绿盟网络入侵防护系统产品白皮书

绿盟网络入侵防护系统

产品白皮书

2009 绿盟科技

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

一. 前言 . ...................................................................................................................................................... 2

二. 为什么需要入侵防护系统 ................................................................................................................... 2

2.1 防火墙的局限 ................................................................................................................................... 3

2.2 入侵检测系统的不足 ....................................................................................................................... 3

2.3 入侵防护系统的特点 ....................................................................................................................... 3

三. 如何评价入侵防护系统 ....................................................................................................................... 4

四. 绿盟网络入侵防护系统 ....................................................................................................................... 4

4.1 体系结构 ........................................................................................................................................... 5

4.2 主要功能 ........................................................................................................................................... 5

4.3 产品特点 ........................................................................................................................................... 6

4.3.1 多种技术融合的入侵检测机制 . ............................................................................................... 6

4.3.2 2~7层深度入侵防护能力 . ......................................................................................................... 8

4.3.3 强大的防火墙功能 . ................................................................................................................... 9

4.3.4 先进的Web 威胁抵御能力 ........................................................................................................ 9

4.3.5 灵活高效的病毒防御能力 . ..................................................................................................... 10

4.3.6 基于对象的虚拟系统 . ............................................................................................................. 10

4.3.7 基于应用的流量管理 . ............................................................................................................. 11

4.3.8 实用的上网行为管理 . ............................................................................................................. 11

4.3.9 灵活的组网方式 . ..................................................................................................................... 11

4.3.10 强大的管理能力 . ................................................................................................................... 12

4.3.11 完善的报表系统 . ................................................................................................................... 13

4.3.12 完备的高可用性 . ................................................................................................................... 13

4.3.13 丰富的响应方式 . ................................................................................................................... 14

4.3.14 高可靠的自身安全性 . ........................................................................................................... 14

4.4 解决方案 ......................................................................................................................................... 15

4.4.1 多链路防护解决方案 . ............................................................................................................. 15

4.4.2 交换防护解决方案 . ................................................................................................................. 16

4.4.3 路由防护解决方案 . ................................................................................................................. 16

4.4.4 混合防护解决方案 . ................................................................................................................. 17

五. 结论 . .................................................................................................................................................... 18

一. 前言

随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。越来越多的政府、企业组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网上银行、网络办公等，对社会的各行各业产生了巨大深远的影响，信息安全的重要性也在不断提升。

近年来，企业所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS 攻击、垃圾邮件、网络资源滥用（P2P 下载、IM 即时通讯、网游、视频）等，极大地困扰着用户，给企业的信息网络造成严重的破坏。

能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题。

二. 为什么需要入侵防护系统

说起网络安全，相信许多人已经不陌生了。大家可能都曾遇到过下面这些情况：没有及时安装新发布的一个安全补丁，造成服务器宕机，网络中断；

蠕虫病毒爆发，造成网络瘫痪，无法网上办公，邮件收不了，网页打不开；公司WEB 服务器遭受SQL 注入攻击，造成公司主页内容被篡改；

因为员工访问了不安全的页面，个人电脑被植入后门、木马等恶意软件，从而导致公司

机密资料被窃；

有的员工使用BT 、电驴等P2P 软件下载电影或MP3，造成上网速度奇慢无比；

有的员工沉迷在QQ 或MSN 上聊天，玩反恐精英、传奇等网络游戏，或看在线视频，不

专心工作，导致企业生产力下降；

部分员工电脑成为僵尸网络的“肉机”，向外网发起DOS 攻击，引起公安部门注意并上

门进行调查。

根据调查数据显示，以上事件呈逐年上升趋势，给企业造成越来越大的直接和间接损失。对于上述威胁，传统的安全手段（如防火墙、入侵检测系统）都无法有效进行阻止。

2.1 防火墙的局限

绝大多数人在谈到网络安全时，首先会想到“防火墙”，企业一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。

传统防火墙的不足主要体现在以下几个方面：

防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针

对WEB 服务的Code Red蠕虫等。

有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行

为。

作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关

信息，以协助后续调查和取证工作的开展。

2.2 入侵检测系统的不足

入侵检测系统IDS （ Intrusion Detection System）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。

IDS 弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适合对网络安全状态的了解，但随着网络攻击技术的发展，IDS 也面临着新的挑战：

IDS旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS 无法有

效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS 无能为力。

蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应

的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS 无法把攻击防御在企业网络之外。

2.3 入侵防护系统的特点

基于目前网络安全形势的严峻，入侵防护系统（Intrusion Prevention System）作为新一代安全防护产品应运而生。

网络入侵防护系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS 是通过直接串联到网络链路中

而实现这一功能的，即IPS 接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。

三. 如何评价入侵防护系统

针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS 等混合威胁及黑客攻击，不仅需要有效检测到各种类型的攻击，更重要的是降低攻击的影响，从而保证业务系统的连续性和可用性。

一款优秀的网络入侵防护系统应该具备以下特征：

满足高性能的要求，提供强大的分析和处理能力，保证正常网络通信的质量；

提供针对各类攻击的实时检测和防御功能，同时具备丰富的访问控制能力，在任何未授

权活动开始前发现攻击，避免或减缓攻击可能给企业带来的损失；

准确识别各种网络流量，降低漏报和误报率，避免影响正常的业务通讯；

全面、精细的流量控制功能，确保企业关键业务持续稳定运转；

具备丰富的高可用性，提供BYPASS （硬件、软件）和HA 等可靠性保障措施；可扩展的多链路IPS 防护能力，避免不必要的重复安全投资；

提供灵活的部署方式，支持在线模式和旁路模式的部署，第一时间把攻击阻断在企业网

络之外，同时也支持旁路模式部署，用于攻击检测，适合不同客户需要；

支持分级部署、集中管理，满足不同规模网络的使用和管理需求。

四. 绿盟网络入侵防护系统

针对日趋复杂的应用安全威胁和混合型网络攻击，

绿盟科技提供了完善的安全防护方案。绿盟网络入侵防

护系统（以下简称“NSFOCUS NIPS

”）是绿盟科技

拥有完全自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动应对各类攻击流量，第一时间将安全威胁阻隔在企业网络外部。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵防护解决方案。

4.1

体系结构

NSFOCUS NIPS的体系架构包括三个主要组件：安全中心、网络引擎、升级站点，方便各种网络环境的灵活部署和管理。

图 4.1 绿盟网络入侵防护系统体系架构

4.2 主要功能

NSFOCUS NIPS是网络入侵防护系统同类产品中的精品典范，该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的Web 信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项

功能，能够为用户提供深度攻击防御和应用带宽保护的完

美价值体验。

入侵防护

实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木

马、D.o.S 等恶意流量，保护企业信息系统和网络架构免

受侵害，防止操作系统和应用程序损坏或宕机。

Web 安全

基于互联网Web 站点的挂马检测结果，结合URL 信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web 威胁。

流量控制

阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT 产出率和收益率。

上网行为监管

全面监测和管理IM 即时通讯、P2P 下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。

4.3 产品特点

NSFOCUS NIPS基于高性能硬件处理平台，为客户提供从网络层、到应用层，直至内容层的深度安全防御，以下将对NSFOCUS NIPS的产品功能特色进行逐一介绍。

4.3.1 多种技术融合的入侵检测机制

NSFOCUS NIPS以全面深入的协议分析为基础，融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析，以及状态防火墙等多种技术，为客户提供从网络层、应用层到内容层的深度安全防护。

智能协议识别和分析

协议识别是新一代网络安全产品的核心技术。传统安全产品如防火墙，通过协议端口映射表（或类似技术）来判断流经的网络报文属于何种协议。

但是，事实上，协议与端口是完全无关的两个概念，我们仅仅可以认为某个协议运行在一个相对固定的缺省端口。包括木马、后门在内的恶意程序，以及基于Smart Tunnel（智能隧道）的P2P 应用（如各种P2P 下载工具、IP 电话等），IMS （实时消息系统如MSN 、Yahoo Pager ），网络在线游戏等应用都可以运行在任意一个指定的端口，从而逃避传统安全产品的检测和控制。

NSFOCUS NIPS采用独有的智能协议识别技术，通过动态分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够在完全不需要管理员参与的情况下，高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵，可以准确发现绑定在任意端口的各种木马、后门，对于运用Smart Tunnel技术的软件也能准确捕获和分析。

NSFOCUS NIPS具备极高的检测准确率和极低的误报率，能够全面识别超过100种以上的应用层协议。

基于特征分析的专家系统

特征分析主要检测各类已知攻击，在全盘了解攻击特征后，制作出相应的攻击特征过滤器，对网络中传输的数据包进行高速匹配，确保能够准确、快速地检测到此类攻击。

NSFOCUS NIPS装载权威的专家知识库，提供高品质的攻击特征介绍和分析，基于高速、智能模式匹配方法，能够精确识别各种已知攻击，包括病毒、特洛伊木马、P2P 应用、即时通讯等，并通过不断升级攻击特征，保证第一时间检测到攻击行为。

绿盟科技拥有的业界权威安全漏洞研究团队NSFocus 小组，致力于分析来自于全球的各类攻击威胁，并努力找到各种漏洞的修补方案，形成解药，融于NSFOCUS NIPS攻击特征库，以保持产品持续、先进的攻击防护能力。

协议异常检测

基于特征检测（模式匹配）的NIPS 产品可以精确地检测出已知的攻击。通过不断升级的特征库，NIPS 可以在第一时间检测到入侵者的攻击行为。但是，事实上，存在三个方面的因素导致协议异常的诞生。

9 厂商从提取某个攻击特征到最终用户的NIPS 产品升级需要一个时间间隔，在这个时

间间隔内，基于特征检测的NIPS 产品是无法检测到黑客的该攻击行为的；

9 来自0-day 或未公开exploit 的隐蔽攻击即使是安全厂商往往也无法第一时间获得攻

击特征，通常NIPS 无法检测这类具有最高风险的攻击行为；

9 Internet上蠕虫在 15分钟内席卷全球，即使是最优秀的厂商也不能够在这么短的时

间内完成对其的发现和检测。

协议异常检测是NSFOCUS NIPS应用的另外一项关键技术，以深度协议分析为核心的NSFOCUS NIPS，将发现的任何违背RFC 规定的行为视为协议异常。协议异常最为重要的作用是检测检查特定应用执行缺陷（如：应用缓冲区溢出异常），或者违反特定协议规定的异常（如：RFC 异常），从而发现未知的溢出攻击、零日攻击以及拒绝服务攻击。作为一项成熟的技术，协议异常检测技术使得NSFOCUS NIPS具有接近100%的检测准确率和几乎0的误报率。

流量异常检测

流量异常检测主要通过学习和调整特定网络环境下的“正常流量”值，来发现非预期的异常流量。一旦正常流量被设定为基准（baseline ），NSFOCUS NIPS会将网络中传输的数据包与这个基准作比较，如果实际网络流量统计结果与基准达到一定的偏离，则产生警报。

在内置流量建模机制的同时，NSFOCUS NIPS还提供可调整的门限阀值，供网管员针对具体环境做进一步调整，避免因为单纯的流量过大而产生误报。

流量异常检测和过滤机制使得NSFOCUS NIPS可以有效抵御分布式拒绝服务攻击(DDOS)、未知的蠕虫、流氓流量和其他零日攻击。

4.3.2 2~7层深度入侵防护能力

业界领先的安全漏洞研究能力

绿盟科技作为微软的MAPP （Microsoft Active Protections Program）项目合作伙伴，可以在微软每月发布安全更新之前获得漏洞信息，为客户提供更及时有效的保护。

公司的安全研究部门NSFocus 小组，已经独立发现了40多个Microsoft 、HP 、CISCO 、SUN 、Juniper 等国际著名厂商的重大安全漏洞，保证了NSFOCUS NIPS技术的领先和规则库的及时更新，在受到攻击以前就能够提供前瞻性的保护。

高品质攻击特征库

覆盖广泛的攻击特征库携带超过2000条，由NSFocus 安全小组

精心提炼、经过时间考验的攻击特征，并通过国际最著名的安全漏洞库

CVE 严格的兼容性标准评审，获得最高级别的CVE 兼容性认证（CVE

Compatible ）。

绿盟科技具有领先的漏洞预警能力，是目前国内唯一向国外（美国）出口入侵检测规则库的公司。绿盟科技每周定期提供攻击特征库的升级更新，在紧急情况下可提供即时更新。广泛精细的攻击检测和防御能力

NSFOCUS NIPS主动防御已知和未知攻击，实时阻断各种黑客攻击，如缓冲区溢出、SQL 注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、僵尸网络等，广泛精细的应用防护帮助客户避免安全损失。

NSFOCUS NIPS同时具备全面阻止木马后门、广告软件、间谍软件等恶意程序下载和扩散的功能，有助于企业降低IT 成本、防止潜在的隐私侵犯和保护机密信息。

IP 碎片重组与TCP 流汇聚

NSFOCUS NIPS具有强大的IP 碎片重组、TCP 流汇聚，以及数据流状态跟踪等能力，能够检测到黑客采用任意分片方式进行的攻击。

虚拟补丁

NSFOCUS NIPS提供“虚拟补丁”功能，在紧急漏洞出现而系统仍不具备有效补丁解决方案时，为客户提供实时防御，增强了客户应对突发威胁的能力，在厂商就新漏洞提供补丁和更新之前确保企业信息系统的安全。

强大的D.o.S 攻击防护能力

NSFOCUS NIPS能够全面抵御ICMP Flood、UDP Flood、ACK Flood等常见的D.o.S 攻击，阻挡或限制未经授权的应用程序触发的带宽消耗，极大限度地减轻D.o.S 攻击对网络带来的危害。

支持应用重组

NSFOCUS NIPS可以记录网络的通信报文，并解码回放，目前支持HTTP 、SMTP 、FTP 、Telnet 、POP3等多种协议。

4.3.3 强大的防火墙功能

访问控制

NSFOCUS NIPS内置状态防火墙，支持基于网络接口、源/目的IP 地址、协议、时间等元素，自定义访问控制策略。

NAT 支持

NSFOCUS NIPS提供地址转换功能，支持静态NAT （Static NAT）、动态NAT （Pooled NAT ）和端口NAT （PAT ），支持多对一、多对多和一对一等多种地址转换方式。路由支持

NSFOCUS NIPS提供控制力更强，使用更灵活的策略路由功能，能够根据协议类型、应用、IP 源地址等策略来选择数据转发路径，而且能够根据报文数据流的发起方向来确定以后的路由，满足各种应用环境的需要。

VLAN 特性

NSFOCUS NIPS支持工业标准的802.1Q VLAN Trunk封装协议，实现两个交换机同一VLAN 间的数据交互，同时具备不同VLAN 虚拟接口间的路由功能，极大增强了NSFOCUS NIPS 对交换式网络的部署适应能力。

4.3.4 先进的Web 威胁抵御能力

越来越多的病毒、木马等恶意代码将基于HTTP 方式传播，新一代的Web 威胁具备混合性、渗透性和利益驱动性，成为当前增长最快的风险因素。员工对互联网的依赖性使得企业网络更容易受到攻击，导致用户信息受到危害，对公司数据资产和关键业务构成极大威胁。

NSFOCUS NIPS内置先进、可靠的Web 信誉机制，采用独特的Web 信誉评价技术和URL 过滤技术，在用户访问被植入木马的页面时，给予及时报警和阻断，能够有效抵御Web 安全威胁渗入企业内网，防止潜在的隐私侵犯，保护企业机密信息。

4.3.5 灵活高效的病毒防御能力

NSFOCUS NIPS具备高效的防病毒能力，用户可选择基于NSFOCUS 或卡巴斯基的防病毒引擎，采用基于特征扫描和启发式扫描技术，实现针对HTTP 、SMTP 、 POP3、 IMAP、FTP 、IM 等多种协议的病毒流量监测和控制，第一时间完成对木马病毒、蠕虫病毒、宏病毒，以及脚本病毒的查杀，控制或消除上述威胁对系统的危害。

4.3.6 基于对象的虚拟系统

基于对象的策略管理系统

NSFOCUS NIPS提供业界领先的基于对象的策略管理系统，完全统一的规则配置方式强大而灵活。NSFOCUS NIPS的所有策略（规则）配置都使用包括网络、服务、时间、事件等元素在内的预定义对象以及对象组完成，通过组的概念可以减少防火墙和NIPS 的规则数量，简化了产品的管理工作量。

虚拟系统（VIPS ）

NSFOCUS NIPS

提供基于对象的虚拟系统（

VIPS

），针对不同的网络环境和安全需求，基于对象制定不同的规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象、实现不同策略的智能化入侵防护。

图 4.2 虚拟IPS 功能实现示意图

4.3.7 基于应用的流量管理

NSFOCUS NIPS提供强大、灵活的流量管理功能，采用全局维度（协议/端口）、局部维度（源/目的IP 地址、网段）、时间维度（时间）、流量纬度（带宽）等流量控制四元组，实现基于内容、面向对象的流量保护策略。

NSFOCUS NIPS智能识别并分类各类应用后，通过流量许可和优先级控制，阻断一切非授权用户流量，管理合法网络资源的利用，使得网络中不同类型的流量具有更合理的比例和分布，并结合最小带宽保证，及最大带宽和会话限制，有效保证关键应用全天候畅通无阻。

4.3.8 实用的上网行为管理

NSFOCUS NIPS结合协议分析和会话关联等多种技术，综合分析应用软件特征和数据内容，能够智能识别各种主流的P2P 下载、IM 即时通信、在线视频、网络游戏和在线炒股等用户上网行为，从而更好地协助企业了解当前的网络应用状况，发现非授权网络流量后进行及时限制或阻断。

4.3.9 灵活的组网方式

工作模式

NSFOCUS NIPS支持五种安全区模式：透明（Layer2）、路由（Layer3）、监听（Monitor ）、直通（Direct ）、管理（Mgt ），能够快速部署在各种网络环境中。

独立式多路NIPS 部署

NSFOCUS NIPS支持独立式多路NIPS

部署，

各路

NIPS 相互独立，彼此没有数据交换。

图 4.3 独立式多路NIPS 部署方式

交换式多路NIPS 部署

NSFOCUS NIPS交换式多路

NIPS

部署，

NIPS

类似交换机一样，一进多出或多进多出，

适用于复杂的网络环境。

图 4.4 交换式多路NIPS 部署方式

4.3.10 强大的管理能力

灵活的Web 管理方式

NSFOCUS NIPS支持灵活的Web 管理方式，适合在任何IP 可达地点远程管理，支持 MS IE 、Netscape 、Firefox 、Opera 等主路的浏览器，真正意义上实现了跨平台管理。丰富的多级管理方式

NSFOCUS NIPS支持三种管理模式：单级管理、多级管理、主辅管理，满足不同企业不同管理模式需要。

单级管理模式：安全中心直接管理网络引擎，一个安全中心可以管理多台网络引擎。适合小型企业，用于局域网络。

主辅管理模式：网络引擎同时接受一个主安全中心和多个辅助安全中心的管理。主安全中心可以完全控制网络引擎；辅助安全中心只能接受网络引擎发送的日志信息，不能操作网络引擎。适合大型企业或者有分权管理需求的用户。

多级管理模式：安全中心支持任意层次的级联部署，实现多级管理。上级安全中心可以将最新的升级补丁、规则模板文件等统一发送到下级安全中心，保持整个系统的完整统一性；下级安全中心可以通过配置过滤器，使上级安全中心只接收它关心的信息。适合跨广域网的大型企业用户。

带外管理（OOB ）功能

NSFOCUS NIPS提供带外管理（OOB ）功能，解决远程应急管理的需求，减少客户运营成本、提高运营效率、减少宕机时间、提高服务质量。

升级管理

NSFOCUS NIPS支持多种升级方式，包括实时在线升级、自动在线升级、离线升级，使NIPS 提供最前沿的安全保障。

4.3.11 完善的报表系统

高品质的报表事件

NSFOCUS NIPS事件过滤系统支持采用攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志，仅记录相关的攻击告警事件，极大地减小了攻击告警的数量，提高了对于高风险攻击的反应速度。

多样化的综合报表

NSFOCUS NIPS报表系统提供了详细的综合报表、自定义三种类型10多个类别的报表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MS Word、Html 、JPG 格式导出。同时支持定时通过电子邮件发送报表至系统管理员。

强大的“零管理”

从实时升级系统到报表系统，从攻击告警到日志备份，NSFOCUS NIPS完全支持零管理技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行，极大地降低了维护费用与管理员的工作强度。

4.3.12 完备的高可用性

丰富的HA 部署能力

NSFOCUS NIPS具备基于会话、配置等信息同步的HA 部署能力，支持A/A和A/S两种部署方式，在出现设备宕机、端口失效等故障时，能够完成主机和备机的即时切换，确保关键应用的持续正常运转。

完整的BYPASS 解决方案

NSFOCUS NIPS的BYPASS 特性由以下三部分组成，由此形成一套完整的BYPASS 解决方案：

9 提供软件BYPASS 功能，系统软件故障时，自

动实现旁路保护，避免网络中断等事故的发生；

9 网络接口内置fail-open 特性，产品出现故障时，

能自动转变成通路，不影响流量正常传输；

9 支持外置BYPASS 硬件设备部署，扩展形成完整的BYPASS 解决方案。

冗余电源支持

NSFOCUS NIPS支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性。

4.3.13 丰富的响应方式

NSFOCUS NIPS提供丰富的响应方式，包括：丢弃数据包、阻断会话、邮件报警、短信报警、安全中心显示、日志数据库记录、写入XML 文件，运行用户自定义命令等，同时提供标准snmp trap（V1、V2、V3）和syslog 接口，可接受第三方管理平台的安全事件集中监控、报告和管理。

4.3.14 高可靠的自身安全性

安全可靠的系统平台

NSFOCUS NIPS采用安全、可靠的硬件平台，全内置封闭式结构，配置完全自主知识产权的专用系统，经过优化和安全性处理，稳定可靠。系统内各组件通过强加密的SSL 安全通道进行通讯防止窃听，确保了整个系统的安全性和抗毁性。

用户权限分级管理

NSFOCUS NIPS安全中心身份验证系统采用独立于操作系统的权限管理系统，管理权限与审计权限独立，提供对系统使用情况的全面监管和审计。

实时日志归并

NSFOCUS NIPS归并引擎由规则驱动，可以执行任意粒度的日志归并动作，完全避免Stick 此类Anti-NIPS 攻击。

多点备份

NSFOCUS NIPS的探测引擎可以将攻击告警日志，实时发送到多个绿盟安全中心或日志数据库保存，避免因为数据损坏或丢失而导致系统不可用的事故发生。

4.4 解决方案

绿盟科技提供一系列完整的入侵防护解决方案，实现从企业网络核心至边缘，以及分支机构的全面保护，适用于不同环境的多种安全防护需求。

4.4.1 多链路防护解决方案

目前，很多企业为了保证网络带宽资源的充足和网络冗余，网络出口采用多链路连接方式，连接到两个或更多ISP 服务商。

针对这种连接方式，绿盟科技入侵防护系统提供多链路防护的解决方案，在网络出口处部署一台绿盟网络入侵防护系统，采用多路NIPS 的部署方式：

1. NSFOCUS NIPS 支持多路NIPS 部署，每路NIPS 单独防护一个ISP 接入链路，一台

NSFOCUS NIPS可以同时防护多条链路，节约客户投资；

2. NSFOCUS NIPS 的各路NIPS 是相互独立的，彼此之间没有数据交换，互不干扰，保证

了各链路流量的自身安全；

3. NSFOCUS NIPS 实时监测各种流量，提供从网络层、应用层到内容层的深度安全防护。

图 4.5 NSFOCUS NIPS多链路防护解决方案

4.4.2 交换防护解决方案

企业内部网络根据工作地点和职责，划分为不同的网段，各网段通过交换机连接，进行数据交换。如何有效检测不同网段之间内部数据交换的安全性，是很多网管员关心的问题。

针对以上需求，绿盟科技入侵防护系统提供交换防护的解决方案：

1. NSFOCUS NIPS 类似二层交换机一样，采用一进多出或多进多出的方式，同时与不同网

段相连接，进行数据交换；

2. NSFOCUS

NIPS

实时监测各网段之间的各种流量，提供从网络层、应用层到内容层的深

度安全防护。

图 4.6 NSFOCUS NIPS 交换防护解决方案

4.4.3 路由防护解决方案

目前，很多企业网络连接到互联网，一般在网络边界部署路由器、防火墙以及入侵防护系统，串联的设备比较多，造成网络边界单点故障率提高，影响整个网络安全性。

针对以上网络特点，绿盟科技网络入侵防护系统提供路由防护的解决方案：

1. NSFOCUS NIPS 部署在网络边界，类似于一个路由器，提供静态路由和策略路由，又是

一台防火墙，实现NAT 地址转换和流量管理，提供网络层安全防护，还是一台网络入侵防护系统，实现应用层和内容层的安全防御；

2. NSFOCUS NIPS

深度融合的

IPS/IDS/防火墙集成平台圆满解决了防火墙静态防御和IPS

动态防御的融合难题，为客户提供更全面的入侵防护解决方案。

图 4.7 NSFOCUS NIPS路由防护解决方案

4.4.4 混合防护解决方案

大型企业的网络规模很大，结构相对复杂，不仅有总部，还有各地的分支机构，既要保护网络边界的安全，同时又要保护企业内网的安全。

针对大型企业网络特点，绿盟科技网络入侵防护系统提供混合防护的解决方案：

1. 在总部互联网出入口处在线部署NSFOCUS NIPS，实现路由防护，提供互联网的从网络

层、应用层到内容层的深度安全防护；

2. 在总部内部网段之间以及与分支机构网络之间在线部署NSFOCUS NIPS，提供透明接入

的、独立多路NIPS 一进一出的、交换式NIPS 多进多出的全方位、立体式的安全防护体系，实现内网的安全区域划分和控制；

3. 在企业服务器区旁路部署NSFOCUS NIPS，相当于入侵检测系统，监测、分析服务器区

的安全状况，保护服务器安全；

4. 通过一个绿盟安全中心，

实现对全网

NIPS 设备的集中管理、安全信息的集中分析和处理，

有效解决企业面临的安全问题，提高投资回报率。

图 4.8 NSFOCUS NIPS混合防护解决方案

五. 结论

随着安全漏洞不断被发现，黑客的技巧和破坏能力不断提高，网络受到越来越多的攻击。每天成千上万的蠕虫、病毒、木马、垃圾邮件在网络上传播，阻塞甚至中断网络；BT 、电驴等P2P 下载软件轻易的占据100%的企业网络上行下行带宽；员工沉浸在QQ 、MSN 等聊天或反恐精英、传奇等网络游戏中不能自拔，从而影响了正常的工作。这些新型的混合威胁越

来越给企业造成巨大的损失，而对于上述威胁，传统防火墙、入侵检测系统和防病毒系统都无法有效地阻止。

为了弥补目前安全设备（防火墙、入侵检测等）对攻击防护能力的不足，我们需要一种新的工具用于保护业务系统不受黑客攻击的影响。这种工具不仅仅能够精确识别各种黑客攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。

绿盟网络入侵防护系统提供了业界领先的实时、主动的防护能力，通过新一代的入侵防护技术，绿盟科技的产品和技术能够有效的阻断攻击，保证合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。