《联想网御IPS产品白皮书》由会员分享,可在线阅读,更多相关《联想网御IPS产品白皮书(21页珍藏版)》请在金锄头文库上搜索。
1、 欢迎阅读本文档,希望本文档能对您有所帮助!联想网御IPS入侵防护系统产品白皮书V2.0联想网御科技(北京)有限公司版权信息版权所有 20012007,联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属联想网御科技(北京)有限公司所有,受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段。商标信息联想网御,Legend,Lenovo,leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标,受商标法和有关国际公约的保护。第三方信息本文档
2、中所涉及到的产品名称和商标,属于各自公司或组织所有。联想网御科技(北京)有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street, Haidian District, Beijing电话(TEL):010-82166999传真(FAX):010-82166998技术热线(Customer Hotline):010-82167766电子信箱(E-mail):公司网站:目 录1、序言42、联想网御解决
3、方案IPS入侵防护系统74、联想网御IPS入侵防护系统系列产品介绍74.1简介74.2系统架构84.3工作模式95、联想网御IPS入侵防护系统产品特点95.1联想网御IPS入侵防护系统专用操作系统的特点和优点105.2联想网御IPS入侵防护系统内容处理硬件体系结构135.2.1硬件体系结构简介135.2.2内容处理加速引擎155.2.3在联想网御IPS入侵防护系统结构中的高可靠性165.3结论176、联想网御IPS入侵防护系统主要功能176.1 动态入侵防护/保护176.2防病毒206.3高可靠性(HA)206.4管理功能211、序言近几年来,随着信息化建设的飞速发展,信息安全的内容也越来越广
4、泛,用户对安全设备和安全产品的要求也越来越高。尽管防火墙、IDS等传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。混合攻击带来的新挑战随着红色代码、Nimda等有里程碑式的病毒出现,改写了病毒形态和病毒的历史,病毒已经不再只具有破坏力。新的病毒已经成为黑客的攻击和入侵手段,借助病毒的传播方式,黑客们可以轻易地窃取网络中的敏感数据和信息。黑客程序、木马、病毒已经有机地结合起来,使之成为黑客攻击的新工具。同时,木马、病毒等恶意程序也经常
5、通过邮件、恶意的Web网页(或者被篡改的Web网页)、文件下载等传播途径使得病毒的危害范围和扩散速度加大。这些都给传统的安全设备带来新的挑战。一些老式的防火墙不具备内容检测的能力,不具备检测新型的混合攻击和防护的能力。较新的深度检测防火墙往往在分片的数据包前一筹莫展,所以传统的防火墙不具备完备的内容检测能力,无法做到内容安全过滤。IDS设备虽然可以检测网络中的攻击,但是它不能对攻击行为进行有效的防御和阻断,IDS的大量误报也使得管理员难以从大量的日志中找出有价值的信息。桌面防病毒软件防护对象是终端,往往需要使用者的对操作系统和其软件都有较高的操作水平,并且防病毒软件往往会限制用户一些正常操作,
6、为了突破限制用户会不得不关闭防毒软件,这些都使得防病毒软件实施的效果受到了很大的影响,所以不能保障网络的安全。什么是IPSIPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。(IPS)就是自动执行这种监视和分析过程,并且执行阻断的硬件产品。防火墙的局限性防火墙是阻止黑客攻击的一种有效手段,但随着攻击技术的发展,这种单一的防护手段已不能确保网络的安全,它存在以下的弱点和不足:1. 防火墙无法阻止内部人员所做的攻击防火墙保护的是网络边界安
7、全,对在网络内部所发生的攻击行为无能为力,而据调查,网络攻击事件有60%以上是由内部人员所为。2. 防火墙对信息流的控制缺乏灵活性防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的。如果规则定义过于严格,则限制了网络的互连互通;如果规则定义过于宽松,则又带来了安全隐患。防火墙自身无法根据情况的变化进行自我调整。3. 在攻击发生后,利用防火墙保存的信息难以调查和取证在攻击发生后,能够进行调查和取证,将罪犯绳之以法,是威慑网络罪犯、确保网络秩序的重要手段。防火墙由于自身的功能所限,难以识别复杂的网络攻击并保存相关的信息。为了确保计算机网络安全,必须建立一整套的安全防护体系,进行多层
8、次、多手段的检测和防护。入侵防护系统就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。需要说明的是,虽然目前很多防火墙都集成有入侵防护模块,但由于技术和性能上的限制,它们通常只能检测少数几种简单的攻击,无法与专业的入侵防护系统相比。专业入侵防护系统所具有的实时性、动态检测和主动防御等特点,弥补了防火墙等静态防御工具的不足。为什么要使用入侵防护系统对于一个行之有效的安全解决方案,它必须考虑当前在应用和安全上的挑战。这些挑战包括: 1) 对分布式应用的依赖性不断增强 各个机构日益依赖基于Web的应用和业务级的分布式应用来开展业务。分支机构和生产部门也会
9、通过广域网从远程访问CRM和ERP等关键应用。 2) 网络化应用容易受到攻击 由于80、139等端口通常是打开的,因此如果不对借助这些端口穿越防火墙进入网络的流量进行检测,网络化应用将非常容易遭到病毒、入侵、蠕虫和DoS等形式的攻击。为保护网络化应用的安全,需要对所有流量进行深入的数据包检测,以实时拦截攻击,并且防止安全性侵害进入网络并威胁各个应用。 3) 呈爆炸性增长的攻击 应用攻击的数量和严重性都在飞快地增长,仅2003年就出现了4200多种攻击形式,而且这一数字每年都会翻一番。 4) 相应地,这些攻击造成的损失也呈直线上升趋势。据报道,2003年8月成为IT历史上最糟的一个月。在该月,仅
10、Sobig病毒就在全球造成了297亿美元的经济损失。 5) 当前的安全工具无法拦截这些攻击 在应用层的攻击面前,防火墙、IDS以及防病毒网关等现有的安全工具缺乏相应的处理能力、性能和应用安全智能,从而使各个机构暴露无遗。 因此,一种能用数千兆位的速度对所有流量进行双向扫描并且可以实时防范各种应用层攻击(比如蠕虫、病毒、木马和Dos攻击)的内置安全解决方案,无疑已成为当务之急。 联想网御IPS入侵防护系统在业内首先提供了以快速防范入侵和拒绝服务攻击的产品。该产品可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、用户和资源提供了直接保护。2、联想网御解决方案IPS入侵防护系统针对以上的
11、各种不安全以及难以管理的因素,网御IPS入侵防护系统作为信息安全的新一代门户,就应运而生了。自2001年联想网御开始研发带入侵防御系统模块的防火墙以来,经过不断地努力,在2007年第一季度我们即将实现联想IPS入侵防护系统产品上市的梦想。在众多国内乃至全球安全厂商中,联想网御是研发IPS入侵防护系统产品的领跑者,在2002年就取得多项该领域的技术专利。 联想网御通过对入侵防护、防火墙的整合和改良,使IPS入侵防护系统产品可以很好地防御目前流行的混合型数据攻击的威胁。这些特性和技术使得IT管理人员可以很容易地控制如Instant Message信息和P2P应用的传输,并且阻断来自内部的数据攻击以
12、及垃圾数据流的泛滥。同时,设备可以支持动态的行为特征库更新,更具备7层的数据包检测能力。完全克服了目前市场上深度包检测的技术弱点。特别针对分包攻击的内容效果明显。 为了突破硬件平台限制,联想网御采用专用的ASIC芯片来完成对网络数据包的内容检测,打破了传统防火墙内容处理障碍 ,提供了实时入侵防护功能所需的强大计算处理功能。4、联想网御IPS入侵防护系统系列产品介绍4.1简介作为国内领先的专业的防火墙/VPN厂商,联想网御在服务用户的过程中,很早就认识到传统安全设备的局限性。早在2001年,我们在国内率先推出集防火墙、防病毒、IDS功能于一身的产品,并申请了发明专利(专利号: 011091789
13、)。近年来一直在技术上努力创新,针对多安全功能整合、并行处理等方面进行软件体系结构的改进和优化,并寻找合适的高性能硬件平台。同时,由于IPS入侵防护系统涉及技术非常全面,既有网络层、传输层安全也有应用层安全技术,既有软件技术也有硬件技术,不可能由一家公司独立完成,必须广泛合作,尤其是和业界领先厂商合作。2005年,联想网御专门赴美国硅谷技术考察,并且成功地和多家顶级安全软硬件厂商展开深入合作。终于在2007年Q1成功推出了成熟的IPS入侵防护系统产品。目前,联想网御已经拥有提供业界最优秀IPS入侵防护系统产品的能力,产品线覆盖百兆、千兆IPS入侵防护系统。联想网御IPS入侵防护系统产品采用了独
14、特的高性能、高安全性、高可靠性的操作系统,提高了自身安全性的同时,加速了多线程的内容处理,为运行在其上层的防火墙、VPN、防病毒等安全引擎提供了强大而安全的性能支持。联想网御IPS入侵防护系统使用了专门的ASIC内容处理加速芯片,大大提高了系统的内容处理能力,为特征匹配,加解密,启发式扫描提供了硬件加速。联想网御IPS入侵防护系统在各个安全引擎中运用了新的算法和技术,针对传统包过滤无法检测的威胁;针对未知的攻击行为,使用了实时动态保护技术。4.2系统架构联想网御Power V IPS入侵防护系统主要由硬件平台、专用操作系统、IPS管理服务系统、IPS安全引擎等四个部分组成。硬件平台根据用户使用
15、环境的不同,选取专用安全平台或基于高性能服务器架构进行设计,并且使用专门ASIC内容处理芯片进行扫描和模式匹配的加速;专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统;IPS安全引擎采用模块化设计,针对不同的应用环境和不同的安全策略,可以配置不同的功能模块。入 侵 防 护CLIHA报警日志监控高效强化安全的操作系统CPUASIC内容处理芯片4.3工作模式联想网御全系列产品均采用联想网御新一代多安全域设计, IPS入侵防护系统系列产品多口的硬件设计可以使多安全域需求得到完全的满足,完全突破了传统的内网、外网、停火区的理念,可以根据企业内部不同的部门设置不同的互通安全规则,使得不仅在内网与外网的安全得到保障,同时保障了企业内部不同部门之间的安全需求。联想网御IPS入侵防护系统支持全透明交换工作模式,与网御IPS入侵防护系统可连接各个网络之间构成一个统一的交换式物理子网,子网内部还可以有自己的第二级路由器。除安全管理以外,防火墙本身的工作不需要IP地址,为隐式全透明防火
