【51CTO.com綜合報道】

九宮八陣圖之風(fēng)揚(yáng)陣——IPS

九宮八陣圖之風(fēng)揚(yáng)陣：風(fēng)無正形，附之於天，變而為蛇，其意漸玄，風(fēng)能鼓物，萬物繞焉，蛇能為繞，三軍懼焉。

風(fēng)揚(yáng)陣是一種比較適合用法術(shù)的陣法，這種陣法通過利用變化多端的法術(shù)可以力克敵人的各種攻擊。網(wǎng)御入侵防護(hù)系統(tǒng)就像九宮八陣中的風(fēng)揚(yáng)陣一樣利用狀態(tài)檢測、應(yīng)用層完全分析、誤用檢測、異常檢測、網(wǎng)絡(luò)審計等多種檢測與分析技術(shù)力克網(wǎng)絡(luò)中的各種攻擊行為保障網(wǎng)絡(luò)安全，同時結(jié)合產(chǎn)品特點(diǎn)提出了適合不同用戶需求的“外防內(nèi)控”、“流量凈化”、“流量優(yōu)化”等多種安全解決方案。

“內(nèi)外兼修”構(gòu)筑和諧網(wǎng)絡(luò)環(huán)境

一、當(dāng)前網(wǎng)絡(luò)面臨的安全威脅

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展壯大，網(wǎng)絡(luò)的規(guī)模和節(jié)點(diǎn)數(shù)量也在不斷擴(kuò)大，用戶所面臨的網(wǎng)絡(luò)安全威脅也隨著網(wǎng)絡(luò)的發(fā)展陡然增加，那么網(wǎng)絡(luò)中主要存在哪些安全威脅？

圖：網(wǎng)絡(luò)面臨的安全威脅

u攻擊威脅

網(wǎng)絡(luò)攻擊行為包括：黑客入侵、網(wǎng)絡(luò)木馬、網(wǎng)絡(luò)掃描、拒絕服務(wù)攻擊等，網(wǎng)絡(luò)攻擊可能造成多種嚴(yán)重的安全事件，如：信息泄露、應(yīng)用和服務(wù)器系統(tǒng)癱瘓等。

u病毒威脅

病毒是一種可以通過互聯(lián)網(wǎng)、Email和網(wǎng)絡(luò)文件共享等多種方式傳播惡意攻擊手段，用戶一旦遭受網(wǎng)絡(luò)病毒，可能造成網(wǎng)絡(luò)擁塞，甚至中斷的嚴(yán)重后果。

u漏洞威脅

操作系統(tǒng)、應(yīng)用服務(wù)、應(yīng)用程序和郵件系統(tǒng)的安全漏洞，可能會給網(wǎng)絡(luò)攻擊者留下后門。

u內(nèi)部威脅

據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計，70%以上的攻擊事件來自于網(wǎng)絡(luò)內(nèi)部。

當(dāng)用戶面對上述安全威脅時，就會產(chǎn)生如下疑慮：

1)怎樣才能實時發(fā)現(xiàn)并阻斷網(wǎng)絡(luò)攻擊？

2)怎么才能有效阻止病毒的傳播？

3)如何保證系統(tǒng)漏洞不被攻擊者利用？

4)如何進(jìn)行合理的IT安全內(nèi)控？

二、怎么防御安全威脅？

傳統(tǒng)的安全產(chǎn)品（防火墻，入侵檢測系統(tǒng)）由于自身的局限性在面對網(wǎng)絡(luò)內(nèi)外的安全威脅時顯得束手無策。防火墻工作在網(wǎng)絡(luò)層采用包過濾技術(shù)進(jìn)行網(wǎng)絡(luò)層的訪問控制（基于IP地址、端口等），防火墻無法檢測和防御普通流量中的網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞及網(wǎng)絡(luò)病毒等安全威脅，針對網(wǎng)絡(luò)內(nèi)部的合法用戶的安全威脅，防火墻也無法完成實時的檢測和阻斷；入侵檢測系統(tǒng)通過旁路方式部署在網(wǎng)絡(luò)中，對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行實時的檢測與分析，將網(wǎng)絡(luò)中存在的各種安全風(fēng)險事件通知網(wǎng)絡(luò)管理員，入侵檢測系統(tǒng)旁路的部署方式?jīng)Q定了其只能實時檢測安全威脅但無法實時的阻斷威脅行為。

綜上所述，只有采用基于主動防御技術(shù)的入侵防護(hù)產(chǎn)品——IPS才能解決用戶的這些安全問題。

入侵防護(hù)系統(tǒng)通過串接方式部署在網(wǎng)絡(luò)中，采用多種威脅檢測技術(shù)對網(wǎng)絡(luò)中的各種威脅行為進(jìn)行實時檢測和阻斷。

u模式匹配技術(shù)

模式匹配是一種傳統(tǒng)識別攻擊的檢測技術(shù)，就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，來發(fā)現(xiàn)違背安全策略的入侵行為。IPS通過串接方式部署在網(wǎng)絡(luò)中，實時監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)報文，發(fā)現(xiàn)攻擊，實時阻斷。

模式匹配技術(shù)針對網(wǎng)絡(luò)攻擊、漏洞威脅等攻擊行為可起到很好的抵御效果。

u異常檢測技術(shù)

異常檢測是一種基于行為的檢測技術(shù)，首先IPS會給每個網(wǎng)絡(luò)對象(用戶、文件、目錄和設(shè)備等)創(chuàng)建一個屬性域值，包括網(wǎng)絡(luò)正常使用時的所有行為屬性，如報文頻率、訪問次數(shù)、操作失敗次數(shù)和延時等，通過行為屬性的域值來辨別行為是否異常。

異常檢測技術(shù)可針對口令探測、網(wǎng)絡(luò)掃描、DDOS攻擊等攻擊行為起到很好的抵御效果。

u病毒檢測技術(shù)

病毒檢測技術(shù)主要有特征碼檢測、校驗和計算、行為檢測等多種檢測方法。目前國內(nèi)外主流的IPS廠商一般通過自主開發(fā)或者與第三方防毒廠商合作實現(xiàn)IPS病毒防御功能。

病毒檢測技術(shù)可實時檢測和阻斷各種類型的網(wǎng)絡(luò)病毒。

uIT安全內(nèi)控技術(shù)

面對日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)應(yīng)用，IPS通過對各種應(yīng)用行為的識別、分析，具備綠色上網(wǎng)、

應(yīng)用識別與控制、帶寬限流、惡意站點(diǎn)檢查等功能，可以合理管控內(nèi)網(wǎng)應(yīng)用。

IT安全內(nèi)控是解決內(nèi)部安全威脅的有效解決方案。

u云防御技術(shù)

以云計算為框架，以云防御服務(wù)器為中心，以部署在云端的各種安全設(shè)備為節(jié)點(diǎn)，實現(xiàn)

主動云防御和云清洗。

云防御技術(shù)可實現(xiàn)病毒庫、攻擊特征庫、惡意站點(diǎn)庫等攻擊特征庫實時同步到云內(nèi)所有安全設(shè)備中，實現(xiàn)實時檢測、實時響應(yīng)。#p#

三、如何選擇入侵防護(hù)系統(tǒng)

針對用戶的實際需求，國內(nèi)外各主流安全廠商開始投入大批研發(fā)力量開始研制基于主動防御技術(shù)的入侵防護(hù)系統(tǒng)，IPS一度成為網(wǎng)絡(luò)安全業(yè)內(nèi)比較熱門的話題，IPS產(chǎn)品的面世也得到了用戶的廣泛關(guān)注。一款優(yōu)秀的入侵防護(hù)系統(tǒng)應(yīng)具備以下幾大關(guān)鍵指標(biāo)：

u產(chǎn)品性能

性能保障是一切網(wǎng)絡(luò)和安全設(shè)備的基石，對于IPS產(chǎn)品同樣非常重要，如果性能無法得到保障，IPS將會成為網(wǎng)絡(luò)中潛在的網(wǎng)絡(luò)瓶頸，不僅會增加網(wǎng)絡(luò)延時，而且會降低網(wǎng)絡(luò)的效率。傳統(tǒng)的入侵防護(hù)系統(tǒng)大多基于單核系統(tǒng)開發(fā)，受限于硬件發(fā)展的瓶頸，基于單核的硬件架構(gòu)難以滿足日益增長的網(wǎng)絡(luò)性能要求，由于單核系統(tǒng)處理能力的不足，面對未來數(shù)千兆或者更大容量的網(wǎng)絡(luò)流量，對于安全廠商仍然是個極大的挑戰(zhàn)。

u誤報率

事件檢測的成功率是IPS實際應(yīng)用價值的核心，IPS的部署方式（串接部署）決定了一旦設(shè)備出現(xiàn)誤報，勢必會對正常的網(wǎng)絡(luò)應(yīng)用產(chǎn)生較大影響。因此，如何有效降低誤報率，將是IPS廠商面臨的最嚴(yán)峻的考驗。

u攻擊事件庫

IPS一直依賴于攻擊事件庫來檢測網(wǎng)絡(luò)攻擊行為。跟蹤新型的網(wǎng)絡(luò)攻擊、實時的攻擊事件分析、及時更新攻擊事件庫，是檢驗一個安全廠商綜合技術(shù)實力的標(biāo)準(zhǔn)。如何才能及時捕獲新型的網(wǎng)絡(luò)攻擊，是給所有IPS廠商提出的最現(xiàn)實的挑戰(zhàn)。

u如何適應(yīng)未來網(wǎng)絡(luò)的發(fā)展

隨著 IPv4 地址日漸枯竭，IPv6網(wǎng)絡(luò)的應(yīng)用需求也日益迫近。如何滿足未來 IPv6 網(wǎng)絡(luò)上的安全防護(hù)需求，是帶給所有安全廠商的又一新的課題。

u廠商的綜合實力

安全廠商的綜合實力集中體現(xiàn)在廠商技術(shù)實力和廠商所獲得的相關(guān)資質(zhì)兩個方面，廠商的綜合實力標(biāo)志著安全廠商是否在行業(yè)內(nèi)具有領(lǐng)導(dǎo)者的地位。安全廠商的技術(shù)實力主要體現(xiàn)在知識產(chǎn)權(quán)、技術(shù)專利、承擔(dān)國家重大科技項目等方面；安全廠商獲得的資質(zhì)主要體現(xiàn)在系統(tǒng)集成資質(zhì)、安全服務(wù)資質(zhì)、產(chǎn)品資質(zhì)等方面。

四、網(wǎng)御入侵防護(hù)系統(tǒng)解決方案

網(wǎng)御自2001年開始投入入侵檢測類產(chǎn)品的研發(fā)，并在2004年推出專業(yè)入侵檢測系統(tǒng)。憑借在網(wǎng)關(guān)流處理技術(shù)、入侵檢測技術(shù)、應(yīng)用分析技術(shù)等方面的深厚積累，在2007年傾力推出業(yè)內(nèi)首款“內(nèi)外兼修”的入侵防護(hù)系統(tǒng)（IPS）；同時，網(wǎng)御在硬件架構(gòu)設(shè)計上也不斷突破，先后推出了基于ASIC架構(gòu)和基于MIPS多核架構(gòu)的硬件平臺。這一系列技術(shù)成果的推出奠定了網(wǎng)御在專業(yè)安全廠商中的領(lǐng)航者地位。

u多種架構(gòu)設(shè)計實現(xiàn)性能的重大突破

為滿足不同用戶的實際需求，網(wǎng)御研發(fā)團(tuán)隊經(jīng)過多年的研發(fā)努力和技術(shù)創(chuàng)新設(shè)計出多種硬件架構(gòu)平臺，其中包括：基于X86架構(gòu)的安全平臺、基于ASIC架構(gòu)的安全平臺以及基于MIPS多核架構(gòu)的安全平臺。采用X86架構(gòu)的安全平臺，可滿足中、小規(guī)模用戶的性能要求；采用ASIC架構(gòu)的安全平臺在小包轉(zhuǎn)發(fā)速率上實現(xiàn)了重大突破,可滿足大規(guī)模用戶的性能要求；基于MIPS多核架構(gòu)的安全平臺對于每秒新建和并發(fā)聯(lián)接等性能指標(biāo)實現(xiàn)技術(shù)突破，充分滿足的電信運(yùn)營商級別用戶的性能要求。

面對未來網(wǎng)絡(luò)發(fā)展的需要，基于MIPS多核處理器的安全產(chǎn)品將逐步成為安全領(lǐng)域主流產(chǎn)品，這種安全產(chǎn)品通過采用多核處理器中的一整套CPU的并行工作來獲得更高的性能，MIPS多核架構(gòu)可以構(gòu)建具有并行處理能力的新型平臺。

基于MIPS多核架構(gòu)的入侵防護(hù)系統(tǒng)可解決業(yè)務(wù)處理與數(shù)據(jù)處理相互干擾的問題，將入侵防護(hù)的業(yè)務(wù)處理放在控制平面，數(shù)據(jù)處理放在數(shù)據(jù)平面。例如，入侵防護(hù)相關(guān)配置的處理就在控制平面運(yùn)行，而報文的解碼、比對則在數(shù)據(jù)平面進(jìn)行，相互之間互不影響。更為靈活的是控制平面、數(shù)據(jù)平面可以根據(jù)需要來分配Core的個數(shù)，如下圖所示，控制平面可以分配1個Core，數(shù)據(jù)平面可以分配n個Core。

綜上所述，實現(xiàn)各平臺分離的好處在于，控制平面和數(shù)據(jù)平面即有共享的資源以供交互，也有自己獨(dú)立的資源可以調(diào)度，不會相互影響，其靈活性、以及性能都有很大的提升。

圖：數(shù)據(jù)處理多核資源分配圖

圖：多核架構(gòu)內(nèi)部模型

u基于云計算的動態(tài)策略調(diào)整降低誤報率

目前，網(wǎng)御已經(jīng)正式加入云安全聯(lián)盟（CSA--- Cloud Security Alliance），并成為云安全聯(lián)盟合作伙伴。網(wǎng)御提出的主動云防御技術(shù)，可實現(xiàn)攻擊事件庫的動態(tài)更新以及安全策略的動態(tài)調(diào)整，有效地降低誤報率。

網(wǎng)御主動云防御系統(tǒng)主要包含3個部分：安全防護(hù)集群、安全檢測集群、主動云防御服務(wù)器。安全防護(hù)集群由連接到主動云防護(hù)系統(tǒng)中的所有安全設(shè)備組成，負(fù)責(zé)從服務(wù)器下載并執(zhí)行安全防護(hù)列表；安全檢測集群主要由分布式部署的UTM、IPS、AVG等設(shè)備和惡意網(wǎng)站探測服務(wù)器組成，負(fù)責(zé)實時檢測攻擊、病毒、木馬等惡意行為，并上傳到服務(wù)器，安全檢測集群中設(shè)備也可能屬于安全防護(hù)集群；主動云防御服務(wù)器負(fù)責(zé)采集信息，并自動驗證、歸并為安全防護(hù)列表下發(fā)到安全防護(hù)集群。

圖：主動云防御示意圖

u主動出擊、防患未然---網(wǎng)御攻防實驗室

優(yōu)秀的攻防技術(shù)團(tuán)隊是廠商綜合技術(shù)實力的體現(xiàn)。網(wǎng)御攻防實驗室利用自身的研究成果，維護(hù)著網(wǎng)御數(shù)千條攻擊事件庫、千萬級的惡意URL鏈接庫、數(shù)百種應(yīng)用特征庫，為網(wǎng)御安全產(chǎn)品提供了有力的技術(shù)支撐。

同時，網(wǎng)御已經(jīng)正式加入微軟安全響應(yīng)中心（Microsoft Security Response Center）發(fā)起的MAPP（Microsoft Active Protection Program）計劃，作為該計劃成員，網(wǎng)御可在微軟發(fā)布每月安全公告之前獲得微軟產(chǎn)品的詳細(xì)漏洞信息，為用戶提供更及時的安全防護(hù)。

網(wǎng)御攻防實驗室發(fā)現(xiàn)的安全漏洞也被國家漏洞庫、國際CVE等權(quán)威機(jī)構(gòu)收錄。

u網(wǎng)御入侵防護(hù)系統(tǒng)全面支持IPV6

網(wǎng)御結(jié)合“下一代網(wǎng)絡(luò)安全架構(gòu)”設(shè)計理念，掌握眾多核心技術(shù)，引領(lǐng)IPv6時代的網(wǎng)絡(luò)安全。

網(wǎng)御IPS可支持各種IPv6 網(wǎng)絡(luò)環(huán)境中的安全檢測與防御功能。包括：支持IPv4/v6 雙協(xié)議棧網(wǎng)絡(luò)地址解析；支持針對 IPv6 網(wǎng)絡(luò)中的數(shù)據(jù)包解析、碎片包重組等完整性檢查； 支持4-over-6 雙向通道檢查、支持IPv6 碎片表頭解碼、支持IPv6 路由檢查、支持IPv6 碎片重組、支持IPv6 表頭完整性檢查等。

u領(lǐng)先的、創(chuàng)新的、可信賴的網(wǎng)御

網(wǎng)御星云自1999年進(jìn)入信息安全領(lǐng)域，擁有眾多核心技術(shù)，先后申請發(fā)明專利41項，實用新型專利7項，已授權(quán)各項專利24項，擁有各類產(chǎn)品軟件著作權(quán)25項，已自主研發(fā)了防火墻、VPN網(wǎng)絡(luò)密碼機(jī)、AV防病毒網(wǎng)關(guān)、IDS入侵檢測、UTM綜合安全網(wǎng)關(guān)、IPS入侵防護(hù)系統(tǒng)、SIS安全隔離網(wǎng)閘、SSL 安全接入網(wǎng)關(guān)、TAM異常流量管理、LM安全管理系統(tǒng)等11大類410余款產(chǎn)品

自公司成立以來，網(wǎng)御獲得了多項國家、部級資質(zhì)，是信息安全行業(yè)中資質(zhì)等級最高、資質(zhì)種類最全的公司（系統(tǒng)集成一級、安全服務(wù)二級），這也充分反映了網(wǎng)御星云在信息安全領(lǐng)域的技術(shù)實力和企業(yè)的綜合實力。

網(wǎng)御憑借在防火墻、入侵檢測、應(yīng)用分析等方面的深厚積累，結(jié)合市場需求不斷創(chuàng)新，在系統(tǒng)安全性方面推出了基于VSP通用安全平臺和USE統(tǒng)一安全引擎；在性能優(yōu)化方面先后推出了基于AISC架構(gòu)的小包線速轉(zhuǎn)發(fā)平臺和基于MIPS多核架構(gòu)海量并發(fā)處理平臺；在產(chǎn)品功能方面傾力打造出了業(yè)內(nèi)首款的“內(nèi)外兼修”入侵防護(hù)系統(tǒng)。

網(wǎng)御IPS綜合采用會話狀態(tài)檢測、應(yīng)用層完全分析、誤用檢測、異常檢測、網(wǎng)絡(luò)審計等分析與檢測技術(shù)，實現(xiàn)了“入侵檢測與實時阻斷、應(yīng)用層訪問控制、綠色上網(wǎng)管理、帶寬管理”等核心功能，配合實時更新的入侵攻擊特征庫，做到了對網(wǎng)絡(luò)數(shù)據(jù)流從高效阻止非法行為（凈化）到按需限制合法行為（優(yōu)化）的全面管理。