网络卫士入侵防御系统TopIDP.ppt

网络卫士入侵防御系统TopIDP培训 用户遇到的安全问题 “IDS+FW”无法阻止应用层危险 解决方法：深度防御 解决办法：在线处理 IPS与防火墙、IDS TopIDP以威胁抵御为核心功能 特点一：高吞吐量、低延时 IPS必须像千兆交换机一样的高吞吐量和低延时　 高呑吐量：IPS的呑吐量必须与网络中的其它网络设备的性能相匹配、由于IPS要对每一个数据包进行检查，因此在实际的具有各种流量的网络中测试是非常重要的　 低延时：对于在多数的应用，端到端的性能与延时成反比、加倍的延时使得完成一个任务花费二倍多的时间 TopIDP通过采用ASIC+NPU硬件加速，可以提供线速入侵防御能力　　 特点二：强大的入侵防御能力 特点三：VIPS实现精细化防御 特点四：高可用性和冗余性 特点五：为用户提供多重立体防御保护 综合部署图 高可用性部署图 IDS模式部署图 病毒/木马及恶意代码、垃圾邮件、网络蠕虫是当前用户遇到的最多三类问题 攻击范围和时间的变化 漏洞宣布到大规模蠕虫出现时间越来越短：WMF零天、Witty2天；蠕虫攻陷全球的时间越来越快：Slammer病毒10分钟就攻陷了全球。 当前已有的防火墙、IDS等产品不能很好的解决当前的安全问题。 防火墙不够智能！ HTTP-80 Nimda/P2P FTP-21 SMTP-25 BackOrifice-31337 蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽 P2P等应用，利用80端口进行协商，然后利用开放的UDP进行大量文件共享，导致机密泄漏和网络拥塞 IP Header TCP Header Packet Payload 无法检测的部分 Firewall的过滤部分 防火墙只能做到包头信息的过虑，无法检测数据包数据部分的特征。 基于数据包包头信息的检测阻断方式，主要对主机的服务进行控制，无法阻断通过公开端口流入的有害流量，防火墙主要用于对服务的访问控制，并不是对蠕虫或者黑客攻击的解决方案。 IDS主要为检测/检测，不能及时响应蠕虫病毒的感染与传播； 阻断策略的 限制（不能100％阻断，只能提供TCP攻击的阻断）； 为事后的响应，需要一定响应时间； 对未知的攻击束手无策； 服务器 防火墙 IDS 报警 !!! 发送TCP　RST 指令，终止TCP 连接 重新配置 防火墙，使 其能阻挡来 自攻击地址 的流量 网络层次越高资产价值越大 L5-L7: Application Layer L4: Transport Layer L3: Network Layer L2: Lnk Layer L1: Phy. Layer Router Traditional Firewall TCP/IP Stack NIC OSes Web Servers Web ApplicationFrameworks Applications 风险越高越迫切需要被保护 Application Data Session ID HTTP Request/Respond TCP Connection IP Packet Ethernet Packet Bit on Wire 只有在线对流量进行深度防御，才能真正阻挡出现在网络上的攻击 服务器 防火墙 IDS 报警 !!! 发送TCP　RST 指令，终止TCP 连接 重新配置 防火墙，使 其能阻挡来 自攻击地址 的流量 TCP resets 和 Firewall 不能真正工作 整个操作要花100毫秒的时间 ，这对现代的网络来说是一个巨大的时间窗口 不能阻挡类似于Slammer(单个UDP数据报)的攻击 IPS能在一个攻击发生危害之前，对其实施阻挡 它根据每个数据包，作出允许还是拒绝的决定 对网络进行精细化管理、防御 不能起到理想的效果！！！ 部署模式不同： IDS：旁路模式 IPS：在线模式 工作层次相同，都可以工作在7层，对应用层进行深度解析，发现应用层威胁。 IDS 工作层次不同： 防火墙：3～4层 IPS：7层 都是在线的部署模式 防火墙 与IPS不同点 与IPS相同点 在组网中IPS和防火墙、IDS的关系 防火墙和IPS往往一前一后配合使用。防火墙做“网络隔离和访问控制”，IPS做应用层威胁抵御。防火墙只能解决20％的安全威胁问题，而IPS可以解决80％的安全问题 IPS、IDS市场有重叠；IDS侧重网络监控，注重安全审计，适合对网络安全状态的了解；IPS适用于入侵防御，对网络净化 IPS--Intrusion Prevention System（入侵防御系统，也称为IDP） TopIDP——网络卫士入侵防御系统 应用威胁 蠕虫/病毒 DoS/DDoS 间谍软件 网络钓鱼 带宽滥用 垃圾邮件 TopIDP