【51CTO.com综合报道】
九宫八阵图之风扬阵——IPS
九宫八阵图之风扬阵:风无正形,附之於天,变而为蛇,其意渐玄,风能鼓物,万物绕焉,蛇能为绕,三军惧焉。
风扬阵是一种比较适合用法术的阵法,这种阵法通过利用变化多端的法术可以力克敌人的各种攻击。网御入侵防护系统就像九宫八阵中的风扬阵一样利用状态检测、应用层完全分析、误用检测、异常检测、网络审计等多种检测与分析技术力克网络中的各种攻击行为保障网络安全,同时结合产品特点提出了适合不同用户需求的“外防内控”、“流量净化”、“流量优化”等多种安全解决方案。
“内外兼修”构筑和谐网络环境
一、当前网络面临的安全威胁
随着互联网技术的不断发展壮大,网络的规模和节点数量也在不断扩大,用户所面临的网络安全威胁也随着网络的发展陡然增加,那么网络中主要存在哪些安全威胁?
图:网络面临的安全威胁
u攻击威胁
网络攻击行为包括:黑客入侵、网络木马、网络扫描、拒绝服务攻击等,网络攻击可能造成多种严重的安全事件,如:信息泄露、应用和服务器系统瘫痪等。
u病毒威胁
病毒是一种可以通过互联网、Email和网络文件共享等多种方式传播恶意攻击手段,用户一旦遭受网络病毒,可能造成网络拥塞,甚至中断的严重后果。
u漏洞威胁
操作系统、应用服务、应用程序和邮件系统的安全漏洞,可能会给网络攻击者留下后门。
u内部威胁
据权威机构统计,70%以上的攻击事件来自于网络内部。
当用户面对上述安全威胁时,就会产生如下疑虑:
1)怎样才能实时发现并阻断网络攻击?
2)怎么才能有效阻止病毒的传播?
3)如何保证系统漏洞不被攻击者利用?
4)如何进行合理的IT安全内控?
二、怎么防御安全威胁?
传统的安全产品(防火墙,入侵检测系统)由于自身的局限性在面对网络内外的安全威胁时显得束手无策。防火墙工作在网络层采用包过滤技术进行网络层的访问控制(基于IP地址、端口等),防火墙无法检测和防御普通流量中的网络攻击、系统漏洞及网络病毒等安全威胁,针对网络内部的合法用户的安全威胁,防火墙也无法完成实时的检测和阻断;入侵检测系统通过旁路方式部署在网络中,对网络中的数据包进行实时的检测与分析,将网络中存在的各种安全风险事件通知网络管理员,入侵检测系统旁路的部署方式决定了其只能实时检测安全威胁但无法实时的阻断威胁行为。
综上所述,只有采用基于主动防御技术的入侵防护产品——IPS才能解决用户的这些安全问题。
入侵防护系统通过串接方式部署在网络中,采用多种威胁检测技术对网络中的各种威胁行为进行实时检测和阻断。
u模式匹配技术
模式匹配是一种传统识别攻击的检测技术,就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。IPS通过串接方式部署在网络中,实时监控网络中的数据报文,发现攻击,实时阻断。
模式匹配技术针对网络攻击、漏洞威胁等攻击行为可起到很好的抵御效果。
u异常检测技术
异常检测是一种基于行为的检测技术,首先IPS会给每个网络对象(用户、文件、目录和设备等)创建一个属性域值,包括网络正常使用时的所有行为属性,如报文频率、访问次数、操作失败次数和延时等,通过行为属性的域值来辨别行为是否异常。
异常检测技术可针对口令探测、网络扫描、DDOS攻击等攻击行为起到很好的抵御效果。
u病毒检测技术
病毒检测技术主要有特征码检测、校验和计算、行为检测等多种检测方法。目前国内外主流的IPS厂商一般通过自主开发或者与第三方防毒厂商合作实现IPS病毒防御功能。
病毒检测技术可实时检测和阻断各种类型的网络病毒。
uIT安全内控技术
面对日益复杂的内部网络应用,IPS通过对各种应用行为的识别、分析,具备绿色上网、
应用识别与控制、带宽限流、恶意站点检查等功能,可以合理管控内网应用。
IT安全内控是解决内部安全威胁的有效解决方案。
u云防御技术
以云计算为框架,以云防御服务器为中心,以部署在云端的各种安全设备为节点,实现
主动云防御和云清洗。
云防御技术可实现病毒库、攻击特征库、恶意站点库等攻击特征库实时同步到云内所有安全设备中,实现实时检测、实时响应。#p#
三、如何选择入侵防护系统
针对用户的实际需求,国内外各主流安全厂商开始投入大批研发力量开始研制基于主动防御技术的入侵防护系统,IPS一度成为网络安全业内比较热门的话题,IPS产品的面世也得到了用户的广泛关注。一款优秀的入侵防护系统应具备以下几大关键指标:
u产品性能
性能保障是一切网络和安全设备的基石,对于IPS产品同样非常重要,如果性能无法得到保障,IPS将会成为网络中潜在的网络瓶颈,不仅会增加网络延时,而且会降低网络的效率。传统的入侵防护系统大多基于单核系统开发,受限于硬件发展的瓶颈,基于单核的硬件架构难以满足日益增长的网络性能要求,由于单核系统处理能力的不足,面对未来数千兆或者更大容量的网络流量,对于安全厂商仍然是个极大的挑战。
u误报率
事件检测的成功率是IPS实际应用价值的核心,IPS的部署方式(串接部署)决定了一旦设备出现误报,势必会对正常的网络应用产生较大影响。因此,如何有效降低误报率,将是IPS厂商面临的最严峻的考验。
u攻击事件库
IPS一直依赖于攻击事件库来检测网络攻击行为。跟踪新型的网络攻击、实时的攻击事件分析、及时更新攻击事件库,是检验一个安全厂商综合技术实力的标准。如何才能及时捕获新型的网络攻击,是给所有IPS厂商提出的最现实的挑战。
u如何适应未来网络的发展
随着 IPv4 地址日渐枯竭,IPv6网络的应用需求也日益迫近。如何满足未来 IPv6 网络上的安全防护需求,是带给所有安全厂商的又一新的课题。
u厂商的综合实力
安全厂商的综合实力集中体现在厂商技术实力和厂商所获得的相关资质两个方面,厂商的综合实力标志着安全厂商是否在行业内具有领导者的地位。安全厂商的技术实力主要体现在知识产权、技术专利、承担国家重大科技项目等方面;安全厂商获得的资质主要体现在系统集成资质、安全服务资质、产品资质等方面。
四、网御入侵防护系统解决方案
网御自2001年开始投入入侵检测类产品的研发,并在2004年推出专业入侵检测系统。凭借在网关流处理技术、入侵检测技术、应用分析技术等方面的深厚积累,在2007年倾力推出业内首款“内外兼修”的入侵防护系统(IPS);同时,网御在硬件架构设计上也不断突破,先后推出了基于ASIC架构和基于MIPS多核架构的硬件平台。这一系列技术成果的推出奠定了网御在专业安全厂商中的领航者地位。
u多种架构设计实现性能的重大突破
为满足不同用户的实际需求,网御研发团队经过多年的研发努力和技术创新设计出多种硬件架构平台,其中包括:基于X86架构的安全平台、基于ASIC架构的安全平台以及基于MIPS多核架构的安全平台。采用X86架构的安全平台,可满足中、小规模用户的性能要求;采用ASIC架构的安全平台在小包转发速率上实现了重大突破,可满足大规模用户的性能要求;基于MIPS多核架构的安全平台对于每秒新建和并发联接等性能指标实现技术突破,充分满足的电信运营商级别用户的性能要求。
面对未来网络发展的需要,基于MIPS多核处理器的安全产品将逐步成为安全领域主流产品,这种安全产品通过采用多核处理器中的一整套CPU的并行工作来获得更高的性能,MIPS多核架构可以构建具有并行处理能力的新型平台。
基于MIPS多核架构的入侵防护系统可解决业务处理与数据处理相互干扰的问题,将入侵防护的业务处理放在控制平面,数据处理放在数据平面。例如,入侵防护相关配置的处理就在控制平面运行,而报文的解码、比对则在数据平面进行,相互之间互不影响。更为灵活的是控制平面、数据平面可以根据需要来分配Core的个数,如下图所示,控制平面可以分配1个Core,数据平面可以分配n个Core。
综上所述,实现各平台分离的好处在于,控制平面和数据平面即有共享的资源以供交互,也有自己独立的资源可以调度,不会相互影响,其灵活性、以及性能都有很大的提升。
图:数据处理多核资源分配图
图:多核架构内部模型
u基于云计算的动态策略调整降低误报率
目前,网御已经正式加入云安全联盟(CSA--- Cloud Security Alliance),并成为云安全联盟合作伙伴。网御提出的主动云防御技术,可实现攻击事件库的动态更新以及安全策略的动态调整,有效地降低误报率。
网御主动云防御系统主要包含3个部分:安全防护集群、安全检测集群、主动云防御服务器。安全防护集群由连接到主动云防护系统中的所有安全设备组成,负责从服务器下载并执行安全防护列表;安全检测集群主要由分布式部署的UTM、IPS、AVG等设备和恶意网站探测服务器组成,负责实时检测攻击、病毒、木马等恶意行为,并上传到服务器,安全检测集群中设备也可能属于安全防护集群;主动云防御服务器负责采集信息,并自动验证、归并为安全防护列表下发到安全防护集群。
图:主动云防御示意图
u主动出击、防患未然---网御攻防实验室
优秀的攻防技术团队是厂商综合技术实力的体现。网御攻防实验室利用自身的研究成果,维护着网御数千条攻击事件库、千万级的恶意URL链接库、数百种应用特征库,为网御安全产品提供了有力的技术支撑。
同时,网御已经正式加入微软安全响应中心(Microsoft Security Response Center)发起的MAPP(Microsoft Active Protection Program)计划,作为该计划成员,网御可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。
网御攻防实验室发现的安全漏洞也被国家漏洞库、国际CVE等权威机构收录。
u网御入侵防护系统全面支持IPV6
网御结合“下一代网络安全架构”设计理念,掌握众多核心技术,引领IPv6时代的网络安全。
网御IPS可支持各种IPv6 网络环境中的安全检测与防御功能。包括:支持IPv4/v6 双协议栈网络地址解析;支持针对 IPv6 网络中的数据包解析、碎片包重组等完整性检查; 支持4-over-6 双向通道检查、支持IPv6 碎片表头解碼、支持IPv6 路由检查、支持IPv6 碎片重组、支持IPv6 表头完整性检查等。
u领先的、创新的、可信赖的网御
网御星云自1999年进入信息安全领域,拥有众多核心技术,先后申请发明专利41项,实用新型专利7项,已授权各项专利24项,拥有各类产品软件著作权25项,已自主研发了防火墙、VPN网络密码机、AV防病毒网关、IDS入侵检测、UTM综合安全网关、IPS入侵防护系统、SIS安全隔离网闸、SSL 安全接入网关、TAM异常流量管理、LM安全管理系统等11大类410余款产品
自公司成立以来,网御获得了多项国家、部级资质,是信息安全行业中资质等级最高、资质种类最全的公司(系统集成一级、安全服务二级),这也充分反映了网御星云在信息安全领域的技术实力和企业的综合实力。
网御凭借在防火墙、入侵检测、应用分析等方面的深厚积累,结合市场需求不断创新,在系统安全性方面推出了基于VSP通用安全平台和USE统一安全引擎;在性能优化方面先后推出了基于AISC架构的小包线速转发平台和基于MIPS多核架构海量并发处理平台;在产品功能方面倾力打造出了业内首款的“内外兼修”入侵防护系统。
网御IPS综合采用会话状态检测、应用层完全分析、误用检测、异常检测、网络审计等分析与检测技术,实现了“入侵检测与实时阻断、应用层访问控制、绿色上网管理、带宽管理”等核心功能,配合实时更新的入侵攻击特征库,做到了对网络数据流从高效阻止非法行为(净化)到按需限制合法行为(优化)的全面管理。
