網(wǎng)神SecIPS-3600入侵防御系統(tǒng)產(chǎn)品白皮書

產(chǎn)品白皮書網(wǎng)神SecIPS3600入侵防御系統(tǒng)本文檔解釋權(quán)歸網(wǎng)神信息技術(shù)（北京）股份有限公司安全網(wǎng)關(guān)中心產(chǎn)品部所有。網(wǎng)神信息技術(shù)（北京）股份2023年3月版權(quán)聲明Copyright?2006-2023網(wǎng)神信息技術(shù)（北京）股份（“網(wǎng)神”）版權(quán)所有，侵權(quán)必究。未經(jīng)網(wǎng)神書面同意，任何人、任何組織不得以任何方式擅自拷貝、發(fā)行、傳播或引用本文檔的任何內(nèi)容。文檔信息文檔名稱網(wǎng)神SecIPS3600入侵防御系統(tǒng)產(chǎn)品白皮書擴散范圍銷售/售前/客服/渠道商/用戶文檔版本號V6.10.1作者劉松日期2023/10/01初審人宋偉復審人陳華平版本變更記錄時間版本說明作者110809V更新了G620B和H840的產(chǎn)品規(guī)格目錄1 產(chǎn)品概述 圖1所示，如當防火墻-1與普通的IPS的鏈路中斷時，兩端的交換機由于各自物理鏈路依然完好而無法偵測此故障，因此數(shù)據(jù)包仍會繼續(xù)往已中斷的鏈路傳送造成使用者連接中斷。網(wǎng)神IPS的聯(lián)機自動切換功能就是為了解決這種問題所設(shè)計，當一端的鏈路中斷時，會自行將另一端的鏈路同時中斷，因此交換機才能夠正確反應將線路切換到暢通的鏈路。圖SEQ圖\*ARABIC1網(wǎng)神IPS雙機自動切換功能說明圖方便的管理方式要做好網(wǎng)絡(luò)安全管理不僅僅需要設(shè)計精良的設(shè)備，最重要的是可將設(shè)備融入已有網(wǎng)絡(luò)環(huán)境，并且能夠很好地配合本單位的安全規(guī)范。網(wǎng)神IPS支持強大且豐富的管理能力，能夠貼近各種不同網(wǎng)絡(luò)架構(gòu)的需求，并且提供網(wǎng)管人員最友好的管理接口，以及多種實用的報表。具有以下特點：多樣化的管理模式除了SecIPS管理系統(tǒng)Java接口外，SecIPS也可通過遠程SSH登錄管理，或是以Console（RS-232/RJ-45）登錄。SSH/Console接口為選單式，簡捷方便并且省去用戶記憶指令的困擾。面向?qū)ο蟮奶摂M化IPS引擎IPS的檢測引擎通常是依據(jù)RFC等規(guī)范開發(fā)，但是有時仍會遇上一些例外的狀況：應用程序在運行時不依規(guī)范開發(fā)，引起IPS的誤判。這時若停止誤判的特征規(guī)則，則其它的計算器就無法受到此特征規(guī)則的保護。利用IPS來管理P2P時，面對不同的對象可能需要有不同的管理策略。在這兩個例子里，都需要IPS能根據(jù)對象的不同針對特征規(guī)則有不一樣的反應方式。網(wǎng)神IPS的虛擬化特征引擎提供最彈性化的管理方式。每一對實體IPS/IDS都可配置不同的規(guī)則集，每一個規(guī)則集所包含的規(guī)則，都可依據(jù)來源/目的端IP地址或是VLANID來決定對應的處理方式。比如針對電驢（eDonkey）程序，網(wǎng)神IPS可分別以直通、流量控管、以及阻斷方式來管理不同的三個部門。而且每條規(guī)則皆可定義有效的運行時程，方便網(wǎng)絡(luò)管理人員依據(jù)上下班的時間部署規(guī)則。直觀的統(tǒng)計工具和報表IPS能實時的攔阻攻擊和入侵事件，同時對網(wǎng)絡(luò)管理人員來說，豐富且完善的報表也是非常重要的，不但能借助報表掌握單位網(wǎng)絡(luò)的實際狀況，也能防患于未然。網(wǎng)神IPS的報表有以下四樣特點：實時統(tǒng)計儀表盤統(tǒng)計儀表盤可以統(tǒng)計自上次歸零以后，網(wǎng)絡(luò)安全事件的分類比率，以及平均流量和目前的流量。網(wǎng)管人員可以從異常的流量（相較平均值）和事件發(fā)生的比率去觀察，搭配交叉查詢的功能，能快速的定位出有意義的網(wǎng)絡(luò)安全事件，以免被太多的資料所淹沒。實時事件列表、流量監(jiān)視器、系統(tǒng)狀態(tài)監(jiān)視實時事件列表詳細的表達出目前正在發(fā)生的網(wǎng)絡(luò)安全事件，包含了嚴重程度、攻擊者和受害者的IP地址、發(fā)生的時間、IPS對此事件的反應。流量監(jiān)視器實時的顯示出目前流經(jīng)過IPS的流量大小，以及常用應用程序（HTTP,SMTP,POP,FTP,…）所占用的流量。系統(tǒng)狀態(tài)則監(jiān)視IPS的處理器和內(nèi)存利用率，方便網(wǎng)管人員監(jiān)控設(shè)備。交叉查詢交叉查詢是最為靈活的報表產(chǎn)生器。它允許使用者依據(jù)事件發(fā)生的時間、源地址、目的地址、事件名稱當作搜尋的標的，并可用來源地址、目的地址、及事件名稱當作是件排名的依據(jù)，并可針對不同的虛擬IPS和ACL產(chǎn)生交叉報表。產(chǎn)生出來的交叉報表可轉(zhuǎn)為HTML格式方便打印及保存。樣板報表與定期報表交叉查詢雖然方便，但是需要對數(shù)據(jù)庫進行大量的存取，因此需要比較長的運算時間。因此網(wǎng)神IPS的管理接口內(nèi)建了最常用的八種報表，可縮短搜尋的時間，提高了便利性。樣板報表還包括了依據(jù)攻擊種類和嚴重程度排名的趨勢圖，直觀地提供網(wǎng)管人員最佳的參考。網(wǎng)神IPS管理接口并支持最為靈活的定期報表系統(tǒng)，可依使用者指示的時間將預先設(shè)定的報表或是自訂的報表，依設(shè)定的格式（HTML、PDF、CVS）和指定的方法（FTP、郵件）傳送給指定的使用者。定期報表的內(nèi)容預設(shè)有八種內(nèi)容，使用者另可依據(jù)交叉查詢的格式自訂需要的內(nèi)容。并可循環(huán)產(chǎn)生，方便網(wǎng)管人員整理。使用者自行定義特征碼網(wǎng)神IPS開放使用者自行定義特征碼，彈性的格式方便使用者定義出有效的特征。使用者借助網(wǎng)絡(luò)包收集工具觀察之后，便可利用此功能攔阻或是對某些網(wǎng)絡(luò)行為發(fā)送日志。特征格式包含第三層至第七層的報文，而且可以定義報文之間的距離，也可以規(guī)范事件發(fā)生的頻率，有效阻擋第七層的阻斷式攻擊。例如，使用者可自行規(guī)范Internet用戶存取單位內(nèi)服務(wù)器的頻率為每秒20次，若有攻擊者企圖使用大量連接攻擊服務(wù)器，就會被網(wǎng)神IPS有效阻攔。產(chǎn)品功能分類特性/功能詳細描述入侵檢測與防護入侵檢測引擎產(chǎn)品具備基于協(xié)議異常、會話狀態(tài)識別和七層應用行為的攻擊識別功能；可自定義檢測方向﹐可檢測來自外部網(wǎng)絡(luò)的入侵攻擊和管理追蹤內(nèi)部網(wǎng)絡(luò)的蠕蟲感染與網(wǎng)絡(luò)應用工作模式支持IPS、IDS、IPSMonitor/學習、L2Forward等多種工作模式特征規(guī)則內(nèi)置多達3000種的IPS特征庫；并可自定義入侵攻擊和應用軟件的特征協(xié)議分析支持對VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各種協(xié)議的分析策略時間管理可自定單個策略的運行時間防護攻擊類型支持對病毒、蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼、端口掃描、非法連接等多種攻擊的防護對數(shù)據(jù)包的處理方式支持丟棄數(shù)據(jù)包、中斷連機、事件監(jiān)視/記錄（可選擇記錄數(shù)據(jù)包內(nèi)容，如Sniffer一般）、限制連接傳輸帶寬、限制傳輸總量等多種處理方式阻斷蠕蟲傳播針對蠕蟲具備自動利用系統(tǒng)漏洞入侵的能力，以達到快速將自我擴散到其它系統(tǒng)的特點；IPS能發(fā)現(xiàn)蠕蟲入侵，并能立即丟棄嘗試入侵的數(shù)據(jù)包，讓蠕蟲無法順利擴散，如對ZotobWorm、MSSQLSlammerWorm等蠕蟲的控制防御操作系統(tǒng)漏洞攻擊可針對Windows、Unix、Linux等操作系統(tǒng)的弱點進行防御，弱點類型包含了StackandHeapBufferoverflow、Formatstringerror、Memoryaccesserror、Memorycorruption、AccesscontrolandDesignweakness等等防御木馬檢測基于ActiveX、XML、VML、MDAC等的漏洞，可阻止訪問者在瀏覽網(wǎng)站時被誘使植入木馬的攻擊；檢測利用Dropper技術(shù)隱藏木馬的MicrosoftOffice文件，可阻止下載并啟動這些文檔；具有豐富的漏洞特征庫可以實現(xiàn)對木馬的精準攔截間諜軟件可通過檢測下載可執(zhí)行程序、ActiveX、Javaapplet等可疑的活動，實現(xiàn)阻止間諜軟件通過廣告、瀏覽器漏洞、自定義ActiveX插件等渠道實現(xiàn)安裝服務(wù)器保護三/四層DoS/DDoS防護支持雙向阻斷TCP/UDP/IGMP/ICMP/IPFlooding、UDP/ICMPSmurfing等各種類型的DoS/DDoS的攻擊，可檢測的DoS/DDoS軟件包括XDoS、SUPERDDoS、FATBOY等50種以上七層DoS/DDoS防護支持基于限制訪問單位時間內(nèi)訪問特定服務(wù)次數(shù)來，阻斷未知類型的DoS/DDoS攻擊，如針對Web、DNS等服務(wù)的攻擊Web系統(tǒng)攻擊防御可針對IIS、Apache等不同的Web服務(wù)器程序弱點進行防御，并可追蹤管理Web服務(wù)器對數(shù)據(jù)庫的存取行為，如可禁止外部SQL注入請求掃描攻擊防護可實時阻斷攻擊者利用對IP地址和協(xié)議端口的掃描尋找服務(wù)器漏洞帶寬管理流量整形針對VLAN、源/目的IP地址、應用協(xié)議端口、七層應用軟件（如P2P、FTP、PPlive、PPStream等），支持進行網(wǎng)絡(luò)傳輸帶寬和網(wǎng)絡(luò)傳輸總量兩種限制方式P2P下載管理能夠基于軟件行為、數(shù)據(jù)內(nèi)容，而不是基于協(xié)議端口號，來識別P2P的應用，并可針對加密型或非加密型P2P下載進行管理、攔截、限流；擁有完善的P2P特征識別庫，支持的常用P2P軟件包括Thunder、eMule、WinMX、QQLive(China)、Skype、eDonkey、BitTorrent、Mldonkey等100余種；針對P2P應用的帶寬限流，可精準到1Kbps上網(wǎng)行為管理聊天應用管理能夠基于軟件行為、數(shù)據(jù)內(nèi)容，而不是基于協(xié)議端口號，來識別常見的聊天應用，并可針對加密型或非加密型聊天軟件進行管理、攔截、限流；能根據(jù)不同需求，進行多層次軟件控制，不僅可禁止實時聊天程序，還可對它的登陸、聊天、傳輸文件、實時語音、實時視頻等進行分項管理；擁有完善的實時聊天程序特征識別庫，支持的聊天程序包括MSN、QQ、YahooMessenger、Skype、AIM、TM、GoogleTalk、PoPoBuild、iChat等10多類；并可對基于Web的聊天進行登陸和禁止管理控制，如MSN、Yahoo、ICQ、GoogleTalk、AIM、eBuddy、iLoveIM等在線游戲管理支持對QQGame、OurGame、CgaGame、PopkartGame等流行的在線游戲?qū)崿F(xiàn)阻斷管理Web內(nèi)容檢查可基于URL、內(nèi)容等制定黑白名單來對Web訪問進行過濾應用層防火墻防火墻功能支持狀態(tài)檢測防火墻功能，支持基于網(wǎng)絡(luò)接口、源/目的IP地址、協(xié)議、時間等自定義訪問控制策略虛擬信道管理支持對VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虛擬信道實現(xiàn)阻斷管理可靠性雙機熱備基于HA網(wǎng)絡(luò)物理接口，可實現(xiàn)在設(shè)備宕機、端口壞等故障下的主機和從機的及時切換旁路保護支持硬件Bypass、軟件Bypass的功能，以避免在任何情況下，因本系統(tǒng)無法正常運作而造成網(wǎng)絡(luò)中斷的情形；硬件Bypass功能，使設(shè)備在硬件掉電時，實現(xiàn)旁路保護；此功能可通過遠程管理實現(xiàn)啟動或關(guān)閉；軟件Bypass功能使設(shè)備在系統(tǒng)軟件出現(xiàn)故障時，實現(xiàn)旁路保護；可實現(xiàn)啟動或關(guān)閉管理靈活的管理管理方式支持圖形界面和命令行管理方式，圖形管理界面為全中文界面高效的集中管理支持通過專用的安全管理系統(tǒng)，實現(xiàn)全局拓撲生成、集中日志審計、集中設(shè)備監(jiān)控等安全管理直觀的狀態(tài)顯示具有顯示攻擊事件百分比的儀表盤