天清入侵防御产品白皮书教案分析.doc

天清入侵防御系统技术白皮书 深层防御、精确阻断 北京启明星辰信息技术有限公司 Beijing Venus Information Tech版权声明 北京启明星辰信息技术有限公司本中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。未经北京启明星辰信息技术有限公司书面同意本北京启明星辰信息技术有限公司北京启明星辰信息技术有限公司北京市海淀区获得最新技术和产品信息。 启明星辰公司简介启明星辰信息技术有限公司成立于1996年，是一家由中国留学生创立拥有自主知识产权启明星辰公司的宗旨是诚信为先、技术领先、服务本地化、用户第一，成为国际一流的TSP诚信的安全产品、服务提供商。在安全服务方面，启明星辰公司以，提供CISP认证培训服务。在安全产品方面， 1 概述 3 1.1 发展过程和方向 3 1.2 适用背景 4 2 产品综述 4 2.1 产品简介 4 2.2 产品型号设置 5 2.3 产品特点 5 3 产品亮点技术 6 4 产品典型应用 6 5 服务支持 9 概述 入侵防御产品是一种对网络深层威胁行为（尤其是那些防火墙所不能防御的威胁行为）进行抵御的安全产品，通常以串行方式透明接入网络。入侵防御系统作为一种新兴的安全防御类产品，其概念出现时间并不短，几乎是在入侵检测产品被大部分网络安全管理人员认知的同时，就出现了入侵防御的概念。在经过一段复杂的发展过程后，入侵防御产品的价值逐渐清晰，并获得了市场的认可。 发展过程和方向 从2000年出现入侵防御概念，到2006年才形成规模市场销售，入侵防御产品的发展过程分为两个阶段。 起步阶段 最初的入侵防御概念认为“入侵防御将会是入侵检测的升级版本”，因此当时的入侵防御系统仅仅是将入侵检测系统串行接入，发现攻击后对数据包予以丢弃。事实上入侵检测系统关注所有可疑事件，如那些基于统计的事件，随着定义阀值的不同而有较大报警弹性空间。而入侵防御产品仅关注确切的攻击行为，两者在检测对象层面存在分歧。这些问题导致了“替代论”并不为大众所认可。 成熟阶段 随着大量的机构开始使用网络作为办公或业务开展的载体，网络应用越来越复杂，这些机构所关心的网络安全问题更多的是如何有效防御越发严重的网络应用层攻击行为。这与传统入侵检测产品的风险管理目标没有重合，需要入侵防御产品来弥补这一空缺。 而上述要求，也正是入侵防御产品的发展方向：发现并准确阻断那些防火墙等其他安全产品所不能防御的深层威胁行为。 适用背景 和其他安全产品不同的是，入侵防御产品的主要防御对象是网络上TCP/IP的四层以上的实时恶意数据流（四层以下的攻击可以由其他安全产品如防火墙等防御），这就使得入侵防御产品的防御目标较为集中：主要是保护那些对外提供服务的业务系统的安全。 产品综述 产品简介 天清入侵防御产品是启明星辰公司自行研制开发的入侵防御类安全产品，围绕深层防御、精确阻断这个核心，通过对网络中深层攻击行为进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全。 和启明星辰公司的天阗入侵检测产品不同，前者的产品目标是实时发现并准确判断网络中存在的攻击，并及时予以阻断，而后者的产品目标是全面检测网络中的实时网络数据，及时发现入侵和异常，并将事件的详细信息和处理建议以报警方式呈现给管理员。 天清入侵防御产品也包括两个组成部分：硬件形态的入侵防御引擎和软件形态的入侵防御控制台。入侵防御引擎串行接入到网络中，对所有穿透引擎的数据进行分析和做出响应。入侵防御控制台包括四个可独立部署也可以组合部署的部分：管理控制台负责向入侵防御引擎下发策略以及接受引擎上报事件，这些上报的事件依据响应策略实时显示在报警监控台和存储在日志数据库中，存储在日志数据库中的历史信息可以通过报表分析组件进行报告的生成和查询。 产品型号设置 天清入侵防御产品提供了适应不同网络规模需求的产品型号： 表一：天清入侵防御产品型号说明 产品型号 适用网络 NDP100 基本百兆 NDP200 高端百兆 NDP1000 基本千兆 NDP2000 高端千兆 产品特点 无缝接入 天清入侵防御产品串行接入口无IP地址设置，部署后在网络环境中透明。不更改用户的原有网络拓扑，也无需更改用户原有网络配置。 精确防御 天清入侵防御产品提供了对各种入侵威胁行为的防御，通过下发内置默认策略，可以实现对如下攻击行为的精确阻断： 天清入侵防御产品能实现的精确阻断 精确阻断溢出攻击 精确阻断木马后门 精确阻断即时通讯行为 精确阻断SQL注入攻击 精确阻断间谍软件 精确阻断网络游戏行为 精确阻断流行蠕虫攻