Tippingpoint一指禅

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

QuickTime?and a
decompressor
are needed to see this picture.
IPS 产品市场销售指导书
TippingPoint 上海办事处
2009-03-30
1.什么是IPS?
随着网络自身的不断发展,网络所面临的安全威胁也在不断增加,因此,防火墙、IDS (Intrusion Detection System,入侵检测系统)一类的安全设备出现在网络的特定位置试图解决这些问题,并逐渐成为网络安全的代名词。

但是,管理员们发现网络所面临的威胁并没有因为这两种设备的出现而消失,反而大有愈演愈烈之势。

这些年,蠕虫病毒、带宽滥用、间谍软件/广告软件、木马、后门、网络钓鱼等应用层威胁大行其道,面对这些新型威胁,传统的“防火墙+IDS”解决方案无能为力。

这时就有了IPS-入侵防御系统的概念。

那么,什么是IPS(Intrusion Prevention System)?
简单的讲,IPS就像是机场安检门,将所有经过的人员和物品全面扫描检测,一旦发现危险物品或可疑行为将拦截并报警。

2.IPS和防火墙、IDS有什么区别?
下面的表简单的说明了IPS和IDS、防火墙的异同点:
3.为什么需要IPS?
问题1:有了防火墙,为什么还要IPS?
答:防火墙只具备识别网络三层和四层信息的能力,因此,对于基于应用层的网络攻击防火
墙是无能为力的。

防火墙对于网络来说好像是一堵墙,但是这面墙上被凿开了很多洞,以允许某些特殊的流量(例如WWW浏览、FTP文件传输等);而恰恰有很多网络攻击正是利用这些洞穿透防火墙的保护进入网络。

和防火墙相比,IPS工作在应用层上,以在线方式部署在网络中,IPS具备对网络流量深度检测能力,可以对一个会话二层到七层的所有内容进行重组,通过对应用层协议进行跟踪和分析,能够完全基于状态地鉴别出隐藏在正常网络流量中的网络攻击并且阻断。

如图1所示
图1、很多恶意流量可以穿透防火墙
举个形象的比喻,如果说一个防火墙是开了窗户洞的墙,那么IPS就是窗户洞上的纱窗。

开了窗户洞,固然可以让空气流通,但是苍蝇蚊子这些危害也可以飞进来,因此才要装纱窗。

所以讲IPS比防火墙具有更细粒度的访问控制能力。

问题2:有了IDS,为什么还要IPS?
IPS替代IDS主要原因有三个:
⏹IDS是它的工作模式是旁路的,不具备阻断能力,只能起到告警的作用;
⏹IDS和网络设备(包括防火墙)的联动时间延迟太大(100毫秒),对于很多威胁来
讲太慢,无法阻止威胁通过网络传播
⏹很多威胁只需要一个报文就可以攻破目标机器,联动的方式根本来无法解决问题:
当你发现第一个有威胁的报文时,已经来不及通过联动来阻止了。

基于以上原因,IPS代替IDS也就是大势所趋了,IPS是在线部署(in-line)的,当它发现网络攻击的时候,可以实时实施阻断,从而具有主动防御的能力。

4.什么是TippingPoint IPS?
TippingPoint入侵防御系统(Intrusion Prevention System,IPS)是TippingPoint 公司开发的业界领先的IPS产品。

它以在线的方式部署在网络的关键路径上,对经过的数据流进行2到7层的深度分析,能精确、实时地识别、阻断或限制黑客、蠕虫、病毒、木马、扫描、间谍软件、协议异常、网络钓鱼、带宽滥用等网络攻击或网络滥用,还具有实用的带宽管理和URL过滤功能,可为用户提供IPS之外的更高附加值。

5.TippingPoint IPS有什么技术优势?
♦在线主动抵御
♦通过全面的数字疫苗与TippingPoint“FIRST”专有引擎技术完美的配合,能精确识别并实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为;
♦业界领先的安全威胁分析团队
♦自动数字疫苗分发服务,抵御零时差攻击
♦基于应用的带宽管理、URL过滤,可为客户带去更多的业务体验、更高的性价比
♦先进的防御拒绝服务攻击/分布式拒绝服务攻击能力
♦易用的安全管理系统中心-SMS
♦纯透明部署,即插即用,无需更改现有网络配置
♦全面的高可靠性,支持内置旁路、掉电旁路和状态保持冗余
6.什么是TippingPoint IPS的服务?
因为安全产品本身的特殊性,使得此类产品的销售模式与传统网络产品有比较大的区别。

这个区别主要就体现在针对产品的服务上,这个服务是已经被产品化的一种服务。

因此,需要明确和产品一起销售的服务的概念和具体形式。

对服务的介绍从数字疫苗开始,数字疫苗是TippingPoint用来描述绝大部分网络攻击过滤器的市场名称。

因为新的网络攻击是不断涌现出来的,因此,为了能够具备实时抵御不
断涌现的新攻击的能力,需要对TippingPoint IPS的数字疫苗进行定期升级。

同样,IPS设备的软件也会不断更新升级,才能够具备:
♦支持新发布的数字疫苗(不经常出现,只在数字疫苗本身发生大规模结构变化时出现);
♦支持对某些不需要用数字疫苗描述的攻击的检测(例如DoS/DDoS攻击)。

IPS的服务主要包含的内容是:现场安装和调试、热线电话支持、硬件备件更换、系统软件升级、数字疫苗升级。

可以看到,以上服务既涵盖了传统的保修的范畴,又包含了系统软件升级和数字疫苗升级两个非常重要的部分。

所以,与传统网络设备所不同的是,对于IPS系统来说,服务是产品包中不可或缺的一部分。

如果用户只购买设备硬件而不购买服务,那么这个设备对用户来说是没有价值的。

这一点,在网络安全领域也已经是约定俗成的概念了,绝大多数用户能够接受。

服务的费用与对应设备硬件的价格呈一定比例关系,这个比例一般维持在每年20%左右。

TippingPoint的IPS设备的报价中已经包含了一年的服务费用,可以对用户宣传是免费赠送一年服务。

至于第一年以后的服务,则需要用户单独购买。

7.TippingPoint IPS能给用户提供什么样的保护?
TippingPoint UnityOne IPS 入侵防御/检测系统:通过4-7层的分析与全面检测,实时阻断网络攻击、蠕虫、木马、间谍软件、病毒、攻击和恶意行为,并对分布在网络中的各种非关键业务进行有效管理,实现对网络应用、网络基础设施和网络性能的全面保护。

零时差的应用保护
TippingPoint专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告,经过分析、验证所有这些威胁,生成保护操作系统、应用系统以及数据库漏洞的数字疫苗;同时,通过部署于全球的蜜罐系统,实时掌握最新的攻击技术和趋势,以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并自动或手动地分发到IPS设备中,使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。

带宽滥用控制
UnityOne IPS能帮助用户遏制非关键应用抢夺宝贵的带宽和IT资源,从而确保网络资源的合理配置和关键业务的服务质量,显著提高网络的整体性能。

网络基础设施保护
UnityOne IPS具有强大的攻击防护和流量模型自学习能力,当攻击发生、或者短时间内大规模爆发的病毒导致网络流量激增时,能自动发现并阻断攻击和异常流量,以保护路由器、交换
机、VoIP 系统、DNS 服务器等网络基础设施免遭各种恶意攻击,保证关键业务的通畅。

8. TippingPoint IPS 有几种部署模式?
QuickTime?and a decompressor are needed to see this picture. QuickTime?and a decompressor are needed to see this picture.
总结一下,TippingPoint 的部署位置主要包括3类:
● 服务器前面
● 网络分界点(Internet 分界点和Extranet 分界点)
● 汇聚层上联处
9. TippingPoint IPS 的目标行业有哪些?
公共事业行业(大企业)
大企业,尤其是能源、交通、制造业、医疗等大企业/事业单位是TippingPoint 的重点目标行业,主要需求集中在:
● 保护数据中心服务器不受攻击和最大时间的运行
● 保护DMZ 区服务器不受攻击和最大时间正常运行
● Extranet 接入处的网络攻击抵御
● 广域网带宽和流量控制
● 防止蠕虫传播和泛滥
TippingPoint在大企业的部署如图3所示。

ICP网站也是公共事业行业的目标行业,如新浪、sohu、163等等,这些用户的主要需求包括:
●针对WEB的攻击抵御
高校是公共事业行业的另外一个目标行业,高校的主要需求如下:
●抑制各种针对服务器和PC机的攻击
电力行业
由于电力行业规定,目前电力的一、二级生产区网络不能部署在线防御设备,另外也不建议选购国外安全产品,所以电力调度网(二次防护网络的一、二级分区)不是TippingPoint 的目标行业,TippingPoint的目标行业市场是电力通信网,具体讲是大型电厂和电力数据中心的网络防护。

如图5所示。

具体的部署位置包括:
●Internet出口
●数据中心出口
●第三方机构互联出口
金融行业
金融行业的TippingPoint的主要卖点在金融数据中心互联网服务区。

TippingPoint在金融数据中心互联网服务区的部署可以渗透在金融行业数据中心分层体系当中,通过在不同的安全层之间部署TippingPoint,可以做到深入到应用层的威胁抵御。

运营商行业
对于运营商网络,TippingPoint IPS的主要价值在于:
●保护核心资产:对于提供宽带接入服务的运营商来讲,DNS、DHCP、Email等资源
属于关键资产,这些服务器的宕机则直接意味着运营商利润的损失;同时,对于那
些对外提供公共信息的服务器,例如WWW、FTP等,也属于被重点保护的对象。


有这些重点资源,全部面临着来自接入用户和互联网的威胁!
下图是TippingPoint IPS在运营商网络中的典型部署:
图7、TippingPoint在运营商的部署
政府行业
政府行业对TippingPoint IPS的需求主要集中在电子政务外网数据中心和门户网站。

TippingPoint在电子政务外网的部署主要在三个位置:
♦电子政务外网Internet出口:保护基础设施、防DDoS攻击
♦电子政务外网Internet服务器区:保护Internet服务器,防止攻击,防止WEB网页篡改
♦电子政务外网公共服务区数据中心:保护电子政务数据中心服务器和关键应用10.如何发现TippingPoint IPS潜在客户,并顺利引导客
户采购TippingPoint IPS?
从应用场景上讲,用户如果遇到下面的问题,就可能需要TippingPoint IPS产品:
♦网页被篡改
♦网络带宽滥用
♦服务器应用访问很慢(这时,可能遇到大量的攻击)
♦蠕虫病毒泛滥
♦间谍软件泛滥
增强用户信心
可以联系安全产品部做进一步的工作,包括:
●用户网络健康检查:告诉客户其网络上存在的威胁
●TippingPoint在线测试:可以联系安全产品部拓展人员在用户网络上进行在线测试,
体现出TippingPoint的技术优势
●友商竞争分析
●案例和样板点
⏹国内大型IPS样板点。

相关文档
最新文档