一.前言
隨著網絡與信息技術的發展,尤其是互聯網的的廣泛普及和應用,網絡正逐步改變著人類的生活和工作方式。越來越多的政府、企業組織建立了依賴于網絡的業務信息系統,比如電子政務、電子商務、網上銀行、網絡辦公等,這些系統對社會的各行各業產生了巨大深遠的影響。
網絡的發展和普及為我們的工作和生活提供了便利,但同時也帶來了更多的安全隱患。近年來,企業所面臨的安全問題越來越復雜,安全威脅正在飛速增長,尤其混合威脅的風險,如蠕蟲、病毒、間諜軟件、DDoS攻擊、垃圾郵件等,極大地困擾著用戶,給企業的信息網絡造成嚴重的破壞。
能否及時發現并成功阻止網絡威脅帶來的危害、保證計算機和網絡系統的安全和正常運行便成為企業所面臨的一個重要問題。
二.為什么需要入侵保護系統
說起網絡安全,相信許多人已經不陌生了,因為大家可能都曾遇到過下面這些情況:
*未及時安裝新發布的一個安全補丁,結果服務器宕機,遭到攻擊而服務中斷;
*蠕蟲病毒爆發,造成網絡癱瘓,無法網上辦公,郵件無法接收,網頁無法打開;
*部分員工使用BT、emule等P2P軟件下載電影或MP3,造成全公司上網速度奇慢無比;
*某些員工沉迷在 QQ或MSN上聊天,或者玩反恐精英、傳奇等網絡游戲,或者瀏覽在線視頻,不能專心工作;
*由于員工電腦被植入間諜軟件,公司機密資料被竊;
根據調查數據顯示,以上事件呈逐年上升趨勢,給企業造成越來越大的直接和間接損失。對于上述威脅,傳統的安全手段(如防火墻、入侵檢測系統)都無法有效進行阻止。
絕大多數人在談到網絡安全時,首先會想到 "防火墻"。防火墻得到了廣泛的部署,企業一般采用防火墻作為安全保障體系的第一道防線,防御黑客攻擊。但是,隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨復雜多樣,單純的防火墻已經無法滿足企業的安全需要。傳統防火墻的不足主要體現在以下幾個方面:
防火墻作為訪問控制設備,無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼,比如針對WEB服務的Code Red蠕蟲等。
有些主動或被動的攻擊行為是來自防火墻內部的,防火墻無法發現內部網絡中的攻擊行為。
由于防火墻具有以上一些缺陷,所以部署了防火墻的安全保障體系還有進一步完善的需要。
入侵檢測系統IDS( Intrusion Detection System)是近幾年來發展起來的一類安全產品,它通過檢測、分析網絡中的數據流量,從中發現網絡系統中是否有違反安全策略的行為和被攻擊的跡象。它彌補了防火墻的某些缺陷,但隨著網絡技術的發展,IDS受到新的挑戰:
IDS旁路在網絡上,當它檢測出黑客入侵攻擊時,攻擊已到達目標造成損失。IDS無法有效阻斷攻擊,比如蠕蟲爆發造成企業網絡癱瘓,IDS無能為力。
蠕蟲、病毒、DDoS攻擊、垃圾郵件等混合威脅越來越多,傳播速度加快,留給人們響應的時間越來越短,使用戶來不及對入侵做出響應,往往造成企業網絡癱瘓,IDS無法把攻擊防御在企業網絡之外。
我們看到,入侵檢測系統IDS側重網絡監控,注重安全審計,適合對網絡安全狀態的了解。
基于網絡安全形勢的嚴峻,入侵保護系統IPS(Intrusion Preve-ntion System)作為新一代安全防護產品應運而生。
入侵保護系統IPS 提供一種主動的、實時的防護,其設計旨在對常規網絡流量中的惡意數據包進行檢測,阻止入侵活動,預先對攻擊性的流量進行自動攔截,使它們無法造成損失,而不是簡單地在檢測到惡意流量的同時或之后發出警報。IPS 是通過直接串聯到網絡鏈路中而實現這一功能的,即IPS接收到數據流量時,如果檢測到攻擊企圖,就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。
從IPS的工作原理來看,IPS有幾個主要的特點:
*為企業網絡提供“虛擬補丁”
IPS預先、自動攔截黑客攻擊、蠕蟲、網絡病毒、DDoS等惡意流量,使攻擊無法到達目的主機,這樣即使沒有及時安裝最新的安全補丁,企業網絡仍然不會受到損失。IPS給企業提供了時間緩沖,在廠商就新漏洞提供補丁和更新之前確保企業的安全。
*提供“流量凈化”
目前企業網絡遭受到越來越多的流量消耗類型的攻擊方式,比如蠕蟲、病毒造成網絡癱瘓、BT、emule等P2P下載造成網絡帶寬資源嚴重占用等。IPS過濾正常流量中的惡意流量,為網絡加速,還企業一個干凈、可用的網絡環境。
*提供“反間諜”能力
企業機密數據被竊取,個人信息甚至銀行賬戶被盜,令許多企業和個人蒙受重大損失,IPS可以發現并阻斷間諜軟件的活動,保護企業機密。
入侵保護系統IPS的設計側重訪問控制,注重主動防御,而不僅僅是檢測和日志記錄,解決了入侵檢測系統IDS的不足,為企業提供了一個全新的入侵保護解決方案。
三.綠盟網絡入侵保護系統
針對目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS和黑客攻擊,包括未知的攻擊形式,綠盟科技提供了完善的安全防護方案。冰之眼網絡入侵保護系統(ICEYE NIPS)是綠盟科技入侵保護解決方案的核心,作為自主知識產權的新一代安全產品,先進的體系架構集成領先的入侵保護技術,包括以全面深入的協議分析技術為基礎,協議識別、協議異常檢測、關聯分析為核心的新一代入侵保護引擎,實時攔截數據流量中各種類型的惡意攻擊流量,把攻擊防御在企業網絡之外,保護企業的信息資產。
冰之眼網絡入侵保護系統能夠協助客戶:
*阻止間諜軟件的威脅,保護企業機密。
*阻止企業員工因為各種IM即時通訊軟件、網絡在線游戲、P2P下載、在線視頻導致的企業網絡資源濫用而影響正常工作,凈化流量,為網絡加速。
*阻止P2P應用可能導致的企業重要機密信息泄漏和可能引發的與版權相關的法律問題。
*實時保障企業網絡系統7x24不間斷運行,提高企業整體的網絡安全水平。
*智能、自動化的安全防御,降低企業整體的安全費用以及對于網絡安全領域人才的需求。
*高效、全面的流量分析、事件統計,能迅速定位網絡故障,提高網絡穩定運行時間。
圖表 1 綠盟科技網絡入侵保護系統體系架構
冰之眼網絡入侵保護系統的體系架構包括三個主要組件:控制臺、網絡引擎、升級站點,方便各種網絡環境的靈活部署和管理。
實時的主動防御
*冰之眼網絡入侵保護系統提供“虛擬補丁”,為企業提供了時間緩沖,在廠商就新漏洞提供補丁和更新之前確保企業的安全。
*冰之眼NIPS提供準確和智能的檢測和防護,以
預防已知和未知攻擊,使需要管理人員干預的程度最小化,有效減輕攻擊報警處理的壓力。
*冰之眼NIPS與內置防火墻的完美集成提供了更高級的防護功能,同時還可獲得更強的訪問控制功能和靈活性,并降低總擁有成本。
*綠盟科技擁有著名的安全研究部門NSFocus小組,已經獨立發現了20余個Microsoft、HP、CISCO、SUN、Juniper等國際著名廠商的重大安全漏洞,保證了冰之眼NIPS技術的領先和規則庫的及時更新,在受到攻擊以前就能夠提供前瞻性的保護。
準確的檢測/防護
*冰之眼NIPS全面深入的協議分析技術能夠分析近100種應用層協議,包括HTTP、FTP、SMTP等,極大地提高檢測的準確性,降低誤報率。
*冰之眼NIPS獨有的協議識別技術能夠識別近100種包括后門、木馬、IM、網絡游戲在內的應用層協議,不僅可以更有效的檢測通過動態端口或者智能隧道等進行的惡意入侵,并且能更好的提高檢測效率和準確率。
* 冰之眼NIPS出色的協議異常檢測針對檢測未知的溢出攻擊與拒絕服務攻擊,達到接近100%的檢測準確率和幾乎為零的誤報率。
* 冰之眼NIPS能夠有效防御拒絕服務攻擊DoS,阻止攻擊者消耗網絡資源、甚至中止服務。
* 覆蓋廣泛的攻擊規則庫帶有超過1800條由NSFocus安全小組精心提煉、經過仔細檢測與時間考驗的攻擊特征,而且綠盟科技具有領先的漏洞預警能力,是目前國內唯一一個向國外(美國)出口入侵檢測規則庫的公司。綠盟科技每月平均提供四到五次升級更新,在緊急情況下可即時提供更新。冰之眼保護檢測系統的漏洞攻擊信息還通過了嚴格的CVE兼容性認證,是國內唯一通過此認證的入侵保護產品,綠盟科技被授權使用如下的CVE兼容性認證標志:
優異的產品性能
* 冰之眼NIPS專門設計了安全、可靠、高效的硬件運行平臺。硬件平臺采用嚴格的設計和工藝標準,保證了高可靠性;獨特的硬件體系結構大大提升了處理能力、吞吐量;操作系統經過優化和安全性處理,保證系統的安全性和抗毀性。
* 冰之眼NIPS依賴先進的體系架構、高性能專用硬件,在實際網絡環境部署中性能表現優異,具有線速的分析與處理能力。
高可靠、可擴展
* 冰之眼NIPS支持失效開放(Fail-open)機制,當出現軟件故障、硬件故障、電源故障時,系統自動切換到直通狀態以保障網絡可用性,避免單點故障。同時在國內首家支持內置的千兆硬件BYPASS功能(光纖口/以太口)。
* 冰之眼NIPS支持雙機熱備HA,不僅支持Active-Standby(主從 熱備),還支持Active-Active(對等熱備),提供高可用性保障。
* 冰之眼NIPS的工作模式靈活多樣,支持五種模式:聯合(Unite)、速保護(NIPS)、檢測(NIDS)、分接(TAP) 、直通(Bypass),能夠快速部署在幾乎所有的網絡環境中。當用戶網絡結構改變時,可根據用戶變化后的安全需求調整部署
方式,繼續使用,從而保護用戶投資。
聯合(UNITE)模式:這是冰之眼NIPS出廠的缺省模式,同時支持NIPS和NIDS兩種模式。冰之眼NIPS的兩個網絡端口以一進一出的方式,串聯在網絡鏈路上,形成NIPS模式,通過實時攔截惡意流量來防止網絡攻擊;另外的網絡端口連接到集線器端口或交換機的SPAN端口上,形成NIDS模式,對網絡中的數據流量進行入侵檢測。在聯合(UNITE)模式中,NIPS和NIDS共同運行,既對進出數據流量進行入侵防護,也對其他網段提供入侵檢測,節約客戶投資。
保護(NIPS)模式:冰之眼NIPS的兩個網絡端口以一進一出的方式,串聯在網絡鏈路上。數據流量經過NIPS時,NIPS對數據流進行深入全面的檢測,對發現的惡意攻擊流量實時阻斷。實時的主動防御使得冰之眼NIPS能夠快速阻止來自蠕蟲、病毒、間諜軟件和黑客的威脅,把攻擊防御在企業網絡之外。
檢測(NIDS)模式:冰之眼NIPS的網絡端口連接到集線器端口或交換機的SPAN端口上,實際上就是純粹意義上的入侵檢測系統NIDS。冰之眼NIPS以旁路的方式,對網絡中的數據流量進行入侵檢測,對攻擊提供響應措施,如與防火墻聯動、TCP Killer等。
分接(TAP)模式:冰之眼NIPS的兩個網絡端口以一進一出的方式,串聯在網絡鏈路上。數據流量經過NIPS時,NIPS對數據流僅僅檢測,但不阻斷。這種模式解決如下問題:1、全雙工的監聽;2、快速部署;3、交換機不支持雙向鏡像。
直通(BYPASS)模式:冰之眼NIPS的兩個網絡端口以一進一出的方式,串聯在網絡鏈路上。數據流量經過NIPS時,NIPS旁路引擎,直接包轉發,不做檢測和阻斷。這種模式主要用于網絡調試,排除引擎故障。
* 冰之眼NIPS提供豐富的響應方式,包括主動響應(丟棄數據包、丟棄連接會話)、被動響應(與防火墻聯動、TCP Killer、發送郵件、控制臺顯示、日志數據庫記錄、打印機輸出、運行用戶自定義命令、寫入XML文件、snmp trap),用戶可自定義,滿足各種需要。
* 冰之眼NIPS運行在特別定制的操作系統上,在提供給網絡引擎無與倫比性能與穩定性的同時,本身具備了超強的安全性。系統內各組件通過強加密的SSL安全通道進行通訊防止竊聽。
3.2.5更強的管理能力
* 冰之眼NIPS同時支持B/S和C/S模式,用戶不需要安裝任何客戶端即可管理冰之眼網絡引擎。
* 從實時升級系統到報表系統,從攻擊告警到日志備份,冰之眼NIPS完全支持“零管理”技術。所有管理員需要日常進行的操作均可由系統定時自動后臺運行,極大地降低了維護費用與管理員的工作強度。
* 冰之眼NIPS支持三種管理模式:單級管理、主輔管理、多級管理,滿足不同企業不同管理模式需要。
單級管理模式:控制臺直接管理網絡引擎,一個控制臺可以管理多臺網絡引擎。適合小型企業,用于局域網絡。
主輔管理模式:網絡引擎同時接受一個主控制臺和多個輔控制臺的管理。主控制臺可以完全控制網絡引擎;輔控制臺只能接受網絡引擎發送的日志信息,不能操作網絡引擎。適合大型企業或者有分權管理需求的用戶。
多級管理模式:控制臺支持任意層次的級聯部署,實現多級管理。上級控制臺可以將最新的升級補丁、規則模板文件等統一發送到下級控制臺,保持整個系統的完整統一性;下級控制臺可以通過配置過濾器,使上級控制臺只接收它關心的信息。適合跨廣域網的大型企業用戶。
* 實時在線升級、自動在線升級、離線升級、串口升級、SSH遠程升級,冰之眼NIPS支持多種升級方式,使NIPS提供最前沿的安全保障。
* 全中文界面、中文報表,符合中國人操作習慣,而中文規則庫對每個漏洞都有詳細描述,并提供了詳細的解決方案及補丁下載地址。
* 控制臺提供體驗模式,模擬的數據動態顯示,有利于用戶學習掌握。
|
產品規格 |
ICEYE-200P |
ICEYE-600P |
ICEYE-1200P |
ICEYE-1600P | |
|
適用網絡 |
|
|
|
| |
|
接口 |
工作口 |
最多三個10/100Base-TX端口 |
最多三個10/100Base-TX端口 |
最多四個千兆接口(單模光纖接口LX、多模光纖接口SX、千兆以太網可選) |
最多四個千兆接口(單模光纖接口LX、多模光纖接口SX、千兆以太網可選) |
|
管理口 |
一個10/100Base-TX端口 | ||||
|
串口 |
一個RS232串口 | ||||
|
性能 |
吞吐量 |
200Mbps |
600Mbps |
1200Mbps |
2000Mbps |
|
每秒并發TCP會話數 |
100,000 |
150,000 |
200,000 |
300,000 | |
|
最大并發TCP會話數 |
150,000 |
200,000 |
500,000 |
1000,000 | |
|
銷售許可 |
公安部銷售許可 | ||||
|
入侵檢測 |
支持IP碎片重組、TCP流匯聚、TCP狀態跟蹤、協議識別、協議分析、協議異常檢測、特征檢測、關聯分析、流量異常檢測、拒絕服務攻擊檢測 | ||||
|
協議識別 |
支持近100種協議 | ||||
|
響應方式 |
丟棄數據包、丟棄會話、防火墻聯動、TCP Killer、發送郵件、控制臺顯示、日志數據庫記錄、打印機輸出、運行用戶自定義命令、寫入XML文件、snmp trap(V1、V2、V3) | ||||
|
規則庫數目 |
超過1800條 | ||||
|
升級方式 |
實時在線升級、定時在線升級、離線升級、串口升級、SSH升級 | ||||
|
設備管理方式 |
支持基于B/S(Web控制臺)管理、基于C/S(Windows控制臺)管理、RS232(串口)管理、SSH(遠程協助)管理 | ||||
|
工作模式 |
UNITE模式、NIPS模式、NIDS模式、TAP模式、BYPASS模式 | ||||
|
協議回放 |
支持HTTP、SMTP、FTP、Telnet、POP3協議 | ||||
|
流量分析 |
支持 | ||||
|
事件統計 |
支持 | ||||
|
802.1Q VLAN |
支持 | ||||
|
MPLS |
支持 | ||||
|
日志存儲 |
支持MSDE、MS SQL數據庫等 | ||||
|
失效開放 |
支持 | ||||
|
內置防火墻 |
支持 | ||||
|
物理特性 |
尺寸 |
472*432* |
944*432* | ||
|
重量 |
|
25千克 | |||
|
電源 |
100-250V AC(50-60HZ),300W |
100-250V AC(50-60HZ),400W | |||
|
平均無故障時間(MTBF) |
超過100,000小時 | ||||
|
工作溫度 |
0~ | ||||
|
非運行溫度 |
-20~ | ||||
|
相對濕度 |
5%~95% ,非凝露 | ||||
|
高度 |
海拔0 | ||||
|
執行輻射標準 |
Class A,EN55022,FCC Part15 | ||||
綠盟科技冰之眼網絡入侵保護系統的部署方式靈活多樣,能夠快速部署在幾乎所有的網絡環境中,實現從企業網絡核心至邊緣及分支機構的全面保護,適用于不同環境不同企業的安全需求。
針對來自外部和內部的攻擊,冰之眼網絡入侵保護系統提供在線防御的部署模式,通過冰之眼NIPS“串聯”在關鍵網絡鏈路上,實時攔截數據流量中各種類型的惡意攻擊流量,保護企業的重要信息資產。
同時也可以把冰之眼網絡入侵保護系統以“旁路”方式部署在企業網絡的重要部位,相當于入侵檢測系統,監測、分析企業網絡內部的安全狀況,保護企業安全。
如下圖所示:
圖表 2 部署方式
四.結論
隨著安全漏洞不斷被發現,黑客的技巧和破壞能力不斷提高,網絡受到越來越多的攻擊。每天成千上萬的蠕蟲、病毒、木馬、垃圾郵件在網絡上傳播,阻塞甚至中斷網絡;BT、emule等P2P下載軟件輕易的占據100%的企業網絡上行下行帶寬;員工沉浸在QQ、MSN等聊天或反恐精英、傳奇等網游中不能自拔,從而影響了正常的工作。這些新型的混合威脅給企業造成越來越大的損失,而對于上述威脅,傳統防火墻、入侵檢測系統和防病毒系統都無法有效地阻止。
為了彌補目前安全設備(防火墻、入侵檢測等)對攻擊防護能力的不足,我們需要一種新的工具用于保護業務系統不受黑客攻擊的影響。這種工具不僅僅能夠精確識別各種黑客攻擊,而且必須在不影響正常業務流量的前提下對攻擊流量進行實時阻斷。
綠盟科技的冰之眼網絡入侵保護系統提供了業界領先的實時、主動的防護能力,通過先進的入侵保護技術,綠盟的產品和技術能夠有效的阻斷攻擊,保證合法流量的正常傳輸,這對于保障業務系統的運行連續性和完整性有著極為重要的意義。
