綠盟科技網絡入侵保護系統解決方案

領測軟件測試網

一 前言

隨著網絡與信息技術的發展，尤其是互聯網的廣泛普及和應用，網絡正逐步改變著人類的生活和工作方式。越來越多的政府、企業組織建立了依賴于網絡的業務信息系統，比如電子政務、電子商

務、網上銀行、網絡辦公等，對社會的各行各業產生了巨大深遠的影響，信息安全的重要性也在不斷提升。

近年來，企業所面臨的安全問題越來越復雜，安全威脅正在飛速增長，尤其混合威脅的風險，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網絡、DDoS攻擊、垃圾郵件、網絡資源濫用（P2P下載、IM即時通訊、網游、視頻）等，極大地困擾著用戶，給企業的信息網絡造成嚴重的破壞。

能否及時發現并成功阻止網絡黑客的入侵、保證計算機和網絡系統的安全和正常運行便成為企業所面臨的一個重要問題。

二 為什么需要入侵保護系統

說起網絡安全，相信許多人已經不陌生了。大家可能都曾遇到過下面這些情況：

● 沒有及時安裝新發布的一個安全補丁，造成服務器宕機，網絡中斷；

● 蠕蟲病毒爆發，造成網絡癱瘓，無法網上辦公，郵件收不了，網頁打不開；

● 有的員工使用BT、電驢等P2P軟件下載電影或MP3，造成上網速度奇慢無比；

● 有的員工沉迷在QQ或MSN上聊天，或者玩反恐精英、傳奇等網絡游戲，或者看在線視頻，不專心工作；

● 由于員工電腦被植入間諜軟件，導致公司機密資料被竊；

● 公司WEB服務器遭受SQL注入攻擊，造成公司主頁內容被篡改；

● 部分員工電腦成為僵尸網絡的“肉機”，向外網發起DOS攻擊，引起公安部門注意并上門進行調查。

根據調查數據顯示，以上事件呈逐年上升趨勢，給企業造成越來越大的直接和間接損失。對于上述威脅，傳統的安全手段（如防火墻、入侵檢測系統）都無法有效進行阻止。

2.1 防火墻的局限

絕大多數人在談到網絡安全時，首先會想到“防火墻”。防火墻得到了廣泛的部署，企業一般采用防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻已經無法滿足企業的安全需要。傳統防火墻的不足主要體現在以下幾個方面：

● 防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對WEB服務的Code Red蠕蟲等。

● 有些主動或被動的攻擊行為是來自防火墻內部的，防火墻無法發現內部網絡中的攻擊行為。

由于防火墻具有以上一些缺陷，所以部署了防火墻的安全保障體系還有進一步完善的需要。

2.2 入侵檢測系統的不足

入侵檢測系統IDS（ Intrusion Detection System）是近幾年來發展起來的一類安全產品，它通過檢測、分析網絡中的數據流量，從中發現網絡系統中是否有違反安全策略的行為和被攻擊的跡象。它彌補了防火墻的某些缺陷，但隨著網絡技術的發展，IDS受到新的挑戰：

● IDS旁路在網絡上，當它檢測出黑客入侵攻擊時，攻擊已到達目標造成損失。IDS無法有效阻斷攻擊，比如蠕蟲爆發造成企業網絡癱瘓，ID無能為力。

● 蠕蟲、病毒、DDoS攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應的時間越來越短，使用戶來不及對入侵做出響應，往往造成企業網絡癱瘓，IDS無法把攻擊防御在企業網絡之外。

我們看到，入侵檢測系統IDS側重網絡監控，注重安全審計，適合對網絡安全狀態的了解。

2.3 入侵保護系統的特點

基于目前網絡安全形勢的嚴峻，入侵保護系統IPS（Intrusion Prevention System）作為新一代安全防護產品應運而生。

網絡入侵防御系統作為一種在線部署的產品，提供主動的、實時的防護，其設計目標旨在準確監測網絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監測到惡意流量的同時或之后才發出告警。IPS是通過直接串聯到網絡鏈路中而實現這一功能的，即IPS接收到外部數據流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內部網絡。

從IPS的工作原理來看，IPS有幾個主要的特點：

● 為企業網絡提供“虛擬補丁”

IPS預先、自動攔截黑客攻擊、蠕蟲、網絡病毒、DDoS等惡意流量，使攻擊無法到達目的主機，這樣即使沒有及時安裝最新的安全補丁，企業網絡仍然不會受到損失。IPS給企業提供了時間緩沖，在廠商就新漏洞提供補丁和更新之前確保企業的安全。

● 進行“流量凈化”

目前企業網絡的帶寬資源經常被嚴重占用，主要是在正常流量中夾雜了大量的非正常流量，如蠕蟲病毒、DOS攻擊等惡意流量，以及P2P下載、在線視頻等垃圾流量，造成網絡堵塞。IPS可以過濾正常流量中的惡意流量，同時對垃圾流量進行控制，為網絡加速，還企業一個干凈、可用的網絡環境。

● 加強“內容管理”

隨著網絡安全向更高層次的發展，對網絡內容的管理和控制得到認可和加強。IPS提供對面向應用層和內容層的網絡內容安全防護，可以檢測并阻斷間諜軟件、木馬后門，并可以對即時通訊軟件，在線視頻等的內容進行監控及阻斷。

三 如何評價入侵保護系統

針對越來越多的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等混合威脅及黑客攻擊，不僅需要有效檢測到各種類型的攻擊，更重要的是降低攻擊的影響，從而保證業務系統的連續性和可用性。

一個完善的網絡入侵防御系統應該具備以下特征：

.. 提供針對各類攻擊的檢測和防御功能，同時提供豐富的訪問控制能力；

.. 準確識別各種網絡流量，降低漏報和誤報率，避免影響正常的業務通訊；

.. 滿足高性能的要求，提供強大的分析和處理能力，保證正常網絡通信的質量；

.. 具備良好的可靠性，提供硬件BYPASS或HA等可靠性保障措施；

.. 提供靈活的部署方式，支持在線模式和旁路模式的部署，第一時間把攻擊阻斷在企業網絡之外，同時也支持旁路模式部署，用于攻擊檢測，適合不同用戶需要；

.. 支持分級部署、集中管理，滿足不同規模網絡的使用和管理需求。

四 綠盟科技網絡入侵保護系統

針對目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等黑客攻擊，以及網絡資源濫用（P2P下載、IM即時通訊、網游、視頻……），綠盟科技提供了完善的安全防護方案。冰之眼網絡入侵保護系統（ICEYE NIPS）是綠盟科技自主知識產權的新一代安全產品，作為一種在線部署的產品，其設計目標旨在準確監測網絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是在監測到惡意流量的同時或之后才發出告警。這類產品彌補了防火墻、入侵檢測等產品的不足，提供動態的、深度的、主動的安全防御，為企業提供了一個全新的入侵保護解決方案。

4.1 主要功能

冰之眼網絡入侵保護系統具有三大功能：

.. 網絡防護

冰之眼NIPS具有實時的、主動的網絡防護功能，內置基于狀態檢測的防火墻，保護網絡邊界和內部網絡，同時為網絡設備的漏洞提供防護；具有流量管理功能，對于可能出現的異常流量，提供抗拒絕服務攻擊功能。

.. 應用防護

冰之眼NIPS提供對應用層的防護功能。針對操作系統、應用軟件以及數據庫，提供深度的內容檢測技術，過濾報文里的惡意流量和攻擊行為，保護存在的漏洞，防止操作系統和應用程序損壞或宕機。

.. 內容管理

冰之眼NIPS對企業內部網絡資源提供內容管理，可以有效檢測并阻斷間諜軟件，包括木馬后門、惡意程序和廣告軟件等，并可以對即時通訊、P2P下載、網絡游戲、在線視頻、網絡流媒體等內容進行監控并阻斷。

4.2 體系架構

圖表 1 綠盟科技網絡入侵保護系統體系架構

冰之眼網絡入侵保護系統的體系架構包括三個主要組件：控制臺、網絡引擎、升級站點，方便各種網絡環境的靈活部署和管理。

4.3 產品特點

4.3.1 深度融合的集成平臺

.. 冰之眼NIPS深度融合的IPS/IDS/防火墻集成平臺開創了世界先河，獨一無二的設計使冰之眼NIPS為用戶提供從網絡層、應用層到內容層的深度安全防護。冰之眼NIPS集成強大的防火墻功能，采用基于狀態檢測的動態包過濾技術，實現靜態防御；冰之眼NIPS以全面深入的協議分析技術為基礎，協議識別、協議異常檢測、關聯分析為核心，實現動態防御，圓滿解決了防火墻靜態防御和IPS動態防御的融合難題，為用戶提供全面的入侵保護解決方案。

.. 冰之眼NIPS專門設計了安全、可靠、高效的硬件運行平臺。硬件平臺采用嚴格的設計和工藝標準，保證了高可靠性；獨特的硬件體系結構大大提升了處理能力、吞吐量；操作系統經過優化和安全性處理，保證系統的安全性和抗毀性。

.. 冰之眼NIPS具有更強的高可用性，設備支持熱插拔的冗余雙電源，避免電源硬件故障時設備宕機，提高設備可用性；而內置的硬件BYPASS更提供在設備出現軟件、硬件及電源故障時快速、自動切換到直通狀態的功能，保障網絡可用性。

.. 冰之眼NIPS運行在特別定制的操作系統上，在提供給網絡引擎強健的性能與穩定性的同時，本身具備了超強的安全性，系統內各組件通過強加密的SSL安全通道進行通訊防止竊聽。

.. 冰之眼NIPS全面深入的協議分析技術能夠分析近100種應用層協議，包括HTTP、FTP、SMTP等，極大地提高檢測的準確性，降低誤報率。

.. 冰之眼NIPS獨有的協議識別技術能夠識別近100種包括后門、木馬、IM、網絡游戲在內的應用層協議，不僅可以更有效的檢測通過動態端口或者智能隧道等進行的惡意入侵，而且能更好的提高檢測效率和準確率。

.. 冰之眼NIPS出色的協議異常檢測針對檢測未知的溢出攻擊與拒絕服務攻擊，達到接近100%的檢測準確率和幾乎為零的誤報率。

4.3.2 基于對象的虛擬系統

.. 冰之眼NIPS提供業界領先的基于對象的IDS/IPS/FW策略管理系統，完全統一的規則配置方式強大而靈活。冰之眼NIPS的所有策略（規則）都使用對象來定義，具有豐富的預定義對象。冰之眼的對象包括網絡對象、服務對象、時間對象、事件對象。每個對象都支持組的概念，在設置規則的時候可以基于組進行規則設置，組對象可以是單個對象也可是多個對象，或者是二者的組合，通過組的概念可以減少防火墻和IPS的規則數量，簡化了管理員的管理工作組；

.. 冰之眼NIPS提供基于對象的虛擬系統（VIPS），針對不同的網絡環境和安全需求，基于對象制定不同的規則和響應方式，每個虛擬系統分別執行不同的規則集，實現面向不同對象、實現不同策略的智能化入侵檢測；

 

.. 綠盟科技擁有著名的安全研究部門NSFocus小組，已經獨立發現了30余個Microsoft、HP、CISCO、SUN、Juniper等國際著名廠商的重大安全漏洞，保證了冰之眼NIPS技術的領先和規則庫的及時更新，在受到攻擊以前就能夠提供前瞻性的保護；

.. 覆蓋廣泛的攻擊規則庫帶有超過1800條由NSFocus安全小組精心提煉、經過仔細檢測與時間考驗的攻擊特征，并通過國際最著名的安全漏洞庫CVE嚴格的兼容性標準評審，獲得最高級別的CVE兼容性認證（CVE Compatible）。而且綠盟科技具有領先的漏洞預警能力，是目前國內唯一一個向國外（美國）出口入侵檢測規則庫的公司。綠盟科技每月平均提供四到五次升級更新，在緊急情況下可即時提供更新。

.. 冰之眼網絡入侵保護系統提供“虛擬補丁

.. 冰之眼NIPS提供強大的防火墻功能，防火墻模塊使用基于“狀態檢測”(Stateful Inspection)的技術，不但能夠根據數據包的源地址、目標地址、協議類型、源端口、目標端口以及網絡接口等數據包進行控制，而且具有完備的狀態檢測表追蹤連接會話狀態，并且結合前后分組里的關系進行綜合判斷決定是否允許該數據包通過。內置防火墻支持安全區（Zone），支持透明、路由、混合三種工作模式，支持雙向NAT，包括靜態NAT、動態NAT和端口NAT，支持基于源/目的地址、接口的策略路由；

冰之眼NIPS主動防御已知和未知攻擊，實時阻斷各種黑客攻擊，如緩沖區溢出、SQL蠕蟲病毒、木馬后門、間諜軟件等，而且針對僵尸網絡提供主動防御，廣泛精細的應用防護幫助用戶避免安全損失；

冰之眼NIPS能夠有效防御拒絕服務攻擊DoS，阻止攻擊者消耗網絡資源、中止服務；

.. 冰之眼NIPS提供豐富的響應方式，包括主動響應（丟棄數據包、丟棄連接會話）、被動響應 制臺顯示、日記錄、打印機輸出、運行用戶自定義命令、寫入XML文件、snmp trap），用戶可自定義，滿足各種需要。

.. 冰之眼NIPS能夠基于行為、時間、體及網絡游戲等行為，有效管理網絡資源的使用；并可以對IM即時通訊、P2P下載等行為提供內容監控，及時發現惡意行為并進行阻斷； 冰之眼NIPS提供全面抵御木馬后門、廣告軟件、惡意程序等間諜軟件功能，對間諜軟件的通信和傳播進行攔截并阻止對這些惡意程序的下載，有助于降低IT成本、防止潛在的隱私侵犯和保護機密信息； 冰之眼NIPS提供強大、靈活的流量管理功能，采用全局維度（協議/端口）、局部維度（源/目的IP地址、網段）、時間維度（時間）、流量緯度（帶寬）等流量控制四元組，實現基于內容、面向對象的流量保護策略，從而保證重要業務服務的正常運行； 冰之眼NIPS支持審計功能，可以記錄網絡的通信報文，并解碼回放，目前支持HTTP、SMTP、FTP、Telnet、POP3協強大豐富的管理能力

.. 冰之眼NIPS同時支持B/S和C/S兩Firefox、Opera四大瀏覽器，真正意義上實現了跨平臺； 冰之眼支持獨立式多路IPS，各路IPS相互獨立，一進一出；同時也支持交換式多路IPS，類似交換機一樣，一進多出或多進多各種網絡環境部署的需要； 獨立式多路IPS：

 

 

.. 冰之眼NIPS支持五種安全區模式：透明（Layer2）、路由（Layer3）、監聽（Monitor）、直通（Direct）、管理（Mgt），能夠快速部署在各種網絡環境中；

.. 冰之眼NIPS提供帶外管理（OOB）功能，解決遠程應急管理的需求，減少用戶運營成本、提高運營效率、減少宕機時間、提高服務質量；

.. 從實時升級系統到報表系統，從攻擊告警到日志備份，冰之眼NIPS完全支持“零管理”技術。所有管理員需要日常進行的操作均可由系統定時自動后臺運行，極大地降低了維護費用與管理員的工作強度；

.. 冰之眼NIPS支持三種管理模式：單級管理、主輔管理、多級管理，滿足不同企業不同管理模式需要。

單級管理模式：控制臺直接管理網絡引擎，一個控制臺可以管理多臺網絡引擎。適合小型企業，用于局域網絡。

主輔管理模式：網絡引擎同時接受一個主控制臺和多個輔控制臺的管理。主控制臺可以完全控制網絡引擎；輔控制臺只能接受網絡引擎發送的日志信息，不能操作網絡引擎。適合大型企業或者有分權管理需求的用戶。

多級管理模式：控制臺支持任意層次的級聯部署，實現多級管理。上級控制臺可以將最新的升級補丁、規則模板文件等統一發送到下級控制臺，保持整個系統的完整統一性；下級控制臺可以通過配置過濾器，使上級控制臺只接收它關心的信息。適合跨廣域網的大型企業用戶。

.. 實時在線升級、自動在線升級、離線升級，冰之眼NIPS支持多種升級方式，使NIPS提供最前沿的安全保障；

.. 全中文界面、中文報表，符合中國人操作習慣，而中文規則庫對每個漏洞都有詳細描述，并提供了詳細的解決方案及補丁下載地址；

.. 控制臺提供體驗模式，模擬的數據動態顯示，有利于用戶學習掌握。

4.4 解決方案

綠盟科技提供一整套的入侵保護解決方案。冰之眼NIPS深度融合的IPS/IDS/防火墻集成平臺，為用戶提供從網絡層、應用層到內容層的深度安全防護，圓滿解決了防火墻靜態防御和IPS動態防御的融合難題，實現從企業網絡核心至邊緣及分支機構的全面保護，適用于不同環境不同企業的安全需求。

4.4.1 多鏈路防護解決方案

目前，很多企業為了保證網絡帶寬資源的充足和網絡冗余，網絡出口采用多鏈路連接方式，連接到兩個或更多ISP服務商。

針對這種連接方式，綠盟科技入侵保護系統提供多鏈路防護的解決方案，在網絡出口處部署一臺冰之眼網絡入侵保護系統，采用多路IPS的部署方式：

1、 冰之眼NIPS支持多路IPS部署，一路IPS防護一個ISP接入鏈路，一臺冰之眼NIPS可以同時防護多條鏈路，節約用戶投資；

2、 冰之眼NIPS的各路IPS是相互獨立的，彼此之間沒有數據交換，互不干擾，保證了各鏈路流量的自身安全；

3、 冰之眼NIPS實時監測各種流量，提供從網絡層、應用層到內容層的深度安全防護。

 

圖表 2多鏈路防護解決方案

4.4.2 交換防護解決方案

企業內部網絡根據工作地點和工作特性，劃分為不同的網段。網段之間通過交換機連接，進行數據交換。如何有效檢測不同網段之間內部數據交換的安全性，是很多網管員關心的問題。

針對以上需求，綠盟科技入侵保護系統提供交換防護的解決方案：

1、 冰之眼NIPS類似二層交換機一樣，采用一進多出或多進多出的方式，同時與不同網段相連接，進行數據交換；

2、 冰之眼NIPS實時監測各網段之間的各種流量，提供從網絡層、應用層到內容層的深度安全防護。

 

圖表3 交換防護解決方案

4.4.3 路由防護解決方案

目前，很多企業網絡連接到互聯網，一般在網絡邊界部署路由器、防火墻以及入侵保護/檢測系統，串聯的設備比較多，造成網絡邊界單點故障率提高，影響整個網絡安全性。

針對以上網絡特點，綠盟科技入侵保護系統提供路由防護的解決方案：

1、 冰之眼NIPS部署在網絡邊界，類似于一個路由器，提供靜態路由和策略路由，又是一臺防火墻，實現NAT地址轉換和流量管理，提供網絡層安全防護，還是一臺入侵保護系統，實現應用層和內容層的安全防御；

2、 冰之眼NIPS深度融合的IPS/IDS/防火墻集成平臺圓滿解決了防火墻靜態防御和IPS動態防御的融合難題，為用戶提供更全面的入侵保護解決方案。

圖表 4路由防護解決方案

4.4.4 混合防護解決方案

大型企業的網絡規模很大，結構相對復雜，不僅有總部，還有各地的分支機構，既要保護網絡邊界的安全，同時又要保護企業內網的安全。

針對大型企業網絡特點，綠盟科技入侵保護系統提供混合防護的解決方案：

1、 在總部互聯網出入口處在線部署冰之眼NIPS，實現路由防護，提供互聯網的從網絡層、應用層到內容層的深度安全防護；

2、 在總部內部網段之間以及與分支機構網絡之間在線部署冰之眼NIPS，提供透明接入的、獨立多路IPS一進一出的、交換式IPS多進多出的全

方位、立體式的安全防護體系，實現內網的安全區域劃分和控制；

3、 在企業服務器區旁路部署冰之眼NIPS，相當于入侵檢測系統，監測、分析服務器區的安全狀況，保護服務器安全；

4、 通過一個冰之眼控制臺，實現對全網IPS設備的集中管理、安全信息的集中分析和處理，有效解決企業面臨的安全問題，提高投資回報率。

 

圖表 5 混合防護解決方案

五 結論

隨著安全漏洞不斷被發現，黑客的技巧和破壞能力不斷提高，網絡受到越來越多的攻擊。每天成千上萬的蠕蟲、病毒、木馬、垃圾郵件在網絡上傳播，阻塞甚至中斷網絡；BT、電驢等P2P下載軟件輕易的占據100%的企業網絡上行下行帶寬；員工沉浸在QQ、MSN等聊天或反恐精英、傳奇等網游中不能自拔，從而影響了正常的工作。這些新型的混合威脅越來越給企業造成巨大的損失，而對于上述威脅，傳統防火墻、入侵檢測系統和防病毒系統都無法有效地阻止。

為了彌補目前安全設備（防火墻、入侵檢測等）對攻擊防護能力的不足，我們需要一種新的工具用于保護業務系統不受黑客攻擊的影響。這種工具不僅僅能夠精確識別各種黑客攻擊，而且必須在不影響正常業務流量的前提下對攻擊流量進行實時阻斷。

綠盟科技的冰之眼網絡入侵保護系統提供了業界領先的實時、主動的防護能力，通過新一代的入侵保護技術，綠盟科技的產品和技術能夠有效的阻斷攻擊，保證合法流量的正常傳輸，這對于保障業務系統的運行連續性和完整性有著極為重要的意義。

 

文章來源于領測軟件測試網 http://www.kjueaiud.com/