IPS解決方案建議

采用入侵防御系統(tǒng)網(wǎng)絡(luò)安全解決方案

需求分析權(quán)威研究報(bào)告指出系統(tǒng)入侵/滲透是目前最大的安全威脅VanDykeSoftware組織的一次廣泛而具有影響力的調(diào)查顯示，66%的公司認(rèn)為系統(tǒng)滲透是政府、組織和企業(yè)所面臨的最大威脅。該項(xiàng)調(diào)查還顯示，被調(diào)查企業(yè)所經(jīng)歷的最為嚴(yán)重的八種威脅分別是：病毒（占78%）、系統(tǒng)滲透（占50%）、DoS(占40%)、內(nèi)部人員錯(cuò)誤操作（占29%）、電子欺詐（占28%）、數(shù)據(jù)或網(wǎng)絡(luò)故障（占20%）以及內(nèi)部人員的非法訪問(wèn)（占16%）。圖SEQ圖\*ARABIC1權(quán)威調(diào)查揭示2/3的受訪者認(rèn)為系統(tǒng)滲透/入侵是面臨的最大安全威脅現(xiàn)有的安全架構(gòu)無(wú)法應(yīng)對(duì)系統(tǒng)入侵的新威脅雖然在被調(diào)查的企業(yè)中，有86%已經(jīng)部署了防火墻（老實(shí)說(shuō)，相對(duì)于時(shí)代的發(fā)展和今天的大環(huán)境，這個(gè)數(shù)字低得讓人無(wú)法接受），但很明顯，防火墻面對(duì)很多入侵行為仍然無(wú)計(jì)可施。普通的防火墻設(shè)計(jì)旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量（例如，企業(yè)的安全策略完全禁止Telnet訪問(wèn)，但仍有某些用戶試圖通過(guò)Telnet訪問(wèn)某個(gè)設(shè)備），但仍允許某些流量通過(guò)（例如，發(fā)送到內(nèi)部Web服務(wù)器的Web流量）。 圖SEQ圖\*ARABIC2現(xiàn)有的FW無(wú)法識(shí)別攔截應(yīng)用層面攻擊問(wèn)題在于，很多攻擊都會(huì)嘗試?yán)媚切┩鈬阑饓υ试S通過(guò)的協(xié)議的漏洞，而且，一旦Web服務(wù)器遭到攻擊，攻擊者會(huì)以此為跳板繼續(xù)對(duì)其它內(nèi)部服務(wù)器發(fā)起攻擊。一旦服務(wù)器上被安裝了“rootkit”或“后門”，那么黑客們就能夠在未來(lái)的任何時(shí)間里“大搖大擺”地訪問(wèn)這臺(tái)機(jī)器。一般來(lái)說(shuō)，我們僅將防火墻部署在網(wǎng)絡(luò)外圍。但很多攻擊，無(wú)論是全球性攻擊還是其它類型的攻擊，往往都是從組織內(nèi)部發(fā)起的。虛擬專用網(wǎng)、便攜式計(jì)算機(jī)以及無(wú)線網(wǎng)絡(luò)都能夠接入到內(nèi)部網(wǎng)絡(luò)，而且經(jīng)常會(huì)越過(guò)防火墻。入侵檢測(cè)系統(tǒng)在檢測(cè)可疑活動(dòng)時(shí)可能很有效，但卻不能提供對(duì)攻擊的防護(hù)。臭名昭著的蠕蟲（例如Slammer和Blaster）都具有驚人的傳播速度，當(dāng)系統(tǒng)發(fā)出警報(bào)時(shí)，蠕蟲實(shí)際上已經(jīng)導(dǎo)致了損失，而且正在飛速地向外擴(kuò)散。圖SEQ圖\*ARABIC3攻擊歷史回顧提醒我們?nèi)湎x的快速傳播曾造成巨大損失安全缺口在擴(kuò)大隨之網(wǎng)絡(luò)和應(yīng)用的不斷發(fā)展，安全的需求也在不斷增長(zhǎng)，而我們現(xiàn)有的安全能力卻沒(méi)有提高，造成安全缺口不斷在擴(kuò)大，如下圖所示：圖SEQ圖\*ARABIC4安全缺口在不斷擴(kuò)大系統(tǒng)和網(wǎng)絡(luò)安全面臨的實(shí)際問(wèn)題依靠現(xiàn)有的FW、IDS等安全設(shè)備，我們已經(jīng)不能及時(shí)掌握網(wǎng)絡(luò)和系統(tǒng)的安全狀況，也無(wú)法及時(shí)攔截攻擊和進(jìn)行補(bǔ)救。下面是一些亟待解決的問(wèn)題：FW、IDS已經(jīng)不能保護(hù)應(yīng)用安全，攻擊能夠穿透防火墻，比如SQL注入攻擊，而我們不可能將SQL使用的TCP端口在防火墻上關(guān)閉，因?yàn)檫@樣會(huì)將正常的SQL操作也阻斷。這說(shuō)明FW不能對(duì)數(shù)據(jù)流作深度分析，不能檢測(cè)到應(yīng)用層面的攻擊，僅起到訪問(wèn)控制的作用，而IDS雖然能夠監(jiān)測(cè)到攻擊，但是卻不能夠及時(shí)自動(dòng)的攔截攻擊，需要大量的人工干預(yù)，效率較低。網(wǎng)絡(luò)中的設(shè)備和系統(tǒng)越來(lái)越多，同時(shí)，這些設(shè)備和系統(tǒng)使用的操作系統(tǒng)和應(yīng)用軟件存在的漏洞也不斷被發(fā)現(xiàn)，應(yīng)用層面的攻擊正是利用了這些漏洞，比如，微軟已經(jīng)公布了很多Web服務(wù)器軟件IIS和數(shù)據(jù)庫(kù)軟件MS-SQL的系統(tǒng)漏洞，而這些系統(tǒng)被廣泛采用，如何為這些設(shè)備和系統(tǒng)及時(shí)打補(bǔ)丁(修補(bǔ)漏洞)成為一件必須解決的問(wèn)題。來(lái)自于外部的攻擊越來(lái)越多，而且發(fā)展成為零日攻擊（Zero-dayAttacks），加之黑客工具泛濫，如果存在漏洞的系統(tǒng)沒(méi)有及時(shí)打補(bǔ)丁，則潛在被攻擊的可能性極大。P2P、IM、Game、流媒體等次要應(yīng)用占用大量網(wǎng)絡(luò)帶寬而影響關(guān)鍵應(yīng)用。不清楚誰(shuí)或者哪些設(shè)備在對(duì)我們的網(wǎng)站進(jìn)行攻擊。針對(duì)上述威脅缺乏有效的、自動(dòng)化的、高性能的解決方案，IT人員工作壓力巨大。問(wèn)題解決之道–采用IPS增強(qiáng)網(wǎng)絡(luò)安全 FW不能檢測(cè)應(yīng)用層面的攻擊，而IDS（入侵檢測(cè)系統(tǒng)）雖能檢測(cè)卻不能及時(shí)、有效攔截攻擊，所以我們需要一種既能夠檢測(cè)攻擊，又能夠攔截攻擊的方案–入侵防御系統(tǒng)，部署在網(wǎng)絡(luò)的關(guān)鍵位置。入侵防護(hù)系統(tǒng)完全是前瞻性的防御機(jī)制，它們的設(shè)計(jì)旨在對(duì)常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測(cè)（這是目前的防火墻產(chǎn)品無(wú)法做到的）、阻止入侵活動(dòng)、預(yù)先對(duì)攻擊性的流量進(jìn)行自動(dòng)攔截，使它們無(wú)法造成損失，而不是在傳送惡意流量的同時(shí)或之后，簡(jiǎn)單地發(fā)出警報(bào)。圖SEQ圖\*ARABIC5IPS提供主動(dòng)和自動(dòng)化的安全防護(hù) 網(wǎng)絡(luò)使用者和管理員不再被下面這些麻煩所困擾：網(wǎng)絡(luò)屢遭攻擊后需要進(jìn)行大量的清理工作但無(wú)法徹底清理干凈而復(fù)發(fā)；需要在短時(shí)間內(nèi)緊急為大量的服務(wù)器打補(bǔ)丁以避免危害面積擴(kuò)大；泛濫的P2P、IM等“流氓”流量大量侵占了寶貴的帶寬使得關(guān)鍵業(yè)務(wù)中斷；DoS/DDoS攻擊致使Internet通路堵塞并且導(dǎo)致關(guān)鍵服務(wù)器宕機(jī)。IPS部署方案設(shè)計(jì)設(shè)計(jì)原則 設(shè)計(jì)遵循高安全性、高性能、高可靠性和易于管理兼顧的原則。在部署IPS時(shí)，需要考慮以下幾點(diǎn)：誤報(bào)率和漏報(bào)率：這兩個(gè)指標(biāo)應(yīng)該趨近于零，因?yàn)檎`報(bào)較高必然影響正常業(yè)務(wù)，造成人為阻斷，而漏報(bào)較高就會(huì)大大降低安全效能。一方面，根據(jù)目前系統(tǒng)的情況，作一些有針對(duì)性地模擬攻擊測(cè)試來(lái)考察誤報(bào)率和漏報(bào)率，另一方面，可以參考一些權(quán)威機(jī)構(gòu)的評(píng)測(cè)報(bào)告，如NSS、ICSA。攻擊防護(hù)的廣度：低誤報(bào)率和漏報(bào)率保證了IPS的精度、但還必須能夠防護(hù)可能多的攻擊，根據(jù)CERT對(duì)今年的漏洞統(tǒng)計(jì)，一個(gè)好的IPS應(yīng)該能夠支持3000種上攻擊，能夠保護(hù)Windows、Unix/Linux等操作系統(tǒng)、Oracle、SQL等各種數(shù)據(jù)庫(kù)、Web等應(yīng)用軟件漏洞。性能考慮：由于IPS在線部署，我們還必須檢驗(yàn)其吞吐能力和延時(shí)，而這里考察的條件是安全策略大部分都開啟情況下的應(yīng)用層面的吞吐能力，而不僅僅是像測(cè)試路由器和交換機(jī)性能那樣檢查三層轉(zhuǎn)發(fā)性能。部署在千兆鏈路上的IPS其7層處理能力不應(yīng)該小于800Mbps（真實(shí)網(wǎng)絡(luò)流量下），而處理延遲應(yīng)該和千兆交換機(jī)相當(dāng)，即150–200微妙之間。具體評(píng)測(cè)方法可以借助專業(yè)測(cè)試儀器并參考權(quán)威機(jī)構(gòu)的評(píng)測(cè)方法和報(bào)告。可靠性：雖然各廠商都聲稱自己的產(chǎn)品具有4個(gè)9甚至5個(gè)9的高可靠性，但是假定設(shè)備在某種情況下過(guò)載（CPU利用率超過(guò)90%、吞吐能力下降、處理延遲達(dá)到毫秒級(jí)），則設(shè)備本身需要具備某種自我檢測(cè)機(jī)制，及時(shí)發(fā)現(xiàn)過(guò)載，超過(guò)某個(gè)閾值后自動(dòng)將安全處理器短路，或者稱為內(nèi)置旁路功能。安全研究能力和服務(wù)：上述考量關(guān)注產(chǎn)品的本身，實(shí)際上還必須考察設(shè)備制造廠商的安全研究能力和服務(wù)水平，因?yàn)镮PS最重要的是提供了一個(gè)專家系統(tǒng)并不斷對(duì)攻擊特征庫(kù)進(jìn)行更新。具有較強(qiáng)安全研究能力的廠商都擁有業(yè)界知名的專門的安全研究專家，建立一套完整的安全漏洞跟蹤研究、攻擊過(guò)濾器研發(fā)體系。除本公司的安全研究團(tuán)隊(duì)外，業(yè)界領(lǐng)先的廠商還創(chuàng)建了廣泛招攬人才的公開安全研究組織。對(duì)產(chǎn)品的服務(wù)考察上，需要關(guān)注攻擊特征庫(kù)更新是否及時(shí)，是否能夠防御零日攻擊。特征的包的更新應(yīng)自動(dòng)完成，最好是利用內(nèi)容發(fā)布網(wǎng)絡(luò)（CDN）進(jìn)行分發(fā),并發(fā)送提醒郵件給安全管理人員，而更新的頻率一周應(yīng)至少一次。易于管理：提供即插即用的配置功能，提供安全策略設(shè)置的缺省建議，即對(duì)數(shù)千個(gè)安全防護(hù)規(guī)則按照安全風(fēng)險(xiǎn)級(jí)別給出設(shè)置建議。提供集中式網(wǎng)管，實(shí)現(xiàn)安全策略的集中定義和分發(fā)，支持安全規(guī)則的自動(dòng)下載，更新和分發(fā)。支持豐富的日志、統(tǒng)計(jì)和報(bào)告功能。IPS部署設(shè)計(jì)總體部署方案如下圖所示圖SEQ圖\*ARABIC6IPS部署總體設(shè)計(jì)IPS的工作模式 迪普科技IPS的設(shè)計(jì)遵循了一個(gè)很重要的原則：無(wú)縫部署?；谶@個(gè)原則，無(wú)論對(duì)已經(jīng)建成的網(wǎng)絡(luò)，還是正在建設(shè)中的網(wǎng)絡(luò)，都可以很容易地將迪普科技IPS嵌入進(jìn)任何部分，并且不會(huì)對(duì)網(wǎng)絡(luò)的拓?fù)?、性能、運(yùn)行帶來(lái)任何改動(dòng)。從邏輯上來(lái)看，迪普科技IPS就好像一根智能的線，這根智能的線卻從根本上解決了困擾網(wǎng)絡(luò)的安全問(wèn)題。圖SEQ圖\*ARABIC7靈活部署-從核心到邊界這樣的無(wú)縫部署主要體現(xiàn)在以下方面：嵌入式部署（in-line）模型保證最簡(jiǎn)化的部署步驟，而不需要進(jìn)行交換機(jī)鏡像等復(fù)雜的配置，更不需要更改網(wǎng)絡(luò)拓?fù)?。檢測(cè)接口不需要IP地址，也不需要MAC地址，一旦接入網(wǎng)絡(luò)，立刻開始保護(hù)網(wǎng)絡(luò)；同時(shí)保證自身對(duì)攻擊源是隱身的，增強(qiáng)整網(wǎng)的安全性。高性能、低時(shí)延使得迪普科技IPS無(wú)論被部署在網(wǎng)絡(luò)核心還是邊緣，都可以提供線速的精確檢測(cè)和實(shí)時(shí)阻斷能力，對(duì)網(wǎng)絡(luò)業(yè)務(wù)的效率沒(méi)有任何的損傷。同時(shí)，流量限制能力保證關(guān)鍵應(yīng)用的優(yōu)先級(jí)。提供攻擊過(guò)濾器的推薦配置，實(shí)現(xiàn)了即插即用，經(jīng)過(guò)精心分析、調(diào)試、驗(yàn)證的數(shù)字疫苗可以在不經(jīng)任何調(diào)整的情況下正常工作，無(wú)需任何調(diào)整即可抵御已知的網(wǎng)絡(luò)威脅，堪稱專家系統(tǒng)。安全防護(hù)設(shè)計(jì)隨著網(wǎng)絡(luò)的飛速發(fā)展，以蠕蟲、病毒、木馬、間諜軟件、DDoS攻擊為代表的應(yīng)用層攻擊層出不窮。傳統(tǒng)的基于網(wǎng)絡(luò)層的防護(hù)只能針對(duì)報(bào)文頭進(jìn)行檢查和規(guī)則匹配，而大量應(yīng)用層攻擊都隱藏在正常報(bào)文中，甚至是跨越幾個(gè)報(bào)文，因此僅僅分析單個(gè)報(bào)文頭意義不大。DPtechIPS2000系列入侵防御系統(tǒng)正是通過(guò)對(duì)報(bào)文進(jìn)行深度檢測(cè)，對(duì)應(yīng)用層威脅進(jìn)行實(shí)時(shí)防御的安全產(chǎn)品。DPtechIPS2000是目前全球性能最高的IPS產(chǎn)品，并在漏洞庫(kù)的基礎(chǔ)上，集成了專業(yè)病毒庫(kù)和應(yīng)用協(xié)議庫(kù)，是針對(duì)系統(tǒng)漏洞、協(xié)議弱點(diǎn)、病毒蠕蟲、DDoS攻擊、網(wǎng)頁(yè)篡改、間諜軟件、惡意攻擊、流量異常等威脅的一體化應(yīng)用層深度防御平臺(tái)。DPtechIPS2000部署簡(jiǎn)單、即插即用，配合應(yīng)用Bypass等高可靠性設(shè)計(jì)，可滿足各種復(fù)雜網(wǎng)絡(luò)環(huán)境對(duì)應(yīng)用層安全防護(hù)的高性能、高可靠和易管理的需求，是應(yīng)用層安全保障的最佳選擇。應(yīng)用防護(hù)迪普科技IPS的一大應(yīng)用是部署在數(shù)據(jù)中心和DMZ前，一旦IPS在線工作，對(duì)關(guān)鍵業(yè)務(wù)和應(yīng)用的安全防護(hù)將得到顯著增強(qiáng)。圖SEQ圖\*ARABIC9IPS部署–應(yīng)用防護(hù)IPS最核心的功能就是保護(hù)各種應(yīng)用系統(tǒng)，比如Web服務(wù)、數(shù)據(jù)庫(kù)、郵件系統(tǒng)、存儲(chǔ)系統(tǒng)，以及Windows、Unix/Linux等各種操作系統(tǒng)。由于各種系統(tǒng)存在弱點(diǎn)和漏洞，而攻擊正是針對(duì)這些漏洞的探測(cè)和利用行為，IPS必須能夠保護(hù)這些弱點(diǎn)/漏洞。迪普科技的IPS提供虛擬軟件補(bǔ)丁功能：IT部門承擔(dān)著測(cè)試、部署補(bǔ)丁，防御零日攻擊的重任，也承擔(dān)了極大壓力。迪普科技的IPS虛擬軟件補(bǔ)丁采用了漏洞防護(hù)過(guò)濾器技術(shù)，能夠?qū)?shù)據(jù)流進(jìn)行深度檢測(cè)以發(fā)現(xiàn)攻擊并具有極高的精準(zhǔn)性，即使其保護(hù)的服務(wù)器沒(méi)有打補(bǔ)丁也不會(huì)被攻擊，同時(shí)保證調(diào)用存在漏洞進(jìn)程的正常業(yè)務(wù)運(yùn)行。能夠保護(hù)Windows、Unix/Linux等操作系統(tǒng)、Oracle、SQL等各種數(shù)據(jù)庫(kù)、Web等應(yīng)用軟件漏洞。針對(duì)局機(jī)關(guān)政務(wù)公開網(wǎng)站、網(wǎng)上業(yè)務(wù)系統(tǒng)、郵件等各種Web和應(yīng)用服務(wù)器較多的特點(diǎn)，我們還提供增強(qiáng)的SQL注入攻擊、PHPInclude攻擊和XSS跨站腳本攻擊防御服務(wù)，防止主頁(yè)被篡改，數(shù)據(jù)庫(kù)數(shù)據(jù)被破壞。SQL注入跨站腳本PHP文件包含.SQL注入攻擊防御：SQL注入是利用web站點(diǎn)的弱點(diǎn)來(lái)攻擊后端數(shù)據(jù)庫(kù)的攻擊，所以我們會(huì)在安全策略執(zhí)行點(diǎn)對(duì)HTTP請(qǐng)求中有關(guān)SQL語(yǔ)句的語(yǔ)法和參數(shù)進(jìn)行檢查，及時(shí)發(fā)現(xiàn)惡意的SQL請(qǐng)求，并在策略策略執(zhí)行點(diǎn)立即將其攔截。目前可以提供100多種SQL注入攔截手段。PHPinclude攻擊防御：現(xiàn)在很多論壇和網(wǎng)站都使用PHP程序開發(fā)的，而由于PHP漏洞的問(wèn)題，面臨PHPinclude各種攻擊的威脅。如果漏洞被利用，攻擊者能夠講惡意的PHP。代碼強(qiáng)行插入到被攻擊的PHP應(yīng)用里。我們能夠提供防護(hù)各種針對(duì)php軟件（如，phpBB、PHPNuke，MyPHP、Claroline、CactiPHP）的PHPinclude攻擊?？缯灸_本攻擊防御：Web服務(wù)安全另一大威脅是跨站腳本攻擊–XSS/CSS(CrossSiteScript)attack。它利用網(wǎng)頁(yè)及cookies漏洞，攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。比如通過(guò)跨站構(gòu)造一個(gè)表單，表單的內(nèi)容則為利用程序的備份功能或者加管理員等功能得到一個(gè)高權(quán)限。開放Web軟件安全計(jì)劃(OpenWebApplicationSecurityProject,OWASP)甚至將其列為2007年Web安全威脅之首。XSS攻擊的一個(gè)典型案例是PDF閱讀器AdobeAcrobatReader上的跨站腳本攻擊。我們目前提供防御30多種XSS攻擊的服務(wù)。網(wǎng)絡(luò)架構(gòu)防護(hù)一方面，構(gòu)成網(wǎng)絡(luò)基礎(chǔ)的路由器、交換機(jī)、防火墻等設(shè)備本身的操作系統(tǒng)也被發(fā)現(xiàn)存在弱點(diǎn)/漏洞，所以IPS必須能夠識(shí)別和攔截這些針對(duì)網(wǎng)絡(luò)設(shè)備本身漏洞的攻擊。另一方面，DDoS攻擊會(huì)產(chǎn)生大量和正常應(yīng)用一樣的攻擊流量，這可能導(dǎo)致路由器、交換機(jī)、防火墻因過(guò)載而癱瘓，進(jìn)而造成網(wǎng)絡(luò)阻斷，網(wǎng)上應(yīng)用也隨即中斷，所以IPS應(yīng)該具有一定的DDoS防護(hù)功能。圖SEQ圖\*ARABIC11IPS部署–網(wǎng)絡(luò)架構(gòu)防護(hù)當(dāng)需要對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行防護(hù)時(shí)，IPS可以部署在網(wǎng)絡(luò)邊界、核心、主要網(wǎng)段，以及遠(yuǎn)程分支/辦公室的關(guān)鍵網(wǎng)絡(luò)上，如上圖所示。性能防護(hù)網(wǎng)絡(luò)上有各種應(yīng)用，這其中也包括是用次要的，或者業(yè)務(wù)管理策略不允許的應(yīng)用，如點(diǎn)對(duì)點(diǎn)文檔共享(P2P)應(yīng)用或即使消息軟件(IM)。IPS的性能保護(hù)功能就是保護(hù)網(wǎng)絡(luò)帶寬及主機(jī)性能，阻斷或者限制應(yīng)用程序占用網(wǎng)絡(luò)或者系統(tǒng)資源，防止網(wǎng)絡(luò)鏈路擁塞導(dǎo)致關(guān)鍵應(yīng)用程序數(shù)據(jù)將無(wú)法在網(wǎng)絡(luò)上傳輸。P2P就是允許大量用戶之間直接互連進(jìn)行信息共享，而不是像過(guò)去那樣都必須連接到服務(wù)器去進(jìn)行信息交換和共享，所以P2P重要特點(diǎn)是改變互聯(lián)網(wǎng)現(xiàn)在的以大網(wǎng)站為中心的狀態(tài)、采用分布式的架構(gòu)進(jìn)行信息發(fā)布、共享和存儲(chǔ)。P2P應(yīng)用給網(wǎng)絡(luò)帶來(lái)的問(wèn)題主要有兩個(gè)，第一，P2P應(yīng)用實(shí)現(xiàn)大量用戶的文件共享，用戶越多建立的連接就越多，而且每個(gè)人既是客戶端又是服務(wù)器，即同時(shí)進(jìn)行下載和上傳，所以對(duì)網(wǎng)絡(luò)帶寬占用很大，必然影響到郵件、在線交易，網(wǎng)絡(luò)視頻等關(guān)鍵應(yīng)用；第二，P2P采用UDP端點(diǎn)交換信息、傳送數(shù)據(jù)，而且采用了NAT穿透技術(shù)，所以用FW很難控制P2P應(yīng)用，而這可能成為機(jī)密信息泄漏的便捷通道。圖SEQ圖\*ARABIC12IPS部署-性能防護(hù)作性能防護(hù)時(shí)，IPS一般部署在網(wǎng)絡(luò)邊界、主要網(wǎng)段和遠(yuǎn)程辦公室的關(guān)鍵路徑上。

系統(tǒng)軟件故障保護(hù)圖SEQ圖\*ARABIC19內(nèi)置系統(tǒng)故障旁路內(nèi)置的監(jiān)測(cè)模塊持續(xù)地監(jiān)測(cè)IPS的安全和管理引擎，一旦探測(cè)到系統(tǒng)故障，IPS能自動(dòng)地，或者由管理員干預(yù)，回退成一個(gè)簡(jiǎn)單的二層交換設(shè)備，網(wǎng)絡(luò)流量將在兩個(gè)接口之間直接被轉(zhuǎn)發(fā)。回退能夠按IPS的物理網(wǎng)段設(shè)定，即出現(xiàn)問(wèn)題的網(wǎng)段回退，其他網(wǎng)段繼續(xù)工作。狀態(tài)同步的網(wǎng)絡(luò)冗余圖SEQ圖\*ARABIC20雙機(jī)冗余設(shè)計(jì)迪普科技IPS設(shè)備支持冗余部署。互為備份的一對(duì)IPS即可以工作在主備（Active/Passive）模式，也可以工作在負(fù)載分單（Active/Active）模式。由于迪普科技IPS相當(dāng)于網(wǎng)絡(luò)中一條透明的安全連接，其沒(méi)有IP地址，也不參與任何路由協(xié)議，所以不影響冗余協(xié)議如VRRP、OSPF、HSRP等，也不需要改變現(xiàn)有的網(wǎng)絡(luò)冗余設(shè)計(jì)。冗余部署的IPS之間采用專用的加密協(xié)議同步攻擊攔截?cái)?shù)據(jù)，當(dāng)網(wǎng)絡(luò)切換時(shí)仍然能夠維持攻擊防御。產(chǎn)品特點(diǎn)業(yè)界最高應(yīng)用層防護(hù)性能DPtechIPS2000基于迪普科技獨(dú)有的APP-X硬件平臺(tái)，可提供全球性能最高的應(yīng)用層防護(hù)性能。設(shè)備性能不受特征庫(kù)大小、策略數(shù)條目的影響，全