聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)產(chǎn)品白皮書

1、聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)產(chǎn)品白皮書聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)產(chǎn)品白皮書v2.0聯(lián)想網(wǎng)御科技（北京）有限公司版權(quán)信息版權(quán)所有 20012007，聯(lián)想網(wǎng)御科技(北京)有限公司本文檔中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬聯(lián)想網(wǎng)御科技(北京)有限公司所有，受國(guó)家有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。如何個(gè)人、機(jī)構(gòu)未經(jīng)聯(lián)想網(wǎng)御科技(北京)有限公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片段。商標(biāo)信息聯(lián)想網(wǎng)御，legend，lenovo，leadsec等標(biāo)識(shí)及其組合是聯(lián)想網(wǎng)御科技(北京)有限公司擁有的商標(biāo)，受商標(biāo)法和有關(guān)國(guó)際公約的保護(hù)。第三方信息本文檔中所涉及

2、到的產(chǎn)品名稱和商標(biāo)，屬于各自公司或組織所有。聯(lián)想網(wǎng)御科技（北京）有限公司lenovo security technologies inc.北京市海淀區(qū)中關(guān)村南大街6號(hào)中電信息大廈8層 1000868/f zhongdian information tower no.6 zhongguancun south street, haidian district, beijing電話(tel)真(fax)術(shù)熱線(customer hotline)子信箱(e-mail)：infosec公司網(wǎng)站：目 錄1、序言42、聯(lián)想網(wǎng)

3、御解決方案ips入侵防護(hù)系統(tǒng)74、聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)系列產(chǎn)品介紹74.1簡(jiǎn)介74.2系統(tǒng)架構(gòu)84.3工作模式95、聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)產(chǎn)品特點(diǎn)95.1聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)專用操作系統(tǒng)的特點(diǎn)和優(yōu)點(diǎn)105.2聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)內(nèi)容處理硬件體系結(jié)構(gòu)135.2.1硬件體系結(jié)構(gòu)簡(jiǎn)介135.2.2內(nèi)容處理加速引擎155.2.3在聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)結(jié)構(gòu)中的高可靠性165.3結(jié)論176、聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)主要功能176.1 動(dòng)態(tài)入侵防護(hù)/保護(hù)176.2防病毒206.3高可靠性（ha）206.4管理功能211、序言近幾年來(lái)，隨著信息化建設(shè)的飛速發(fā)展，信息安全的內(nèi)容也越

4、來(lái)越廣泛，用戶對(duì)安全設(shè)備和安全產(chǎn)品的要求也越來(lái)越高。盡管防火墻、ids等傳統(tǒng)安全產(chǎn)品在不斷的發(fā)展和自我完善，但是道高一尺魔高一丈，黑客們不僅專門針對(duì)安全設(shè)備開(kāi)發(fā)各種工具來(lái)偽裝攻擊、逃避檢測(cè)，在攻擊和入侵的形式上也與應(yīng)用相結(jié)合越來(lái)越緊密。這些都使傳統(tǒng)的安全設(shè)備在保護(hù)網(wǎng)絡(luò)安全上越來(lái)越難?；旌瞎魩?lái)的新挑戰(zhàn)隨著紅色代碼、nimda等有里程碑式的病毒出現(xiàn)，改寫了病毒形態(tài)和病毒的歷史，病毒已經(jīng)不再只具有破壞力。新的病毒已經(jīng)成為黑客的攻擊和入侵手段，借助病毒的傳播方式，黑客們可以輕易地竊取網(wǎng)絡(luò)中的敏感數(shù)據(jù)和信息。黑客程序、木馬、病毒已經(jīng)有機(jī)地結(jié)合起來(lái)，使之成為黑客攻擊的新工具。同時(shí)，木馬、病毒等惡意程序

5、也經(jīng)常通過(guò)郵件、惡意的web網(wǎng)頁(yè)（或者被篡改的web網(wǎng)頁(yè)）、文件下載等傳播途徑使得病毒的危害范圍和擴(kuò)散速度加大。這些都給傳統(tǒng)的安全設(shè)備帶來(lái)新的挑戰(zhàn)。一些老式的防火墻不具備內(nèi)容檢測(cè)的能力，不具備檢測(cè)新型的混合攻擊和防護(hù)的能力。較新的深度檢測(cè)防火墻往往在分片的數(shù)據(jù)包前一籌莫展,所以傳統(tǒng)的防火墻不具備完備的內(nèi)容檢測(cè)能力，無(wú)法做到內(nèi)容安全過(guò)濾。ids設(shè)備雖然可以檢測(cè)網(wǎng)絡(luò)中的攻擊，但是它不能對(duì)攻擊行為進(jìn)行有效的防御和阻斷，ids的大量誤報(bào)也使得管理員難以從大量的日志中找出有價(jià)值的信息。桌面防病毒軟件防護(hù)對(duì)象是終端，往往需要使用者的對(duì)操作系統(tǒng)和其軟件都有較高的操作水平，并且防病毒軟件往往會(huì)限制用戶一些正常

6、操作，為了突破限制用戶會(huì)不得不關(guān)閉防毒軟件，這些都使得防病毒軟件實(shí)施的效果受到了很大的影響，所以不能保障網(wǎng)絡(luò)的安全。什么是ipsips是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)。它監(jiān)視計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并對(duì)它們進(jìn)行分析，以尋找危及信息的機(jī)密性、完整性、可用性或試圖繞過(guò)安全機(jī)制的入侵行為并進(jìn)行有效攔截。（ips）就是自動(dòng)執(zhí)行這種監(jiān)視和分析過(guò)程，并且執(zhí)行阻斷的硬件產(chǎn)品。防火墻的局限性防火墻是阻止黑客攻擊的一種有效手段，但隨著攻擊技術(shù)的發(fā)展，這種單一的防護(hù)手段已不能確保網(wǎng)絡(luò)的安全，它存在以下的弱點(diǎn)和不足：1. 防火墻無(wú)法阻止內(nèi)部人員所做的攻擊防火墻保護(hù)的是網(wǎng)絡(luò)

7、邊界安全，對(duì)在網(wǎng)絡(luò)內(nèi)部所發(fā)生的攻擊行為無(wú)能為力，而據(jù)調(diào)查，網(wǎng)絡(luò)攻擊事件有60%以上是由內(nèi)部人員所為。2. 防火墻對(duì)信息流的控制缺乏靈活性防火墻是依據(jù)管理員定義的過(guò)濾規(guī)則對(duì)進(jìn)出網(wǎng)絡(luò)的信息流進(jìn)行過(guò)濾和控制的。如果規(guī)則定義過(guò)于嚴(yán)格，則限制了網(wǎng)絡(luò)的互連互通；如果規(guī)則定義過(guò)于寬松，則又帶來(lái)了安全隱患。防火墻自身無(wú)法根據(jù)情況的變化進(jìn)行自我調(diào)整。3. 在攻擊發(fā)生后，利用防火墻保存的信息難以調(diào)查和取證在攻擊發(fā)生后，能夠進(jìn)行調(diào)查和取證，將罪犯繩之以法，是威懾網(wǎng)絡(luò)罪犯、確保網(wǎng)絡(luò)秩序的重要手段。防火墻由于自身的功能所限，難以識(shí)別復(fù)雜的網(wǎng)絡(luò)攻擊并保存相關(guān)的信息。為了確保計(jì)算機(jī)網(wǎng)絡(luò)安全，必須建立一整套的安全防護(hù)體系，進(jìn)

8、行多層次、多手段的檢測(cè)和防護(hù)。入侵防護(hù)系統(tǒng)就是安全防護(hù)體系中重要的一環(huán)，它能夠及時(shí)識(shí)別網(wǎng)絡(luò)中發(fā)生的入侵行為并實(shí)時(shí)報(bào)警并且進(jìn)行有效攔截防護(hù)。需要說(shuō)明的是，雖然目前很多防火墻都集成有入侵防護(hù)模塊，但由于技術(shù)和性能上的限制，它們通常只能檢測(cè)少數(shù)幾種簡(jiǎn)單的攻擊，無(wú)法與專業(yè)的入侵防護(hù)系統(tǒng)相比。專業(yè)入侵防護(hù)系統(tǒng)所具有的實(shí)時(shí)性、動(dòng)態(tài)檢測(cè)和主動(dòng)防御等特點(diǎn)，彌補(bǔ)了防火墻等靜態(tài)防御工具的不足。為什么要使用入侵防護(hù)系統(tǒng)對(duì)于一個(gè)行之有效的安全解決方案，它必須考慮當(dāng)前在應(yīng)用和安全上的挑戰(zhàn)。這些挑戰(zhàn)包括： 1) 對(duì)分布式應(yīng)用的依賴性不斷增強(qiáng) 各個(gè)機(jī)構(gòu)日益依賴基于web的應(yīng)用和業(yè)務(wù)級(jí)的分布式應(yīng)用來(lái)開(kāi)展業(yè)務(wù)。分支機(jī)構(gòu)和生產(chǎn)部

9、門也會(huì)通過(guò)廣域網(wǎng)從遠(yuǎn)程訪問(wèn)crm和erp等關(guān)鍵應(yīng)用。 2) 網(wǎng)絡(luò)化應(yīng)用容易受到攻擊 由于80、139等端口通常是打開(kāi)的，因此如果不對(duì)借助這些端口穿越防火墻進(jìn)入網(wǎng)絡(luò)的流量進(jìn)行檢測(cè)，網(wǎng)絡(luò)化應(yīng)用將非常容易遭到病毒、入侵、蠕蟲和dos等形式的攻擊。為保護(hù)網(wǎng)絡(luò)化應(yīng)用的安全，需要對(duì)所有流量進(jìn)行深入的數(shù)據(jù)包檢測(cè)，以實(shí)時(shí)攔截攻擊，并且防止安全性侵害進(jìn)入網(wǎng)絡(luò)并威脅各個(gè)應(yīng)用。 3) 呈爆炸性增長(zhǎng)的攻擊 應(yīng)用攻擊的數(shù)量和嚴(yán)重性都在飛快地增長(zhǎng)，僅2003年就出現(xiàn)了4200多種攻擊形式，而且這一數(shù)字每年都會(huì)翻一番。 4) 相應(yīng)地，這些攻擊造成的損失也呈直線上升趨勢(shì)。據(jù)報(bào)道，2003年8月成為it歷史上最糟的一個(gè)月。在該

10、月，僅sobig病毒就在全球造成了297億美元的經(jīng)濟(jì)損失。 5) 當(dāng)前的安全工具無(wú)法攔截這些攻擊 在應(yīng)用層的攻擊面前，防火墻、ids以及防病毒網(wǎng)關(guān)等現(xiàn)有的安全工具缺乏相應(yīng)的處理能力、性能和應(yīng)用安全智能，從而使各個(gè)機(jī)構(gòu)暴露無(wú)遺。 因此，一種能用數(shù)千兆位的速度對(duì)所有流量進(jìn)行雙向掃描并且可以實(shí)時(shí)防范各種應(yīng)用層攻擊（比如蠕蟲、病毒、木馬和dos攻擊）的內(nèi)置安全解決方案，無(wú)疑已成為當(dāng)務(wù)之急。 聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)在業(yè)內(nèi)首先提供了以快速防范入侵和拒絕服務(wù)攻擊的產(chǎn)品。該產(chǎn)品可以實(shí)時(shí)地隔離、攔截和阻止各種應(yīng)用攻擊，從而為所有網(wǎng)絡(luò)化應(yīng)用、用戶和資源提供了直接保護(hù)。2、聯(lián)想網(wǎng)御解決方案ips入侵防護(hù)系統(tǒng)針對(duì)

11、以上的各種不安全以及難以管理的因素，網(wǎng)御ips入侵防護(hù)系統(tǒng)作為信息安全的新一代門戶，就應(yīng)運(yùn)而生了。自2001年聯(lián)想網(wǎng)御開(kāi)始研發(fā)帶入侵防御系統(tǒng)模塊的防火墻以來(lái)，經(jīng)過(guò)不斷地努力，在2007年第一季度我們即將實(shí)現(xiàn)聯(lián)想ips入侵防護(hù)系統(tǒng)產(chǎn)品上市的夢(mèng)想。在眾多國(guó)內(nèi)乃至全球安全廠商中，聯(lián)想網(wǎng)御是研發(fā)ips入侵防護(hù)系統(tǒng)產(chǎn)品的領(lǐng)跑者，在2002年就取得多項(xiàng)該領(lǐng)域的技術(shù)專利。 聯(lián)想網(wǎng)御通過(guò)對(duì)入侵防護(hù)、防火墻的整合和改良，使ips入侵防護(hù)系統(tǒng)產(chǎn)品可以很好地防御目前流行的混合型數(shù)據(jù)攻擊的威脅。這些特性和技術(shù)使得it管理人員可以很容易地控制如instant message信息和p2p應(yīng)用的傳輸，并且阻斷來(lái)自內(nèi)部的數(shù)據(jù)

12、攻擊以及垃圾數(shù)據(jù)流的泛濫。同時(shí)，設(shè)備可以支持動(dòng)態(tài)的行為特征庫(kù)更新，更具備7層的數(shù)據(jù)包檢測(cè)能力。完全克服了目前市場(chǎng)上深度包檢測(cè)的技術(shù)弱點(diǎn)。特別針對(duì)分包攻擊的內(nèi)容效果明顯。 為了突破硬件平臺(tái)限制，聯(lián)想網(wǎng)御采用專用的asic芯片來(lái)完成對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容檢測(cè)，打破了傳統(tǒng)防火墻內(nèi)容處理障礙 ，提供了實(shí)時(shí)入侵防護(hù)功能所需的強(qiáng)大計(jì)算處理功能。4、聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)系列產(chǎn)品介紹4.1簡(jiǎn)介作為國(guó)內(nèi)領(lǐng)先的專業(yè)的防火墻/vpn廠商，聯(lián)想網(wǎng)御在服務(wù)用戶的過(guò)程中，很早就認(rèn)識(shí)到傳統(tǒng)安全設(shè)備的局限性。早在2001年，我們?cè)趪?guó)內(nèi)率先推出集防火墻、防病毒、ids功能于一身的產(chǎn)品，并申請(qǐng)了發(fā)明專利（專利號(hào): 011091

13、789）。近年來(lái)一直在技術(shù)上努力創(chuàng)新，針對(duì)多安全功能整合、并行處理等方面進(jìn)行軟件體系結(jié)構(gòu)的改進(jìn)和優(yōu)化，并尋找合適的高性能硬件平臺(tái)。同時(shí)，由于ips入侵防護(hù)系統(tǒng)涉及技術(shù)非常全面，既有網(wǎng)絡(luò)層、傳輸層安全也有應(yīng)用層安全技術(shù)，既有軟件技術(shù)也有硬件技術(shù)，不可能由一家公司獨(dú)立完成，必須廣泛合作，尤其是和業(yè)界領(lǐng)先廠商合作。2005年，聯(lián)想網(wǎng)御專門赴美國(guó)硅谷技術(shù)考察，并且成功地和多家頂級(jí)安全軟硬件廠商展開(kāi)深入合作。終于在2007年q1成功推出了成熟的ips入侵防護(hù)系統(tǒng)產(chǎn)品。目前，聯(lián)想網(wǎng)御已經(jīng)擁有提供業(yè)界最優(yōu)秀ips入侵防護(hù)系統(tǒng)產(chǎn)品的能力，產(chǎn)品線覆蓋百兆、千兆ips入侵防護(hù)系統(tǒng)。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)產(chǎn)品采

14、用了獨(dú)特的高性能、高安全性、高可靠性的操作系統(tǒng)，提高了自身安全性的同時(shí)，加速了多線程的內(nèi)容處理，為運(yùn)行在其上層的防火墻、vpn、防病毒等安全引擎提供了強(qiáng)大而安全的性能支持。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)使用了專門的asic內(nèi)容處理加速芯片，大大提高了系統(tǒng)的內(nèi)容處理能力，為特征匹配，加解密，啟發(fā)式掃描提供了硬件加速。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)在各個(gè)安全引擎中運(yùn)用了新的算法和技術(shù)，針對(duì)傳統(tǒng)包過(guò)濾無(wú)法檢測(cè)的威脅；針對(duì)未知的攻擊行為，使用了實(shí)時(shí)動(dòng)態(tài)保護(hù)技術(shù)。4.2系統(tǒng)架構(gòu)聯(lián)想網(wǎng)御power v ips入侵防護(hù)系統(tǒng)主要由硬件平臺(tái)、專用操作系統(tǒng)、ips管理服務(wù)系統(tǒng)、ips安全引擎等四個(gè)部分組成。硬件平臺(tái)根據(jù)用

15、戶使用環(huán)境的不同，選取專用安全平臺(tái)或基于高性能服務(wù)器架構(gòu)進(jìn)行設(shè)計(jì)，并且使用專門asic內(nèi)容處理芯片進(jìn)行掃描和模式匹配的加速；專用操作系統(tǒng)為自主研發(fā)的高效強(qiáng)化安全的實(shí)時(shí)嵌入式操作系統(tǒng)；ips安全引擎采用模塊化設(shè)計(jì)，針對(duì)不同的應(yīng)用環(huán)境和不同的安全策略，可以配置不同的功能模塊。入 侵 防 護(hù)cliha報(bào)警日志監(jiān)控高效強(qiáng)化安全的操作系統(tǒng)cpuasic內(nèi)容處理芯片4.3工作模式聯(lián)想網(wǎng)御全系列產(chǎn)品均采用聯(lián)想網(wǎng)御新一代多安全域設(shè)計(jì)， ips入侵防護(hù)系統(tǒng)系列產(chǎn)品多口的硬件設(shè)計(jì)可以使多安全域需求得到完全的滿足，完全突破了傳統(tǒng)的內(nèi)網(wǎng)、外網(wǎng)、?；饏^(qū)的理念，可以根據(jù)企業(yè)內(nèi)部不同的部門設(shè)置不同的互通安全規(guī)則，使得不僅在

16、內(nèi)網(wǎng)與外網(wǎng)的安全得到保障，同時(shí)保障了企業(yè)內(nèi)部不同部門之間的安全需求。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)支持全透明交換工作模式，與網(wǎng)御ips入侵防護(hù)系統(tǒng)可連接各個(gè)網(wǎng)絡(luò)之間構(gòu)成一個(gè)統(tǒng)一的交換式物理子網(wǎng)，子網(wǎng)內(nèi)部還可以有自己的第二級(jí)路由器。除安全管理以外，防火墻本身的工作不需要ip地址，為隱式全透明防火墻。這樣一方面大大降低了防火墻自身受到攻擊的可能性，另一方面也使系統(tǒng)安裝變得十分簡(jiǎn)單，不再需要改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)與設(shè)備的網(wǎng)絡(luò)設(shè)置，即不需要重新劃分網(wǎng)段和調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。同時(shí)強(qiáng)化了對(duì)虛擬局域網(wǎng)（vlan）和生成樹(shù)協(xié)議（stp）的支持。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)同時(shí)支持路由工作模式，與網(wǎng)御防火墻powe

17、r v ips入侵防護(hù)系統(tǒng)可連接不同的物理網(wǎng)段。防火墻接口可以通過(guò)配置別名設(shè)備，可以使得一個(gè)物理接口上綁定多個(gè)ip地址。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)還支持集群工作模式，可以通過(guò)多臺(tái)防火墻的集群提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的可靠性，降低出現(xiàn)網(wǎng)絡(luò)中斷的風(fēng)險(xiǎn)。5、聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)產(chǎn)品特點(diǎn)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)的完善體系結(jié)構(gòu)包括兩大部分：強(qiáng)化安全的專用操作系統(tǒng)和模塊化硬件系統(tǒng)。以下分別介紹這兩大部分5.1聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)專用操作系統(tǒng)的特點(diǎn)和優(yōu)點(diǎn)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)操作系統(tǒng)是專用的、實(shí)時(shí)的強(qiáng)化安全的操作系統(tǒng)，它在全平臺(tái)上支持病毒掃描，內(nèi)容過(guò)濾，sateful檢測(cè)防火墻，ip安全（ipse

18、c）vpn，基于網(wǎng)絡(luò)的ids和流量管理應(yīng)用。以下介紹其設(shè)計(jì)特點(diǎn)、應(yīng)用級(jí)和網(wǎng)絡(luò)級(jí)功能，以及高性能，高可靠性，高靈活性和擴(kuò)展性。 高性能并行處理聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)高端產(chǎn)品設(shè)計(jì)為雙cpu。 利用對(duì)稱多處理技術(shù)，有效地分解和協(xié)調(diào)在雙處理器之間不同的任務(wù)。 在任一特定時(shí)間， 兩個(gè)處理器都負(fù)載在最佳的處理水平。 由于利用了專門的算法， 任務(wù)切分和協(xié)調(diào)過(guò)程中的消耗減到了最小程度。 實(shí)時(shí)體系結(jié)構(gòu)與非實(shí)時(shí)os（例如許多防火墻和設(shè)備采用的不同風(fēng)格的linux）相比，聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)操作系統(tǒng)是使數(shù)據(jù)流程處理達(dá)到優(yōu)化的實(shí)時(shí)操作系統(tǒng)。在非實(shí)時(shí)os中，核心并不總是對(duì)輸入的數(shù)據(jù)包觸發(fā)的中斷作出及時(shí)反應(yīng)；這

19、不僅使數(shù)據(jù)包排隊(duì)時(shí)間增長(zhǎng)， 而且造成系統(tǒng)資源（例如內(nèi)存）不能有效地利用，因而增加了丟包率。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)操作系統(tǒng)的設(shè)計(jì)集成了智能排隊(duì)和管道管理， 與包的到達(dá)/處理相關(guān)的系統(tǒng)中斷得到立刻的重視。同時(shí)，基于內(nèi)容處理加速模塊的硬件加速使各種類型流量的處理時(shí)間達(dá)到最小，加上最短的排隊(duì)時(shí)間，從而給用戶提供了最好的實(shí)時(shí)系統(tǒng)。 實(shí)時(shí)內(nèi)容級(jí)智能常規(guī)的安全網(wǎng)關(guān)設(shè)計(jì)有兩類：狀態(tài)包檢測(cè)（基于流程的,flow-based）和應(yīng)用代理（ proxy）。在基于流程的網(wǎng)關(guān)中，安全策略是大多在包一級(jí)定義和執(zhí)行的（雖然狀態(tài)檢測(cè)對(duì)一定類型的流量保持會(huì)話上下文）。 這種方法因?yàn)榘谔幚砗篑R上送走, 而導(dǎo)致高處理速度和高

20、吞吐量； 但是， 由于處理是在包一級(jí)的， 系統(tǒng)不理解高一級(jí)語(yǔ)言，（例如協(xié)議）或目標(biāo)（例如文件），因此不能識(shí)別有害的腳本、病毒攻擊、或不想要的內(nèi)容。相比之下，基于代理的系統(tǒng)，安全網(wǎng)關(guān)終斷進(jìn)入和流出的會(huì)話，檢測(cè)包，將它們重新組合為原始的數(shù)據(jù)流，理解會(huì)話的當(dāng)前狀態(tài)，并能夠?qū)︻A(yù)先定義的違規(guī)、或動(dòng)態(tài)產(chǎn)生的安全或網(wǎng)絡(luò)策略進(jìn)行檢測(cè)內(nèi)容。這種方法有足夠的智能在應(yīng)用級(jí)運(yùn)作，因而能進(jìn)行應(yīng)用級(jí)處理。但是，重新組合所有的包和檢測(cè)數(shù)據(jù)流需要耗費(fèi)大量的計(jì)算資源，那會(huì)使基于代理的網(wǎng)關(guān)變得性能減低許多。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)設(shè)計(jì)為綜合基于流程的和基于代理的兩者優(yōu)點(diǎn)，而同時(shí)又克服它們的弱點(diǎn)。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)設(shè)計(jì)為

21、具有基于流程的檢測(cè)引擎和多應(yīng)用級(jí)代理（http, smtp,pop3, imap等）。專利設(shè)計(jì)在包檢測(cè)和代理之間給出最佳的協(xié)調(diào)。由內(nèi)容加速單元提供了基于代理系統(tǒng)的智能，而在性能上達(dá)到通常只有基于流程的系統(tǒng)才能達(dá)到的水平。結(jié)果使聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)不僅能達(dá)到常規(guī)的網(wǎng)絡(luò)級(jí)安全, 例如防火墻，vpn和nids，而且能在網(wǎng)絡(luò)界面邊緣高速地處理應(yīng)用級(jí)安全功能，例如病毒與蠕蟲掃描、url和關(guān)鍵詞內(nèi)容過(guò)濾、跨過(guò)防火墻的話音voice over ip (voip)。 完整的投資保護(hù)和完整的網(wǎng)絡(luò)保護(hù)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)專用操作系統(tǒng)設(shè)計(jì)的另一個(gè)優(yōu)點(diǎn)是能適應(yīng)新的功能和應(yīng)用。模塊化設(shè)計(jì)使得能方便地添入或修

22、改新的代理。在引入新的協(xié)議和業(yè)務(wù)時(shí)，不需要改變整個(gè)操作系統(tǒng)結(jié)構(gòu)（或硬件系統(tǒng)結(jié)構(gòu)）。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)專用操作系統(tǒng)適應(yīng)支持voip nat的能力就代表了操作系統(tǒng)靈活性的一個(gè)很好的例子。使用得越來(lái)越多的voip，協(xié)議比較復(fù)雜，例如h.323, mgcp, sip等，不能由常規(guī)的網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻來(lái)防護(hù)。如果不使用代理，為了讓voip通行，voip網(wǎng)關(guān)要求在防火墻中打開(kāi)“洞”。然而，這些洞往往會(huì)被入侵者利用，利用話音業(yè)務(wù)來(lái)?yè)p壞防火墻，并增加未經(jīng)容許的網(wǎng)絡(luò)接入。如果網(wǎng)絡(luò)保護(hù)網(wǎng)關(guān)能理解復(fù)雜的voip協(xié)議，它們就能處理voip業(yè)務(wù)安全，不需要開(kāi)“洞”，而“洞”往往會(huì)讓voip和潛在的有害流量通過(guò)。

23、如上所述，基于流程的網(wǎng)關(guān)一般缺少智能來(lái)理解復(fù)雜的高級(jí)的協(xié)議，而常規(guī)的基于代理的設(shè)計(jì)缺少必要的性能，來(lái)處理對(duì)延遲敏感的話音，以免引入不能接受的抖動(dòng)和延遲。 這就是聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)專用操作系統(tǒng)的立足之處：它能容易地適應(yīng)h.323協(xié)議，分隔h.323信息本體。高性能的操作系統(tǒng)核心，結(jié)合專門建立的內(nèi)容處理加速硬件，能使聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)適合新的應(yīng)用，而無(wú)須重新設(shè)計(jì)系統(tǒng)或?qū)τ布?jí)作大的改動(dòng)。 提供分區(qū)間安全的虛擬系統(tǒng)支撐用戶能夠建立一個(gè)單個(gè)的聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)單元行為，就好象它包含大量的獨(dú)立的“虛擬系統(tǒng)”，它們提供專門的服務(wù)，對(duì)各個(gè)部門或用戶分別具有自己獨(dú)特的策略。聯(lián)想網(wǎng)御i

24、ps入侵防護(hù)系統(tǒng)體系結(jié)構(gòu)中設(shè)計(jì)了虛擬系統(tǒng)支撐。符合802.1q標(biāo)準(zhǔn)的一個(gè)或多個(gè)vlan能被映射到一個(gè)虛擬系統(tǒng)，帶有vlan中繼支撐的交換機(jī)/路由器與聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)的物理接口相連接。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)能提供多達(dá)500個(gè)虛擬系統(tǒng)?；诮巧墓芾碓试S不同的管理員僅管理它們授權(quán)的虛擬系統(tǒng)，使它們建立和維護(hù)它們自己的一套安全策略、地址和地址組， 以及監(jiān)視系統(tǒng)狀態(tài)。 提供closed-loop 保護(hù)的體系結(jié)構(gòu)常規(guī)入侵檢測(cè)系統(tǒng)的主要問(wèn)題正在于檢測(cè)系統(tǒng)本身，因?yàn)樗鼈冎粰z測(cè)，提供報(bào)告，但不能防護(hù)或防止攻擊。主要原因在于大多數(shù)ids, 例如防火墻，防病毒掃描，是在點(diǎn)上的解決辦法，它們互相不通氣

25、。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)專用操作系統(tǒng)平臺(tái)組成了一個(gè)共框架，它無(wú)縫地自然地集成了所有支持的應(yīng)用。當(dāng)系統(tǒng)中的nids模塊檢測(cè)一個(gè)攻擊時(shí)，它能采用一個(gè)或多個(gè)防護(hù)措施，例如重新設(shè)置連接， 放棄與攻擊相關(guān)的包，告示防火墻阻擋攻擊，或等候到攻擊指示燈顯示達(dá)到某個(gè)門限。這是一種“closed loop”保護(hù)，根據(jù)這一強(qiáng)有力的概念， 將被動(dòng)防護(hù)變?yōu)橹鲃?dòng)防護(hù)。 高可用性(ha)的備份保護(hù)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)通常用于關(guān)鍵任務(wù)環(huán)境，例如運(yùn)營(yíng)服務(wù)商基礎(chǔ)設(shè)施或大型企業(yè)，不能容忍由于任一點(diǎn)故障的業(yè)務(wù)丟失。用戶使用備分的一對(duì)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)單元，并利用專用冗余協(xié)議，來(lái)確保萬(wàn)一有故障發(fā)生時(shí)的故障恢復(fù)零中斷

26、。正如支持高可用性的其它協(xié)議一樣，例如vrrp和路由器故障恢復(fù)零中斷的hsrp，聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)專用冗余協(xié)議提供安全會(huì)話的故障恢復(fù)零中斷。協(xié)議中包含幾項(xiàng)技術(shù)，包括： 連續(xù)地ping互相連接，以證實(shí)備份中的每一伙伴處在健康狀態(tài)中。 如果有一個(gè)模塊發(fā)生故障或無(wú)電， 業(yè)務(wù)會(huì)轉(zhuǎn)到另一個(gè)系統(tǒng)中。 鏈接狀態(tài)監(jiān)視 監(jiān)視上行和下行交換機(jī)/路由器的流量狀態(tài)，聚焦于為維持連接而從待命狀態(tài)轉(zhuǎn)到使用狀態(tài)。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)能利用專用冗余協(xié)議，配置為完全的備份環(huán)境， 使得沒(méi)有單個(gè)點(diǎn)的故障。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)能配置為支持熱備份模式或雙機(jī)容錯(cuò)（active-active）負(fù)載共享模式。5.2聯(lián)想網(wǎng)

27、御ips入侵防護(hù)系統(tǒng)內(nèi)容處理硬件體系結(jié)構(gòu)5.2.1硬件體系結(jié)構(gòu)簡(jiǎn)介聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)設(shè)計(jì)為傳送高速度的吞吐量，并優(yōu)化為第七層， 以及第二層和第三層包處理。系統(tǒng)由以下四個(gè)主要部分組成：聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)內(nèi)容處理硬件體系結(jié)構(gòu)1 內(nèi)容處理加速模塊content processing acceleration module(cpam)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)中有兩個(gè)部件，每一個(gè)由一個(gè)內(nèi)容處理芯片和一個(gè)內(nèi)容處理加速單元組成。內(nèi)容處理加速單元有一個(gè)專用的內(nèi)容檢測(cè)處理器，它與其它專用硬件一起，優(yōu)化為強(qiáng)化內(nèi)容搜索，模式識(shí)別，和數(shù)據(jù)分析大多數(shù)時(shí)間消耗在病毒掃描，內(nèi)容過(guò)濾和基于網(wǎng)絡(luò)的入侵檢測(cè)。

28、內(nèi)容處理芯片包含一個(gè)專利的內(nèi)容處理引擎，以及加密加速引擎和內(nèi)置的防火墻策略引擎。 這些引擎分別處理防病毒和蠕蟲探測(cè)，nids特征探測(cè)，des、3des、aes加速，加密，nat,和執(zhí)行防火墻策略。cpam 模塊有專用的快速存儲(chǔ)器，所以很少要求通過(guò)總線與管理模塊中的系統(tǒng)內(nèi)存相交互。正是由于這一有效的數(shù)據(jù)流動(dòng)體系結(jié)構(gòu)， 聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)能達(dá)到應(yīng)用層內(nèi)容處理的高吞吐量。2 管理模塊 management module(mm) - mm 是基于高性能處理器設(shè)計(jì)。管理模塊的功能是流程控制， 和處理不能被內(nèi)容處理加速模塊有效處理的包和流量。mm還支持各種管理接口和相關(guān)的功能（gui，cli, s

29、nmp等）。3 背板總線模塊 backplane bus module(bbm） - bbm由數(shù)據(jù)通道(datapath)和管理總線組成。 這一模塊的特點(diǎn)是多總線設(shè)計(jì)， 它控制在兩條不同的總線上發(fā)生的信息和數(shù)據(jù)交換控制在管理通道（management path）上的信息流程，和數(shù)據(jù)通道上模塊行程之間的數(shù)據(jù)交換，以提供負(fù)載流量能力。這一設(shè)計(jì)實(shí)現(xiàn)了在不同模塊之間的高效率通信。4 接口模塊 interface module(im) - 支持輸入/輸出接口， 流量通過(guò)這些物理接口進(jìn)入和離開(kāi)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)系統(tǒng)。根據(jù)流量的特點(diǎn)，包被路由到管理模塊或內(nèi)容控制處理加速模塊去處理。注意， 如果vla

30、n/虛擬系統(tǒng)支撐是設(shè)置為接通的，流經(jīng)過(guò)一個(gè)物理接口的數(shù)據(jù)能代表從多個(gè)子網(wǎng)絡(luò)的流量，取決于不同的安全策略。5.2.2內(nèi)容處理加速引擎聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)內(nèi)容處理器利用模塊設(shè)計(jì)，包含有四個(gè)數(shù)據(jù)處理引擎： 特征掃描引擎 該引擎支持高速掃描病毒， 蠕蟲和入侵攻擊特征以及被禁止的內(nèi)容。關(guān)鍵的部件是模式匹配模塊， 它將文件的一個(gè)一個(gè)字節(jié)， 與表示病毒、蠕蟲和入侵攻擊存在或黑名單上的內(nèi)容的數(shù)據(jù)庫(kù)相匹配。病毒和蠕蟲特征存儲(chǔ)在專用的高速存儲(chǔ)器中， 它直接被內(nèi)容處理器存取， 而任何數(shù)據(jù)不在數(shù)據(jù)通道上傳輸。這一方法將掃描活動(dòng)與包傳輸完全隔離， 從而使聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)能在支持應(yīng)用層處理時(shí)不降低系統(tǒng)性能

31、。當(dāng)流量從一個(gè)應(yīng)用層協(xié)議http, snmp, pop3 imap之一 傳到達(dá)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)時(shí)，專用操作系統(tǒng)將包導(dǎo)向到內(nèi)容處理加速芯片， 它在專門的掃描存儲(chǔ)器中將包組合為文件。掃描引擎將數(shù)據(jù)與直接與它連接的高速存儲(chǔ)器中的特征數(shù)據(jù)庫(kù)匹配。 一旦掃描完成， 掃描引擎向管理模塊接口告示掃描的結(jié)果， 并接受下一批數(shù)據(jù)。操作在被檢測(cè)有攻擊時(shí)進(jìn)行，或者整個(gè)文件被掃描時(shí)進(jìn)行。 加密引擎內(nèi)容處理器提供高性能加密引擎， 支持des, triple-des, aes加密。triple-des的吞吐量高達(dá)600mbps. 安全策略引擎這一子系統(tǒng)提供包和協(xié)議的分隔(parsing)，是能快速對(duì)策略匹配包流

32、程的關(guān)鍵。策略引擎處理防火墻功能， 例如地址翻譯和狀態(tài)檢測(cè)， 管理包的重新組合和分裂。 內(nèi)容處理加速單元（cpau）內(nèi)容處理加速單元（cpau） 是作為一個(gè)額外的加速引擎， 進(jìn)一步加速應(yīng)用層處理。cpau在建立和管理會(huì)話相關(guān)的強(qiáng)化處理任務(wù)中擔(dān)負(fù)著重要的角色，包含了公共秘鑰(public key cryptography) 引擎 ，以加速秘鑰的產(chǎn)生和改變。cpau是可編程的并可用軟件升級(jí)的, 以便適應(yīng)新的算法和應(yīng)用。5.2.3在聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)結(jié)構(gòu)中的高可靠性聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)是為滿足大型企業(yè)和運(yùn)營(yíng)服務(wù)商設(shè)計(jì)的， 高可靠性是設(shè)計(jì)中最重要的考慮因素。 在部件級(jí)，使用高質(zhì)量部件，部

33、件均由獲得iso-9000認(rèn)證的提供商提供 高端設(shè)備采用雙cpu處理器體系結(jié)構(gòu)， 使其中一個(gè)cpu在另一個(gè)cpu出現(xiàn)故障時(shí)承擔(dān)負(fù)載 利用誤差檢測(cè)和校正存儲(chǔ)，以防止存儲(chǔ)故障 高端設(shè)備采用冗余、熱備份的電源，冗余、熱備份的電扇組合，以保證連續(xù)的運(yùn)作和在線維修， 不會(huì)造成停機(jī)。為了保證最大的可靠性， 可將聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)配置為冗余、高可用性模式，熱備份單元使得在單元發(fā)生故障時(shí)能維持當(dāng)前的會(huì)話。5.3結(jié)論聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)設(shè)計(jì)為不僅可以處理網(wǎng)絡(luò)層安全，而且具有應(yīng)用層功能，包括其他如病毒和蠕蟲掃描和內(nèi)容過(guò)濾。聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)裝有強(qiáng)化安全的、實(shí)時(shí)的操作系統(tǒng)，采用故障恢復(fù)零中斷備

34、份邏輯，和利用專門的內(nèi)容處理加速單元加速，是一個(gè)無(wú)與倫比的網(wǎng)絡(luò)安全網(wǎng)關(guān)。 它提供給大企業(yè)和運(yùn)營(yíng)服務(wù)商高性能、高可靠性、高安全性。其體系結(jié)構(gòu)還保證了對(duì)新業(yè)務(wù)的快速適應(yīng)，而不需要改變硬件。采用一個(gè)在單個(gè)的單元上運(yùn)行的集成的安全和內(nèi)容管理功能，預(yù)付出的采購(gòu)設(shè)備的成本和運(yùn)行中的管理成本均可大大地減少。從而，在低成本和保護(hù)投資的同時(shí)，用戶的安全性和生產(chǎn)率得到很好改善。6、聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)主要功能6.1 動(dòng)態(tài)入侵防護(hù)/保護(hù)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)先進(jìn)的入侵檢測(cè)/防御技術(shù)包括： 狀態(tài)檢測(cè) 內(nèi)容重組 通信協(xié)議檢測(cè) 應(yīng)用協(xié)議檢測(cè) 內(nèi)容檢測(cè)圖： 聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)先進(jìn)的入侵檢測(cè)/防御技術(shù)聯(lián)想網(wǎng)

35、御ips入侵防護(hù)系統(tǒng)的異常檢測(cè)技術(shù)是通過(guò)分析整個(gè)數(shù)據(jù)包進(jìn)行的，它遠(yuǎn)比基于特征的ids 更強(qiáng)，包括包頭、協(xié)議信息、應(yīng)用信息、包內(nèi)容和會(huì)話行為等。通過(guò)分別運(yùn)用6 個(gè)完全內(nèi)容重組和關(guān)聯(lián)的檢測(cè)過(guò)程和動(dòng)態(tài)威脅防御系統(tǒng)，詳細(xì)地會(huì)話信息被跟蹤和分析，以檢測(cè)出最先進(jìn)的威脅和未知的“零小時(shí)”（zero-hour）攻擊。這些攻擊包括：基于網(wǎng)絡(luò)的蠕蟲和木馬 野蠻攻擊 碎片不良數(shù)據(jù)包 cross-site 腳本 directory traversal拒絕服務(wù) 信息查詢 會(huì)話劫持欺騙 緩沖區(qū)溢出 無(wú)端注入及其他。 狀態(tài)檢測(cè)引擎：狀態(tài)檢測(cè)引擎是設(shè)計(jì)為跟蹤每一個(gè)經(jīng)過(guò)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)的會(huì)話的所有通信層包括基于連接和

36、非基于連接的協(xié)議。它保存積累的狀態(tài)和會(huì)話信息，以確保每一個(gè)會(huì)話后續(xù)的包能被正確的發(fā)送和接收。 內(nèi)容重組模塊：內(nèi)容重組模塊重組所有的數(shù)據(jù)包，以保證包能以正確的順序排列。這樣就可以去掉那些重疊的分段、重復(fù)的分段、大小無(wú)效的包、偏移量無(wú)效的包過(guò)濾許多基于碎片、不合法偏移量、fragroute 逃避等的攻擊。 通信協(xié)議檢測(cè)引擎：通信協(xié)議檢測(cè)引擎保證協(xié)議確實(shí)是有效的，包括tcp、udp、icmp 等。所有的協(xié)議頭都需要對(duì)語(yǔ)法和語(yǔ)義的合法性及進(jìn)行檢驗(yàn)，帶有不良協(xié)議信息的包將被識(shí)別出來(lái)并阻擋。 應(yīng)用協(xié)議檢測(cè)引擎：應(yīng)用協(xié)議檢測(cè)引擎確保協(xié)議頭符合合法的語(yǔ)法和語(yǔ)義。協(xié)議頭數(shù)值的有效性被驗(yàn)證，溢出被阻止。合法的應(yīng)用

37、如telnet、ftp、http、smtp、pop3等的一致性被檢查，而有害應(yīng)用如backorifice、subseven、tfn2k 等被識(shí)別出來(lái)，并在它們可能對(duì)網(wǎng)絡(luò)造成危害之前被阻擋。 內(nèi)容檢測(cè)模塊：內(nèi)容檢測(cè)模塊分析應(yīng)用負(fù)載，尋找已知和未知的惡意內(nèi)容。內(nèi)容檢測(cè)模塊使用復(fù)雜的評(píng)估系統(tǒng)和會(huì)話行為模板來(lái)進(jìn)行深度包分析，并在應(yīng)用內(nèi)容類型之間加以區(qū)別，以確保對(duì)每一個(gè)會(huì)話流量的最大檢測(cè)能力。 行為檢測(cè)模塊：行為檢測(cè)模塊將異常檢測(cè)帶到一個(gè)新的水平。通過(guò)將雙向會(huì)話信息的關(guān)聯(lián)、數(shù)據(jù)信息、通道信息、控制信息、活動(dòng)會(huì)話和僵尸會(huì)話信息匯集到一起進(jìn)行分析。隨著流量信息的積累，系統(tǒng)開(kāi)發(fā)出正常流量模板知識(shí)，當(dāng)有不良和異常流量流經(jīng)聯(lián)想網(wǎng)御ips入侵防護(hù)系統(tǒng)，它們會(huì)很快被識(shí)別并阻擋。 動(dòng)態(tài)威脅防御系統(tǒng)：動(dòng)態(tài)威脅防御系統(tǒng)將各種檢測(cè)過(guò)程關(guān)聯(lián)在一