联想网御IPS产品白皮书

联想网御I P S产品白皮书 Ting Bao was revised on January 6, 20021
联想网御IPS入侵防护系统
产品白皮书
联想网御科技（北京）有限公司
版权信息
版权所有 2001－2007，联想网御科技(北京)有限公司
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。

如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。

商标信息
联想网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。

第三方信息
本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。

联想网御科技（北京）有限公司
Lenovo Security Technologies Inc.
北京市海淀区中关村南大街6号中电信息大厦8层 100086
8/F Zhongdian Information Tower Zhongguancun South Street,
Haidian District, Beijing
电话(TEL)：0
传真(FAX)：0
技术热线(Customer Hotline)：0
电子信箱(E-mail)：
公司网站：
目录
1、序言
近几年来，随着信息化建设的飞速发展，信息安全的内容也越来越广泛，用户对安全设备和安全产品的要求也越来越高。

尽管防火墙、IDS等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。

这些都使传统的安全设备在保护网络安全上越来越难。

混合攻击带来的新挑战
随着红色代码、Nimda等有里程碑式的病毒出现，改写了病毒形态和病毒的历史，病毒已经不再只具有破坏力。

新的病毒已经成为黑客的攻击和入侵手段，借助病毒的传播方式，黑客们可以轻易地窃取网络中的敏感数据和信息。

黑客程序、木马、病毒已经有机地结合起来，使之成为黑客攻击的新工具。

同时，木马、病毒等恶意程序也经常通过邮件、恶意的Web网页（或者被篡改的Web网页）、文件下载等传播途径使得病毒的危害范围和扩散速度加大。

这些都给传统的安全设备带来新的挑战。

一些老式的防火墙不具备内容检测的能力，不具备检测新型的混合攻击和防护的能力。

较新的深度检测防火墙往往在分片的数据包前一筹莫展,所以传统的防火墙不具备完备的内容检测能力，无法做到内容安全过滤。

IDS设备虽然可以检测网络中的攻击，但是它不能对攻击行为进行有效的防御和阻断，IDS的大量误报也使得管理员难以从大量的日志中找出有价值的信息。

桌面防病毒软件防护对象是终端，往往需要使用者的对操作系统和其软件都有较高的操作水平，并且防病毒软件往往会限制用户一些正常操作，为了突破限制用户会不得不关闭防毒软件，这些都使得防病毒软件实施的效果受到了很大的影响，所以不能保障网络的安全。

什么是IPS
IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。

它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整
性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。

（IPS）就是自动执行这种监视和分析过程，并且执行阻断的硬件产品。

防火墙的局限性
防火墙是阻止黑客攻击的一种有效手段，但随着攻击技术的发展，这种单一的防护手段已不能确保网络的安全，它存在以下的弱点和不足：
1.防火墙无法阻止内部人员所做的攻击
防火墙保护的是网络边界安全，对在网络内部所发生的攻击行为无能为
力，而据调查，网络攻击事件有60%以上是由内部人员所为。

2.防火墙对信息流的控制缺乏灵活性
防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制
的。

如果规则定义过于严格，则限制了网络的互连互通；如果规则定义过
于宽松，则又带来了安全隐患。

防火墙自身无法根据情况的变化进行自我
调整。

3.在攻击发生后，利用防火墙保存的信息难以调查和取证
在攻击发生后，能够进行调查和取证，将罪犯绳之以法，是威慑网络罪
犯、确保网络秩序的重要手段。

防火墙由于自身的功能所限，难以识别复
杂的网络攻击并保存相关的信息。

为了确保计算机网络安全，必须建立一整套的安全防护体系，进行多层次、多手段的检测和防护。

入侵防护系统就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。

需要说明的是，虽然目前很多防火墙都集成有入侵防护模块，但由于技术和性能上的限制，它们通常只能检测少数几种简单的攻击，无法与专业的入侵防护系统相比。

专业入侵防护系统所具有的实时性、动态检测和主动防御等特点，弥补了防火墙等静态防御工具的不足。

为什么要使用入侵防护系统
对于一个行之有效的安全解决方案，它必须考虑当前在应用和安全上的挑战。

这些挑战包
括：
1)对分布式应用的依赖性不断增强–各个机构日益依赖基于Web的应用和业务级的分
布式应用来开展业务。

分支机构和生产部门也会通过广域网从远程访问CRM和ERP等关键应用。

2)网络化应用容易受到攻击–由于80、139等端口通常是打开的，因此如果不对借助
这些端口穿越防火墙进入网络的流量进行检测，网络化应用将非常容易遭到病毒、入侵、蠕虫和DoS等形式的攻击。

为保护网络化应用的安全，需要对所有流量进行深入的数据包检测，以实时拦截攻击，并且防止安全性侵害进入网络并威胁各个应用。

3)呈爆炸性增长的攻击–应用攻击的数量和严重性都在飞快地增长，仅2003年就出
现了4200多种攻击形式，而且这一数字每年都会翻一番。

4)相应地，这些攻击造成的损失也呈直线上升趋势。

据报道，2003年8月成为IT历史
上最糟的一个月。

在该月，仅Sobig病毒就在全球造成了297亿美元的经济损失。

5)当前的安全工具无法拦截这些攻击–在应用层的攻击面前，防火墙、IDS以及防病
毒网关等现有的安全工具缺乏相应的处理能力、性能和应用安全智能，从而使各个机构暴露无遗。

因此，一种能用数千兆位的速度对所有流量进行双向扫描并且可以实时防范各种应用层攻击（比如蠕虫、病毒、木马和Dos攻击）的内置安全解决方案，无疑已成为当务之急。

联想网御IPS入侵防护系统在业内首先提供了以快速防范入侵和拒绝服务攻击的产品。

该产品可以实时地隔离、拦截和阻止各种应用攻击，从而为所有网络化应用、用户和资源提供了直接保护。

2、联想网御解决方案－IPS入侵防护系统
针对以上的各种不安全以及难以管理的因素，网御IPS入侵防护系统——作为信息安全的新一代门户，就应运而生了。

自2001年联想网御开始研发带入侵防御系统模块的防火墙以来，经过不断地努力，在2007年第一季度我们即将实现联想
IPS入侵防护系统产品上市的梦想。

在众多国内乃至全球安全厂商中，联想网御是研发IPS入侵防护系统产品的领跑者，在2002年就取得多项该领域的技术专利。

联想网御通过对入侵防护、防火墙的整合和改良，使IPS入侵防护系统产品可以很好地防御目前流行的混合型数据攻击的威胁。

这些特性和技术使得IT管理人员可以很容易地控制如Instant Message信息和P2P应用的传输，并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。

同时，设备可以支持动态的行为特征库更新，更具备7层的数据包检测能力。

完全克服了目前市场上深度包检测的技术弱点。

特别针对分包攻击的内容效果明显。

为了突破硬件平台限制，联想网御采用专用的ASIC芯片来完成对网络数据包的内容检测，打破了传统防火墙内容处理障碍，提供了实时入侵防护功能所需的强大计算处理功能。

4、联想网御IPS入侵防护系统系列产品介绍简介
作为国内领先的专业的防火墙/VPN厂商，联想网御在服务用户的过程中，很早就认识到传统安全设备的局限性。

早在2001年，我们在国内率先推出集防火墙、防病毒、IDS功能于一身的产品，并申请了发明专利（专利号: 0）。

近年来一直在技术上努力创新，针对多安全功能整合、并行处理等方面进行软件体系结构的改进和优化，并寻找合适的高性能硬件平台。

同时，由于IPS入侵防护系统涉及技术非常全面，既有网络层、传输层安全也有应用层安全技术，既有软件技术也有硬件技术，不可能由一家公司独立完成，必须广泛合作，尤其是和业界领先厂商合作。

2005年，联想网御专门赴美国硅谷技术考察，并且成功地和多家顶级安全软硬件厂商展开深入合作。

终于在2007年Q1成功推出了成熟的IPS入侵防护系统产品。

目前，联想网御已经拥有提供业界最优秀IPS入侵防护系统产品的能力，产品线覆盖百兆、千兆IPS入侵防护系统。

联想网御IPS入侵防护系统产品采用了独特的高性能、高安全性、高可靠性的操作系统，提高了自身安全性的同时，加速了多线程的内容处理，为运行在其上层的防火墙、VPN、防病毒等安全引擎提供了强大而安全的性能支持。

联想网御IPS 入侵防护系统使用了专门的ASIC内容处理加速芯片，大大提高了系统的内容处理能力，为特征匹配，加解密，启发式扫描提供了硬件加速。

联想网御IPS入侵防护系统在各个安全引擎中运用了新的算法和技术，针对传统包过滤无法检测的威胁；针对未知的攻击行为，使用了实时动态保护技术。

系统架构
联想网御Power V IPS入侵防护系统主要由硬件平台、专用操作系统、IPS管理服务系统、IPS安全引擎等四个部分组成。

硬件平台根据用户使用环境的不同，选取专用安全平台或基于高性能服务器架构进行设计，并且使用专门ASIC内容处理芯片进行扫描和模式匹配的加速；专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统；IPS安全引擎采用模块化设计，针对不同的应用环境和不同的安全策略，可以配置不同的功能模块。

联想网御全系列产品均采用联想网御新一代多安全域设计， IPS入侵防护系统系列产品多口的硬件设计可以使多安全域需求得到完全的满足，完全突破了传统的内网、外网、停火区
的理念，可以根据企业内部不同的部门设置不同的互通安全规则，使得不仅在内网与外网的安全得到保障，同时保障了企业内部不同部门之间的安全需求。

联想网御IPS入侵防护系统支持全透明交换工作模式，与网御IPS入侵防护系统可连接各个网络之间构成一个统一的交换式物理子网，子网内部还可以有自己的第二级路由器。

除安全管理以外，防火墙本身的工作不需要IP地址，为隐式全透明防火墙。

这样一方面大大降低了防火墙自身受到攻击的可能性，另一方面也使系统安装变得十分简单，不再需要改变原有的网络拓扑结构和各主机与设备的网络设置，即不需要重新划分网段和调整网络结构。

同时强化了对虚拟局域网（VLAN）和生成树协议（STP）的支持。

联想网御IPS入侵防护系统同时支持路由工作模式，与网御防火墙Power V IPS入侵防护系统可连接不同的物理网段。

防火墙接口可以通过配置别名设备，可以使得一个物理接口上绑定多个IP地址。

联想网御IPS入侵防护系统还支持集群工作模式，可以通过多台防火墙的集群提高整个网络系统的可靠性，降低出现网络中断的风险。

5、联想网御IPS入侵防护系统产品特点
联想网御IPS入侵防护系统的完善体系结构包括两大部分：强化安全的专用操作系统和模块化硬件系统。

以下分别介绍这两大部分
联想网御IPS入侵防护系统专用操作系统的特点和优点
联想网御IPS入侵防护系统操作系统是专用的、实时的强化安全的操作系统，它在全平台上支持病毒扫描，内容过滤，sateful检测防火墙，IP安全（IPSec）VPN，基于网络的IDS和流量管理应用。

以下介绍其设计特点、应用级和网络级功能，以及高性能，高可靠性，高灵活性和扩展性。

高性能并行处理
联想网御IPS入侵防护系统高端产品设计为双CPU。

利用对称多处理技术，有效地分解和协调在双处理器之间不同的任务。

在任一特定时间，两个处理器都负载在最佳的处理水平。

由于利用了专门的算法，任务切分和协调过程中的消耗减到了最小程度。

实时体系结构
与非实时OS（例如许多防火墙和设备采用的不同风格的Linux）相比，联想网御IPS入侵防护系统操作系统是使数据流程处理达到优化的实时操作系统。

在非实时OS中，核心并不总是对输入的数据包触发的中断作出及时反应；这不仅使数据包排队时间增长，而且造成系统资源（例如内存）不能有效地利用，因而增加了丢包率。

联想网御IPS入侵防护系统操作系统的设计集成了智能排队和管道管理，与包的到达/处理相关的系统中断得到立刻的重视。

同时，基于内容处理加速模块的硬件加速使各种类型流量的处理时间达到最小，加上最短的排队时间，从而给用户提供了最好的实时系统。

实时内容级智能
常规的安全网关设计有两类：状态包检测（基于流程的,flow-based）和应用代理（ proxy）。

在基于流程的网关中，安全策略是大多在包一级定义和执行的（虽然状态检测对一定类型的流量保持会话上下文）。

这种方法因为包在处理后马上送走, 而导致高处理速度和高吞吐量；但是，由于处理是在包一级的，系统不理解高一级语言，（例如协议）或目标（例如文件），因此不能识别有害的脚本、病毒攻击、或不想要的内容。

相比之下，基于代理的系统，安全网关终断进入和流出的会话，检测包，将它们重新组合为原始的数据流，理解会话的当前状态，并能够对预先定义的违规、或动态产生的安全或网络策略进行检测内容。

这种方法有足够的智能在应用级运作，因而能进行应用级处理。

但是，重新组合所有的包和检测数据流需要耗费大量的计算资源，那会使基于代理的网关变得性能减低许多。

联想网御IPS入侵防护系统设计为综合基于流程的和基于代理的两者优点，而同时又克服它们的弱点。

联想网御IPS入侵防护系统设计为具有基于流程的检测引擎和多应用级代理（HTTP, SMTP,POP3, IMAP等）。

专利设计在包检测和代理之间给出最佳的协调。

由内容加速单元提供了基于代理系统的智能，而在性能上达到通常只有基于流程的系统才能达到的水平。

结果使联想网御IPS入侵防护系统不仅能达到常规的网络级安全, 例如防火墙，VPN和NIDS，
而且能在网络界面边缘高速地处理应用级安全功能，例如病毒与蠕虫扫描、URL和关键词内容过滤、跨过防火墙的话音Voice over IP (VoIP)。

完整的投资保护和完整的网络保护
联想网御IPS入侵防护系统专用操作系统设计的另一个优点是能适应新的功能和应用。

模块化设计使得能方便地添入或修改新的代理。

在引入新的协议和业务时，不需要改变整个操作系统结构（或硬件系统结构）。

联想网御IPS入侵防护系统专用操作系统适应支持VoIP NAT 的能力就代表了操作系统灵活性的一个很好的例子。

使用得越来越多的VoIP，协议比较复杂，例如, MGCP, SIP等，不能由常规的网络地址转换防火墙来防护。

如果不使用代理，为了让VoIP通行，VoIP网关要求在防火墙中打开“洞”。

然而，这些洞往往会被入侵者利用，利用话音业务来损坏防火墙，并增加未经容许的网络接入。

如果网络保护网关能理解复杂的VoIP协议，它们就能处理VoIP业务安全，不需要开“洞”，而“洞”往往会让VoIP和潜在的有害流量通过。

如上所述，基于流程的网关一般缺少智能来理解复杂的高级的协议，而常规的基于代理的设计缺少必要的性能，来处理对延迟敏感的话音，以免引入不能接受的抖动和延迟。

这就是联想网御IPS入侵防护系统专用操作系统的立足之处：它能容易地适应协议，分隔信息本体。

高性能的操作系统核心，结合专门建立的内容处理加速硬件，能使联想网御IPS入侵防护系统适合新的应用，而无须重新设计系统或对硬件升级作大的改动。

提供分区间安全的虚拟系统支撑
用户能够建立一个单个的联想网御IPS入侵防护系统单元行为，就好象它包含大量的独立的“虚拟系统”，它们提供专门的服务，对各个部门或用户分别具有自己独特的策略。

联想网御IPS入侵防护系统体系结构中设计了虚拟系统支撑。

符合标准的一个或多个VLAN能被映射到一个虚拟系统，带有VLAN中继支撑的交换机/路由器与联想网御IPS入侵防护系统的物理接口相连接。

联想网御IPS入侵防护系统能提供多达500个虚拟系统。

基于角色的管理允许不同的管理员仅管理它们授权的虚拟系统，使它们建立和维护它们自己的一套安全策略、地址和地址组，以及监视系统状态。

提供Closed-loop 保护的体系结构
常规入侵检测系统的主要问题正在于检测系统本身，因为它们只检测，提供报告，但不能防护或防止攻击。

主要原因在于大多数IDS, 例如防火墙，防病毒扫描，是在点上的解决办法，它们互相不通气。

联想网御IPS入侵防护系统专用操作系统平台组成了一个共框架，它无缝地自然地集成了所有支持的应用。

当系统中的NIDS模块检测一个攻击时，它能采用一个或多个防护措施，例如重新设置连接，放弃与攻击相关的包，告示防火墙阻挡攻击，或等候到攻击指示灯显示达到某个门限。

这是一种“closed loop”保护，根据这一强有力的概念，将被动防护变为主动防护。

高可用性(HA)的备份保护
联想网御IPS入侵防护系统通常用于关键任务环境，例如运营服务商基础设施或大型企业，不能容忍由于任一点故障的业务丢失。

用户使用备分的一对联想网御IPS入侵防护系统单元，并利用专用冗余协议，来确保万一有故障发生时的故障恢复零中断。

正如支持高可用性的其它协议一样，例如VRRP和路由器故障恢复零中断的HSRP，联想网御IPS入侵防护系统专用冗余协议提供安全会话的故障恢复零中断。

协议中包含几项技术，包括：
连续地ping互相连接，以证实备份中的每一伙伴处在健康状态中。

如果有一个
模块发生故障或无电，业务会转到另一个系统中。

链接状态监视–监视上行和下行交换机/路由器的流量状态，聚焦于为维持连接
而从待命状态转到使用状态。

联想网御IPS入侵防护系统能利用专用冗余协议，配置为完全的备份环境，使得没有单个点的故障。

联想网御IPS入侵防护系统能配置为支持热备份模式或双机容错（active-active）负载共享模式。

联想网御IPS入侵防护系统内容处理硬件体系结构
5.2.1硬件体系结构简介
联想网御IPS入侵防护系统设计为传送高速度的吞吐量，并优化为第七层，以及第二层和第三层包处理。

系统由以下四个主要部分组成：
IPS 入侵防护系统内容处理加速模块数 据 通 道
管 理 模 块处理器接口模块
管 理 通 道
联想网御IPS 入侵防护系统内容处理硬件体系结构
1． 内容处理加速模块Content Processing Acceleration Module(CPAM)–联想网
御IPS 入侵防护系统中有两个部件，每一个由一个内容处理芯片和一个内容处理加速单元组成。

内容处理加速单元有一个专用的内容检测处理器，它与其它专用硬件一起，优化为强化内容搜索，模式识别，和数据分析——大多数时间消耗在病毒扫描，内容过滤和基于网络的入侵检测。

内容处理芯片包含一个专利的内容处理引擎，以及加密加速引擎和内置的防火墙策略引擎。

这些引擎分别处理防病毒和蠕虫探测，NIDS 特征探测，DES 、3DES 、AES 加速，加密，NAT,和执行防火墙策略。

CPAM 模块有专用的快速存储器，所以很少要求通过总线与管理模块中的系统内存相交互。

正是由于这一有效的数据流动体系结构， 联想网御IPS 入侵防护系统能达到应用层内容处理的高吞吐量。

2．管理模块 Management Module(MM) - MM 是基于高性能处理器设计。

管理模块的功能是流程控制，和处理不能被内容处理加速模块有效处理的包和流量。

MM还支持各种管理接口和相关的功能（GUI，CLI, SNMP等）。

3．背板总线模块 Backplane Bus Module(BBM） - BBM由数据通道(Datapath)和管理总线组成。

这一模块的特点是多总线设计，它控制在两条不同的总线上发生的信息和数据交换——控制在管理通道（Management path）上的信息流程，和数据通道上模块行程之间的数据交换，以提供负载流量能力。

这一设计实现了在不同模块之间的高效率通信。

4．接口模块 Interface Module(IM) - 支持输入/输出接口，流量通过这些物理接口进入和离开联想网御IPS入侵防护系统系统。

根据流量的特点，包被路由到管理模块或内容控制处理加速模块去处理。

注意，如果VLAN/虚拟系统支撑是设置为接通的，流经过一个物理接口的数据能代表从多个子网络的流量，取决于不同的安全策略。

5.2.2内容处理加速引擎
联想网御IPS入侵防护系统内容处理器利用模块设计，包含有四个数据处理引擎：
特征扫描引擎
该引擎支持高速扫描病毒，蠕虫和入侵攻击特征以及被禁止的内容。

关键的部件是模式匹配模块，它将文件的一个一个字节，与表示病毒、蠕虫和入侵攻击存在或黑名单上的内容的数据库相匹配。

病毒和蠕虫特征存储在专用的高速存储器中，它直接被内容处理器存取，而任何数据不在数据通道上传输。

这一方法将扫描活动与包传输完全隔离，从而使联想网御IPS入侵防护系统能在支持应用层处理时不降低系统性能。

当流量从一个应用层协议HTTP, SNMP, POP3 IMAP之一传到达联想网御IPS入侵防护系统时，专用操作系统将包导向到内容处理加速芯片，它在专门的扫描存储器中将包组合为文件。

扫描引擎将数据与直接与它连接的高速存储器中的特征数据库匹配。

一旦扫描完成，扫。