第08章 产品说明技术白皮书-天融信入侵防御系统产品说明.docx

天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC?北京市海淀区上地东路1号华控大厦100085电话：(86)10真：(86)10务热线：400-610-5119800-810-5119Http: //目录1前言22网络入侵防御系概况22.1入侵防御系统与防火墙32.2入侵防御系统与IDS33天融信网络入侵防御系统TopIDP33.1产品概述33.2TopIDP体系架构43.3TopIDP主要功能53.4天融信网络入侵防御系统TopIDP特点63.4.1领先的多核SmartAMP并行处理架构63.4.2强大的攻击检测能力63.4.3精准的应用协议识别能力73.4.4实用的网络病毒检测功能73.4.5智能的上网行为监控和管理83.4.6立体的Web安全防护83.4.7先进的无线攻击防御能力83.4.8精确的QOS流量控制能力93.4.9灵活的自定义规则能力93.4.10丰富的网络部署方式93.4.11高可靠的业务保障能力103.4.12可视化的实时报表功能104天融信网络入侵防御系统TopIDP部署方案114.1.1典型部署114.1.2内网部署124.1.3IDP.VS.IDS混合部署134.1.4WIPS旁路部署145结论14前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。同时，大量的网络资源滥用充斥在整个网络通路上，各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗，影响企业正常业务系统运行。能否主动发现并防御这些网络攻击，规范终端的网络行为，保护企业的信息化资产，保障企业业务系统的正常运行，是企业要面临的重要问题。网络入侵防御系概况网络入侵防御系统，简称IDP（Intrusion Detection and Prevention System），是串联在计算机网络中可对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的安全设备；入侵防御系统主要是对应用层的数据流进行深度分析，动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能深层检测(deep packet inspection)串连模式(in-line mode)即时侦测(real-time detection)主动防御(proactive prevention)线速运行(wire-line speed)入侵防御系统与防火墙入侵防御系统和防火墙是两种完全独立的安全网关设备。从两个产品关注的安全范围来看，防火墙更多的是进行细粒度的访问控制，同时还提供网络地址转换、应用服务代理和身份准入控制等功能；入侵防御系统则重点关注网络攻击行为，尤其是对应用层协议进行分析，并主动阻断攻击行为。防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。而入侵防护系统 (IPS) 则倾向于提供主动防护，是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。在实际部署上，企业可以根据网络环境，充分发挥防火墙和IPS各自的技术优势，进行混合部署。入侵防御系统与入侵检测入侵检测系统以旁路方式部署，被动监听网络上所有实时传输数据。虽然很多IDS设备可以和防火墙进行策略联动，在IDS发现攻击行为后，通知防火墙生成阻断规则或者以TCP Reset方式对攻击行为进行防护，但这些方式都存在滞后性。IDS更多情况下，是为用户提供全面的信息展现，为改善用户网络的风险控制环境提供决策依据，同时对网络中所发生的攻击事件进行事后审计。 入侵防御系统以在线方式部署，实时分析链路上的传输数据，对隐藏在其中的攻击行为进行阻断，专注的是深层防御、主动阻断。天融信网络入侵防御系统TopIDP产品概述天融信公司的网络入侵防御系统（以下简称TopIDP产品）采用在线部署方式，能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为，有效保护用户网络IT服务资源，使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下