天融信网络卫士入侵防御IDP系列产品白皮书

天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。

天融信网络漏洞扫描系统白皮书目录1产品功能描述 (3)1.1漏扫扫描系统 (3)1.1.1系统概述 (3)1.1.2功能描述 (3)2产品硬件规格及性能参数 (6)2.1漏扫：TSC-71528 (6)3产品测试方案 (7)3.1漏洞扫描系统测试方案 (7)3.1.1测试目的 (7)3.1.2测试环境 (8)3.1.3功能测试 (9)3.1.4专项测试 (32)3.1.5漏洞测试 (37)3.1.6压力测试 (55)3.1.7测试结论 (57)1 产品功能描述1.1 漏扫扫描系统1.1.1 系统概述网络系统的安全性取决于网络系统中最薄弱的环节,然而策略的制订和实施在实际应用中相差甚远,网络系统的安全性是一个动态的过程,系统配置的不断更改,攻击技术的不断提高,网络系统的安全系数也会不断的变化,如何及时发现网络系统中最薄弱环节?如果最大限度地保证网络系统的安全?最有效的方式就是定期对网络系统进行安全性分析并及时发现并查找漏洞并进行修改。

因此需要建立一套漏扫主动发现的手段完善企业网络安全。

漏洞扫描系统即是漏洞发现与评估系的统，作用是模拟扫描攻击，通过对系统漏洞、服务后门等攻击手段多年的研究积累，总结出了智能主机服务发现，可以通过智能遍历规则库和多种扫描选项的组合手段，深入检测出系统中存在的漏洞和弱点，最后根据扫描结果，提供测试用例来辅助验证漏洞的准确性，同时提供整改方法和建议，帮助管理员修补漏洞，全面提升整体安全性。

1.1.2 功能描述漏洞扫描管理设计扫描管理漏洞扫描一般采用渐进式扫描分析方法，融合操作系统指纹识别、智能端口服务识别等技术，能够准确识别被扫描对象的各种信息，发现其弱点和漏洞，并提出安全解决建议。

任务管理中心为用户扫描操作提供了方便，可以使用默认扫描策略也可以使用自定义扫描策略，来创建任务扫描计划，创建扫描任务时也可调整执行方式，建立定时任务、周期任务、标准任务等，从而具体针对性的进行脆弱性扫描。

天融信产品白皮书网络卫士安全管理平台TopAnalyzer系列安全运维管理中心TopAnalyzer随着信息安全建设的不断发展，信息网络和应用业务系统的安全涉及越来越多的方面，既涉及到防火墙、防病毒、入侵检测等系统安全方面的措施，同时也涉及到如何在全网的用户、网络资源之间进行合理授权及访问控制等一系列应用安全问题。

一个综合的、复杂的信息网络系统，它的运行情况、应用系统的服务器和数据库资源是否存在安全漏洞，安全策略的适用性等很多方面，都需要强大的支持系统为运行维护和管理者提供辅助支持和帮助。

同时，由于安全相关的数据量越来越大，有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没，一些全局性的、影响重大的问题很难被分析和提炼出来。

因此，想要使这些信息网络安全设施能最大限度地发挥其安全保障功能，就必须要有一个良好的综合安全管理平台、有效的安全审计和评估系统，从全局的角度进行安全策略的管理，实时的事件监控及响应，为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告，从而使决策者能及时调整安全防护策略，恰当地进行网络优化，及时地部署安全措施，消除网络和系统中的问题和安全隐患。

只有这样，信息网络和业务应用系统才能真正地实现安全运行。

统一的网络与安全管理平台网络管理与安全管理无缝集成，为用户提供统一管理平台，有效降低客户总体拥有成本（TCO）。

系统支持全面的拓扑管理，包括自动的拓扑发现，网元状态监控，网元维护，集成的风险与事件展现界面。

同时支持多级管理，可对大规模的分层系统进行统一的管理。

集成的威胁与风险识别综合运用事件归一化与归并技术，关联分析，专家决策系统等不同层面的技术方案，为用户提供了一个集成化的威胁与风险识别的平台。

事件归一化与归并技术可将用户的海量数据大幅缩减，为进一步的数据挖掘做准备；基于状态机的实时关联检测技术通过使用状态机来抽象和描述攻击的过程与场景，状态机间的状态转换的条件由不同安全事件触发，可有效地帮助用户准确、实时的进行高精度威胁识别，并透过专家决策系统选择优化的解决方案。

天融信网络防火墙方案白皮书目录1产品功能描述 (3)1.1防火墙概述 (3)1.1.1系统概述 (3)1.1.2功能描述 (3)2产品硬件规格及性能参数 (4)2.1防火墙品目一：TG-62242 (4)2.2防火墙品目二：TG-42218 (6)3产品测试方案 (7)3.1防火墙测试方案 (7)3.1.1测试说明 (7)3.1.2功能要求及测试方式 (9)3.1.3测试结果记录 (26)1 产品功能描述1.1 防火墙概述1.1.1 系统概述网络层访问控制基本的安全防护手段，通常采用路由器和防火墙等手段实现，然而防火墙相对与路由器而言，不仅仅只是提供简单的访问控制功能，同时也能够提供更为强大的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护，所以在网络层访问控制方面通常都采用防火墙设备，通过防火墙设备定义好的安全规则来实现基本的访问控制。

防火墙是实现网络安全的重要设备，防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

具体地说，设置防火墙的目的是隔离内部网和外部网，保护内部网络不受攻击，实现以下基本功能：●禁止外部用户进入内部网络，访问内部资源；●保证外部用户可以且只能访问到某些指定的公开信息；●限制内部用户只能访问到某些特定资源，如WWW服务、FTP服务等。

1.1.2 功能描述针对安全建设需求，建议对部署在网络内的防火墙配置如下策略：实现访问控制：通过在防火墙上配置安全访问控制策略过滤访问行为，实现基于协议、源/目的IP地址、端口的访问控制，对来自核心服务器区边界的访问进行认证检查及内容过滤，有选择的接入。

带宽管理：启用带宽管理功能，如当某一地址或某地址段对外连接数超过一定数量或流量超过一个设定的阀值时，实现阻断或流量限制的功能；身份认证：在防火墙上开启用户身份认证功能，利用防火墙自带数据库或通过Radius及SecureID和 LDAP用户认证功能；抗攻击：在防火墙上开启自动抗攻击功能，利用防火墙本身的防御功能防止DoS、端口扫描等攻击，确保网络不被外部黑客攻破；抗蠕虫：通过防火墙的蠕虫过滤等功能保证核心服务器所承载的核心应用系统不受来自核心服务器区边界的蠕虫及网络病毒侵害，保障核心应用系统正常、高效运行；多种手段报警：防火墙发现攻击、非法入侵、未授权访问等违反安全规则的行为，立即以多种手段（告警、日志、SNMP 陷阱等）实现违规行为的告警，并记录日志，以便查询。

天融信产品白皮书网络卫士入侵检测系统 TopSentry系列网络卫士入侵检测 TopSentry天融信网络卫士入侵检测系统TopSentry经过多年的技术积累与创新，已成为天融信既防火墙和VPN之后的又一主力产品线。

据权威数据机构统计，网络卫士入侵检测系统国内市场占有率近两年来一直处于领先地位。

用户已覆盖能源、金融、烟草、电信等多个行业，并得到良好赞誉。

网络卫士入侵检测系统TopSentry采用多重检测、多层加速等多项天融信专有安全技术，更出色的降低了IDS产品的误报率、漏报率，有效提高了IDS的分析能力，使达到线速包捕获率成为可能。

天融信IDS研发团队通过加强对蠕虫攻击以及隐含在加密数据流中攻击的检测能力，极大地突破了目前IDS产品普遍存在的瓶颈问题。

多重检测技术综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术，保证IDS检测准确性，极大地降低了漏报率与误报率。

◆误用检测（Misuse Detection ）：指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。

因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。

◆异常检测(Anomaly Detection)：指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。

◆智能协议分析技术：天融信的智能协议分析技术充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在。

与非智能化的模式匹配相比，协议分析减少了误报的可能性。

与模式匹配系统中传统的穷举分析方法相比，在处理数据包和会话时更迅速、有效。

◆会话检测技术：按照客户-服务器间的通信内容，把数据包重组为连续的会话流，在此基础上进行检测分析。

而基于数据包的入侵检测技术只对每个数据包进行检查。

与基于数据包的入侵检测技术相比，准确率高。

1产品概述1.1安全接入的应用趋势随着电子政务和电子商务信息化建设的快速推进和发展，越来越多的政府、企事业单位已经依托互联网构建了自己的网上办公系统和业务应用系统，从而使内部办公人员通过网络可以迅速地获取信息，使远程办公和移动办公模式得以逐步实现，同时使合作伙伴也能够访问到相应的信息资源。

但是通过互联网接入来访问企业内部网络信息资源，会面临着信息窃取、非法篡改、非法访问、网络攻击等越来越多的来自网络外部的安全威胁。

而且我们目前所使用的操作系统、网络协议和应用系统等，都不可避免地存在着安全漏洞。

因此，在通过Internet构建企业网络应用系统时，必须要保证关键应用和数据信息在开放网络环境中的安全，同时还需尽量降低实施和维护的成本。

1.2安全接入的技术趋势目前通过公用网络进行安全接入和组网一般采用VPN技术。

常见的VPN接入技术有多种，它们所处的协议层次、解决的主要问题都不尽相同，而且每种技术都有其适用范围和优缺点，主流的VPN技术主要有以下三种：1．L2TP/PPTP VPNL2TP/PPTP VPN属于二层VPN技术。

在windows主流的操作系统中都集成了L2TP/PPTP VPN客户端软件，因此其无需安装任何客户端软件，部署和使用比较简单；但是由于协议自身的缺陷，没有高强度的加密和认证手段，安全性较低；同时这种VPN 技术仅解决了移动用户的VPN访问需求，对于LAN-TO-LAN的VPN应用无法解决。

2．IPSEC VPNIPSEC VPN属于三层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护措施；同时工作在网络协议的三层，对应用程序是透明的，能够无缝支持各种C/S、B/S应用；既能够支持移动用户的VPN应用，也能支持LAN-TO-LAN 的VPN组网；组网方式灵活，支持多种网络拓扑结构。

其缺点是网络协议比较复杂，配置和管理需要较多的专业知识；而且需要在移动用户的机器上安装单独的客户端软件。

网络卫士主机监控与审计系统技术白皮书目录第一章前言 (1)第二章产品概述 (1)2.1产品架构 (2)2.2设计依据 (3)第三章功能简介 (3)3.1统一安全策略管理 (3)3.2集中补丁管理及软件分发 (3)3.3终端行为监控 (3)3.4终端系统状态监控 (4)3.5非法外联监控 (5)3.6非法内联监控 (5)3.7终端设备监控 (5)3.8移动存储介质管控 (5)3.9文件监控及网络共享监视 (5)3.10终端敏感信息检查 (5)3.11终端流量监控 (6)3.12安全审计 (6)3.13安全报警 (6)3.14资产管理 (7)3.15与天融信TopAnalyzer的完美整合 (7)3.16系统管理责权分立 (7)第四章产品优势与特点 (7)第五章产品性能指标 (7)第六章运行环境与部署 (8)6.1运行环境 (8)6.2产品应用部署 (8)6.2.1局域网应用部署 (8)6.2.2广域网应用部署 (9)第七章产品资质 (10)第八章关于天融信 (10)第一章前言随着计算机网络技术的飞速发展与应用，各行业信息化办公已经得到普及。

各单位经过多年的信息化建设，单位内部网络应用日益复杂，主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多。

虽然大部分单位都部署了防火墙、漏洞扫描等网络边界安全设备，但是由于业务运行保密性需求越来越高，边界防御产品无法对员工的个人行为进行管制，网络中的终端PC的安全运行无法得到保障，使得单位内部网络想日常运营存在重大的安全隐患，内部网络中的大量敏感信息也受到严重威胁。

来自网络内部终端PC的安全威胁成为众多安全管理者需要面临的新问题，主要体现在以下几方面：1)移动办公设备、终端PC以及存储介质随意接入内网该如何防范。

2)内网中的涉密设备非法连接外网该如何防范。

3)网络中占用大量带宽的终端如何才能及时发现。

4)如何及时发现网络中的终端设备的系统漏洞并自动分发、安装补丁。

网络卫士抗拒绝服务系统产品白皮书天融信TOPSEC®北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印 © 2011 天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1.1 关于网络安全 (2)1.2 产品实现概述 (2)1.3 关于数据流指纹 (2)2 系统组成 (4)3 产品描述 (4)3.1 性能 (4)3.2 高效的DD O S防护功能 (5)3.2.1 阻止DoS攻击 (5)3.2.2 抵御DDoS攻击 (5)3.2.3 拒绝TCP全连接攻击 (7)3.2.4 防止Script脚本攻击 (8)3.2.5 对付DDoS工具 (8)3.2.6 对付CC攻击 (9)3.2.7 过滤关键字 (9)3.2.8 支持大规模部署和集群管理 (10)3.2.9 支持连接状态监控 (10)3.2.10 支持SSL3.0 1024位加密 (10)3.2.11 完善的用户管理 (10)3.2.12 支持 radius ,syslog, snmp (10)3.2.13 支持在线抓包并导出，支持第三方分析工具 (11)3.2.14 支持端口汇聚，有效地扩大带宽 (11)3.2.15 支持负载均衡 (11)3.2.16 双机热备 (11)3.2.17 完善的日志和审计功能 (12)3.2.18 安全方便的管理界面 (12)4 功能描述 (12)4.1 设备管理 (12)4.2 用户管理 (12)4.3 系统参数 (13)4.4 状态 (13)4.4.1 流量牵引 (14)4.4.2 配置 (14)4.5 规则 (14)4.6 日志 (15)4.7 插件管理 (15)1.1关于网络安全随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。

天融信产品白皮书网络卫士安全网关UTM系列综合安全网关系统TopGate（UTM）网络卫士安全网关TopGate(UTM)是天融信公司自主研发的新一代基于TOS平台研发推出的一款多功能综合应用网关产品。

集合了防火墙、虚拟专用网（VPN）、入侵检测和防御（IPS）、网关防病毒、WEB 内容过滤、反垃圾邮件，流量整形，用户身份认证、审计及BT、IM控制等应用。

TopGate不但能为用户提供全方位的安全威胁防护方案，还为用户提供全面的策略管理、服务质量(QoS)保证、负载均衡、高可用性(HA)以及网络带宽管理等功能。

TopGate安全网关(UTM)可灵活部署在大中型企业及其分支机构或中小企业网络的网关处，保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码以及未知的“零小时”（zero-hour）攻击等混合威胁的侵害；同时还为用户提供简便统一地管理各种安全特性及相关日志、报告，大大降低了设备部署、管理和维护的运营成本。

除此之外，TopGate还为企业提供了CleanVPN服务，使得用户通过VPN远程访问企业内网时，确保VPN数据没有病毒等有害内容。

在新攻击的防护上，TopGate对VoIP, IM/P2P, 间谍软件, 网络钓鱼, 混合攻击等都有出色的表现。

TopGate UTM 在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术，可通过简单的配置和管理，以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。

它对经过网关的数据流量进行病毒、蠕虫、入侵等进行高效检测，而且能够阻挡来自垃圾邮件、恶意网页的威胁，所有的检测都是在实时状态下进行，具有很高的网络性能。

多功能与高性能的完美结合TopGate网络卫士安全网关是高性能与多功能的完美结合，它通过提供全系列产品而为不同类型的用户提供多功能与高性能的UTM产品。

真正实现了一机多用，管理简单，节省大量成本。

TopGate作为一款优秀的UTM产品，具备多种安全功能，既可以作为防火墙设备，也可以作为VPN设备、病毒网关或IPS设备，更重要的是这些功能融为一体，可同时任意组合使用，满足用户各种安全需求，为用户节省大量购置与维护成本。

网络卫士入侵防御系统TopIDP产品说明天融信TOPSEC®北京市海淀区上地东路 1 号华控大厦 100085电话：(86)10­82776666传真：(86)10­82776677服务热线： 800­810­5119http: //版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有， 未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形 式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失， 天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考， 有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有 不得翻印© 1995­2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的 注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信信息反馈目 录1 产品简介 (1)1.1 产品概述 (1)1.2 产品组成 (1)2 产品特点 (3)3 产品功能 (6)4 运行环境 (9)5 典型应用 (10)5.1 典型部署图 (10)5.2 综合应用部署图 (11)1 产品简介1.1 产品概述天融信公司的“网络卫士入侵防御系统 TopIDP”是基于新一代并行处理技术，它 通过设置检测与阻断策略对流经 TopIDP的网络流量进行分析过滤，并对异常及可疑流 量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT 资源的安 全保护。

TopIDP 能够阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网 络流量负荷造成网络环境恶化的 DoS 攻击等，安全地保护内部 IT资源。

TopIDP 采用多核处理器硬件平台， 将并行处理技术融入到天融信自主研发的安全操 作系统 TOS中，保证了 TopIDP产品可以做到更高性能地网络入侵的防护。

天融信产品白皮书网络卫士超万兆机架式防火墙擎天系列TOPSEC TG9500超万兆机架式防火墙擎天系列是天融信公司结合了多年来的网络安全产品开发与实践经验,在参考了天融信广大用户宝贵建议的基础上，开发的最新一代网络安全产品。

该产品以天融信公司具有自主知识产权的TOS（Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计，构建的一个安全、高效、易于管理和扩展的网络安全产品，可向用户提供成熟、完善的高性能防火墙接入方案；拥有包括政府、电信、数据中心、大型企业、学校等行业在内的多种用户。

TOPSEC TG9500擎天系列包括TG-9505(7槽)、TG-9508(10槽)、TG-9512(14槽)3款产品，其产品特点总结如下：高可靠确保业务持续运行●关键部件冗余：支持系统控制卡、防火墙卡、电源等关键部件均可以实现1:1、1+1模式的冗余配置。

●防火墙卡热备份：支持多块防火墙卡之间热备份（三层路由数据流），若配备两个或者以上的防火墙卡，系统会自动将会话同步到其它防火墙卡上，实现会话备份。

如果某防火墙卡出现故障，则其它的防火墙卡能够继续工作，并转发接口卡发送的数据，保证数据转发的不间断性。

高性能实现业务无阻塞●网络卫士超万兆机架式防火墙采用先进的“多核＋crossbar”体系架构。

每个防火墙卡具有8个处理内核，拥有高速的数据传输和转发能力，同时可以根据用户的实际需求扩展。

采用了先进的“Crossbar”技术，真正实现整机安全业务的线速处理，实现防火墙处理性能从万兆到超万兆的跨越。

满足性价比要求高的网络环境●网络卫士超万兆机架式防火墙采用完全分布式系统，其系统控制卡、防火墙卡、接口卡均相互独立，且各模块卡均支持热插拔，端口密度高，可扩展性强。

●通过增加接口卡，整机多接口卡，单防火墙卡等端口输出，既节省了交换投入，又在不增加设备的同时，构建绿色环保网络，达到节省电耗、空间及冷却等IT成本，满足节能减排的政策要求。