如何實現IPS系統深度檢測
隨著網絡攻擊技術的不斷提高和網絡安全漏洞的不斷發現,傳統防火墻技術加傳統IDS的技術,已經無法應對一些安全威脅。在這種情況下,IPS系統技術應運而生,IPS系統技術可以深度感知并檢測流經的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網絡帶寬資源。
IPS系統如何實現深度檢測和入侵抵御
對于部署在數據轉發路徑上的IPS系統,可以根據預先設定的安全策略,對流經的每個報文進行深度檢測(協議分析跟蹤、特征匹配、流量統計分析、事件關聯分析等),如果一旦發現隱藏于其中網絡攻擊,可以根據該攻擊的威脅級別立即采取抵御措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次TCP連接。
在哪里部署
進行了以上分析以后,我們可以得出結論,辦公網中,至少需要在以下區域部署IPS系統,即辦公網與外部網絡的連接部位(入口/出口);重要服務器集群前端;辦公網內部接入層。至于其它區域,可以根據實際情況與重要程度,酌情部署。
IPS系統深度檢測與入侵抵御的關鍵技術
高性能、高可靠性的硬件平臺
依賴于對網絡設備體系架構的深刻理解和強大的設計開發能力,華為3Com為IPS系統產品設計了專用的高性能硬件平臺。該平臺徹底拋棄了目前市面上常見的工控機架構。
協議分析與跟蹤技術
通過前面的分析,我們可以看到協議分析與跟蹤對IPS系統設備的重要性。與傳統防火墻不同的是,IPS系統不但要分析和跟蹤IP、ICMP、UDP、TCP這幾種網絡層、傳輸層的協議,而且,還要對HTTP、HTTPS、FTP、TFTP、SNMP、Telnet、SMTP、POP、DNS、RPC、LDAP、ICQ、MSN、Yahoo Messenger等眾多的應用層協議進行分析、跟蹤。沒有對網絡協議和操作系統的深刻理解,要完成這件工作是不可能的。華為3Com已經具備了在操作系統的內核級別對應用協議進行全面跟蹤、深度分析的實力;而且,在引入網絡處理器后,所有的邏輯檢測和協議分析、跟蹤都要下移到網絡處理器中,采用微碼實現,進一步提高系統性能。
特征匹配的性能
從海量的數據中去尋找一定的特征,在計算領域,這歷來是一個高計算量、高復雜度的問題;而IPS系統的報文內容識別,恰恰要基于此工作。那么,如何解決這個CPU殺手和提高設備性能之間的矛盾呢?
華為3Com采用專用的硬件加速卡來解決這個問題。基于專門的內容查找芯片設計的硬件加速卡在系統中與CPU、網絡處理器協同工作,在需要對報文進行內容搜索的情況下,為CPU和網絡處理器卸載負擔,使得CPU和網絡處理器可以專注于報文處理和邏輯檢測,從而將內容搜索對系統效率的影響降至最低。目前華為3Com設計的硬件加速卡,可以在千兆的環境下線速地處理流量。
【編輯推薦】
