东软NetEye 集成安全网关入侵防御系统(NISG-IPS)

为了解决Web应用安全、邮件服务器安全、数据库应用安全、蠕虫防护等难题,东软推出基于多核处器架构的高性能入侵防御系统东软NetEye集成安全网关入侵防御系统(NISG-IPS),它拥有协议级分析和攻击防御能力,采用协议异常、漏洞特征、攻击特征和统计特征等多种方法来定义攻击检测防御规则,同时规则库可以不断更新和升级,提供开放的攻击描述语言平台以便用户或第三方根据具体应用环境编写定制化规则,广泛适用于各行业关键应用服务器和内网的安全防护。

东软NetEye 集成安全网关入侵防御系统

独特的“应用净化”技术

为高效保护Web等应用的安全,东软NetEye IPS采用了一项独特的“应用净化”技术,也是东软NetEye IPS与其它IPS产品相比最为明显的技术优势之一。传统IPS的关注点在于“什么是攻击”,即检测网络中有哪些流量是攻击、异常或误用,并将其拦截下来,由于绝大多数情况下,攻击流量只占正常流量的较小比率,而且攻击层出不穷,因此传统的IPS的漏报率较高,对网络性能也有一定的影响。而东软NetEye IPS中采用的“应用净化”技术的关注点在于“什么是正常应用”,即只有确认是遵循标准协议并且符合特定应用环境安全策略的流量才能通过东软NetEye IPS,这一措施极大地增强了应用的安全性,并大幅提高了IPS的性能。

下表以Web应用防护为例,对东软NetEye IPS和其它主动防御式IPS、被动防御式IPS的防护能力进行了对比。由表中对比可以看出,采用“应用净化”技术的东软NetEye IPS在保障应用安全方面具有明显的技术优势,并且对于未知的漏洞和攻击也有满意的防御效果。

东软NetEye 集成安全网关入侵防御系统

注1:可以抵御利用已知安全漏洞的Web蠕虫。
注2:可以通过定制化的规则进一步强化HTTP协议及应用的安全性,比如对协议交互和业务应用交互过程进行更严密的限定,限制只能使用HTTP指集中特定子集等。

  • 东软NetEye IPS目前具有四大功能:攻击防御、集中管理、实时监控和网络审计。

    攻击防御

    东软NetEye IPS目前可以检测到3300多种常见的攻击入侵行为,能够对当今较流行的视频平台、通信平台、游戏平台、股票客户端和P2P协议等进行有效地监测和动态防御,并对实时检测到的网络流量,进行及时地分析和响应。

    集中管理

    东软NetEye IPS目前提供了集中管理和多级管理功能,非常适合拥有多台监控主机、并需要集中管理的用户。通过此功能可以集中管理多个子监控主机及子管理节点,并可以对子监控主机和子管理节点进行升级和安全策略下发。

    实时监控

    东软NetEye IPS目前可以实时监视网络连接状态、数据流量和网络信息,并提供了自定义数据捕捉工具,可以根据用户需求监控符合各种条件的流量数据包。

    网络审计

    东软NetEye IPS目前支持对攻击检测、内容恢复、网络流量等操作进行实时审计和分析,并可以对产生的事件生成统计图、报报,通过图表数据直观地查看和分析网络信息的统计结果。

    东软NetEye 集成安全网关入侵防御系统

    核心检测框架

    检测模块是东软NetEye IPS最核心的部分。它首先使用流过滤和协议分析技术对各种应用层协议进行事件解析,然后借助事件过滤平台,对协议事件进行协议异常、漏洞利用、攻击签名和用户定义四个层次的叠加检测,做到检测的高性能和高准确性。

    东软NetEye 集成安全网关入侵防御系统

  • 基于漏洞特征定义攻击检测防御规则能力

    东软NetEye IPS具有基于漏洞特征定义攻击检测防御规则的能力,无论攻击者利用漏洞开发了多少种攻击工具和攻击方法,只需一条规则就可以有效阻断,包括那些尚未出现的攻击方法。

    用户自定义规则和行业定制化规则能力

    以Web应用为例,用户可以与东软的工程师一起,针对自己的应用环境特点,通过在规则中引应用环境相关的信息,开发出定制化的NEL规则,增强其适应性和准确性,更好地抵御各类缓冲区溢出、SQL注入、URL攻击等等。

    用户上网行为管理能力

    对互联网上流行的上网行为进行监控和管理,这样就可以使网络管理员了解、监控、管理内网80%以上的流量。如:网络游戏、P2P下载工具、网络电视等流量。

    应用层DoS/DDoS攻击防御能力

    东软NetEye IPS具有基于攻击特征和统计特征来定义攻击检测防御规则的能力,因而可以有效防御对Web服务器、DNS服务器、SMTP服务器等关键服务器发起的应用层DoS和DDoS攻击。

    无缝部署能力

    在已建成的网络及建设中的网络里,都可以轻松的将东软NetEye IPS嵌入任何部分,并不会对网络的拓扑、应用运行等带来任何影响。

    应用层协议内容恢复能力

    东软NetEye IPS支持应用层协议内容恢复功能,它能够完整记录符合条件的、有内容的应用协议的会话过程与会话内容,并能将其回放。此功能可用于监控内部网络中的用户是否滥用网络资源、记录攻击者的攻击过程、发现未知的攻击等。可对HTTP、FTP、POP3、SMTP、TELNET、NNTP、MSN、IMAP、DNS、YAHOO、Rlogin、Rsh等常见的应用协议进行恢复。

    虚拟IPS系统划分能力

    东软NetEye IPS可以被逻辑地划分为多个虚拟IPS,每一个虚拟IPS都拥有自己的规则策略,满足了不同的网络环境和安全需求。真正实现了不同虚拟IPS应用不同的攻击防御策略集。

    东软NetEye 集成安全网关入侵防御系统

    网络探测能力

    使用东软NetEye IPS网络探测功能可以通过对网络中的主机进行ICMP、NETBIOS、SNMP和端口扫描、获取共享资源和用户列表等操作,并主动发现存在的安全隐患,进而增强网络安全的监控,更有效地协助网络管理员了解内网的实时运行状况。

    高性能多核处理架构

    由于IPS要进行大量的协议分析和入侵检测防御的计算,计算量和计算复杂度远远大于传统的防火墙,因此IPS对硬件平台的处理器性能要求非常之高。东软NetEye IPS采用了多核处理器技术,在一个处理器上集成两个或多个核心计算单元,每个核心拥有独立的指令集、执行单元,多个核心可以实现真正的并行处理模式。这样,一颗多核CPU就可以提供接近传统2、4、8颗CPU的处理性能。与此同时,东软NetEye IPS的硬件平台还支持多CPU架构,进一步提升了IPS的处理性能,完全可以满足千兆网络环境的部署要求。

    东软NetEye 集成安全网关入侵防御系统