2015-4-14入侵防御IPS产品白皮书选编.docx

产品设计理念 SANGFOR IPS是能够精确识别用户、应用和内容，具备漏洞攻击防护能力，并具有强劲处理性能的网络安全设备。SANGFOR IPS不仅可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等；还能实现统一的应用漏洞安全防护，可以针对一个入侵行为中的各种攻击手段进行统一的检测和防护，如漏洞利用、非法访问、蠕虫病毒、带宽滥用、恶意代码等。SANGFOR IPS可以适用于不同规模的行业用户数据中心、广域网边界、互联网边界等场景，为用户提供更精细、更全面、高性能的安全防护方案。 产品功能特色 精细的应用安全控制 SANGFOR IPS独创的应用可视化技术，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆脱了过去只能通过IP地址来控制的尴尬，即使加密过的数据流也能应付自如。目前，SANGFOR IPS的应用可视化引擎可以识别1200多种的内外网应用及2700多种应用动作，通过应用可视化引擎制定一体化应用控制策略, 可以为用户提供更加精细和直观化的安全控制界面。 可视化的应用识别 随着网络攻击不断向应用层转移，传统的网络层防火墙已经不能有效实施防护。因此，作为组织网络中最重要的屏障，如何帮助用户实现针对所有应用的可视化变得十分重要。SANGFOR IPS以精确的应用识别为基础，可以帮助用户恢复对网络中各类流量的掌控，阻断或控制不当操作，根据企业自身状况合理分配带宽资源等。 SANGFOR IPS的应用识别有以下几种方式： 第一，基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的协议，其端口通常是相对稳定,可以根据端口快速识别应用。 第二，基于应用特征码的识别，深入读取IP包载荷的内容中的OSI七层协议中的应用层信息，将解包后的应用信息与后台特征库进行比较来确定应用类型。 第三，基于流量特征的识别，不同的应用类型体现在会话连接或数据流上的状态各有不同，例如，基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等；SANGFOR IPS基于这一系列流量的行为特征，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。 智能用户身份识别 网络中的用户并不一定需要平等对待，通常，许多企业策略仅仅是允许某些IP段访问网络及网络资源。SANGFOR IPS提供基于用户与用户组的访问控制策略，它使管理员能够基于各个用户和用户组（而不是仅仅基于 IP 地址）来查看和控制应用使用情况。在所有功能中均可获得用户信息，包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。 1、映射组织架构 SANGFOR IPS可以按照组织的行政结构建立树形用户分组，将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，SANGFOR IPS能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便管理员管理。 此外，SANGFOR IPS支持账户自动创建功能，依据管理员分配好的IP段与用户组的对应关系，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC，并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件，将账户导入，实现快捷的创建用户和分组信息。 2、建立身份认证体系 本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定 第三方认证：AD、LDAP、Radius、POP3、PROXY等； 单点登录：AD、POP3、Proxy、HTTP POST等； 强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等） 丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树形用户分组，映射组织行政结构，实现用户与资源的一一对应。 SANGFOR IPS支持为未认证通过的用户分配受限的网络访问权限，将通过Web认证的用户重定向至显示指定网页，方便组织管理员发布通知。 面向用户与应用的访问控制策略 当前的网络环境，IP不等于用户，端口不等于应用。而传统防火墙的基于IP/端口的控制策略就会失效，用户可以轻易绕过这些策略，不受控制的访问互联网资源及数据中心内容，带来巨大的安全隐患。 SANGFOR IPS不仅具备了精确的用户和应用的识别能力，还可以针对每个数据包找出相对应的用户角色和应用的访问权限。通过将用户信息、应用识别有机结合，提供角色为应用和用户的可视化界面，真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制，制定出