蠕虫具备自动利用系统漏洞而入侵的能 力。每当计算机的系统漏洞被公布,在短时间内便会有黑客组织在网络上发布针对新漏洞的攻 击程序,接着便会有针对该漏洞的攻击程序在网络上流传,此时蠕虫作者便将这些已发布的攻 击程序纳入其蠕虫程序的主体中,然后再散布新的蠕虫对外大量扩散。从漏洞公布到蠕虫产生 所需的时间已大幅缩减,这让用户无法有充裕的时间测试系统厂商所发布的补丁程序。 蠕虫由于是通过网络自我扩散,因此又称为网络型病毒。蠕虫扩散基本上分为四个阶段。 如图 2 蠕虫扩散的四个基本阶段图所示。

1. 扫描存在漏洞的计算机

2 . 系统入侵

感染 4 . 修改登档 、

3 . 复制本身至对方计算机

4

www.leadsec.com.cn

IPS 产品白皮书

【图 2】 蠕虫扩散的四个基本阶段图 联想网御 IPS 实现了阻止已知和未知蠕虫的扩散。 1. 阻止已知蠕虫扩散 针对已知蠕虫通过扫描存在漏洞的主机来进行扩散, 联想网御 IPS 内建完善的对 Zotob Worm、MS SQL Slammer Worm 等蠕虫的控制攻击特征识别码,可以检测蠕虫企图扫描 漏洞主机的行为,并进而拦阻丢弃其恶意数据包。 2. 阻止未知蠕虫扩散 针对未知蠕虫通过扫描存在漏洞的主机来进行扩散,联想网御在及时跟踪着各种最新 发布的漏洞,为相应漏洞及时构建攻击识别码,当发现蠕虫尝试利用这些漏洞来入侵时会 立即拦阻丢弃尝试入侵的数据包,阻止蠕虫扩散。

3.1.2.2 阻止漏洞攻击
在系统程序开发的过程中,常因为程序开发者疏于程序安全性,而导致开发出有系统漏洞 的操作系统或应用程序。这类系统的漏洞经常是发生在程序没有对外界输入的参数长度进行检 查,而发生所谓的缓冲区溢出攻击(buffer overflow attack)。当缓冲溢出区攻击发生时,轻则导 致系统没有响应、死机,成功的缓冲区溢出攻击还可以让黑客获得整个系统控制权! 针对黑客入侵,联想网御 IPS 采用 USE 统一安全引擎,具备基于协议异常、会话状态识别 和七层应用行为等攻击识别功能。并且可针对 Windows、Unix、Linux 等操作系统漏洞的攻击 进行阻止,漏洞类型包括了 Stack and Heap Buffer overflow、Format string error、Memory access error、Memory corruption、 Access control and Design weakness 等等。 联想网御公司拥有专业信息安全服务团队每日负责阅读各类网络安全新闻、搜集新发布的 攻击程序,并仿真分析这些攻击程序。通过分析攻击程序,发掘攻击程序的特定行为,寻找攻 击的特征,并将其攻击特征新增到联想网御 IPS 的抗攻击特征库中。

3.1.2.3 阻止木马传播
联想网御 IPS 在阻止木马传播上有以下特点:
5

www.leadsec.com.cn

IPS 产品白皮书

1.

可检测基于 ActiveX、XML、VML、MDAC 等的漏洞,可阻止访问者在浏览网站时被

诱使植入木马的攻击; 2. 可检测利用 Dropper 技术隐藏木马的 Microsoft Office 文件, 可阻止下载并启动这些文

档; 3. 如 Rootkit 的木马,它们被黑客植入系统后也会跟外界通讯或进行扫描等,联想网御

IPS 可以侦测这些特殊的行为,如 TFN、Trin00、Stacheldraht、Phatbot、Netbus、Evilbot 等跟外界通讯行为,以及 TCP、UDP scan 或 ICMP probing 等行为; 4. 具有丰富的漏洞特征库可以实现对木马的精准拦截。

3.1.2.4 阻止间谍软件
大部分间谍软件由于是通过广告、浏览器漏洞、自订功能如 ActiveX 插件来诱使不够小心 谨慎的用户安装的。 联想网御 IPS 内置如 Gator、180solutions、Internet Optimizer Spyware 等相关的特征,通过 检测下载可执行程序、ActiveX、Java applet 等可疑的活动,实现阻止间谍软件通过广告、浏览 器漏洞、自定义 ActiveX 插件等渠道实现安装。

3.1.2.5 抗 DoS/DDoS
传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数,来阻断未知类型的 DoS/DDoS 攻击。这种机制虽然可以将超过阈值的攻击数据包丢弃,但同时也会将超过阈值的 合法数据包丢弃,造成正常用户不能使用网络服务。联想网御 IPS 对于需要重点保护的 Web、 DNS 等服务可选择采取传统的处理机制。

3.1.2.6 异常事件管理
联想网御高端 IPS 内建了 50 多组异常检测模块,可以检测各项偏离预期的异常网络行为: 1. 通信协议异常检测(Protocol Anomaly) 联想网御依据 RFC 标准规范并参考业界的各项通信协议, 制作了一套能够检测通信协
6

www.leadsec.com.cn

IPS 产品白皮书

议异常的检测模块,内建于联想网御 IPS 核心程序之中,可以阻止经黑客改造且不符合标 准通信协议规范的数据包进入企业内部网络。 2. IP/Port 扫描异常检测 在网络攻击发起初期,黑客需要对内部网络送出各类扫描数据包,借以了解欲攻击网 络的内部架构以及内部运行主机的 IP 地址/开启端口号。黑客所常用的扫描技术可以归类 为:主机扫描(host scanning)、网络扫描(network scanning)、端口扫描(port scanning)。 联想网御制作了一套能够检测各类 IP/Port 扫描异常的特征库, 可以阻止黑客对内部网 络所送出的各类 IP/Port 扫描异常数据包。 3. 网络流量异常检测 联想网御 IPS 会将每秒所纪录的数据包,依据不同的来源作统计。先通过数据转换, 给予正规化,然后再与标准模式(baseline)作比较。如果实际的网络流量统计结果与标准模 式偏离到达某一定的水平,便会产生警报。此作法的优点为,由于网络流量已经正规化, 单纯因为流量大而产生误判的情形得以避免;而标准模式的采用也来自学术研究的成果, 可以符合大部分的网络环境状况。 联想网御 IPS 对于异常的网络流量情形,不单只使用计数的方式,还使用专门的统计 算法,因此可以准确地检测网络流量的异常情形,并减少误报。 4. 自定义网络流量异常的触发参数 除了内建网络流量标准模式供比对以外,联想网御 IPS 另提供微调机制,供网络管理 人员针对所管理的网络环境流量作进一步的细微调校。当总数据包流量在单位时间到达一 定数目以上的时候,即可判定是一种 Flooding 攻击。

3.2 流量优化
联想网御 IPS 不仅具有精准的入侵检测和防护功能,同时还具有丰富的上网行为管理和带 宽限流功能。可细粒度管控 IM、P2P、流媒体、在线游戏、股票、加密隧道等网络应用,并提 供 1Kbps 的精准限流,合理优化网络流量。
7

www.leadsec.com.cn

IPS 产品白皮书

3.2.1 上网行为管理
3.2.1.1 IM 应用管理

IM 即时消息(Instant Messenger,以下简称 IM)软件让企业员工可以与外界实时通信, 提高了沟通效率,但也为企业带来以下管理问题: ? ? ? ? ? 员工上班通过 IM 聊天降低工作效率; 通过 IM 传输文件,增加泄密管道; 成为病毒、木马传播的主要途径; IM 在不同语系的操作系统行为不一,非专业 IM 管理设备难以掌控; IM 软件可通过内部或外部的 Proxy/SOCKS 服务器对外连机,增加管理难度。

联想网御 IPS 对于 IM 控管提供了完美的解决方案。 1. 能够基于软件行为、数据内容,而不是基于协议端口号,来识别常见的聊天应用,并

可针对加密型或非加密型聊天软件进行管理、拦截; 2. 能根据不同需求,进行多层次软件控制,不仅可禁止实时聊天程序,还可对它的登陆、

聊天、传输文件、实时语音视频等进行分项管理; 3. 拥有完善的实时聊天程序特征识别库,支持的聊天程序包括 MSN、QQ、Yahoo

Messenger、Skype、AIM、TM、Google Talk、新浪 UC、阿里旺旺等 10 多类;并可对 基于 Web 的聊天进行禁止管理控制,如 MSN、Yahoo、ICQ、Google Talk、AIM、 eBuddy.com、iLoveIM.com 等; 4. 支持对在简中、繁中、英文、德文、日文、法文、义文等九国操作系统上使用的 MSN、

Yahoo、AOL IM 等的控管; 5. 支持对于 IM 通过连机内/外 Proxy/SOCKS 的控管。

3.2.1.2
8

P2P 应用管理

www.leadsec.com.cn

IPS 产品白皮书

P2P 技术借助系统间的直接交换,来进行计算机信息和服务的分享,让数以万计的在线个 人计算机形成一种类似“局域网”的架构,分享彼此计算机中的运算、内存及文档,共享资源。 其对企业网络的影响如下: ? ? ? ? 消耗正常网络带宽 病毒、木马散布温床 机密文件外泄 下载文档的著作权问题

联想网御 IPS 对 P2P 软件的提供全面的管理: 1. 可 阻 挡 未 知 P2P 软 件 联想网御 IPS 具备分析 P2P 底层通信协议的能力,可以阻挡诸如 Gnutella、FastTrack、 BitTorrent、iMesh 等 P2P 通信协议。一旦这些 P2P 通信协议被阻挡,任何采用这些 P2P 通 信协议的 P2P 软件将无法正常使用,具备阻挡未知 P2P 软件的功能。 2. 可阻挡加密的 P2P 软件

联 想 网 御 IPS 内 建 检 测 加 密 P2P 的 模 块 , 可 以 阻 挡 加 密 P2P 软 件 。 3. 可 阻 挡 100 种 以 上 P 2P 软 件 由于联想网御 IPS 针对 P2P 底层通信协议阻挡,因此可以阻挡超过 100 种以上 P2P 软件的使用。可阻挡的重要 P2P 软件程序包括迅雷、eMule、Gnutella、FastTrack、Kuro、 eDonkey2000、BitTorrent、DirectConnect、PiGo、PP365、WinMX、POCO、QQLive、 PPLive、Podcast Bar、Winny、Foxy、iMesh 等等。 4. 具备完善 P2P 限流功能 网络管理者可以依据源地址、目的地址、VLAN 群组、时间等设定 P2P 限流策略, 带宽限流可精准到 1Kbps。

3.2.1.3

加密隧道管理

VPN Tunneling 技术供企业内部使用者私自对外建立加密传输通道、建构私有网络,已严
9

www.leadsec.com.cn

IPS 产品白皮书

重危及企业信息安全,其特点如下: 1. 通过 80/TCP 或 443/TCP 等所谓的知名端口,与防火墙外部的 Tunnel 服务器建立连

接; 2. 一旦安装 Tunnel 软件的计算机与外部的 Tunnel 服务器建立连机,这些安装 Tunnel

软件的计算机彼此间便可另外建构一个虚拟的私有网络(VPN),使企业对外门户大开; 3. 位于同一 VPN Tunnel 的计算机间可任意分享传输信息,造成机密信息外泄及病毒的

传播; 4. 使用者可通过处于同一 VPN Tunnel 中但位于防火墙外的计算机当代理服务器,使用

不经企业允许的网络软件; 5. 通过 Tunnel 技术传输的数据全部被加密,企业难以控管。

联想网御 IPS 以专有的 Smart Filter 行为跟踪分析技术分析 VPN Tunnel 的网络行为,因 此可以彻底检测 VPN Tunneling 应用。可控管的 VPN Tunneling 软件包括 VNN、SoftEther、 Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor 等流行的加密隧道软件,实现阻断管理。

3.2.1.4

其他网络应用管理

联想网御 IPS 还支持对 QQ 游戏、联众世界、搜狐游戏大厅、浩方对战平台、魔兽世界、 泡泡堂、梦幻西游、劲舞团、新浪游戏、搜狐游戏等流行的在线游戏;qlive、ppstream、pplive、 uusee、沸点、mysee、sopcast 等常见流媒体软件以及大智慧、大福星、钱龙、指南针、同花 顺等股票分析软件进行管理。

3.2.2 带宽限流功能
联想网御 IPS 采取七层深度数据包分析技术,可做到应用程序级别的流量管理: ? ? 根据不同的应用程序分配不同的带宽, 如对 P2P 、 PPlive、 PPStream 等流量的管理。 可根据不同的 VLAN、源/目的 IP 地址、应用协议端口划分不同的带宽。

联想网御 IPS 采取以下两种限流方式:
10

www.leadsec.com.cn

IPS 产品白皮书

1.

网络传输带宽:即限制特定对象的最大带宽,可精准到 1Kbps。

2. 网络传输总量:即限制特定对象的单位时间内传输总量。

3.3 简单管理
联想网御 IPS 采用基于 JAVA 的 B/S/D 三层架构,实现全中文、图形化集中管理。 ? ? 全面的设备管理方式 支持 GUI 客户端、本地串口和 SSH 远程登录等多种设备管理方式。 高效的集中管理 支持通过专用的安全管理系统,实现全局拓扑生成、集中日志审计、集中设备监控等 安全管理。 ? 直观的状态显示 具有显示攻击事件百分比的仪表盘、显示协议流量的柱状图、安全事件趋势分析曲线 图、实时事件列表等多种实时状态显示,方便分析网络的现状和趋势。 ? 灵活的升级方式 支持通过线升级和本地文件升级方式,来对特征库、管理软件、设备操作系统实现升 级。 ? 多样化的报表 内置多样化的报表模版,支持自定义生成报表;支持自动定时生成报表,可利用邮件 或 FTP 等形式定时外传报表,支持 HTML、PDF、CSV 等文件格式。

3.4 可靠性高
联想网御 IPS 具有多层次的冗余功能,能提供最高等级的可用性保障,并方便用户灵活配 置。 1. 内置软/硬件 BYPASS 功能 在设备出现硬件及电源故障时快速、自动切换到直通状态,保障网络可用性。此外不 管是因为硬件或是软件的因素,当检测引擎出现死锁状况,内置 BYPASS 也会自动切换到 直通状态,用户无须担心设备的可靠度。内置 BYPASS 功能可通过远程管理实现启动或关 闭管理。 2. 支持 HA 部署 采用 MRP(Multi-Layers Redundant Protocol)多重冗余协议技术,在并发连接数达

11

www.leadsec.com.cn

IPS 产品白皮书

到数百万时亦可有效地在联想网御 IPS 设备之间实现同步。 相较于一般采用 Linux ct_sync 模块或是 FreeBSD pfsync 模块的产品,联想网御的同步技术仅需要 5.8%的数据量,不会 因为 HA 的数据影响侦测引擎的速度。 3. 支持联机自动切换(Link Fault Pass Through and Link Fault Restoration)功能 一般交换机实现 HA 功能的方法不一,大多交换机将物理链路的状态作为判断依据, 一般的 IPS 在这种情形下可能会出现潜在的问题。如错误!未找到引用源。所示,如当防 火墙-1 与普通的 IPS 的链路中断时,两端的交换机由于各自物理链路依然完好而无法侦测 此故障,因此数据包仍会继续往已中断的链路传送造成使用者连接中断。 联想网御 IPS 的联机自动切换功能就是为了解决这种问题所设计,当一端的链路中断 时,会自行将另一端的链路同时中断,因此交换机才能够正确反应将线路切换到畅通的链 路。

【图 3】联想网御 IPS 双机自动切换功能说明图

3.5 协同防护
联想网御 IPS 支持与内网安全管理系统(ISM)的协同防护,当 IPS 发现异常行为后,向 ISM 发送攻击相关信息,ISM 根据预设策略,执行通知、断网、锁定等响应,可强制、准确地 对发生威胁的终端计算机进行修复。联想网御 IPS 与内网安全管理产品的协同防护是完全的流
12

www.leadsec.com.cn

IPS 产品白皮书

程管理(无人值守) ,预策略的制定、执行,不仅减轻了网管人员网络维护的压力,而且能够对 企业内部网络进行全方位的安全保护。

四、
功能 入侵检测与防护 入侵检测 协议分析 特征库 防护攻击类型 响应方式 上网行为管理 IM 聊天软件 在线网络游戏 P2P 下载 流媒体 股票软件 增强功能 访问控制 带宽限流 高可靠性 双机热备 旁路保护 系统管理 管理方式 监控显示
13

基本功能
功能描述 采用自研检测引擎,具备基于 IP 碎片重组、TCP 流重组、会话状态、协议异 常和七层应用行为等的攻击识别功能 支持对 ARP、TCP、UDP、ICMP、HTTP、FTP、Telnet、SMTP、POP3、 VLAN Trunk 等多种协议进行分析。 内置攻击特征库数量不少于 2,500 条,并支持自定义特征。 支持对扫描、非法连接、DoS/DDoS、蠕虫、木马、缓冲区溢出、可疑代码、 SQL 注入、XSS 跨站脚本等多种攻击进行防护。 提供丢弃封包、 切断会话、 限制带宽、 记录日志、 控制台显示、 邮件、 Syslog 等多种响应方式。 可检测 QQ、MSN、Skype、网易 POPO、Yahoo Messenger、Google Talk、飞 信等常用 IM 聊天软件。 可检测联众世界、浩方对战平台、魔兽世界、泡泡堂、梦幻西游、劲舞团、 QQ 游戏大厅、新浪游戏大厅等流行的在线网络游戏。 可检测迅雷、BT、eDonkey/eMule、Vagaa 哇嘎“画”、Kugoo 下载协议、脱 兔 TuoTu 下载协议时代等主流 P2P 应用软件。 可检测 qqlive、ppstream、pplive、uusee、沸点、mysee、sopcast 等常见 流媒体软件。 可检测大智慧、大福星、钱龙、指南针、同花顺等股票分析软件。 支持状态检测防火墙功能,支持基于网络接口、源/目的 IP 地址、协议、时 间等自定义访问控制策略。 支持针对 VLAN、源/目的 IP 地址、应用协议端口、七层应用软件(如 P2P、 FTP、PPlive、PPStream 等)进行带宽限流。 基于 HA 网络物理接口,实现双机热备功能。 支持硬件 Bypass、软件 Bypass 功能,以避免在任何情况下,因本系统无 法正常运作而造成网络中断。 基于 Java 的 B/S 管理架构,支持集中管理,同时支持串口、SSH 等多种管 理方式。 具有显示攻击事件百分比的仪表盘、显示协议流量的柱状图、安全事件趋势 分析曲线图、实时事件列表等多种实时状态显示,方便分析网络的现状和趋

表格 1 联想网御 IPS 基本功能表

www.leadsec.com.cn

IPS 产品白皮书

势。 升级功能 支持通过在线升级和离线升级,来对特征库、管理软件、设备操作系统实现 升级。 内置多样化的报表模版,支持自定义生成报表;支持自动定时生成报表,可 利用邮件或 FTP 等形式定时外传报表,支持 HTML、PDF、CSV 等文件格 式。

报表功能

五、

典型部署

联想网御提供了多款网络 IPS, 不管是针对外网存取的安全防御, 还是内网应用的安全管理, 联想网御 IPS 均提供了全方位的保护。本文件提供了几种解决方案说明协助您了解如何应用联 想网御 IPS 来保护您的网络。

5.1 外网防护解决方案
联想网御 IPS 均内置了 USE 统一安全引擎, 无论是 DoS/DDoS、 Flooding attck 、 Worm Virus 、 Trojan 亦或是各种黑客入侵手法,联想网御 IPS 均可提供有效的防御保护。 在【图 4】外网防护解决方案的网络拓朴中将 IPS 部属于防火墙之前,主要目的是防御来 自于外网针对防火墙和内网的攻击。防火墙往往是攻击的对象重点,一旦防火墙遭到攻击后, 将会有很大的机会造成网络中断。且防火墙仅具有四层封包解析的功能,对于利用七层的黑客 攻击手法或是利用合法掩护非法的网络行为便无法有效管控。通过 IPS 的保护,除了对于来自 外网针对内网或防火墙的暴力攻击能够有效阻挡之外,对于所有进出的封包均进行详细的七层 分析,黑客利用合法方式进行非法存取的攻击将无所遁形。

14

www.leadsec.com.cn

IPS 产品白皮书

【图 4】外网防护解决方案拓扑图

5.2 服务器群保护解决方案
将联想网御 IPS 部属于防火墙之前可以保护来阻止来自外网的攻击,但是仍有可能遇到来 自于内网的攻击威胁。随着移动式设备如电脑笔记本、PDA 的普及,来自于内网的攻击威胁也 随之增加。对于提供重要数据服务的服务器群组仍有可能遭受到来自内网的攻击威胁。

15

www.leadsec.com.cn

IPS 产品白皮书

【图 5】 服务器群保护解决方案拓扑图 某些具有特殊应用目的的服务器无法像正常一般使用的服务器定时更新操作系统或是应用 软件补丁,例如 FAB 产线专用的控制机台或是金融单位的专用系统,因此很容易便遭受到黑客 利用系统漏洞来进行攻击。联想网御 IPS 提供了漏洞防御的功能,通过实时的策略更新来达到 虚拟补丁的效果,让此类型的网络应用安全没有疑虑。

5.3 上网行为管理解决方案
企业单位在进行网路安全防护的时候往往只重视来自于外网的安全威胁,却忽略了内网的 安全防护。据统计目前企业所面临的安全威胁有 40% 来自于内网,包含了带宽的滥用,无意义 的上网行为,机密信息外泄以及恶意软件或虚拟加密通道软件的使用等等。 ? 带宽的滥用 P2P 应用的盛行引发了带宽的危机,因为 P2P 的活动会占用大量的带宽,进而影响到 正常应用所需的带宽,导致服务无法正常提供。 ? 无意义的上网行为 在上班时间使用实时聊天软件进行非公事活动,或是于上班时间使用线上游戏软件, ,
16

www.leadsec.com.cn

IPS 产品白皮书

这类型的网络活动均会严重影响人员的办公绩效,降低生产效率。 ? 机密信息外泄 使用实时聊天软件或是 Web Mail 之类的工具可以很方便的进行档案交换。有可能造 成企业重要机密文件的外流,影响企业的竞争力。 ? 恶意软件或虚拟加密通道软件的使用 黑客通过恶意软件的植入使用加密通道或是其他合法管道窃取企业内部信息,或是内 部员工安装虚拟通道软件开启企业网路後门,成为网路管理的安全死角。

【图 6】 内网行为管理解决方案拓扑图 在错误!未找到引用源。的网络拓扑中将 IPS 部属于防火墙与内网之间,主要目的是防御 来自于内网的攻击,同时可针对于内网对于外网的存取应用进行管理。通过使用联想网御 IPS, 可辨识多种类别如 IM / VoIP / P2P / FTP 等已知的网路应用软件,进而根据多种条件如 IP 群组、VLAN ID 等范围条件制订各种不同的管理策略。除了开放与禁止的网络行为管理之外还
17

www.leadsec.com.cn

IPS 产品白皮书

可针对不同的应用予以不同的带宽使用以及传输总量限制,可让企业网路实施弹性管理,也不 会因为防止网路攻击而影响到正常的网路访问,让企业的网路带宽投资得到最高的回报。

5.4 内外兼顾解决方案
为达到最完整的防护效果,联想网御建议使用双网防护架构,请参考【图 7】 内外兼顾解 决方案拓扑图。该方案中 IPS 不仅防护来自于外网的 DoS/DDoS/Flooding/Port Scan 等攻击威 胁,同时针对来自于内网的攻击威胁进行防御,对于企业内部员工的上网行为亦可进行管控, 对于机密无法辨识以及管理的通信应用行为可进行阻断的动作,而可管理或必须使用的的应用 则予以适度的开放。

【图 7】 内外兼顾解决方案拓扑图

18


相关文章:
特征库升级技术白皮书V1.1
暂无评价|0人阅读|0次下载|举报文档 特征库升级技术白皮书V1.1_计算机硬件及网络...特征库简介 特征库本质是一些基础数据,它主要用于深度检测相关业务,如 IPS 防护...
网神SecIPS 3600入侵防御系统产品白皮书
初审人 网神 SecIPS 3600 入侵防御系统产品白皮书 销售 / 售前 / 客服 / 渠 道商/用户 刘松 宋伟 文档版本号 日期 复审人 V6.10.1 2011/10/01 陈华平 ?...
DLP-CDG V3.8S 产品技术白皮书 V1.2
暂无评价|0人阅读|0次下载|举报文档 DLP-CDG V3.8S 产品技术白皮书 V1.2_...IPS 等产品; 数据存储及安全类产品:如 NAS、SAN 及其他数据备份、容灾恢复类...
技术白皮书
暂无评价|0人阅读|0次下载|举报文档 技术白皮书_计算机...系统技术白皮书 OpManager 网络管理系统技术白皮书 1....(防火墙、IPS 等) 、存储设备,PC 机、服务器及...
网神SecGate 3600-G系列防火墙技术白皮书 V1.0
网神SecGate 3600-G系列防火墙技术白皮书 V1.0_计算机硬件及网络_IT/计算机_专业...IPS 特征库升级 支持防火墙双机热备 高可用 性能力 支持防火墙多机负载均衡 ...
H3C IPS防病毒技术白皮书
暂无评价|0人阅读|0次下载|举报文档 H3C IPS防病毒技术白皮书_IT/计算机_专业资料。H3C AV技术白皮书关键词:i-Ware、H3C、AV、白皮书、White Paper 摘要:本文介绍...
2015-4-14入侵防御IPS 产品白皮书
暂无评价|0人阅读|0次下载|举报文档2015-4-14入侵防御IPS 产品白皮书_计算机硬件及网络_IT/计算机_专业资料。第1章 产品设计理念 SANGFOR IPS 是能够精确识别用户...
网神SecSSL 3600安全接入网关系统-产品白皮书 V1.0
12页 1下载券 网神SecIPS 3600系列入侵... 23页 1下载券 网神SecIDS 3600 ...白皮书 功率 工作温度 环境参数 存储温度 相对湿度 加密吞吐量(MB) 250W 0° ...
McAfee产品技术白皮书-VM-V1.0
McAfee产品技术白皮书-VM-V1.0 隐藏>> McAfee 漏洞管理产品技术白皮书(原 Found...比较典型的部署是中 国银联和太平洋保险,都配置为和 IPS 产品联动,在不同的...
多核Plus G2安全架构白皮书 V1.0
Hillstone 山石网科多核 Plus G2 安全架构白皮书概述随着网络快速发展,更多新的...应用优化等 HTTP Decoder SMTP Decoder IPS Scanning AV Scanning Anomaly ...
更多相关标签:
lg ips236v | ips236v | ips236vx | ips226vx | lg ips236vx | lg ips226v | len40e0是ips屏吗 | len40e0 ips |