【文章內(nèi)容簡介】 檢測、入侵防御、弱點(diǎn)評估等等技術(shù)；安氏領(lǐng)信信息安全保障體系（ISAF ）在安氏信息保障體系框架（ISAF）之下，安氏領(lǐng)信公司開發(fā)出一系列世界領(lǐng)先的信息安全產(chǎn)品，包括防火墻、入侵檢測、終端安全管理系統(tǒng)、統(tǒng)一威脅11管理系統(tǒng)入侵防御系統(tǒng)等等，提供強(qiáng)有力的技術(shù)手段，幫助用戶構(gòu)筑一個主動的、深層的安全技術(shù)體系，從容應(yīng)對來自網(wǎng)絡(luò)外部和內(nèi)部的、已知的和未知的安全風(fēng)險，保護(hù)信息資產(chǎn)的安全，以及企業(yè)業(yè)務(wù)的正常運(yùn)營。安氏領(lǐng)信技術(shù)體系及對應(yīng)防御領(lǐng)域在領(lǐng)信安全保障體系中，入侵防御系統(tǒng)系統(tǒng)（IPS）占有重要的位置，它可以根據(jù)用戶的實(shí)際需求，部署在某些關(guān)鍵位置，如網(wǎng)關(guān)出口，內(nèi)部服務(wù)器集群，以及某些重要業(yè)務(wù)系統(tǒng)前端，起到實(shí)時檢測和主動防御的效果，提高防御性能，縮短響應(yīng)時間，為網(wǎng)絡(luò)提供強(qiáng)有力的保護(hù)。 安氏領(lǐng)信入侵防御系統(tǒng)介紹 安氏領(lǐng)信入侵檢測系統(tǒng)（Linktrust IPS）是安氏領(lǐng)信針對目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS 等黑客攻擊，以及網(wǎng)絡(luò)資源濫用（P2P 下載、IM 即時通訊、網(wǎng)游等）等推出的全新安全防護(hù)方案，其具有先進(jìn)的體系架構(gòu)并繼承了安氏領(lǐng)信入侵檢測系統(tǒng)先進(jìn)的入侵檢測技術(shù)，以全面深入的協(xié)議分析技術(shù)為基礎(chǔ)，結(jié)合協(xié)議異常檢測、協(xié)議異常檢測、關(guān)聯(lián)分析形成的新一代檢測引擎，實(shí)時攔截數(shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在企業(yè)網(wǎng)絡(luò)之外，保護(hù)企業(yè)的信息資產(chǎn)。 12 領(lǐng)信入侵防御系統(tǒng)主要功能領(lǐng)信入侵防御系統(tǒng)的主要功能可以總結(jié)為幾個方面，如下圖所示：具體功能闡述如下：? 阻止來自外部或內(nèi)部的蠕蟲、病毒和黑客等的威脅，確保企業(yè)信息資產(chǎn)的安全。 ? 阻止間諜軟件的威脅，保護(hù)企業(yè)機(jī)密。 ? 阻止企業(yè)員工因為各種 IM 即時通訊軟件、網(wǎng)絡(luò)在線游戲、 P2P 下載、在線視頻導(dǎo)致的企業(yè)網(wǎng)絡(luò)資源濫用而影響正常工作，凈化流量，為網(wǎng)絡(luò)加速。 ? 阻止 P2P 應(yīng)用可能導(dǎo)致的企業(yè)重要機(jī)密信息泄漏和可能引發(fā)的與版權(quán)相關(guān)的法律問題。 ? 實(shí)時保障企業(yè)網(wǎng)絡(luò)系統(tǒng) 7x24 不間斷運(yùn)行，提高企業(yè)整體的網(wǎng)絡(luò)安全水平。 ? 智能、自動化的安全防御，降低企業(yè)整體的安全費(fèi)用以及對于網(wǎng)絡(luò)安全領(lǐng)域人才的需求。 ? 高效、全面的流量分析、事件統(tǒng)計，能迅速定位網(wǎng)絡(luò)故障，提高網(wǎng)絡(luò)穩(wěn)定運(yùn)行時間。 領(lǐng)信入侵防御系統(tǒng)產(chǎn)品特點(diǎn) ? 實(shí)時的主動防御 13? 多種檢測技術(shù)的結(jié)合使得 Linktrust IPS 可以預(yù)防多種已知和未知攻擊，準(zhǔn)確率保持在很高的水平 ? 最小化人員干預(yù)，結(jié)合安氏領(lǐng)信的 SOC 系統(tǒng)可以使網(wǎng)絡(luò)管理人員從大量的事件分析工作中解脫出來，有效減輕攻擊報警處理的壓力。 ? IPS 的檢測模塊與內(nèi)置防火墻模塊的完美集成使得產(chǎn)品具有更安全可靠的防護(hù)能力，同時還可獲得更強(qiáng)的訪問控制功能和靈活性。準(zhǔn)確的檢測/防護(hù) ? Linktrust IPS 基于狀態(tài)的協(xié)議分析檢測技術(shù)、流量和協(xié)議異常檢測技術(shù)、基于漏洞存在的攻擊檢測技術(shù)，結(jié)合基于特征匹配的檢測技術(shù)，極大地提高檢測的準(zhǔn)確性，降低誤報率。 ? Linktrust IPS 獨(dú)有的協(xié)議識別技術(shù)能夠識別近 100 種包括后門、木馬、IM、網(wǎng)絡(luò)游戲在內(nèi)的應(yīng)用層協(xié)議，不僅可以更有效的檢測通過動態(tài)端口或者智能隧道等進(jìn)行的惡意入侵，并且能更好的提高檢測效率和準(zhǔn)確率。 ? Linktrust IPS 出色的協(xié)議異常檢測針對檢測未知的溢出攻擊與拒絕服務(wù)攻擊，達(dá)到接近 100%的檢測準(zhǔn)確率和幾乎為零的誤報率。 ? Linktrust IPS 能夠有效防御拒絕服務(wù)攻擊 DoS，阻止攻擊者消耗網(wǎng)絡(luò)資源、中止服務(wù)。 ? 優(yōu)異的產(chǎn)品性能 ? Linktrust IPS 專門設(shè)計了安全、可靠、高效的硬件運(yùn)行平臺。硬件平臺采用嚴(yán)格的設(shè)計和工藝標(biāo)準(zhǔn)，保證了高可靠性；獨(dú)特的硬件體系結(jié)構(gòu)大大提升了處理能力、吞吐量；操作系統(tǒng)經(jīng)過優(yōu)化和安全性處理，保證系統(tǒng)的安全性和抗毀性。 ? Linktrust IPS 依賴先進(jìn)的體系架構(gòu)、高性能專用硬件，在實(shí)際網(wǎng)絡(luò)環(huán)境部署中性能表現(xiàn)優(yōu)異，具有線速的分析與處理能力。 ? 高可靠、可擴(kuò)展 ? Linktrust IPS 支持失效開放（Fail bypass）機(jī)制，當(dāng)出現(xiàn)軟件故障、硬件故障、電源故障時，系統(tǒng)自動切換到直通狀態(tài)以保障網(wǎng)絡(luò)可用性，避免單點(diǎn)故障。 14? Linktrust IPS 支持雙機(jī)熱備 HA，不僅支持 ActiveStandby（主從熱備） ，還支持 ActiveActive（對等熱備） ，提供高可用性保障。 ? Linktrust IPS 的工作模式靈活多樣，支持 inline 主動防御、旁路檢測、以及 bypass 方式，能夠快速部署在幾乎所有的網(wǎng)絡(luò)環(huán)境中? 強(qiáng)大的管理能力 ? 全新的集中管理平臺－Linktrust 安全防護(hù)中心，使得用戶可操作性和方便性都有了很大程度的提高。 ? 極易擴(kuò)展的集中管理平臺使得用戶在升級網(wǎng)絡(luò)時無需額外的投資? 全中文圖形化的操作界面，符合安氏領(lǐng)信產(chǎn)品操作簡單靈活的傳統(tǒng)。豐富的報表格式? 提供了多達(dá) 40 余種的統(tǒng)計報表模版，方便用戶直觀的了解網(wǎng)絡(luò)安全狀況 ? 提供了向?qū)降淖远x報表功能，用戶可以根據(jù)網(wǎng)絡(luò)的實(shí)際情況制定出符合自身需求的報表模版 領(lǐng)信入侵防御系統(tǒng)支持的工作模式領(lǐng)信入侵防御系統(tǒng)產(chǎn)品支持 4 種工作模式，包括透明學(xué)習(xí)模式、服務(wù)保障模式、強(qiáng)制防御模式、以及旁路模式，以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境和不同的業(yè)務(wù)需求。用戶可以根據(jù)自身的安全需求靈活的進(jìn)行選擇和切換。其中 Passive 模式相當(dāng)于傳統(tǒng)的 IDS 設(shè)備，我們重點(diǎn)關(guān)注的是其中的三種“Inline”模式。15這些工作模式的定義如下：1 透明學(xué)習(xí)模式（ Inline Bridging）：該模式下引擎將根據(jù)安全策略對網(wǎng)絡(luò)中通過的數(shù)據(jù)進(jìn)行檢測，但是不會采取任何阻斷或流量控制操作。這種模式主要用于首次部署時對用戶網(wǎng)絡(luò)環(huán)境的學(xué)習(xí)與策略優(yōu)化階段。2 服務(wù)保障模式（ Inline Failpassthrough）：該模式下引擎將按照安全策略對所有會話過程進(jìn)行檢測，并產(chǎn)生對不符合安全策略的內(nèi)容進(jìn)行告警和適當(dāng)?shù)姆烙?。?dāng)進(jìn)入 IPS 引擎的數(shù)據(jù)包在引擎內(nèi)的轉(zhuǎn)發(fā)延遲超過最大轉(zhuǎn)發(fā)延遲所限制的時延時，超時的數(shù)據(jù)包會被轉(zhuǎn)發(fā)以保障服務(wù)的可用性。另外在一些特殊條件下引擎也會采用透明轉(zhuǎn)發(fā)或 Bypass 的方式保障服務(wù)可用性。這些可能的特殊情況有：? 當(dāng)引擎正處在 Reboot 或初始化過程中時。 （非 bypass 功能支持）? 當(dāng)引擎正在執(zhí)行“策略應(yīng)用”命令，或正在編譯簽名時。 （非bypass 功能支持）? 當(dāng)引擎失去電源，或意外掉電時 (該項需要網(wǎng)卡硬件支持)? 當(dāng)出現(xiàn)任何硬件故障，導(dǎo)致引擎無法工作時 (該項需要網(wǎng)卡硬件支持)? 當(dāng)檢測引擎由于某種原因而意外失效時（如：死機(jī)，系統(tǒng)崩潰等） (該項需要網(wǎng)卡硬件支持)? 數(shù)據(jù)轉(zhuǎn)發(fā)延遲超時后數(shù)據(jù)直接被轉(zhuǎn)發(fā)（非 bypass 功能支持）3 強(qiáng)制防御模式（ Inline Failsevered）：與服務(wù)保障模式的工作方式類似，引16擎會按照安全策略的要求對通信內(nèi)容進(jìn)行檢測并作出反應(yīng)，區(qū)別在于當(dāng)進(jìn)入IPS 引擎的數(shù)據(jù)包在引擎內(nèi)的轉(zhuǎn)發(fā)延遲超過最大轉(zhuǎn)發(fā)延遲所限制的時延時，超時的數(shù)據(jù)包會被丟棄以保障通信的安全性，在此模式下 bypass 功能將被禁用。4 旁路模式（ Passive）：傳統(tǒng) IDS 部署模式，采用旁路監(jiān)聽方式部屬； 入侵防御系統(tǒng)推薦部署流程安氏領(lǐng)信提供一整套的入侵保護(hù)解決方案，具有良好可擴(kuò)展性的 Linktrust IPS 的部署方式靈活多樣，能夠快速部署在幾乎所有的網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn)從企業(yè)網(wǎng)絡(luò)核心至邊緣及分支機(jī)構(gòu)的全面保護(hù)，適用于不同環(huán)境不同企業(yè)的安全需求。 入侵防御系統(tǒng)通常部署在網(wǎng)絡(luò)中的關(guān)鍵位置,這樣對入侵防御系統(tǒng)自身的安裝配置提出了很高的要求,為了更好的讓領(lǐng)信入侵防御系統(tǒng)適應(yīng)用戶的網(wǎng)絡(luò)環(huán)境 ,發(fā)揮更高的防御能力,我們推薦用戶將入侵防御系統(tǒng)的上線分為兩個階段 :第一階段:IPS 的學(xué)習(xí)適應(yīng)期階段，采用透明學(xué)習(xí)模式（Inline Bridging）。第二階段: IPS 的在線工作階段。以 Inline 模式工作，全面檢測，全面防護(hù)。其中 Inline 模又可以具體分成服務(wù)保障模式（Inline Failpassthrough）和強(qiáng)制防御模式（Inline Failsevered） ，具體采用何種模式取決與用戶對安全性的要求和對設(shè)備魯棒性的要求；我們強(qiáng)烈建議您采用服務(wù)保障模式，這樣可以在設(shè)備故障或失效的情況下仍然保證網(wǎng)絡(luò)的可用性。 IPS 的學(xué)習(xí)適應(yīng)期階段入侵防御系統(tǒng)和入侵檢測系統(tǒng)在部署方式上的區(qū)別為 IPS 工作于 Inline 模式，而 IDS 工作于旁路監(jiān)聽模式，但并不意味著只要將 IPS 放置于網(wǎng)絡(luò)的出口處，設(shè)置為 inline 模式，讓它直接對攻擊或可疑行為進(jìn)行丟棄就可以了，通常情況下，在 IPS 以 Iiline 模式部署后，都需要一段時間的學(xué)習(xí)適應(yīng)，才能正確無誤的擔(dān)當(dāng)起主動防護(hù)的重任。之所以 IPS 需要一個學(xué)習(xí)適應(yīng)的過程，主要是因為：17? 防止 IPS 設(shè)備誤阻擋合法的數(shù)據(jù)流量? 根據(jù)被保護(hù)網(wǎng)絡(luò)的流量，調(diào)整各項攻擊閾值參數(shù)（threshold）? 根據(jù)被保護(hù)網(wǎng)絡(luò)環(huán)境，調(diào)整需要檢測的攻擊特征項目在這個階段,IPS 以 Inline 模式工作，只檢測攻擊并告警，不進(jìn)行阻斷首先，將 IPS 的工作模式設(shè)置為 Inline Bridging 模式，并將 IPS 以 Inline模式串接在被保護(hù)網(wǎng)絡(luò)之前，所有進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包都會通過 IPS 的檢查，正常的流量才會允許進(jìn)入被保護(hù)網(wǎng)絡(luò)。在該模式下，IPS 的檢測引擎將根據(jù)安全策略對網(wǎng)絡(luò)中通過的數(shù)據(jù)進(jìn)行檢測，如果用戶設(shè)置了對攻擊數(shù)據(jù)包的阻斷功能，IPS 會產(chǎn)生相應(yīng)的阻斷報警，但是不會采取任何阻斷或流量控制操作。這種模式主要用于首次部署時對用戶網(wǎng)絡(luò)環(huán)境的學(xué)習(xí)與策略優(yōu)化階段，根據(jù)檢測到的網(wǎng)絡(luò)中可能出現(xiàn)的攻擊行為，對攻擊簽名特征庫和閾值等參數(shù)做出調(diào)整，減少 IPS 產(chǎn)生誤報的可能性另外在此模式下，用戶可以觀察 IPS 設(shè)備的加入會不會對原有的網(wǎng)絡(luò)應(yīng)用產(chǎn)生影響，以確保 IPS 的性能能夠滿足原有網(wǎng)絡(luò)應(yīng)用的需求。 IPS 的 Inline 模式工作階段在經(jīng)過第一階段的學(xué)習(xí)、調(diào)整和適應(yīng)后，已經(jīng)可以確認(rèn) IPS 能夠以 Inline方式正常運(yùn)行，并且不會阻斷正常合法的網(wǎng)絡(luò)數(shù)據(jù)包，這時候就可以開啟 IPS的防御功能，進(jìn)入阻斷攻擊、全面防御的階段。在此階段中有兩種模式可以供不同安全要求的用戶使用：1 Inline Failpassthrough 模式適用于對網(wǎng)絡(luò)應(yīng)用的連續(xù)性要求高于對網(wǎng)絡(luò)安全性要求的用戶，在此模式下，如果 IPS 不能正常檢測攻擊時或出現(xiàn)故障，將使用 Bypass 和超時轉(zhuǎn)發(fā)技術(shù)優(yōu)先保證用戶業(yè)務(wù)的連續(xù)性。2 Inline Failsevered 模式 適用于對網(wǎng)絡(luò)安全要求高于對網(wǎng)絡(luò)應(yīng)用連續(xù)性要求的用戶，在此模式下，如果 IPS 不能正常檢測攻擊或出現(xiàn)故障，將拒絕所有數(shù)據(jù)包的通過，優(yōu)先保證被保護(hù)網(wǎng)絡(luò)中數(shù)據(jù)的安全。184 入侵防御系統(tǒng)部署建議安氏領(lǐng)信提供一整套的入侵保護(hù)解決方案，具有良好可擴(kuò)展性的Linktrust IPS的部署方式靈活多樣，能夠快速部署在幾乎所有的網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn)從企業(yè)網(wǎng)絡(luò)核心至邊緣及分支機(jī)構(gòu)的全面保護(hù)，適用于不同環(huán)境不同企業(yè)的安全需求。 系統(tǒng)組件說明 組件 說明Console(控制臺) 控制臺是 LinkTrust IPS 系統(tǒng)中進(jìn)行各種配置管理、日志（包括安全事件、系統(tǒng)日志、用戶審計日志）查看的客戶端組件。它是一個基于 Windows 的應(yīng)用程序