网络卫士入侵防御系统TopIDP-sichuan

产品定义•IPS定义–IDP是入侵检测与防御系统的简称。IPS是入侵防御系统的简称，在产品功能表现上，IDP和IPS是完全一致的。都是IDS技术的演化和增强，继承发扬了IDS的检测引擎技术。–与IDS的关键区别在于两点：“内嵌式（in-line）”运行和自动阻断。IDS是方式旁路，被动响应用户遇到的安全问题病毒/木马及恶意代码、垃圾邮件、网络蠕虫是当前用户遇到的最多三类问题攻击范围和时间的变化漏洞宣布到大规模蠕虫出现时间越来越短：WMF零天、Witty2天；蠕虫攻陷全球的时间越来越快：Slammer病毒10分钟就攻陷了全球。当前已有的传统防火墙、IDS等产品已不能很好的解决当前的安全问题。应用隐患•Web应用/分布式应用已广为普及•大多数攻击（蠕虫、病毒、DoS）都是通过80端口进行的77%9%7%2%2%3%端口80端口139端口445端口135ICMP其它来源：NetworkWorld，2003年8月传统防火墙不够智能！•蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽•P2P等应用，利用80端口进行协商，然后利用开放的UDP进行大量文件共享，导致机密泄漏和网络拥塞IPHeaderTCPHeaderPacketPayload无法检测的部分Firewall的过滤部分防火墙只能做到包头信息的过虑，无法检测数据包数据部分的特征。基于数据包包头信息的检测阻断方式，主要对主机的服务进行控制，无法阻断通过公开端口流入的有害流量，防火墙主要用于对服务的访问控制，并不是对蠕虫或者黑客攻击的解决方案。“IDS+FW”无法阻止应用层威胁IDS主要为检测/检测，不能及时响应蠕虫病毒的感染与传播；阻断策略的限制（不能100％阻断，只能提供TCP攻击的阻断）；为事后的响应，需要一定响应时间；对未知的攻击束手无策；服务器防火墙IDS报警!!!发送TCPRST指令，终止TCP连接重新配置防火墙，使其能阻挡来自攻击地址的流量应用层L4:传输层L3:网络层L2:链路层L1:物理层解决方法：深度防御Router传统防火墙TCP/IPStackNICOSesWebServersWebApplicationFrameworksApplications风险越高越迫切需要被保护ApplicationDataSessionIDHTTPRequest/RespondTCPConnectionIPPacketEthernetPacketBitonWireTopIDPL2~L7深度防御解决办法：在线处理•只有在线对流量进行深度防御，才能真正阻挡出现在网络上的攻击服务器防火墙IDS报警!!!发送TCPRST指令，终止TCP连接重新配置防火墙，使其能阻挡来自攻击地址的流量TCPresets和Firewall不能真正工作整个操作要花100毫秒的时间，这对现代的网络来说是一个巨大的时间窗口不能阻挡类似于Slammer(单个UDP数据报)的攻击IPS能在一个攻击发生危害之前，对其实施阻挡它根据每个数据包，作出允许还是拒绝的决定对网络进行精细化管理、防御不能起到理想的效果！！！以威胁防御御为核心功能应用威胁蠕虫/病毒后门/WEB攻击•TopIDP是以应用层威胁防御为核心功能的综合威胁抵御产品•TopIDP支持对各种新威胁的识别和抵御，可以不断给用户带来增值安全服务，降低用户TCO与防火墙、IDS与IPS相同点与IPS不同点防火墙都是在线的部署模式工作层次不同：防火墙：3～4层IPS：7层IDS工作层次相同，都可以工作在7层，对应用层进行深度解析，发现应用层威胁。部署模式不同：旁路与在线核心价值不同：攻击防御与攻击检测在组网中IPS和防火墙、IDS的关系防火墙和IPS往往一前一后配合使用。防火墙做“网络隔离和访问控制”，IPS做应用层威胁抵御，形成纵深防护。IPS、IDS市场有重叠；IDS侧重网络监控，注重安全审计，适合对网络安全状态的了解；IPS适用于入侵防御，对网络净化。IPS--IntrusionPreventionSystem（入侵防御系统，也称为IDP）TopIDP——网络卫士入侵防御系统条的规测攻击类型拒绝服务（DOS/DDOS）能对当前主流的拒绝服务做检测和阻断，例如：ARP攻击、UDPFlooding、SYNFlooding等蠕虫（worm）能对当前主流的蠕虫病毒做检测和阻断，例如：RedCode、Netsky、Slammer等后门（Backdoor）能对当前主流的Backdoor做检测和阻断，例如：Sub7、Gpigeon、woodbot等木马(Trojan)能对当前主流的木马做检测和阻断，例如：Storm、Camsniffer2.0.1等间谍软件（Spyware）能对当前主流的间谍软件做检测和阻断，例如：Nuvens、Boxed、Opensite等Web攻击（WebAttack）能对当前主流的WEB攻击做检测和阻断，例如：CGI、UniCode等自定义攻击可以根据用户需求自行设置攻击规则，能对其他有害攻击行为做检测和阻断、BT、Thunder、eDonkey等软件的应用IM能够控制QQ、MSN、ICQ、YahooMessenger、UC的应用游戏能够控制魔兽世界、征途、QQGame、泡泡卡丁车、劲舞团、梦幻西游等游戏异常流量能对设备的异常流量进行分析、阻断实时监控流量实时监测功能能够显示实时流量信息、流量大小、字节大小等信息；能够区分Out和In的流量；系统资源监视功能能够实时监控设备的CUP、内存、硬盘的使用情况系统更新Signature升级支持自动升级、手动升级系统升级支持自动升级、手动升级功能网络工具原始包分析能对原始包文进行捕获、分析、存储网络定位支持各种网络定位工具，如nslookup，traceroute，ping等数据安全数据备份能够根据用户需要来备份设备中相关数据日志可以指定日志服务器响应方式允许Permit允许策略中允许通过的数据允许异常流量阀值范围内的数据通过阻断Block阻断策略中阻断通过的数据阻断异常流量阀值范围外的数据报警Alert检测到策略中设置的数据后，进行报警限制流量RateLimit限制超出规则设定范围的数据日志Log记录被检测到攻击的相关数据记录系统中相关的操作（登录、修改等）机型；标配5个10/100BASE-TX端口（4个作IDP转发，1个管理端口）200Mbps，线速转发TI-2308-IDP1U机型；标配8个10/100BASE-TX端口(4个作IDP转发，3个作通讯转发，1个管理端口）400Mbps，全线速转发TI-3223-IDP4U机型：标配2个千兆GBIC插槽＋3个10/100/1000BASE-TX端口（2个作IDP转发，1个管理端口）2000Mbps，全线速转发产品系列专业级用户性能(Mbps)TopIDP2000-2205TopIDP2000-2308FGT-2000企业级用户ISP级用户TopIDP3000-3223网络规模1001602002,000普通级用户400机型；标配5个10/100BASE-TX端口（4个作IDP转发，1个管理端口）性能:200MbIDP转发端口指示灯管理端口USB口Bypass、Inline切换开关TopIDP产品系列机型；标配8个10/100BASE-TX端口(4个作IDP转发，3个作通讯转发，1个管理端口）性能:400Mb线速IDP转发端口指示灯通讯转发端口管理端口USB口Bypass、Inline切换开关TopIDP产品系列机型：标配2个千兆GBIC插槽＋3个10/100BASE-TX端口（2个作IDP转发，1个管理端口）性能:2000Mb线速IDP转发端口LCD管理端口USB口Bypass、Inline切换开关AUXTopIDP产品系列特点一：高吞吐量、低延时TopIDP具有像千兆交换机一样的高吞吐量和低延时•高呑吐量：200M～4G，全线速转发•低延时：200us•最大并发连接数200万；每秒新建连接数25万+•TopIDP通过采用ASIC+NPU硬件加速，可以提供线速七层防御能力特点二：强大的入侵防御能力TopIDP具备对2到7层网络的线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库，即可以有效检测并实时阻断隐藏在海量网络中的各种攻击、蠕虫病毒与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络架构防护、网络性能保护和核心应用保障。特点三：为用户提供多重立体防御保护基于“ClearFlow入侵防御微引擎”技术，为用户提供网络架构防护、网络性能保护、核心应用保障，去除网络中与业务无关、有害的数据信息，保护公司业务连续不间断正常运行。特点四：VIDP实现精细化防御TopIDP支持虚拟系统（VIDP）功能，针对不同的网络环境和安全需求，可以制定不同的规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象、执行不同策略的智能化入侵防御。特点五：高可用性和冗余性TopIDP所有接口都支持FOD失效开放机制，当出现软硬件故障和电源故障时，系统能够在200us以内自动切换到旁路模式以保障网络的畅通TopIDP支持双机热备份和负载均很，支持Active-Active、Active-Passive模式，保证了网络环境的高度畅通性。保护防火墙等网络基础设施对Internet出口带宽进行精细控制，防止带宽滥用抵御来自Internet的针对DMZ区服务器的应用层攻击DDoS攻击抵御来自内网攻击，保护核心服务器和核心数据提供虚拟软件补丁服务，保证服务器最大正常运抵御来自分支机构攻击保护广域网线路带宽抑制企业内网恶意流量，如间谍软件、蠕虫等的泛滥和传播抵御内网攻击利用TopIDP进行多重立体防御！机房/大型企业提供精细化安全保障TopIDP产品的虚拟IPS功能—VIDP，可以为IDC机房/大型企业用户提供虚拟IPS功能不同颜色的虚线表示不同安全级别的虚拟IPS线路一台IPS产品，可以虚拟出上百套安全防御策略，保护上百个不同的客户群，有限的投入获得巨大的安全防御回报针对不同的网络环境和安全需求，制定不同的防御规则和响