来源:中国电子政务网 更新时间:2012-04-15
一 前言
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正逐步改变着人类的生活和工作方式。越来越多的政府、企业组织建立了依赖于网络的业务信息系统,比如电子政务、电子商
务、网上银行、网络办公等,对社会的各行各业产生了巨大深远的影响,信息安全的重要性也在不断提升。
近年来,企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游、视频)等,极大地困扰着用户,给企业的信息网络造成严重的破坏。
能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题。
二 为什么需要入侵保护系统
说起网络安全,相信许多人已经不陌生了。大家可能都曾遇到过下面这些情况:
● 没有及时安装新发布的一个安全补丁,造成服务器宕机,网络中断;
● 蠕虫病毒爆发,造成网络瘫痪,无法网上办公,邮件收不了,网页打不开;
● 有的员工使用BT、电驴等P2P软件下载电影或MP3,造成上网速度奇慢无比;
● 有的员工沉迷在QQ或MSN上聊天,或者玩反恐精英、传奇等网络游戏,或者看在线视频,不专心工作;
● 由于员工电脑被植入间谍软件,导致公司机密资料被窃;
● 公司WEB服务器遭受SQL注入攻击,造成公司主页内容被篡改;
● 部分员工电脑成为僵尸网络的“肉机”,向外网发起DOS攻击,引起公安部门注意并上门进行调查。
根据调查数据显示,以上事件呈逐年上升趋势,给企业造成越来越大的直接和间接损失。对于上述威胁,传统的安全手段(如防火墙、入侵检测系统)都无法有效进行阻止。
2.1 防火墙的局限
绝大多数人在谈到网络安全时,首先会想到“防火墙”。防火墙得到了广泛的部署,企业一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足企业的安全需要。传统防火墙的不足主要体现在以下几个方面:
● 防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对WEB服务的Code Red蠕虫等。
● 有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为。
由于防火墙具有以上一些缺陷,所以部署了防火墙的安全保障体系还有进一步完善的需要。
2.2 入侵检测系统的不足
入侵检测系统IDS( Intrusion Detection System)是近几年来发展起来的一类安全产品,它通过检测、分析网络中的数据流量,从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象。它弥补了防火墙的某些缺陷,但随着网络技术的发展,IDS受到新的挑战:
● IDS旁路在网络上,当它检测出黑客入侵攻击时,攻击已到达目标造成损失。IDS无法有效阻断攻击,比如蠕虫爆发造成企业网络瘫痪,ID无能为力。
● 蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应,往往造成企业网络瘫痪,IDS无法把攻击防御在企业网络之外。
我们看到,入侵检测系统IDS侧重网络监控,注重安全审计,适合对网络安全状态的了解。
2.3 入侵保护系统的特点
基于目前网络安全形势的严峻,入侵保护系统IPS(Intrusion Prevention System)作为新一代安全防护产品应运而生。
网络入侵防御系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
从IPS的工作原理来看,IPS有几个主要的特点:
● 为企业网络提供“虚拟补丁”
IPS预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量,使攻击无法到达目的主机,这样即使没有及时安装最新的安全补丁,企业网络仍然不会受到损失。IPS给企业提供了时间缓冲,在厂商就新漏洞提供补丁和更新之前确保企业的安全。
● 进行“流量净化”
目前企业网络的带宽资源经常被严重占用,主要是在正常流量中夹杂了大量的非正常流量,如蠕虫病毒、DOS攻击等恶意流量,以及P2P下载、在线视频等垃圾流量,造成网络堵塞。IPS可以过滤正常流量中的恶意流量,同时对垃圾流量进行控制,为网络加速,还企业一个干净、可用的网络环境。
● 加强“内容管理”
随着网络安全向更高层次的发展,对网络内容的管理和控制得到认可和加强。IPS提供对面向应用层和内容层的网络内容安全防护,可以检测并阻断间谍软件、木马后门,并可以对即时通讯软件,在线视频等的内容进行监控及阻断。
三 如何评价入侵保护系统
针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击,不仅需要有效检测到各种类型的攻击,更重要的是降低攻击的影响,从而保证业务系统的连续性和可用性。
一个完善的网络入侵防御系统应该具备以下特征:
.. 提供针对各类攻击的检测和防御功能,同时提供丰富的访问控制能力;
.. 准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;
.. 满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量;
.. 具备良好的可靠性,提供硬件BYPASS或HA等可靠性保障措施;
.. 提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间把攻击阻断在企业网络之外,同时也支持旁路模式部署,用于攻击检测,适合不同用户需要;
.. 支持分级部署、集中管理,满足不同规模网络的使用和管理需求。
四 绿盟科技网络入侵保护系统
针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击,以及网络资源滥用(P2P下载、IM即时通讯、网游、视频……),绿盟科技提供了完善的安全防护方案。冰之眼网络入侵保护系统(ICEYE NIPS)是绿盟科技自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。
4.1 主要功能
冰之眼网络入侵保护系统具有三大功能:
.. 网络防护
冰之眼NIPS具有实时的、主动的网络防护功能,内置基于状态检测的防火墙,保护网络边界和内部网络,同时为网络设备的漏洞提供防护;具有流量管理功能,对于可能出现的异常流量,提供抗拒绝服务攻击功能。
.. 应用防护
冰之眼NIPS提供对应用层的防护功能。针对操作系统、应用软件以及数据库,提供深度的内容检测技术,过滤报文里的恶意流量和攻击行为,保护存在的漏洞,防止操作系统和应用程序损坏或宕机。
.. 内容管理
冰之眼NIPS对企业内部网络资源提供内容管理,可以有效检测并阻断间谍软件,包括木马后门、恶意程序和广告软件等,并可以对即时通讯、P2P下载、网络游戏、在线视频、网络流媒体等内容进行监控并阻断。
4.2 体系架构
图表 1 绿盟科技网络入侵保护系统体系架构
冰之眼网络入侵保护系统的体系架构包括三个主要组件:控制台、网络引擎、升级站点,方便各种网络环境的灵活部署和管理。
4.3 产品特点
4.3.1 深度融合的集成平台
.. 冰之眼NIPS深度融合的IPS/IDS/防火墙集成平台开创了世界先河,独一无二的设计使冰之眼NIPS为用户提供从网络层、应用层到内容层的深度安全防护。冰之眼NIPS集成强大的防火墙功能,采用基于状态检测的动态包过滤技术,实现静态防御;冰之眼NIPS以全面深入的协议分析技术为基础,协议识别、协议异常检测、关联分析为核心,实现动态防御,圆满解决了防火墙静态防御和IPS动态防御的融合难题,为用户提供全面的入侵保护解决方案。
.. 冰之眼NIPS专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准,保证了高可靠性;独特的硬件体系结构大大提升了处理能力、吞吐量;操作系统经过优化和安全性处理,保证系统的安全性和抗毁性。
.. 冰之眼NIPS具有更强的高可用性,设备支持热插拔的冗余双电源,避免电源硬件故障时设备宕机,提高设备可用性;而内置的硬件BYPASS更提供在设备出现软件、硬件及电源故障时快速、自动切换到直通状态的功能,保障网络可用性。
.. 冰之眼NIPS运行在特别定制的操作系统上,在提供给网络引擎强健的性能与稳定性的同时,本身具备了超强的安全性,系统内各组件通过强加密的SSL安全通道进行通讯防止窃听。
.. 冰之眼NIPS全面深入的协议分析技术能够分析近100种应用层协议,包括HTTP、FTP、SMTP等,极大地提高检测的准确性,降低误报率。
.. 冰之眼NIPS独有的协议识别技术能够识别近100种包括后门、木马、IM、网络游戏在内的应用层协议,不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵,而且能更好的提高检测效率和准确率。
.. 冰之眼NIPS出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击,达到接近100%的检测准确率和几乎为零的误报率。
4.3.2 基于对象的虚拟系统
.. 冰之眼NIPS提供业界领先的基于对象的IDS/IPS/FW策略管理系统,完全统一的规则配置方式强大而灵活。冰之眼NIPS的所有策略(规则)都使用对象来定义,具有丰富的预定义对象。冰之眼的对象包括网络对象、服务对象、时间对象、事件对象。每个对象都支持组的概念,在设置规则的时候可以基于组进行规则设置,组对象可以是单个对象也可是多个对象,或者是二者的组合,通过组的概念可以减少防火墙和IPS的规则数量,简化了管理员的管理工作组;
.. 冰之眼NIPS提供基于对象的虚拟系统(VIPS),针对不同的网络环境和安全需求,基于对象制定不同的规则和响应方式,每个虚拟系统分别执行不同的规则集,实现面向不同对象、实现不同策略的智能化入侵检测;
.. 绿盟科技拥有著名的安全研究部门NSFocus小组,已经独立发现了30余个Microsoft、HP、CISCO、SUN、Juniper等国际著名厂商的重大安全漏洞,保证了冰之眼NIPS技术的领先和规则库的及时更新,在受到攻击以前就能够提供前瞻性的保护;
.. 覆盖广泛的攻击规则库带有超过1800条由NSFocus安全小组精心提炼、经过仔细检测与时间考验的攻击特征,并通过国际最著名的安全漏洞库CVE严格的兼容性标准评审,获得最高级别的CVE兼容性认证(CVE Compatible)。而且绿盟科技具有领先的漏洞预警能力,是目前国内唯一一个向国外(美国)出口入侵检测规则库的公司。绿盟科技每月平均提供四到五次升级更新,在紧急情况下可即时提供更新。
.. 冰之眼网络入侵保护系统提供“虚拟补丁
.. 冰之眼NIPS提供强大的防火墙功能,防火墙模块使用基于“状态检测”(Stateful Inspection)的技术,不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制,而且具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过。内置防火墙支持安全区(Zone),支持透明、路由、混合三种工作模式,支持双向NAT,包括静态NAT、动态NAT和端口NAT,支持基于源/目的地址、接口的策略路由;
冰之眼NIPS主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL蠕虫病毒、木马后门、间谍软件等,而且针对僵尸网络提供主动防御,广泛精细的应用防护帮助用户避免安全损失;
冰之眼NIPS能够有效防御拒绝服务攻击DoS,阻止攻击者消耗网络资源、中止服务;
.. 冰之眼NIPS提供丰富的响应方式,包括主动响应(丢弃数据包、丢弃连接会话)、被动响应 制台显示、日记录、打印机输出、运行用户自定义命令、写入XML文件、snmp trap),用户可自定义,满足各种需要。
.. 冰之眼NIPS能够基于行为、时间、体及网络游戏等行为,有效管理网络资源的使用;并可以对IM即时通讯、P2P下载等行为提供内容监控,及时发现恶意行为并进行阻断; 冰之眼NIPS提供全面抵御木马后门、广告软件、恶意程序等间谍软件功能,对间谍软件的通信和传播进行拦截并阻止对这些恶意程序的下载,有助于降低IT成本、防止潜在的隐私侵犯和保护机密信息; 冰之眼NIPS提供强大、灵活的流量管理功能,采用全局维度(协议/端口)、局部维度(源/目的IP地址、网段)、时间维度(时间)、流量纬度(带宽)等流量控制四元组,实现基于内容、面向对象的流量保护策略,从而保证重要业务服务的正常运行; 冰之眼NIPS支持审计功能,可以记录网络的通信报文,并解码回放,目前支持HTTP、SMTP、FTP、Telnet、POP3协强大丰富的管理能力
.. 冰之眼NIPS同时支持B/S和C/S两Firefox、Opera四大浏览器,真正意义上实现了跨平台; 冰之眼支持独立式多路IPS,各路IPS相互独立,一进一出;同时也支持交换式多路IPS,类似交换机一样,一进多出或多进多各种网络环境部署的需要; 独立式多路IPS:
.. 冰之眼NIPS支持五种安全区模式:透明(Layer2)、路由(Layer3)、监听(Monitor)、直通(Direct)、管理(Mgt),能够快速部署在各种网络环境中;
.. 冰之眼NIPS提供带外管理(OOB)功能,解决远程应急管理的需求,减少用户运营成本、提高运营效率、减少宕机时间、提高服务质量;
.. 从实时升级系统到报表系统,从攻击告警到日志备份,冰之眼NIPS完全支持“零管理”技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行,极大地降低了维护费用与管理员的工作强度;
.. 冰之眼NIPS支持三种管理模式:单级管理、主辅管理、多级管理,满足不同企业不同管理模式需要。
单级管理模式:控制台直接管理网络引擎,一个控制台可以管理多台网络引擎。适合小型企业,用于局域网络。
主辅管理模式:网络引擎同时接受一个主控制台和多个辅控制台的管理。主控制台可以完全控制网络引擎;辅控制台只能接受网络引擎发送的日志信息,不能操作网络引擎。适合大型企业或者有分权管理需求的用户。
多级管理模式:控制台支持任意层次的级联部署,实现多级管理。上级控制台可以将最新的升级补丁、规则模板文件等统一发送到下级控制台,保持整个系统的完整统一性;下级控制台可以通过配置过滤器,使上级控制台只接收它关心的信息。适合跨广域网的大型企业用户。
.. 实时在线升级、自动在线升级、离线升级,冰之眼NIPS支持多种升级方式,使NIPS提供最前沿的安全保障;
.. 全中文界面、中文报表,符合中国人操作习惯,而中文规则库对每个漏洞都有详细描述,并提供了详细的解决方案及补丁下载地址;
.. 控制台提供体验模式,模拟的数据动态显示,有利于用户学习掌握。
4.4 解决方案
绿盟科技提供一整套的入侵保护解决方案。冰之眼NIPS深度融合的IPS/IDS/防火墙集成平台,为用户提供从网络层、应用层到内容层的深度安全防护,圆满解决了防火墙静态防御和IPS动态防御的融合难题,实现从企业网络核心至边缘及分支机构的全面保护,适用于不同环境不同企业的安全需求。
4.4.1 多链路防护解决方案
目前,很多企业为了保证网络带宽资源的充足和网络冗余,网络出口采用多链路连接方式,连接到两个或更多ISP服务商。
针对这种连接方式,绿盟科技入侵保护系统提供多链路防护的解决方案,在网络出口处部署一台冰之眼网络入侵保护系统,采用多路IPS的部署方式:
1、 冰之眼NIPS支持多路IPS部署,一路IPS防护一个ISP接入链路,一台冰之眼NIPS可以同时防护多条链路,节约用户投资;
2、 冰之眼NIPS的各路IPS是相互独立的,彼此之间没有数据交换,互不干扰,保证了各链路流量的自身安全;
3、 冰之眼NIPS实时监测各种流量,提供从网络层、应用层到内容层的深度安全防护。
图表 2多链路防护解决方案
4.4.2 交换防护解决方案
企业内部网络根据工作地点和工作特性,划分为不同的网段。网段之间通过交换机连接,进行数据交换。如何有效检测不同网段之间内部数据交换的安全性,是很多网管员关心的问题。
针对以上需求,绿盟科技入侵保护系统提供交换防护的解决方案:
1、 冰之眼NIPS类似二层交换机一样,采用一进多出或多进多出的方式,同时与不同网段相连接,进行数据交换;
2、 冰之眼NIPS实时监测各网段之间的各种流量,提供从网络层、应用层到内容层的深度安全防护。
图表3 交换防护解决方案
4.4.3 路由防护解决方案
目前,很多企业网络连接到互联网,一般在网络边界部署路由器、防火墙以及入侵保护/检测系统,串联的设备比较多,造成网络边界单点故障率提高,影响整个网络安全性。
针对以上网络特点,绿盟科技入侵保护系统提供路由防护的解决方案:
1、 冰之眼NIPS部署在网络边界,类似于一个路由器,提供静态路由和策略路由,又是一台防火墙,实现NAT地址转换和流量管理,提供网络层安全防护,还是一台入侵保护系统,实现应用层和内容层的安全防御;
2、 冰之眼NIPS深度融合的IPS/IDS/防火墙集成平台圆满解决了防火墙静态防御和IPS动态防御的融合难题,为用户提供更全面的入侵保护解决方案。
图表 4路由防护解决方案
4.4.4 混合防护解决方案
大型企业的网络规模很大,结构相对复杂,不仅有总部,还有各地的分支机构,既要保护网络边界的安全,同时又要保护企业内网的安全。
针对大型企业网络特点,绿盟科技入侵保护系统提供混合防护的解决方案:
1、 在总部互联网出入口处在线部署冰之眼NIPS,实现路由防护,提供互联网的从网络层、应用层到内容层的深度安全防护;
2、 在总部内部网段之间以及与分支机构网络之间在线部署冰之眼NIPS,提供透明接入的、独立多路IPS一进一出的、交换式IPS多进多出的全
方位、立体式的安全防护体系,实现内网的安全区域划分和控制;
3、 在企业服务器区旁路部署冰之眼NIPS,相当于入侵检测系统,监测、分析服务器区的安全状况,保护服务器安全;
4、 通过一个冰之眼控制台,实现对全网IPS设备的集中管理、安全信息的集中分析和处理,有效解决企业面临的安全问题,提高投资回报率。
图表 5 混合防护解决方案
五 结论
随着安全漏洞不断被发现,黑客的技巧和破坏能力不断提高,网络受到越来越多的攻击。每天成千上万的蠕虫、病毒、木马、垃圾邮件在网络上传播,阻塞甚至中断网络;BT、电驴等P2P下载软件轻易的占据100%的企业网络上行下行带宽;员工沉浸在QQ、MSN等聊天或反恐精英、传奇等网游中不能自拔,从而影响了正常的工作。这些新型的混合威胁越来越给企业造成巨大的损失,而对于上述威胁,传统防火墙、入侵检测系统和防病毒系统都无法有效地阻止。
为了弥补目前安全设备(防火墙、入侵检测等)对攻击防护能力的不足,我们需要一种新的工具用于保护业务系统不受黑客攻击的影响。这种工具不仅仅能够精确识别各种黑客攻击,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。
绿盟科技的冰之眼网络入侵保护系统提供了业界领先的实时、主动的防护能力,通过新一代的入侵保护技术,绿盟科技的产品和技术能够有效的阻断攻击,保证合法流量的正常传输,这对于保障业务系统的运行连续性和完整性有着极为重要的意义。