《A系列入侵防御IPS》完整课件.pptx

《A系列：入侵防御（IPS）》什么是IPSTCP/IP参考模型应用层入侵检测传输层防火墙Internet层网络访问层入侵防御可以检测扫描器、webshell木马上传、SQL注入攻击、网络攻击、已知漏洞防护、远程管理审计等产品历史沿革—产品及市场 2011年，Gartner定义了NGIPS 专业化威胁防御是IPS产品区别于NGFW、UTM等产品并独立发展的重要特征2006~至今成熟阶段2003~2005 2006年始，国内厂商相继发布IPS 在与IDS、UTM的争论中，国内IPS独立市场形成并高速增长发展阶段 2003年，McAfee、TippingPoint、CISCO、Juniper相继推出成熟IPS产品 同年Gartner“IDS已死”为IPS铺路2000~2002起步阶段 2000年，第一款IPS产品问世 IPS出现是为扩展FW防御能力产品功能定位-深层防御，精确阻断入侵及威胁旁路部署N无连接攻击IDS深层分析Y……深层分析IPS在线部署在线部署YFW工作原理 ：串行部署于网络关键路径，对深层攻击行为进行精确识别和实时阻断，主动而有效的保护网络安全。关键价值 ：具备对已知、未知威胁的精确检测能力，执行实时高效的自动化威胁防御，简单而有效的保护用户网络及业务免受深层威胁的侵害。深层攻击低层分析N产品功能定位—IPS与IDSIPS追求精确阻断，IDS追求有有效呈现IDS呈现的事件≠ IPS精确阻断的事件IDS需要全面有效呈现，IPS需要精确阻断办公网IPS精确阻断事件内网IDS有效呈现Internet产品功能定位—IPS与UTM、NGFWVS专业单反相机2400万像素的Nikon D800E具备拍照功能的手机4100万像素的Nokia 1020IPS：像单反相机以画质为核心一样，IPS以威胁防御为核心，从精确检测、在线防护及执行性能方面将该能力发挥到极致，面向对威胁防御有专业需求的用户UTM、NGFW：IPS作为附属模块，虽然具备较完善的功能，无论是威胁防御能力，还是处理效能都无法跟专业IPS相比，适合对威胁防御需求不高的用户VS《A系列：入侵防御（IPS）》核心功能灵活高效的安全策略 基于严格的状态检测，高安全性 以流为对象，安全策略为核心 完善的访问控制措施结合应用层防护动作保障阻断效果 支持在线及旁路部署全面内容过滤 IM与P2P控制 在线流媒体控制 股票软件和网络游戏 网页内容过滤 业界领先URL过滤功能领先的威胁防御能力 高级威胁检测与防御 超过3500条IPS事件库 业界领先的威胁响应能力 最准确的SQL/XSS防护能力 自定义特征扩展防御能力高效网关防病毒流模式和全面模式的病毒扫描双引擎超过100万条病毒库 FTP/HTTP/SMTP/POP3/IMAP网页病毒信息替换邮件告警高可用性HA A-S双机热备和A-A负载分担 自动链路探测 配置和状态的自动备份 秒内切换能力 双配置文件、配置的备份和恢复完备的管理能力专用数据处理中心手工和自动报表支持SNMP，SYSLOG基于设备组的集中管理中心天清NGIPS软件架构—一体化检测引擎数据中心管理中心行为分析引擎报文预处理流分类报文重组流量整形内容过滤处理引擎网络访问控制IPS处理引擎模式匹配引擎防病毒处理引擎行为知识库统一特征库性能最优化设计，节约性能开销功能亮点—领先的威胁防御能力推荐理由核心技术保障：近百CVE漏洞，81项相关专利，IPS国标制定单位之一专业安全团队，一流的响应速度：2014年率先防护IE0day完善的特征自定义功能扩展防御能力功能亮点—管理以安全策略为核心推荐理由可针对不同数据流设置不同的应用层防御策略完善的数据流定义，精细化的应用层防御策略及动作管理配置简单，易于操作匹配条件防御动作应用层防护策略入接口/安全域入侵防御规则阻断源地址出接口/安全域防病毒规则丢弃会话源地址对象内容过滤规则丢弃目的地址对象带宽管理规则重置服务对象/端口通过日志规则时间对象数据流功能亮点—领先的网络防病毒技术推荐理由卡巴斯基，安天国外国内双引擎对各种病毒的检测能力：文件病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件，病毒库总计＞1000,000病毒类型根据危害程度划分为：流行库、高危库、普通库入侵防御同时加载防病毒功能，性能衰减小功能亮点—完善的应用过滤功能推荐理由Web过滤：黑白名单、关键字、URL过滤、恶意内容过滤邮件过滤：可根据邮件SMTP命令、发件人、主题、附件、IP及邮件大小进行邮件过滤功能亮点—精确的抗DoS攻击能力推荐理由采用特征控制和异常控制相结合的手段，有效保障抗拒绝服务攻击的准确性和全面性，阻断绝大多数的DoS攻击行为功能亮点—强大且成熟应用的集中管理集中管理与数据分析中心界面IPS引擎管理界面多IPS引擎集中拓扑化管理、配置管理、升级管