信息安全IPS解决方案

入侵防范系统网络安全解决方案
1.需求分析
1.1权威争论报告指出系统入侵/渗透是目前最大的安全威逼
VanDyke Software 组织的一次广泛而具有影响力的调查显示，66% 的公司认为系统渗透是政府、组织和企业所面临的最大威逼。

该项调查还显示，被调查企业所经受的最为严峻的八种威逼分别是：病毒〔占 78%〕、系统渗透〔占 50%〕、DoS (占 40%)、内部人员错误操作〔占 29%〕、电子欺诈〔占 28%〕、数据或网络故障〔占 20%〕以及内部人员的非法访问〔占 16%〕。

图 1 权威调查提醒 2/3 的受访者认为系统渗透/入侵是面临的最大安全威逼
1.2现有的安全架构无法应对系统入侵的威逼
虽然在被调查的企业中，有 86% 已经部署了防火墙〔狡猾说，相对于时代的进展和今日的大环境，这个数字低得让人无法承受〕，但很明显，防火墙面对很多
入侵行为仍旧无计可施。

一般的防火墙设计旨在拒绝那些明显可疑的网络流量〔例如，企业的安全策略完全制止 Telnet 访问，但仍有某些用户试图通过 Telnet 访问某个设备〕，但仍允许某些流量通过〔例如，发送到内部 Web 效劳器的 Web 流量〕。

图 2 现有的 FW 无法识别拦截应用层面攻击
问题在于，很多攻击都会尝试利用那些外围防火墙允许通过的协议的漏洞，而且，一旦 Web 效劳器遭到攻击，攻击者会以此为跳板连续对其它内部效劳器发起攻击。

一旦效劳器上被安装了“rootkit”或“后门”，那么黑客们就能够在将来的任何时间里“大摇大摆”地访问这台机器。

一般来说，我们仅将防火墙部署在网络外围。

但很多攻击，无论是全球性攻击还是其它类型的攻击，往往都是从组织内部发起的。

虚拟专用网、便携式计算机以及无线网络都能够接入到内部网络，而且常常会越过防火墙。

入侵检测系统在检测可疑活动时可能很有效，但却不能供给对攻击的防护。

臭名昭著的蠕虫〔例如Slammer 和 Blaster〕都具有惊人的传播速度，当系统发出警报时，蠕虫实际上已经导致了损失，而且正在飞速地向外集中。

图 3 攻击历史回忆提示我们蠕虫的快速传播曾造成巨大损失
1.3安全缺口在扩大
随之网络和应用的不断进展，安全的需求也在不断增长，而我们现有的安全力量却没有提高，造成安全缺口不断在扩大，如以下图所示：
图 4 安全缺口在不断扩大
1.4系统和网络安全面临的实际问题
依靠现有的FW、IDS等安全设备，我们已经不能准时把握网络和系统的安全状况，也无法准时拦截攻击和进展补救。

下面是一些亟待解决的问题：
1.FW、IDS 已经不能保护应用安全，攻击能够穿透防火墙，比方 SQL 注入
攻击，而我们不行能将 SQL 使用的 TCP 端口在防火墙上关闭，由于这样
会将正常的 SQL 操作也阻断。

这说明 FW 不能对数据流作深度分析，不能
检测到应用层面的攻击，仅起到访问掌握的作用，而 IDS 虽然能够监测
到攻击，但是却不能够准时自动的拦截攻击，需要大量的人工干预，效
率较低。

2.网络中的设备和系统越来越多，同时，这些设备和系统使用的操作系统
和应用软件存在的漏洞也不断被觉察，应用层面的攻击正是利用了这些
漏洞，比方，微软已经公布了很多 Web 效劳器软件 IIS 和数据库软件
MS-SQL 的系统漏洞，而这些系统被广泛承受，如何为这些设备和系统准
时打补丁(修补漏洞)成为一件必需解决的问题。

3.来自于外部的攻击越来越多，而且进展成为零日攻击〔Zero-day
Attacks〕，加之黑客工具泛滥，假设存在漏洞的系统没有准时打补
丁，则潜在被攻击的可能性极大。

4.P2P、IM、Game、流媒体等次要应用占用大量网络带宽而影响关键应
用。

5.不清楚谁或者哪些设备在对我们的网站进展攻击。

6.针对上述威逼缺乏有效的、自动化的、高性能的解决方案，IT 人员工
作压力巨大。

2.问题解决之道–承受 IPS 增加网络安全
FW 不能检测应用层面的攻击，而 IDS〔入侵检测系统〕虽能检测却不能准时、有效拦截攻击，所以我们需要一种既能够检测攻击，又能够拦截攻击的方案–入侵防范系统，部署在网络的关键位置。

入侵防护系统完全是前瞻性的防范机制，它们的设计旨在对常规网络流量中的恶意数据包进展检测〔这是目前的防火墙产品无法做到的〕、阻挡入侵活动、预先对攻击性的流量进展自动拦截，使它们无法造成损失，而不是在传送恶意流量的同时或之后，简洁地发出警报。

图 5 IPS 供给主动和自动化的安全防护
网络使用者和治理员不再被下面这些麻烦所困扰：网络屡遭攻击后需要进展大量的清理工作但无法彻底清理干净而复发；需要在短时间内紧急为大量的效劳器打补丁以避开危害面积扩大；泛滥的 P2P、IM 等“流氓”流量大量侵占了贵重的带宽
使得关键业务中断；DoS/DDoS 攻击致使Internet 通路堵塞并且导致关键效劳器宕机。

3.IPS 部署方案设计
3.1设计原则
设计遵循高安全性、高性能、高牢靠性和易于治理兼顾的原则。

在部署IPS 时，需要考虑以下几点：
1.误报率和漏报率：这两个指标应当趋近于零，由于误报较高必定影响正
常业务，造成人为阻断，而漏报较高就会大大降低安全效能。

一方面，
依据目前系统的状况，作一些有针对性地模拟攻击测试来考察误报率和
漏报率，另一方面，可以参考一些权威机构的评测报告，如 NSS、ICSA。

2.攻击防护的广度：低误报率和漏报率保证了IPS的精度、但还必需能够
防护可能多的攻击，依据 CERT 对今年的漏洞统计，一个好的 IPS 应当
能够支持 3000 种上攻击，能够保护 Windows、Unix/Linux 等操作系
统、Oracle、SQL 等各种数据库、Web 等应用软件漏洞。

3.性能考虑：由于 IPS 在线部署，我们还必需检验其吞吐力量和延时，而
这里考察的条件是安全策略大局部都开启状况下的应用层面的吞吐能
力，而不仅仅是像测试路由器和交换机性能那样检查三层转发性能。

部
署在千兆链路上的 IPS 其 7 层处理力量不应当小于 800Mbps〔真实网络
流量下〕，而处理延迟应当和千兆交换机相当，即 150 –200 微妙之间。

具体评测方法可以借助专业测试仪器并参考权威机构的评测方法和报告。

4.牢靠性：虽然各厂商都声称自己的产品具有 4 个 9 甚至 5 个 9 的高牢靠
性，但是假定设备在某种状况下过载〔CPU 利用率超过 90%、吞吐力量
下降、处理延迟到达毫秒级〕，则设备本身需要具备某种自我检测机
制，准时觉察过载，超过某个阈值后自动将安全处理器短路，或者称为
内置旁路功能。

5.安全争论力量和效劳：上述考量关注产品的本身，实际上还必需考察设
备制造厂商的安全争论力量和效劳水平，由于 IPS 最重要的是供给了一
个专家系统并不断对攻击特征库进展更。

具有较强安全争论力量的厂商
都拥有业界知名的特地的安全争论专家，建立一套完整的安全漏洞跟踪
争论、攻击过滤器研发体系。

除本公司的安全争论团队外，业界领先的
厂商还创立了广泛招揽人才的公开安全争论组织。

对产品的效劳考察上，
需要关注攻击特征库更是否准时，是否能够防范零日攻击。

特征的包的
更应自动完成，最好是利用内容公布网络〔CDN〕进展分发,并发送提示
邮件给安全治理人员，而更的频率一周应至少一次。

6.易于治理：供给即插即用的配置功能，供给安全策略设置的缺省建议，
即对数千个安全防护规章依据安全风险级别给出设置建议。

供给集中式
网管，实现安全策略的集中定义和分发，支持安全规章的自动下载，更
和分发。

支持丰富的日志、统计和报告功能。

3.2IPS 部署设计
3.2.1总体部署方案
如以下图所示
图 6 IPS 部署总体设计
3.2.2IPS 的工作模式
迪普科技 IPS 的设计遵循了一个很重要的原则：无缝部署。

基于这个原则，无论对已经建成的网络，还是正在建设中的网络，都可以很简洁地将迪普科技IPS 嵌入进任何局部，并且不会对网络的拓扑、性能、运行带来任何改动。

从规律
上来看，迪普科技 IPS 就似乎一根智能的线，这根智能的线却从根本上解决了困扰网络的安全问题。

图 7 敏捷部署- 从核心到边界
这样的无缝部署主要表达在以下方面：
●嵌入式部署〔in-line〕模型保证最简化的部署步骤，而不需要进展交
换机镜像等简单的配置，更不需要更改网络拓扑。

●检测接口不需要 IP 地址，也不需要 MAC 地址，一旦接入网络，马上开
始保护网络；同时保证自身对攻击源是隐身的，增加整网的安全性。

●高性能、低时延使得迪普科技 IPS 无论被部署在网络核心还是边缘，
都可以供给线速的准确检测和实时阻断力量，对网络业务的效率没有
任何的损伤。

同时，流量限制力量保证关键应用的优先级。

●供给攻击过滤器的推举配置，实现了即插即用，经过细心分析、调
试、验证的数字疫苗可以在不经任何调整的状况下正常工作，无需任
何调整即可抵挡的网络威逼，堪称专家系统。

3.2.3安全防护设计
随着网络的飞速进展，以蠕虫、病毒、木马、间谍软件、DDoS 攻击为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进展检查和规章匹配，而大量应用层攻击都隐蔽在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。

DPtech IPS2022系列入侵防范系统正是通过对报文进展深度检测，对应用层威逼进展实时防范的安全产品。

DPtech IPS2022 是目前全球性能最高的 IPS 产品，并在漏洞库的根底上，集成了专业病毒库和应用协议库，是针对系统漏洞、协议弱点、病毒蠕虫、 DDoS 攻击、网页篡改、间谍软件、恶意攻击、流量特别等威逼的一体化应用层深度防范平台。

DPtech IPS2022 部署简洁、即插即用，协作应用 Bypass 等高牢靠性设计，可满足各种简单网络环境对应用层安全防护的高性能、高牢靠和易治理的需求，是应用层安全保障的最正确选择。

3.2.3.1应用防护
迪普科技 IPS 的一大应用是部署在数据中心和 DMZ 前，一旦 IPS 在线工作，对关键业务和应用的安全防护将得到显著增加。

图 8 IPS 部署–应用防护
IPS 最核心的功能就是保护各种应用系统，比方 Web 效劳、数据库、邮件系统、存储系统，以及 Windows、Unix/Linux 等各种操作系统。

由于各种系统存在弱点和漏洞，而攻击正是针对这些漏洞的探测和利用行为，IPS 必需能够保护这些弱点/漏洞。

迪普科技的 IPS 供给虚拟软件补丁功能：IT 部门担当着测试、部署补丁，防范零日攻击的重任，也担当了极大压力。

迪普科技的 IPS虚拟软件补丁承受了漏洞防护过滤器技术，能够对数据流进展深度检测以觉察攻击并具有极高的精准性，即使其保护的效劳器没有打补丁也不会被攻击，同时保证调用存在漏洞进程的正常业务运行。

能够保护 Windows、Unix/Linux 等操作系统、Oracle、SQL 等各种数据库、Web 等应用软件漏洞。

针对局机关政务公开网站、网上业务系统、邮件等各种 Web和应用效劳器较多的特点，我们还供给增加的 SQL 注入攻击、PHP Include 攻击和 XSS 跨站脚本攻击防范效劳，防止主页被篡改，数据库数据被破坏。

•SQL 注入
•跨站脚本
•PHP 文件包含.
SQL 注入攻击防范：SQL 注入是利用 web 站点的弱点来攻击后端数据库的攻击，所以我们会在安全策略执行点对恳求中有关 SQL 语句的语法和参数进展检查，准时觉察恶意的 SQL 恳求，并在策略策略执行点马上将其拦截。

目前可以供给100 多种SQL 注入拦截手段。

PHP include 攻击防范：现在很多论坛和网站都使用 PHP 程序开发的，而由于PHP 漏洞的问题，面临 PHP include 各种攻击的威逼。

假设漏洞被利用，攻击者能够讲恶意的 PHP 。

代码强行插入到被攻击的 PHP 应用里。

我们能够供给防护各种针对 php 软件〔如， phpBB、PHPNuke，MyPHP、Claroline、Cacti PHP〕的 PHP include 攻击。

跨站脚本攻击防范：Web 效劳安全另一大威逼是跨站脚本攻击– XSS/CSS (Cross Site Script) attack。

它利用网页及 cookies 漏洞，攻击者往 Web 页面里插入恶意 html 代码，当用户扫瞄该页之时，嵌入其中 Web 里面的 html 代码会被执行，从而到达恶意用户的特别目的。

比方通过跨站构造一个表单，表单的内容则为利用程序的备份功能或者加治理员等功能得到一个高权限。

开放 Web 软件安全打算(Open Web Application Security Project,OWASP)甚至将其列为 2022 年Web 安全威逼之首。

XSS 攻击的一个典型案例是 PDF 阅读器 Adobe Acrobat Reader 上的跨站脚本攻击。

我们目前供给防范 30 多种XSS 攻击的效劳。

3.2.4网络架构防护
一方面，构成网络根底的路由器、交换机、防火墙等设备本身的操作系统也被觉察存在弱点/漏洞，所以 IPS 必需能够识别和拦截这些针对网络设备本身漏洞的攻击。

另一方面， DDoS 攻击会产生大量和正常应用一样的攻击流量，这可能导致路由器、交换机、防火墙因过载而瘫痪，进而造成网络阻断，网上应用也随即中断，所以 IPS 应当具有肯定的 DDoS 防护功能。

图 9 IPS 部署–网络架构防护
当需要对网络架构进展防护时，IPS 可以部署在网络边界、核心、主要网段，以及远程分支/办公室的关键网络上，如上图所示。

3.2.
4.1性能防护
网络上有各种应用，这其中也包括是用次要的，或者业务治理策略不允许的应用，如点对点文档共享 (P2P)应用或即使消息软件 (IM)。

IPS 的性能保护功能就是保护网络带宽及主机性能，阻断或者限制应用程序占用网络或者系统资源，防止网络链路拥塞导致关键应用程序数据将无法在网络上传输。

P2P 就是允许大量用户之间直接互连进展信息共享，而不是像过去那样都必需连接到效劳器去进展信息交换和共享，所以 P2P 重要特点是转变互联网现在的以大网站为中心的状态、承受分布式的架构进展信息公布、共享和存储。

P2P 应用给网络带来的问题主要有两个，第一，P2P 应用实现大量用户的文件共享，用户越多建立的连接就越多，而且每个人既是客户端又是效劳器，即同时进展下载和上传，所以对网络带宽占用很大，必定影响到邮件、在线交易，网络视频等关键应用；第二，P2P 承受UDP 端点交换信息、传送数据，而且承受了 NAT 穿透技术，所以用 FW 很难掌握 P2P 应用，而这可能成为机密信息泄漏的便捷通道。

图 10 IPS 部署- 性能防护
作性能防护时，IPS 一般部署在网络边界、主要网段和远程办公室的关键路径上。

●系统软件故障保护
IPS IPS
安全引擎安全引擎
正常运行模式二层交换模式
图 11 内置系统故障旁路
内置的监测模块持续地监测 IPS 的安全和治理引擎，一旦探测到系统故障，IPS 能自动地，或者由治理员干预，回退成一个简洁的二层交换设备，网络流量将在两个接口之间直接被转发。

回退能够按 IPS 的物理网段设定，即消灭问题的网段回退，其他网段连续工作。

●状态同步的网络冗余
图 12 双机冗余设计
迪普科技IPS 设备支持冗余部署。

互为备份的一对IPS 即可以工作在主备
〔Active/Passive〕模式，也可以工作在负载分单〔Active/Active〕模式。

由于迪普科技 IPS 相当于网络中一条透亮的安全连接，其没有 IP 地址，也不参与任何路由协议，所以不影响冗余协议如 VRRP、OSPF、HSRP 等，也不需要转变现有的网络冗余设计。

冗余部署的 IPS 之间承受专用的加密协议同步攻击拦截数据，当网络切换时仍旧能够维持攻击防范。

3.2.5产品特点
➢业界最高应用层防护性能
DPtech IPS2022 基于迪普科技独有的 APP-X 硬件平台，可供给全球性能最高
的应用层防护性能。

设备性能不受特征库大小、策略数条目的影响，全部安
全策略可以一次匹配完成，即使在特征库不断增加的状况下，也不会造成性
能的下降和网络时延的增加。

➢独有的应用识别与检测技术
传统的 IPS 通过定义攻击行为的特征来实现对攻击的检测，这种方式实现起
来较简洁，但是简洁造成较高的误报率。

DPtech IPS2022 承受迪普科技独有
的应用识别与检测技术，通过分析漏洞以及攻击产生的原理，定义攻击类型
的统一特征，不受攻击变种的影响，可事先对应用层入侵行为和攻击性网络
流量进展拦截，具有极低的误报率和漏报率。

➢APP-ID 应用与威逼特征库
迪普科技具有一支专业的特征库团队，实时跟踪国内外最安全技术，供给集
漏洞库、病毒库、协议库于一体的 APP-ID 专业特征库，特征库完全兼容CVE，
能准时有效的抵挡各种最的应用层安全攻击。

➢丰富的网络特性
DPtech IPS2022 基于 ConPlat 操作系统，供给了丰富的网络特性，可以在
IPv6/IPv4 双栈、MPLS 等简单网络环境下良好的工作，具备面对下一代网络
的各种特性。

➢高效全面的 DDoS 攻击防护
可有效对 SYN Flood、UDP Flood、ICMP Flood、TCP Flood、DNS Flood、Get/CC 等多种 DDoS 攻击类型实现高效全面的攻击防护。

➢专业的 DNS 防护力量
面对日益严峻的 DNS 安全威逼，DPtech IPS2022 可通过 DNS DDoS 攻击防
御、DNS 系统漏洞防护、大容量 DNS 缓存等特色技术供给专业的 DNS 攻击防护力量。

➢多重高牢靠性保障机制
DPtech IPS2022 具有多重高牢靠性保障机制，支持关键部件冗余及热插拔，支持应用 Bypass 和 PFP 掉电保护，可实现真正的无缝切换，确保网络安全稳定牢靠运行。