《网络卫士入侵防御系统TopIDP-sichuan课件》由会员分享,可在线阅读,更多相关《网络卫士入侵防御系统TopIDP-sichuan课件(36页珍藏版)》请在金锄头文库上搜索。
1、网络卫士入侵防御系统TopIDP培训,2007.3.6,IPS产品定义,IPS定义 IDP是入侵检测与防御系统的简称。IPS 是入侵防御系统的简称,在产品功 能表现上,IDP和IPS是完全一致的。都是IDS 技术的演化和增强, 继承发 扬了IDS 的检测引擎技术。 与IDS的关键区别在于两点:“内嵌式(in- line)”运行和自动阻断。 IDS是方式旁路,被动响应,用户遇到的安全问题,病毒/木马及恶意代码、垃圾邮件、网络蠕虫是当前用户遇到的最多三类问题,攻击范围和时间的变化,漏洞宣布到大规模蠕虫出现时间越来越短:WMF零天、Witty2天; 蠕虫攻陷全球的时间越来越快:Slammer病毒10
2、分钟就攻陷了全球。 当前已有的传统防火墙、IDS等产品已不能很好的解决当前的安全问题。,应用隐患,Web 应用/分布式应用已广为普及 大多数攻击(蠕虫、病毒、DoS)都是通过 80 端口进行的,来源:Network World, 2003 年 8 月,传统防火墙不够智能!,蠕虫可以穿透防火墙并迅速传播,导致主机瘫痪,吞噬宝贵网络带宽 P2P等应用,利用80端口进行协商,然后利用开放的UDP进行大量文件共享,导致机密泄漏和网络拥塞,无法检测的部分,Firewall的过滤部分,防火墙只能做到包头信息的过虑,无法检测数据包数据部分的特征。 基于数据包包头信息的检测阻断方式,主要对主机的服务进行控制,
3、无法阻断通过公开端口流入的有害流量,防火墙主要用于对服务的访问控制,并不是对蠕虫或者黑客攻击的解决方案。,“IDS+FW”无法阻止应用层威胁,IDS主要为检测/检测,不能及时响应蠕虫病毒的感染与传播; 阻断策略的 限制(不能100阻断,只能提供TCP攻击的阻断); 为事后的响应,需要一定响应时间; 对未知的攻击束手无策;,网络层次越高资产价值越大,L5-L7: 应用层,L4: 传输层,L3: 网络层,L2: 链路层,L1: 物理层,解决方法:深度防御,Router,传统 防火墙,TCP/IP Stack,NIC,OSes,Web Servers,Web ApplicationFramework
4、s,Applications,风险越高越迫切需要被保护,Application Data,Session ID,HTTP Request/Respond,TCP Connection,IP Packet,Ethernet Packet,Bit on Wire,TopIDP L2L7 深度防御,解决办法:在线处理,只有在线对流量进行深度防御,才能真正阻挡出现在网络上的攻击,TCP resets 和 Firewall 不能真正工作 整个操作要花100毫秒的时间 ,这对现代的网络来说是一个巨大的时间窗口 不能阻挡类似于Slammer(单个UDP数据报)的攻击,IPS能在一个攻击发生危害之前,对其实施
5、阻挡 它根据每个数据包,作出允许还是拒绝的决定 对网络进行精细化管理、防御,不能起到理想的效果!,TopIDP以威胁防御御为核心功能,应用威胁,蠕虫/病毒,DoS/DDoS,木马/间谍软件,后门/ WEB攻击,带宽滥用,垃圾应用,TopIDP是以应用层威胁防御为核心功能的综合威胁抵御产品 TopIDP支持对各种新威胁的识别和抵御,可以不断给用户带来增值安全服务,降低用户TCO,IPS与防火墙、IDS,在组网中IPS和防火墙、IDS的关系 防火墙和IPS往往一前一后配合使用。防火墙做“网络隔离和访问控制”,IPS做应用层威胁抵御,形成纵深防护。 IPS、IDS市场有重叠;IDS侧重网络监控,注重
6、安全审计,适合对网络安全状态的了解;IPS适用于入侵防御,对网络净化。,IPS-Intrusion Prevention System(入侵防御系统,也称为IDP) TopIDP网络卫士入侵防御系统,功能,功能,功能,TopIDP产品简介,产品简介,网络卫士TopIDP产品系列,专业级用户,性能 (Mbps),TopIDP2000- 2205,TopIDP 2000-2308,FGT-2000,企业级用户,ISP级用户,TopIDP3000-3223,网络规模,100,160,200,2,000,普通级用户,400,TopIDP2000-2205 1U机型;标配5个10/100BASE-TX端
7、口(4个作IDP转发,1个管理端口) 性能:200Mb,IDP转发端口,指示灯,管理端口,USB口,Bypass、Inline切换开关,TopIDP产品系列,TopIDP2000-2308 1U机型;标配8个10/100BASE-TX端口(4个作IDP转发,3个作通讯转发,1个管理端口) 性能:400Mb 线速,IDP转发端口,指示灯,通讯转发端口,管理端口,USB口,Bypass、Inline切换开关,TopIDP产品系列,TopIDP3000-3223 4U机型:标配2个千兆GBIC插槽3个10/100BASE-TX端口(2个作IDP转发,1个管理端口) 性能:2000Mb 线速,IDP转
8、发端口,LCD,管理端口,USB口,Bypass、Inline切换开关,AUX,TopIDP产品系列,特点一:高吞吐量、低延时,TopIDP具有像千兆交换机一样的高吞吐量和低延时 高呑吐量:200M4G,全线速转发 低延时:200us 最大并发连接数200万;每秒新建连接数25万+ TopIDP通过采用ASIC+NPU硬件加速,可以提供线速七层防御能力,特点二:强大的入侵防御能力,TopIDP具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库,即可以有效检测并实时阻断隐藏在海量网络中的各种攻击、蠕虫病毒与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达
9、到对网络架构防护、网络性能保护和核心应用保障。,特点三:为用户提供多重立体防御保护,基于“ClearFlow 入侵防御微引擎”技术,为用户提供网络架构防护、网络性能保护、核心应用保障,去除网络中与业务无关、有害的数据信息,保护公司业务连续不间断正常运行。,特点四:VIDP实现精细化防御,TopIDP支持虚拟系统(VIDP)功能,针对不同的网络环境和安全需求,可以制定不同的规则和响应方式,每个虚拟系统分别执行不同的规则集,实现面向不同对象、执行不同策略的智能化入侵防御。,特点五:高可用性和冗余性,TopIDP所有接口都支持FOD失效开放机制,当出现软硬件故障和电源故障时,系统能够在200us以内
10、自动切换到旁路模式以保障网络的畅通 TopIDP支持双机热备份和负载均很,支持Active-Active、Active-Passive模式,保证了网络环境的高度畅通性。,综合部署图,保护防火墙等网络基础设施 对Internet出口带宽进行精细控制,防止带宽滥用,抵御来自Internet的针对DMZ区服务器的应用层攻击 DDoS攻击,抵御来自内网攻击,保护核心服务器和核心数据 提供虚拟软件补丁服务,保证服务器最大正常运,抵御来自分支机构攻击 保护广域网线路带宽,抑制企业内网恶意流量,如间谍软件、蠕虫等的泛滥和传播 抵御内网攻击,利用TopIDP进行多重立体防御!,VIDP为IDC机房/大型企业提
11、供精细化安全保障,TopIDP产品的虚拟IPS功能VIDP,可以为IDC机房/大型企业用户提供虚拟 IPS功能,不同颜色的虚线表示不同安全级别的虚拟IPS线路,一台IPS产品,可以虚拟出上百套安全防御策略,保护上百个不同的客户群,有限的投入获得巨大的安全防御回报,针对不同的网络环境和安全需求,制定不同的防御规则和响应方式,实现面向不同对象、执行不同策略的智能化入侵防御,IDC机房使用TopIDP虚拟IPS功能对不同用户进行精细化、深度防御示意图,高可用性部署图,TopIDP千兆设备支持冗余部署。互为备份的TopIDP产品可以工作在主备模式(Active-Standby),也可以工作在负载分担模
12、式(Active-Active)。,市场分析市场预测,入侵防护硬件的增长情况,2006 年上半年同比增长107.1%, 市场规模达到US$ 6.0M。2006年全年的约8千万人民币的市场,Source:IDC,入侵防护市场预测分析,市场分析市场预测,入侵防护硬件市场是所有安全硬件市场中增长速度最快的子市场,从2005 到2010年,预计该市场的复合增长率为32.1%,到2010 年,入侵防护硬件市场的规模将达到US$ 30.7M,和IDS类比,是IDS市场的26.1%,Source:IDC,入侵防护市场规模预测,市场分析竞争对手,2006 年上半年中国入侵防护硬件市场厂商份额在入侵防护市场,T
13、ipping Point 以37.8%的市场占比排在第一位,其次是Juniper 和McAfee,分别以16.5%和14.4%的市场占比排在第二位和第三位。,Source:IDC,IPS竞争对手情况,国外 Tip、Juniper有 50Mb的产品。他们品牌优势较强,但是低端产品只有2个电口。 McAfee有100Mb的产品 国内 1、绿盟 没有低端的IPS产品,竞争对手,低端市场竞争对手,竞争对手,中端市场竞争对手,国外 产品价格昂贵 1、Tip:在中端市场有UnityOne 200和UnityOne 400,依托华为的品牌优势。整网解决方案优势明显 2、Juniper:在中端市场有Juniper IDP200(250Mb)、IDP600C/F(500Mb) 国内 在中端是我们主要的竞争对手 1、绿盟:有ICEYE-200P和ICEYE-600P,因是单纯的X86架构,在性能上不会有更好的表现,竞争对手,高端市场竞争对手,国外 1、Tip:依托华为的品牌优势。整网解决方案优势明显 2、Juniper: 是我们高端市场主要竞争对手,在价格上,我们会更占优势 国内 1、绿盟 2、安氏,走高端路线,竞争对手产品,市场分析产品对比,谢谢!,
