东软NetEye入侵防御系统（IPS）.pdfVIP

东软NetEye 入侵防御系统（IPS） 的应用安全吗？ 网络安全日益受到关注和重视，防火墙己成为各行业不可或缺的安全防护设备。由于 网络入侵者越来越多地利用开放的服务端口（如HTTP、SMTP、POP3、DNS 等）发起攻击， 且手段隐蔽，破坏性却非常大。传统的防火墙因功能的局限性，难以进行有效的防御，因 此迫切需要一种有效的深度防御手段弥补其功能的局限性。 传统的入侵检测系统（IDS）只能采用旁路方式检 网络攻击，不能实时阻断。当IDS 检 到攻击时，入侵者的恶意企图往往已经得逞，系统或数据可能已被黑客控制或破坏， 同时由于IDS 处于旁路位置，检 的全面性和准确性也受到很大的影响。 IPS 是一种部署在网关位置的安全设备，利用攻击的知识对网络数据和行为进行深层 检查，从而更有效的抵御应用层攻击。IPS 在线 （Inline）的部署模式使它可以直接将有 害的流量 （探 、攻击等）阻挡于所保护的网络之外。IPS 可以部署在防火墙之后，保护 关键服务器并保证对外开放服务的安全 （如Web、SMTP、DNS 等）。FW+IPS 的部署模式充 分发挥出FW 和IPS 各自的技术优势，并充分保护已有的安全投资。 下表是防火墙、IPS 和IDS 适用领域及功能侧重的简要对比： 防火墙 IPS IDS 访问控制 √ √ × 在线 （Inline） 问审计 √ √ × 在线攻击防御 × √ × 在线攻击审计 × √ × 旁路访问审计 / √ √ 旁路攻击审计 / √ √ 备注： n 蓝色代表产品功能的侧重点。 n IPS 可以通过TAP 或SPAN 模式的部署实现旁路网络审计和旁路攻击审计。 从图表可看出，防火墙与IPS 协同部署的安全方案能够在网关位置构建起多层次的信 息安全防护体系，形成一道完整的保护关键服务器和内网安全的防线。 协同安全 纯净应用 为了解决Web 应用安全、邮件服务器安全、数据库应用安全、蠕虫防护等难题，东软 率先推出基于多核处理器架构的高性能入侵防御系统NetEye IPS，它拥有协议级分析和攻 击防御能力，采用协议异常、漏洞特征、攻击特征和统计特征等多种方法来定义攻击检 防御规则，同时规则库可以不断更新和升级，提供开放的攻击描述语言平台以便用户或第 三方根据具体应用环境编写定制化规则，广泛适用于各行业关键应用服务器和内 的安全 防护。 独特的“应用净化”技术 为高效保护Web 等应用的安全，NetEye IPS 采用了一项独特的 “应用净化”技术，也 是NetEye IPS 与其它IPS 产品相比最为明 的技术优势之一。传统IPS 的关注点在于 “什 么是攻击”，即检 网络中有哪些流量是攻击、异常或误用，并将其拦截下来，由于绝大 多数情况下，攻击流量只占正常流量的较小比率，而且攻击层出不穷，因此传统的IPS 的 漏报率较高，对 络性能也有一定的影响。而NetEye IPS 中采用的 “应用净化”技术的关 注点在于 “什么是正常应用”，即只有确认是遵循标准协议并且符合特定应用环境安全策 略的流量才能通过NetEye IPS，这一措施极大地增强了应用的安全性，并大幅提高了IPS 的性能。 可以举一个形象的比喻，传统IPS 对攻击的检 相当于在水的净化过程中，采用专门 的滤 针对砂石、细菌、病毒等进行过滤，但滤 越多，滤过效率越差，而且对于己经溶 解于水的重金属等有害物质则难以找到合适的滤 进行滤除，对于一些新出现的有害物质 则根本没有滤网进行滤除。而NetEye IPS 的 “应用净化”技术相当于采用离子交换膜对水 进行净化，只有水分子和确定对