-
网神
SecIPS
3600
系列入侵防御系统
产品白皮书
V2.2
网御神州科技(北京)有限公司
文档说明
本文的内容是网神
SecIPS 3
600
系列入侵防御系统产品白皮书。
文中的资料、
说
明等相关内容归网御神州科技(北京)有限公司所有。本文中的任何部分
未经网御神
州科技(北京)有限公司(以下简称“网御神州”
)
许可,不得转印、影印或复印。
网神
SecIPS
3600
系列入侵防御系统产品白皮书
2006-2009?
版权所有
网御神州科技(北京)有限公司
北京海淀区上地开拓路
7
号先锋大厦二段
1
层<
/p>
2Section 1F , Xianfeng
Building , No. 7 Kaituo Road , Haidian District ,
Beijing
客服热线(
Customer Hotlin
e
)
:
400-610-8220
传真(
F
ax
)
:
邮编(
Post
Code
)
:
100085
网神
Se
cIPS3600
系列入侵防御系统产品白皮书
目
录
1
产品概述
..................................................
..................................................
..................... 2
2
产品特点
..................................................
..................................................
..................... 2
2.1.1
高效的体系结构
...........................................
.............................................
2
2.1.2
实时的入侵检测防护
............................
..................................................
.. 3
2.1.3
丰富的上网行为管理
.........................
..................................................
..... 3
2.1.4
强大的抗
DoS/DDoS
...........................................
.................................... 3
2.1.5
动态的异常流量管理
.........................................
.......................................
3
2.1.6
精准的带宽管理功能
............................
..................................................
.. 4
2.1.7
实用的多重冗余功能
.........................
..................................................
..... 4
2.1.8
方便的管理方式
........................
..................................................
.............. 6
3
主要功能
..................................................
..................................................
..................... 9
4
产品型号与指标
< br>............................................... .................................................. .......... 13
5
<
/p>
产品形态
.........................
..................................................
............................................
18
6
产
品资质
....................................
..................................................
................................. 21
网御神州科技(北京)有限公司
第
1
页
网神<
/p>
SecIPS3600
系列入侵防御系统产品白皮书
1
产品概述
网御神州
IPS
将深度内容检测、安全防护、上
网行为管理等技术完美地结合在
一起。配合实时更新的入侵攻击特征库,可检测防护
3000
种以上的网络攻击行为,
包括病毒
、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有
丰富的上网行
为管理,可对
P2P
、聊天、在线游戏、虚拟通道等内网访问实
现细粒度
管理控制。从而,很好地提供了动态、主动、深度的安全防御。
2
产品特点
网御神州
IPS
的完善体系结构包括两大部分:<
/p>
强化安全的专用操作系统和模块化
硬件系统。以下分别介绍这两大
部分
2.1.1
高
效的体系结构
在平台优化的核心技术方面,主要有以下三个方面。
1
)
零拷贝技术
数据包以
Scatter-and-Gather
方式主动通过千兆网卡
DMA
进入内存后就不再拷<
/p>
贝,有效地减少内存存取次数。
2
)
核心层优化
所有报文的解析与比对都
由核心层(
Kernel
)进行,完全不用通过核心层与应用<
/p>
层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。
3
)
硬件特征比对
网御神州特征比对引擎
是一款能直接比对特征码格式,引擎比对速度高达
4Gbps
。
相对于一般只对报文内容进行文字搜索的作法,引擎同时整合了第四层的特
征内容,减少
了处理器额外比对并且有效降低误判,且支持
Wildcard
、
Distance
、
Within<
/p>
等等针对
P2P/IM
等应用程序所需要
的操作单元,能高速进行对比并且不会有
规则存储导致硬件满载的风险。
网御神州科技(北京)有限公司
第
2
页
网神<
/p>
SecIPS3600
系列入侵防御系统产品白皮书
2.1.2
实
时的入侵检测防护
网御神州
IPS
具备基于协议异常、会话状态识别和七
层应用行为的攻击识别功
能,内置超过
3,000
种的
IPS
特征库,
并可自
定义入侵攻击和应用软件的特征;支持
对
VLAN
、
MPLS
、
ARP
、
TCP
、
UDP<
/p>
、
RPC
、
WC
CP
、
GRE
、
IPV6
、
SMTP
等各
种协议的分析;支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫
描、非法连接等多种攻击的防护。
2.1.3
丰
富的上网行为管理
网御神州
IPS
不仅具有精准的入侵检测和防护功能,
同时还具有丰富的内网上网
行为管理功能。可以根据不同的时间
、群组,来对及时聊天软件、
P2P
软件、非法隧
道等下达严格的管理策略。
2.1.4
强
大的抗
DoS/DDoS
传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数,来阻
断
未
知
类
型
的
DoS/DDoS
攻
击
。这种机制虽然可以将超过阈值的攻击数据包丢弃,
但同时也会将超过阈值的合法数据包丢弃,
造成正常用户不能使用网络服务。
网御神
州
IPS
对于需要
重点保护的
Web
、
DNS
等服务可选择采取传统的处理机制。
另外,网御
神州
IPS
提供独特的
DoS/DDo
S
检测及预防机制,可以辨别合法数
据包以及
< br>DoS/DDoS
攻击数据包,
支持双向阻断
TCP/UDP/IGMP/ICMP/IP Flooding
、
UDP/ICMP Smurfing
等类型的
DoS/DDoS
攻击,
可检测的
DoS/DDoS
攻击软件包括
XDoS
、
SUPERDDoS
、
FATBOY
等
50
种以上。
网御神州高端
< br>IPS
对于一般性能指针
(
TCP SYN
Flooding
),当攻击包大小为
128 bytes
时,可以抵挡
480Mbps
流量的攻击,
当攻击包大小为
1518bytes
时,可
以抵挡
1280Mbps
流量的攻击。
因此,当用户在遭受
DoS/DDoS
< br>攻击之时,网御神州
IPS
仍然能够保证合法用
户顺利享用网络服务。
2.1.5
动
态的异常流量管理
当黑客发动攻击时,
常会伴之网络异常的情形发生。
网
络异常的情形可分为以下
网御神州科技(北京)有限公司
第
3
页
网神<
/p>
SecIPS3600
系列入侵防御系统产品白皮书
三种。
1
)
通
信协议异常
例如由外界网络流入大量过长的
IP
数据包、
大量的
IP
碎片数据包、
异常
的
TCP
通信协议连机状态、被截断的
IP
数据包、无法重组的
IP
数据包等
。
2
)
<
/p>
I
P/Port
的扫瞄异常
通过
IP
扫瞄,黑客得以
窥知目的端内网络结构和情形;通过
Port
扫瞄,黑客可
以得知目标主机已开启的服务端口。
3
)
网
络流量异常
例如突然产生大量的
TCP SYN
、
TCP
、
UDP
、
ICMP
、
IGMP
等数据包,占据正
常网络使用带宽。
当上述攻击数据包发起时,
经过改造的恶意数据包可能会造成企业内部网络系
统
死机无法对外提供正常的服务;
IP/Port
扫瞄的行为将使企业内部的网络架构轻易被
黑客得知;
大量的异常流量数据包也可能造成企业核心路由器、
交换机等因承载过重
而死机。
2003
年所发生的
SQL Slammer
攻击就是因为送出大量
UDP
数据包而造成
企业网络瘫痪。
2.1.6
精
准的带宽管理功能
网御神州
IPS
采取七层深度数据包分析技术,
可以完整地做到应用程序级别的流
量管理,具体针对以下两方面的管理
:
1
)可根据不同的应用程序分配不
同的带宽,如对
P2P
、
PPliv
e
、
PPStream
等
流量的管理。
2
)可根据
不同的
VLAN
、源
/
目的
IP
地址、应用协议端口划分不同的带宽。
网御神州
IPS
采
取以下两种方式对流量进行管理:
1
)网络传输带宽方式限流,即限制特定对象的最大带宽,可精准到
1Kbps
。
2
)网络传输总量方
式限流,即限制特定对象的单位时间内传输总量。
2.1.7
实
用的多重冗余功能
网御神州
IPS
具有多层次的冗余功能,
能提供最高等级的高可用性,
并方便用户
灵活配置。
网御神州科技(北京)有限公司
第
4
页
网神<
/p>
SecIPS3600
系列入侵防御系统产品白皮书
1
)
高
端设备标配可热插拔的冗余双电源
确保某一电源失效时可自动由备用电源供电,不停机即可修复,避免电源硬件
故障时设备失去作用。
2
)
提
供内置
BYPASS
功能
< br>
在设备出现硬件及电源故障时快速、自动切换到直通状态,保障网络可用性。<
/p>
此外不管是因为硬件或是软件的因素,假设侦测引擎出现阻碍(
b
locking
)死锁的状
况,内置
B
YPASS
功能也会自动切换到直通状态,用户无须担心设备的可靠度。内
置
BYPASS
功能可通过远程管理实现启动或关闭
管理。
3
)
支
持
Active-
Active
和
Active-
Passive
的高可用性功能
采用
MRP
(
Multi-Layers
Redundant Protocol
)
多重冗余协议技术,
在并发连接
数达到数百万时亦可有效地在网御神州
IPS
设备之间实现同步。相较于一般采用
Linu
x ct_sync
模块或是
FreeBSD pfsync<
/p>
模块的产品,网御神州的同步技术仅需要
5.8%
的数据量,不会因为
HA
的数据影响侦测引擎的速度。
4
)
支
持联机自动切换(
Link
Fault Pass Through and Link Fault
Restoration
)功能
一般交换机实现
HA
功能的方法不一,大多
交换机将物理链路的状态作为判断依
据,一般的
IPS
在这种情形下可能会出现潜在的问题。如图
1
所示,如当防火墙
-1
与普通的
IPS
的链路中断时,
两端的交换机由于各自
物理链路依然完好而无法侦测此
故障,因此数据包仍会继续往已中断的链路传送造成使用
者连接中断。
网御神州
IPS
的联机自动切换功能就是为了解决这种问题所设计,
当一端的链路
中断时,
会自行将另一端的链路同时中断,
因此交换机才能够正确反应将线路切换到
畅通的链路。
网御神州科技(北京)有限公司
第
5
页
网神<
/p>
SecIPS3600
系列入侵防御系统产品白皮书
图
1
网御神州
IPS
双机自动切换功能说明图
2.1.8
方
便的管理方式
要做好网络安全管理不仅仅需要设计精良的设备,
最重要的是可将设备融入已有
网络环境,
并且能够很好地配合本单位的安全规范。
网御神州
IPS
支持强大且丰富的
管理能力,
能够贴近各种不同网络架构的需求,
并且提供网
管人员最友好的管理接口,
以及多种实用的报表。具有以下特点:
1
)
多
样化的管理模式
< br>除了
SecIPS
管理系统
<
/p>
Java
接口外,
SecIPS
也可通过远程
SSH
登录管理,或
是以
Console
(
RS
-232/RJ-45
)登录。
SSH/Console
接口为选单式,简捷方便并且
省去用户记忆指令的困扰。
2
)
< br>面
向对象的虚拟化
IPS
引擎<
/p>
IPS
的检测引擎通常是依据
RFC
等规范开发,但是有时仍会遇上一些例外的状
况:
?
应用程序在运行时不依规范开发,引起
IPS
的误判。这时若
停止误判的特征
规则,则其它的计算器就无法受到此特征规则的保护。
< br>
?
利用
IPS
来管理
P2P
时,面对不同
的对象可能需要有不同的管理策略。
在这两个例子里,都需要
IPS
能根据对象的不同针对特征规则有不一样的反应
方式。
网御神州
IP
S
的虚拟化特征引擎提供最弹性化的管理方式。
每一对实体
IPS/IDS
网御神州科技(北京)有限公司
第
6
页
网神<
/p>
SecIPS3600
系列入侵防御系统产品白皮书
都可配置不同的规则集,每一个规则集所包含的规则,都可依据来源
/
目的端
IP
地址<
/p>
或是
VLAN
ID
来决定对应的处理方式。比如针对电驴(
eDonkey
)
程序,网御神州
IPS
可分别以直通、流量控管、以及阻断方式
来管理不同的三个部门。而且每条规则
皆可定义有效的运行时程,方便网络管理人员依据
上下班的时间部署规则。
3
)
直
观的统计工具和报表
IPS
能实时的拦阻攻击和入侵事件,
同时对网络管
理人员来说,
丰富且完善的报
表也是非常重要的,不但能借助报
表掌握单位网络的实际状况,也能防患于未然。网
御神州
IPS
的报表有以下
四
样特点:
?
实时统计仪表盘
统计仪表盘可以统计
自上次归零以后,网络安全事件的分类比率,以及平均流
量和目前的流量。网管人员可以
从异常的流量(相较平均值)和事件发生的比率去观
察,搭配交叉查询的功能,能快速的
定位出有意义的网络安全事件,以免被太多的资
料所淹没。
?
实时事件列表、流量监视器、系统状态监视
实时事件列表详细的表达出目前正在发生的网络安全事件,包
含了严重程度、
攻击者和受害者的
IP
地址、发生的时间、
IPS
对此事件的反应。流量监视器实时的
显示出目前流经过
IPS
的流量大小,
以及常用应用程序
(
HTTP
, SMTP
, POP
,
FTP
, …
)
所占用的流量。
系统状态则监视
IPS
的处理器和内存利用率
,
方便网管人员监控设备。
?
交叉查询
交叉查询是最为灵活的报表产生器。它允许使用者依据事件发生的时间、源地
址、目的地址、事件名称当作搜寻的标的,并可用来源地址、目的地址、及事件名称
当作是件排名的依据,并可针对不同的虚拟
IPS
和<
/p>
ACL
产生交叉报表。产生出来的
交叉报
表可转为
HTML
格式方便打印及保存。
?
样板报表与定期报表
交叉查询虽然方
便,但是需要对数据库进行大量的存取,因此需要比较长的运
算时间。因此
SecIPS
3600
的管理接口内建了最常用的
八种报表,可缩短搜寻的时
间,提高了便利性。样板报表还包括了依据攻击种类和严重程
度排名的趋势图,直观
地提供网管人员最佳的参考。
网御神州
IPS
管理接口并支持最为灵活的定期
报表系统,可依使用者指示的时
网御神州科技(北京)有限公司
第
7
页
网神<
/p>
SecIPS3600
系列入侵防御系统产品白皮书
间将预先设定的报表或是自订的报表,依设定的格式(
HTML
、
PDF
、
CVS
)和指定
的方法(
F
TP
、邮件)传送给指定的使用者。定期报表的内容预设有八种内容,使用
者另可依据交叉查询的格式自订需要的内容。并可循环产生,方便网管人员整理。
4
)
使
用者自行定义特征码
网御神州
IPS
开放使用者自行定义
特征码,弹性的格式方便使用者定义出有效
的特征。
使用者借助
网络包收集工具观察之后,
便可利用此功能拦阻或是对某些网络
行为发送日志。
特征格式包含第三层至第七层的报文,
而且可以
定义报文之间的距离,
也可以规范事件发生的频率,有效阻挡第七层的阻断式攻击。例如
,使用者可自行规
范
Internet
用户存取单位内服务器的频率为每秒
20
次,若有攻击者企图使
用大量连
接攻击服务器,就会被网御神州
IPS
有效阻拦。
网御神州科技(北京)有限公司
第
8
页
网神<
/p>
SecIPS3600
系列入侵防御系统产品白皮书
3
主要功能
分类
入侵检测与
防护
特性
/
功能
入侵检测引
擎
详细描述
产品具备基于协议异常、会
话状态识别和七层应用行为的
攻击识别功能;可自定义检测方向﹐可检测来自外部网络<
/p>
的入侵攻击和管理追踪内部网络的蠕虫感染与网络应用
支持
IPS
、
IDS<
/p>
、
IPS
Monitor/
学习、
L2
Forward
等多种工
作模式
内置多达
3000
种的
IPS
特征库;并可自定义入侵攻击和
应用软件的特征
支持对
VLAN
、
MPLS
、
ARP
< br>、
TCP
、
UDP
、
RPC
、
WCCP
、
GRE
、
IPV6
、
SMTP
等各种协议的分析
可自定单个策略的运行时间
工作模式
特征规则
协议分析
策略时间管
理
防护攻击类
支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代
< br>型
码、端口扫描、非法连接等多种攻击的防护
< br>对数据包的
支持丢弃数据包、
中断连机、
事件监视
/
记录
(可选择记录
处理方式
数据包内容,如
Sniffer
一般)、限制连接传
输带宽、限制
传输总量等多种处理方式
针对蠕虫具备自动利用系统漏洞入侵的能力,以达到快速
阻断蠕虫传
< br>将自我扩散到其它系统的特点;
IPS
能发现蠕虫入侵,
并
播
能立即丢弃尝试入侵的数据包,
让蠕虫无法顺利扩散,如
对
Zotob
Worm
、
MS SQL Slammer
Worm
等蠕虫的控制
可针对
Windows
、
Unix
< br>、
Linux
等操作系统的弱点进行防
< br>防御操作系
御,弱点类型包含了
Stack
and
Heap
Buffer <
/p>
overflow
、
统漏洞攻击
Format
string
error
、
Memory
access
error
、
Memory
corruption
、
Access control and Design
weakness
等等
防御木马
检测基于
< br>ActiveX
、
XML
、
VML
、
MDAC
等的漏洞,可阻
网御神州科技(北京)有限公司
第
9
页
-
-
-
-
-
-
-
-
-
上一篇:公务员实词辨析
下一篇:Xilinx FPGA 内部结构深入分析