網(wǎng)御星云憑借在防火墻、入侵檢測(cè)、應(yīng)用分析等方面的深厚積累，傾力打造出了業(yè)內(nèi)首款“內(nèi)外兼修”的入侵防護(hù)系統(tǒng)（以下簡(jiǎn)稱“IPS”）。網(wǎng)御星云IPS基于VSP通用安全平臺(tái)和USE統(tǒng)一安全引擎，綜合采用會(huì)話狀態(tài)檢測(cè)、應(yīng)用層完全分析、誤用檢測(cè)、異常檢測(cè)、網(wǎng)絡(luò)審計(jì)、主動(dòng)云防御等分析與檢測(cè)技術(shù)，實(shí)現(xiàn)了“入侵檢測(cè)與實(shí)時(shí)阻斷、應(yīng)用層訪問(wèn)控制、綠色上網(wǎng)管理、帶寬管理”等核心功能，配合實(shí)時(shí)更新的入侵攻擊特征庫(kù)，做到了對(duì)網(wǎng)絡(luò)數(shù)據(jù)流從高效阻止非法行為（凈化）到按需限制合法行為（優(yōu)化）的全面管理。以下案例是網(wǎng)御星云公司眾多IPS產(chǎn)品行業(yè)應(yīng)用案例中的很少一部分，旨在為大家提供一些IPS行業(yè)應(yīng)用案例借鑒，也希望通過(guò)這些案例與讀者進(jìn)行更加深入的探討。

網(wǎng)御星云IPS特色描述：

■內(nèi)外兼修

網(wǎng)御星云IPS作為業(yè)內(nèi)首款“內(nèi)外兼修”的入侵防護(hù)系統(tǒng)，通過(guò)訪問(wèn)控制、入侵防護(hù)功能，可以有效攔截外網(wǎng)攻擊；綠色上網(wǎng)、帶寬管理等功能，可以合理管控內(nèi)網(wǎng)應(yīng)用。

■主動(dòng)云防御

網(wǎng)御星云IPS支持主動(dòng)云防御計(jì)算框架，以云防御服務(wù)器為中心，惡意URL探測(cè)服務(wù)器和部署在云端的IPS、UTM、防病毒網(wǎng)關(guān)等設(shè)備主動(dòng)掃描和檢測(cè)，并將獲得的惡意站點(diǎn)URL列表及有攻擊企圖的IP地址列表等匯集至云防御服務(wù)器定時(shí)歸納合并。云防御服務(wù)器將動(dòng)態(tài)更新的病毒庫(kù)、攻擊特征庫(kù)、惡意站點(diǎn)庫(kù)、攻擊IP列表等同步到云內(nèi)所有網(wǎng)御星云網(wǎng)關(guān)設(shè)備中，使其他設(shè)備具有防病毒、IPS、防掛馬等功能，并能獲得更高的處理性能。云端IPS設(shè)備利用內(nèi)置漏洞掃描模塊主動(dòng)掃描被保護(hù)服務(wù)器，并根據(jù)掃描結(jié)果自動(dòng)調(diào)整IPS策略，為被保護(hù)服務(wù)器提供“虛擬補(bǔ)丁”功能。

■可靠性高

多重機(jī)制確保網(wǎng)絡(luò)運(yùn)行的穩(wěn)定可靠，降低斷網(wǎng)幾率。

◆內(nèi)置軟/硬件Bypass：避免在軟、硬件故障時(shí)，因本系統(tǒng)無(wú)法正常工作而造成網(wǎng)絡(luò)中斷；

◆接口狀態(tài)同步：支持網(wǎng)絡(luò)接口狀態(tài)的自動(dòng)同步，以適應(yīng)復(fù)雜冗余環(huán)境；

◆端口聚合：基于標(biāo)準(zhǔn)802.3ad協(xié)議的鏈路聚合功能實(shí)現(xiàn)端口冗余及鏈路冗余，同時(shí)在一條或多條鏈路出現(xiàn)問(wèn)題的時(shí)候自動(dòng)將流量切換至別的正常鏈路；

◆HA、集群部署：支持標(biāo)準(zhǔn)VRRP協(xié)議，可實(shí)現(xiàn)在設(shè)備宕機(jī)、端口損壞等故障下主機(jī)和從機(jī)的及時(shí)切換，保障網(wǎng)絡(luò)連通性的同時(shí)確保網(wǎng)絡(luò)的安全性。

■ 部署靈活

網(wǎng)御星云IPS支持透明、交換、路由、混合、HA集群部署等多種部署方式，適應(yīng)各種復(fù)雜的網(wǎng)絡(luò)環(huán)境。

■協(xié)同防護(hù)

網(wǎng)御星云IPS與內(nèi)網(wǎng)安全管理產(chǎn)品的協(xié)同防護(hù)減輕了IPS的網(wǎng)絡(luò)負(fù)擔(dān)，可最終確定威脅點(diǎn)進(jìn)行阻斷。其次，響應(yīng)的手段有通知、斷網(wǎng)、鎖定，可強(qiáng)制、準(zhǔn)確的對(duì)發(fā)生威脅的終端計(jì)算機(jī)進(jìn)行修復(fù)。網(wǎng)御星云IPS與內(nèi)網(wǎng)安全管理產(chǎn)品的協(xié)同防護(hù)是完全的流程管理（無(wú)人值守），預(yù)策略的制定、執(zhí)行，減輕了網(wǎng)管人員網(wǎng)絡(luò)維護(hù)的壓力，最終對(duì)企業(yè)的內(nèi)部網(wǎng)絡(luò)進(jìn)行全方位的安全保護(hù)。

典型案例之一：網(wǎng)御星云IPS產(chǎn)品在行政服務(wù)中心專網(wǎng)的典型應(yīng)用

A.背景與需求

某市行政服務(wù)中心是市委、市政府為大力推進(jìn)行政工作提速、服務(wù)提質(zhì)、深化行政審批制度改革、進(jìn)一步優(yōu)化發(fā)展環(huán)境，而批準(zhǔn)設(shè)立的正縣級(jí)機(jī)構(gòu)，是集信息與咨詢、許可與收費(fèi)、管理與協(xié)調(diào)、投訴與監(jiān)督于一體的綜合性行政服務(wù)機(jī)構(gòu)。進(jìn)駐部門42個(gè)，80個(gè)服務(wù)窗口，共辦理各類審批服務(wù)事項(xiàng)279項(xiàng)，其中行政許可事項(xiàng)191項(xiàng)，非許可審批事項(xiàng)69項(xiàng)，服務(wù)及收費(fèi)事項(xiàng)19項(xiàng)。

B.解決方案

某市行政服務(wù)中心內(nèi)網(wǎng)有70多個(gè)終端，專網(wǎng)出口為2M專線。網(wǎng)御星云Power V-320IPS部署在邊界路由器和內(nèi)網(wǎng)二層交換機(jī)之間，采用透明方式接入，應(yīng)用自定義的入侵防護(hù)模板。

C.實(shí)施效果

某市行政服務(wù)中心屬于政府專網(wǎng)，網(wǎng)絡(luò)流量不大，網(wǎng)絡(luò)應(yīng)用相對(duì)也比較簡(jiǎn)單，產(chǎn)品部署后持續(xù)穩(wěn)定工作，經(jīng)受住了考驗(yàn)，贏得了用戶的信任。

典型案例之二：網(wǎng)御星云IPS產(chǎn)品為運(yùn)營(yíng)商搭建安全壁壘

A.背景與需求

伴隨著運(yùn)營(yíng)商業(yè)務(wù)的不斷發(fā)展，網(wǎng)上營(yíng)業(yè)廳、在線支付系統(tǒng)也蓬勃發(fā)展起來(lái)，現(xiàn)有的支付系統(tǒng)不僅承擔(dān)者運(yùn)營(yíng)商自營(yíng)網(wǎng)上商城的支付業(yè)務(wù)，也承載著其他合作商城的支付業(yè)務(wù)，同時(shí)支付業(yè)務(wù)需要和銀行、合作伙伴等網(wǎng)絡(luò)進(jìn)行互通實(shí)現(xiàn)用戶消費(fèi)活動(dòng)費(fèi)用的結(jié)算。隨著運(yùn)營(yíng)商業(yè)務(wù)的發(fā)展，所面臨的安全威脅也在不斷的增加，主要體現(xiàn)在：應(yīng)用層面的黑客入侵：黑客利用各種漏洞侵入業(yè)務(wù)系統(tǒng)，劫持主機(jī)，盜取重要數(shù)據(jù)和信息，嚴(yán)重危害業(yè)務(wù)服務(wù)性的安全性。運(yùn)營(yíng)商支付系統(tǒng)核心服務(wù)器區(qū)域中承載著大量的應(yīng)用層數(shù)據(jù)和業(yè)務(wù)信息，一旦遭到網(wǎng)絡(luò)攻擊用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等信息就有可能被竊取，被破壞，影響業(yè)務(wù)系統(tǒng)的保密性和完整性。

B.解決方案

針對(duì)運(yùn)營(yíng)商業(yè)務(wù)特點(diǎn)和需求分析，網(wǎng)御星云推出了的基于VSP操作系統(tǒng)、MIPS多核架構(gòu)的入侵防護(hù)設(shè)備。首先，網(wǎng)御星云MIPS多核架構(gòu)入侵防護(hù)系統(tǒng)具備全面深入的協(xié)議分析、協(xié)議識(shí)別、協(xié)議異常檢測(cè)、關(guān)聯(lián)分析等多種技術(shù)手段的主動(dòng)防御功能可為用戶提供針對(duì)應(yīng)用層入侵行為的檢測(cè)和分析功能；其次，由于系統(tǒng)采用MIPS多核架構(gòu)，使其具有高吞吐、高并發(fā)、高新建連接數(shù)等性能優(yōu)勢(shì)；同時(shí)，為了能夠更加適應(yīng)運(yùn)營(yíng)商網(wǎng)絡(luò)的發(fā)展要求，網(wǎng)御星云多核入侵防護(hù)系統(tǒng)具有基于IPV6網(wǎng)絡(luò)環(huán)境攻擊檢測(cè)的能力。

C.實(shí)施效果

從目前系統(tǒng)實(shí)際部署情況來(lái)看，該方案極大提高了運(yùn)營(yíng)商業(yè)務(wù)系統(tǒng)的安全威脅入侵護(hù)御等級(jí)，從而保障內(nèi)部關(guān)鍵業(yè)務(wù)和關(guān)鍵數(shù)據(jù)的信息安全。將整個(gè)業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)邊界筑起了一道堅(jiān)實(shí)的安全壁壘，把原來(lái)讓安全運(yùn)維人員所擔(dān)心的各種惡意攻擊拒之網(wǎng)外，為業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)的正常應(yīng)用提供了一個(gè)安全、可靠的運(yùn)營(yíng)環(huán)境。

典型案例之三：網(wǎng)御星云IPS產(chǎn)品在省電網(wǎng)公司廣域網(wǎng)出口的典型應(yīng)用

A.背景與需求

某電網(wǎng)公司已經(jīng)使用防火墻實(shí)現(xiàn)對(duì)全網(wǎng)的安全域劃分，并通過(guò)安全控制策略減少了不可控區(qū)域?qū)ζ渌鼌^(qū)域的安全威脅。但傳統(tǒng)防火墻主要工作在網(wǎng)絡(luò)層和傳輸層，并不能有效完成對(duì)應(yīng)用層漏洞攻擊、惡意軟件、蠕蟲病毒等的深度防御；同時(shí)入侵檢測(cè)系統(tǒng)（IDS）也存在不能提供主動(dòng)防御的缺點(diǎn)。因此，某電網(wǎng)公司決定采用入侵防護(hù)系統(tǒng)（IPS）實(shí)現(xiàn)主動(dòng)防御，以提供二到七層的全面安全防護(hù)。

B.解決方案

本項(xiàng)目中，在6個(gè)地州供電局的廣域網(wǎng)出口側(cè)各部署1臺(tái)Power V-1220IPS系統(tǒng)，對(duì)各安全區(qū)域之間提供深度防御，有效攔截漏洞攻擊、惡意軟件、蠕蟲病毒等各種攻擊行為。

C.實(shí)施效果

網(wǎng)御星云IPS部署后運(yùn)行穩(wěn)定，有效防范了各地州到總部、以及各地州之間的惡意攻擊和蠕蟲病毒傳播。