Tippingpoint一指禅

QuickTime?and a

decompressor

are needed to see this picture.

IPS 产品市场销售指导书

TippingPoint 上海办事处

2009-03-30

1.什么是IPS？

随着网络自身的不断发展，网络所面临的安全威胁也在不断增加，因此，防火墙、IDS （Intrusion Detection System，入侵检测系统）一类的安全设备出现在网络的特定位置试图解决这些问题，并逐渐成为网络安全的代名词。但是，管理员们发现网络所面临的威胁并没有因为这两种设备的出现而消失，反而大有愈演愈烈之势。这些年，蠕虫病毒、带宽滥用、间谍软件/广告软件、木马、后门、网络钓鱼等应用层威胁大行其道，面对这些新型威胁，传统的“防火墙＋IDS”解决方案无能为力。这时就有了IPS－入侵防御系统的概念。

那么，什么是IPS（Intrusion Prevention System）?

简单的讲，IPS就像是机场安检门，将所有经过的人员和物品全面扫描检测，一旦发现危险物品或可疑行为将拦截并报警。

2.IPS和防火墙、IDS有什么区别？

下面的表简单的说明了IPS和IDS、防火墙的异同点：

3.为什么需要IPS？

问题1：有了防火墙，为什么还要IPS？

答：防火墙只具备识别网络三层和四层信息的能力，因此，对于基于应用层的网络攻击防火

墙是无能为力的。防火墙对于网络来说好像是一堵墙，但是这面墙上被凿开了很多洞，以允许某些特殊的流量（例如WWW浏览、FTP文件传输等）；而恰恰有很多网络攻击正是利用这些洞穿透防火墙的保护进入网络。和防火墙相比，IPS工作在应用层上，以在线方式部署在网络中，IPS具备对网络流量深度检测能力，可以对一个会话二层到七层的所有内容进行重组，通过对应用层协议进行跟踪和分析，能够完全基于状态地鉴别出隐藏在正常网络流量中的网络攻击并且阻断。如图1所示

图1、很多恶意流量可以穿透防火墙

举个形象的比喻，如果说一个防火墙是开了窗户洞的墙，那么IPS就是窗户洞上的纱窗。开了窗户洞，固然可以让空气流通，但是苍蝇蚊子这些危害也可以飞进来，因此才要装纱窗。所以讲IPS比防火墙具有更细粒度的访问控制能力。

问题2：有了IDS，为什么还要IPS？

IPS替代IDS主要原因有三个：

⏹IDS是它的工作模式是旁路的，不具备阻断能力，只能起到告警的作用；

⏹IDS和网络设备（包括防火墙）的联动时间延迟太大（100毫秒），对于很多威胁来

讲太慢，无法阻止威胁通过网络传播

⏹很多威胁只需要一个报文就可以攻破目标机器，联动的方式根本来无法解决问题：

当你发现第一个有威胁的报文时，已经来不及通过联动来阻止了。

基于以上原因，IPS代替IDS也就是大势所趋了，IPS是在线部署（in-line）的，当它发现网络攻击的时候，可以实时实施阻断，从而具有主动防御的能力。

4.什么是TippingPoint IPS？

TippingPoint入侵防御系统（Intrusion Prevention System，IPS）是TippingPoint 公司开发的业界领先的IPS产品。它以在线的方式部署在网络的关键路径上，对经过的数据流进行2到7层的深度分析，能精确、实时地识别、阻断或限制黑客、蠕虫、病毒、木马、扫描、间谍软件、协议异常、网络钓鱼、带宽滥用等网络攻击或网络滥用，还具有实用的带宽管理和URL过滤功能，可为用户提供IPS之外的更高附加值。

5.TippingPoint IPS有什么技术优势？

♦在线主动抵御

♦通过全面的数字疫苗与TippingPoint“FIRST”专有引擎技术完美的配合，能精确识别并实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为；

♦业界领先的安全威胁分析团队

♦自动数字疫苗分发服务，抵御零时差攻击

♦基于应用的带宽管理、URL过滤，可为客户带去更多的业务体验、更高的性价比

♦先进的防御拒绝服务攻击/分布式拒绝服务攻击能力

♦易用的安全管理系统中心－SMS

♦纯透明部署，即插即用，无需更改现有网络配置

♦全面的高可靠性，支持内置旁路、掉电旁路和状态保持冗余

6.什么是TippingPoint IPS的服务？

因为安全产品本身的特殊性，使得此类产品的销售模式与传统网络产品有比较大的区别。这个区别主要就体现在针对产品的服务上，这个服务是已经被产品化的一种服务。因此，需要明确和产品一起销售的服务的概念和具体形式。

对服务的介绍从数字疫苗开始，数字疫苗是TippingPoint用来描述绝大部分网络攻击过滤器的市场名称。因为新的网络攻击是不断涌现出来的，因此，为了能够具备实时抵御不

断涌现的新攻击的能力，需要对TippingPoint IPS的数字疫苗进行定期升级。

同样，IPS设备的软件也会不断更新升级，才能够具备：

♦支持新发布的数字疫苗（不经常出现，只在数字疫苗本身发生大规模结构变化时出现）；

♦支持对某些不需要用数字疫苗描述的攻击的检测（例如DoS/DDoS攻击）。

IPS的服务主要包含的内容是：现场安装和调试、热线电话支持、硬件备件更换、系统软件升级、数字疫苗升级。可以看到，以上服务既涵盖了传统的保修的范畴，又包含了系统软件升级和数字疫苗升级两个非常重要的部分。所以，与传统网络设备所不同的是，对于IPS系统来说，服务是产品包中不可或缺的一部分。如果用户只购买设备硬件而不购买服务，那么这个设备对用户来说是没有价值的。这一点，在网络安全领域也已经是约定俗成的概念了，绝大多数用户能够接受。服务的费用与对应设备硬件的价格呈一定比例关系，这个比例一般维持在每年20%左右。

TippingPoint的IPS设备的报价中已经包含了一年的服务费用，可以对用户宣传是免费赠送一年服务。至于第一年以后的服务，则需要用户单独购买。

7.TippingPoint IPS能给用户提供什么样的保护？

TippingPoint UnityOne IPS 入侵防御/检测系统：通过4-7层的分析与全面检测，实时阻断网络攻击、蠕虫、木马、间谍软件、病毒、攻击和恶意行为，并对分布在网络中的各种非关键业务进行有效管理，实现对网络应用、网络基础设施和网络性能的全面保护。

零时差的应用保护

TippingPoint专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的数字疫苗；同时，通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到IPS设备中，使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。

带宽滥用控制

UnityOne IPS能帮助用户遏制非关键应用抢夺宝贵的带宽和IT资源，从而确保网络资源的合理配置和关键业务的服务质量，显著提高网络的整体性能。

网络基础设施保护

UnityOne IPS具有强大的攻击防护和流量模型自学习能力，当攻击发生、或者短时间内大规模爆发的病毒导致网络流量激增时，能自动发现并阻断攻击和异常流量，以保护路由器、交换