IPS解決方案建議

1、采用入侵防御系統(tǒng)增強網(wǎng)絡(luò)安全建議目 錄1.需求分析41.1權(quán)威研究報告指出系統(tǒng)入侵/滲透是目前最大的安全威脅41.2現(xiàn)有的安全架構(gòu)無法應(yīng)對系統(tǒng)入侵的新威脅41.3安全缺口在擴大61.4系統(tǒng)和網(wǎng)絡(luò)安全面臨的實際問題72.問題解決之道 采用IPS增強網(wǎng)絡(luò)安全83.IPS部署方案設(shè)計93.1設(shè)計原則93.2IPS部署設(shè)計10總體部署方案10IPS的工作模式11安全防護設(shè)計13網(wǎng)絡(luò)架構(gòu)防護163.3網(wǎng)管設(shè)計19可靠性設(shè)計223.4合理化建議（拓展IPS和SMS功能） 問題端點隔離技術(shù)25圖例圖 1 權(quán)威調(diào)查揭示2/3的受訪者認為系統(tǒng)滲透/入侵是面臨的最大安全威脅3圖 2 現(xiàn)有的FW無法識別攔截應(yīng)用層面

2、攻擊3圖 3 攻擊歷史回顧提醒我們?nèi)湎x的快速傳播曾造成巨大損失3圖 4 安全缺口在不斷擴大3圖 5 IPS提供主動和自動化的安全防護3圖 6 IPS部署總體設(shè)計3圖 7 靈活部署- 從核心到邊界3圖 8 TippingPoint IPS三大應(yīng)用場景3圖 9 IPS 部署 應(yīng)用防護3圖 10 虛擬軟件補丁3圖 11 IPS部署 網(wǎng)絡(luò)架構(gòu)防護3圖 12 IPS部署- 性能防護3圖 13 IPS安全管理設(shè)計3圖 14 安全管理系統(tǒng)3圖 15 SMS儀表板3圖 16 本地安全管理系統(tǒng)3圖 17 掉電旁路保護設(shè)備 - ZPHA3圖 18 DMZ區(qū)IPS高可靠性設(shè)計3圖 19 內(nèi)置系統(tǒng)故障旁路3圖 20

3、雙機冗余設(shè)計3圖 21 IPS和SMS功能擴展 問題端點隔離功能31. 需求分析1.1 權(quán)威研究報告指出系統(tǒng)入侵/滲透是目前最大的安全威脅VanDyke Software 組織的一次廣泛而具有影響力的調(diào)查顯示，66% 的公司認為系統(tǒng)滲透是政府、組織和企業(yè)所面臨的最大威脅。 該項調(diào)查還顯示，被調(diào)查企業(yè)所經(jīng)歷的最為嚴重的八種威脅分別是：病毒（占 78%）、系統(tǒng)滲透（占 50%）、DoS (占 40%)、內(nèi)部人員錯誤操作（占 29%）、電子欺詐（占 28%）、數(shù)據(jù)或網(wǎng)絡(luò)故障（占 20%）以及內(nèi)部人員的非法訪問（占 16%）。 圖 1 權(quán)威調(diào)查揭示2/3的受訪者認為系統(tǒng)滲透/入侵是面臨的最大安全威脅1

4、.2 現(xiàn)有的安全架構(gòu)無法應(yīng)對系統(tǒng)入侵的新威脅雖然在被調(diào)查的企業(yè)中，有 86% 已經(jīng)部署了防火墻（老實說，相對于時代的發(fā)展和今天的大環(huán)境，這個數(shù)字低得讓人無法接受），但很明顯，防火墻面對很多入侵行為仍然無計可施。普通的防火墻設(shè)計旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量（例如，企業(yè)的安全策略完全禁止 Telnet 訪問，但仍有某些用戶試圖通過 Telnet 訪問某個設(shè)備），但仍允許某些流量通過（例如，發(fā)送到內(nèi)部 Web 服務(wù)器的 Web 流量）。 圖 2 現(xiàn)有的FW無法識別攔截應(yīng)用層面攻擊問題在于，很多攻擊都會嘗試利用那些外圍防火墻允許通過的協(xié)議的漏洞，而且，一旦 Web 服務(wù)器遭到攻擊，攻擊者會以此為跳板

5、繼續(xù)對其它內(nèi)部服務(wù)器發(fā)起攻擊。一旦服務(wù)器上被安裝了“rootkit”或“后門”，那么黑客們就能夠在未來的任何時間里“大搖大擺”地訪問這臺機器。 一般來說，我們僅將防火墻部署在網(wǎng)絡(luò)外圍。但很多攻擊，無論是全球性攻擊還是其它類型的攻擊，往往都是從組織內(nèi)部發(fā)起的。虛擬專用網(wǎng)、便攜式計算機以及無線網(wǎng)絡(luò)都能夠接入到內(nèi)部網(wǎng)絡(luò)，而且經(jīng)常會越過防火墻。入侵檢測系統(tǒng)在檢測可疑活動時可能很有效，但卻不能提供對攻擊的防護。臭名昭著的蠕蟲（例如 Slammer 和 Blaster）都具有驚人的傳播速度，當(dāng)系統(tǒng)發(fā)出警報時，蠕蟲實際上已經(jīng)導(dǎo)致了損失，而且正在飛速地向外擴散。圖 3 攻擊歷史回顧提醒我們?nèi)湎x的快速傳播曾造成

6、巨大損失1.3 安全缺口在擴大隨之網(wǎng)絡(luò)和應(yīng)用的不斷發(fā)展，安全的需求也在不斷增長，而我們現(xiàn)有的安全能力卻沒有提高，造成安全缺口不斷在擴大，如下圖所示：圖 4 安全缺口在不斷擴大1.4 系統(tǒng)和網(wǎng)絡(luò)安全面臨的實際問題依靠現(xiàn)有的FW、IDS等安全設(shè)備，我們已經(jīng)不能及時掌握網(wǎng)絡(luò)和系統(tǒng)的安全狀況，也無法及時攔截攻擊和進行補救。下面是一些亟待解決的問題：1. FW、IDS已經(jīng)不能保護應(yīng)用安全，攻擊能夠穿透防火墻，比如SQL注入攻擊，而我們不可能將SQL使用的TCP端口在防火墻上關(guān)閉，因為這樣會將正常的SQL操作也阻斷。這說明FW不能對數(shù)據(jù)流作深度分析，不能檢測到應(yīng)用層面的攻擊，僅起到訪問控制的作用，而IDS

7、雖然能夠監(jiān)測到攻擊，但是卻不能夠及時自動的攔截攻擊，需要大量的人工干預(yù)，效率較低。2. 網(wǎng)絡(luò)中的設(shè)備和系統(tǒng)越來越多，同時，這些設(shè)備和系統(tǒng)使用的操作系統(tǒng)和應(yīng)用軟件存在的漏洞也不斷被發(fā)現(xiàn)，應(yīng)用層面的攻擊正是利用了這些漏洞，比如，微軟已經(jīng)公布了很多Web 服務(wù)器軟件 IIS和數(shù)據(jù)庫軟件 MS-SQL的系統(tǒng)漏洞，而這些系統(tǒng)被廣泛采用，如何為這些設(shè)備和系統(tǒng)及時打補丁(修補漏洞)成為一件必須解決的問題。3. 來自于外部的攻擊越來越多，而且發(fā)展成為零日攻擊（Zero-day Attacks），加之黑客工具泛濫，如果存在漏洞的系統(tǒng)沒有及時打補丁，則潛在被攻擊的可能性極大。4. P2P、IM、Game、流媒體等

8、次要應(yīng)用占用大量網(wǎng)絡(luò)帶寬而影響關(guān)鍵應(yīng)用。5. 不清楚誰或者哪些設(shè)備在對我們的網(wǎng)站進行攻擊。6. 針對上述威脅缺乏有效的、自動化的、高性能的解決方案，IT人員工作壓力巨大。2. 問題解決之道 采用IPS增強網(wǎng)絡(luò)安全FW不能檢測應(yīng)用層面的攻擊，而IDS（入侵檢測系統(tǒng)）雖能檢測卻不能及時、有效攔截攻擊，所以我們需要一種既能夠檢測攻擊，又能夠攔截攻擊的方案 入侵防御系統(tǒng)，部署在網(wǎng)絡(luò)的關(guān)鍵位置。入侵防護系統(tǒng)完全是前瞻性的防御機制，它們的設(shè)計旨在對常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進行檢測（這是目前的防火墻產(chǎn)品無法做到的）、阻止入侵活動、預(yù)先對攻擊性的流量進行自動攔截，使它們無法造成損失，而不是在傳送惡意流量的同

9、時或之后，簡單地發(fā)出警報。圖 5 IPS提供主動和自動化的安全防護網(wǎng)絡(luò)使用者和管理員不再被下面這些麻煩所困擾：網(wǎng)絡(luò)屢遭攻擊后需要進行大量的清理工作但無法徹底清理干凈而復(fù)發(fā)；需要在短時間內(nèi)緊急為大量的服務(wù)器打補丁以避免危害面積擴大；泛濫的P2P、IM等“流氓”流量大量侵占了寶貴的帶寬使得關(guān)鍵業(yè)務(wù)中斷；DoS/DDoS攻擊致使Internet通路堵塞并且導(dǎo)致關(guān)鍵服務(wù)器宕機。3. IPS部署方案設(shè)計3.1 設(shè)計原則設(shè)計遵循高安全性、高性能、高可靠性和易于管理兼顧的原則。在部署IPS時，需要考慮以下幾點：1. 誤報率和漏報率：這兩個指標(biāo)應(yīng)該趨近于零，因為誤報較高必然影響正常業(yè)務(wù)，造成人為阻斷，而漏報較

10、高就會大大降低安全效能。一方面，根據(jù)目前系統(tǒng)的情況，作一些有針對性地模擬攻擊測試來考察誤報率和漏報率，另一方面，可以參考一些權(quán)威機構(gòu)的評測報告，如NSS、ICSA。2. 攻擊防護的廣度：低誤報率和漏報率保證了IPS的精度、但還必須能夠防護可能多的攻擊，根據(jù)CERT對今年的漏洞統(tǒng)計，一個好的IPS應(yīng)該能夠支持3000種上攻擊，能夠保護Windows、Unix/Linux等操作系統(tǒng)、Oracle、SQL等各種數(shù)據(jù)庫、Web等應(yīng)用軟件漏洞。3. 性能考慮：由于IPS在線部署，我們還必須檢驗其吞吐能力和延時，而這里考察的條件是安全策略大部分都開啟情況下的應(yīng)用層面的吞吐能力，而不僅僅是像測試路由器和交換

11、機性能那樣檢查三層轉(zhuǎn)發(fā)性能。部署在千兆鏈路上的IPS其7層處理能力不應(yīng)該小于800Mbps（真實網(wǎng)絡(luò)流量下），而處理延遲應(yīng)該和千兆交換機相當(dāng)，即150 200微妙之間。具體評測方法可以借助專業(yè)測試儀器并參考權(quán)威機構(gòu)的評測方法和報告。4. 可靠性：雖然各廠商都聲稱自己的產(chǎn)品具有4個9甚至5個9的高可靠性，但是假定設(shè)備在某種情況下過載（CPU利用率超過90%、吞吐能力下降、處理延遲達到秒級），則設(shè)備本身需要具備某種自我檢測機制，及時發(fā)現(xiàn)過載，超過某個閾值后自動將安全處理器短路，或者稱為內(nèi)置旁路功能。5. 安全研究能力和服務(wù)：上述考量關(guān)注產(chǎn)品的本身，實際上還必須考察設(shè)備制造廠商的安全研究能力和服務(wù)水

12、平，因為IPS最重要的是提供了一個專家系統(tǒng)并不斷對攻擊特征庫進行更新。具有較強安全研究能力的廠商都擁有業(yè)界知名的專門的安全研究專家，建立一套完整的安全漏洞跟蹤研究、攻擊過濾器研發(fā)體系。除本公司的安全研究團隊外，業(yè)界領(lǐng)先的廠商還創(chuàng)建了廣泛招攬人才的公開安全研究組織。對產(chǎn)品的服務(wù)考察上，需要關(guān)注攻擊特征庫更新是否及時，是否能夠防御零日攻擊。特征的包的更新應(yīng)自動完成，最好是利用內(nèi)容發(fā)布網(wǎng)絡(luò)（CDN）進行分發(fā),并發(fā)送提醒郵件給安全管理人員，而更新的頻率一周應(yīng)至少一次。6. 易于管理：提供即插即用的配置功能，提供安全策略設(shè)置的缺省建議，即對數(shù)千個安全防護規(guī)則按照安全風(fēng)險級別給出設(shè)置建議。提供集中式網(wǎng)管，

13、實現(xiàn)安全策略的集中定義和分發(fā)，支持安全規(guī)則的自動下載，更新和分發(fā)。支持豐富的日志、統(tǒng)計和報告功能。3.2 IPS部署設(shè)計3.2.1 總體部署方案如下圖所示圖 6 IPS部署總體設(shè)計3.2.2 IPS的工作模式TippingPoint IPS的設(shè)計遵循了一個很重要的原則：無縫部署。基于這個原則，無論對已經(jīng)建成的網(wǎng)絡(luò)，還是正在建設(shè)中的網(wǎng)絡(luò)，都可以很容易地將TippingPoint IPS嵌入進任何部分，并且不會對網(wǎng)絡(luò)的拓撲、性能、運行帶來任何改動。從邏輯上來看，TippingPoint IPS就好像一根智能的線，這根智能的線卻從根本上解決了困擾網(wǎng)絡(luò)的安全問題。圖 7 靈活部署- 從核心到邊界這樣的

14、無縫部署主要體現(xiàn)在以下方面：l 嵌入式部署（in-line）模型保證最簡化的部署步驟，而不需要進行交換機鏡像等復(fù)雜的配置，更不需要更改網(wǎng)絡(luò)拓撲。l 檢測接口不需要IP地址，也不需要MAC地址，一旦接入網(wǎng)絡(luò)，立刻開始保護網(wǎng)絡(luò)；同時保證自身對攻擊源是隱身的，增強整網(wǎng)的安全性。l 高性能、低時延使得TippingPoint IPS無論被部署在網(wǎng)絡(luò)核心還是邊緣，都可以提供線速的精確檢測和實時阻斷能力，對網(wǎng)絡(luò)業(yè)務(wù)的效率沒有任何的損傷。同時，流量限制能力保證關(guān)鍵應(yīng)用的優(yōu)先級。l 提供攻擊過濾器的推薦配置，實現(xiàn)了即插即用，經(jīng)過精心分析、調(diào)試、驗證的數(shù)字疫苗可以在不經(jīng)任何調(diào)整的情況下正常工作，無需任何調(diào)整即可

15、抵御已知的網(wǎng)絡(luò)威脅，堪稱專家系統(tǒng)。3.2.3 安全防護設(shè)計得益于我們獨到的和技術(shù)領(lǐng)先的硬件和過濾器家族，我們能夠提供以下三個主要的安全防護：· 應(yīng)用防護· 網(wǎng)絡(luò)架構(gòu)防護· 性能防護圖 8 TippingPoint IPS三大應(yīng)用場景 應(yīng)用防護TippingPoint IPS的一大應(yīng)用是部署在數(shù)據(jù)中心和DMZ前，一旦IPS在線工作，對關(guān)鍵業(yè)務(wù)和應(yīng)用的安全防護將得到顯著增強。圖 9 IPS 部署 應(yīng)用防護IPS最核心的功能就是保護各種應(yīng)用系統(tǒng)，比如Web 服務(wù)、數(shù)據(jù)庫、郵件系統(tǒng)、存儲系統(tǒng)，以及Windows、Unix/Linux等各種操作系統(tǒng)。由于各種系

16、統(tǒng)存在弱點和漏洞，而攻擊正是針對這些漏洞的探測和利用行為，IPS必須能夠保護這些弱點/漏洞。TippingPoint的IPS提供虛擬軟件補丁功能：IT部門承擔(dān)著測試、部署補丁，防御零日攻擊的重任，也承擔(dān)了極大壓力。TippingPoint的IPS虛擬軟件補丁采用了漏洞防護過濾器技術(shù)，能夠?qū)?shù)據(jù)流進行深度檢測以發(fā)現(xiàn)攻擊并具有極高的精準(zhǔn)性，即使其保護的服務(wù)器沒有打補丁也不會被攻擊，同時保證調(diào)用存在漏洞進程的正常業(yè)務(wù)運行。目前的版本提供1200個漏洞過濾器，能夠保護Windows、Unix/Linux等操作系統(tǒng)、Oracle、SQL等各種數(shù)據(jù)庫、Web等應(yīng)用軟件漏洞。圖 10 虛擬軟件補丁針對局機關(guān)

17、政務(wù)公開網(wǎng)站、網(wǎng)上業(yè)務(wù)系統(tǒng)、郵件等各種Web和應(yīng)用服務(wù)器較多的特點，我們還提供增強的SQL 注入攻擊、PHP Include攻擊和XSS跨站腳本攻擊防御服務(wù)，防止主頁被篡改，數(shù)據(jù)庫數(shù)據(jù)被破壞。 SQL 注入 跨站腳本 PHP 文件包含.SQL 注入攻擊防御：SQL注入是利用web站點的弱點來攻擊后端數(shù)據(jù)庫的攻擊，所以我們會在安全策略執(zhí)行點對HTTP請求中有關(guān)SQL語句的語法和參數(shù)進行檢查，及時發(fā)現(xiàn)惡意的SQL請求，并在策略策略執(zhí)行點立即將其攔截。目前可以提供100多種SQL注入攔截手段。PHP include 攻擊防御：現(xiàn)在很多論壇和網(wǎng)站都使用PHP程序開發(fā)的，而由于PHP漏洞的問題，面臨PH

18、P include各種攻擊的威脅。如果漏洞被利用，攻擊者能夠講惡意的PHP 。代碼強行插入到被攻擊的PHP應(yīng)用里。我們能夠提供防護各種針對php軟件（如，phpBB、PHPNuke，MyPHP、Claroline、Cacti PHP）的PHP include 攻擊?？缯灸_本攻擊防御：Web服務(wù)安全另一大威脅是跨站腳本攻擊 XSS/CSS (Cross Site Script) attack。它利用網(wǎng)頁及cookies漏洞，攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達到惡意用戶的特殊目的。比如通過跨站構(gòu)造一個表單，表單的內(nèi)容則為利

19、用程序的備份功能或者加管理員等功能得到一個高權(quán)限。開放Web軟件安全計劃(Open Web Application Security Project,OWASP)甚至將其列為2007年Web安全威脅之首。XSS攻擊的一個典型案例是PDF閱讀器Adobe Acrobat Reader上的跨站腳本攻擊。我們目前提供防御30多種XSS攻擊的服務(wù)。3.2.4 網(wǎng)絡(luò)架構(gòu)防護一方面，構(gòu)成網(wǎng)絡(luò)基礎(chǔ)的路由器、交換機、防火墻等設(shè)備本身的操作系統(tǒng)也被發(fā)現(xiàn)存在弱點/漏洞，所以IPS必須能夠識別和攔截這些針對網(wǎng)絡(luò)設(shè)備本身漏洞的攻擊。另一方面，DDoS攻擊會產(chǎn)生大量和正常應(yīng)用一樣的攻擊流量，這可能導(dǎo)致路由器、交換機、防

20、火墻因過載而癱瘓，進而造成網(wǎng)絡(luò)阻斷，網(wǎng)上應(yīng)用也隨即中斷，所以IPS應(yīng)該具有一定的DDoS防護功能。圖 11 IPS部署 網(wǎng)絡(luò)架構(gòu)防護當(dāng)需要對網(wǎng)絡(luò)架構(gòu)進行防護時，IPS可以部署在網(wǎng)絡(luò)邊界、核心、主要網(wǎng)段，以及遠程分支/辦公室的關(guān)鍵網(wǎng)絡(luò)上，如上圖所示。 性能防護網(wǎng)絡(luò)上有各種應(yīng)用，這其中也包括是用次要的，或者業(yè)務(wù)管理策略不允許的應(yīng)用，如點對點文檔共享 (P2P)應(yīng)用或即使消息軟件 (IM)。IPS的性能保護功能就是保護網(wǎng)絡(luò)帶寬及主機性能，阻斷或者限制應(yīng)用程序占用網(wǎng)絡(luò)或者系統(tǒng)資源，防止網(wǎng)絡(luò)鏈路擁塞導(dǎo)致關(guān)鍵應(yīng)用程序數(shù)據(jù)將無法在網(wǎng)絡(luò)上傳輸。P2P就是允許大量用戶之間直接互連進行信息共享，而不

21、是像過去那樣都必須連接到服務(wù)器去進行信息交換和共享，所以P2P重要特點是改變互聯(lián)網(wǎng)現(xiàn)在的以大網(wǎng)站為中心的狀態(tài)、采用分布式的架構(gòu)進行信息發(fā)布、共享和存儲。P2P應(yīng)用給網(wǎng)絡(luò)帶來的問題主要有兩個，第一，P2P應(yīng)用實現(xiàn)大量用戶的文件共享，用戶越多建立的連接就越多，而且每個人既是客戶端又是服務(wù)器，即同時進行下載和上傳，所以對網(wǎng)絡(luò)帶寬占用很大，必然影響到郵件、在線交易，網(wǎng)絡(luò)視頻等關(guān)鍵應(yīng)用；第二，P2P采用UDP端點交換信息、傳送數(shù)據(jù)，而且采用了NAT穿透技術(shù)，所以用FW很難控制P2P應(yīng)用，而這可能成為機密信息泄漏的便捷通道。圖 12 IPS部署- 性能防護作性能防護時，IPS一般部署在網(wǎng)絡(luò)邊界、主要網(wǎng)段和

22、遠程辦公室的關(guān)鍵路徑上。3.3 網(wǎng)管設(shè)計圖 13 IPS安全管理設(shè)計如上圖所示，在數(shù)據(jù)中心部署一臺TippingPoint 安全管理系統(tǒng)（SMS）管理全部35臺IPS，一臺SMS能夠管理100臺以上設(shè)備，缺省配置管理25臺設(shè)備的license，本次需要增加管理10臺設(shè)備的額外license。SMS管理IPS采用帶外管理方式，即通過IPS專用的管理口（以太網(wǎng)），如上圖中虛線所示，因為IPS的業(yè)務(wù)端口是透明的，沒有任何IP地址。本次需要為SMS和這些IPS分配專用的管理IP地址，而且在路由上要保證SMS到各IPS可達，并且在相關(guān)FW和路由器上放開SMS和IPS通信使用的IP和TCP/UDP端口，具

23、體配置請參照SMS和IPS用戶手冊。TippingPoint IPS解決方案提供三種管理方式：l SMS Security Management System，面向規(guī)模部署的綜合管理中心l LSM Local Security Manager，面向獨立部署的嵌入式管理軟件l CLI Command Line Interface，面向?qū)I(yè)用戶的命令行管理工具圖 14 安全管理系統(tǒng)TippingPoint SMS是為管理IPS集群而專門開發(fā)的管理系統(tǒng)軟件，它預(yù)裝在1U的高性能服務(wù)器中交付用戶使用。一臺SMS能夠管理很多臺IPS，其主要任務(wù)是發(fā)現(xiàn)、監(jiān)控、配置和診斷在網(wǎng)絡(luò)中部署的IPS設(shè)備，同時為管理

24、員生成詳細的報表，以支撐網(wǎng)絡(luò)安全狀況的評估和診斷。SMS管理系統(tǒng)基于安全Java技術(shù)開發(fā)，整個SMS管理體系由以下三部分構(gòu)成：l 安全的Java的客戶端l SMS服務(wù)器l 被管理的IPS集群SMS管理體系可以提供：l IPS設(shè)備清單和運行狀況報表l 數(shù)字疫苗自動下載和分發(fā)l 攻擊攔截統(tǒng)計l 安全趨勢報表l 實時流量分析與圖形報表l 網(wǎng)絡(luò)主機與服務(wù)統(tǒng)計報表SMS中的一個非常有用的部件是儀表板，如下圖所示：網(wǎng)絡(luò)架構(gòu)管理性能管理應(yīng)用管理圖 15 SMS儀表板借助以上這些全景式的分析功能，網(wǎng)絡(luò)的安全狀況管理不再是令管理員頭痛的問題：在全景式分析報表中，管理員可以輕松的看到所有IPS當(dāng)前的性能狀況報包括

25、告警事件更新和需要關(guān)注的潛在問題。TippingPoint 隨機提供本地安全管理器（LSM）和命令行接口（CLI）。在基于Web的安全而易用的管理介面上，用戶能夠完成各項管理、配置、監(jiān)控和基本報表任務(wù)。圖 16 本地安全管理系統(tǒng)3.3.1 可靠性設(shè)計TippingPoint IPS 具有極高的可靠性，其被設(shè)計成在網(wǎng)絡(luò)出錯、設(shè)備自身故障、甚至完全掉電的情況下，仍然能夠保證流量以線速通過的高可靠設(shè)備。l 物理級保護和掉電事故保護按照電信級標(biāo)準(zhǔn)設(shè)計的TippingPoint IPS采用冗余電源供電，并且支持在線更換。圖 17 掉電旁路保護設(shè)備 - ZPHA掉電保護設(shè)備ZPHA（Zero Power High Availability）是TippingPoint IPS的輔助設(shè)備。該設(shè)備可以在IPS電源全部實效的情況下，自動旁路IPS，直接轉(zhuǎn)發(fā)流量；當(dāng)SMS監(jiān)測到IPS掉電并發(fā)出告警、管理員恢復(fù)電源供給后，ZPHA又會自動禁止旁路功能令流量將再度流經(jīng)IPS接受檢測。冗余電源和ZPHA可以保證被IPS保護的網(wǎng)絡(luò)不會因為引入IPS而出現(xiàn)物理級的單點故障。按照本次招標(biāo)的要求，我們?yōu)镈MZ區(qū)的IPS（A01-01）配備了ZPHA，如下圖所示：圖 18 DMZ區(qū)IPS高可靠性設(shè)計l 系統(tǒng)軟件故