搜索
产品白皮书网神SecIPS3600入侵防御系统本文档解释权归网神信息技术(北京)股份有限公司安全网关中心产品部所有。网神信息技术(北京)股份有限公司入侵防御系统·产品白皮书2版权声明Copyright©2006-2011网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。文档信息文档名称网神SecIPS3600入侵防御系统产品白皮书扩散范围销售/售前/客服/渠道商/用户文档版本号V6.10.1作者刘松日期2011/10/01初审人宋伟复审人陈华平版本变更记录时间版本说明作者110809V6.8.1更新了G620B和H840的产品规格网神SecIPS3600入侵防御系统·产品白皮书3目录1产品概述...............................................................................................................42产品特点...............................................................................................................43产品功能.............................................................................................................124产品资质................................................................................错误!未定义书签。网神SecIPS3600入侵防御系统·产品白皮书41产品概述网神SecIPS3600入侵防御系统(简称:“网神IPS”)将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库,可检测防护3000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有丰富的上网行为管理,可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而,很好地提供了动态、主动、深度的安全防御。2产品特点网神IPS的完善体系结构包括两大部分:强化安全的专用操作系统和模块化硬件系统。以下分别介绍这两大部分。高效的体系结构在平台优化的核心技术方面,主要有以下三个方面。1)零拷贝技术数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝,有效地减少内存存取次数。2)核心层优化所有报文的解析与比对都由核心层(Kernel)进行,完全不用通过核心层与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。网神SecIPS3600入侵防御系统·产品白皮书53)硬件特征比对网神特征比对引擎是一款能直接比对特征码格式,引擎比对速度高达4Gbps。相对于一般只对报文内容进行文字搜索的作法,引擎同时整合了第四层的特征内容,减少了处理器额外比对并且有效降低误判,且支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元,能高速进行对比并且不会有规则存储导致硬件满载的风险。实时的入侵检测防护网神IPS具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能,内置超过3,000种的IPS特征库,并可自定义入侵攻击和应用软件的特征;支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析;支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等多种攻击的防护。丰富的上网行为管理网神IPS不仅具有精准的入侵检测和防护功能,同时还具有丰富的内网上网行为管理功能。可以根据不同的时间、群组,来对及时聊天软件、P2P软件、非法隧道等下达严格的管理策略。强大的抗DoS/DDoS传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数,来阻断未知类型的DoS/DDoS攻击。这种机制虽然可以将超过阈值的攻击数网神SecIPS3600入侵防御系统·产品白皮书6据包丢弃,但同时也会将超过阈值的合法数据包丢弃,造成正常用户不能使用网络服务。网神IPS对于需要重点保护的Web、DNS等服务可选择采取传统的处理机制。另外,网神IPS提供独特的DoS/DDoS检测及预防机制,可以辨别合法数据包以及DoS/DDoS攻击数据包,支持双向阻断TCP/UDP/IGMP/ICMP/IPFlooding、UDP/ICMPSmurfing等类型的DoS/DDoS攻击,可检测的DoS/DDoS攻击软件包括XDoS、SUPERDDoS、FATBOY等50种以上。网神高端IPS对于一般性能指针(TCPSYNFlooding),当攻击包大小为128bytes时,可以抵挡480Mbps流量的攻击,当攻击包大小为1518bytes时,可以抵挡1280Mbps流量的攻击。因此,当用户在遭受DoS/DDoS攻击之时,网神IPS仍然能够保证合法用户顺利享用网络服务。动态的异常流量管理当黑客发动攻击时,常会伴之网络异常的情形发生。网络异常的情形可分为以下三种。1)通信协议异常例如由外界网络流入大量过长的IP数据包、大量的IP碎片数据包、异常的TCP通信协议连机状态、被截断的IP数据包、无法重组的IP数据包等。2)IP/Port的扫瞄异常通过IP扫瞄,黑客得以窥知目的端内网络结构和情形;通过Port扫瞄,黑客可以得知目标主机已开启的服务端口。网神SecIPS3600入侵防御系统·产品白皮书73)网络流量异常例如突然产生大量的TCPSYN、TCP、UDP、ICMP、IGMP等数据包,占据正常网络使用带宽。当上述攻击数据包发起时,经过改造的恶意数据包可能会造成企业内部网络系统死机无法对外提供正常的服务;IP/Port扫瞄的行为将使企业内部的网络架构轻易被黑客得知;大量的异常流量数据包也可能造成企业核心路由器、交换机等因承载过重而死机。2003年所发生的SQLSlammer攻击就是因为送出大量UDP数据包而造成企业网络瘫痪。精准的带宽管理功能网神IPS采取七层深度数据包分析技术,可以完整地做到应用程序级别的流量管理,具体针对以下两方面的管理:1)可根据不同的应用程序分配不同的带宽,如对P2P、PPlive、PPStream等流量的管理。2)可根据不同的VLAN、源/目的IP地址、应用协议端口划分不同的带宽。网神IPS采取以下两种方式对流量进行管理:1)网络传输带宽方式限流,即限制特定对象的最大带宽,可精准到1Kbps。2)网络传输总量方式限流,即限制特定对象的单位时间内传输总量。实用的多重冗余功能网神SecIPS3600入侵防御系统·产品白皮书8网神IPS具有多层次的冗余功能,能提供最高等级的高可用性,并方便用户灵活配置。1)高端设备标配可热插拔的冗余双电源确保某一电源失效时可自动由备用电源供电,不停机即可修复,避免电源硬件故障时设备失去作用。2)提供内置BYPASS功能在设备出现硬件及电源故障时快速、自动切换到直通状态,保障网络可用性。此外不管是因为硬件或是软件的因素,假设侦测引擎出现阻碍(blocking)死锁的状况,内置BYPASS功能也会自动切换到直通状态,用户无须担心设备的可靠度。内置BYPASS功能可通过远程管理实现启动或关闭管理。3)支持Active-Active和Active-Passive的高可用性功能采用MRP(Multi-LayersRedundantProtocol)多重冗余协议技术,在并发连接数达到数百万时亦可有效地在网神IPS设备之间实现同步。相较于一般采用Linuxct_sync模块或是FreeBSDpfsync模块的产品,网神的同步技术仅需要5.8%的数据量,不会因为HA的数据影响侦测引擎的速度。4)支持联机自动切换(LinkFaultPassThroughandLinkFaultRestoration)功能一般交换机实现HA功能的方法不一,大多交换机将物理链路的状态作为判断依据,一般的IPS在这种情形下可能会出现潜在的问题。如图1所示,如当防火墙-1与普通的IPS的链路中断时,两端的交换机由于各自物理链路依然完好而无法侦测此故障,因此数据包仍会继续往已中断的链路传送造成使用者连接中断。网神SecIPS3600入侵防御系统·产品白皮书9网神IPS的联机自动切换功能就是为了解决这种问题所设计,当一端的链路中断时,会自行将另一端的链路同时中断,因此交换机才能够正确反应将线路切换到畅通的链路。图1网神IPS双机自动切换功能说明图方便的管理方式要做好网络安全管理不仅仅需要设计精良的设备,最重要的是可将设备融入已有网络环境,并且能够很好地配合本单位的安全规范。网神IPS支持强大且丰富的管理能力,能够贴近各种不同网络架构的需求,并且提供网管人员最友好的管理接口,以及多种实用的报表。具有以下特点:1)多样化的管理模式除了SecIPS管理系统Java接口外,SecIPS也可通过远程SSH登录管理,或是以Console(RS-232/RJ-45)登录。SSH/Console接口为选单式,简捷方便并且省去用户记忆指令的困扰。网神SecIPS3600入侵防御系统·产品白皮书102)面向对象的虚拟化IPS引擎IPS的检测引擎通常是依据RFC等规范开发,但是有时仍会遇上一些例外的状况:应用程序在运行时不依规范开发,引起IPS的误判。这时若停止误判的特征规则,则其它的计算器就无法受到此特征规则的保护。利用IPS来管理P2P时,面对不同的对象可能需要有不同的管理策略。在这两个例子里,都需要IPS能根据对象的不同针对特征规则有不一样的反应方式。网神IPS的虚拟化特征引擎提供最弹性化的管理方式。每一对实体IPS/IDS都可配置不同的规则集,每一个规则集所包含的规则,都可依据来源/目的端IP地址或是VLANID来决定对应的处理方式。比如针对电驴(eDonkey)程序,网神IPS可分别以直通、流量控管、以及阻断方式来管理不同的三个部门。而且每条规则皆可定义有效的运行时程,方便网络管理人员依据上下班的时间部署规则。3)直观的统计工具和报表IPS能实时的拦阻攻击和入侵事件,同时对网络管理人员来说,丰富且完善的报表也是非常重要的,不但能借助报表掌握单位网络的实际状况,也能防患于未然。网神IPS的报表有以下四样特点:实时统计仪表盘统计仪表盘可以统计自上次归零以后,网络安全事件的分类比率,以及平均流量和目前的流量。网管人员可以从异常的流量(相较平均值)和事件发生的比率去观察,搭配交叉查询的功能,能快速的定位出有意义的网络安全事件,网神SecIPS3600入侵防御系统·产品白皮书11以免被太多的资料所淹没。实时事件列表、流量监视器、系统状态监视实时事件列表详细的表达出目前正在发生的网络安全事件,包含了严重程度、攻击者和受害者的IP地址、发生的时间、IPS对此事件的反应。流量监视器实时的显示出目前流经过IPS的流量大小,以及常用应用程序(HTTP,SMTP,POP,FTP,…)所占用的流量。系统状态则监视IPS的处理器和内存利用率,方便网管人员监控设备。交叉查询交叉查询是最为灵活的报表产生器。它允许使用者依据事件发生的时间、源地址、目的地址、事件名称当作搜寻的标的,并可用来源地址、目的地址、及事件名称当作是件排名的依据,并可针对不同的虚拟IPS和ACL产生交叉报表。产生出来的交叉报表可转为HTML格式方便打印及保存。样板报表与定期报表交叉查询虽然方便,但是需要对数据库进行大量的存取,因此需要比较长的运算时间。因此网神IPS的管理