【文章內(nèi)容簡介】 御IPS入侵防護(hù)系統(tǒng)操作系統(tǒng)是專用的、實(shí)時的強(qiáng)化安全的操作系統(tǒng)，它在全平臺上支持病毒掃描，內(nèi)容過濾，sateful檢測防火墻，IP安全（IPSec）VPN，基于網(wǎng)絡(luò)的IDS和流量管理應(yīng)用。以下介紹其設(shè)計(jì)特點(diǎn)、應(yīng)用級和網(wǎng)絡(luò)級功能，以及高性能，高可靠性，高靈活性和擴(kuò)展性。216。 高性能并行處理聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)高端產(chǎn)品設(shè)計(jì)為雙CPU。 利用對稱多處理技術(shù)，有效地分解和協(xié)調(diào)在雙處理器之間不同的任務(wù)。 在任一特定時間， 兩個處理器都負(fù)載在最佳的處理水平。 由于利用了專門的算法， 任務(wù)切分和協(xié)調(diào)過程中的消耗減到了最小程度。216。 實(shí)時體系結(jié)構(gòu)與非實(shí)時OS（例如許多防火墻和設(shè)備采用的不同風(fēng)格的Linux）相比，聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)操作系統(tǒng)是使數(shù)據(jù)流程處理達(dá)到優(yōu)化的實(shí)時操作系統(tǒng)。在非實(shí)時OS中，核心并不總是對輸入的數(shù)據(jù)包觸發(fā)的中斷作出及時反應(yīng)；這不僅使數(shù)據(jù)包排隊(duì)時間增長， 而且造成系統(tǒng)資源（例如內(nèi)存）不能有效地利用，因而增加了丟包率。聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)操作系統(tǒng)的設(shè)計(jì)集成了智能排隊(duì)和管道管理， 與包的到達(dá)/處理相關(guān)的系統(tǒng)中斷得到立刻的重視。同時，基于內(nèi)容處理加速模塊的硬件加速使各種類型流量的處理時間達(dá)到最小，加上最短的排隊(duì)時間，從而給用戶提供了最好的實(shí)時系統(tǒng)。216。 實(shí)時內(nèi)容級智能常規(guī)的安全網(wǎng)關(guān)設(shè)計(jì)有兩類：狀態(tài)包檢測（基于流程的,flowbased）和應(yīng)用代理（ proxy）。在基于流程的網(wǎng)關(guān)中，安全策略是大多在包一級定義和執(zhí)行的（雖然狀態(tài)檢測對一定類型的流量保持會話上下文）。 這種方法因?yàn)榘谔幚砗篑R上送走, 而導(dǎo)致高處理速度和高吞吐量； 但是， 由于處理是在包一級的， 系統(tǒng)不理解高一級語言，（例如協(xié)議）或目標(biāo)（例如文件），因此不能識別有害的腳本、病毒攻擊、或不想要的內(nèi)容。相比之下，基于代理的系統(tǒng)，安全網(wǎng)關(guān)終斷進(jìn)入和流出的會話，檢測包，將它們重新組合為原始的數(shù)據(jù)流，理解會話的當(dāng)前狀態(tài)，并能夠?qū)︻A(yù)先定義的違規(guī)、或動態(tài)產(chǎn)生的安全或網(wǎng)絡(luò)策略進(jìn)行檢測內(nèi)容。這種方法有足夠的智能在應(yīng)用級運(yùn)作，因而能進(jìn)行應(yīng)用級處理。但是，重新組合所有的包和檢測數(shù)據(jù)流需要耗費(fèi)大量的計(jì)算資源，那會使基于代理的網(wǎng)關(guān)變得性能減低許多。聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)設(shè)計(jì)為綜合基于流程的和基于代理的兩者優(yōu)點(diǎn)，而同時又克服它們的弱點(diǎn)。聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)設(shè)計(jì)為具有基于流程的檢測引擎和多應(yīng)用級代理（HTTP, SMTP,POP3, IMAP等）。專利設(shè)計(jì)在包檢測和代理之間給出最佳的協(xié)調(diào)。由內(nèi)容加速單元提供了基于代理系統(tǒng)的智能，而在性能上達(dá)到通常只有基于流程的系統(tǒng)才能達(dá)到的水平。結(jié)果使聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)不僅能達(dá)到常規(guī)的網(wǎng)絡(luò)級安全, 例如防火墻，VPN和NIDS，而且能在網(wǎng)絡(luò)界面邊緣高速地處理應(yīng)用級安全功能，例如病毒與蠕蟲掃描、URL和關(guān)鍵詞內(nèi)容過濾、跨過防火墻的話音Voice over IP (VoIP)。216。 完整的投資保護(hù)和完整的網(wǎng)絡(luò)保護(hù)聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)專用操作系統(tǒng)設(shè)計(jì)的另一個優(yōu)點(diǎn)是能適應(yīng)新的功能和應(yīng)用。模塊化設(shè)計(jì)使得能方便地添入或修改新的代理。在引入新的協(xié)議和業(yè)務(wù)時，不需要改變整個操作系統(tǒng)結(jié)構(gòu)（或硬件系統(tǒng)結(jié)構(gòu)）。聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)專用操作系統(tǒng)適應(yīng)支持VoIP NAT的能力就代表了操作系統(tǒng)靈活性的一個很好的例子。使用得越來越多的VoIP，協(xié)議比較復(fù)雜，, MGCP, SIP等，不能由常規(guī)的網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻來防護(hù)。如果不使用代理，為了讓VoIP通行，VoIP網(wǎng)關(guān)要求在防火墻中打開“洞”。然而，這些洞往往會被入侵者利用，利用話音業(yè)務(wù)來損壞防火墻，并增加未經(jīng)容許的網(wǎng)絡(luò)接入。如果網(wǎng)絡(luò)保護(hù)網(wǎng)關(guān)能理解復(fù)雜的VoIP協(xié)議，它們就能處理VoIP業(yè)務(wù)安全，不需要開“洞”，而“洞”往往會讓VoIP和潛在的有害流量通過。如上所述，基于流程的網(wǎng)關(guān)一般缺少智能來理解復(fù)雜的高級的協(xié)議，而常規(guī)的基于代理的設(shè)計(jì)缺少必要的性能，來處理對延遲敏感的話音，以免引入不能接受的抖動和延遲。 這就是聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)專用操作系統(tǒng)的立足之處：。高性能的操作系統(tǒng)核心，結(jié)合專門建立的內(nèi)容處理加速硬件，能使聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)適合新的應(yīng)用，而無須重新設(shè)計(jì)系統(tǒng)或?qū)τ布壸鞔蟮母膭印?16。 提供分區(qū)間安全的虛擬系統(tǒng)支撐用戶能夠建立一個單個的聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)單元行為，就好象它包含大量的獨(dú)立的“虛擬系統(tǒng)”，它們提供專門的服務(wù)，對各個部門或用戶分別具有自己獨(dú)特的策略。聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)體系結(jié)構(gòu)中設(shè)計(jì)了虛擬系統(tǒng)支撐。，帶有VLAN中繼支撐的交換機(jī)/路由器與聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)的物理接口相連接。聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)能提供多達(dá)500個虛擬系統(tǒng)?；诮巧墓芾碓试S不同的管理員僅管理它們授權(quán)的虛擬系統(tǒng)，使它們建立和維護(hù)它們自己的一套安全策略、地址和地址組， 以及監(jiān)視系統(tǒng)狀態(tài)。216。 提供Closedloop 保護(hù)的體系結(jié)構(gòu)常規(guī)入侵檢測系統(tǒng)的主要問題正在于檢測系統(tǒng)本身，因?yàn)樗鼈冎粰z測，提供報告，但不能防護(hù)或防止攻擊。主要原因在于大多數(shù)IDS, 例如防火墻，防病毒掃描，是在點(diǎn)上的解決辦法，它們互相不通氣。聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)專用操作系統(tǒng)平臺組成了一個共框架，它無縫地自然地集成了所有支持的應(yīng)用。當(dāng)系統(tǒng)中的NIDS模塊檢測一個攻擊時，它能采用一個或多個防護(hù)措施，例如重新設(shè)置連接， 放棄與攻擊相關(guān)的包，告示防火墻阻擋攻擊，或等候到攻擊指示燈顯示達(dá)到某個門限。這是一種“closed loop”保護(hù)，根據(jù)這一強(qiáng)有力的概念， 將被動防護(hù)變?yōu)橹鲃臃雷o(hù)。216。 高可用性(HA)的備份保護(hù)聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)通常用于關(guān)鍵任務(wù)環(huán)境，例如運(yùn)營服務(wù)商基礎(chǔ)設(shè)施或大型企業(yè)，不能容忍由于任一點(diǎn)故障的業(yè)務(wù)丟失。用戶使用備分的一對聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)單元，并利用專用冗余協(xié)議，來確保萬一有故障發(fā)生時的故障恢復(fù)零中斷。正如支持高可用性的其它協(xié)議一樣，例如VRRP和路由器故障恢復(fù)零中斷的HSRP，聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)專用冗余協(xié)議提供安全會話的故障恢復(fù)零中斷。協(xié)議中包含幾項(xiàng)技術(shù)，包括：21