-
产品白皮书
网神
SecIPS
3600
入侵防御
系统
本文档解释权归网神信息技术(北京)股份有限公司安
全网关中心产品部所有。
网神信息技术(北京)股份有限公司
2011
年
3
月
网神
SecIPS
3600
入侵防御系统·产品白皮书
?
版权声明
Copyright ? 2006-2011
网神信息技术(北京)股份有限公司
(
“网神”
)
版权所有,侵权必究。
未经网神书面同意,
任何人、
任何组织不得以任何
方式擅自拷贝、
发行、
传播或引用本文档的任何内容。
?
文档信息
文档名称
网神
SecIPS
3600
入侵防御系统产品白皮书
扩散范围
销售
/
售前
/
客服
/
渠
文档版本号
V6.10.1
道商
/
用户
作者
刘松
日期
2011/10/01
初审人
宋伟
复审人
陈华平
?
版本变更记录
时间
版本
说明
作者
110809
V6.8.1
更新了
G620B
和
H840
的产品规格
2
网神
SecIPS
3600
入侵防御系统·产品白皮书
目
录
1
产品概述
............
..................................................
.................................................
4
2
产品特点
............
..................................................
.................................................
4
3
产品功能
............
..................................................
...............................................
12
4
产品资质
............
..................................................
...............
错误!未定义书签。
3
网神
SecIPS
3600
入侵防御系统·产品白皮书
1
产品概述
网神
SecIPS 3600
入侵防御
系统(简称:
“网神
IPS
”
)将深度内容检测、
安全防护、上网行为管理等技术完美地结合在一起。
配合实时更新的入侵攻击
特征库,可检测防护
3000
种以上的网络攻击行为,包括病毒、蠕虫、木马、
间谍软件、可疑代码、
探测与扫描等各种网络威胁,并具有丰富的上网行为管
理,可对
P2P
、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。
< br>从而,很好地提供了动态、主动、深度的安全防御。
2
产品特点
网神
IPS
的完善体系结构包括两大部
分:强化安全的专用操作系统和模块
化硬件系统。以下分别介绍这两大部分。
?
高效的体系结构
在平台优化的核心技术方面,主要有以下三个方面。
1
)
零拷贝技术
数据包以
Scatter-and-Gather
方式主动通过千兆网卡
DMA
进入内存后就不
再拷贝,有效地减少内存存取次数。
2
)
核心层优化
所有报文的解析与比对都
由核心层(
Kernel
)进行,完全不用通过核心层
与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次
数。
4
网神
SecIPS
3600
入侵防御系统·产品白皮书
3
)
硬件特征比对
网神特征比对引擎是一
款能直接比对特征码格式,引擎比对速度高达
4Gbps
。相对
于一般只对报文内容进行文字搜索的作法,引擎同时整合了第四
层的特征内容,减少了处
理器额外比对并且有效降低误判,且支持
Wildcard
、<
/p>
Distance
、
Within
等等针对
P2P/IM
等应用程序所需要的操
作单元,能高速进
行对比并且不会有规则存储导致硬件满载的风险。
?
实时的入侵检测防护
网神
IPS
具备基于协议异常、
会话状态识别和七层应
用行为的攻击识别功
能,
内置超过
3,
000
种的
IPS
特征库,
并可自定义入侵攻击和应用软件的特征;
支持对
V
LAN
、
MPLS
、
< br>ARP
、
TCP
、
UDP
、
RPC
、
WCCP
、
GRE
、<
/p>
IPV6
、
SMTP
等各种协
议的分析;支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端
口
扫描、非法连接等多种攻击的防护。
?
丰富的上网行为管理
网神
IPS
不仅具有精准的入侵检测和防护功能,同时还具有丰富的内网上
p>
网行为管理功能。
可以根据不同的时间、
群
组,
来对及时聊天软件、
P2P
软件、
非法隧道等下达严格的管理策略。
?
强大的抗
DoS/DDoS
传统的网
络安全设备仅具有单纯地设定单位时间内访问特定服务次数,
来
阻
断
未
知
类<
/p>
型
的
DoS/DDoS
< br>攻
击
。
这种机制虽然可以将超过
阈值的攻击数
5
网神
SecIPS
3600
入侵防御系统·产品白皮书
据包丢弃,但同时也会将超过阈值的合法数据包丢弃,造成正常用户不能使用
网络服务。
网神
IPS
对于需要重点保护的
Web
、
DNS
等服务可选择采取传统的
p>
处理机制。
另外,网神
< br>IPS
提供独特的
DoS/DDoS
检测及预防机制,可以辨别合法数
据包以及
DoS/DDo
S
攻击数据包,支持双向阻断
TCP/UDP/IGMP/IC
MP/IP
Flooding
、
UDP/ICMP
Smurfing
等类型的
DoS/DDoS
< br>攻击,可检测的
DoS/DDoS
攻击软件包括
XDoS
、
SUPERDDoS
、
FATBOY
等
50
种以上。
网神高端
IPS
对于一般性能指针
(
TCP SYN Flooding
),当攻击包大小
为
128 bytes
时,可以抵挡
480Mbps
流量的攻击,当攻击包大小为<
/p>
1518bytes
时,可以抵挡
128
0Mbps
流量的攻击。
因此,当用
户在遭受
DoS/DDoS
攻击之时,网神
IPS
仍然能够保证合法用
户顺利享用网络服务。
?
动态的异常流量管理
当黑客发动攻击
时,常会伴之网络异常的情形发生。网络异常的情形可分
为以下三种。
< br>
1
)
通信协议异常
例如由外界网络流入大
量过长的
IP
数据包、大量的
IP
p>
碎片数据包、异常
的
TCP
通信协议连机状态、被截断的
IP
数据包、无法重组的
IP
数据包等。
2
)
IP/Port
的扫瞄异常
通过
IP
扫瞄,黑客得以窥知目的端内网络结构
和情形;通过
Port
扫瞄,
黑客可以
得知目标主机已开启的服务端口。
6
网神
SecIPS
3600
入侵防御系统·产品白皮书
3
)
网络流量异常
例如突然产生大量的
TCP
SYN<
/p>
、
TCP
、
UD
P
、
ICMP
、
IGMP
等数据包,占据正
常网络使用带宽。
当上述攻击数据包发起时,
经过改造的恶意数据包可
能会造成企业内部网
络系统死机无法对外提供正常的服务;
IP
/Port
扫瞄的行为将使企业内部的网
络架构轻易被黑客得知
;大量的异常流量数据包也可能造成企业核心路由器、
交换机等因承载过重而死机。
p>
2003
年所发生的
SQL
Slammer
攻击就是因为送出
大量
UDP
数据包而造成企业网络瘫痪。
?
精准的带宽管理功能
网神
IPS
采取七层深度数据包分析技术,
可以完整地
做到应用程序级别的
流量管理,具体针对以下两方面的管理:
1
)
可根据不同的应用程序分配不同的带宽,如对
P2P
、
PPlive
、
PP
Stream
等流量的管理。
2
)
宽。
网神
I
PS
采取以下两种方式对流量进行管理:
1
)
网络传
输带宽方式限流,即限制特定对象的最大带宽,可精准到
可根据不同的
< br>VLAN
、源
/
目的
IP
地址、应用协议端口划分不同的带
1Kbps
。
2
)
?
实用的多重冗余功能
7
网络传输总量方式限流,即限制特定对象的单位时间内传输
总量。
网神
SecIPS
3600
入侵防御系统·产品白皮书
网神
IPS
具有多层次的冗余功能,能提供最高等级的高可用性
,并方便用
户灵活配置。
1
)
高端设备标配可热插拔的冗余双电源
确保某一电源失效时可自动由备用电源供电,
不停机即可修复,
避免电源
硬件故障时设备失去作用。
2
)
提供内
置
BYPASS
功能
在设备出现硬件及电源故障时快速、
自动切换到直通状态,
保障网络可用
性。
此外不管是因为硬件或是软件的因素,<
/p>
假设侦测引擎出现阻碍
(
blockin
g
)
死锁的状况,内置
BYPASS<
/p>
功能也会自动切换到直通状态,用户无须担心设备
的可靠度。内置
BYPASS
功能可通过远程管理实现启动或关闭管理。
3
)
支持
Active-
Active
和
Active-
Passive
的高可用性功能
采用
MRP
(
Multi-Layers
Redundant
Protocol
)多重冗余协议技术,在并
发连接数达到数百万时亦可有效地在网神
< br>IPS
设备之间实现同步。相较于一般
采用
Linux
ct_sync
模块或是
FreeBSD pfsync
模块的产品,网神的同步技术
仅需要
5.8%
的数据量,不会因为
HA
的数据影响侦
测引擎的速度。
4
)
支持联机自动切换(
Link Fault Pass
Through and Link Fault
Restoration
)功能
p>
一般交换机实现
HA
功能的方法不一,大多
交换机将物理链路的状态作为
判断依据,一般的
IPS
在这种情形下可能会出现潜在的问题。如图
1
所示,
如当防火墙
-1
与普通的
IPS
的链路中断时,
两端的交换机由于各自物理链路依
然完好而无法侦测此故障,因此数据包仍会继续往已
中断的链路传送造成使用
者连接中断。
8
-
-
-
-
-
-
-
-
-
上一篇:光伏词汇
下一篇:效果器及音箱术语中英文对比