IPS入侵防御系統
IPS(Intrusion Prevention System):入侵防御系統。隨著(zhù)網(wǎng)絡(luò )攻擊技術(shù)的不斷提高和網(wǎng)絡(luò )安全漏洞的不斷發(fā)現,傳統防火墻技術(shù)加傳統IDS的技術(shù),已經(jīng)無(wú)法應對一些安全威脅。在這種情況下,IPS技術(shù)應運而生,IPS技術(shù)可以深度感知并檢測流經(jīng)的數據流量,對惡意報文進(jìn)行丟棄以阻斷攻擊,對濫用報文進(jìn)行限流以保護網(wǎng)絡(luò )帶寬資源。對于部署在數據轉發(fā)路徑上的IPS,可以根據預先設定的安全策略,對流經(jīng)的每個(gè)報文進(jìn)行深度檢測(協(xié)議分析跟蹤、特征匹配、流量統計分析、事件關(guān)聯(lián)分析等),如果一旦發(fā)現隱藏于其中的網(wǎng)絡(luò )攻擊,可以根據該攻擊的威脅級別立即采取抵御措施,這些措施包括(按照處理力度)向管理中心告警、丟棄該報文、切斷此次應用會(huì )話(huà)、切斷此次TCP連接。
進(jìn)行了以上分析以后,我們可以得出結論:在辦公網(wǎng)中至少需要在以下區域部署IPS:即辦公網(wǎng)與外部網(wǎng)絡(luò )的連接部位(入口/出口)、重要服務(wù)器集群前端、辦公網(wǎng)內部接入層。至于其它區域,可以根據實(shí)際情況與重要程度,酌情部署。目前,下一代防火墻也集成了IPS的功能。但是IPS仍然是不可代替的。
IPS的接入方式:串行接入(串聯(lián))
工作機制:檢測+阻斷
入侵防御系統(IPS)
入侵防御系統是面向政府、金融、教育、企業(yè)等用戶(hù)推出的幫助用戶(hù)實(shí)時(shí)、主動(dòng)、深度抵御2-7層網(wǎng)絡(luò )攻擊的安全防御類(lèi)產(chǎn)品。它將深度內容檢測、安全防護、應用識別管理等技術(shù)完美地結合在一起,配合定期更新的入侵攻擊特征庫,可檢測包括探測與掃描、溢出攻擊、DDOS攻擊、SQL注入、可疑代碼、蠕蟲(chóng)、木馬、間諜軟件等各種網(wǎng)絡(luò )威脅并進(jìn)行細粒度的處置。該系統符合等級保護、分級保護等國家及行業(yè)標準,可廣泛應用于政府、企業(yè)等各種需要對網(wǎng)絡(luò )威脅進(jìn)行實(shí)時(shí)監控與響應、安全監管以及合規的場(chǎng)合。
產(chǎn)品亮點(diǎn)
-
高效的一體化過(guò)濾引擎與一站式配置
通過(guò)高效的報文分流算法(HIPAC),能達到匹配時(shí)間與策略數無(wú)關(guān)性,即1萬(wàn)條策略與10條策略的匹配時(shí)間基本一致。通過(guò)混合有限狀態(tài)機(HFA)的模式匹配算法,將IPS、AV、木馬檢測等安全業(yè)務(wù)的模式信息統一編譯到一個(gè)HFA中,報文流只需匹配一次HFA狀態(tài)機就能完成安全檢查。
-
先進(jìn)的多核處理技術(shù)
基于多核硬件處理器芯片,采用多核并行處理技術(shù),多線(xiàn)程同時(shí)工作,大幅提高攻擊簽名的匹配速度和網(wǎng)絡(luò )流量的處理速度。
-
全面的監測手段
采用模式匹配、異常流量分析、深度協(xié)議解析等技術(shù)實(shí)現了對各種常見(jiàn)攻擊的精準識別與實(shí)時(shí)響應。
-
豐富的應用識別管理
具有豐富的應用識別管理功能??梢宰R別超過(guò)數百種常見(jiàn)的即時(shí)消息、在線(xiàn)游戲、股票軟件、P2P下載等網(wǎng)絡(luò )應用,提供精細化的帶寬管理保障網(wǎng)絡(luò )暢通。
-
高度容錯能力
產(chǎn)品支持硬件掉電Bypass機制、軟件異常Bypass機制、電源冗余保護機制(視具體型號而定),全方位保障業(yè)務(wù)的連續性。同時(shí)具備的集群部署模式,允許用戶(hù)橫向擴容,降低總擁有成本。
產(chǎn)品功能
-
全面的攻擊檢測能力
內置超過(guò)4000種經(jīng)過(guò)安全專(zhuān)家精心提煉的特征條目,可以防范包括掃描、可疑代碼、蠕蟲(chóng)、病毒、木馬、間諜軟件、DoS/DDoS等各類(lèi)網(wǎng)絡(luò )威脅,真正做到了檢測準確率高,誤報率低。
-
強大的抗DoS/DDoS能力
提供獨特的DoS/DDoS檢測及預防機制,可以辨別合法數據包以及DoS/DDoS攻擊數據包,保證用戶(hù)在遭受攻擊時(shí)也能順利享用網(wǎng)絡(luò )服務(wù)。
-
采用虛擬化IPS引擎
提供虛擬化、彈性化的管理方式。每一對實(shí)體接口都可配置不同的規則集,每一個(gè)規則集都可依據來(lái)源/目的端IP地址等對象信息來(lái)決定對應的處理方式。同時(shí)每個(gè)規則集皆可定義有效的運行時(shí)間,方便網(wǎng)絡(luò )管理人員依據業(yè)務(wù)系統的規范要求進(jìn)行規劃和部署。
-
動(dòng)態(tài)的異常流量管理,精確的帶寬管理功能
針對通信協(xié)議異常、IP/Port的掃描異常、網(wǎng)絡(luò )流量異常等進(jìn)行動(dòng)態(tài)的管理,采取七層深度數據包分析技術(shù),可以完整地做到應用程序級別的流量管理。
-
方便的管理方式,直觀(guān)的實(shí)時(shí)顯示
具有強大且豐富的管理能力,能夠貼近各種不同網(wǎng)絡(luò )架構的需求,提供友好的管理接口以及多種實(shí)用的信息實(shí)時(shí)顯示。
使用場(chǎng)景
-
入侵防御系統的典型部署為串行透明接入模式,在這種接入模式下,不需要改變網(wǎng)絡(luò )拓撲,只需要將入侵防御系統透明串聯(lián)到防護鏈路之間即可實(shí)現主動(dòng)安全攔截攻擊。如下圖所示是入侵防御系統幾種典型的防護部署。
-
1.串行透明部署在內網(wǎng)關(guān)鍵鏈路:
防御來(lái)自外部的各種攻擊威脅;
防止內網(wǎng)被感染主機的威脅擴散到其他網(wǎng)段;
有效了解/控制內部應用,如即時(shí)通信和在線(xiàn)游戲。
-
2.串行透明部署在DMZ或者數據中心區:
防御來(lái)自?xún)韧饩W(wǎng)對Web、Mail、FTP、數據庫等服務(wù)器的應用層攻擊;
防御DDoS等攻擊,保障業(yè)務(wù)連續性。