绿盟网络入侵防护系统产品白皮书© 2011 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录一. 前言 (2)二. 为什么需要入侵防护系统 (2)2.1防火墙的局限 (3)2.2入侵检测系统的不足 (3)2.3入侵防护系统的特点 (3)三. 如何评价入侵防护系统 (4)四. 绿盟网络入侵防护系统 (4)4.1体系结构 (5)4.2主要功能 (5)4.3产品特点 (6)4.3.1 多种技术融合的入侵检测机制 (6)4.3.2 2~7层深度入侵防护能力 (8)4.3.3 强大的防火墙功能 (9)4.3.4 先进的Web威胁抵御能力 (9)4.3.5 灵活高效的病毒防御能力 (10)4.3.6 基于对象的虚拟系统 (10)4.3.7 基于应用的流量管理 (11)4.3.8 实用的上网行为管理 (11)4.3.9 灵活的组网方式 (11)4.3.10 强大的管理能力 (12)4.3.11 完善的报表系统 (13)4.3.12 完备的高可用性 (13)4.3.13 丰富的响应方式 (14)4.3.14 高可靠的自身安全性 (14)4.4解决方案 (15)4.4.1 多链路防护解决方案 (15)4.4.2 交换防护解决方案 (16)4.4.3 路由防护解决方案 (16)4.4.4 混合防护解决方案 (17)五. 结论 (18)一. 前言随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。

越来越多的政府、企业组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网上银行、网络办公等，对社会的各行各业产生了巨大深远的影响，信息安全的重要性也在不断提升。

近年来，企业所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游、视频）等，极大地困扰着用户，给企业的信息网络造成严重的破坏。

能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题。

二. 为什么需要入侵防护系统说起网络安全，相信许多人已经不陌生了。

大家可能都曾遇到过下面这些情况：◆没有及时安装新发布的一个安全补丁，造成服务器宕机，网络中断；◆蠕虫病毒爆发，造成网络瘫痪，无法网上办公，邮件收不了，网页打不开；◆公司WEB服务器遭受SQL注入攻击，造成公司主页内容被篡改；◆因为员工访问了不安全的页面，个人电脑被植入后门、木马等恶意软件，从而导致公司机密资料被窃；◆有的员工使用BT、电驴等P2P软件下载电影或MP3，造成上网速度奇慢无比；◆有的员工沉迷在QQ或MSN上聊天，玩反恐精英、传奇等网络游戏，或看在线视频，不专心工作，导致企业生产力下降；◆部分员工电脑成为僵尸网络的“肉机”，向外网发起DOS攻击，引起公安部门注意并上门进行调查。

根据调查数据显示，以上事件呈逐年上升趋势，给企业造成越来越大的直接和间接损失。

对于上述威胁，传统的安全手段（如防火墙、入侵检测系统）都无法有效进行阻止。

2.1 防火墙的局限绝大多数人在谈到网络安全时，首先会想到“防火墙”，企业一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。

但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。

传统防火墙的不足主要体现在以下几个方面：◆防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。

◆有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。

◆作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。

2.2 入侵检测系统的不足入侵检测系统IDS（Intrusion Detection System）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。

IDS弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适合对网络安全状态的了解，但随着网络攻击技术的发展，IDS也面临着新的挑战：◆IDS旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。

IDS无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS无能为力。

◆蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS无法把攻击防御在企业网络之外。

2.3 入侵防护系统的特点基于目前网络安全形势的严峻，入侵防护系统（Intrusion Prevention System）作为新一代安全防护产品应运而生。

网络入侵防护系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。

IPS是通过直接串联到网络链路中而实现这一功能的，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。

三. 如何评价入侵防护系统针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击，不仅需要有效检测到各种类型的攻击，更重要的是降低攻击的影响，从而保证业务系统的连续性和可用性。

一款优秀的网络入侵防护系统应该具备以下特征：◆满足高性能的要求，提供强大的分析和处理能力，保证正常网络通信的质量；◆提供针对各类攻击的实时检测和防御功能，同时具备丰富的访问控制能力，在任何未授权活动开始前发现攻击，避免或减缓攻击可能给企业带来的损失；◆准确识别各种网络流量，降低漏报和误报率，避免影响正常的业务通讯；◆全面、精细的流量控制功能，确保企业关键业务持续稳定运转；◆具备丰富的高可用性，提供BYPASS（硬件、软件）和HA等可靠性保障措施；◆可扩展的多链路IPS防护能力，避免不必要的重复安全投资；◆提供灵活的部署方式，支持在线模式和旁路模式的部署，第一时间把攻击阻断在企业网络之外，同时也支持旁路模式部署，用于攻击检测，适合不同客户需要；◆支持分级部署、集中管理，满足不同规模网络的使用和管理需求。

四. 绿盟网络入侵防护系统针对日趋复杂的应用安全威胁和混合型网络攻击，绿盟科技提供了完善的安全防护方案。

绿盟网络入侵防护系统（以下简称“NSFOCUS NIPS”）是绿盟科技拥有完全自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动应对各类攻击流量，第一时间将安全威胁阻隔在企业网络外部。

这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵防护解决方案。

4.1 体系结构NSFOCUS NIPS的体系架构包括三个主要组件：安全中心、网络引擎、升级站点，方便各种网络环境的灵活部署和管理。

图 4.1 绿盟网络入侵防护系统体系架构4.2 主要功能NSFOCUS NIPS是网络入侵防护系统同类产品中的精品典范，该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的Web信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。

入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。

◆Web安全基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web威胁。

◆流量控制阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。

◆上网行为监管全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。

4.3 产品特点NSFOCUS NIPS基于高性能硬件处理平台，为客户提供从网络层、到应用层，直至内容层的深度安全防御，以下将对NSFOCUS NIPS的产品功能特色进行逐一介绍。

4.3.1 多种技术融合的入侵检测机制NSFOCUS NIPS以全面深入的协议分析为基础，融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析，以及状态防火墙等多种技术，为客户提供从网络层、应用层到内容层的深度安全防护。

◆智能协议识别和分析协议识别是新一代网络安全产品的核心技术。

传统安全产品如防火墙，通过协议端口映射表（或类似技术）来判断流经的网络报文属于何种协议。

但是，事实上，协议与端口是完全无关的两个概念，我们仅仅可以认为某个协议运行在一个相对固定的缺省端口。

包括木马、后门在内的恶意程序，以及基于Smart Tunnel（智能隧道）的P2P应用（如各种P2P下载工具、IP电话等），IMS（实时消息系统如MSN、Yahoo Pager），网络在线游戏等应用都可以运行在任意一个指定的端口，从而逃避传统安全产品的检测和控制。

NSFOCUS NIPS采用独有的智能协议识别技术，通过动态分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够在完全不需要管理员参与的情况下，高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵，可以准确发现绑定在任意端口的各种木马、后门，对于运用Smart Tunnel技术的软件也能准确捕获和分析。

NSFOCUS NIPS具备极高的检测准确率和极低的误报率，能够全面识别超过100种以上的应用层协议。

◆基于特征分析的专家系统特征分析主要检测各类已知攻击，在全盘了解攻击特征后，制作出相应的攻击特征过滤器，对网络中传输的数据包进行高速匹配，确保能够准确、快速地检测到此类攻击。

NSFOCUS NIPS装载权威的专家知识库，提供高品质的攻击特征介绍和分析，基于高速、智能模式匹配方法，能够精确识别各种已知攻击，包括病毒、特洛伊木马、P2P应用、即时通讯等，并通过不断升级攻击特征，保证第一时间检测到攻击行为。