20141116_天清NGIPS_技术白皮书_v6060.doc

天清入侵防御系统NGIPS 技术白皮书 ---「」--- 2014 年 月 密级：公开 版 权 声 明 北京启明星辰信息技术有限公司本中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。未经北京启明星辰信息技术有限公司书面同意本北京启明星辰信息技术有限公司北京启明星辰信息技术有限公司 信息反馈 如有任何宝贵意见，请反馈： 信箱：北京市海淀区获得最新技术和产品信息。目 录 1 概述 4 2 发展史 5 2.1 发展过程和方向 5 2.2 多核将成为IPS的最佳承载平台 5 3 产品综述 7 3.1 产品综述 7 3.2 特点说明 7 4 体系架构说明 8 4.1 产品构成 8 4.2 硬件结构 9 4.3 软件结构 10 4.4 管理结构 12 5 关键技术 14 5.1 基于行为分析的合法性检查技术 14 5.2 基于标签的融合式综合匹配技术 15 5.3 事件关联分析技术与归并处理机制 16 5.4 应用层协议类型识别技术 17 5.5 高速深层检测技术 19 5.6 智能内容过滤技术 22 5.7 非法连接过滤技术 24 6 典型组网 25 6.1 政府行业 25 6.1.1 电子政务网 25 6.1.2 政府专网 26 6.2 教育行业 27 6.2.1 高教校园网 27 6.2.2 中/基教教育城域网 28 6.3 企业市场 29 6.3.1 中小企业 29 6.3.2 大型企业 30 7 产品资质 32 8 服务支持 32 概述 诞生20多年来，网络已经在全球经济中扎根发芽，蓬勃成长为参天大树，对各个行业的发展起着举足轻重的作用。随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分。在安全的术语里，有一个名词“安全域”，网络按照划分出不同的边界，定义出各自的安全领域。举个简单的例子，在PC上安装了相关的杀毒软件，就是一个最简单的安全域。 发展史 网络入侵防御系统作为一种新兴的安全防御类产品，其概念出现时间并不短，几乎是在入侵检测产品被大部分网络安全管理人员认知的同时，就出现了入侵防御的概念。在经过一段复杂的发展过程后，入侵防御产品的价值逐渐清晰，并获得了市场的认可。 发展过程和方向 从2000年出现入侵防御概念，到2006年才形成规模市场销售，入侵防御产品的发展过程分为两个阶段。 起步阶段 最初的入侵防御概念认为“入侵防御将会是入侵检测的升级版本”，因此当时的入侵防御系统仅仅是将入侵检测系统串行接入，发现攻击后对数据包予以丢弃。事实上入侵检测系统关注所有可疑事件，如那些基于统计的事件，随着定义阀值的不同而有较大报警弹性空间。而入侵防御产品仅关注确切的攻击行为，两者在检测对象层面存在分歧。这些问题导致了“替代论”并不为大众所认可。 成熟阶段 随着大量的机构开始使用网络作为办公或业务开展的载体，网络应用越来越复杂，这些机构所关心的网络安全问题更多的是如何有效防御越发严重的网络应用层攻击行为。这与传统入侵检测产品的风险管理目标没有重合，需要入侵防御产品来弥补这一空缺。 而上述要求，也正是入侵防御产品的发展方向：发现并准确阻断那些防火墙等其他安全产品所不能防御的深层威胁行为。 多核将成为IPS的最佳承载平台 经过近十几年的发展，中国的信息安全产业发展很快，用户的需求也已经比较成熟，各行业用户对安全建设非常重视，这对信息安全产品提出了更高的、更深的要求。信息安全建设有一个明显的趋势就是“从脆弱性安全向结构性安全转变”，这要求信息安全建设要站在网络和应用整体角度来考虑。而从网络设备角度看，路由器、交换机等网络设备通常都采用专有硬件平台，具备电信级的可用性和可靠性，而安全设备通常基于X86平台构建，在可用性和可靠性上难以同路由器、交换机设备相比，这就降低了整个网络的可用性与可靠性。IPS作为网关级设备，在网络中处于非常关键的边界位置，网络安全设备在这个体系里面也就成为一个短板。 要“补长”这个短板，就需要安全设备采用专有的硬件平台，提高可靠性和可用性。目前专用硬件平台一般有NP、ASIC、多核三种。NP网络处理器架构具有比较高的灵活性，在性能方面由于X86架构在多安全策略环境下，NP性能下降得比较多，这使得NP不适合作为IPS的硬件架构；ASIC架构具有很高的性能，但是由于ASIC灵活性较差，仅能按照简单的策略进行数据处理，无法对应用层业务进行安全防护，因此无法推广到IPS设备上。由于IPS对于性能和功能都有很高的要求，若要在性能和功能之间寻找一种平衡，那么多核恰恰可以实现这个平衡。多核硬件平台的数据转发速度可以达到10Gbps以上，同时具备很强的灵活性，采用常用的底层编码工具就可以进行