《A系列：入侵防御(IPS)》课件.pptx

A A系列：入侵防御（系列：入侵防御（IPSIPS）什么是IPS22022/6/5应用层传输层Internet层网络访问层防火墙入侵检测入侵防御可以检测扫描器、webshell木马上传、SQL注入攻击、网络攻击、已知漏洞防护、远程管理审计等TCP/IP参考模型产品历史沿革产品及市场起步阶段 2003年，McAfee、TippingPoint、CISCO、Juniper相继推出成熟IPS产品 同年Gartner“IDS已死”为IPS铺路 2006年始，国内厂商相继发布IPS 在与IDS、UTM的争论中，国内IPS独立市场形成并高速增长 2000年，第一款IPS产品问世 IPS出现是为扩展FW防御能力发展阶段成熟阶段20002002200320052006至今 2011年，Gartner定义了NGIPS 专业化威胁防御是IPS产品区别于NGFW、UTM等产品并独立发展的重要特征产品功能定位-深层防御，精确阻断工作原理 ：串行部署于网络关键路径，对深层攻击行为进行精确识别和实时阻断，主动而有效的保护网络安全关键价值 ：具备对已知、未知威胁的精确检测能力，执行实时高效的自动化威胁防御，简单而有效的保护用户网络及业务免受深层威胁的侵害。

Y旁路部署旁路部署深层分析深层分析IDSIDS部署部署低层分析低层分析FWFWNNY入侵及威胁入侵及威胁入侵及威胁入侵及威胁无连接攻击无连接攻击深层攻击深层攻击部署部署深层分析深层分析IPSIPS产品功能定位IPS与IDSIPS追求精确阻断，IDS追求有有效呈现IDS呈现的事件 IPS精确阻断的事件IDS需要全面有效呈现，IPS需要精确阻断内网内网内网内网IPSIPS精确阻断事件精确阻断事件精确阻断事件精确阻断事件IDSIDS有效有效有效有效呈现呈现呈现呈现InternetInternet办公网办公网办公网办公网产品功能定位IPS与UTM、NGFWUTM、NGFW：IPS作为附属模块，虽然具备较完善的功能，无论是威胁防御能力，还是处理效能都无法跟专业IPS相比，适合对威胁防御需求不高的用户VS专业单反相机专业单反相机2400万像素的Nikon D800E具备拍照功能的具备拍照功能的4100万像素的Nokia 1020IPS：像单反相机以画质为核心一样，IPS以威胁防御为核心，从精确检测、防护及执行性能方面将该能力发挥到极致，面向对威胁防御有专业需求的用户VSA系列：入侵防御（IPS）核心功能灵活高效的安全策略灵活高效的安全策略灵活高效的安全策略灵活高效的安全策略 基于严格的状态检测，高安全性基于严格的状态检测，高安全性 以流为对象，安全策略为核心以流为对象，安全策略为核心 完善的访问控制措施结合应用层完善的访问控制措施结合应用层防护动作保障阻断效果防护动作保障阻断效果 支持及旁路部署支持及旁路部署领先的威胁防御能力领先的威胁防御能力领先的威胁防御能力领先的威胁防御能力 高级威胁检测与防御高级威胁检测与防御 超过超过35003500条条IPSIPS事件库事件库 业界领先的威胁响应能力业界领先的威胁响应能力 最准确的最准确的SQL/XSSSQL/XSS防护能力防护能力 自定义特征扩展防御能力自定义特征扩展防御能力高效网关防病毒高效网关防病毒高效网关防病毒高效网关防病毒 流模式和全面模式的病毒扫描流模式和全面模式的病毒扫描 双引擎超过双引擎超过100100万条病毒库万条病毒库 FTP/HTTP/SMTP/POP3/IMAPFTP/HTTP/SMTP/POP3/IMAP 网页病毒信息替换网页病毒信息替换 邮件告警邮件告警全面内容过滤全面内容过滤全面内容过滤全面内容过滤 IMIM与与P2PP2P控制控制 流媒体控制流媒体控制 股票软件和网络游戏股票软件和网络游戏 网页内容过滤网页内容过滤 业界领先业界领先URLURL过滤功能过滤功能高可用性高可用性高可用性高可用性HAHA A-SA-S双机热备和双机热备和A-AA-A负载分担负载分担 自动链路探测自动链路探测 配置和状态的自动备份配置和状态的自动备份 秒内切换能力秒内切换能力 双配置文件、配置的备份和恢复双配置文件、配置的备份和恢复完备的管理能力完备的管理能力完备的管理能力完备的管理能力 专用数据处理中心专用数据处理中心 手工和自动报表手工和自动报表 支持支持SNMPSNMP，SYSLOGSYSLOG 基于设备组的集中管理中心基于设备组的集中管理中心天清NGIPS软件架构一体化检测引擎报报文文预预处处理理流流分分类类网络网络访问访问控制控制行为行为分析分析引擎引擎模式模式匹配匹配引擎引擎内容过滤处理引擎内容过滤处理引擎防病毒处理引擎防病毒处理引擎IPSIPS处理引擎处理引擎流流量量整整形形报报文文重重组组行为知识库行为知识库统一特征库统一特征库管理中心管理中心数据中心数据中心性能最优化设计，节约性能开销性能最优化设计，节约性能开销功能亮点领先的威胁防御能力推荐理由核心技术保障：近百CVE漏洞，81项相关专利，IPS国标制定单位之一专业安全团队，一流的响应速度：2014年率先防护IE0day完善的特征自定义功能扩展防御能力功能亮点管理以安全策略为核心推荐理由可针对不同数据流设置不同的应用层防御策略完善的数据流定义，精细化的应用层防御策略及动作管理配置简单，易于操作数据数据流流入接口入接口/ /安全域安全域出接口出接口/ /安全域安全域源地址对象源地址对象目的地址对象目的地址对象服务对象服务对象/ /端口端口时间对象时间对象匹配条件匹配条件重置重置通过通过防御动作防御动作应用层防护策略应用层防护策略入侵防御规则入侵防御规则防病毒规则防病毒规则内容过滤规则内容过滤规则带宽管理规则带宽管理规则日志规则日志规则丢弃丢弃丢弃会话丢弃会话阻断源地址阻断源地址功能亮点领先的网络防病毒技术推荐理由卡巴斯基，安天国外国内双引擎对各种病毒的检测能力：文件病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件，病毒库总计1000,000病毒类型根据危害程度划分为：流行库、高危库、普通库入侵防御同时加载防病毒功能，性能衰减小功能亮点完善的应用过滤功能推荐理由Web过滤：黑白名单、关键字、URL过滤、恶意内容过滤邮件过滤：可根据邮件SMTP命令、发件人、主题、附件、IP及邮件大小进行邮件过滤功能亮点精确的抗DoS攻击能力推荐理由采用特征控制和异常控制相结合的手段，有效保障抗拒绝服务攻击的准确性和全面性，阻断绝大多数的DoS攻击行为功能亮点强大且成熟应用的集中管理各种分析图表各种分析图表各种分析图表各种分析图表集中管理与数据分集中管理与数据分集中管理与数据分集中管理与数据分析中心界面析中心界面析中心界面析中心界面IPSIPS引擎管理界面引擎管理界面引擎管理界面引擎管理界面多多多多IPSIPS引擎集中拓扑化管理、配置管理、升级管理引擎集中拓扑化管理、配置管理、升级管理引擎集中拓扑化管理、配置管理、升级管理引擎集中拓扑化管理、配置管理、升级管理功能亮点高可用性保障推荐理由：A-S双机热备和A-A负载分担；自动链路探测；配置和状态的自动备份秒内切换能力；双配置文件、配置的备份和恢复硬件BYPASS保障 功能亮点高性能规格开启开启IPS+AV下下最高最高30G Throughput，6G GoodputNGIPS5000全系列可扩万兆口，最大支持全系列可扩万兆口，最大支持32千兆口千兆口高性能多核硬件高性能多核硬件一体化软件引擎一体化软件引擎NGIPS800系列具备双电源及光口型号系列具备双电源及光口型号天清NGIPS亮点总结深深层层防防御御精精确确阻阻断断精细化的精细化的安全策略管理安全策略管理高性能及扩展规格高性能及扩展规格8 8大亮点功能大亮点功能领先的威胁防御能力领先的威胁防御能力双核心网络防病毒双核心网络防病毒完善的应用过滤完善的应用过滤强大成熟的集中管理强大成熟的集中管理高可用性保障高可用性保障精确的抗精确的抗DoSDoS能力能力NGIPS特点专注核心能力提升18多维度多维度检测检测AV引擎特征检测URL信誉IP信誉网络异常行为检测恶意代码动态分析恶意代码静态检测恶意代码动态检测恶意代码检测方案网络异常行为检测方案通过虚拟执行技术通过虚拟执行技术检测恶意代码检测恶意代码通过通过shellcode特征特征检测恶意代码检测恶意代码通过虚拟执行技术通过虚拟执行技术分析恶意代码行为分析恶意代码行为恶意样本检测功能特点功能特点恶意样本检测不仅对已知漏洞攻击进行识别，更对未知漏洞攻击做识别。

支持HTTP、SMTP、POP3、IMAP、FTP协议的文件解析支持pdf,xls,ppt,doc,visio,rar,zip等大多数常用文件格式 恶意代码检测技术在APT攻击的样本传输阶段，有效发现攻击恶意代码行为特征检测静态仿真检测技术（SSE）策略匹配检测技术自定义YARA(一个知名的恶意软件识别和分类工具)规则与APT动态检测引擎（基于沙箱模拟环境）产品联动已知恶意木马病毒检测已知漏洞攻击样本检测产品实际应用政府行业（电子政务网）产品实际应用企业市场（大型企业）产品实际应用税务系统用户抵挡外部安全威胁最大限度的发挥天清IPS的应用层防护能力保障纳税业务可用性采用HA的部署结构，并采用链路健康状态作为主备切换条件，防护链路配备硬件bypass，最大限度确保网上办税业务的可用性产品实际应用银行用户应用效果：通过在各一级分行部署两台NIPS，启用HA主备模式，作为必要的互联网边界防护手段，以使得访问Internet的风险得到有效控制产品实际应用能源行业用户天清入侵防御系统跟原有防火墙配合，建立起边界27层的边界立体防御体系 天清入侵防御系统具备软、硬ByPass技术，能保证设备在出现软硬件故障时不中断链路数据的传输， 保障信息系统的可靠性及业务连续性 NGIPS产品部署透明模式透明模式外部网络L3 SwitchRouterNIPS可以方便的接入到网络，而且保持所有的网络设备配置完全不变，具有bypass功能此时NIPS类似网桥的工作方式，降低网络管理的复杂度仍然具备所有的安全功能NGIPS内部网络2022/6/526NGIPS设备登录通过浏览器登录WEB界面默认管理口：eth0/mgt默认管理用户：admin、adm、audit默认管理地址：https:/192.168.1.250useradminVenus.user用户管理员(不可创建删除)adminVenus.nips配置管理员AuditVenus.audit审计管理员透明模式配置网络管理接口透明桥新建配置检测对象、协议、服务检测对象包括时间对象、服务对象、地址对象时间对象分为绝对时间和周期时间服务对象分为预定义和自定义，并可配置成组地址对象分为地址节点、地址范围、子网，并可配置成组对象管理地址/时间/服务对象新建配置安全防护表入侵防御安全策略安全防护表新建配置安全策略入侵防御安全策略安全策略新建旁路模式外部网络L3 SwitchRouter内部网络NIPS可以方便的接入到网络而且不影响用户的网络此时NIPS类似IDS的功能此时发现攻击只能上报日志不能阻断。

NGIPS端口镜像端口镜像2022/6/532NGIPS产品部署混合部署透明+旁路重点业务网络L3 SwitchRouter业务网络NIPS可以方便的接入到网络而且不影响用户的网络，而且保持所有的网络设备配置完全不变此时NIPS类似IDS+IPS的功能NGIPS端口镜像端口镜像外部网络办公网络2022/6/533NGIPS产品部署。