产品说明天融信网络卫士入侵防御TopIDP系列.docx

1、产品说明天融信网络卫士入侵防御TopIDP系列天融信网络卫士入侵防御TopIDP系列 产品说明天融信TOPSEC北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119 800-810-5119Http: /目 录1 前言 22 网络入侵检测与防御系概况 22.1 入侵防御系统与防火墙 32.2 入侵防御系统与IDS 33 天融信网络卫士入侵防御系统TopIDP 33.1 产品概述 33.2 TopIDP体系架构 43.3 TopIDP主要功能 53.4 天融信网络卫士入侵防御系统TopIDP特点 6

2、3.4.1 领先的多核SmartAMP并行处理架构 63.4.2 强大的攻击检测能力 63.4.3 精准的应用协议识别能力 73.4.4 实用的网络病毒检测功能 73.4.5 智能的上网行为监控和管理 83.4.6 立体的Web安全防护 83.4.7 精确的QOS流量控制能力 83.4.8 灵活的自定义规则能力 93.4.9 丰富的网络部署方式 93.4.10 高可靠的业务保障能力 93.4.11 可视化的实时报表功能 104 天融信入侵防御系统TopIDP部署方案 114.1.1 典型部署 114.1.2 内网部署 124.1.3 IDP.VS.IDS混合部署 135 结论 141 前言随着

3、计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。同时，大量的网络资源滥用充斥在整

4、个网络通路上，各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗，影响企业正常业务系统运行。能否主动发现并防御这些网络攻击，规范终端的网络行为，保护企业的信息化资产，保障企业业务系统的正常运行，是企业要面临的重要问题。2 网络入侵防御系概况网络入侵防御系统，简称IDP（Intrusion Detection and Prevention System ），是串联在计算机网络中可对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的安全设备；入侵防御系统主要是对应用层的数据流进行深度分析，动态地保护来自内部和外部网络攻击行为的网关设

5、备。必须同时具备以下功能 深层检测(deep packet inspection) 串连模式(in-line mode) 即时侦测(real-time detection) 主动防御(proactive prevention) 线速运行(wire-line speed)2.1 入侵防御系统与防火墙入侵防御系统和防火墙是两种完全独立的安全网关设备。从两个产品关注的安全范围来看，防火墙更多的是进行细粒度的访问控制，同时还提供网络地址转换、应用服务代理和身份准入控制等功能；入侵防御系统则重点关注网络攻击行为，尤其是对应用层协议进行分析，并主动阻断攻击行为。防火墙是实施访问控制策略的系统，对流经的网络

6、流量进行检查，拦截不符合安全策略的数据包。而入侵防护系统 (IPS) 则倾向于提供主动防护，是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。在实际部署上，企业可以根据网络环境，充分发挥防火墙和IPS各自的技术优势，进行混合部署。2.2 入侵防御系统与IDS入侵检测系统以旁路方式部署，被动监听网络上所有实时传输数据。虽然很多IDS设备可以和防火墙进行策略联动，在IDS发现攻击行为后，通知防火墙生成阻断规则或者以TCP Reset方式对攻击行为进行防护，但这些方式都存在滞后性。IDS更多情况下，是为用户提供全面的信息展现，为改善用户网络的风

7、险控制环境提供决策依据，同时对网络中所发生的攻击事件进行事后审计。 入侵防御系统以在线方式部署，实时分析链路上的传输数据，对隐藏在其中的攻击行为进行阻断，专注的是深层防御、主动阻断。3 天融信网络卫士入侵防御系统TopIDP3.1 产品概述天融信公司的网络卫士入侵防御系统（以下简称TopIDP产品）采用在线部署方式，能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为，有效保护用户网络IT服务资源，使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为，确保网

8、络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表，并以可视化方式动态展示，实现实时的全网威胁分析。TopIDP产品全系列采用多核处理器硬件平台，基于先进的新一代并行处理技术架构，内置处理器动态负载均衡专利技术，实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎，可即时处理IP分片和TCP流重组，有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作，不断跟踪、挖掘和分析新出现的各种漏洞信息，并将研究成果直接应用于产品，保障了TopIDP产品检测的全面、准确和及时有效。TopIDP产品除入侵防御功能外，

9、还具有智能协议识别、P2P流量控制、网络病毒防御、上网行为管理、恶意网站过滤、内网监控和web安全防御等功能，是集多种功能为一体的综合性内容安全设备，为用户提供了完整的立体式网络安全防护。与市场上同类入侵防御产品相比，TopIDP产品具有更高的检测性能、更精准的检测能力、更细的控制粒度、更丰富的安全功能、更完善的支持和服务保障，体现了最新的内容安全设备和解决方案发展方向， 是用户构筑网络内容安全系统的理想选择。3.2 TopIDP体系架构天融信网络卫士入侵防御产品TopIDP采用的是基于独创专利技术（专利号：200810241123.9）打造的SmartAMP架构。这种架构将多个处理器内核区别

10、看待，一类运行完整的系统和相对复杂的任务，另一类在其上建立一种“洁净”的系统环境（有时候直接叫做“裸核”环境），在这个环境中，没有内核之间的IPI通信开销，也没有任务调度和中断，只运行单一任务（如收发数据、模式匹配等），因此获得了极高的性能。TopIDP产品包括三个主要组件：入侵防御引擎、集中管理器和升级站点 入侵防御引擎(Protect Engine)入侵防御引擎用于检测网络中数据的合法性，是TopIDP产品的核心组件。应当以嵌入模式部署于要保护的网络中。引擎内置违反安全事件数据库，用于存储检测到的安全事件信息。 集中管理器(Central Manager)有两种管理方式可供选择，一种是通过

11、web方式对单一引擎设备进行管理，安全事件信息存储于引擎设备本地；另一种是通过天融信集中管理器TopPolicy产品对多个引擎设备进行统一的集中控制和管理，同时集中存储安全事件信息。 升级站点（TopIDP Update Online） 通过自动或手动方式，在入侵防御系统的升级站点，实时地更新攻击规则库、病毒库、AR应用识别库和URL过滤库，实时保障对热点事件的防护。3.3 TopIDP主要功能TopIDP产品全系列采用多核处理器硬件平台，基于先进的新一代并行处理技术架构，实现了对网络数据流的高性能实时检测和防御。功能描述网络适应性 直连、路由、IDS监听及混合模式接入。 多端口链路聚合，支持

12、11种负载均衡算法。 支持IPv6、MPLS、PPPoE网络。入侵防御 超过3500条攻击规则。 全面防御溢出攻击（BufferOverflow）、 RPC攻击（RPC）、WEBCGI攻击（WebAccess）、拒绝服务（DDOS）、木马（TrojanHorse）、蠕虫（VirusWorm）、扫描（Scan）、HTTP攻击类（HTTP）、系统漏洞类（system）。病毒过滤 基于数据流的查杀模式，实时阻断含有网络病毒的数据报文和连接。 超过100万条病毒库、实时更新。 支持HTTP、FTP、POP3、SMTP协议。上网行为管理 内网实时监控。 600多万条URL地址分类库，可以控制对主页的访问

13、。 基于应用（网络视频、聊天等）的细粒度控制，可以轻松对应用进行限流、禁止、限定时间段。Web安全 Web服务器弱点扫描。 无须安装客户端软件，实现主页防篡改，主页恢复功能。DOS/DDOS防御 支持CC攻击防御。 DNS异常包防御、DHCP攻击防御。 非法报文攻击：tcp_sscan、ip_option等；统计型报文攻击：Synflood、Icmpflood、Udpflood。 支持flood阀值自学习功能，学习时间可设置。 支持flood服务器阈值、服务器高压阈值、单机阈值设置。应用识别 支持网络在线视频、网络游戏、股票交易、及时通讯、上传下载、网络电话等各类应用。3.4 天融信网络卫士入

14、侵防御系统TopIDP特点3.4.1 领先的多核SmartAMP并行处理架构 TopIDP产品应用了先进的多核处理器硬件平台，将并行处理技术成功融入天融信自主知识产权的安全操作系统TOS（Topsec Operating System）系统，集成多项发明专利，形成了先进的多核架构技术体系。在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力，能够胜任高速网络的安全防护要求。 图1 多核并行处理架构示意图3.4.2 强大的攻击检测能力TopIDP产品的检测引擎采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为，可以准确地发现并阻断各种网络恶意攻击。 TopID

15、P产品采用了先进的基于目标系统的流重组检测引擎，首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了TCP流分段重叠攻击行为。 TopIDP全面支持DOS/DDOS防御，通过构建统计性攻击模型和异常包攻击模型，可以全面防御SYN flood、ICMP flood、UDP flood、DNS Flood，DHCP flood、Winnuke、TcpSScan以及CC等多达几十种DOS/DDOS攻击行为；TopIDP还可以通过自学习模式，针对用户所需保护的服务器进行智能防御。 TopIDP拥有3500多条攻击规则，尤其是针

16、对本地化业务系统，深度挖掘业务系统漏洞，形成防御阻断规则后直接应用于TopIDP，更有效保护企业信息化资产。 天融信公司的专业攻防实验室充分与国际厂商和国家权威机构合作，不断跟踪、分析、研究最新发现的安全漏洞，天融信拥有自主知识产权的攻击检测规则库。目前，该规则库已经通过国际权威组织CVE的兼容性认证，并保持至少每周一次的更新频率。 TopIDP可支持IPv6协议的攻击检测，完全识别IPv6封包下的攻击检测。3.4.3 精准的应用协议识别能力 TopIDP产品能够识别包括传统协议、P2P下载、股票交易、即时通讯、流媒体、网络游戏、网络视频等在内的百多种网络应用，并能够详细统计每一种应用的流量、

17、连接数和累积传输字节数，使用户很容易判断网络中的各种带宽滥用行为，继而采取包括阻断、限制连接数、限制流量等各种控制手段，确保网络业务通畅。 TopIDP产品采用对应用协议交互过程进行智能分析，而非简单依据服务端口的技术手段来判断应用协议类型，对那些采用动态变化服务端口或者使用标准协议端口隐藏传输内容的应用也可以准确识别和控制。TopIDP的智能应用协议识别能力能够有效控制迅雷、BT等应用对网络带宽的占用，还能够精确控制和管理内网用户的上网行为。3.4.4 实用的网络病毒检测功能 TopIDP产品中引入了著名的karpersky safestream网络病毒库，采用基于数据流的检测技术，能够检测

18、包括木马、后门和蠕虫在内的新近流行的超过100万种网络病毒。与传统的防病毒网关不同，TopIDP产品并不需要依据透明代理还原文件，而是直接在数据流中检测病毒，加之卡巴斯基限定数量的精选网络病毒库，使得TopIDP产品能够以远超过传统防病毒网关的性能进行高速在线检测，并能够实时阻断流行的各种网络病毒。3.4.5 智能的上网行为监控和管理 TopIDP产品内置一个庞大的URL分类库，包括恶意网站过滤，违反国家法规与政策，潜在不安全的，浪费带宽，大众兴趣，文化、时评、聊天与论坛，行业分类，计算机技术相关等8个大类，下含80多个子类，超过600万个URL地址分类库。 TopIDP产品能够统计分析内网用

19、户的上网行为，限制对恶意网站或者潜在不安全站点的访问，通过与智能应用协议识别功能相结合，可以制定有效的管理策略，实现内网用户的上网行为管理。 TopIDP产品具备内网主机监控功能，能够实时监测到每一个内网主机（以ip地址为标识）的各种应用流量、以及累积访问各类URL地址的数量，在网络中出现问题时能够快速定位到问题源头（内网主机用户），可以有效威慑和遏制内网用户的各种违反安全策略行为。3.4.6 立体的Web安全防护 TopIDP内置web弱点扫描器，可以实时分析受保护站点的安全状态。 TopIDP无需安装客户端，可以实现web网站防篡改功能；通过实时监测web网站服务器的各级页面是否被非法更改

20、，TopIDP可以自动或手动获取WEB站点的页面信息，对web站点进行缓存，并生成唯一的数字水印，当客户端请求页面与缓存自学习保护的页面进行比较，可在第一时间恢复被篡改页面，保证web站点页面的完整性。 TopIDP内有SQL注入防护规则，可有效阻断SQL注入攻击，保护web服务器数据安全。3.4.7 精确的QOS流量控制能力 TopIDP产品拥有精确的QOS流量控制能力，用户可以自由根据时间或时间段、IP地址或地址范围等对各种不同类网络应用进行多维度的限流控制，在无需增加带宽扩容成本的前提下，最大限度提高带宽利用率。 3.4.8 灵活的自定义规则能力 TopIDP产品内置了丰富灵活的自定义规

21、则能力，能够根据协议、源端口、目的端口及协议内容自行定义攻击行为，其中协议内容支持强大灵活的PCRE（兼容perl的正则表达式）语法格式，特定协议支持更多达10种，包括：ip、tcp、http、dns、ftp、pop3、smtp、qq、msn、imap等。借助于灵活的自定义规则能力，用户可以轻松定义自己的应用层检测和控制功能。3.4.9 丰富的网络部署方式 TopIDP产品通常以在线方式部署于网络边界区域，用于检测和实时阻断从外网到内网的各种入侵行为。 TopIDP产品还可以旁路方式部署于交换网络镜像接口，用于监听网络流量、应用协议，分析入侵行为，此时相当于一个IDS产品。根据用户需要，Top

22、IDP产品还可以部署于局域网络内部，对内网用户实行监控和上网行为管理，同时对受保护服务资源进行入侵防御。 TopIDP产品也可以混合方式部署，利用内置的防火墙功能便捷地实现对内网的访问控制。TopIDP产品提供了丰富的网络部署方式，可供用户根据实际网络具体需求灵活选择，最终达到多种功能综合防御的目的。3.4.10 高可靠的业务保障能力 TopIDP支持A/S、A/A的双机备份技术，完全可以实现链路的高可用性。 TopIDP拥有完备的Bypass功能。 提供软件Bypass功能；供硬件bypass功能，同时还支持外接Bypass设备。 TopIDP还可以监控设备工作环境温度，用户可以手动调整所监

23、控范围，并自动报警，保证设备的工作情况。3.4.11 可视化的实时报表功能 TopIDP产品提供了可视化的实时报表功能，可以实时显示按发生次数排序的攻击事件排名，使网络攻击及其威胁程度一目了然。应用配套的TopPolicy产品，可以实时显示Top10攻击者、Top10被攻击者、Top10攻击事件等统计报表，更可以显示24小时连续变化的事件发生统计曲线图。借助于可视化的实时报表功能，用户可以轻松实现全网威胁分析。4 天融信网络卫士入侵防御系统TopIDP部署方案面对复杂多变的网络环境，对于特定的业务系统，企业需要有针对性的重点防护，同时还需要规范办公区域终端的网络行为，阻止攻击在内部网络的传播，

24、从而达到对整个网络的全面防护。天融信网络卫士入侵防御系统TopIDP可提丰富的接入方式，无需改动用户的网络结构，支持透明、路由、旁路等多种模式。4.1.1 典型部署 将天融信网络卫士入侵防御系统部署在网络接口处，部署在防火墙后端，清洗过滤网络流量。 TopIDP可两路同时接入，实现对多条链路的防护。天融信网络卫士入侵防御系统可根据用户的网络环境，灵活选择一对一、多对一或者一对多的部署方式，并针对不同区域定制相应的防护规则。 天融信网络卫士入侵防御系统可以全面监控内部网络终端的网络行为，可对办公区进行上网行为管控，控制各种网络访问和网络应用。对特定的服务器区域，可以配置DOS/DDOS防御策略、

25、蠕虫、木马等，保护服务器区的安全。4.1.2 内网部署 企业将防火墙部署网络出口，做NAT或访问控制；TopIDP可以配置成交换模式或者路由模式，形成一对多的配置方式，节省用户的网络设备投入。4.1.3 IDP.VS.IDS混合部署 天融信网络卫士入侵防御系统可在企业特定敏感区域，以旁路接入的方式实现对所有网络流量的监听并报警，并与部署在出口的防火墙形成策略联动；同时，对于内部的其他区域，实现串联接入部署。5 结论随着信息化程度日渐加深，企业的业务支撑系统更加依赖网络；网络攻击的手段更加多样化，攻击工具获取随意可得；而每天网络上成千上万的蠕虫、病毒、木马在网络上传播，阻塞甚至中断网络；企业网络中，各种网络滥用行为，如网络视频、网络游戏、BT、电驴等P2P下载会影响企业业务系统的正常运行，从而影响了正常的工作。天融信网络入侵防御系TopIDP可以为用户提供全面的主动网络防护能力，全面保障企业网络系统的健康运行。