《联想网御IPS入侵防护系统系列产品介绍》由会员分享,可在线阅读,更多相关《联想网御IPS入侵防护系统系列产品介绍(31页珍藏版)》请在金锄头文库上搜索。
1、联想网御IIPS入入侵防护护系统产品白皮书书V2.0联想网御科科技(北北京)有有限公司司版权信息版权所有有 2000120007,联想网网御科技技(北京京)有限限公司本文档中出出现的任任何文字字叙述、文文档格式式、插图图、照片片、方法法、过程程等内容容,除另另有特别别注明,版版权均属属联想网网御科技技(北京)有限公公司所有有,受国国家有关关产权及及版权法法保护。如如何个人人、机构构未经联联想网御御科技(北京)有限公公司的书书面授权权许可,不不得以任任何方式式复制或或引用本本文档的的任何片片段。商标信息联想网御,LLegeend,LLenoovo,lleaddsecc等标识识及其组组合是联想网网
2、御科技技(北京)有限公公司拥有有的商标标,受商商标法和和有关国国际公约约的保护护。第三方信息息本文档中所所涉及到到的产品品名称和和商标,属属于各自自公司或或组织所所有。联想网御科科技(北北京)有有限公司司Lenovvo SSecuuritty TTechhnollogiies Incc.北京市海淀淀区中关关村南大大街6号号中电信信息大厦厦8层 100008868/F ZZhonngdiian Infformmatiion Towwer No.6 ZZhonngguuanccun Souuth Strreett, Haidiian Disstriict, Beeijiing电话(TEEL):01
3、00-82216669999传真(FAAX):0100-82216669988技术热线(Cusstommer Hottlinne):0100-82216777666电子信箱(E-mmaill):m公司网站:目 录1、序言42、联想网网御解决决方案IPSS入侵防防护系统统74、联想网网御IPPS入侵侵防护系系统系列列产品介介绍74.1简介介74.2系统统架构84.3工作作模式95、联想网网御IPPS入侵侵防护系系统产品品特点95.1联想想网御IIPS入入侵防护护系统专专用操作作系统的的特点和和优点105.2联想想网御IIPS入入侵防护护系统内内容处理理硬件体体系结构构135.2.11硬件体体系结
4、构构简介135.2.22内容处处理加速速引擎155.2.33在联想想网御IIPS入入侵防护护系统结结构中的的高可靠靠性165.3结论论176、联想网网御IPPS入侵侵防护系系统主要要功能176.1 动动态入侵侵防护/保护176.2防病病毒206.3高可可靠性(HA)206.4管理理功能211、序言近几年来,随随着信息息化建设设的飞速速发展,信信息安全全的内容容也越来来越广泛泛,用户户对安全全设备和和安全产产品的要要求也越越来越高高。尽管管防火墙墙、IDDS等传传统安全全产品在在不断的的发展和和自我完完善,但但是道高高一尺魔魔高一丈丈,黑客客们不仅仅专门针针对安全全设备开开发各种种工具来来伪装攻
5、攻击、逃逃避检测测,在攻攻击和入入侵的形形式上也也与应用用相结合合越来越越紧密。这这些都使使传统的的安全设设备在保保护网络络安全上上越来越越难。混合攻击带带来的新新挑战随着红色代代码、NNimdda等有有里程碑碑式的病病毒出现现,改写写了病毒毒形态和和病毒的的历史,病病毒已经经不再只只具有破破坏力。新新的病毒毒已经成成为黑客客的攻击击和入侵侵手段,借借助病毒毒的传播播方式,黑黑客们可可以轻易易地窃取取网络中中的敏感感数据和和信息。黑黑客程序序、木马马、病毒毒已经有有机地结结合起来来,使之之成为黑黑客攻击击的新工工具。同同时,木木马、病病毒等恶恶意程序序也经常常通过邮邮件、恶恶意的WWeb网网页
6、(或或者被篡篡改的WWeb网网页)、文文件下载载等传播播途径使使得病毒毒的危害害范围和和扩散速速度加大大。这些些都给传传统的安安全设备备带来新新的挑战战。一些老式的的防火墙墙不具备备内容检检测的能能力,不不具备检检测新型型的混合合攻击和和防护的的能力。较较新的深深度检测测防火墙墙往往在在分片的的数据包包前一筹筹莫展,所以传传统的防防火墙不不具备完完备的内内容检测测能力,无无法做到到内容安安全过滤滤。IDDS设备备虽然可可以检测测网络中中的攻击击,但是是它不能能对攻击击行为进进行有效效的防御御和阻断断,IDDS的大大量误报报也使得得管理员员难以从从大量的的日志中中找出有有价值的的信息。桌桌面防病
7、病毒软件件防护对对象是终终端,往往往需要要使用者者的对操操作系统统和其软软件都有有较高的的操作水水平,并并且防病病毒软件件往往会会限制用用户一些些正常操操作,为为了突破破限制用用户会不不得不关关闭防毒毒软件,这这些都使使得防病病毒软件件实施的的效果受受到了很很大的影影响,所所以不能能保障网网络的安安全。什么是IPPSIPS是继继“防火墙墙”、“信息加加密”等传统统安全保保护方法法之后的的新一代代安全保保障技术术。它监监视计算算机系统统或网络络中发生生的事件件,并对对它们进进行分析析,以寻寻找危及及信息的的机密性性、完整整性、可可用性或或试图绕绕过安全全机制的的入侵行行为并进进行有效效拦截。(I
8、IPS)就就是自动动执行这这种监视视和分析析过程,并并且执行行阻断的的硬件产产品。防火墙的局局限性防火墙是阻阻止黑客客攻击的的一种有有效手段段,但随随着攻击击技术的的发展,这这种单一一的防护护手段已已不能确确保网络络的安全全,它存存在以下下的弱点点和不足足:1. 防火墙无法法阻止内内部人员员所做的的攻击防火墙保护护的是网网络边界界安全,对对在网络络内部所所发生的的攻击行行为无能能为力,而而据调查查,网络络攻击事事件有660%以以上是由由内部人人员所为为。2. 防火墙对信信息流的的控制缺缺乏灵活活性防火墙是依依据管理理员定义义的过滤滤规则对对进出网网络的信信息流进进行过滤滤和控制制的。如如果规则
9、则定义过过于严格格,则限限制了网网络的互互连互通通;如果果规则定定义过于于宽松,则则又带来来了安全全隐患。防防火墙自自身无法法根据情情况的变变化进行行自我调调整。3. 在攻击发生生后,利利用防火火墙保存存的信息息难以调调查和取取证在攻击发生生后,能能够进行行调查和和取证,将将罪犯绳绳之以法法,是威威慑网络络罪犯、确确保网络络秩序的的重要手手段。防防火墙由由于自身身的功能能所限,难难以识别别复杂的的网络攻攻击并保保存相关关的信息息。为了确保计计算机网网络安全全,必须须建立一一整套的的安全防防护体系系,进行行多层次次、多手手段的检检测和防防护。入入侵防护护系统就就是安全全防护体体系中重重要的一一环
10、,它它能够及及时识别别网络中中发生的的入侵行行为并实实时报警警并且进进行有效效拦截防防护。需需要说明明的是,虽虽然目前前很多防防火墙都都集成有有入侵防防护模块块,但由由于技术术和性能能上的限限制,它它们通常常只能检检测少数数几种简简单的攻攻击,无无法与专专业的入入侵防护护系统相相比。专专业入侵侵防护系系统所具具有的实实时性、动动态检测测和主动动防御等等特点,弥弥补了防防火墙等等静态防防御工具具的不足足。为什么要使使用入侵侵防护系系统对于一个行行之有效效的安全全解决方方案,它它必须考考虑当前前在应用用和安全全上的挑挑战。这这些挑战战包括: 1) 对分布式应应用的依依赖性不不断增强强 各个机机构日
11、益益依赖基基于Weeb的应应用和业业务级的的分布式式应用来来开展业业务。分分支机构构和生产产部门也也会通过过广域网网从远程程访问CCRM和和ERPP等关键键应用。 2) 网络化应用用容易受受到攻击击 由于800、1399等端口口通常是是打开的的,因此此如果不不对借助助这些端端口穿越越防火墙墙进入网网络的流流量进行行检测,网网络化应应用将非非常容易易遭到病病毒、入入侵、蠕蠕虫和DDoS等等形式的的攻击。为为保护网网络化应应用的安安全,需需要对所所有流量量进行深深入的数数据包检检测,以以实时拦拦截攻击击,并且且防止安安全性侵侵害进入入网络并并威胁各各个应用用。 3) 呈爆炸性增增长的攻攻击 应用用
12、攻击的的数量和和严重性性都在飞飞快地增增长,仅仅20003年就就出现了了42000多种种攻击形形式,而而且这一一数字每每年都会会翻一番番。 4) 相应地,这这些攻击击造成的的损失也也呈直线线上升趋趋势。据据报道,2003年8月成为IT历史上最糟的一个月。在该月,仅Sobig病毒就在全球造成了297亿美元的经济损失。 5) 当前的安全全工具无无法拦截截这些攻攻击 在应应用层的的攻击面面前,防防火墙、IDS以及防病毒网关等现有的安全工具缺乏相应的处理能力、性能和应用安全智能,从而使各个机构暴露无遗。 因此,一种种能用数数千兆位位的速度度对所有有流量进进行双向向扫描并并且可以以实时防防范各种种应用层
13、层攻击(比比如蠕虫虫、病毒毒、木马马和Doos攻击击)的内内置安全全解决方方案,无无疑已成成为当务务之急。 联想网御IIPS入入侵防护护系统在在业内首首先提供供了以快快速防范范入侵和和拒绝服服务攻击击的产品品。该产品品可以实实时地隔隔离、拦拦截和阻阻止各种种应用攻攻击,从从而为所所有网络络化应用用、用户户和资源源提供了了直接保保护。2、联想网网御解决决方案IPSS入侵防防护系统统针对以上的的各种不不安全以以及难以以管理的的因素,网网御IPPS入侵侵防护系系统作为信信息安全全的新一一代门户户,就应应运而生生了。自自20001年联联想网御御开始研研发带入入侵防御御系统模模块的防防火墙以以来,经经过
14、不断断地努力力,在220077年第一季度我我们即将将实现联联想IPPS入侵侵防护系系统产品品上市的的梦想。在在众多国国内乃至至全球安安全厂商商中,联联想网御御是研发发IPSS入侵防防护系统统产品的的领跑者者,在220022年就取取得多项项该领域域的技术术专利。 联想网网御通过过对入侵侵防护、防火墙墙的整合合和改良良,使IIPS入入侵防护护系统产产品可以以很好地地防御目目前流行行的混合合型数据据攻击的的威胁。这这些特性性和技术术使得IIT管理理人员可可以很容容易地控控制如IInsttantt Meessaage信信息和PP2P应应用的传传输,并并且阻断断来自内内部的数数据攻击击以及垃垃圾数据据流
15、的泛泛滥。同同时,设设备可以以支持动动态的行行为特征征库更新新,更具具备7层层的数据据包检测测能力。完完全克服服了目前前市场上上深度包包检测的的技术弱弱点。特特别针对对分包攻攻击的内内容效果果明显。 为为了突破破硬件平平台限制制,联想想网御采采用专用用的ASSIC芯芯片来完完成对网网络数据据包的内内容检测测,打破破了传统统防火墙墙内容处处理障碍碍 ,提供供了实时时入侵防防护功能能所需的的强大计计算处理理功能。4、联想网网御IPPS入侵侵防护系系统系列列产品介绍绍4.1简介介作为国内领领先的专专业的防防火墙/VPNN厂商,联联想网御御在服务务用户的的过程中中,很早早就认识识到传统统安全设设备的局局限性。早早在20001年年,我们们在国内内率先推推出集防防火墙、防防病毒、IIDS功功能于一一身的产产品,并并申请了了发明专专利(专专利号: 011109917889)。近近年来一一直在技技术上努努力创新新,针对对多安全全功能整整合、并并行处理理等方面面进行软软件体系系结构的的改进和和优化,并并寻找合合适的高高性能硬硬件平台台。同时时,由于于IPS
