天清入侵防御系统产品白皮书

合集下载

天清入侵防御系统_快速安装指南

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Inc. All rights reserved.The copyright of this document is owned by Venus Inc. Without the prior written permission obtained from Venus Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Inc. with reasonable care and is believed to be accurate. However, Venus Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的NGIPS产品正常运行时，包含2款GPL协议的软件（linux、zebra）。

产品说明&技术白皮书-天融信入侵防御系统产品说明

天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。

启明星辰天清汉马防火墙技术白皮书

NetFlow...................................................................................................................................18 QoS 功能 ................................................................................................................................19 冗余备份功能......................................................................................................................... 19
VRRP 协议介绍 .............................................................................................................19 天清汉马防火墙冗余备份功能实现 ............................................................................. 20
网络安全的内容............................................................................................................................... 5 信息安全产品体系结构 ........................................................................................................... 5 网络安全产品介绍 ................................................................................................................... 6 防火墙............................................................................................................................... 6

威胁管理-天清入侵防御(IPS)

威胁管理-天清入侵防御(IPS)产品简介天清入侵防御系统（以下简称：天清IPS）是启明星辰自行研制开发的入侵防御类网络安全产品，围绕“深层防御、精确阻断”这个核心，通过对网络中深层攻击行为进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全。

天清IPS融入了启明星辰在入侵攻击识别方面的积累和研究成果，使其在精确阻断方面达到国际领先水平，可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击等多种深层攻击行为进行主动阻断。

除了入侵防御功能以外，天清IPS还集防火墙、防病毒、上网行为管理、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow 等多种安全技术于一身，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络提供全面实时的安全防护。

天清IPS产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列安全防护产品。

进入IPS技术专区>>功能特点全线MIPS多核硬件结构相比X86、NP、ASIC硬件平台，基于MIPS64的多核SoC（System on Chip）处理器的最大优势是保留了X86平台的高灵活性（这一点对于安全设备的应用层检测非常关键），同时具备与ASIC平台相当的高处理性能。

同时，通过增加核数，使线性提升硬件计算能力成为了可能，更重要的是功耗也随之得到了控制。

SoC多核硬件平台在支撑灵活性和高性能的同时，带来的另一个卓有成效的经济效益是低碳、节能。

为了满足云计算的安全趋势，天清IPS全系列产品型号均采用基于MIPS64的多核SoC硬件架构，为用户网络提供更加安全、高效、可靠、环保和节能的IPS产品。

●坚固的入侵防御体系——业界最完善的攻击特征库，包括50多类，超过2000项的入侵攻击特征；——漏洞机理分析技术，精确抵御黑客攻击、蠕虫、木马、后门；——应用还原重组技术，抑制间谍软件、灰色软件、网络钓鱼的泛滥；——网络异常分析技术，全面防止拒绝服务攻击。

企业Web应用安全网关技术白皮书

企业Web应用安全网关技术白皮书精确过滤让网站安全变得简单目录1.产品简介 (2)2.功能特点 (2)2.1.Web应用防护 (2)2.2.Web非授权访问防护 (2)2.3.Web恶意代码防护 (3)2.4.Web应用合规 (3)2.5.Web应用交付 (3)2.6.Web应用防护事件库 (3)2.7.集中管理与事件分析 (4)3.产品型号 (4)4.用户需求 (4)5.典型应用 (5)5.1.桥模式部署 (5)5.2.代理模式部署 (5)5.3.单臂模式部署 (6)5.4.BYPASS (7)1.产品简介天清Web 应用安全网关，是启明星辰公司自行研制开发的新一代Web 安全防护与应用交付类应用安全产品，主要针对Web 服务器进行HTTP/HTTPS 流量分析，防护以Web 应用程序漏洞为目标的攻击，并针对Web 应用访问各方面进行优化，以提高Web 或网络协议应用的可用性、性能和安全性，确保Web 业务应用快速、安全、可靠地交付。

2.功能特点2.1. Web应用防护天清WAF能够精确识别并防护常见的Web攻击：•基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击；•CGI扫描、漏洞扫描等扫描攻击；•SQL注入攻击、XSS攻击等Web攻击；•应用层Dos防护；2.2. Web非授权访问防护天清WAF能够精确识别并防护常见的Web非授权访问攻击：•CSRF攻击防护•Cookie篡改防护•网站盗链防护2.3. Web恶意代码防护天清WAF能够精确识别并防护常见的Web恶意代码攻击：•网页挂马防护•WebShell防护2.4. Web应用合规天清WAF能够精确识别并防护常见的Web应用合规：•基于URL的访问控制•HTTP协议合规•敏感信息泄露防护•文件上传下载控制•Web表单关键字过滤2.5. Web应用交付天清WAF能够对Web应用加速和流量分配：•网页防篡改•基于URL的流量控制•Web应用加速•多服务器负载均衡2.6. Web应用防护事件库天清WAF产品内置Web应用防护事件库，包含各类Web安全相关事件特征，启明星辰提供定期与突发Web安全事件紧急升级服务，能够针对最新的、突发的、热点的Web 攻击进行快速响应。

天清汉马USG系列_销售指导书

天清汉马USG一体化安全网关销售指导书1概述天清汉马USG一体化安全网关是我司完全自主知识产权的统一威胁管理（UTM）类产品，具备业界领先的软件体系架构设计，具备防火墙、防病毒、入侵防御、外联控制、VPN等多种安全能力，是我司的旗舰产品。

天清汉马USG 一体化安全网关自2007年发布后已在政府、金融、电力、电信、石油、教育等行业广泛应用。

为促进和规范天清汉马产品的销售工作，特制定本指导书，旨在指导全体市场人员拓展天清汉马USG产品，本文内容具有普遍约束意义，解释权归产品管理中心安全网关产品部。

2 市场机会分析2.1 宏观市场机会从全球市场来看，为了解决网络边界的安全问题，出现了“网关融合”的趋势，NetScreen 、Cisco 、Check Point 、Fortinet 等厂商均将UTM 作为技术发展战略，各主流厂商均在原有基础上通过不同的方式追赶“网关融合”的趋势，这代表了全球安全产业的发展趋势。

在北美市场，UTM 产品已经占据了安全硬件产品的市场份额（2.4B$）及增长率（约45%）第一名，而传统的防火墙+VPN 市场（1.5B$）则大幅下降，出现了负增长（约-5%）。

可以说，从全球趋势来看，UTM 产品正在快速取代传统防火墙。

从国内市场来看，“网关融合”的趋势比全球市场落后1-2年的时间，2006年之前的UTM 市场基本被国外厂商垄断。

但从2007年起，以启明星辰为首的国内厂商开始发力。

根据CCID 最新发布的2007年UTM 市场分析数据显示，启明星辰的天清汉马系列UTM 产品以超过15%的市场占有率排名国内厂商第一名，在UTM 市场总份额中仅次于FortiNet 排在第二名。

而在IDC 发布的2007UTM 市场报告中，天清汉马同样高居国内厂商首位。

据IDC2008年3月最新报告显示，2007年UTM 市场空间相比2006年增长87.6%，占到整体安全硬件市场的14.1%。

“统一威胁管理硬件市场在2007 年的增长非常迅猛，全年同比增长87.6%，市场规模达到US$52.0M 。

天融信网络卫士入侵防御IDP系列产品白皮书

天融信产品白皮书网络卫士入侵防御系统 TopIDP系列网络卫士入侵防御系统 TopIDP天融信公司为了满足市场上用户对入侵防御产品的需求，推出了“网络卫士入侵防御系统TopIDP”。

它是基于新一代并行处理技术开发的网络入侵防御系统，通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。

TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台，保证了TopIDP 产品更高性能地对网络入侵进行防护。

TopIDP能够阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。

入侵防御策略库随时防护目前业内最流行的入侵攻击行为。

与现在市场上的入侵防御系统相比，TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向，堪称网络入侵检测和防御系统的典范。

强大的高性能多核并行处理架构TopIDP产品采用了先进的多核处理器硬件平台，将并行处理技术成功地融入到天融信自主知识产权操作系统TOS（Topsec Operating System）系统，集成多项发明专利，形成了先进的多核并发运算的架构技术体系。

在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力，能够胜任高速网络的安全防护要求。

图1 多核CPU内部运算示意图●精确的基于目标系统的流重组检测引擎传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击，任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎，在受保护的目标服务器主机上形成真正的攻击。

TopIDP产品采用了先进的基于目标系统的流重组检测引擎，首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了TCP流分段重叠攻击行为。

网络入侵防御IPS解决方案白皮书

网络入侵防御IPS解决方案白皮书启明星辰目录入侵防御IPS天清入侵防御系统•需求分析•产品简介•功能特点•技术优势•典型应用•用户价值需求分析入侵攻击的检测及防御，是用户保障信息系统安全的核心需求之一，然而，有限的安全预算下如何防御日益更新的多样化攻击，对用户来说是个艰巨的挑战。

入侵防御（IPS）正是解决该问题的最佳解决方案：在线部署的入侵防御系统不但能发现攻击，而且能自动化、实时的执行防御策略，有效保障信息系统安全。

由此可见，对于入侵攻击识别的准确性、及时性、全面性以及高效性，是优秀入侵防御产品必备条件。

产品简介产品简介天清入侵防御系统（Intrusion Prevention System，以下简称“天清NGIPS”）是启明星辰自主研发的网络型入侵防御产品，围绕深层防御、精确阻断的核心理念，通过对网络流量的深层次分析，可及时准确发现各类入侵攻击行为，并执行实时精确阻断，主动而高效的保护用户网络安全。

天清入侵防御系统融合了启明星辰在攻防技术领域的先进技术及研究成果，使其在精确阻断方面达到国际领先水平，可以对漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行防御，有效弥补网络层防护产品深层防御效果的不足。

技术优势•方便的集中管理功能多设备统一管理、升级、监控并生成报表，省时省力•保障业务的高可靠性软硬件BYPASS、HA优先保障业务畅通•完善的应用控制能力支持上千种应用识别能力，防止网络资源滥用•全面的内容过滤功能实时监控敏感信息通过邮件、Web外发•双引擎高效病毒防护内置知名第三方防病毒引擎，高效查杀•领先的威胁防御能力ADlab和VenusEye两大团队保障，及时应对最新攻击和高级威胁•采用高性能专用硬件搭配启明星辰自主研发的安全操作系统，稳定安全高效典型应用启明星辰入侵防御产品已广泛应用于政府、金融、能源、电信等各行业领域，并积极拓展国际市场。

天清入侵防御系统V6.0.5.0命令行用户手册

第1章 Web管理介绍........................................................... 1-11.1概述.................................................................... 1-11.2工具条.................................................................. 1-11.2.1 了解客户支持...................................................... 1-11.2.2 修改密码.......................................................... 1-21.2.3 控制台访问........................................................ 1-21.2.4 存盘 ............................................................. 1-31.2.5 注销 ............................................................. 1-31.3 Web管理................................................................ 1-31.3.1 菜单 ............................................................. 1-41.3.2 列表 ............................................................. 1-41.3.3 图标 ............................................................. 1-51.4设备默认配置............................................................ 1-61.4.1 接口0的默认配置.................................................. 1-61.4.2 默认管理员用户.................................................... 1-6第2章主功能1............................................................... 2-72.1子功能1................................................................ 2-72.1.1 子功能之子功能1.................................................. 2-72.1.2 子功能之子功能2.................................................. 2-7第3章主功能2............................................................... 3-73.1子功能1................................................................ 3-73.1.1 子功能之子功能1.................................................. 3-83.1.2 子功能之子功能2.................................................. 3-81命令行配置⏹启明星辰天清防御系统可以通过管理控制中心的下发控制以及直接登录进行操作两种方式，实现对系统的配置管理。

启明星辰产品速查手册V2

1U设备，8个10/100/1000Base-T接口，单电源。
WAG-WAF210
1U设备，8个10/100/1000Base-T接口，单电源。
WAG-WAF1010
1U设备，12个千兆Combo接口，单电源。
WAG-WAF1010R
2U设备，12个千兆Combo接口，双电源。
WAG-WAF1020
3.2.4.
对中小企业
部署USG网关让中小企业用户可以在一个统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品协调性、资金和技术匮乏和缺乏中小企业级安全解决方案等问题也能够得到完全解决。
USG网关产品部署在总部和分支机构网络Internet出口，同时开启FW、AV和IPS功能，全面抵御来自互联网的病毒和攻击威胁。同时可作为VPN网关，各分支机构与总部之间开启VPN隧道，保证相互间通信的保密性。SOHO员工和在外出差的员工可以在任何时候通过VPN客户端与总部的天清汉马USG一体化安全网关建立VPN隧道，访问公司内部的资源，实现高效安全的网络应用。
2.2.2.
在代理部署模式下，天清WAG的业务口工作在路由方式下，业务口分配IP地址。代理模式需更改用户原有的网络拓扑，在代理部署模式下，能够完全对访问用户隐藏Web服务器的真实IP地址，有效保障Web服务器安全。代理模式为Web服务器提供了最高程度的保护，能够确保Web服务器操作系统、发布程序不直接暴露在Internet，保障Web应用的安全。
大型企业
对于大型企业，网络规模较大、用户数量多、业务系统较多，网络建设类似于城域网。在安全建设方面也存在多点建设，除去在集团总部的互联网出口需要安全防控外，各下属单位也有安全防护需求。
图大型企业网络结构示意图
在总部互联网出口部署的天清汉马USG一体化安全网关能够抵御来自互联网的入侵攻击，同时为出差员工提供VPN接入，确保通信的保密性。在各单位出口部署USG网关，可以有效控制不同部门之间的越权访问，并且防止病毒在内网的大规模爆发。

天清汉马USG-FW-P系列防火墙技术白皮书V

天清汉马USG-FW-P系列防火墙技术白皮书二零一三年十月目录1概述12天清汉马USG防火墙产品特点与技术优势62.1智能的VSP通用安全平台62.2高效的USE统一安全引擎82.3高可靠的MRP多重冗余协议92.4完备的关联安全标准162.5基于应用的内容识别控制142.5.1智能匹配技术152.5.2多线程扫描技术152.5.3应用感控技术152.6精确细致的WEB过滤技术162.7可信架构主动云防御技术错误!未定义书签。

2.8IP V6包状态过滤技术183天清汉马USG防火墙产品主要功能214典型组网274.1政府行业274.1.1电子政务网274.1.2政府专网284.2教育行业304.2.1高教校园网304.2.2中/基教教育城域网314.3企业市场324.3.1中小企业324.3.2大型企业331概述诞生20多年来，网络已经在全球经济中扎根发芽，蓬勃成长为参天大树，对各个行业的发展起着举足轻重的作用。

随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分。

在网络安全的术语里，有一个名词叫做“安全域”，其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界，定义出各自的安全领域。

举个简单的例子，在PC上安装了相关的杀毒软件，PC本身就是一个最简单的安全域。

对于单位用户，安全域往往由若干网络设备和用户主机构成，其边界安全主要在于与互联网的边界、与其他业务网络的边界等。

防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。

天清汉马USG防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领域多年的经验积累，总结分析用户的切身需求，推出新一代的P系列防火墙产品。

天清汉马USG防火墙采用高性能的硬件架构和一体化的软件设计，除了实现了状态检测防火墙功能，还同时支持VPN、上网行为管理、抗拒绝服务攻击（Anti-DoS）、内容过滤、AV、入侵防御等多种安全技术，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。

下一代入侵防御系统NIPS产品白皮书

下一代入侵防御系统产品白皮书（SANGFOR）下一代入侵防御系统（NIPS）是自主研发的网络型入侵防御产品，围绕精确识别，有效阻断的核心理念，通过对网络流量的深度解析，可及时准确发现各类非法入侵攻击行为，并执行实时精确阻断，主动而高效的保护用户网络安全。

SANGFOR NIPS 不仅可以应对对漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、暴力破解，而且可以对高级威胁攻击、未知威胁攻击等多种深层攻击行为进行防御，有效弥补网络层防护产品深层防御效果的不足，为用户提供了完整的立体式网络安全防护。

SANGFOR NIPS相比传统入侵防御系统更加强调通过多维度的检测技术包含基于AI 和沙箱等技术实现识别的精确性，同时，通过简单的运维操作方式提升管理和运维的有效性。

1.1产品架构介绍1.1.1深度内容解析SANGFOR NIPS的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测，而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行为，有效阻断威胁风险的发生。

灰度威胁识别技术改变了传统NIPS 等设备防御威胁种类单一，威胁检测经常出现漏报、误报的问题，可以帮助用户最大程度减少风险短板的出现，保证业务系统稳定运行。

1.1.2分离平面设计SANGFOR NIPS通过软件设计将网络层和应用层的数据处理分离，在底层通过应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层，如若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发。

实现数据报文的高效，可靠处理。

1.1.3单次解析架构要进行应用层威胁过滤，就必须将数据报文重组才能检测，而报文重组、特征检测都会极大地消耗内存和CPU，因而UTM的多引擎，多次解析架构工作效率低下。

因此，SANGFOR NIPS所采用的单次解析引擎通过统一威胁特征、统一匹配引擎，针对每个数据包做到了只有一次报文重组和特征匹配，消除了重复性工作对内存和资源的占用，从而系统的工作效率提高了70%-80%。

天清入侵防御系统接口

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。

未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

安装说明：●安装配置（Web）天清入侵防御系统；●安装Kiwi Syslog Daemon客户端SYSLOG接收软件；测试说明：●通过Web访问引擎，“系统管理—SYSLOG服务器配置”项中，配置SYSLOG服务器地址（192.168.54.110）、端口（514）、“日志配置内容”选择“事件名称”；●SYSLOG日志接收PC安装、配置完成Kiwi Syslog Daemon客户端SYSLOG接收软件；●设置SYSLOG日志接收PC的IP地址为192.168.54.110，端口为514（确认此端口开通并没有被占用）；●勾选带有SYSLOG日志报警的事件，将此事件添加到策略集中，将策略集成功下发到引擎；●使网络中产生带有SYSLOG日志报警的事件通过天清入侵防御系统引擎；●Kiwi Syslog Daemon接收到SYSLOG日志。

配置说明：●保证引擎ips、csign进程运行良好，查看syslogd进程是否存在（此进程存在才能发送SYSLOG日志）；●安装Kiwi Syslog Daemon接收客户端软件，安装时选择Application选项；●安装完成后，打开接收客户端，在setup里面配置Inputs中的UDP为监听状态，UDP Port为514，Bind to address 可以为空，Data encoding 选择system即可，应用生效；●在接收客户端软件上发送测试消息到本地主机，如可以接收到测试消息，证明配置正确；●在Web上对SYSLOG选项进行配置，开启SYSLOG服务器配置，配置IP地址为已经安装了Kiwi Syslog Daemon 接收客户端软件的终端IP地址，端口默认514，提交保存；●应用含有发送SYSLOG消息配置的策略响应模板到特征事件，或者分别配置想要产生SYSLOG消息的目标特征事件加入SYSLOG响应方式；●打开事实显示或管理控制中心-显示中心，查看上报事件是否带有SYSLOG响应方式内容，同时查看已开启的Kiwi Syslog Daemon接收客户端是否有SYSLOG消息上报，如上述配置正常，且系统运行无误，可以正常接收到SYSLOG响应消息。

天清入侵防御系统_V6.0.2.6_安装手册

未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其作出适时调整。

“天清”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

免责声明本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息安全技术有限公司2008年6月出版。

北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

1目录第1章简述 (2)第2章安装准备 (3)2.1 控制中心安装准备 (3)2.1.1硬件需求 (3)2.1.2 软件需求 (4)2.2 引擎安装准备 (4)2.3 网络资源准备 (5)第3章开箱检查 (6)第4章控制中心安装配置 (7)4.1.1 MSDE数据库 (8)4.1.2 入侵防御系统 (8)4.1.3 天清使用Oracle数据库的注意事项 (14)4.1.4控制中心卸载 (15)第5章引擎安装配置 (16)5.1 标识说明 (16)5.1.1接口说明 (16)5.2 超级终端安装及设置 (17)5.3 引擎配置 (22)5.3.1 配置菜单介绍 (23)5.3.2 初始应用 (26)第6章产品可用性检查 (27)第7章产品部署 (29)7.1 控制中心部属 (29)7.2 引擎部属 (29)北京启明星辰信息安全技术有限公司天清IPS产品安装手册7.3 产品应用设置 (29)附录一：快速使用指南 (31)一、快速使用流程 (31)二、多级管理设置 (35)附录二：数据源的配置 (39)附录三：Windows2003上报表查询速度优化建议方案 (43)1.现象描述 (43)2.现象分析 (44)3.解决建议方案 (44)(1)对报表模块的使用建议 (44)(2)产品部署建议 (45)(3)硬件配置和操作系统选择建议。

天清NGIPS_产品介绍胶片

这个方向发展
天清NGIPS核心功能
灵活高效的安全策略
• 基于严格的状态检测，高安全性 • 以流为对象，安全策略为核心 • 完善的访问控制措施结合应用层防护动作保障阻断效果 • 支持在线及旁路部署
领先的威胁防御能力
• 高级威胁检测与防御 • 超过3500条IPS事件库 • 业界领先的威胁响应能力 • 最准确的SQL/XSS防护能力 • 自定义特征扩展防御能力
双核心网络防病毒
深精层确防阻御断
完善的应用过滤
高可用性保障强大成熟的集中管理
精确的抗DoS能力
NGIPS特点—专注核心能力提升
通过虚拟执行技术检测恶意代码
恶意代
码动态检测
恶意代码检测方案
通过shellcode特征检测恶意代码
恶意代
码静态检测
通过虚拟执行技术分析恶意代码行为
恶意代
产品市场地位—技术领先，市场亟待突破
• 天清入侵防御系统研发实力，技术积累及产品技术方面处于国内领先水平 • CCID的IDS/IPS市场排名连续12年保持第一，IDC 2013年IPS市场排名第二 • IDC预测IPS市场将保持15%左右的复合增长率，2013年市场规模约7.2亿RMB • Gartner定义NGIPS，本质是要解决高级威胁的防御问题，主流IPS厂商均正在往
功能亮点—管理以安全策略为核心
• 推荐理由
– 可针对不同数据流设置不同的应用层防御策略 – 完善的数据流定义，精细化的应用层防御策略及动作 – 管理配置简单，易于操作
匹配条件入接口/安全域出接口/安全域
源地址对象目的地址对象服务对象/端口
时间对象
防御动作
阻断源地址丢弃会话丢弃重置通过

20070420_天清入侵防御系统V6.0安装手册V1.0

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其作出适时调整。

“天清”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息技术有限公司2007年3月出版。

北京启明星辰信息技术有限公司保留对本手册及本声明的最终解释权和修改权。

1用户安装手册目录第1章软件安装 (1)1.1准备条件 (1)1.2系统需求 (1)1.2.1控制中心系统需求 (1)1.2.2显示中心系统需求 (2)1.3安装过程 (3)1.3.1 MSDE数据库 (4)1.3.2 入侵防御系统 (4)1.3.3 天清使用Oracle数据库的注意事项 (10)第2章软件卸载 (11)第3章硬件安装 (13)3.1准备条件 (13)3.2标识说明 (13)3.2.1接口说明 (13)3.3超级终端安装及设置 (14)3.4天清网络引擎配置 (20)3.4.1 选项介绍 (21)3.4.2 初始应用 (23)附录一：快速使用指南 (24)快速使用流程 (24)多级管理设置 (28)附录三：数据源的配置 (32)北京启明星辰信息技术有限公司天清用户安装手册第1章软件安装1.1准备条件1.2系统需求为了更好的运行天清入侵防御系统，我们建议您采用下面的配置作为起点。

天清入侵防御系统介绍

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容，除另有特别注明外,其著作权或其他相关权利均属于启明星辰信息技术。

未经启明星辰信息技术书面同意，任何人不得以任何方式或形式对本手册的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天清”为启明星辰信息技术的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其容如有更改，恕不另行通知。

启明星辰信息技术在编写该文档的时候已尽最大努力保证其容准确可靠，但启明星辰信息技术不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如有任何宝贵意见，请反馈：信箱：市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100094：8传真：0您可以访问启明星辰：获得最新技术和产品信息。

目录第1章概述1.1关于天清天清入侵防御系统（Intrusion Prevention System）是启明星辰信息技术自行研制开发的入侵防御类网络安全产品。

天清入侵防御系统围绕深层防御、精确阻断这个核心，通过对网络中深层攻击行为进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全。

启明星辰坚信，不了解黑客技术的最新发展，就谈不上对黑客入侵的有效防。

为了了解黑客活动的前沿状况，把握黑客技术的动态发展，深化对黑客行为的本质分析，预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段，启明星辰专门建立了积极防御实验室(V-AD-LAB)，通过持续不断地研究、实践和积累，逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑，如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。

20120425_天清NIPS_主打胶片

•
具备专业的反躲避、抗变形攻击能力
多途径传播完整的协议分析上千种应用最详细的协议变量
复杂攻击
多漏洞利用
精确事件定义
公开协议/非公开协议完善的攻击描述语言对攻击和漏洞的研究
多步骤攻击
无缝关联分析
关联分析方法碎片重组会话重组
多变形
变形拟态识别
拟态识别
精确阻断能力达到国际领先水平
精确
深层攻击
• 作好深层防御，需围绕精确阻断为核心来强化及时、高效
层
精确阻断隐藏攻击精确阻断变形攻击保障业务正常精确阻断新攻击
及时
深
精确阻断高效
防
御
评价深层防御能力， IPS的精确阻断水平是关键
精确阻断成为IPS区别于IDS的又一特征
• IPS追求精确阻断，IDS追求有效呈现
– IDS呈现的事件≠ IPS精确阻断的事件 – 异常行为不一定是攻击，IDS需要呈现，但IPS未必阻断
客户/其它厂家 CERT CNCERT/CC CVE CNCVE 图例资源使命人/组织价值
M2S-远程监控
披露信息安全事件
披露漏洞
信息安全博士后工作站攻击特征无法精确定义
研究攻击躲避机理设计抗躲避机制/算法
研究漏洞机理研究新攻击特征
ADLABTM
研发中心
发现新漏洞
基于攻击躲避机理的精确识别程序包在线升级引擎，加载新算法实现精确阻断攻击
办公网内网
IPS精确阻断事件
IDS呈现事件
Internet
解读深层防御，分析关键要素
• 深层分析：精确＋高效； • 在线防御：阻断＋及时 • 精确、及时都依赖专业安全研究

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

第1章概述1.1 关于天清天清入侵防御系统（Intrusion Prevention System）是启明星辰信息技术有限公司自行研制开发的入侵防御类网络安全产品。

启明星辰坚信，不了解黑客技术的最新发展，就谈不上对黑客入侵的有效防范。

启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可，成为国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位.启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪，对重大安全问题成立专项研究小组进行技术攻关，并将发现的漏洞及时呈报给国际CVE（Common Vulnerabilities and Exposures）组织。

目前已有多个漏洞的命名被国际CVE 组织采用，获得了该组织机构唯一的标识号。

天清入侵防御系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧，是您值得信赖的网络安全产品。

1.2 入侵防御首先我们来探讨一个问题：入侵攻击行为包括哪些？什么样的行为可以称为入侵攻击行为？我们来看对入侵行为的标准定义：入侵是指在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠，不可用的故意行为。

通常提到对入侵行为的防御，大家都会想到防火墙。

防火墙作为企业级安全保障体系的第一道防线，已经得到了非常广泛的应用，但是各式各样的攻击行为还是被不断的发现和报道，这就意味着有一类攻击行为是防火墙所不能防御的，比如说应用层的攻击行为。

想要实现完全的入侵防御，首先需要对各种攻击能准确发现，其次是需要实时的阻断防御与响应。

防火墙等访问控制设备没有能做到完全的协议分析，仅能实现较为低层的入侵防御，对应用层攻击等行为无法进行判断，而入侵检测等旁路设备由于部署方式的局限，在发现攻击后无法及时切断可疑连接，都达不到完全防御的要求。

想要实现完全的入侵防御，就需要将完全协议分析和在线防御相融合，这就是入侵防御系统（IPS）：online式在线部署，深层分析网络实时数据，精确判断隐含其中的攻击行为，实施及时的阻断。

1.3 入侵防御系统和入侵检测系统入侵检测系统、入侵防御系统是两款互相独立，但又有着内在联系的安全产品：入侵检测系统以旁路方式部署，监视交换机上的所有实时传输数据，专注的是全面检测、有效呈现，这意味着入侵检测系统是作为安全监督管理工具存在，提供给用户全面的信息展现，为改善用户网络的风险控制环境提供决策依据。

入侵防御系统以在线方式部署，实时分析链路上的传输数据，对隐藏在其中的攻击行为进行阻断，专注的是深层防御、精确阻断，这意味着入侵防御系统是作为安全防御工具存在，解决用户面临的实际应用上的难题，进一步优化用户网络的风险控制环境。

关注点的不同、部署目标的不同决定了两款产品在客户价值上的差异和发展方向上的不同。

对于那些重点关注风险控制，由于风险管理要求不高，对检测和监控无具体要求的行业，使用入侵防御系统就可以很好的满足其安全需求。

对于那些IT设施是其业务运营基础的行业，IT设施的风险将极大影响其经营风险，他们既关注风险管理又关注风险控制，希望通过风险管理不断完善风险控制措施，这种类型的用户需要的是入侵检测和入侵防御相结合的解决方案。

对于只关注风险管理的检测与监控，监督风险控制的改进状况的监督管理机构和部门，防御具体的攻击行为不是其工作的重点，他们需要的是能够全面呈现风险信息的入侵检测系统。

第2章深层防御与精确阻断2.1 深层防御有数据显示，70%以上的攻击行为发生在传输层和应用层之间，我们称这类4-7层上的攻击为深层攻击行为。

深层攻击行为有如下特点：第一：新攻击种类出现频率高，新攻击手段出现速度快。

据美国CERT/CC的统计数据，2006年共收到信息系统漏洞报告8064个，比2005年增长了34.6%，漏洞数量的迅速增长标志着新攻击类型的迅速增长，而在同一份报告中，采用分布式蜜罐技术捕获的新攻击样本数量平均每天有近100个，最多的一天几近700，这意味着平均每天发现100种新的攻击手段，最多的一天发现的新攻击手段可多达700种，这是一个非常惊人的数据。

第二：攻击过程隐蔽。

文件捆绑：打开一份文档，结果执行了一个与文档捆绑的木马程序；文件伪装：可爱的熊猫图片，竟然是蠕虫病毒；跨站脚本攻击：仅仅是访问了一个网站的页面，就被安上了间谍软件。

攻击行为正以越来越可以乱真的面貌出现。

除了深层攻击行为这些自身的特点外，越来越多的业务应用，也增加了判断攻击行为的难度：到底是正常的应用还是是违规的应用呢？如何更好的实现对这些深层攻击的防御，是入侵防御系统需要解决的问题。

深层需要高效和准确，防御则意味着及时的阻断，深层防御需要兼顾两者。

2.2 精确阻断启明星辰认为：深层防御之道，精确阻断为先。

精确阻断是深层防御的先决条件：没有实现对攻击行为的准确判断，误阻断了正常业务或者是没有阻断那些隐藏的、变形的攻击行为，都将给客户带来巨大的损失。

而深层防御也对精确阻断提出了更高的要求：不能对新的攻击行为实现精确的阻断，深层防御就无从谈起。

深层防御、精确阻断，是天清入侵防御系统客户价值的核心。

第3章产品技术特点3.1 串行防御和免疫防护天清入侵防御系统支持串行接入模式，串接在网络当中，以边界防护设备的形式接入网络，任何对受保护网络的访问数据都将穿过防御引擎。

其标准的接入方式如下图所示：和传统入侵检测设备不同的串接模式，加强了实时防御功能。

和传统的边界防护设备防火墙相比，两者的区别如下图所示：在发现攻击行为之后，天清入侵防御系统可以主动的阻断这些攻击行为，对内部网络的系统实现免疫防护。

即使内部系统存在相应的风险漏洞也可以由入侵防御引擎来将实现先于攻击达成的防护。

3.2 高效的数据处理性能天清入侵防御系统有一个显著的特点就是可以支持串行接入模式。

正如很多边界防护设备一样，串行的接入模式需要面对的一个主要问题是如何使设备不成为网络传输的瓶颈。

天清入侵防御系统在原有的高性能报文处理架构之上，还采用了如下技术来确保传输性能：⏹POLL技术：在通常的系统中，数据处理都是采用中断响应机制来进行的。

采用中断在数据包较少的情况下，是一个比较好的解决方案，但在数据量较大的情况下，尤其是在千兆级环境下，处理大量中断所消耗的系统资源是相当可观的，我们在这里采用了轮询方式的poll技术，CPU一直保持工作状态，而并且等待唤醒状态，以节约在大数据量情况下的CPU开销。

在对数据包的转发中采用poll技术，可以确保较低的传输时延。

⏹驱动的内部无锁技术：常见的数据结构有这么三种：堆栈、队列和树。

在不同的情况下，采用不同的数据结构，我们对捕获后的数据的存储方式采用的是环状队列，也就是说，无需等待中断，随时都可以从存储空间中实时获得可进行分析的数据，⏹自适应的CPU负载均衡技术：我们将每一个实际的CPU都虚拟成了多个虚拟的CPU，分别用于处理不同的事务：分别处理中断、检测和通讯等。

以上这三项技术的协同应用，使得天清入侵防御系统在数据包的处理性能方面有着出众的表现。

其微秒级的分析时延，完全可以适应电信级用户网络环境需求。

3.3 权威性的检测特征库启明星辰认为，基于误用的检测方法其核心就是检测特征（signature）的提取，构造一个好的入侵防御系统，依赖于能否准确地提取和描述检测特征。

特别是在串行环境下，明晰而精确的检测特征将会是决定保护措施优劣的重要砝码。

天清入侵防御系统在提炼检测特征的时候采用了如下两种方式：方式A：基于漏洞机理的分析方法。

利用漏洞机理的方法来提取和定义特征，可以实现检测和具体攻击工具的无关性，特别对于防止新型变种的攻击和攻击工具改造非常有效。

方式B：基于攻击过程的分析方法。

攻击过程分析法则是完全站在攻击者的角度，破析完整的攻击过程，可以判断攻击是处在攻击尝试阶段还是已经攻击成功。

另外，天清入侵防御系统中对检测特征的定义都是通过统一的标准化VT++语言来描述，VT++语言的使用，不但保证了特征的快速更新，还向用户提供了便于自行定义检测特征的接口，从而扩充了检测内容和范围。

天清入侵防御系统的检测防御规则库全面兼容CVE和CNCVE，对用户而言，提供了更详细了解网络中发生行为的机会。

3.4 准确的攻击检测能力入侵检测系统对客户带来的价值体现在对攻击和可疑行为的及时发现和主动响应上，而实现及时的发现，就要求入侵检测系统拥有全面的攻击检测能力。

天清入侵防御系统在对数据链路层到应用层的网络数据全面分析的基础之上，融合漏洞分析信息，可以对上报的攻击事件进行事先的预分析，达到精确报警的目的。

此外，天清入侵防御系统采用了启明星辰公司设计并实现的高效协议自识别方法——VFPR (Venus Fast Protocol Recognition)，该协议自识别方法基于协议指纹识别和协议规则验证技术实现，能够在网络协议通信初期根据前期网络报文特征自动识别所属协议类型，并采用预先建立的协议验证规则进一步验证协议识别结果正确性。

VFPR方法包括前期协议样本特征提取和在线协议识别两个阶段，其中，协议样本特征提取阶段包括协议类型样本的协议指纹提取和相应协议验证规则建立过程，协议识别阶段包括协议指纹快速匹配和协议识别结果快速验证等过程方法。

VFPR方法的协议指纹识别过程基于快速哈希表方法实现，而协议验证规则执行过程基于高效的专用网络报文处理虚拟机实现。

通过使用VFPR方法，对于一些采用非常规端口的协议也能实现及时的识别和检测。

3.5 简易便捷的管理部署对于使用网络安全产品的用户而言，简单管理的第一步就是简单的部署方式，天清入侵防御系统遵循了“零更改”的部署原则。

基于这个原则，天清入侵防御系统可以很容易的接入到用户网络当中，并且不会对网络拓扑、应用服务、运营性能造成任何影响。

用户无需设置交换机镜像，而只需将入侵防御引擎透明接入到网络中，便可即时开始对网络的防护。

天清入侵防御系统除了支持标准的单层部署模式外，还支持多级分布式的部署方式。

特别的，对于大规模部署的用户来说，可以按照自身网络的行政业务结构，来部署与之紧密结合的集中监管、统一控制的分级控制体系。