【51CTO.com綜合報(bào)道】

九宮八陣圖之風(fēng)揚(yáng)陣——IPS

九宮八陣圖之風(fēng)揚(yáng)陣：風(fēng)無(wú)正形，附之於天，變而為蛇，其意漸玄，風(fēng)能鼓物，萬(wàn)物繞焉，蛇能為繞，三軍懼焉。

風(fēng)揚(yáng)陣是一種比較適合用法術(shù)的陣法，這種陣法通過(guò)利用變化多端的法術(shù)可以力克敵人的各種攻擊。網(wǎng)御入侵防護(hù)系統(tǒng)就像九宮八陣中的風(fēng)揚(yáng)陣一樣利用狀態(tài)檢測(cè)、應(yīng)用層完全分析、誤用檢測(cè)、異常檢測(cè)、網(wǎng)絡(luò)審計(jì)等多種檢測(cè)與分析技術(shù)力克網(wǎng)絡(luò)中的各種攻擊行為保障網(wǎng)絡(luò)安全，同時(shí)結(jié)合產(chǎn)品特點(diǎn)提出了適合不同用戶需求的“外防內(nèi)控”、“流量?jī)艋?rdquo;、“流量?jī)?yōu)化”等多種安全解決方案。

“內(nèi)外兼修”構(gòu)筑和諧網(wǎng)絡(luò)環(huán)境

一、當(dāng)前網(wǎng)絡(luò)面臨的安全威脅

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展壯大，網(wǎng)絡(luò)的規(guī)模和節(jié)點(diǎn)數(shù)量也在不斷擴(kuò)大，用戶所面臨的網(wǎng)絡(luò)安全威脅也隨著網(wǎng)絡(luò)的發(fā)展陡然增加，那么網(wǎng)絡(luò)中主要存在哪些安全威脅？

圖：網(wǎng)絡(luò)面臨的安全威脅

u攻擊威脅

網(wǎng)絡(luò)攻擊行為包括：黑客入侵、網(wǎng)絡(luò)木馬、網(wǎng)絡(luò)掃描、拒絕服務(wù)攻擊等，網(wǎng)絡(luò)攻擊可能造成多種嚴(yán)重的安全事件，如：信息泄露、應(yīng)用和服務(wù)器系統(tǒng)癱瘓等。

u病毒威脅

病毒是一種可以通過(guò)互聯(lián)網(wǎng)、Email和網(wǎng)絡(luò)文件共享等多種方式傳播惡意攻擊手段，用戶一旦遭受網(wǎng)絡(luò)病毒，可能造成網(wǎng)絡(luò)擁塞，甚至中斷的嚴(yán)重后果。

u漏洞威脅

操作系統(tǒng)、應(yīng)用服務(wù)、應(yīng)用程序和郵件系統(tǒng)的安全漏洞，可能會(huì)給網(wǎng)絡(luò)攻擊者留下后門。

u內(nèi)部威脅

據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，70%以上的攻擊事件來(lái)自于網(wǎng)絡(luò)內(nèi)部。

當(dāng)用戶面對(duì)上述安全威脅時(shí)，就會(huì)產(chǎn)生如下疑慮：

1)怎樣才能實(shí)時(shí)發(fā)現(xiàn)并阻斷網(wǎng)絡(luò)攻擊？

2)怎么才能有效阻止病毒的傳播？

3)如何保證系統(tǒng)漏洞不被攻擊者利用？

4)如何進(jìn)行合理的IT安全內(nèi)控？

二、怎么防御安全威脅？

傳統(tǒng)的安全產(chǎn)品（防火墻，入侵檢測(cè)系統(tǒng)）由于自身的局限性在面對(duì)網(wǎng)絡(luò)內(nèi)外的安全威脅時(shí)顯得束手無(wú)策。防火墻工作在網(wǎng)絡(luò)層采用包過(guò)濾技術(shù)進(jìn)行網(wǎng)絡(luò)層的訪問(wèn)控制（基于IP地址、端口等），防火墻無(wú)法檢測(cè)和防御普通流量中的網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞及網(wǎng)絡(luò)病毒等安全威脅，針對(duì)網(wǎng)絡(luò)內(nèi)部的合法用戶的安全威脅，防火墻也無(wú)法完成實(shí)時(shí)的檢測(cè)和阻斷；入侵檢測(cè)系統(tǒng)通過(guò)旁路方式部署在網(wǎng)絡(luò)中，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行實(shí)時(shí)的檢測(cè)與分析，將網(wǎng)絡(luò)中存在的各種安全風(fēng)險(xiǎn)事件通知網(wǎng)絡(luò)管理員，入侵檢測(cè)系統(tǒng)旁路的部署方式?jīng)Q定了其只能實(shí)時(shí)檢測(cè)安全威脅但無(wú)法實(shí)時(shí)的阻斷威脅行為。

綜上所述，只有采用基于主動(dòng)防御技術(shù)的入侵防護(hù)產(chǎn)品——IPS才能解決用戶的這些安全問(wèn)題。

入侵防護(hù)系統(tǒng)通過(guò)串接方式部署在網(wǎng)絡(luò)中，采用多種威脅檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)中的各種威脅行為進(jìn)行實(shí)時(shí)檢測(cè)和阻斷。

u模式匹配技術(shù)

模式匹配是一種傳統(tǒng)識(shí)別攻擊的檢測(cè)技術(shù)，就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，來(lái)發(fā)現(xiàn)違背安全策略的入侵行為。IPS通過(guò)串接方式部署在網(wǎng)絡(luò)中，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)報(bào)文，發(fā)現(xiàn)攻擊，實(shí)時(shí)阻斷。

模式匹配技術(shù)針對(duì)網(wǎng)絡(luò)攻擊、漏洞威脅等攻擊行為可起到很好的抵御效果。

u異常檢測(cè)技術(shù)

異常檢測(cè)是一種基于行為的檢測(cè)技術(shù)，首先IPS會(huì)給每個(gè)網(wǎng)絡(luò)對(duì)象(用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)屬性域值，包括網(wǎng)絡(luò)正常使用時(shí)的所有行為屬性，如報(bào)文頻率、訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等，通過(guò)行為屬性的域值來(lái)辨別行為是否異常。

異常檢測(cè)技術(shù)可針對(duì)口令探測(cè)、網(wǎng)絡(luò)掃描、DDOS攻擊等攻擊行為起到很好的抵御效果。

u病毒檢測(cè)技術(shù)

病毒檢測(cè)技術(shù)主要有特征碼檢測(cè)、校驗(yàn)和計(jì)算、行為檢測(cè)等多種檢測(cè)方法。目前國(guó)內(nèi)外主流的IPS廠商一般通過(guò)自主開發(fā)或者與第三方防毒廠商合作實(shí)現(xiàn)IPS病毒防御功能。

病毒檢測(cè)技術(shù)可實(shí)時(shí)檢測(cè)和阻斷各種類型的網(wǎng)絡(luò)病毒。

uIT安全內(nèi)控技術(shù)

面對(duì)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)應(yīng)用，IPS通過(guò)對(duì)各種應(yīng)用行為的識(shí)別、分析，具備綠色上網(wǎng)、

應(yīng)用識(shí)別與控制、帶寬限流、惡意站點(diǎn)檢查等功能，可以合理管控內(nèi)網(wǎng)應(yīng)用。

IT安全內(nèi)控是解決內(nèi)部安全威脅的有效解決方案。

u云防御技術(shù)

以云計(jì)算為框架，以云防御服務(wù)器為中心，以部署在云端的各種安全設(shè)備為節(jié)點(diǎn)，實(shí)現(xiàn)

主動(dòng)云防御和云清洗。

云防御技術(shù)可實(shí)現(xiàn)病毒庫(kù)、攻擊特征庫(kù)、惡意站點(diǎn)庫(kù)等攻擊特征庫(kù)實(shí)時(shí)同步到云內(nèi)所有安全設(shè)備中，實(shí)現(xiàn)實(shí)時(shí)檢測(cè)、實(shí)時(shí)響應(yīng)。#p#

三、如何選擇入侵防護(hù)系統(tǒng)

針對(duì)用戶的實(shí)際需求，國(guó)內(nèi)外各主流安全廠商開始投入大批研發(fā)力量開始研制基于主動(dòng)防御技術(shù)的入侵防護(hù)系統(tǒng)，IPS一度成為網(wǎng)絡(luò)安全業(yè)內(nèi)比較熱門的話題，IPS產(chǎn)品的面世也得到了用戶的廣泛關(guān)注。一款優(yōu)秀的入侵防護(hù)系統(tǒng)應(yīng)具備以下幾大關(guān)鍵指標(biāo)：

u產(chǎn)品性能

性能保障是一切網(wǎng)絡(luò)和安全設(shè)備的基石，對(duì)于IPS產(chǎn)品同樣非常重要，如果性能無(wú)法得到保障，IPS將會(huì)成為網(wǎng)絡(luò)中潛在的網(wǎng)絡(luò)瓶頸，不僅會(huì)增加網(wǎng)絡(luò)延時(shí)，而且會(huì)降低網(wǎng)絡(luò)的效率。傳統(tǒng)的入侵防護(hù)系統(tǒng)大多基于單核系統(tǒng)開發(fā)，受限于硬件發(fā)展的瓶頸，基于單核的硬件架構(gòu)難以滿足日益增長(zhǎng)的網(wǎng)絡(luò)性能要求，由于單核系統(tǒng)處理能力的不足，面對(duì)未來(lái)數(shù)千兆或者更大容量的網(wǎng)絡(luò)流量，對(duì)于安全廠商仍然是個(gè)極大的挑戰(zhàn)。

u誤報(bào)率

事件檢測(cè)的成功率是IPS實(shí)際應(yīng)用價(jià)值的核心，IPS的部署方式（串接部署）決定了一旦設(shè)備出現(xiàn)誤報(bào)，勢(shì)必會(huì)對(duì)正常的網(wǎng)絡(luò)應(yīng)用產(chǎn)生較大影響。因此，如何有效降低誤報(bào)率，將是IPS廠商面臨的最嚴(yán)峻的考驗(yàn)。

u攻擊事件庫(kù)

IPS一直依賴于攻擊事件庫(kù)來(lái)檢測(cè)網(wǎng)絡(luò)攻擊行為。跟蹤新型的網(wǎng)絡(luò)攻擊、實(shí)時(shí)的攻擊事件分析、及時(shí)更新攻擊事件庫(kù)，是檢驗(yàn)一個(gè)安全廠商綜合技術(shù)實(shí)力的標(biāo)準(zhǔn)。如何才能及時(shí)捕獲新型的網(wǎng)絡(luò)攻擊，是給所有IPS廠商提出的最現(xiàn)實(shí)的挑戰(zhàn)。

u如何適應(yīng)未來(lái)網(wǎng)絡(luò)的發(fā)展

隨著 IPv4 地址日漸枯竭，IPv6網(wǎng)絡(luò)的應(yīng)用需求也日益迫近。如何滿足未來(lái) IPv6 網(wǎng)絡(luò)上的安全防護(hù)需求，是帶給所有安全廠商的又一新的課題。

u廠商的綜合實(shí)力

安全廠商的綜合實(shí)力集中體現(xiàn)在廠商技術(shù)實(shí)力和廠商所獲得的相關(guān)資質(zhì)兩個(gè)方面，廠商的綜合實(shí)力標(biāo)志著安全廠商是否在行業(yè)內(nèi)具有領(lǐng)導(dǎo)者的地位。安全廠商的技術(shù)實(shí)力主要體現(xiàn)在知識(shí)產(chǎn)權(quán)、技術(shù)專利、承擔(dān)國(guó)家重大科技項(xiàng)目等方面；安全廠商獲得的資質(zhì)主要體現(xiàn)在系統(tǒng)集成資質(zhì)、安全服務(wù)資質(zhì)、產(chǎn)品資質(zhì)等方面。

四、網(wǎng)御入侵防護(hù)系統(tǒng)解決方案

網(wǎng)御自2001年開始投入入侵檢測(cè)類產(chǎn)品的研發(fā)，并在2004年推出專業(yè)入侵檢測(cè)系統(tǒng)。憑借在網(wǎng)關(guān)流處理技術(shù)、入侵檢測(cè)技術(shù)、應(yīng)用分析技術(shù)等方面的深厚積累，在2007年傾力推出業(yè)內(nèi)首款“內(nèi)外兼修”的入侵防護(hù)系統(tǒng)（IPS）；同時(shí)，網(wǎng)御在硬件架構(gòu)設(shè)計(jì)上也不斷突破，先后推出了基于ASIC架構(gòu)和基于MIPS多核架構(gòu)的硬件平臺(tái)。這一系列技術(shù)成果的推出奠定了網(wǎng)御在專業(yè)安全廠商中的領(lǐng)航者地位。

u多種架構(gòu)設(shè)計(jì)實(shí)現(xiàn)性能的重大突破

為滿足不同用戶的實(shí)際需求，網(wǎng)御研發(fā)團(tuán)隊(duì)經(jīng)過(guò)多年的研發(fā)努力和技術(shù)創(chuàng)新設(shè)計(jì)出多種硬件架構(gòu)平臺(tái)，其中包括：基于X86架構(gòu)的安全平臺(tái)、基于ASIC架構(gòu)的安全平臺(tái)以及基于MIPS多核架構(gòu)的安全平臺(tái)。采用X86架構(gòu)的安全平臺(tái)，可滿足中、小規(guī)模用戶的性能要求；采用ASIC架構(gòu)的安全平臺(tái)在小包轉(zhuǎn)發(fā)速率上實(shí)現(xiàn)了重大突破,可滿足大規(guī)模用戶的性能要求；基于MIPS多核架構(gòu)的安全平臺(tái)對(duì)于每秒新建和并發(fā)聯(lián)接等性能指標(biāo)實(shí)現(xiàn)技術(shù)突破，充分滿足的電信運(yùn)營(yíng)商級(jí)別用戶的性能要求。

面對(duì)未來(lái)網(wǎng)絡(luò)發(fā)展的需要，基于MIPS多核處理器的安全產(chǎn)品將逐步成為安全領(lǐng)域主流產(chǎn)品，這種安全產(chǎn)品通過(guò)采用多核處理器中的一整套CPU的并行工作來(lái)獲得更高的性能，MIPS多核架構(gòu)可以構(gòu)建具有并行處理能力的新型平臺(tái)。

基于MIPS多核架構(gòu)的入侵防護(hù)系統(tǒng)可解決業(yè)務(wù)處理與數(shù)據(jù)處理相互干擾的問(wèn)題，將入侵防護(hù)的業(yè)務(wù)處理放在控制平面，數(shù)據(jù)處理放在數(shù)據(jù)平面。例如，入侵防護(hù)相關(guān)配置的處理就在控制平面運(yùn)行，而報(bào)文的解碼、比對(duì)則在數(shù)據(jù)平面進(jìn)行，相互之間互不影響。更為靈活的是控制平面、數(shù)據(jù)平面可以根據(jù)需要來(lái)分配Core的個(gè)數(shù)，如下圖所示，控制平面可以分配1個(gè)Core，數(shù)據(jù)平面可以分配n個(gè)Core。

綜上所述，實(shí)現(xiàn)各平臺(tái)分離的好處在于，控制平面和數(shù)據(jù)平面即有共享的資源以供交互，也有自己獨(dú)立的資源可以調(diào)度，不會(huì)相互影響，其靈活性、以及性能都有很大的提升。

圖：數(shù)據(jù)處理多核資源分配圖

圖：多核架構(gòu)內(nèi)部模型

u基于云計(jì)算的動(dòng)態(tài)策略調(diào)整降低誤報(bào)率

目前，網(wǎng)御已經(jīng)正式加入云安全聯(lián)盟（CSA--- Cloud Security Alliance），并成為云安全聯(lián)盟合作伙伴。網(wǎng)御提出的主動(dòng)云防御技術(shù)，可實(shí)現(xiàn)攻擊事件庫(kù)的動(dòng)態(tài)更新以及安全策略的動(dòng)態(tài)調(diào)整，有效地降低誤報(bào)率。

網(wǎng)御主動(dòng)云防御系統(tǒng)主要包含3個(gè)部分：安全防護(hù)集群、安全檢測(cè)集群、主動(dòng)云防御服務(wù)器。安全防護(hù)集群由連接到主動(dòng)云防護(hù)系統(tǒng)中的所有安全設(shè)備組成，負(fù)責(zé)從服務(wù)器下載并執(zhí)行安全防護(hù)列表；安全檢測(cè)集群主要由分布式部署的UTM、IPS、AVG等設(shè)備和惡意網(wǎng)站探測(cè)服務(wù)器組成，負(fù)責(zé)實(shí)時(shí)檢測(cè)攻擊、病毒、木馬等惡意行為，并上傳到服務(wù)器，安全檢測(cè)集群中設(shè)備也可能屬于安全防護(hù)集群；主動(dòng)云防御服務(wù)器負(fù)責(zé)采集信息，并自動(dòng)驗(yàn)證、歸并為安全防護(hù)列表下發(fā)到安全防護(hù)集群。

圖：主動(dòng)云防御示意圖

u主動(dòng)出擊、防患未然---網(wǎng)御攻防實(shí)驗(yàn)室

優(yōu)秀的攻防技術(shù)團(tuán)隊(duì)是廠商綜合技術(shù)實(shí)力的體現(xiàn)。網(wǎng)御攻防實(shí)驗(yàn)室利用自身的研究成果，維護(hù)著網(wǎng)御數(shù)千條攻擊事件庫(kù)、千萬(wàn)級(jí)的惡意URL鏈接庫(kù)、數(shù)百種應(yīng)用特征庫(kù)，為網(wǎng)御安全產(chǎn)品提供了有力的技術(shù)支撐。

同時(shí)，網(wǎng)御已經(jīng)正式加入微軟安全響應(yīng)中心（Microsoft Security Response Center）發(fā)起的MAPP（Microsoft Active Protection Program）計(jì)劃，作為該計(jì)劃成員，網(wǎng)御可在微軟發(fā)布每月安全公告之前獲得微軟產(chǎn)品的詳細(xì)漏洞信息，為用戶提供更及時(shí)的安全防護(hù)。

網(wǎng)御攻防實(shí)驗(yàn)室發(fā)現(xiàn)的安全漏洞也被國(guó)家漏洞庫(kù)、國(guó)際CVE等權(quán)威機(jī)構(gòu)收錄。

u網(wǎng)御入侵防護(hù)系統(tǒng)全面支持IPV6

網(wǎng)御結(jié)合“下一代網(wǎng)絡(luò)安全架構(gòu)”設(shè)計(jì)理念，掌握眾多核心技術(shù)，引領(lǐng)IPv6時(shí)代的網(wǎng)絡(luò)安全。

網(wǎng)御IPS可支持各種IPv6 網(wǎng)絡(luò)環(huán)境中的安全檢測(cè)與防御功能。包括：支持IPv4/v6 雙協(xié)議棧網(wǎng)絡(luò)地址解析；支持針對(duì) IPv6 網(wǎng)絡(luò)中的數(shù)據(jù)包解析、碎片包重組等完整性檢查； 支持4-over-6 雙向通道檢查、支持IPv6 碎片表頭解碼、支持IPv6 路由檢查、支持IPv6 碎片重組、支持IPv6 表頭完整性檢查等。

u領(lǐng)先的、創(chuàng)新的、可信賴的網(wǎng)御

網(wǎng)御星云自1999年進(jìn)入信息安全領(lǐng)域，擁有眾多核心技術(shù)，先后申請(qǐng)發(fā)明專利41項(xiàng)，實(shí)用新型專利7項(xiàng)，已授權(quán)各項(xiàng)專利24項(xiàng)，擁有各類產(chǎn)品軟件著作權(quán)25項(xiàng)，已自主研發(fā)了防火墻、VPN網(wǎng)絡(luò)密碼機(jī)、AV防病毒網(wǎng)關(guān)、IDS入侵檢測(cè)、UTM綜合安全網(wǎng)關(guān)、IPS入侵防護(hù)系統(tǒng)、SIS安全隔離網(wǎng)閘、SSL 安全接入網(wǎng)關(guān)、TAM異常流量管理、LM安全管理系統(tǒng)等11大類410余款產(chǎn)品

自公司成立以來(lái)，網(wǎng)御獲得了多項(xiàng)國(guó)家、部級(jí)資質(zhì)，是信息安全行業(yè)中資質(zhì)等級(jí)最高、資質(zhì)種類最全的公司（系統(tǒng)集成一級(jí)、安全服務(wù)二級(jí)），這也充分反映了網(wǎng)御星云在信息安全領(lǐng)域的技術(shù)實(shí)力和企業(yè)的綜合實(shí)力。

網(wǎng)御憑借在防火墻、入侵檢測(cè)、應(yīng)用分析等方面的深厚積累，結(jié)合市場(chǎng)需求不斷創(chuàng)新，在系統(tǒng)安全性方面推出了基于VSP通用安全平臺(tái)和USE統(tǒng)一安全引擎；在性能優(yōu)化方面先后推出了基于AISC架構(gòu)的小包線速轉(zhuǎn)發(fā)平臺(tái)和基于MIPS多核架構(gòu)海量并發(fā)處理平臺(tái)；在產(chǎn)品功能方面傾力打造出了業(yè)內(nèi)首款的“內(nèi)外兼修”入侵防護(hù)系統(tǒng)。

網(wǎng)御IPS綜合采用會(huì)話狀態(tài)檢測(cè)、應(yīng)用層完全分析、誤用檢測(cè)、異常檢測(cè)、網(wǎng)絡(luò)審計(jì)等分析與檢測(cè)技術(shù)，實(shí)現(xiàn)了“入侵檢測(cè)與實(shí)時(shí)阻斷、應(yīng)用層訪問(wèn)控制、綠色上網(wǎng)管理、帶寬管理”等核心功能，配合實(shí)時(shí)更新的入侵攻擊特征庫(kù)，做到了對(duì)網(wǎng)絡(luò)數(shù)據(jù)流從高效阻止非法行為（凈化）到按需限制合法行為（優(yōu)化）的全面管理。