《绿盟网络入侵防护系统产品白皮书》由会员分享,可在线阅读,更多相关《绿盟网络入侵防护系统产品白皮书(29页珍藏版)》请在金锄头文库上搜索。
1、口匚 LIE绿盟网络入侵防护系统产品白皮书NSFO匚um版权声明本文中岀现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。目录刖言二. 为什么需要入侵防护系统 22.1防火墙的局限 32.2入侵检测系统的不足 32.3入侵防护系统的特点 3三. 如何评价入侵防护系统 4四. 绿盟网络入侵防护系统 44.1体系结构 54.2主要功能54.3产品特点64.3.1多种技术融合的入侵检测机制 64.3.2 27层深度入侵防护能力 84.3.3强大的防
2、火墙功能 94.3.4先进的Web威胁抵御能力 94.3.5灵活高效的病毒防御能力 104.3.6基于对象的虚拟系统 104.3.7基于应用的流量管理 114.3.8实用的上网行为管理 114.3.9灵活的组网方式 114.3.10强大的管理能力 124.3.11完善的报表系统 134.3.12完备的高可用性 134.3.13丰富的响应方式 144.3.14高可靠的自身安全性 144.4解决方案154.4.1多链路防护解决方案 154.4.2交换防护解决方案 164.4.3路由防护解决方案 164.4.4混合防护解决方案 17结论 18? 2011 绿盟科技-# -密级:完全公开NSF 口匚
3、UE、八 、,刖言随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正逐步改变着人类 的生活和工作方式。越来越多的政府、企业组织建立了依赖于网络的业务信息系统,比如电 子政务、电子商务、网上银行、网络办公等,对社会的各行各业产生了巨大深远的影响,信 息安全的重要性也在不断提升。近年来,企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的 风险,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游、视频)等,极大地困扰着用户,给企业的信息 网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计
4、算机和网络系统的安全和正常运行便 成为企业所面临的一个重要问题。为什么需要入侵防护系统说起网络安全,相信许多人已经不陌生了。大家可能都曾遇到过下面这些情况:没有及时安装新发布的一个安全补丁,造成服务器宕机,网络中断;蠕虫病毒爆发,造成网络瘫痪,无法网上办公,邮件收不了,网页打不开;公司WEB服务器遭受SQL注入攻击,造成公司主页内容被篡改;因为员工访问了不安全的页面,个人电脑被植入后门、木马等恶意软件,从而导致公司 机密资料被窃;有的员工使用BT、电驴等P2P软件下载电影或 MP3,造成上网速度奇慢无比;有的员工沉迷在 QQ或MSN上聊天,玩反恐精英、传奇等网络游戏,或看在线视频,不专心工作,
5、导致企业生产力下降;部分员工电脑成为僵尸网络的“肉机”,向外网发起DOS攻击,引起公安部门注意并上门进行调查。根据调查数据显示,以上事件呈逐年上升趋势,给企业造成越来越大的直接和间接损失。 对于上述威胁,传统的安全手段(如防火墙、入侵检测系统)都无法有效进行阻止。? 2011 绿盟科技-# -密级:完全公开NSF口匚UE2.1防火墙的局限绝大多数人在谈到网络安全时,首先会想到“防火墙”,企业一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手 法的日趋复杂多样,单纯的防火墙已经无法满足企业的安全需要,部署了防火墙的安全保障 体系仍需要进一步完善
6、。传统防火墙的不足主要体现在以下几个方面:防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对 WEB服务的Code Red 蠕虫等。有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行 为。作为网络访问控制设备,受限于功能设计,防火墙难以识别复杂的网络攻击并保存相关 信息,以协助后续调查和取证工作的开展。2.2入侵检测系统的不足入侵检测系统IDS ( Intrusion Detection System )是继防火墙之后迅猛发展起来的一类安全产品,它通过检测、分析网络中的数据流量,从中发现网络系统中是否有违反安全策略 的行为和被攻击的迹象,及
7、时识别入侵行为和未授权网络流量并实时报警。IDS弥补了防火墙的某些设计和功能缺陷,侧重网络监控,注重安全审计,适合对网络安全状态的了解,但随着网络攻击技术的发展,IDS也面临着新的挑战:IDS旁路在网络上,当它检测出黑客入侵攻击时,攻击已到达目标造成损失。IDS无法有效阻断攻击,比如蠕虫爆发造成企业网络瘫痪,IDS无能为力。蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应 的时间越来越短,使用户来不及对入侵做出响应,往往造成企业网络瘫痪,IDS无法把攻击防御在企业网络之外。2.3入侵防护系统的特点基于目前网络安全形势的严峻,入侵防护系统(In trusion P
8、reve ntion System)作为新代安全防护产品应运而生。网络入侵防护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨 在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断, 而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中? 2011 绿盟科技-3 -密级:完全公开NSF 口匚 UE而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻 击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。如何评价入侵防护系统针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁
9、及黑客攻击,不仅需要有效检测到各种类型的攻击,更重要的是降低攻击的影响,从而保证业务系统的连续性 和可用性。一款优秀的网络入侵防护系统应该具备以下特征:满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量;提供针对各类攻击的实时检测和防御功能,同时具备丰富的访问控制能力,在任何未授权活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失;准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;全面、精细的流量控制功能,确保企业关键业务持续稳定运转;具备丰富的高可用性,提供 BYPASS (硬件、软件)和 HA等可靠性保障措施; 可扩展的多链路IPS防护能力,避免不必要的重
10、复安全投资;提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间把攻击阻断在企业网络之外,同时也支持旁路模式部署,用于攻击检测,适合不同客户需要;支持分级部署、集中管理,满足不同规模网络的使用和管理需求。四.绿盟网络入侵防护系统针对日趋复杂的应用安全威胁和混合型网络攻击, 绿盟科技提供了完善的安全防护方案。绿盟网络入侵防护系统(以下简称“ NSFOCUS NIPS ”)是绿盟科技 拥有完全自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确 监测网络异常流量,自动应对各类攻击流量,第一时间将安全威胁阻隔在企业网络外部。这 类产品弥补了防火墙、入侵检测等产品的不足,提供
11、动态的、深度的、主动的安全防御,为 企业提供了一个全新的入侵防护解决方案。? 2011 绿盟科技-# -密级:完全公开4.1体系结构NSFOCUS NIPS 的体系架构包括三个主要组件:安全中心、网络引擎、升级站点,方便 各种网络环境的灵活部署和管理。宜全中卍WEB控制台? 2011 绿盟科技? 2011 绿盟科技图4.1绿盟网络入侵防护系统体系架构4.2主要功能NSFOCUS NIPS是网络入侵防护系统同类产品中的精品典范,该产品高度融合高性能、高安全性、高可靠性和易操作性等特性,产品内置先进的 防护、精细流量控制,以及全面用户上网行为监管等多项 功能,能够为用户提供深度攻击防御和应用带宽保
12、护的完 美价值体验。入侵防护Web信誉机制,同时具备深度入侵密级:完全公开实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木 马、D.o.S等恶意流量,保护企业信息系统和网络架构免 受侵害,防止操作系统和应用程序损坏或宕机。? 2011 绿盟科技NSF口匚UEWeb安全基于互联网 Web站点的挂马检测结果,结合 URL信誉评价技术,保护用户在访问被植 入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁。流量控制阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无 阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。上网行为监管全面监测和管理IM即时通
13、讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行 为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。4.3产品特点NSFOCUS NIPS 基于高性能硬件处理平台,为客户提供从网络层、到应用层,直至内容 层的深度安全防御,以下将对NSFOCUS NIPS 的产品功能特色进行逐一介绍。4.3.1多种技术融合的入侵检测机制NSFOCUS NIPS 以全面深入的协议分析为基础,融合权威专家系统、智能协议识别、协 议异常检测、流量异常检测、会话关联分析,以及状态防火墙等多种技术,为客户提供从网 络层、应用层到内容层的深度安全防护。智能协议识别和分析协议识别是新一代网络安全产品的核
14、心技术。传统安全产品如防火墙,通过协议端口映 射表(或类似技术)来判断流经的网络报文属于何种协议。但是,事实上,协议与端口是完全无关的两个概念,我们仅仅可以认为某个协议运行在 一个相对固定的缺省端口。包括木马、后门在内的恶意程序,以及基于Smart Tunnel (智能隧道)的P2P应用(如各种P2P下载工具、IP电话等),IMS (实时消息系统 如MSN、Yahoo Pager),网络在线游戏等应用都可以运行在任意一个指定的端口,从而逃避传统安全产品的 检测和控制。NSFOCUS NIPS采用独有的智能协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分
15、析引擎进行处理,能够在完全不需要管理员 参与的情况下,高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵,可以准确 发现绑定在任意端口的各种木马、后门,对于运用Smart Tunnel技术的软件也能准确捕获和分析。NSFOCUS NIPS 具备极高的检测准确率和极低的误报率,能够全面识别超过 100种以上的应用层协议。基于特征分析的专家系统特征分析主要检测各类已知攻击,在全盘了解攻击特征后,制作出相应的攻击特征过滤 器,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。NSFOCUS NIPS装载权威的专家知识库,提供高品质的攻击特征介绍和分析, 基于高速、 智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。绿盟科技拥有的业界权威安全漏洞研究团队 NSFocus小组,
