《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》第二篇邊界安全課件

《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》課件制作人：蔣亞軍網(wǎng)絡(luò)安全技術(shù)與實(shí)踐（課件）

人民郵電出版社2012

年

蔣亞軍編著《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》課件制作人：蔣亞軍網(wǎng)絡(luò)安全技術(shù)項(xiàng)目二入侵防護(hù)系統(tǒng)IPS第二篇《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》第二篇邊界安全課件《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》第二篇邊界安全課件【項(xiàng)目背景】某企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)最近頻繁遭受到攻擊，雖然已經(jīng)安裝了防火墻，但是效果依然不理想。邀請(qǐng)安全專家檢測(cè)網(wǎng)絡(luò)發(fā)現(xiàn)公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)存在大量的惡意代碼、僵尸網(wǎng)絡(luò)、病毒以及有針對(duì)性不良數(shù)據(jù)包的攻擊，公司決定投資解決相關(guān)網(wǎng)絡(luò)安全問題?！卷?xiàng)目背景】某企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)最近頻繁遭受到攻擊，雖然已經(jīng)安【需求分析】傳統(tǒng)的網(wǎng)絡(luò)安全防范方法是對(duì)操作系統(tǒng)進(jìn)行安全加固，通過各種各樣的安全補(bǔ)丁提高操作系統(tǒng)本身的抗攻擊性。安裝防火墻的思路是在網(wǎng)絡(luò)邊界檢查攻擊包的并將其直接拋棄，使攻擊包無法到達(dá)目標(biāo)，從而從根本上避免黑客的攻擊。但通常的防火墻卻無法對(duì)付應(yīng)用層的惡意代碼，對(duì)于僵尸網(wǎng)絡(luò)、病毒以及有針對(duì)性的不良數(shù)據(jù)包的攻擊卻都顯得有些無能為力。入侵檢測(cè)系統(tǒng)（IDS）可以檢測(cè)網(wǎng)絡(luò)攻擊，但它的阻斷攻擊能力卻非常有限，一般只能通過發(fā)送TCPreset包或聯(lián)動(dòng)防火墻來阻止攻擊。本例中最好采用入侵防御系統(tǒng)（IPS），因?yàn)镮PS是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，它可部署在網(wǎng)絡(luò)的邊界上，當(dāng)它檢測(cè)到上述的攻擊時(shí)，能夠自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷?！拘枨蠓治觥總鹘y(tǒng)的網(wǎng)絡(luò)安全防范方法是對(duì)操作系統(tǒng)進(jìn)行安全加固，【預(yù)備知識(shí)】入侵防護(hù)系統(tǒng)(IPS)傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接部署在網(wǎng)絡(luò)邊界上連接內(nèi)外網(wǎng)實(shí)現(xiàn)安全防護(hù)功能的，它可通過網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，檢查確認(rèn)其中是否包含異?；蚩梢傻幕顒?dòng)內(nèi)容，在數(shù)據(jù)傳輸過程中清除掉有問題的數(shù)據(jù)內(nèi)容。【預(yù)備知識(shí)】入侵防護(hù)系統(tǒng)(IPS)傾向于提供主動(dòng)防護(hù)，其入侵防護(hù)系統(tǒng)幾個(gè)問題1.入侵防御系統(tǒng)（IPS）就是入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）的升級(jí)產(chǎn)品，2.入侵防護(hù)系統(tǒng)能夠取代入侵檢測(cè)系統(tǒng)3.入侵防護(hù)系統(tǒng)是入侵檢測(cè)系統(tǒng)+防火墻4.關(guān)于主動(dòng)防護(hù)問題與防護(hù)體系的問題入侵防護(hù)系統(tǒng)幾個(gè)問題IPS的現(xiàn)狀I(lǐng)PS提出了多年，一直認(rèn)為IPS會(huì)取代IDS（入侵檢測(cè)系統(tǒng)），但是很多年過去了，情況似乎并非如此。據(jù)調(diào)查，目前59%的用戶部都署了IDS，27%的用戶將IDS列入購買計(jì)劃，62%用戶在關(guān)注IPS，并且7%的用戶有意向購買IPS，這些數(shù)據(jù)表明，IDS和IPS在國內(nèi)都呈現(xiàn)出繁榮發(fā)展的前景

。IDS和IPS將會(huì)有著不同的發(fā)展方向和職責(zé)定位。IDS短期內(nèi)不會(huì)消亡，IPS也不會(huì)完全取代IDS的作用。雖然IPS市場(chǎng)前景被絕大多數(shù)人看好，市場(chǎng)成熟指日可待，但要想靠蠶食IDS市場(chǎng)來擴(kuò)大市場(chǎng)份額，對(duì)于IPS來說應(yīng)該還是很難的。IPS的現(xiàn)狀I(lǐng)PS提出了多年，一直認(rèn)為IPS會(huì)取代IDS（入IPS的產(chǎn)品背景1.安全漏洞越來越多零日攻擊IPS的產(chǎn)品背景1.安全漏洞越來越多2.DoS/DDoS仍是很大的威脅根據(jù)調(diào)查，每天平均偵測(cè)到6,110個(gè)事件Arbor的研究指出，DoS/DDoS占網(wǎng)絡(luò)安全事件的65%，其中主要還是TCPSYN/UDPFlooding應(yīng)用層CC攻擊2.DoS/DDoS仍是很大的威脅3.來自內(nèi)部網(wǎng)絡(luò)的威脅InstantMessage在線聊天軟件P2P共享軟件虛擬隧道軟件在線網(wǎng)絡(luò)游戲企業(yè)網(wǎng)絡(luò)IM：MSN、QQ、SkypeP2P：迅雷、BitTorrent虛擬隧道：VNN在線網(wǎng)游：聯(lián)眾、浩方3.來自內(nèi)部網(wǎng)絡(luò)的威脅企業(yè)網(wǎng)絡(luò)IM：MSN、QQ、Skype降低工作效率文件傳輸，引發(fā)泄密風(fēng)險(xiǎn)散布惡意程序這些工具我們都在用，安全嗎？網(wǎng)管員的夢(mèng)想——“只允許聊天，禁止其它功能”

“不同的對(duì)象使用不同管理方式”4.IM即時(shí)消息軟件的威脅降低工作效率這些工具我們都在用，安全嗎？網(wǎng)管員的夢(mèng)想——4.P2P在耗盡帶寬Thunder迅雷、eMule電驢、BT、FlashGet…PPLive、PPStream、QQLive…

消耗正常網(wǎng)絡(luò)帶寬病毒散布溫床機(jī)密文件外泄下載文檔的著作權(quán)5.P2P的威脅P2P在耗盡帶寬Thunder迅雷、eMule電驢、BT6.穿透防火墻對(duì)外連機(jī)

7.直接與外界計(jì)算機(jī)直接交換信息通過防火墻開放的合法端口建立虛擬隧道數(shù)據(jù)加密，企業(yè)難以防范，機(jī)密信息泄露虛擬隧道軟件：VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor

6.穿透防火墻對(duì)外連機(jī)7.直接與外界計(jì)算機(jī)直接交換信息通IPS產(chǎn)品的客戶價(jià)值IntrusionPreventionSystem

入侵防護(hù)系統(tǒng)簡(jiǎn)單的講：IPS是在應(yīng)用層上進(jìn)行威脅檢測(cè)和防御的“深度防火墻+上網(wǎng)行為管理”防火墻是IDS是IPS是IPS是什么？IPS產(chǎn)品的客戶價(jià)值IntrusionPrevention凈化過濾蠕蟲、木馬、網(wǎng)絡(luò)病毒、及DDoS等惡意攻擊以凈化網(wǎng)絡(luò)流量?jī)?yōu)化強(qiáng)大的P2P流量控管功能以優(yōu)化網(wǎng)絡(luò)效能管理面向用戶的強(qiáng)大審計(jì)功能以落實(shí)網(wǎng)絡(luò)管理凈化過濾蠕蟲、木馬、網(wǎng)絡(luò)病毒、及DDoS等惡意攻擊以凈化網(wǎng)絡(luò)IPS的種類1.基于主機(jī)的入侵防護(hù)(HIPS)HIPS通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。基于主機(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfeeEntercept、冠群金辰的龍淵服務(wù)器核心防護(hù)都屬于這類產(chǎn)品，它們?cè)诜婪都t色代碼和Nimda的攻擊中，能起到了很好的防護(hù)作用?；谥鳈C(jī)的入侵防護(hù)技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來阻斷對(duì)服務(wù)器、主機(jī)發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動(dòng)態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機(jī)的安全水平。IPS的種類1.基于主機(jī)的入侵防護(hù)(HIPS)IPS的種類2.基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)NIPS通過檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用在線連接方式，所以一旦辨識(shí)出入侵行為，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話。同樣由于實(shí)時(shí)在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計(jì)成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口。IPS的種類2.基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)IPS的種類3.應(yīng)用入侵防護(hù)（AIP）NIPS產(chǎn)品有一個(gè)特例，即應(yīng)用入侵防護(hù)（ApplicationIntrusionPrevention，AIP），它把基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。AIP被設(shè)計(jì)成一種高性能的設(shè)備，配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上，以確保用戶遵守設(shè)定好的安全策略，保護(hù)服務(wù)器的安全。NIPS工作在網(wǎng)絡(luò)上，直接對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和阻斷，與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)無關(guān)。NIPS的實(shí)時(shí)檢測(cè)與阻斷功能很有可能出現(xiàn)在未來的交換機(jī)上。隨著處理器性能的提高，每一層次的交換機(jī)都有可能集成入侵防護(hù)功能。IPS的種類3.應(yīng)用入侵防護(hù)（AIP）IPS主要功能與特性檢測(cè)機(jī)制

由于需要具備主動(dòng)阻斷能力，檢測(cè)準(zhǔn)確程度的高低對(duì)于IPS來說十分關(guān)鍵。IPS廠商綜合使用多種檢測(cè)機(jī)制來提高IPS的檢測(cè)準(zhǔn)確性。據(jù)Juniper的工程師介紹，Juniper產(chǎn)品中使用了包括狀態(tài)簽名、協(xié)議異常、后門檢測(cè)、流量異常、混合式攻擊檢測(cè)在內(nèi)的“多重檢測(cè)技術(shù)”，以提高檢測(cè)和阻斷的準(zhǔn)確程度。McAfee公司則在自己的實(shí)驗(yàn)室里加強(qiáng)了對(duì)溢出型漏洞的研究和跟蹤，把針對(duì)溢出型攻擊的相應(yīng)防范手段推送到IPS設(shè)備的策略庫中。國內(nèi)品牌冰峰網(wǎng)絡(luò)在IPS設(shè)備中采用了漏洞阻截技術(shù)，通過研究漏洞特征，將其加入到過濾規(guī)則中，IPS就可以發(fā)現(xiàn)符合漏洞特征的所有攻擊流量，在沖擊波及其變種大規(guī)模爆發(fā)時(shí)，直接將其阻斷，從而贏得打補(bǔ)丁的關(guān)鍵時(shí)間。IPS主要功能與特性檢測(cè)機(jī)制IPS主要功能與特性弱點(diǎn)分析

IPS產(chǎn)品的發(fā)展前景取決于攻擊阻截功能的完善。引入弱點(diǎn)分析技術(shù)是IPS完善攻擊阻截能力的重要依據(jù).IPS廠商通過分析系統(tǒng)漏洞、收集和分析攻擊代碼或蠕蟲代碼、描述攻擊特征或缺陷特征，使IPS能夠主動(dòng)保護(hù)脆弱系統(tǒng)。

IPS主要功能與特性弱點(diǎn)分析IPS主要功能與特性環(huán)境配置IPS的檢測(cè)準(zhǔn)確率還依賴于應(yīng)用環(huán)境。一些流量對(duì)于某些用戶來說可能是惡意的，而對(duì)于另外的用戶來說就是正常流量，這就需要IPS能夠針對(duì)用戶的特定需求提供靈活而容易使用的策略調(diào)優(yōu)手段，以提高檢測(cè)準(zhǔn)確率。McAfee、Juniper、ISS、冰峰網(wǎng)絡(luò)等公司同時(shí)都在IPS中提供了調(diào)優(yōu)機(jī)制，使IPS通過自學(xué)習(xí)提高檢測(cè)的準(zhǔn)確性。

IPS主要功能與特性環(huán)境配置IPS主要功能與特性兼容性所有的用戶都希望用相對(duì)少的投入，建設(shè)一個(gè)最安全、最易管理的網(wǎng)絡(luò)環(huán)境。IPS如若需達(dá)到全面防護(hù)工作，則還要把其它網(wǎng)絡(luò)管理功能集成起來，如網(wǎng)絡(luò)管理、負(fù)載均衡、日志管理等，各自分工，但緊密協(xié)作。IPS主要功能與特性兼容性2.典型IPS產(chǎn)品的功能（1）天融信TopIDP產(chǎn)品的主要功能。高吞吐量、低延時(shí)入侵防御能力多重立體防御保護(hù)網(wǎng)絡(luò)架構(gòu)防護(hù)能力網(wǎng)絡(luò)性能保護(hù)核心應(yīng)用保障能力實(shí)現(xiàn)精細(xì)化防御2.典型IPS產(chǎn)品的功能（1）天融信TopIDP產(chǎn)品的主2.典型IPS產(chǎn)品的功能（2）聯(lián)想網(wǎng)域入侵防護(hù)系統(tǒng)IPS良好的產(chǎn)品架構(gòu)強(qiáng)大的入侵與防護(hù)檢測(cè)能力強(qiáng)大的DoS/DDoS攻擊防護(hù)能力帶寬管理上網(wǎng)行為管理應(yīng)用層防火墻2.典型IPS產(chǎn)品的功能（2）聯(lián)想網(wǎng)域入侵防護(hù)系統(tǒng)IPS2.聯(lián)想網(wǎng)御IPS主要功能帶寬管理上網(wǎng)行為管理抗DoS/DDoS七層防火墻IDSIPS聯(lián)想網(wǎng)御IPS企業(yè)網(wǎng)絡(luò)IM、P2P、WebMailWebPost、OnlineGameIntrusion、DoS/DDoSWorm/NetworkVirus2.聯(lián)想網(wǎng)御IPS主要功能帶寬管理上網(wǎng)行為管理抗DoS/D分類特性/功能詳細(xì)描述產(chǎn)品架構(gòu)硬件架構(gòu)采用ASIC硬件架構(gòu)，無硬盤設(shè)計(jì)，減少設(shè)備故障幾率操作系統(tǒng)采用VSP通用安全平臺(tái)；采用非開放式操作系統(tǒng)，以確保防御設(shè)備自身的穩(wěn)定性入侵檢測(cè)與防護(hù)入侵檢測(cè)引擎采用USE統(tǒng)一安全引擎，具備基于協(xié)議異常、會(huì)話狀態(tài)識(shí)別和七層應(yīng)用行為的攻擊識(shí)別功能；工作模式支持IPS、IDS、IPS監(jiān)視、IDS監(jiān)視、Forward等多種工作模式;特征規(guī)則內(nèi)置IPS特征庫，特征規(guī)則數(shù)量超過2,300條；可自定義入侵攻擊和應(yīng)用軟件的特征協(xié)議分析支持對(duì)VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各種協(xié)議的分析防護(hù)攻擊類型支持對(duì)蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼、掃描、非法連接、DosS/DDoS、Web攻擊等多種攻擊的防護(hù)?？梢苑婪禝PSpoofing攻擊。策略時(shí)間管理可自定義單個(gè)策略的運(yùn)行時(shí)間對(duì)數(shù)據(jù)包的處理方式支持丟棄數(shù)據(jù)包、切斷會(huì)話、事件監(jiān)視/記錄(可選擇記錄數(shù)據(jù)包內(nèi)容，如Sniffer一般)、限制連接傳輸帶寬、限制傳輸總量等多種處理方式DoS/DDoS攻擊防護(hù)三/四層防護(hù)支持雙向阻斷TCP/UDP/IGMP/ICMP/IPFlooding、UDP/ICMPSmurfing等各種類型的DoS/DDoS的攻擊七層防護(hù)支持基于限制訪問單位時(shí)間內(nèi)訪問特定服務(wù)次數(shù)來，阻斷未知類型的DoS/DDoS攻擊，如針對(duì)Web、DNS等服務(wù)的攻擊帶寬管理流量整形針對(duì)VLAN、源/目的IP地址、應(yīng)用協(xié)議端口、七層應(yīng)用軟件（如P2P、FTP、PPlive、PPStream等），支持進(jìn)行網(wǎng)絡(luò)傳輸帶寬和網(wǎng)絡(luò)傳輸總量?jī)煞N限制方式P2P下載管理擁有完善的P2P特征識(shí)別庫，支持的常用P2P軟件包括Thunder、eMule、WinMX、QQLive(China)、Skype、eDonkey、BitTorrent、Mldonkey等30余種；帶寬限流可精準(zhǔn)到1Kbps上網(wǎng)行為管理聊天應(yīng)用管理擁有完善的實(shí)時(shí)聊天程序特征識(shí)別庫，支持的聊天程序包括MSN、QQ、YahooMessenger、Skype、AIM、TM、GoogleTalk、PoPoBuild、iChat等10多類；并可對(duì)基于Web的聊天進(jìn)行登陸和禁止管理控制，如MSN、Yahoo、ICQ、GoogleTalk、AIM、eB、iLoveIM.com等在線游戲管理支持對(duì)騰訊QQ游戲大廳、聯(lián)眾世界、浩方對(duì)戰(zhàn)平臺(tái)、跑跑卡丁車等流行的在線游戲?qū)崿F(xiàn)阻斷管理Web訪問檢查可基于URL、內(nèi)容等制定黑白名單來對(duì)Web訪問進(jìn)行過濾分類特性/功能詳細(xì)描述產(chǎn)品架構(gòu)硬件架構(gòu)采用ASIC硬件架構(gòu)分類特性/功能詳細(xì)描述應(yīng)用層防火墻防火墻功能支持狀態(tài)檢測(cè)防火墻功能，支持基于網(wǎng)絡(luò)接口、源/目的IP地址、協(xié)議、時(shí)間等自定義訪問控制策略虛擬通道管理支持對(duì)VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虛擬隧道，以及對(duì)自由門、無界、花園等反動(dòng)類軟件，實(shí)現(xiàn)阻斷管理。高可靠性雙機(jī)熱備基于HA網(wǎng)絡(luò)物理接口，可實(shí)現(xiàn)在設(shè)備宕機(jī)、端口壞等故障下的主機(jī)和從機(jī)的及時(shí)切換旁路保護(hù)支持硬件Bypass、軟件Bypass的功能，以避免在任何情況下，因本系統(tǒng)無法正常運(yùn)作而造成網(wǎng)絡(luò)中斷的情形靈活的管理管理方式基于Java的B/S管理架構(gòu)，支持圖形界面和命令行管理方式高效的集中管理支持通過專用的安全管理系統(tǒng)，實(shí)現(xiàn)全局拓?fù)渖伞⒓腥罩緦徲?jì)、集中設(shè)備監(jiān)控等安全管理直觀的狀態(tài)顯示具有顯示攻擊事件百分比的儀表盤、顯示協(xié)議流量的柱狀圖、安全事件趨勢(shì)分析曲線圖、實(shí)時(shí)事件列表等多種實(shí)時(shí)狀態(tài)顯示，方便分析網(wǎng)絡(luò)的現(xiàn)狀和趨勢(shì)設(shè)備升級(jí)支持通過線升級(jí)和本地文件升級(jí)方式，來對(duì)特征庫、管理軟件、設(shè)備操作系統(tǒng)實(shí)現(xiàn)升級(jí)報(bào)警可實(shí)時(shí)通過LEMS、郵件、syslog進(jìn)行報(bào)警流量分析支持端口Mirror功能。設(shè)備提供Mirror接口，網(wǎng)絡(luò)分析設(shè)備可直接獲得流量數(shù)據(jù)進(jìn)行分析。日志審計(jì)報(bào)表內(nèi)置多樣化的報(bào)表模版，自動(dòng)定時(shí)生成和自定義來生成報(bào)表；支持HTML、PDF、CSV等文件格式；可利用郵件或FTP等形式定時(shí)外傳報(bào)表事件查詢可根據(jù)事件類型、虛擬設(shè)備、時(shí)間、源/目的IP、攻擊名稱等信息進(jìn)行快速問題定位分類特性/功能詳細(xì)描述應(yīng)用層防火墻防火墻功能支持狀態(tài)檢測(cè)防火5.聯(lián)想網(wǎng)御IPS核心技術(shù)1.基于協(xié)議自動(dòng)機(jī)（PA）的流量識(shí)別技術(shù)提供了更精確的流量檢測(cè)方法高效的流量數(shù)據(jù)包特征匹配5.聯(lián)想網(wǎng)御IPS核心技術(shù)1.基于協(xié)議自動(dòng)機(jī)（PA）的流量2.硬件特征匹配技術(shù)傳統(tǒng)硬件加速技術(shù)基于FPGA基于Bloom過濾器基于TCAM聯(lián)想網(wǎng)御硬件特征匹配技術(shù)FPGA+TCAM+SSRAM的硬件加速架構(gòu)2.硬件特征匹配技術(shù)3.聯(lián)想網(wǎng)御硬件加速架構(gòu)的優(yōu)勢(shì)使用TCAM做預(yù)處理，因而支持Wildcard、Distance、Within等等針對(duì)P2P/IM等應(yīng)用程序所需要的操作單元；對(duì)特征進(jìn)行了預(yù)分組，在保證了匹配速度的同時(shí)，控制了器件規(guī)模，從而節(jié)約成本，保證了用戶得到最高的性能價(jià)格比；算法相關(guān)部分全部位于FPGA之中，由于其具有可動(dòng)態(tài)升級(jí)特性，因而算法可以不斷隨著產(chǎn)品升級(jí)進(jìn)行優(yōu)化，靈活性大；SSRAM成本低，容量大，用它來實(shí)現(xiàn)精確匹配極大了擴(kuò)展了可以用于匹配的規(guī)則數(shù)目；CPU的多核機(jī)制和FPGA中并行數(shù)據(jù)包緩沖處理機(jī)制結(jié)合，支持全并行的特征匹配。3.聯(lián)想網(wǎng)御硬件加速架構(gòu)的優(yōu)勢(shì)5.5.聯(lián)想網(wǎng)御IPS產(chǎn)品優(yōu)勢(shì)1.高效的硬件體系結(jié)構(gòu)零拷貝技術(shù)多核處理與內(nèi)存分配技術(shù)ASIC加上特征比對(duì)技術(shù)5.5.聯(lián)想網(wǎng)御IPS產(chǎn)品優(yōu)勢(shì)1.高效的硬件體系結(jié)構(gòu)2.USE統(tǒng)一安全引擎基于協(xié)議異常、會(huì)話狀態(tài)和七層應(yīng)用行為進(jìn)行檢測(cè)內(nèi)置2300多條特征規(guī)則，支持自定義特征支持對(duì)VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等各種協(xié)議的分析2.USE統(tǒng)一安全引擎3.支持七層狀態(tài)檢測(cè)防火墻支持基于網(wǎng)絡(luò)接口、源/目的IP地址、協(xié)議、時(shí)間等自定義訪問控制策略支持對(duì)VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虛擬隧道實(shí)現(xiàn)阻斷管理

3.支持七層狀態(tài)檢測(cè)防火墻DNS/SMTP/WWWInternet4.高級(jí)自學(xué)習(xí)抗DoS攻擊傳統(tǒng)單純基于時(shí)間及訪問次數(shù)的方法，會(huì)阻擋合法流量自動(dòng)學(xué)習(xí)和分析每個(gè)特定IP地址的流量阻止攻擊，同時(shí)允許合法的流量通過“源IP+URL特征+時(shí)間+訪問次數(shù)”有效防范CC攻擊DNS/SMTP/WWWInternet4.高級(jí)自學(xué)習(xí)抗Do5.全面的P2P管控基于軟件行為、數(shù)據(jù)內(nèi)容，而不是端口識(shí)別應(yīng)用可檢測(cè)加密型或非加密型P2P支持100余種常用P2P軟件帶寬限流可精準(zhǔn)到1Kbps5.全面的P2P管控6.細(xì)粒度的IM管控基于軟件行為、數(shù)據(jù)內(nèi)容，而不是基于端口號(hào)識(shí)別應(yīng)用可檢測(cè)加密型或非加密型IM應(yīng)用支持10種以上常用IM軟件，包括WebIM可對(duì)登陸、文字聊天、文件傳輸、實(shí)時(shí)語音、實(shí)時(shí)視頻等進(jìn)行分項(xiàng)管理6.細(xì)粒度的IM管控7.精準(zhǔn)的帶寬管理針對(duì)VLAN、源/目的IP地址、應(yīng)用協(xié)議端口、七層應(yīng)用軟件（如P2P、FTP、PPlive、PPStream等）支持進(jìn)行網(wǎng)絡(luò)傳輸帶寬和網(wǎng)絡(luò)傳輸總量?jī)煞N限制方式針對(duì)P2P應(yīng)用的帶寬限流，可精準(zhǔn)到1Kbps

7.精準(zhǔn)的帶寬管理8.豐富的工作模式支持IPS、IDS、IPS監(jiān)視、IDS監(jiān)視、Forward等工作模式支持Mirror模式8.豐富的工作模式9.自定義檢測(cè)方向針對(duì)性檢測(cè)節(jié)省系統(tǒng)資源9.自定義檢測(cè)方向10.圖像化的實(shí)時(shí)監(jiān)視窗口10.圖像化的實(shí)時(shí)監(jiān)視窗口11.方便、實(shí)用的報(bào)表預(yù)設(shè)事件報(bào)表、內(nèi)建報(bào)表、隨選報(bào)表、定期報(bào)表四類報(bào)表事件報(bào)表查看事件的詳細(xì)列表內(nèi)建報(bào)表圖形化顯示隨選報(bào)表豐富的查詢條件定期報(bào)表多樣的計(jì)劃類型：循環(huán)生成、一次性生成豐富的過濾條件HTML、PDF、CSV文件存儲(chǔ)郵件、FTP通知11.方便、實(shí)用的報(bào)表事件報(bào)表內(nèi)建報(bào)表隨選報(bào)表定期報(bào)表12.靈活的管理基于JAVA的B/S管理架構(gòu)支持在線、脫機(jī)兩種方式對(duì)特征庫、管理軟件、設(shè)備操作系統(tǒng)實(shí)現(xiàn)升級(jí)支持實(shí)時(shí)通過LEMS、郵件、syslog進(jìn)行報(bào)警SSH、Console管理IPS設(shè)備12.靈活的管理13.實(shí)用的多重冗余功能無硬盤設(shè)計(jì)冗余電源硬件/軟件Bypass聯(lián)機(jī)自動(dòng)切換（LinkFaultPassThrough）支持Active-Active、Active-Passive兩種模式13.實(shí)用的多重冗余功能14.全面的產(chǎn)品資質(zhì)14.全面的產(chǎn)品資質(zhì)項(xiàng)目/規(guī)格項(xiàng)目/規(guī)格/說明350IPS650IPS950IPS4500IPS6000IPS6500IPS性能防火墻吞吐量整機(jī)最大吞吐量500Mbps1Gbps2Gbps3Gbps4Gbps4GbpsIPS吞吐量整機(jī)最大吞吐量200Mbps500Mbps600Mbps1Gbps1Gbps1Gbps時(shí)延單個(gè)報(bào)文最大時(shí)延<200微秒<200微秒<200微秒<128微秒<128微秒<128微秒并發(fā)連接數(shù)整機(jī)最大并發(fā)連接數(shù)500,0001,000,0001,000,0001,000,0001,000,0001,000,000每秒新建連接數(shù)整機(jī)每秒最大連接數(shù)12,00012,00012,00022,00022,00022,000接口/擴(kuò)展性IPS/IDS共用口10/100/1000自適應(yīng)電口4444001000M（單模/多模光口）000004插槽（支持1000M單模光口/多模光口/電口模塊，模塊未標(biāo)配，按需另行購買）004個(gè)SFP插槽04個(gè)GBIC插槽0IDS口10/100/1000自適應(yīng)電口111222管理口10/100/1000自適應(yīng)電口111111串口1個(gè)RJ-451個(gè)RJ-451個(gè)RJ-451個(gè)RS-2321個(gè)RS-2321個(gè)RS-232IPS接口說明支持多路IPS（兩個(gè)接口為一路IPS，一路IPS保護(hù)一個(gè)網(wǎng)段）22標(biāo)配2路，購買2個(gè)模塊可擴(kuò)展為3路，購買4個(gè)模塊可擴(kuò)展為4路2標(biāo)配無IPS功能，購買2個(gè)模塊可擴(kuò)展為1路，購買4個(gè)模塊可擴(kuò)展為2路2支持硬件Bypass1對(duì)電口Bypass2對(duì)電口Bypass2對(duì)電口Bypass2對(duì)電口Bypass不支持2對(duì)光口Bypass電源是否為冗余電源××√√√√機(jī)箱是否為機(jī)架式√√√√√√機(jī)箱高度1U1U2U2U2U2U產(chǎn)品定位入門級(jí)低端主打產(chǎn)品端口密集/光電混合全電口高端接口模塊化高端光口Bypass高端目標(biāo)客戶用于低價(jià)競(jìng)爭(zhēng)中端客戶，價(jià)格敏感控標(biāo)型產(chǎn)品運(yùn)營(yíng)商、高校、IDS、政府信息中心、金融、大企業(yè)等高性能需求5.6聯(lián)想網(wǎng)御IPS產(chǎn)品線項(xiàng)目/規(guī)格項(xiàng)目/規(guī)格/說明350IPS650IPS950IP1.上網(wǎng)行為管理部署在內(nèi)網(wǎng)出口上網(wǎng)行為管理IM即時(shí)消息軟件Web-IMP2P軟件虛擬隧道在線游戲反動(dòng)軟件5.7.聯(lián)想網(wǎng)御IPS典型部署1.上網(wǎng)行為管理5.7.聯(lián)想網(wǎng)御IPS典型部署2.內(nèi)外兼顧部署在網(wǎng)絡(luò)出口防范外網(wǎng)攻擊上網(wǎng)行為管理2.內(nèi)外兼顧3.多路防護(hù)多路IPS每路設(shè)置不同的策略帶寬限流3.多路防護(hù)5.7.競(jìng)爭(zhēng)分析聯(lián)想網(wǎng)御市場(chǎng)定位百兆千兆項(xiàng)目/規(guī)格350650950450060006500吞吐量200Mbps/500Mbps500Mbps/1Gbps600Mbps/2Gbps1Gbps/3Gbps1Gbps/4Gbps1Gbps/4Gbps最大并發(fā)500,0001,000,0001,000,0001,000,0001,000,0001,000,000接口數(shù)量6個(gè)10/100/1000M電口6個(gè)10/100/1000M電口6個(gè)10/100/1000M電口

+4個(gè)SFP插槽7個(gè)10/100/1000M電口3個(gè)10/100/1000M電口+4個(gè)GBIC插槽3個(gè)10/100/1000M電口+4個(gè)GBIC光口IPS路數(shù)最多2路最多2路最多4路最多2路最多2路最多2路IDS路數(shù)最多5路最多5路最多9路最多6路最多6路最多6路Bypass1路電口2路電口2路電口2路電口不支持2路光口冗余電源否否標(biāo)配標(biāo)配標(biāo)配標(biāo)配綠盟科技項(xiàng)目/規(guī)格200P-02、200P-03600P-02、600P-031200P-02/1200P-03/1200P-041600P-02/1600P-03/1600P-04吞吐量200Mbps600Mbps1.2G2G最大并發(fā)150,000200,000500,0001,000,000接口數(shù)量最多4個(gè)100M工作口

+最多4個(gè)管理口最多4個(gè)100M工作口

+最多4個(gè)管理口最多4個(gè)千兆工作口（單模/多模/電口）

+最多6個(gè)管理口最多4個(gè)千兆工作口

（單模/多模/電口）

+最多6個(gè)管理口IPS路數(shù)最多1路最多1路最多1路最多1路IDS路數(shù)最多3路最多3路最多4路最多4路Bypass內(nèi)置內(nèi)置外置外置冗余電源否否需購買需購買1.綠盟產(chǎn)品線及規(guī)格對(duì)比5.7.競(jìng)爭(zhēng)分析聯(lián)想網(wǎng)御市場(chǎng)定位百兆千兆項(xiàng)目/規(guī)格35062.聯(lián)想相對(duì)綠盟的優(yōu)勢(shì)聯(lián)想的產(chǎn)品線豐富，接口數(shù)量多，類型豐富，其中950IPS最多支持4路IPS或9路IDS。具體信息可參考產(chǎn)品線及產(chǎn)品規(guī)格對(duì)比表。聯(lián)想支持，綠盟不支持的功能虛擬隧道軟件的檢測(cè)自由門、無界、花園等反動(dòng)類軟件的檢測(cè)“端口Mirror”功能“IPSpoofing”功能“LinkFaultPassThrough”功能“自定義檢測(cè)方向”綠盟產(chǎn)品不如我們做的好的功能聯(lián)想的產(chǎn)品對(duì)P2P的支持更全面，檢測(cè)準(zhǔn)確，且支持P2P限流，特別是迅雷，綠盟支持的不好，可以引導(dǎo)用戶進(jìn)行測(cè)試。我們的產(chǎn)品可以對(duì)IM軟件的登陸、文字聊天、文件傳輸、語音聊天、視頻聊天進(jìn)行分項(xiàng)檢測(cè)，并支持對(duì)Web-IM的檢測(cè)，比綠盟產(chǎn)品要全面，可以引導(dǎo)用戶進(jìn)行測(cè)試。2.聯(lián)想相對(duì)綠盟的優(yōu)勢(shì)綠盟強(qiáng)調(diào)其產(chǎn)品具有CVE證書.CVE兼容性證書是與產(chǎn)品相關(guān)的，綠盟的IDS和風(fēng)險(xiǎn)評(píng)估軟件具有CVE證書，IPS產(chǎn)品并沒有CVE證書。綠盟強(qiáng)調(diào)其產(chǎn)品支持路由和NAT功能.綠盟IPS支持路由和NAT功能的原因有以下兩點(diǎn)：（1）綠盟沒有防火墻產(chǎn)品。綠盟不是專業(yè)的路由器和防火墻廠商，想想其路由和NAT功能能做好嗎？綠盟為了爭(zhēng)取一些防火墻的項(xiàng)目，所以在IPS產(chǎn)品中加入了路由和NAT功能。而業(yè)內(nèi)主流產(chǎn)品TP等主流IPS廠商均不在IPS產(chǎn)品中集成路由和NAT功能，這已經(jīng)成為業(yè)內(nèi)默認(rèn)的產(chǎn)品標(biāo)準(zhǔn)。（2）路由/NAT功能與硬件Bypass功能之間是矛盾的?？蛻糍徺IIPS產(chǎn)品時(shí)都要求支持硬件Bypass功能，這就要求每路IPS接口之間工作在透明模式下。如使用路由或NAT功能，則硬件Bypass就會(huì)不起作用，當(dāng)設(shè)備出現(xiàn)問題時(shí)，直接導(dǎo)致斷網(wǎng)。注：硬件bypass功能解決了在IPS主機(jī)掉電、硬件故障、操作系統(tǒng)故障時(shí)，實(shí)現(xiàn)每路IPS的接口之間直通，從而避免了由于IPS故障導(dǎo)致的斷網(wǎng)現(xiàn)象發(fā)生。3.聯(lián)想與綠盟功能對(duì)比綠盟強(qiáng)調(diào)其產(chǎn)品具有CVE證書.3.聯(lián)想與綠盟功能對(duì)比4.聯(lián)想與啟明產(chǎn)品線及規(guī)格對(duì)比聯(lián)想網(wǎng)御市場(chǎng)定位百兆千兆項(xiàng)目/規(guī)格350650950450060006500吞吐量200Mbps/500Mbps500Mbps/1Gbps600Mbps/2Gbps1Gbps/3Gbps1Gbps/4Gbps1Gbps/4Gbps最大并發(fā)500,0001,000,0001,000,0001,000,0001,0