据IDC 2006年统计报告显示,90%以上的用户已经采购部署了防火墙系统,并且随着基于互联网开展业务的需要,VPN系统也被广泛的使用,FW/VPN的使用解决了用户边界安全的问题。但随着互联网的普及,新的安全问题也在不断涌现,DOS/DDOS频繁发生,攻击损失越来越大;蠕虫病毒从漏洞宣布到大规模蠕虫出现时间越来越短、蠕虫病毒出现后,攻陷全球的时间越来越快;间谍软件、木马功利性越来越强,以盗取用户账号、密码、窃取机密信息为目的的案例明显增多;Web攻击日益猖狂,攻击手段越来越隐蔽;种类繁多的P2P/IM、热门游戏、垃圾应用在占用大量带宽的同时,极大地降低了工作效率……越来越多的安全问题,呼唤着相关安全产品的尽快诞生。
增加IPS产品构成纵深防御体系
随着互联网的普及,基于网络开展的业务越来越多,网络安全成为大家关注的焦点问题之一。防火墙作为安全保障体系的第一道防线,进行各种攻击的第一步防御,保证边界安全。VPN系统保证了随着业务系统不断扩展、随着网络边界的变化,网络整体的安全性仍在可控范围之内。但随着攻击工具与攻击手法的日趋复杂多样,攻击的隐蔽性越来越强、攻击常常混杂在正常流量中,仅仅只有防火墙保证边界安全已经无法满足企业的安全需要,用户需要在FW/VPN的基础上尽快部署IPS产品,形成纵深防御体系。
防火墙作为访问控制设备,针对不同应用具有不同端口的特点,进行访问控制,保证访问的合规性,在网络出口处成为攻击防御的第一关;对于需要在防火墙上开放端口传输业务数据、不同的应用逐步通过80端口——HTTP协议传输数据的情况,则需要通过IPS产品进行深度检测防御、判断流量中是否夹杂恶意攻击代码并进行及时阻断。来自内部的主动或被动的攻击行为也可以使用IPS产品对出去的流量进行深度检测防御。
网络卫士入侵防御系统解决方案
天融信公司推出的基于硬件加速技术的IPS产品——网络卫士入侵防御系统TopIDP,在线部署在网络中,提供主动、实时的防护,具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库,既可有效检测并实时阻断隐藏在海量网络中的攻击、蠕虫病毒与滥用行为,也可以对网络中的各种流量进行有效管理,从而达到对网络架构防护、网络性能保护和核心应用保障。
该产品可提供强大的抗DOS/DDOS攻击能力;可提供准确的蠕虫、后门、木马、漏洞、间谍软件、Web攻击防御能力;可提供繁多的垃圾应用、流行P2P/IM、热门游戏的过滤控制能力及QOS功能;可提供邮件病毒、垃圾邮件、URL过虑等可选择额外添加功能;可提供丰富的各种入侵防御报表。
TopIDP产品具有如下优势,可以为用户提供线速入侵防御:
● 高吞吐量和低延时
TopIDP是基于硬件加速的IPS产品,以ASIC为核心计算单元,NPU、CPU为辅助处理单元,保证了该产品具有交换机一样的高吞吐量和低延时,能够满足如VOIP等低延时应用的要求。保证了TopIDP 64字节小包线速处理性能、保证了2~7层深度过滤时千兆级线速性能。
● 提供多重立体防御保护
基于“ClearFlow入侵防御微引擎”技术的TopIDP具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库,既可以有效检测并实时阻断隐藏在海量网络中的蠕虫、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构防护、网络性能保护和核心应用保障,去除网络中与业务无关、有害的数据信息,保护公司业务连续不间断正常进行。
● 虚拟IPS功能实现精细化防御
TopIDP支持虚拟IPS功能(VIDP),针对不同的网络环境和安全需求,可以制定不同的规则和响应方式,每个虚拟系统分别执行不同的规则集,实现面向不同对象、执行不同策略的智能化入侵防御。同一台设备可以虚拟为多台设备进行使用、可以为不同用户群提供不同的防御策略,既满足了用户精细化防御的需求、又为用户节省了资源投入。VIDP在实际环境中的有效使用,需要有足够的处理能力、性能保障,TopIDP优异的产品性能保证了该功能能够真正使用起来,可以满足大型企业、运营商级用户对虚拟IPS的需求。
● 高可用性和冗余性
TopIDP所有接口都支持FOD失效开放机制,当出现软硬件故障和电源故障时,系统能够自动切换到旁路模式以保障网络的畅通,而且丝毫不影响数据传输速率,能胜任骨干网及数据中心的带宽需求。同时,TopIDP可工作在主备(Active/Passive)模式,也可工作在负载分担(Active/Active)模式,保证网络环境的高度畅通性。
纵深防御部署图
TopIDP部署在防火墙后,从防火墙出来的流量进入到DMZ、Intranet两个区域之前分别进
入TopIDP设备的两个接口。TopIDP设备对此两路流量进行深度过滤,可防止来自Internet的 DOS/DDoS攻击;抵御来自Internet针对DMZ区服务器的应用层攻击、提供虚拟软件补丁服务,保证服务器最大正常运行;抵御来自Internet的针对Intranet区域的蠕虫、木马后门等攻击;对Internet出口流量进行控制管理,对即时聊天/P2P下载/游戏等各种应用带宽进行控制管理,防止带宽滥用;还可以防御内网对DMZ区域的攻击;并且针对DMZ、Intranet区域不同的保护对象,利用TopIDP的虚拟IPS功能,设置不同的防御保护策略,提供精细化防御。