联想网御IS产品白皮书

联想网御IPS入侵防护系统产品白皮书V2.0痛联想网御科研技（北京）挺版权信息抢©敲版权所有脸2001－沃2007村，户联想网御科肚技(北京)母烂本文档中出晃现的任何文康字叙述、文啦档格式、插激图、照片、灰方法、过程沫等内容，除首另有特别注催明，版权均菜属封联想网御科倒技姓(吧北京垒)烟细所有，受国圈家有关产权支及版权法保慕护。如何个排人、机构未耍经碌联想网御科压技霞(边北京补)形延的书面授权宇许可，不得葡以任何方式熔复制或引用约本文档的任缝何片段。商标信息侄联想网御，业Legen携d，Len疤ovo，l匹eadse味c贯等标识及其岩组合殊是纷联想网御科走技疯(摄北京丘)铸丧拥有的商标爱，受商标法杨和有关国际收公约的保护论。第三方信息局本文档中所叹涉及到的产促品名称和商核标，属于各蚂自公司或组颜织所有。优联想网御科幅技（北京）狼敏Lenov矩oSec旗urity坐Tech剂nolog冷iesI压nc.缠北京市海淀放区中关村南临大街6号中属电信息大厦仔8层兄10008悲6乘8/FZ圈hongd统ian花Infor烫matio瑞n歪Towe写rNo.勿6Zho斥nggu姜ancun外Sout芝hStr炕eet,菠Haidi沙anDi危stric毛t,觉Beiji鹿ng春励(病TEL缩)限：拌010-8聚2竭16699朋9闭(起FAX盏)：塞010-村82166绵998盖技术热线(驾Custo谈merH文otlin宿e恼)：欺010-8辫21677委66煮电子信箱(扯E-mai点l亲)：它infos葡ec@le使novo.片com支公司网站：雷l波eads吸ec.co处m目录TOC\o"1-3"\h\z爆1拥、序言承失4资2洞、联想网御皱解决方案－住IPS孩入侵防护系败统驾此7妄4浊、联想网御后IPS为入侵防护系弟统系列产品各介绍叙做7售4.1绕简介累腾7乒4.2银系统架构欠献8枣4.3狐工作模式桑折9难5脊、联想网御的IPS做入侵防护系青统事产品特点旅并9长5.1躺联想网御赌IPS未入侵防护系递统专用操作升系统的特点辈和优点覆菌10蚊5.2概联想网御往IPS页入侵防护系接统内容处理蜂硬件体系结激构反贴13枝麦硬件体系结笛构简介白存13布栋内容处理加军速引擎呈格15滤矩在联想网御摇IPS总入侵防护系绢统结构中的盏高可靠性墓自16遇5.3本结论亲遭17厘6沿、联想网御留IPS猛入侵防护系母统主要功能惭呀17祖6.1助动态入侵防对护带/箱保护脉顺17驰6.2烫防病毒咳稻20产6.3跑高可靠性（猎HA铁）柿遇20无6.4故管理功能知酷211、序言挎近几年来，瞒随着信息化役建设的飞速税发展，信息熄安全的内容横也越来越广奖泛，用户对宇安全设备和乘安全产品的斜要求也越来圈越高。尽管时防火墙、I口DS等传统意安全产品在激不断的发展绍和自我完善茧，但是道高泊一尺魔高一观丈，黑客们艳不仅专门针镇对安全设备脱开发各种工湿具来伪装攻醋击、逃避检啊测，在攻击代和入侵的形摩式上也与应屡用相结合越松来越紧密。洒这些都使传矿统的安全设咸备在保护网求络安全上越异来越难。岛混合攻击带局来的新挑战罪随着红色代颈码、Nim柳da等有里宅程碑式的病积毒出现，改溜写了病毒形冶态和病毒的逆历史，病毒碗已经不再只迟具有破坏力辅。新的病毒快已经成为黑悟客的攻击和沟入侵手段，嗓借助病毒的接传播方式，紫黑客们可以年轻易地窃取已网络中的敏其感数据和信因息。黑客程需序、木马、俱病毒已经有情机地结合起蹦来，使之成宅为黑客攻击亚的新工具。尝同时，木马膏、病毒等恶殃意程序也经援常通过邮件柴、恶意的W向eb网页（烦或者被篡改馅的Web网躺页）、文件财下载等传播六途径使得病变毒的危害范攀围和扩散速盛度加大。这辟些都给传统株的安全设备礼带来新的挑皇战。柳一些老式的畏防火墙不具既备内容检测珍的能力，不通具备检测新腿型的混合攻貌击供和防护蝇的能力。较嘉新的深度检揭测防火墙往红往在分片的等数据包前一聪筹莫展,所千以传统的防祖火墙不具备蹄完备的内容府检测能力，尚无法做到内挖容安全过滤繁。IDS设窄备虽然可以膨检测网络中钻的攻击，但什是它不能对墓攻击行为进快行有效的防幅御和阻断，挽IDS的大却量误报也使宅得管理员难沫以从大量的晒日志中找出削有价值的信意息。桌面防暗病毒软件防臂护对象是终括端，往往需兄要使用者的蚕对操作系统伶和其软件都坚有较高的操膨作水平，并佳且防病毒软蛋件往往会限请制用户一些钥正常操作，寇为了突破限冶制用户会不辽得不关闭防纽毒软件，这哈些都使得防直病毒软件实奋施的效果受血到了很大的尚影响，所以肯不能保障网举络的安全。淘什么是菠IPS孟IPS是继辅“评防火墙买”侵、丑“啊信息加密羊”净等传统安全盟保护方法之级后的新一代忌安全保障技床术。它监视浆计算机系统夜或网络中发悄生的事件，趣并对它们进碎行分析，以挑寻找危及信战息的机密性职、完整性、找可用性或试筛图绕过安全岗机制的入侵表行为并进行饰有效拦截。岁（IPS）息就是自动执脂行这种监视研和分析过程思，并且济执行生阻断的硬件灾产品魄。鼠防火墙的局半限性糊防火墙是阻蹈止黑客攻击继的一种有效发手段，但随刑着攻击技术钱的发展，这迹种单一的防俱护手段已不荷能确保网络并的安全，它钞存在以下的炼弱点和不足久：中防火墙无法狠阻止内部人缺员所做的攻汉击奴防火墙保护腰的是网络边仔界安全，对叉在网络内部垫所发生的攻刊击行为无能罢为力，而据茂调查，网络棉攻击事件有之60%以上灾是由内部人叔员所为。厦防火墙对信奴息流的控制蝶缺乏灵活性肯防火墙是依伸据管理员定菌义的过滤规解则对进出网霉络的信息流席进行过滤和孙控制的。如偶果规则定义婶过于严格，叼则限制了网梅络的互连互颈通；如果规己则定义过于答宽松，则又映带来了安全柿隐患。防火构墙自身无法经根据情况的恶变化进行自格我调整。蜘在攻击发生球后，利用防闪火墙保存的禾信息难以调厌查和取证染在攻击发生绕后，能够进六行调查和取龟证，将罪犯谈绳之以法，肢是威慑网络券罪犯、确保腹网络秩序的士重要手段。价防火墙由于科自身的功能颂所限，难以首识别复杂的绘网络攻击并旋保存相关的届信息。砌为了确保计右算机网络安脏全，必须建周立一整套的庆安全防护体缸系，进行多且层次、多手归段的检测和驻防护。广入侵防护温系统就是安鼓全防护体系筋中重要的一聋环，它能够疾及时识别网健络中发生的闷入侵行为并吩实时报警暑并且进行有童效拦截防护蛋。需要说明蝇的是，虽然她目前很多防厌火墙都集成钢有针入侵防护章模块，但由内于技术和性怜能上的限制谜，它们通常思只能检测少贷数几种简单润的攻击，无绳法与专业的副入侵防护肃系统相比。嚼专业成入侵防护受系统所具有串的实时性、奔动态检测和屡主动防御等呀特点，弥补仗了防火墙等告静态防御工亩具的不足。谨为什么要使束用入侵防护连系统拆对于一个行像之有效的安托全解决方案裂，它必须考弃虑当前在应脾用和安全上卫的挑战。这摊些挑战包括蔽：障柿对分布式应朽用的依赖性鬼不断增强处–东各个机构日邮益依赖基于踩Web杯的应用和业顶务级的分布殃式应用来开宰展业务。分喂支机构和生撑产部门也会籍通过广域网森从远程访问佩CRM塌和有ERP胡等关键应用奖。生蝇网络化应用振容易受到攻想击绩–倡由于菌80驰、热139办等端口通常音是打开的，原因此如果不挎对借助这些呈端口穿越防绍火墙进入网灾络的流量进牵行检测，网忧络化应用将告非常容易遭济到病毒、入介侵、蠕虫和中DoS绞等形式的攻翼击。为保护尼网络化应用扩的安全，需圈要对所有流末量进行深入洗的数据包检跨测，以实时倦拦截攻击，替并且防止安秆全性侵害进码入网络并威遥胁各个应用套。度绝呈爆炸性增牙长的攻击扰–变应用攻击的厕数量和严重技性都在飞快雨地增长，仅横2003竟年就出现了性4200老多种攻击形价式，而且这造一数字每年炭都会翻一番裂。耗匀相应地，这乱些攻击造成省的损失也呈疲直线上升趋录势。据报道男，岭2003仔年例8披月成为即IT络历史上最糟助的一个月。惹在该月，仅滩Sobig烘病毒就在全伍球造成了把297警亿美元的经惰济损失。邮模当前的安全款工具无法拦奔截这些攻击零–嗽在应用层的例攻击面前，朴防火墙、名IDS败以及防病毒袜网关等现有庄的安全工具舍缺乏相应的外处理能力、宋性能和应用救安全智能，罪从而使各个码机构暴露无朴遗。旅递因此，一种唱能用数千兆恩位的速度对狡所有流量进欺行双向扫描剪并且可以实谎时防范各种嗽应用层攻击躺（比如蠕虫膨、病毒、木蓝马和岭Dos叫攻击）的内腊置安全解决晓方案，无疑垂已成为当务啄之急。毁炼联想网御I系PS入侵防厕护系统在业乖内首先提供姨了以快速防盟范入侵和拒旧绝服务攻击征的政产品偶。该里产品年可以实时地辣隔离、拦截粮和阻止各种打应用攻击，府从而为所有铺网络化应用明、用户和资咸源提供了直奋接保护。动2、织联想网御解茄决方案－晴IPS入侵疫防护系统归针对以上的延各种不安全芳以及难以管蔬理的爹因素，谋网御纸IPS入侵擦防护系统剩——作为信磨息安全的掠新一代锹门户，就应芝运而生了。费自2001臣年联想网御产开始研发带坡入侵防御系会统沾模块的防火池墙以来，经罩过不断地努谦力，在20格0浑7邪年第扛一豪季度我们即躲将实现联想晨IPS入侵张防护系统纷产品上市的申梦想。在众绑多国内乃至陈全球安全厂蠢商中，联想孝网御是研发拒IPS入侵博防护系统借产品的领跑盲者，在20躬02年就取嘉得多项该领乱域的技术专房利。同半联想网御通狸过对蔽入侵防基护侮、昆防火墙的整贤合和改良，匠使刑IPS入侵许防护系统驳产品可以很堪好地防御目孟前流行的混驱合型数据攻宇击的威胁。香这些特性和亦技术使得I恐T管理人员偿可以很容易选地控制如英Insta夜ntMe恋ssage壮信息和P2挥P应用的传禾输，并且阻互断来自内部赴的数据攻击革以及垃圾数覆据流的泛滥春。同时，设巨备可以支持沸动态的行为焰特征库更新框，更具备7灾层的数据包批检测能力。禁完全克服了脑目前市场上鲁深度包检测嘴的技术弱点切。特别针对沟分包攻击的爆内容效果明赶显。头为售了突破硬件掀平台限制，为联想网御采它用专用的A咱SIC芯片雪来完成对网腿络数据包的呢内容检测，变打破了传统脏防火墙内容丙处理障碍孙胜，提供了实庄时绳入侵防护照功能所需的瞒强大计算处刻理功能。环4、联想鄙网御呆IPS入侵您防护系统羞系列沾产品岛介绍4.1简介园作控为国内领先袖的专业的防汁火墙/VP雁N厂商，联竟想网御在服他务用户的过碧程中，很早咽就认识到传酿统安全设备拿的局限性。省早在200棉1年，我们身在国内率先龄推出集防火础墙、防病毒佣、IDS功荒能于一身的类产品，并申本请了发明专洁利（专利号构:011指09178厚9）。近年星来一直在技扔术上努力创谋新，针对多当安全功能整陕合、并行处扮理等方面进罩行软件体系拳结构的改进怪和优化，并赌寻找合适的勉高性能硬件六平台。同时仰，由于刷IPS入侵浅防护系统谷涉及技术非虏常全面，既卧有网络层、昏传输层安全弯也有应用层晓安全技术，固既有软件技压术也有硬件鉴技术，不可响能由一家公疤司独立完成话，必须广泛想合作，尤其微是和业界领脑先厂商合作李。2005谋年，联想网粘御专门赴美阔国硅谷技术前考察，并且寻成功地和多与家顶级安全指软硬件厂商吩展开深入合龄作。终于在绍2007花年Q普1榴成功推出了匠成熟的尚IPS入侵辽防护系统描产品。目前责，联想网御宗已经拥有提辆供业界最优替秀他IPS入侵灯防护系统究产品的能力土，产品线覆低盖百兆、千婚兆栗IPS入侵难防护系统丘。察联想网御游IPS入侵瓣防护系统剩产品采用了务独特的高性始能、高安全嫂性、高可靠矩性的操作系索统，提高了售自身安全性同的同时，加洞速了多线程顺的内容处理以，为运行在临其上层的防闲火墙、VP塌N、防病毒主等安全引擎瓜提供了强大蛋而安全的性喊能支持。联供想网御疗IPS入侵女防护系统凤使用了专门哀的ASIC商内容处理加稼速芯片，大习大提高了系凳统的内容处习理能力，为呀特征匹配，闭加解密，启盐发式扫描提华供了硬件加醋速。联想网剪御冶IPS入侵毯防护系统勾在各个安全本引擎中运用灰了新的算法矮和技术，示针对传统包纠过滤无法检杰测的威胁；丛针对未知的她攻击行为，懒使用了实时县动态保护技攻术艰。很4.2系统用架构虏联想洲网御Pow斧erV兔览IPS入侵济防护系统则主要由硬件轧平台、专用精操作系统、乏IPS呀管理服务系磁统、柴IPS挥安全巴引擎晋等勒四丛个部分组成财。雀硬件平台根线据用户使用挺环境的不同天，选取专用盯安全平台房或基于高性纯能服务器架加构进行设计总，并且使用昌专门ASI君C内容处理鸟芯片进行扫烛描和模式匹布配的加速立；专用操作咬系统为自主柳研发的姐高效强化蛇安全墨的实时纺嵌入式操作枕系统；狱IPS棉安全务引擎汽采用模块化壶设计，针对砌不同的应用井环境和不同声的安全策略角，可以配置沸不同的功能蠢模块。入入侵防护CLIHA报警日志监控CLIHA报警日志监控高效强化安全的操作系统高效强化安全的操作系统CPUASIC内容处理芯片CPUASIC内容处理芯片井4.3工作割模式仙联想网御全贱系列产品均墓采用联想支网御愧新一代多安恐全域设计，的序IPS入侵岩防护系统勾系列产品多炊口的硬件设先计可以使多很安全域需求贝得到完全的育满足，完全隔突破了传统叉的内网、外赖网、停火区孔的理念，可准以根据企业申内部不同的刺部门设置不业同的互通安父全规则，使任得不仅在内迁网与外网的缝安全得到保梳障，同时保模障了企业内奴部不同部门滤之间的安全搬需求。趋联想网御电IPS入侵羽防护系统京支持全透明刊交换工作模段式，与网御午IPS入侵妄防护系统赵可连接各个谊网络之间构宴成一个统一瞎的交换式物看理子网，子呜网内部还可础以有自己的汗第二级路由而器。除安全规管理以外，茂防火墙本身坦的工作不需衰要IP地址惕，为隐式全絮透明防火墙茶。这样一方碗面大大降低林了防火墙自抹身受到攻击达的可能性，染另一方面也侍使系统安装罢变得十分简胃单，不再需饼要改变原有蹲的网络拓扑轿结构和各主慰机与设备的她网络设置，婚即不需要重政新划分网段恨和调整网络帖结构。同时读强化了对虚热拟局域网（那VLAN）废和生成树协域议（STP夏）的支持。码联想网御征IPS入侵尸防护系统舱同时支持路扫由工作模式戒，与网御防仅火墙Pow匹erV馋妻IPS入侵撒防护系统策可连接不同秀的物理网段搂。防火墙接轮口可以通过拘配置别名设浮备，可以使李得一个物理饥接口上绑定献多个IP地汽址。懒联想网御堪IPS入侵听防护系统哄还支持集群肠工作模式，艇可以通过多鸟台防火墙的尚集群提高整膜个网络系统竭的可靠性，筝降低出现网结络中断的风待险。楚5蚂、联想由网御苏IPS入侵查防护系统斩产品特点汤联想网御博IPS入侵滴防护系统泛的完善体系攀结构包括两则大部分：强笋化安全的专抵用操作系统笨和模块化硬贞件系统。以李下分别介绍界这两大部分吴欲5.1灵联想网御灶IPS入侵张防护系统植专用弦操作系统的匙特点和优点棵联想网御撒IPS入侵迁防护系统素操作系统是垒专用的、实双时的强化安书全的操作系晨统，它在全英平台上支持活病毒扫描，穴内容过滤，戏satef驴ul乘检测防火墙包，衬IP肚安全（碍IPSec夸）网VPN吓，基于网络化的衡IDS校和流量管理域应用。以下裙介绍其设计晋特点、应用检级和网络级画功能，以及藏高性能，高飘可靠性，高员灵活性和扩慰展性。腿高性能并行密处理忽联想网御兵IPS入侵比防护系统艰高端产品设孕计为双灶CPU疯。皱席利用对称多海处理技术，衬有效地分解当和协调在双提处理器之间怖不同的任务探。米辞在任一特定狱时间，柔匪两个处理器中都负载在最徒佳的处理水塑平。纳泊由于利用了省专门的算法搁，兽马任务切分和喂协调过程中困的消耗减到叛了最小程度翻。尘实时体系结作构料与非实时梦OS草（例如许多妹防火墙和设杏备采用的不穷同风格的达Linux风）相比，联伤想网御肚IPS入侵伏防护系统予操作系统是灶使数据流程木处理达到优圆化的实时操架作系统。在抢非实时访OS拼中，核心并牛不总是对输鄙入的数据包焦触发的中断头作出及时反坐应；这不仅拜使数据包排抓队时间增长孤，握材而且造成系疲统资源（例亩如内存）不膨能有效地利味用，因而增钥加了丢包率护。联想网御肢IPS入侵向防护系统轿操作系统的礼设计集成了缓智能排队和圾管道管理，事句与包的到达续/免处理相关的为系统中断得三到立刻的重秋视。同时，太基于内容处叶理加速模块贯的硬件加速声使各种类型桶流量的处理猛时间达到最恨小，加上最雾短的排队时甲间，从而给债用户提供了夫最好的实时卧系统。佩实时内容级凤智能吴常规的安全根网关设计有晓两类：状态顿包检测（基变于流程的读,flow景-base虚d连）和应用代姑理（溪prox醉y袍）。在基于娱流程的网关屈中，安全策料略是大多在让包一级定义男和执行的（汤虽然状态检侵测对一定类景型的流量保端持会话上下笔文）。袜抹这种方法因演为包在处理漠后马上送走叮,絮而导致高处革理速度和高聚吞吐量；窗匀但是，坦遥由于处理是丹在包一级的真，键秧系统不理解舌高一级语言便，（例如协鬼议）或目标踩（例如文件虏），因此不跃能识别有害届的脚本、病邮毒攻击、或脱不想要的内窄容。相比之艇下，基于代肌理的系统，注安全网关终傅断进入和流书出的会话，擦检测包，将有它们重新组症合为原始的闭数据流，理虾解会话的当山前状态，并街能够对预先启定义的违规红、或动态产阳生的安全或朝网络策略进缺行检测内容货。这种方法摔有足够的智炒能在应用级另运作，因而皆能进行应用床级处理。但烫是，重新组下合所有的包艳和检测数据植流需要耗费扔大量的计算财资源，那会絮使基于代理量的网关变得趟性能减低许偿多。略联想网御镜IPS入侵念防护系统绵设计为综合轿基于流程的诉和基于代理就的两者优点狠，而同时又川克服它们的止弱点。联想境网御广IPS入侵太防护系统稻设计为具有朗基于流程的街检测引擎和历多应用级代票理（赌HTTP,嚷SMTP扮,POP3萌,IMA蓝P疏等）。专利典设计在包检强测和代理之裙间给出最佳陵的协调。由贫内容加速单寇元提供了基找于代理系统牲的智能，而厌在性能上达菊到通常只有历基于流程的巧系统才能达偏到的水平。扁结果使联想杨网御间IPS入侵曲防护系统违不仅能达到骨常规的网络赛级安全外,涉例如防火墙坝，拿VPN旗和欺NIDS购，而且能在颜网络界面边攀缘高速地处晨理应用级安开全功能，例竟如病毒与蠕仇虫扫描、讨URL鸡和关键词内阔容过滤、跨荷过防火墙的醒话音假Voice竿over蹄IP(及VoIP)扇。追完整的投资捎保护和完整其的网络保护半联想网御策IPS入侵防防护系统裂专用操作系副统设计的另幼一个优点是丽能适应新的宜功能和应用迹。模块化设雹计使得能方都便地添入或赚修改新的代茶理。在引入朗新的协议和离业务时，不哲需要改变整哈个操作系统吨结构（或硬巴件系统结构牌）。联想网继御姿IPS入侵拒防护系统橡专用操作系宴统适应支持偿VoIP悟NAT庄的能力就代券表了操作系始统灵活性的学一个很好的缩例子。使用迟得越来越多陕的像VoIP激，协议比较键复杂，例如歪H.323毙,MGC吧P,SI祝P强等，不能由睬常规的网络淋地址转换防交火墙来防护耻。如果不使动用代理，为读了让去VoIP券通行，滚VoIP哀网关要求在济防火墙中打虽开吸“鞭洞喷”电。然而，这吧些洞往往会证被入侵者利秆用，利用话椅音业务来损你坏防火墙，兔并增加未经秧容许的网络密接入。爬如果网络保轻护网关能理横解复杂的尸VoIP骆协议，它们架就能处理坑VoIP帽业务安全，情不需要开蜂“尝洞腥”稍，而斩“稳洞食”吩往往会让后VoIP丧和潜在的有妻害流量通过巾。如上所述乌，基于流程烫的网关一般惜缺少智能来哲理解复杂的勺高级的协议吓，而常规的鸦基于代理的症设计缺少必踢要的性能，诚来处理对延放迟敏感的话寄音，以免引睛入不能接受王的抖动和延恨迟。寨鞠这就是联想撇网御扁IPS入侵和防护系统依专用操作系餐统的立足之块处：它能容枣易地适应驱H.323磨协议，分隔软H.323农信息本体。猪高性能的操舟作系统核心虎，结合专门剃建立的内容芹处理加速硬榨件，能使联闸想网御巾IPS入侵腹防护系统露适合新的应眨用，而无须市重新设计系础统或对硬件交升级作大的得改动。西提供分区间冒安全的虚拟父系统支撑迫用户能够建暑立一个单个旨的联想网御亲IPS入侵笔防护系统蚁单元行为，私就好象它包工含大量的独夜立的纤“租虚拟系统戴”晚，它们提供搏专门的服务亭，对各个部应门或用户分集别具有自己叔独特的策略阶。联想网御驼IPS入侵馋防护系统纹体系结构中蜂设计了虚拟休系统支撑。窗符合当802.1她Q宝标准的一个长或多个杜VLAN形能被映射到睡一个虚拟系稼统，带有剧VLAN字中继支撑的践交换机绕/挥路由器与联栗想网御呀IPS入侵滑防护系统形的物理接口恰相连接。联僚想网御禁IPS入侵予防护系统弱能提供多达秩500驻个虚拟系统康。基于角色渐的管理允许驰不同的管理元员仅管理它刮们授权的虚蜻拟系统，使顽它们建立和逐维护它们自麻己的一套安潮全策略、地纤址和地址组悉，白扶以及监视系辣统状态。梅提供贸Close嚷d-loo岂p泪保护的体系吹结构偶常规入侵检满测系统的主露要问题正在萝于检测系统幕本身，因为悟它们只检测难，提供报告攀，但不能防腹护或防止攻艰击。主要原弟因在于大多什数急IDS,解例如防火墙腥，防病毒扫的描，是在点组上的解决办摇法，它们互俯相不通气。杀联想网御迁IPS入侵缝防护系统款专用操作系刘统平台组成挎了一个共框促架，它无缝桥地自然地集附成了所有支虏持的应用。乏当系统中的支NIDS捡模块检测一辣个攻击时，只它能采用一戴个或多个防拖护措施，例炼如重新设置假连接，伏牛放弃与攻击滋相关的包，下告示防火墙但阻挡攻击，篮或等候到攻膝击指示灯显板示达到某个辛门限。这是冷一种胳“还close公dloo闹p命”芹保护，根据月这一强有力晨的概念，均总将被动防护怖变为主动防飞护。锁高可用性穷(HA)艘的备份保护扮联想网御促IPS入侵当防护系统馅通常用于关阵键任务环境班，例如运营怎服务商基础练设施或大型骂企业，不能筛容忍由于任照一点故障的安业务丢失。宇用户使用备碑分的一对联齐想网御惜IPS入侵疲防护系统箩单元，并利翁用专用冗余典协议，来确乔保万一有故致障发生时的快故障恢复零廉中断。正如赶支持高可用白性的其它协参议一样，例则如完VRRP忌和路由器故宜障恢复零中谁断的登HSRP肯，联想网御坏IPS入侵惑防护系统数专用冗余协植议提供安全检会话的故障拉恢复零中断简。协议中包于含几项技术侧，包括：前连续地谦ping董互相连接，将以证实备份盲中的每一伙享伴处在健康颂状态中。点絮如果有一个闸模块发生故盈障或无电，旱乞业务会转到吓另一个系统举中。榆链接状态监宵视蓬艇–哨辉监视上行和悟下行交换机华/态路由器的流钻量状态，聚吊焦于为维持劣连接而从待博命状态转到梯使用状态。哥联想网御妹IPS入侵雾防护系统躺能利用专用核冗余协议，堂配置为完全君的备份环境胃，喷绘使得没有单郊个点的故障茂。联想网御轮IPS入侵号防护系统掏能配置为支候持热备份模找式或双机容笑错（欣activ辈e-act悼ive慨）负载共享韵模式。疾5.2坝联想网御钞IPS欣入侵防护系睬统腥内容处理硬躁件体系结构江觉硬件体系结庸构简介晌联想网御撞IPS入侵冻防护系统跌设计为传送允高速度的吞只吐量，并优北化为第七层环，严闸以及第二层盒和第三层包烦处理。系统娇由以下四个麻主要部分组峰成：条联想网御式IPS入侵陈防护系统现内容处理硬楚件体系结构泼内容处理加才速模块下Conte堤ntPr哗ocess进ingA策ccele努ratio吉nMod予ule(C图PAM)油–悼联想网御敲IPS入侵歉防护系统骆中有两个部妄件，每一个浮由一个内容宣处理芯片和猫一个内容处铲理加速单元很组成。内容市处理加速单要元有一个专获用的内容检沙测处理器，姨它与其它专斜用硬件一起扩，优化为强戏化内容搜索仓，模式识别模，和数据分傲析猫——钢大多数时间健消耗在病毒搂扫描，内容迁过滤和基于在网络的入侵燥检测。甜见内容处理芯剧片包含一个速专利的内容翼处理引擎，韵以及加密加脾速引擎和内数置的防火墙陈策略引擎。役牺这些引擎分缸别处理防病希毒和蠕虫探债测，茅NIDS滤特征探测，舰DES惹、锹3DES称、阴AES前加速，加密码，敞NAT,烛和执行防火明墙策略。忌CPAM损模块有专用痛的快速存储步器，所以很痛少要求通过辉总线与管理当模块中的系锋统内存相交轰互。正是由分于这一有效炉的数据流动彩体系结构，辰叙联想网御滥IPS入侵寄防护系统吧能达到应用鸦层内容处理蹲的高吞吐量救。墙管理模块堡Mana甲gemen瞧tMod屋ule(M沿M)-糖MM怒是基于高性掏能处理器设坛计。管理模餐块的功能是虹流程控制，甚壁和处理不能势被内容处理舟加速模块有钞效处理的包洁和流量。玩MM津还支持各种刺管理接口和莫相关的功能贞（沿GUI挠，肯CLI,蛛SNMP唤等）。何背板总线模六块抄Back布plane服Bus布Modul鬼e(BBM麻）爆-BB谅M抱由数据通道拨(Data胡path)蜓和管理总线狗组成。躬搞这一模块的拢特点是多总辉线设计，量寸它控制在两隐条不同的总粪线上发生的激信息和数据瞒交换都——湾控制在管理乎通道（坏Manag辱ement昌path该）上的信息搁流程，和数批据通道上模安块行程之间膀的数据交换讯，以提供负斥载流量能力外。这一设计栋实现了在不稀同模块之间铸的高效率通欧信。亏接口模块轿Inte着rface俭Modu惹le(IM趁)-罩支持输入汗/续输出接口，破蚁流量通过这轿些物理接口探进入和离开乐联想网御指IPS入侵隐防护系统周系统。根据津流量的特点贱，包被路由丽到管理模块辜或内容控制朗处理加速模子块去处理。喝注意，索目如果湾VLAN/共虚拟系统支泽撑是设置为移接通的，流武经过一个物提理接口的数膝据能代表从抬多个子网络雅的流量，取她决于不同的皂安全策略。摆腥内容处理加辫速引擎敲联想网御泊IPS入侵配防护系统缸内容处理器妈利用模块设币计，包含有另四个数据处业理引擎：钻特征扫描引泻擎贱脑该引擎支持态高速扫描病悲毒，容录蠕虫和入侵双攻击特征以失及被禁止的忌内容。关键功的部件是模吨式匹配模块劫，震衔它将文件的怀一个一个字季节，凉梢与表示病毒谜、蠕虫和入须侵攻击存在雾或黑名单上饼的内容的数猜据库相匹配愤。暴病毒和蠕虫傲特征存储在在专用的高速具存储器中，泰疤它直接被内轰容处理器存努取，愉李而任何数据胳不在数据通低道上传输。毛这一方法将仍扫描活动与挨包传输完全些隔离，它祝从而使联想江网御犯IPS入侵贿防护系统县能在支持应符用层处理时阿不降低系统要性能。指当流量从一末个应用层协麦议寨HTTP,陡SNMP绳,POP罢3IMA仇P预之一碑稍传到达联想灯网御沈IPS入侵滔防护系统肌时，专用操它作系统将包正导向到内容猾处理加速芯拾片，国桂它在专门的痛扫描存储器查中将包组合什为文件。扫尤描引擎将数买据与直接与烤它连接的高晕速存储器中债的特征数据添库匹配。并客一旦扫描完禾成，狱确扫描引擎向班管理模块接斗口告示扫描犯的结果，牲傲并接受下一深批数据。操示作在被检测输有攻击时进抽行，或者整汽个文件被扫肃描时进行。加密引擎侍内容处理器兔提供高性能咽加密引擎，仇楚支持吨DES,备Tripl惨e-DES杀,AES洁加密。族Tripl番e-DES板的吞吐量高赌达抢600Mb招ps.屯安全策略引袖擎资这一子系统死提供包和协秃议的分隔采(pars饲ing)渣，是能快速丘对策略匹配酒包流程的关简键。策略引耀擎处理防火哲墙功能，巧抹例如地址翻麻译和状态检慎测，志傻管理包的重京新组合和分聪裂。离内容处理加牧速单元（呆CPAU钩）体内容处理加静速单元（筹CPAU鱼）扯给是作为一个浆额外的加速大引擎，艳辉进一步加速浑应用层处理毫。驴CPAU兆在建立和管尼理会话相关培的强化处理迁任务中担负密着重要的角获色，包含了厨公共秘钥庆(publ猫icKe帐yCry把ptogr悦aphy)战怖引擎阿务，以加速秘弃钥的产生和活改变。仿CPAU逮是可编程的马并可用软件节升级的青,汇以便适应新勇的算法和应谈用。哲交在越联想网御竿IPS植入侵防护亡系统结构中组的高可靠性钩联想网御毒IPS入侵带防护系统讨是为满足大级型企业和运钥营服务商设战计的，起释高可靠性是网设计中最重猴要的考虑因斜素。托在部件级，啄使用高质量害部件，部件稿均由获得板ISO-9赠000济认证的提供刚商提供范高端设备采惑用双惯CPU岁处理器体系抱结构，晚溜使其中一个纤CPU诚在另一个卷CPU蔑出现故障时绢承担负载湿利用误差检混测和校正存愧储，以防止扫存储故障惹高端设备采也用冗余、热臭备份的电源吵，冗余、热睁备份的电扇烤组合，以保货证连续的运灵作和在线维蛇修，延线不会造成停左机。具为了保证最斗大的可靠性伪，绳冤可将联想网倒御康IPS入侵刷防护系统锐配置为冗余慈、高可用性尺模式，热备办份单元使得渡在单元发生艇故障时能维难持当前的会标话。5.3结论坐联想网御局IPS入侵腊防护系统籍设计为不仅俗可以处理网剃络层安全，皂而且具有应师用层功能，雅包括纽其他如岭病毒和蠕虫宁扫描和内容诸过滤。供联想网御诉IPS入侵焰防护系统梨装有强化安屈全的、实时晋的操作系统补，采用故障港恢复零中断棉备份逻辑，见和利用专门班的内容处理彩加速单元加觉速，是一个毙无与伦比的李网络安全网劝关。柜完它提供给大泼企业和运营玩服务商高性霞能、高可靠晨性、高安全估性。其体系光结构还保证仁了对新业务良的快速适应拍，而不需要匠改变硬件。撑采用一个在矩单个的单元税上运行的集枪成的安全和泳内容管理功歉能，预付出察的采购设备扒的成本和运角行中的管理横成本均可大鲜大地减少。显从而，在低雷成本和保护膊投资的同时稠，用户的安恶全性和生产兆率得到很好救改善。乌6个、联想悠网御管IPS入侵馆防护系统鼓主要功能涌6.1动餐态入侵防护辨/职保护秘联想网御疲IPS入侵劝防护系统姻先进的入侵熊检测衣/拘防御技术包木括：状态检测内容重组渣通信协议检技测庙应用协议检奋测内容检测拌图：雹粘联想网御割IPS入侵边防护系统悬先进的入侵斯检测搜/掀防御技术稍联想网御嫂IPS入侵岸防护系统银的异常检测苗技术是通过头分析整个数连据包进行的登，它远比基熔于特征的阿IDS熊更强，包括迁包头、协议公信息、应用柳信息、包内厅容和会话行砌为等。通过俯分别运用鸟6棉个完全内容疯重组和关联粗的检测过程微和动态威胁唉防御系统，银详细地会话觉信息被跟踪去和分析，以顽检测出最先笑进的威胁和袄未知的勺“拌零小时埋”峡（真zero-厌hour英）攻击。这稼些攻击包括纹：笑○阔基于网络的猪蠕虫和木马泛妈○沈野蛮攻击扒热○颠碎片其○派不良数据包陷妙○修Cross菌-site芽兄脚本抗鸟○把Direc市tory双Trave杆rsal蛮○章拒绝服务砖货○桶信息查询右天○脆会话劫持话○剩欺骗做翠○趋缓冲区溢出帅敢○齿无端注入及其他。尚状态检测引辱擎：朽状态检测引返擎是设计为挂跟踪每一个邮经过型联想网御列IPS入侵突防护系统楼的会话的所夫有通信层宁——叉包括基于连习接和非基于惜连接的协议圈。它保存积观累的状态和锡会话信息，锹以确保每一细个会话后续胸的包能被正诉确的发送和壮接收。铸内容重组模狸块：挺内容重组模畅块重组所有撤的数据包，咏以保证包能街以正确的顺梁序排列。这沫样就可以去半掉那些重叠反的分段、重川复的分段、者大小无效的狂包、偏移量定无效的包知——况过滤许多基苗于碎片、不团合法偏移量奋、崖fragr炕oute置逃避等的攻钓击。突通信协议检惧测引擎：基通信协议检涉测引擎保证粒协议确实是诚有效的，包珠括蒜TCP伞、姿UDP除、位ICMP翠等。所有的核协议头都需宋要对语法和冠语义的合法应性及进行检检验，带有不取良协议信息察的包将被识批别出来并阻钞挡。外应用协议检栗测引擎：搏应用协议检颤测引擎确保登协议头符合球合法的语法缩和语义。协斗议头数值的嫩有效性被验雅证，溢出被笑阻止。合法洁的应用如量Telne箭t恐、辞FTP昼、葵HTTP打、鹿SMTP糖、睛POP3生等的一致性真被检查，而士有害应用如纪BackO西rific块e晒、男SubSe蜡ven躁、剖TFN2K趁挤等被识别出萌来，并在它裕们可能对网枝络造成危害斥之前被阻挡活。咳内容检测模加块：蝴内容检测模棍块分析应用纹负载，寻找战已知和未知锅的恶意内容博。内容检测牌模块使用复艳杂的评估系伏统和会话行宗为模板来进呼行深度包分彩析，并在应趟用内容类型颗之间加以区阻别，以确保画对每一个会趣话流量的最骡大检测能力差。抚行为检测模列块：灿行为检测模扬块将异常检芽测带到一个相新的水平。孕通过将双向奏会话信息的丽关联、数据胶信息、通道箭信息、控制呀信息、活动