入侵防禦系統

入侵防禦系統(IPS),屬於網路交換機的一個子項目,為有過濾攻擊功能的特種交換機。一般布於防火牆和外來網路的設備之間,依靠對數據包的檢測進行防禦(檢查入網的數據包,確定數據包的真正用途,然後決定是否允許其進入區域網路)

系統介紹

全球最佳的新一代IPS (NGIPS): HP TippingPoint

TippingPoint的主動式入侵防禦系統能夠阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟體、VOIP攻擊以及點到點套用濫用。通過深達第七層的流量偵測,TippingPoint的入侵防禦系統在發生損失之前阻斷惡意流量。利用TippingPoint提供的數字疫苗服務,入侵防禦系統能得到及時的特徵、漏洞過濾器、協定異常過濾器和統計異常過濾器更新從而主動地防禦最新的攻擊。此外,TippingPoint的入侵防禦系統是目前能夠提供微秒級時延、高達5G的吞吐能力和頻寬管理能力的最強大的入侵防禦系統。

通過全面的數據包偵測,TippingPoint的入侵防禦系統提供吉比特速率上的套用、網路架構和性能保護功能。套用保護能力針對來自內部和外部的攻擊提供快速、精準、可靠的防護。由於具有網路架構保護能力,TippingPoint的入侵防禦系統保護VOIP系統、路由器、交換機、DNS和其他網路基礎免遭惡意攻擊和防止流量異動。TippingPoint的入侵防禦系統的性能保護能力幫助客戶來遏制非關鍵業務搶奪寶貴的頻寬和IT資源,從而確保網路資源的合理配置並保證關鍵業務的性能。

入侵防禦系統 入侵防禦系統

TippingPoint 套用情境:


1、網路忽快忽慢,不知原因
2、經常ADlock,無法登入網域
3、防火牆常被塞爆
4、上微軟Patch(補丁)卻沒時間重開機
5、希望虛擬化環境中,提供IPS保護
6、希望管理上網行為

特點及規格


TippingPoint 基於 ASIC 入侵檢測防禦引擎

UnityOne 無可比擬的性能、穩定性和準確率都是透過 TippingPoint 的工程師和科學家所開發的專利技術發展出來的。這些優勢展現於 TippingPoint 的 TSE 威脅防禦引擎( Threat Suppression Engine )上。 UnityOne 是由最新型的網路處理器技術組成的一個高度專業化的硬體式入侵檢測防禦平台。 TippingPoint 擁有整套自行開發的 FPGA(Layer 7) 及Layer 4 (ASIC) 模組。 TSE(威脅防禦引擎 ) 是一個能實現所有入侵檢測防禦所需要的全部功能的硬體線速引擎,主要功能包括 IP 碎片重組、 TCP 流重組、攻擊行為統計分析、網路流量頻寬管理、惡意封包阻擋、流量狀態追蹤和超過 170 種的套用層網路通訊協定分析。

TSE 重組與檢測數據包的內容並分析至網路的套用層。當每一個新的數據包隨著數據流到達 TSE 時,就會重新檢測這個數據流是否含有有害的內容,如果實時檢測出這個數據包含有害內容,那么這個數據包以及隨後而來屬於這個數據流的數據包將會被阻擋。這樣可以正確地保證攻擊不會到達攻擊目的地。

這種領先的 IPS 技術只有結合高速的網路處理器及定製化的 ASIC 晶片才有可能實現。這種高度專業的流量分類技術可以使IPS 在具有千兆處理速度的同時處理延遲不到一微秒 (Latency under Microsecond) ,且具有高度的檢測和阻擋準確性。不像軟體式的或其它競爭對手宣稱擁有千兆處理速度的入侵防禦系統,其處理性能會受到 Filter 安裝多寡而受到嚴重的影響,同時處理延時卻高達數秒甚至數十秒之多。 UnityOne 具有高度擴充能力的硬體防護引擎可以允許上萬筆的 Filter 同時運行而不影響其性能與準確性。

UnityOne 運用 TSE 突破性的擴充性與高性能,實時偵測通訊協定異常與流量統計異常,防護 DDoS 攻擊以及阻擋或限制未經授權的應用程式的頻寬。

入侵防禦系統 入侵防禦系統

TippingPoint 三大入侵防禦功能

UnityOne 提供業界最完整的入侵偵測防禦功能,遠遠超出傳統 IPS 的能力。 TippingPoint 定義的三大入侵偵測防禦功能包括:應用程式防護、網路架構防護與性能保護。這三大功能可提供最強大且最完整的保護以防禦各種形式的網路攻擊行為,如:病毒、蠕蟲、拒絕服務攻擊與非法的入侵和訪問。

應用程式防護 -UnityOne 提供擴展至用戶端、伺服器、及第二至第七層的網路型攻擊防護,如:病毒、蠕蟲與木馬程式。利用深層檢測套用層數據包的技術, UnityOne 可以分辨出合法與有害的封包內容。最新型的攻擊可以透過偽裝成合法套用的技術,輕易的穿透防火牆。而 UnityOne 運用重組 TCP 流量以檢視套用層數據包內容的方式,以辨識合法與惡意的數據流。大部分的入侵防禦系統都是針對已知的攻擊進行防禦,然而 UnityOne 運用漏洞基礎的過濾機制,可以防範所有已知與未知形式的攻擊。

網路架構防護 - 路由器、交換器、 DNS 伺服器以及防火牆都是有可能被攻擊的網路設備,如果這些網路設備被攻擊導致停機,那么所有企業中的關鍵應用程式也會隨之停擺。而 UnityOne 的網路架構防護機制提供了一系列的網路漏洞過濾器以保護網路設備免於遭受攻擊。此外, UnityOne 也提供異常流量統計機制的過濾器,對於超過 ” 基準線 ” 的正常網路流量,可以針對其通訊協定或應用程式特性來進行警示、限制流量或阻絕流量等行動。如此一來可以預防 DDoS 及其它溢出式流量攻擊所造成的網路斷線或阻塞。

性能保護 - 是用來保護網路頻寬及主機性能,免於被非法的應用程式占用正常的網路性能。如果網路鏈路壅塞,那么重要的應用程式數據將無法在網路上傳輸。非商用的應用程式,如點對點文檔共享 (P2P) 套用 或實時通訊軟體 (IM) 將會快速的耗盡網路的頻寬,因此 UnityOne 提供頻寬保護 (Traffic / Rate Shaping) 的功能,協助企業仔細的辨識出非法使用的應用程式流量並降低或限制其頻寬的使用量。

入侵防禦系統 入侵防禦系統
入侵防禦系統 入侵防禦系統

TippingPoint 三大入侵偵測防禦機制

TippingPoint 的 UnityOne IPS 產品線可同時運作三個獨立但互補的入侵偵測防禦機制:弱點過濾器,攻擊特徵過濾器和流量異常過濾器。 TippingPoint 可以同時運作這三個機制的能力就是來自於這組特別開發的 ASIC 。

弱點過濾器 主要是保護作業系統與應用程式。這種過濾器行為就像是一種網路型的虛擬軟體補丁程式,保護主機免於遭受利用未修補的漏洞來進行的網路型攻擊。新的漏洞一旦發現開始被駭客攻擊利用,弱點過濾器就會被實時啟動,進行漏洞保護。這個過濾機制的運作模式是重組第七層的信息,從而可以完整地檢測套用層的流量。過濾規則可以指定特別的條件,如檢測應用程式的運作流程(如:緩衝區溢出的應用程式異常)或通訊協定的規範(如: RFC 異常)。

流量異常過濾器 是用來偵測在流量模式方面的變化。 這些過濾機制可以調整與學習 UnityOne 所在的特別環境中“正常流量 ” 的模式。一旦正常流量被設定為基準,這些過濾機制將依據可調整的門限閥值來偵測統計異常的網路流量。流量異常過濾機制可以有效的阻擋分散式的阻斷服務的攻擊 (DDOS) 、未知的蠕蟲、異常的應用程式流量與其它零時差閃電攻擊。此外 UnityOne 一個重要的特殊功能是可以依據應用程式的種類、通訊協定與 IP 進行最合適網路流量分配。

攻擊特徵過濾器 主要是針對不需要利用安全漏洞的攻擊方式,如病毒或木馬。這個過濾方式必須全盤了解已知攻擊的特徵,且可以偵測並製作出防禦的特徵資料庫。目前 TippingPoint 擁有一個專業團隊 7X24 全年無休地分析來自於全球的各種攻擊威脅,並與 SANS 、 CERT 、 SECURITEAM 等知名的信息安全團隊合作,在第一時間透過線上更新,讓全球每個角落的 UnityOne 配備最新的攻擊特徵資料庫。

TippingPoing 數字疫苗線上更新機制

蘇州眾里數碼會和HP在企業信息安全這塊一起努力。在每周提供 SANS漏洞分析的同時, TippingPoint 的安全團隊也同步製作出針對漏洞的過濾器資料庫並混入到數字疫苗( Digital Vaccines )中,數字疫苗不只針對特定的攻擊製作過濾器,還包括對變種攻擊與零時差閃電攻擊進行阻擋。為了擁有最大的安全涵蓋範圍,數字疫苗除了每周定時線上更新過濾器資料庫外,並隨時對有嚴重威脅的漏洞或攻擊生成新的過濾器,數字疫苗也會自動地部署新的過濾器至全球的 UnityOne IPS 上。

為了防禦最新的弱點與攻擊,最新的過濾器會持續的更新至 IPS 上。每一條過濾都可以被視為網路上的虛擬軟體補丁程式,以保護內部的主機免於被攻擊。任何企圖運用於特定漏洞的有害流量將會被實時偵測與阻擋。換句話說,這個方式就是運用一個虛擬的修丁程式來保護上千個未修補漏洞的系統。

TippingPoint 的安全專家是被世界公認的,全球超過二十五萬個安全管理者及專家都訂閱了 TippingPoint 所編輯的SAN @RISK 分析報告。相同的分析也運用到數字疫苗的開發上,優先製作出保護 TippingPoint 客戶的最佳過濾器。

TippingPoint 擁有最完整的可靠性機制

UnityOne 的設計理念是,無論是網路發生什麼故障、設備內部與系統發生什麼錯誤、甚至設備完全失去電源,保證網路永不斷線、並保證維持線速的運作。 UnityOne 運用系統內部備份機制與網路狀態備份機制,並相互補充的模式來確保最大的網路可用性。

入侵防禦系統 入侵防禦系統

UnityOne 有多種內建的備份機制:一、所有的設備都具有兩個相互備份,可熱插拔的電源適配器。二、看門狗計時器(watchdog timers )會持續的監控安全與管理引擎,一旦系統錯誤被偵測到, UnityOne 可以自動或手動的切換成 Layer 2的設備,確保網路不斷線。此外, TippingPoint 還提供了一個外接式電源適配器( Zero Power High Availability ),當整個機房或數據中心失去電源時,所有的流量會自動切換 (Power Bypass) 由這個設備運作。

相關詞條

相關搜尋

熱門詞條

聯絡我們