华为NIP6000下一代入侵防御系统技术白皮书

华为NIP入侵防御&检测系统技术白皮书文档版本V1.0华为技术有限公司目录1互联网安全趋势.................................................................................................................32客户需要更先进的入侵防护产品......................................................................................42.1传统防火墙的不足...........................................................................................................................42.2一般入侵防护产品的不足...............................................................................................................42.3如何评价和选择入侵防护产品........................................................................................................73NIP网络智能防护系统....................................................................................................103.1先进的应用层威胁防护.................................................................................................................103.2结合环境感知的事件分级.............................................................................................................163.3强大的DDoS攻击防护...............................................................................................................173.4领先的应用识别能力.....................................................................................................................193.5高效的病毒防御.............................................................................................................................223.6安全信誉........................................................................................................................................263.7精细的一体化策略配置.................................................................................................................273.8IPv6及隧道检测.............................................................................................................................273.9HTTPS流量防护............................................................................................................................283.10简单灵活的安装和使用...............................................................................................................283.11多层次的高可靠性保障...............................................................................................................303.12完善的维护管理系统...................................................................................................................353.13完善的日志报表系统...................................................................................................................354灵活的部署.......................................................................................................................374.1企业互联网接入的全面保护..........................................................................................................374.2IPS/IDS混合部署..........................................................................................................................384.3不对称流量的部署.........................................................................................................................395结论/Conclution............................................................................................................41Copyright©2013华为技术有限公司版权所有，侵权必究第3页,共41页1互联网安全趋势随着互联网飞速的发展，企业和用户面临的威胁也日益严重。许多服务器上安全的软件系统的规模越来越大，复杂度越来越高，大量的漏洞不断涌现；网络上信息资源的丰富使得普通人很容易就能够掌握各种计算机技术，迅速找到各种软件的漏洞；此外，计算机安全知识涉及的面太广，包括网络企业难于采取有效的措施对网络进行安全防护。这几个因素使得安全威胁飞速增长，尤其是混合威胁所带来的风险。黑客攻击、蠕虫病毒、木马后门、间谍软件等威胁泛滥，企业的机密数据被盗窃，重要数据被篡改、破坏，遭受了严重的经济损失。而由于互联网新兴应用的增长，比如社交网络，在线视频，微博等，使得互联网用户充分暴露在互联网环境下，使得攻击者有了新的机会，大量的客户端漏洞被暴露，大量的攻击都开始瞄准用户。恶意的攻击者们受利益的驱使，通过攻击普通用户，得到如信用卡，帐号等隐私信息。这些事实，使得每个企业，每一台服务器，每一位普通用户的安全遭受极大的损害。当网络安全设备还在以七层网络分层来讨论安全问题的时候，我们看到，现在的网络威胁已经聚焦在第七层即应用层，我们甚至可以毫不夸张的说，我们要面对的新兴的威胁，很多都已经渗透到“第八层”即内容层。新的网络威胁需要更先进的网络安全产品，用户需要一种产品，它不仅可以充分感知二层到七层来达到传统入侵防御系统所具备的基本功能外，更需要深入到内容层来发现潜藏的新威胁。Copyright©2013华为技术有限公司版权所有，侵权必究第4页,共41页2客户需要更先进的入侵防护产品2.1传统防火墙的不足传统防火墙作为网络安全的最基本设施，起到了不可磨灭的重要作用。但是我们应该注意到，对于新的网络安全问题，防火墙是那么的素手无策。从防火墙的角度来看，它更多是一个访问控制设备，防火墙会把符合安全策略的流量放过，高级一点的防火墙还会检测协议的基本健壮性，只让合法的流量通过。但是，新的攻击手段不断涌现，大量的攻击都渗透到应用层或者“内容层”，他们在网络层面的表现是非常健康的，所以防火墙根本无法拦截这些威胁。也由于防火墙本身的定位，其体系结构的设计也更多的是为了高速的访问控制，即使是最先进的基于状态的防火墙在灵活性上也有所欠缺。而互联网上的威胁恰恰是变化非常迅速，要应对这些威胁，企业在防火墙作为第一道防线之外，还需要一个能够迅速适应威胁变化的入侵防护产品。2.2一般入侵防护产品的不足作为专项安全的增强，传统的入侵防护产品很好的满足了这个需求。入侵防护产品可以部署在企业网络出口处或者重要服务器前面，作为防火墙的安全补充，提供主动的、实时的防护。入侵防护产品一般都能够准确检测二层到七层的网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断。入侵防护产品的一般工作流程是这样的：1.捕获网络数据包2.在IP报文层次进行报文重组3.在传输层进行报文重组（对于TCP，一般叫流重组）数4.将数据包和已知的攻击特征库进行模式比对5.如果比对过程中发现命中的特征，则采取相应动作。Copyright©2013华为技术有限公司版权所有，侵权必究第5页,共41页这样的入侵防护产品，在早些年，是能够很好的应对网络威胁的。但是同样是因为互联网威胁的变化，使得传统的入侵防护产品逐渐无法满足新的网络安全需要。主要有以下原因：误报传统的入侵防护产品一般都由入侵检测产品演进而来，其特征库很大一部分也是从入侵检测产品继承而来，由于入侵检测产品的网络部署方式和功能定位不同，其签名往往都是比较容易产生误报的。所以，这类的入侵防护产品也同样继承了这个缺陷，为了避免影响正常业务，这类入侵防护产品在真实的网络部署的时候，其默认策略仅开启很少的签名（只阻挡很少的威胁），或者依赖在部署之后，经历一段时间的“磨合”，即把容易误报的签名人工关闭。随着IT环境的进步，用户和网络管理员，他们需要更加智能更加省心的设备。他们需要一款从一开始研发就是聚焦防护的产品，一款可以即插即用的设备。这样的一款新型的入侵防护产品应该能够在用户的真实网络里开启所有防护功能而不用担心对现有的各种应用产生影响。显然，很多传统的入侵防护产品无法做到这点。防躲避技术如果我们去收集一些入侵防护产品的手册，我们会看到，即使是比较高级的产品，其防躲避技术基本上只聚焦于以下几个方面1IP报文分片，TCP流分段2RPC报文分片3URL混淆4FTP命令躲避这些传统入侵防御产品所具备的防躲避技术，尽管都有一定价值，但是对于这些新兴的但是非常