《nsf-prod-nids-v5.6.9-产品白皮书.》由会员分享,可在线阅读,更多相关《nsf-prod-nids-v5.6.9-产品白皮书.(18页珍藏版)》请在金锄头文库上搜索。
1、绿盟下一代网络入侵检测系统产品白皮书【绿盟科技】 文档编号NSF-PROD-NIDS-产品白皮书-V1.0 密级完全公开 版本编号V1.0 日期2014-06-01 撰 写 人唐伽佳 批准人 2019 绿盟科技 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 版本变更记录时间版本说明修改人2014-06-01V1.0新建唐伽佳目录一. 前言1二. 攻防的新特点1三. 绿盟下一代网络入侵检测系统23.1 体系结构33.2 主
2、要功能33.3 产品特点43.3.1 全新的高性能软硬件架构43.3.2 更精细的应用层检测43.3.3 基于用户身份的行为分析53.3.4 全面支持IPv653.3.5 多种技术融合的入侵检测机制53.3.6 27层深度入侵检测能力73.3.7 先进的Web威胁检测能力83.3.8 部署极其简便93.3.9 强大的管理能力93.3.10 完善的报表系统103.3.11 完备的高可用性113.3.12 丰富的响应方式113.3.13 高可靠的自身安全性113.4 解决方案123.4.1 小型网络之精细管理方案123.4.2 中型网络之集中管理方案133.4.3 大型网络之分级管理方案14四.
3、结论15- II -绿盟下一代网络入侵检测系统产品白皮书一. 前言随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正逐步改变着人类的生活和工作方式。业务对信息和网络的逐渐依赖对社会的各行各业产生了巨大深远的影响,信息安全的重要性也在不断提升。近年来,网络信息系统所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其是基于应用的新型威胁,如隐藏在HTTP等基础协议之上的应用层攻击问题、web2.0安全问题、木马后门、间谍软件、僵尸网络、网络资源滥用(P2P下载、IM即时通讯、网游、视频)等,极大地困扰着用户,给单位的信息网络造成严重的破坏,严重影响了信息化的进一步发展。未来几年,随着
4、云计算、物联网、智慧城市、移动互联网和微博等新一代应用和技术在行业得到广泛应用,在促进应用创新的同时,也将带来严重的信息安全隐患。攻防的不断发展,安全威胁的不断进化,新应用、新技术的广泛使用,对原有的安全保障理念和模式也将带来巨大的冲击。如何在新旧技术交叠应用的变革过程中,更有效地检测和检测系统网络面临的安全问题,已成为各方关注的重点。基于对网络入侵检测和防护的实践,以及攻防的深刻理解和研究,绿盟科技正式发布国内首款下一代入侵检测系统,开启了下一代安全之门。该产品采用了全新的检测防护模型,综合运用智能识别、环境感知和行为分析技术,为用户提供一份看得见、检得出的下一代入侵检测解决方案,标志着国内
5、入侵检测市场迈入一个新的时代。二. 攻防的新特点随着网络的发展,网络应用不断丰富以及Web 2.0应用快速向业务环境渗透,大量应用建立在HTTP等基础协议之上,或者随机产生端口号,或者采用SSL加密等方式来隐藏内容,应用层面临的恶意威胁越来越多。u 应用层攻击互联网的快速发展,使得单位的网络应用已经开始变的复杂多样,应用复杂度提高,安全威胁向应用化、深层化转变,隐藏在应用中的攻击增多,越来越多的基于应用的攻击行为出现了,网络攻击也开始转向应用层。据Gartner统计:目前75%攻击转移到应用层。u 恶意文件攻击系统运维者一般只关心操作系统、网络设备的安全问题,而很少在意文件的漏洞。近年来,通过
6、恶意文件开展攻击比较普遍。将攻击代码埋设在Word、Excel、PDF及Flash等正常格式文件中,这类文件隐蔽性高、欺骗性强,只要用户访问这类文件,个人电脑就有遭到劫持的危险,从而威胁系统和网络的安全。u 用户身份攻击原有仅针对IP采用的安全防护方法已经不能适应当前系统网络攻防的发展,仅依赖 IP的防护手段无法准确识别用户身份,无法基于用户身份做细粒度的策略管理。u 异常行为攻击对于传统的攻击行为,我们仅需关注恶意程序的样本提取并做分析,便可以掌握攻击者的动机及传播渠道,但对于以APT为代表的异常行为攻击以点概面的安全检测手段已显得不合时宜。这类攻击伪装成正常流量,没有特别大的数据包,地址和
7、内容也没有可疑的不相配,所以一般不会触发警报。即利用合法身份掩护,实施非法行为。同时通过加密通道外传数据,面对这类攻击威胁,我们应当有一套更完善、更主动、更智能的安全检测体系。u 安全防护的性能要求网络带宽增长迅速,网络正在从千兆走向万兆甚至更多。为应对这种变化,要求安全防护设备应有足够的性能和扩展性。u IPV6所带来的安全问题IPv6已是大势所趋,IPv6的使用会带来一些独特的安全难题,如何在保证业务正常运营的前提下安全平滑过渡以及保证安全防护在IPv4网络和IPv6网络上均实现无缝稳定地运行,是客户十分头疼的问题。三. 绿盟下一代网络入侵检测系统针对日趋复杂的应用安全威胁和混合型网络攻击
8、,绿盟科技提供了完善的安全防护方案。绿盟下一代网络入侵检测系统(以下简称“NSFOCUS NIDS”)是绿盟科技拥有完全自主知识产权的新一代安全产品,作为一种旁路部署的产品,其设计目标旨在适应攻防的最新发展,准确监测网络异常流量,反应各层面安全隐患,第一时间协助客户将安全威胁阻隔在企业网络外部。这类产品提供动态的、深度的、主动的安全检测。为应对新型攻击带来的威胁,从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测,为企业提供了一套看得见、检得出的全新入侵检测解决方案。3.1 体系结构NSFOCUS NIDS的体系架构包括三个主要组件:网络引擎、管理模块、安全响应模块
9、,方便各种网络环境的灵活部署和管理。图 3.1 绿盟网络入侵检测系统体系架构3.2 主要功能NSFOCUS NIDS是网络入侵检测系统同类产品中的精品典范,该产品高度融合高性能、高安全性、高可靠性和易操作性等特性,产品内置先进的信誉防护机制,同时具备深度入侵检测、高级威胁防护、精细流量控制等多项功能,能够为用户提供深度攻击检测的完美价值体验。u 入侵检测实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。u 高级威胁防护高级威胁防护能够基于敏感数据的外泄、文件识别、服务器非法外联等异常行为检测,实现内网的
10、高级威胁防护功能。u 僵尸网络发现基于实时的信誉机制,结合企业级和全球信誉库,可有效检测恶意URI、僵尸网络,保护用户在访问被植入木马等恶意代码的网站地址时不受侵害,第一时间有效拦截Web威胁,并且能及时发现网络中可能出现的僵尸网络主机和C&C连接。u 应用管理全面监测IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识非授权网络流量,更好地执行企业的安全策略。3.3 产品特点NSFOCUS NIDS基于高性能硬件处理平台,为客户提供从网络层、到应用层,直至内容层的深度安全检测,以下将对NSFOCUS NIDS的产品功能特色进行逐一介绍。3.3.1 全新的高性能软
11、硬件架构NSFOCUS NIDS采用了全新的硬件平台,全新底层转发模块、多核架构和新一代的全并行流检测引擎技术,新平台和新架构的引入,优化了产品的功能,使处理性能较原来有了大幅度提升。同时大部分配置都是应用配置生效。增强了对客户业务的连续性支持。3.3.2 更精细的应用层检测基于应用的识别技术,是各种应用层安全防护的基础,目前各类新的应用层出不穷,如QQ、MSN、文件共享、Web服务、P2P下载等,这些应用势必会带来新的、更复杂的安全风险。这些风险和应用本身密不可分,如果不结合应用来分析将无法检测这些风险。NSFOCUS NIDS采用流检测技术对各类应用进行深入分析,搭建应用协议识别框架,准确
12、识别大部分主流应用协议,可以对基于应用识别的应用进行精细粒度的管理,能够很好的对这些应用安全漏洞和利用这些漏洞的攻击进行检测和检测。支持在WEB界面和安全中心上配置应用管理策略,可根据应用管理策略控制应用的使用,并支持在对象中搜索名称,提高了策略配置的效率和产品易用性。3.3.3 基于用户身份的行为分析系统中的用户根据各自的工作职责和个人爱好都会形成各自的行为习惯,这种行为习惯能够反应在日常的网络访问活动中。对这些网络访问活动进行分析并经过长时间地收敛,可以根据用户身份(Who)、地理位置/IP地址(Where)、业务系统/网络应用(Whom)、操作(What)、时间(When)、频次(How
13、)等条件建立用户的正常网络访问模型。建立基于正常网络访问模型的单位网络“白环境”,当检测到网络中出现了违背白环境模型的异常行为时,则对其进行深入分析,以判断是否是攻击。NSFOCUS NIDS在用户身份识别、应用识别的基础上,将用户身份、业务系统、地理位置、操作频次等多种与操作相关的网络环境信息进行关联分析,建立企业网络白环境,准确识别用户异常行为。3.3.4 全面支持IPv6双协议栈(dual stack)架构,支持IPv6/IPv4双协议栈功能,能同时辨识IPv4和IPv6通讯流量。多种隧道模式的支持,确保IPv6过渡时代的网络通畅。IPv6环境下攻击检测技术和基于IPv6地址格式的安全控
14、制策略,为IPv6环境提供了有力的入侵检测能力。NSFOCUS NIDS通过了IPv6 Ready 认证,保证了在IPv6环境下的互联互通。3.3.5 多种技术融合的入侵检测机制NSFOCUS NIDS以全面深入的协议分析为基础,融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析,以及状态防火墙等多种技术,为客户提供从网络层、应用层到内容层的深度安全防护。u 智能协议识别和分析协议识别是新一代网络安全产品的核心技术。传统安全产品如防火墙,通过协议端口映射表(或类似技术)来判断流经的网络报文属于何种协议。但是,事实上,协议与端口是完全无关的两个概念,我们仅仅可以认为某个协议
15、运行在一个相对固定的缺省端口。包括木马、后门在内的恶意程序,以及基于Smart Tunnel(智能隧道)的P2P应用(如各种P2P下载工具、IP电话等),IMS(实时消息系统 如MSN、Yahoo Pager),网络在线游戏等应用都可以运行在任意一个指定的端口,从而逃避传统安全产品的检测和控制。NSFOCUS NIDS采用独有的智能协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理,能够在完全不需要管理员参与的情况下,高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵,可以准确发现绑定在任意端口的各种木马、后门,对于运用Smart Tunnel技术的软件也能准确捕获和分析。NSFOCUS NIDS具备极高的检测准确率和极低的误报率,能够全面识别主流应用层协议。u 基于特征分析的专家系统特征分析主要检测各类已知攻击,在全盘了解攻击特征后,制作出相应的攻击特征过滤器,对网络中传输的数
