天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。

同时，大量的网络资源滥用充斥在整个网络通路上，各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗，影响企业正常业务系统运行。

能否主动发现并防御这些网络攻击，规范终端的网络行为，保护企业的信息化资产，保障企业业务系统的正常运行，是企业要面临的重要问题。

2网络入侵防御系概况网络入侵防御系统，简称IDP（Intrusion Detection and Prevention System ），是串联在计算机网络中可对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的安全设备；入侵防御系统主要是对应用层的数据流进行深度分析，动态地保护来自内部和外部网络攻击行为的网关设备。

必须同时具备以下功能●深层检测(deep packet inspection)●串连模式(in-line mode)●即时侦测(real-time detection)●主动防御(proactive prevention)●线速运行(wire-line speed)2.1 入侵防御系统与防火墙入侵防御系统和防火墙是两种完全独立的安全网关设备。

从两个产品关注的安全范围来看，防火墙更多的是进行细粒度的访问控制，同时还提供网络地址转换、应用服务代理和身份准入控制等功能；入侵防御系统则重点关注网络攻击行为，尤其是对应用层协议进行分析，并主动阻断攻击行为。

防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。

而入侵防护系统 (IPS) 则倾向于提供主动防护，是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。

在实际部署上，企业可以根据网络环境，充分发挥防火墙和IPS各自的技术优势，进行混合部署。

2.2 入侵防御系统与入侵检测入侵检测系统以旁路方式部署，被动监听网络上所有实时传输数据。

虽然很多IDS设备可以和防火墙进行策略联动，在IDS发现攻击行为后，通知防火墙生成阻断规则或者以TCP Reset方式对攻击行为进行防护，但这些方式都存在滞后性。

IDS更多情况下，是为用户提供全面的信息展现，为改善用户网络的风险控制环境提供决策依据，同时对网络中所发生的攻击事件进行事后审计。

入侵防御系统以在线方式部署，实时分析链路上的传输数据，对隐藏在其中的攻击行为进行阻断，专注的是深层防御、主动阻断。

3天融信网络入侵防御系统TopIDP3.1 产品概述天融信公司的网络入侵防御系统（以下简称TopIDP产品）采用在线部署方式，能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为，有效保护用户网络IT服务资源，使其免受各种外部攻击侵扰。

TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为，确保网络业务通畅。

TopIDP产品还提供了详尽的攻击事件记录、各种统计报表，并以可视化方式动态展示，实现实时的全网威胁分析。

TopIDP产品全系列采用多核处理器硬件平台，基于先进的新一代并行处理技术架构，内置处理器动态负载均衡专利技术，实现了对网络数据流的高性能实时检测和防御。

TopIDP 产品采用基于目标主机的流检测引擎，可即时处理IP分片和TCP流重组，有效阻断各种逃逸检测的攻击手段。

天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作，不断跟踪、挖掘和分析新出现的各种漏洞信息，并将研究成果直接应用于产品，保障了TopIDP产品检测的全面、准确和及时有效。

TopIDP产品除入侵防御功能外，还具有智能协议识别、P2P流量控制、网络病毒防御、上网行为管理、恶意网站过滤、内网监控和web安全防御等功能，是集多种功能为一体的综合性内容安全设备，为用户提供了完整的立体式网络安全防护。

与市场上同类入侵防御产品相比，TopIDP产品具有更高的检测性能、更精准的检测能力、更细的控制粒度、更丰富的安全功能、更完善的支持和服务保障，体现了最新的内容安全设备和解决方案发展方向，是用户构筑网络内容安全系统的理想选择。

3.2 TopIDP体系架构天融信网络入侵防御产品TopIDP采用的是基于独创专利技术（专利号：200810241123.9）打造的SmartAMP架构。

这种架构将多个处理器内核区别看待，一类运行完整的系统和相对复杂的任务，另一类在其上建立一种“洁净”的系统环境（有时候直接叫做“裸核”环境），在这个环境中，没有内核之间的IPI通信开销，也没有任务调度和中断，只运行单一任务（如收发数据、模式匹配等），因此获得了极高的性能。

TopIDP产品包括三个主要组件：入侵防御引擎、集中管理器和升级站点●入侵防御引擎(Protect Engine)入侵防御引擎用于检测网络中数据的合法性，是TopIDP产品的核心组件。

应当以嵌入模式部署于要保护的网络中。

引擎内置违反安全事件数据库，用于存储检测到的安全事件信息。

●集中管理器(Central Manager)有两种管理方式可供选择，一种是通过web方式对单一引擎设备进行管理，安全事件信息存储于引擎设备本地；另一种是通过天融信集中管理器TopPolicy产品对多个引擎设备进行统一的集中控制和管理，同时集中存储安全事件信息。

●升级站点（TopIDP Update Online）通过自动或手动方式，在入侵防御系统的升级站点，实时地更新攻击规则库、病毒库、AR应用识别库和URL过滤库，实时保障对热点事件的防护。

3.3 TopIDP主要功能TopIDP产品全系列采用多核处理器硬件平台，基于先进的新一代并行处理技术架构，实现了对网络数据流的高性能实时检测和防御。

3.4 天融信网络入侵防御系统TopIDP 特点3.4.1 领先的多核SmartAMP 并行处理架构● TopIDP 产品应用了先进的多核处理器硬件平台，将并行处理技术成功融入天融信自主知识产权的安全操作系统TOS （Topsec Operating System ）系统，集成多项发明专利，形成了先进的多核架构技术体系。

在此基础上的TopIDP 产品具有高速的数据并行检测处理和转发能力，能够胜任高速网络的安全防护要求。

多 核 硬 件 平 台图1 多核并行处理架构示意图3.4.2 强大的攻击检测能力TopIDP 产品的检测引擎采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为，可以准确地发现并阻断各种网络恶意攻击。

●TopIDP产品采用了先进的基于目标系统的流重组检测引擎，首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了TCP流分段重叠攻击行为。

●TopIDP全面支持DOS/DDOS防御，通过构建统计性攻击模型和异常包攻击模型，可以全面防御SYN flood、ICMP flood、UDP flood、DNS Flood，DHCP flood、Winnuke、TcpSScan以及CC等多达几十种DOS/DDOS攻击行为；TopIDP还可以通过自学习模式，针对用户所需保护的服务器进行智能防御。

●TopIDP拥有3500多条攻击规则，尤其是针对本地化业务系统，深度挖掘业务系统漏洞，形成防御阻断规则后直接应用于TopIDP，更有效保护企业信息化资产。

●天融信公司的专业攻防实验室充分与国际厂商和国家权威机构合作，不断跟踪、分析、研究最新发现的安全漏洞，天融信拥有自主知识产权的攻击检测规则库。

目前，该规则库已经通过国际权威组织CVE的兼容性认证，并保持至少每周一次的更新频率。

●TopIDP可支持IPv6协议的攻击检测，完全识别IPv6封包下的攻击检测。

3.4.3精准的应用协议识别能力●TopIDP产品能够识别包括传统协议、P2P下载、股票交易、即时通讯、流媒体、网络游戏、网络视频等在内的百多种网络应用，并能够详细统计每一种应用的流量、连接数和累积传输字节数，使用户很容易判断网络中的各种带宽滥用行为，继而采取包括阻断、限制连接数、限制流量等各种控制手段，确保网络业务通畅。

●TopIDP产品采用对应用协议交互过程进行智能分析，而非简单依据服务端口的技术手段来判断应用协议类型，对那些采用动态变化服务端口或者使用标准协议端口隐藏传输内容的应用也可以准确识别和控制。