《A系列：入侵防御（IPS）》什么是IPS22023/6/5應(yīng)用層傳輸層Internet層網(wǎng)絡(luò)訪問層防火墻入侵檢測入侵防御可以檢測掃描器、webshell木馬上傳、SQL注入攻擊、網(wǎng)絡(luò)攻擊、已知漏洞防護(hù)、遠(yuǎn)程管理審計等TCP/IP參考模型產(chǎn)品歷史沿革—產(chǎn)品及市場起步階段2003年，McAfee、TippingPoint、CISCO、Juniper相繼推出成熟IPS產(chǎn)品

同年Gartner“IDS已死”為IPS鋪路

2006年始，國內(nèi)廠商相繼發(fā)布IPS

在與IDS、UTM的爭論中，國內(nèi)IPS獨(dú)立市場形成并高速增長

2000年，第一款I(lǐng)PS產(chǎn)品問世IPS出現(xiàn)是為擴(kuò)展FW防御能力發(fā)展階段成熟階段2000~20022003~20052006~至今

2011年，Gartner定義了NGIPS專業(yè)化威脅防御是IPS產(chǎn)品區(qū)別于NGFW、UTM等產(chǎn)品并獨(dú)立發(fā)展的重要特征產(chǎn)品功能定位-深層防御，精確阻斷工作原理：串行部署于網(wǎng)絡(luò)關(guān)鍵路徑，對深層攻擊行為進(jìn)行精確識別和實(shí)時阻斷，主動而有效的保護(hù)網(wǎng)絡(luò)安全。關(guān)鍵價值：具備對已知、未知威脅的精確檢測能力，執(zhí)行實(shí)時高效的自動化威脅防御，簡單而有效的保護(hù)用戶網(wǎng)絡(luò)及業(yè)務(wù)免受深層威脅的侵害。Y旁路部署深層分析IDS在線部署低層分析FWNNY入侵及威脅無連接攻擊深層攻擊……在線部署深層分析IPS產(chǎn)品功能定位—IPS與IDSIPS追求精確阻斷，IDS追求有有效呈現(xiàn)IDS呈現(xiàn)的事件≠IPS精確阻斷的事件IDS需要全面有效呈現(xiàn)，IPS需要精確阻斷內(nèi)網(wǎng)IPS精確阻斷事件IDS有效呈現(xiàn)Internet辦公網(wǎng)產(chǎn)品功能定位—IPS與UTM、NGFWUTM、NGFW：IPS作為附屬模塊，雖然具備較完善的功能，無論是威脅防御能力，還是處理效能都無法跟專業(yè)IPS相比，適合對威脅防御需求不高的用戶VS專業(yè)單反相機(jī)2400萬像素的NikonD800E具備拍照功能的手機(jī)4100萬像素的Nokia1020IPS：像單反相機(jī)以畫質(zhì)為核心一樣，IPS以威脅防御為核心，從精確檢測、在線防護(hù)及執(zhí)行性能方面將該能力發(fā)揮到極致，面向?qū)ν{防御有專業(yè)需求的用戶VS《A系列：入侵防御（IPS）》核心功能靈活高效的安全策略基于嚴(yán)格的狀態(tài)檢測，高安全性

以流為對象，安全策略為核心完善的訪問控制措施結(jié)合應(yīng)用層防護(hù)動作保障阻斷效果支持在線及旁路部署領(lǐng)先的威脅防御能力高級威脅檢測與防御

超過3500條IPS事件庫

業(yè)界領(lǐng)先的威脅響應(yīng)能力最準(zhǔn)確的SQL/XSS防護(hù)能力自定義特征擴(kuò)展防御能力高效網(wǎng)關(guān)防病毒流模式和全面模式的病毒掃描雙引擎超過100萬條病毒庫

FTP/HTTP/SMTP/POP3/IMAP網(wǎng)頁病毒信息替換郵件告警全面內(nèi)容過濾

IM與P2P控制

在線流媒體控制股票軟件和網(wǎng)絡(luò)游戲

網(wǎng)頁內(nèi)容過濾

業(yè)界領(lǐng)先URL過濾功能高可用性HA

A-S雙機(jī)熱備和A-A負(fù)載分擔(dān)

自動鏈路探測

配置和狀態(tài)的自動備份秒內(nèi)切換能力雙配置文件、配置的備份和恢復(fù)完備的管理能力專用數(shù)據(jù)處理中心手工和自動報表支持SNMP，SYSLOG基于設(shè)備組的集中管理中心天清NGIPS軟件架構(gòu)—一體化檢測引擎報文預(yù)處理流分類網(wǎng)絡(luò)訪問控制行為分析引擎模式匹配引擎內(nèi)容過濾處理引擎防病毒處理引擎IPS處理引擎流量整形報文重組行為知識庫統(tǒng)一特征庫管理中心數(shù)據(jù)中心性能最優(yōu)化設(shè)計，節(jié)約性能開銷功能亮點(diǎn)—領(lǐng)先的威脅防御能力推薦理由核心技術(shù)保障：近百CVE漏洞，81項(xiàng)相關(guān)專利，IPS國標(biāo)制定單位之一專業(yè)安全團(tuán)隊(duì)，一流的響應(yīng)速度：2014年率先防護(hù)IE0day完善的特征自定義功能擴(kuò)展防御能力功能亮點(diǎn)—管理以安全策略為核心推薦理由可針對不同數(shù)據(jù)流設(shè)置不同的應(yīng)用層防御策略完善的數(shù)據(jù)流定義，精細(xì)化的應(yīng)用層防御策略及動作管理配置簡單，易于操作數(shù)據(jù)流入接口/安全域出接口/安全域源地址對象目的地址對象服務(wù)對象/端口時間對象匹配條件重置通過防御動作應(yīng)用層防護(hù)策略入侵防御規(guī)則防病毒規(guī)則內(nèi)容過濾規(guī)則帶寬管理規(guī)則日志規(guī)則丟棄丟棄會話阻斷源地址功能亮點(diǎn)—領(lǐng)先的網(wǎng)絡(luò)防病毒技術(shù)推薦理由卡巴斯基，安天國外國內(nèi)雙引擎對各種病毒的檢測能力：文件病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫總計＞1000,000病毒類型根據(jù)危害程度劃分為：流行庫、高危庫、普通庫入侵防御同時加載防病毒功能，性能衰減小功能亮點(diǎn)—完善的應(yīng)用過濾功能推薦理由Web過濾：黑白名單、關(guān)鍵字、URL過濾、惡意內(nèi)容過濾郵件過濾：可根據(jù)郵件SMTP命令、發(fā)件人、主題、附件、IP及郵件大小進(jìn)行郵件過濾功能亮點(diǎn)—精確的抗DoS攻擊能力推薦理由采用特征控制和異?？刂葡嘟Y(jié)合的手段，有效保障抗拒絕服務(wù)攻擊的準(zhǔn)確性和全面性，阻斷絕大多數(shù)的DoS攻擊行為功能亮點(diǎn)—強(qiáng)大且成熟應(yīng)用的集中管理各種分析圖表集中管理與數(shù)據(jù)分析中心界面IPS引擎管理界面多IPS引擎集中拓?fù)浠芾?、配置管理、升級管理功能亮點(diǎn)—高可用性保障推薦理由：A-S雙機(jī)熱備和A-A負(fù)載分擔(dān)；自動鏈路探測；配置和狀態(tài)的自動備份秒內(nèi)切換能力；雙配置文件、配置的備份和恢復(fù)硬件BYPASS保障

功能亮點(diǎn)—高性能規(guī)格開啟IPS+AV下最高30GThroughput，6GGoodputNGIPS5000全系列可擴(kuò)萬兆口，最大支持32千兆口高性能多核硬件一體化軟件引擎NGIPS800系列具備雙電源及光口型號天清NGIPS亮點(diǎn)總結(jié)深層防御精確阻斷精細(xì)化的安全策略管理高性能及擴(kuò)展規(guī)格8大亮點(diǎn)功能領(lǐng)先的威脅防御能力雙核心網(wǎng)絡(luò)防病毒完善的應(yīng)用過濾強(qiáng)大成熟的集中管理高可用性保障精確的抗DoS能力NGIPS特點(diǎn)—專注核心能力提升18多維度檢測AV引擎特征檢測URL信譽(yù)IP信譽(yù)網(wǎng)絡(luò)異常行為檢測惡意代碼動態(tài)分析惡意代碼靜態(tài)檢測惡意代碼動態(tài)檢測惡意代碼檢測方案網(wǎng)絡(luò)異常行為檢測方案通過虛擬執(zhí)行技術(shù)檢測惡意代碼通過shellcode特征檢測惡意代碼通過虛擬執(zhí)行技術(shù)分析惡意代碼行為惡意樣本檢測功能特點(diǎn)惡意樣本檢測不僅對已知漏洞攻擊進(jìn)行識別，更對未知漏洞攻擊做識別。支持HTTP、SMTP、POP3、IMAP、FTP協(xié)議的文件解析支持pdf,xls,ppt,doc,visio,rar,zip等大多數(shù)常用文件格式惡意代碼檢測技術(shù)在APT攻擊的樣本傳輸階段，有效發(fā)現(xiàn)攻擊惡意代碼行為特征檢測靜態(tài)仿真檢測技術(shù)（SSE）策略匹配檢測技術(shù)自定義YARA(一個知名的惡意軟件識別和分類工具)規(guī)則與APT動態(tài)檢測引擎（基于沙箱模擬環(huán)境）產(chǎn)品聯(lián)動已知惡意木馬病毒檢測已知漏洞攻擊樣本檢測產(chǎn)品實(shí)際應(yīng)用—政府行業(yè)（電子政務(wù)網(wǎng)）產(chǎn)品實(shí)際應(yīng)用—企業(yè)市場（大型企業(yè)）產(chǎn)品實(shí)際應(yīng)用—稅務(wù)系統(tǒng)用戶抵擋外部安全威脅最大限度的發(fā)揮天清IPS的應(yīng)用層防護(hù)能力保障納稅業(yè)務(wù)可用性采用HA的部署結(jié)構(gòu)，并采用鏈路健康狀態(tài)作為主備切換條件，防護(hù)鏈路配備硬件bypass，最大限度確保網(wǎng)上辦稅業(yè)務(wù)的可用性。產(chǎn)品實(shí)際應(yīng)用—銀行用戶應(yīng)用效果：通過在各一級分行部署兩臺NIPS，啟用HA主備模式，作為必要的互聯(lián)網(wǎng)邊界防護(hù)手段，以使得訪問Internet的風(fēng)險得到有效控制。產(chǎn)品實(shí)際應(yīng)用—能源行業(yè)用戶天清入侵防御系統(tǒng)跟原有防火墻配合，建立起邊界2~7層的邊界立體防御體系天清入侵防御系統(tǒng)具備軟、硬ByPass技術(shù)，能保證設(shè)備在出現(xiàn)軟硬件故障時不中斷鏈路數(shù)據(jù)的傳輸，保障信息系統(tǒng)的可靠性及業(yè)務(wù)連續(xù)性NGIPS產(chǎn)品部署透明模式外部網(wǎng)絡(luò)L3SwitchRouterNIPS可以方便的接入到網(wǎng)絡(luò)，而且保持所有的網(wǎng)絡(luò)設(shè)備配置完全不變，具有bypass功能此時NIPS類似網(wǎng)橋的工作方式，降低網(wǎng)絡(luò)管理的復(fù)雜度仍然具備所有的安全功能NGIPS內(nèi)部網(wǎng)絡(luò)2023/6/526NGIPS設(shè)備登錄通過瀏覽器登錄WEB界面默認(rèn)管理口：eth0/mgt默認(rèn)管理用戶：admin、adm、audit默認(rèn)管理地址：50useradminVenus.user用戶管理員(不可創(chuàng)建刪除)adminVenus.nips配置管理員AuditVenus.audit審計管理員透明模式配置網(wǎng)絡(luò)管理－接口－透明橋－新建配置檢測對象、協(xié)議、服務(wù)檢測對象包括時間對象、服務(wù)對象、地址對象時間對象分為絕對時間和周期時間服務(wù)對象分為預(yù)定義和自定義，并可配置成組地址對象分為地址節(jié)點(diǎn)、地址范圍、子網(wǎng)，并可配置成組對象管理－地址/時間/服務(wù)對象－新建配置安全防護(hù)表入侵防御－安全策略－安全防護(hù)表－新建配置安全策略入侵防御－安全策略－安全策略－新建旁路模式外部網(wǎng)絡(luò)L3SwitchRouter內(nèi)部網(wǎng)絡(luò)NIPS可以方便的接入到網(wǎng)絡(luò)而且不影響用戶的網(wǎng)絡(luò)此時NIPS