“网络安全技术与实践”第2篇边界安全.pptVIP

* 一机抵三机。有最专业的IPS引擎，以及支持迅雷电驴等国最火的P2P之流控功能，再加上支持QQ等上网软件之审计功能，可以做到先净化，再优化，而后管理。联想网御IPS为业界功能最为强大的入侵防御系统。 迈克菲深层防护主动防御 * 由于软件漏洞是不法分子的主要攻击目标，所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee也于日前收购了从事漏洞研究的 Foundstone公司，致力于把漏洞分析技术与入侵防护技术结合起来，Juniper设有一个专门的安全小组，密切关注新的系统弱点和蠕虫，国内的IPS厂商，如绿盟科技、冰峰网络等，虽然没有自己独立的弱点分析机构，但也在严密关注相关权威机构发布的弱点分析报告，及时更新过滤机制。 * * 上网行为管理指帮助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析 * 联想网御以具有统计特性的传统有限状态机为基础定义了协议自动机（Protocol Automaton，简称PA)，用于定义和描述一个特定的网络攻击和应用行为。PA的状态转换就是一个状态被一个特定的输入事件所触发（即：转换映射了多个状态事件到其他状态），一个状态转换可以被合适的分析方法所评估。在设计和实现中，选用的分析方法包括特征匹配技术、协议分析技术和统计检测技术。一个协议自动机M以初始状态s0 读取事件输入，无论协议自动机M何时接收事件，都会转换到下一个状态，并执行操作内容关联到状态转换，通常来讲协议自动机状态转换是不确定的。 联想网御基于多年来对不同攻击和应用程序种类的研究，完成了30多个大类数千种攻击和应用的分析和建模工作。特别是对于每种类别，又可以识别具体应用正在执行的基本操作（例如： MSN登录、聊天、传递文件等）。潜在的事件首先会被选用的特定分析方法（如：特征匹配技术）识别，同时修正相应的统计特征，如：数据包、字节数和流量有效时间等。 总之，每个协议自动机(PA)在流量数据包之间生成一个状态转换序列来描述程序的行为。由于状态转换可以基于特征匹配技术、协议分析技术和统计特性校验，这个方法优于单一数据包内容检查，它可以全面跟踪检测数据包、流量和应用之间的内在逻辑关联。 提供了更精确的流量检测方法。该方法在应用流量方面提供了基于一个明确的状态转换序列描述当前行为的架构，并具有强大的统计检测技术和字符串高精度匹配技术（即不是仅对单一数据包进行特征匹配和协议分析）。 高效的流量数据包特征匹配。流量分类特征库是基于特征码的，尤其是在如何鉴别字符串方面；如果字符串没有被精细的分析（如：包长度不够或内容不明确），那么误判率会大大提高。正像上面列举的FTP例子一样，多状态分析允许对不同数据包的多个的字符串使用不同的专用特征码进行高速检测，而不会影响检测效率。 * 众所周知，基于硬件加速的特征匹配是最为快速高效的方法，这里首先对传统的硬件加速特征匹配方法做一个简单的对比： 基于FPGA的方法 FPGA是当前最为普遍的进行特征匹配的器件，它的可编程特性可以根据需求加载新的特征，并且可以实现绝大多数的特征匹配算法。并行特性，使得基于FPGA的特征匹配方法可以获得极高的速度。但是由于在FPGA中实现一个特征匹配需要消耗1-1.5个逻辑单元，这样支持的特征数目就受到FPGA规模的限制，考虑到FPGA器件的高价格，此方案很难实现用户满意的性价比。 基于Bloom过滤器的方法 使用Bloom过滤器算法，可以在FPGA中实现一个类似哈希表查找算法来实现特征匹配。但是这个方法的错误率很高，而且可供匹配的规则数目直接受限于内存情况。更大的问题是，这个方法需要检查数据包中每个单个的字节，所以125Mhz的引擎最多只能支持1Gbps的查找速度。 基于TCAM的方法 TCAM因为可以在一个时钟周期内实现基于内容寻址，具有实现特征匹配的先天优势。并且可以支持通配符属性，所以更是进行特征匹配的利器。但是由于网络数据中数据流的是连续的，使用TCAM进行匹配需要滑动窗口算法，窗口的大小与匹配规则有密切的关系。因此，单纯基于TCAM的特征匹配同样受限于器件容量和价格，很难满足不断增长的规则数目的要求。 * 使用TCAM做预处理，因而支持Wildcard（通配符）、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元； 对特征进行了预分组，在保证了匹配速度的同时，控制了器件规模，从而节约成本，保证了用户得到最高的性能价格比； 算法相关部分全部位于FPGA之中，由于其具有可动态升级特性，因而算法可以不断随着产品升级进行优化，灵活性大； SSRAM成本低，容量大，用它来实现精确匹配极大了扩展了可以用于匹配的规则数目； CPU的多核机制和FPGA中