网神SecIPS 3600入侵防御系统产品白皮书.doc

网神SecIPS 3600入侵防御系统产品白皮书产品白皮书网神SecIPS 3600入侵防御系统本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有。网神信息技术（北京）股份有限公司2011年3月l 版权声明Copyright 2006-2011 网神信息技术（北京）股份有限公司 （“网神”） 版权所有，侵权必究。未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。l 文档信息文档名称网神SecIPS 3600入侵防御系统产品白皮书扩散范围销售/售前/客服/渠道商/用户文档版本号V6.10.1作者刘松日期2011/10/01初审人宋伟复审人陈华平l 版本变更记录时间版本说明作者110809V6.8.1更新了G620B和H840的产品规格目 录1产品概述42产品特点43产品功能124产品资质311 产品概述网神SecIPS 3600入侵防御系统（简称：“网神IPS”）将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库，可检测防护3000种以上的网络攻击行为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁，并具有丰富的上网行为管理，可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而，很好地提供了动态、主动、深度的安全防御。2 产品特点网神IPS的完善体系结构包括两大部分：强化安全的专用操作系统和模块化硬件系统。以下分别介绍这两大部分。l 高效的体系结构在平台优化的核心技术方面，主要有以下三个方面。1） 零拷贝技术数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝，有效地减少内存存取次数。2） 核心层优化所有报文的解析与比对都由核心层（Kernel）进行，完全不用通过核心层与应用层之多余的转换，因此不用进行内存拷贝，从而有效地减少内存存取次数。3） 硬件特征比对网神特征比对引擎是一款能直接比对特征码格式，引擎比对速度高达4Gbps。相对于一般只对报文内容进行文字搜索的作法，引擎同时整合了第四层的特征内容，减少了处理器额外比对并且有效降低误判，且支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元，能高速进行对比并且不会有规则存储导致硬件满载的风险。l 实时的入侵检测防护网神IPS具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能，内置超过3,000种的IPS特征库，并可自定义入侵攻击和应用软件的特征；支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析；支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等多种攻击的防护。l 丰富的上网行为管理网神IPS不仅具有精准的入侵检测和防护功能，同时还具有丰富的内网上网行为管理功能。可以根据不同的时间、群组，来对及时聊天软件、P2P软件、非法隧道等下达严格的管理策略。l 强大的抗DoS/DDoS传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数，来阻断未知类型的DoS/DDoS攻击。这种机制虽然可以将超过阈值的攻击数据包丢弃，但同时也会将超过阈值的合法数据包丢弃，造成正常用户不能使用网络服务。网神IPS对于需要重点保护的Web、DNS等服务可选择采取传统的处理机制。另外，网神IPS提供独特的DoS/DDoS检测及预防机制，可以辨别合法数据包以及DoS/DDoS攻击数据包，支持双向阻断TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMP Smurfing等类型的DoS/DDoS攻击，可检测的DoS/DDoS攻击软件包括XDoS、SUPERDDoS、FATBOY等50种以上。网神高端IPS对于一般性能指针 （TCP SYN Flooding），当攻击包大小为128 bytes时，可以抵挡480Mbps流量的攻击，当攻击包大小为1518bytes时，可以抵挡1280Mbps流量的攻击。因此，当用户在遭受DoS/DDoS攻击之时，网神IPS仍然能够保证合法用户顺利享用网络服务。l 动态的异常流量管理当黑客发动攻击时，常会伴之网络异常的情形发生。网络异常的情形可分为以下三种。1） 通信协议异常例如由外界网络流入大量过长的IP数据包、大量的IP碎片数据包、异常的TCP通信协议连机状态、被截断的IP数据包、无法重组的IP数据包等。2） IP/Port的扫瞄异常通过IP扫瞄，黑客得以窥知目的端内网络结构和情形；通过Port扫瞄，黑客可以得知目标主机已开启的服务端口。3） 网络流量异常例如突然产生大量的TCP SYN、TCP、UDP、ICMP、IGMP等数据包，占据正常网络使用带宽。当上述攻击数据包发起时，经过改造的恶意数据包可能会造成企业内部网络系统死机无法对外提供正常的服务；IP/Port扫瞄的行为将使企业内部的网络架构轻易被黑客得知；大量的异常流量数据包也可能造成企业核心路由器、交换机等因承载过重而死机。2003年所发生的SQL Slammer攻击就是因为送出大量UDP数据包而造成企业网络瘫痪。l 精准的带宽管理功能网神IPS采取七层深度数据包分析技术，可以完整地做到应用程序级别的流量管理，具体针对以下两方面的管理：1） 可根据不同的应用程序分配不同的带宽，如对P2P 、PPlive、PPStream等流量的管理。2） 可根据不同的VLAN、源/目的IP地址、应用协议端口划分不同的带宽。网神IPS采取以下两种方式对流量进行管理：1） 网络传输带宽方式限流，即限制特定对象的最大带宽，可精准到1Kbps。2） 网络传输总量方式限流，即限制特定对象的单位时间内传输总量。l 实用的多重冗余功能网神IPS具有多层次的冗余功能，能提供最高等级的高可用性，并方便用户灵活配置。1） 高端设备标配可热插拔的冗余双电源确保某一电源失效时可自动由备用电源供电，不停机即可修复，避免电源硬件故障时设备失去作用。2） 提供内置BYPASS功能在设备出现硬件及电源故障时快速、自动切换到直通状态，保障网络可用性。此外不管是因为硬件或是软件的因素，假设侦测引擎出现阻碍（blocking）死锁的状况，内置BYPASS功能也会自动切换到直通状态，用户无须担心设备的可靠度。内置BYPASS功能可通过远程管理实现启动或关闭管理。3） 支持Active-Active和 Active-Passive的高可用性功能采用MRP（Multi-Layers Redundant Protocol）多重冗余协议技术，在并发连接数达到数百万时亦可有效地在网神IPS设备之间实现同步。相较于一般采用Linux ct_sync模块或是FreeBSD pfsync模块的产品，网神的同步技术仅需要5.8%的数据量，不会因为HA的数据影响侦测引擎的速度。4） 支持联机自动切换（Link Fault Pass Through and Link Fault Restoration）功能一般交换机实现HA功能的方法不一，大多交换机将物理链路的状态作为判断依据，一般的IPS在这种情形下可能会出现潜在的问题。如图 1所示，如当防火墙-1与普通的IPS的链路中断时，两端的交换机由于各自物理链路依然完好而无法侦测此故障，因此数据包仍会继续往已中断的链路传送造成使用者连接中断。网神IPS的联机自动切换功能就是为了解决这种问题所设计，当一端的链路中断时，会自行将另一端的链路同时中断，因此交换机才能够正确反应将线路切换到畅通的链路。图 1 网神IPS双机自动切换功能说明图l 方便的管理方式要做好网络安全管理不仅仅需要设计精良的设备，最重要的是可将设备融入已有网络环境，并且能够很好地配合本单位的安全规范。网神IPS支持强大且丰富的管理能力，能够贴近各种不同网络架构的需求，并且提供网管人员最友好的管理接口，以及多种实用的报表。具有以下特点：1） 多样化的管理模式除了SecIPS管理系统 Java接口外，SecIPS也可通过远程SSH登录管理，或是以Console（RS-232/RJ-45）登录。SSH/Console接口为选单式，简捷方便并且省去用户记忆指令的困扰。2） 面向对象的虚拟化IPS引擎IPS的检测引擎通常是依据RFC等规范开发，但是有时仍会遇上一些例外的状况：l 应用程序在运行时不依规范开发，引起IPS的误判。这时若停止误判的特征规则，则其它的计算器就无法受到此特征规则的保护。l 利用IPS来管理P2P时，面对不同的对象可能需要有不同的管理策略。在这两个例子里，都需要IPS能根据对象的不同针对特征规则有不一样的反应方式。网神IPS的虚拟化特征引擎提供最弹性化的管理方式。每一对实体IPS/IDS都可配置不同的规则集，每一个规则集所包含的规则，都可依据来源/目的端IP地址或是VLAN ID来决定对应的处理方式。比如针对电驴（eDonkey）程序，网神IPS可分别以直通、流量控管、以及阻断方式来管理不同的三个部门。而且每条规则皆可定义有效的运行时程，方便网络管理人员依据上下班的时间部署规则。3） 直观的统计工具和报表IPS能实时的拦阻攻击和入侵事件，同时对网络管理人员来说，丰富且完善的报表也是非常重要的，不但能借助报表掌握单位网络的实际状况，也能防患于未然。网神IPS的报表有以下四样特点：l 实时统计仪表盘统计仪表盘可以统计自上次归零以后，网络安全事件的分类比率，以及平均流量和目前的流量。网管人员可以从异常的流量（相较平均值）和事件发生的比率去观察，搭配交叉查询的功能，能快速的定位出有意义的网络安全事件，以免被太多的资料所淹没。l 实时事件列表、流量监视器、系统状态监视 实时事件列表详细的表达出目前正在发生的网络安全事件，包含了严重程度、攻击者和受害者的IP地址、发生的时间、IPS对此事件的反应。流量监视器实时的显示出目前流经过IPS的流量大小，以及常用应用程序（HTTP, SMTP, POP, FTP, ）所占用的流量。系统状态则监视IPS的处理器和内存利用率，方便网管人员监控设备。l 交叉查询交叉查询是最为灵活的报表产生器。它允许使用者依据事件发生的时间、源地址、目的地址、事件名称当作搜寻的标的，并可用来源地址、目的地址、及事件名称当作是件排名的依据，并可针对不同的虚拟IPS和ACL产生交叉报表。产生出来的交叉报表可转为HTML格式方便打印及保存。l 样板报表与定期报表交叉查询虽然方便，但是需要对数据库进行大量的存取，因此需要比较长的运算时间。因此网神IPS的管理接口内建了最常用的八种报表，可缩短搜寻的时间，提高了便利性。样板报表还包括了依据攻击种类和严重程度排名的趋势图，直观地提供网管人员最佳的参考。网神IPS管理接口并支持最为灵活的定期报表系统，可依使用者指示的时间将预先设定的报表或是自订的报表，依设定的格式（HTML、PDF、CVS）和指定的方法（FTP、邮件）传送给指定的使用者。定期报表的内容预设有八种内容，使用者另可依据交叉查询的格式自订需要的内容。并可循环产生，方便网管人员整理。4） 使用者自行定义特征码网神IPS 开放使用者自行定义特征码，弹性的格式方便使用者定义出有效的特征。使用者借助网络包收集工具观察之后，便可利用此功能拦阻或是对某些网络行为发送日志。特征格式包含第三层至第七层的报文，而且可以定义报文之间的距离，也可以规范事件发生的频率，有效阻挡第七层的阻断式攻击。例如，使用者可自行规范Internet用户存取单位内服务器的频率为每秒20次，若有攻击者企图使用大量连接攻击服务器，就会被网神IPS有效阻拦。3 产品功能分类特性/功能详细描述入侵检测与防护入侵检测引擎产品具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能；可自定义检测方向可检测来自外部网络的入侵攻击和管理追踪内部网络的蠕虫感染与网络应用工作模式支持IPS、IDS、IPS Monitor/学习、L2 Forward等多种工作模式特征规则内置多达3000种的IPS特征库；并可自定义入侵攻击和应用软件的特征协议分析支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析策略时间管理可自定单个策略的运行时间防护攻击类型支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等多种攻击的防护对数据包的处理方式支持丢弃数据包、中断连机、事件监视/记录 （可选择记录数据包内容，如Sniffer一般）、限制连接传输带宽、限制传输总量等多种处理方式阻断蠕虫传播针对蠕虫具备自动利用系统漏洞入侵的能力，以达到快速将自我扩散到其它系统的特点；IPS能发现蠕虫入侵，并能立即丢弃尝试入侵的数据包，让蠕虫无法顺利扩散，如对Zotob Worm、MS SQL Slammer Worm等蠕虫的控制防御操作系统漏洞攻击可针对Windows、Unix、Linux等操作系统的弱点进行防御，弱点类型包含了Stack and Heap Buffer overflow、Format string error、Memory access error、Memory corruption、 Access control and Design weakness等等防御木马检测基于ActiveX、XML、VML、MDAC等的漏洞，可阻止访问者在浏览网站时被诱使植入木马的攻击；检测利用Dropper技术隐藏木马的Microsoft Office文件，可阻止下载并启动这些文档；具有丰富的漏洞特征库可以实现对木马的精准拦截间谍软件可通过检测下载可执行程序、ActiveX、Java applet等可疑的活动，实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装服务器保护三/四层DoS/DDoS防护支持双向阻断TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMP Smurfing等各种类型的DoS/DDoS的攻击，可检测的DoS/DDoS软件包括XDoS、SUPERDDoS、FATBOY等50种以上七层DoS/DDoS防护支持基于限制访问单位时间内访问特定服务次数来，阻断未知类型的DoS/DDoS攻击，如针对Web、DNS等服务的攻击Web系统攻击防御可针对IIS、Apache等不同的Web 服务器程序弱点进行防御，并可追踪管理Web服务器对数据库的存取行为，如可禁止外部SQL注入请求扫描攻击防护可实时阻断攻击者利用对IP地址和协议端口的扫描寻找服务器漏洞带宽管理流量整形针对VLAN、源/目的IP地址、应用协议端口、七层应用软件（如P2P、FTP、PPlive、PPStream等），支持进行网络传输带宽和网络传输总量两种限制方式P2P下载管理能够基于软件行为、数据内容，而不是基于协议端口号，来识别P2P的应用，并可针对加密型或非加密型P2P下载进行管理、拦截、限流；拥有完善的P2P特征识别库，支持的常用P2P软件包括Thunder、eMule、WinMX、QQLive (China)、Skype、eDonkey、BitTorrent、Mldonkey等100余种；针对P2P应用的带宽限流，可精准到1Kbps上网行为管理聊天应用管理能够基于软件行为、数据内容，而不是基于协议端口号，来识别常见的聊天应用，并可针对加密型或非加密型聊天软件进行管理、拦截、限流；能根据不同需求，进行多层次软件控制，不仅可禁止实时聊天程序，还可对它的登陆、聊天、传输文件、实时语音、实时视频等进行分项管理；拥有完善的实时聊天程序特征识别库，支持的聊天程序包括MSN、QQ、Yahoo Messenger、Skype、AIM、TM、Google Talk、PoPo Build、iChat等10多类；并可对基于Web的聊天进行登陆和禁止管理控制，如MSN、Yahoo、ICQ、Google Talk、AIM、eB、iLoveIM.com 等在线游戏管理支持对QQGame、OurGame、Cg