绿盟科技网络入侵防御系统安全解决方案模板

绿盟科技网络入侵防护系统

安全解决方案

■ 文档编号

1.0

■ 密级

公司机密

■ 版本编号

■ 日期

2014-06-20

? DATE \@ "yyyy" 2014 绿盟科技

- PAGE \* ROMAN

- PAGE \* ROMAN I -

目录

TOC \h \z \t "附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题 1（绿盟科技）,1,标题 2（绿盟科技）,2,标题 3（绿盟科技）,3" 一. 现状分析 1

1.1 风险分析 1

1.2 需求分析 2

二. 解决方案 3

2.1 方案技术实现 3

2.2 产品部署方案 3

2.2.1 透明模式 3

2.2.2 混合模式 4

2.3 产品功能及特点 5

2.3.1 主要功能 5

2.3.2 产品特点 8

2.4 主要竞争优势 9

2.4.1 功能优势 9

2.4.2 产品优势 11

三. 方案总结 12

绿盟科技网络入侵防护系统安全解决方案

PAGE

- PAGE 13 -

? DATE \@ "yyyy" 2014 绿盟科技 密级： DOCPROPERTY 密级 请输入文档密级

现状分析

风险分析

由于XXX单位网络连接互联网，网络的使用者既有来自互联网的用户、合作伙伴、网民，也包括来自XXX单位内部的员工，因此XXX单位网络面临来自内、外两个方面的安全威胁。

黑客扫描和渗透攻击

Internet网络中的恶意入侵者可能因为政治、商业目的或随机目的对XXX单位网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入XXX单位网络，获取、篡改甚至破坏敏感的数据，乃至破坏XXX单位的正常业务和生产运行。

病毒或蠕虫侵袭

Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入企业网络；一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。

DDoS/DoS攻击

DDoS攻击出现在10年前，是一种技术含量不高，单攻击效果显著的攻击。由于近些年僵尸网络的发展，DDoS攻击重新成为恶意入侵者的新宠，特别是针对应用层的CC攻击，直接威胁业务系统的可用性。

Web相关攻击

随着系统、软件厂商对安全问题的重视，系统级安全漏洞正在减少，应用层攻击，特别是针对Web系统的攻击成为入侵者的主要攻击手段，例如：SQL注入、XSS跨站脚本、网站挂马等等。

无意识的外部风险引入

XXX单位网络中，由于安全技能和安全意识存在差异，员工可能通过访问挂马网站、下载包含病毒的恶意程序，从而无意识的通过互联网络将Internet上危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、网络病毒传播进入内部网络，这将对XXX单位网络的安全带来严重威胁。

网络资源滥用导致新风险

XXX单位员工因为各种IM即时通讯软件、网络在线游戏、P2P下载软件、在线视频、浏览工作无关网站导致XXX单位网络资源滥用、网络性能下降，严重影响正常工作，形成新的威胁。

网络应用导致合规性问题

随着我国互联网相关法规以及版权保护的重视，XXX单位员工非法下载盗版影视、图书等资料，或外发反动言论等行为，将给XXX单位带来合规性问题，使XXX单位陷入法律纠纷。

IPV6所带来的安全问题

IPv6已是大势所趋，IPv6的使用会带来一些独特的安全难题，如何在保证业务 正常运营的前提下安全平滑过渡以及保证安全防护在IPv4网络和IPv6网络上均实现无缝稳定地运行，是单位十分头疼的问题，

需求分析

在XXX单位网络中，防火墙作为安全保障体系的第一道防线，防御黑客攻击。但作为工作在三层以下的访问控制设备，防火墙无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。而且有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。因此，如何识别XXX单位网络中的攻击行为成为了当务之急。

现在的网络应用越来越丰富，BT、电驴等P2P下载软件轻易的占据100%的单位网络带宽，一些新的病毒以IM、P2P软件为传播通道，这都对单位网络的安全带来严重威胁。因此有效控制单位网络资源的使用，已列入单位管理者的议事日程。

根据对XXX单位网络系统互联网出口的威胁和风险分析，信息安全需求主要在以下方面：

防御来自外部的威胁，阻止蠕虫、网络病毒、间谍软件和黑客攻击对XXX单位网络造成的安全损失，提高XXX单位网络的整体抗攻击能力；

防御来自内部的威胁，阻止蠕虫、网络病毒爆发对XXX单位网络的破坏，保障XXX单位网络的正常运行，同时有效防范XXX单位机密信息外泄等安全事故的发生；

有效控制XXX单位网络资源滥用，阻止XXX单位员工因为各种IM即时通讯软件、P2P下载、网络在线游戏、在线视频而影响正常工作，通过净化流量，为网络加速。

实时发现和阻止蠕虫、网络病毒爆发对内网服务器区的影响，保障XXX单位网络信息系统的正常运行；

实时发现和防御内部员工的非法扫描和渗透攻击，并记录违规操作，保障敏感信息的机密性和完整性；

解决方案

方案技术实现

本方案通过部署绿盟下一代网络入侵防护系统（以下简称“NSFOCUS NIPS（N系列）”）准确监测网络异常流量，自动应对各层面安全隐患，第一时间将安全威胁阻隔在XXX单位网络外部。绿盟下一代网络入侵防护系统是绿盟科技拥有完全自主知识产权的新一代安全产品，作为一种在线部署的产品这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御。为应对新型攻击带来的威胁，从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测和防护，为XXX单位提供了一个看得见、检得出、防得住的全新入侵防护解决方案。

产品部署方案

（本部分内容根据具体项目所采用的部署方式进行选择并修改）

透明模式

绿盟科技入侵防护系统提供多链路防护的解决方案，在XXX单位网络出口处部署一台绿盟网络入侵防护系统，采用多路NIPS（N系列）的部署方式：

NSFOCUS NIPS（N系列）支持多路NIPS（N系列）部署，每路NIPS（N系列）单独防护一个ISP接入链路，一台NSFOCUS NIPS（N系列）可以同时防护多条链路，节约客户投资；

NSFOCUS NIPS（N系列）的各路NIPS（N系列）是相互独立的，彼此之间没有数据交换，互不干扰，保证了各链路流量的自身安全；

NSFOCUS NIPS（N系列）实时监测各种流量，提供从网络层、应用层到内容层的深度安全防护。

NSFOCUS NIPS（N系列）透明模式

混合模式

大型企业的网络规模很大，结构相对复杂，不仅有总部，还有各地的分支机构，既要保护网络边界的安全，同时又要保护企业内网的安全。

针对大型企业网络特点，绿盟科技网络入侵防护系统提供混合防护的解决方案：

在总部互联网出入口处在线部署NSFOCUS NIPS（N系列），实现路由防护，提供互联网的从网络层、应用层到内容层的深度安全防护；

在总部内部网段之间以及与分支机构网络之间在线部署NSFOCUS NIPS（N系列），提供透明接入的、独立多路NIPS（N系列）一进一出的、交换式NIPS（N系列）多进多出的全方位、立体式的安全防护体系，实现内网的安全区域划分和控制；

在企业服务器区旁路部署NSFOCUS NIPS（N系列），相当于入侵检测系统，监测、分析服务器区的安全状况，保护服务器安全；

通过一个绿盟安全中心，实现对全网NIPS（N系列）设备的集中管理、安全信息的集中分析和处理，有效解决企业面临的安全问题，提高投资回报率。

NSFOCUS NIPS（N系列）混合模式

产品功能及特点

主要功能

NSFOCUS NIPS（N系列）是网络入侵防护系统同类产品中的精品典范，该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的Web信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。

广泛精细的攻击检测和防御能力

NSFOCUS NIPS（N系列）主动防御已知和未知攻击，实时阻断各种黑客攻击，如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、僵尸网络等，广泛精细的应用防护帮助客户避免安全损失。NSFOCUS NIPS（N系列）同时具备全面阻止木马后门、广告软件、间谍软件等恶意程序下载和扩散的功能，有助于企业降低IT成本、防止潜在的隐私侵犯和保护机密信息。

先进的Web威胁抵御能力

越来越多的病毒、木马等恶意代码将基于HTTP方式传播，新一代的Web威胁具备混合性、渗透性和利益驱动性，成为当前增长最快的风险因素。员工对互联网的依赖性使得企业网络更容易受到攻击，导致用户信息受到危害，对公司数据资产和关键业务构成极大威胁。

NSFOCUS NIPS（N系列）内置先进、可靠的Web信誉机制，采用独特的Web信誉评价技术和URL过滤技术，在用户访问被植入木马的页面时，给予及时报警和阻断，能够有效抵御Web安全威胁渗入企业内网，防止潜在的隐私侵犯，保护企业机密信息。

IP碎片重组与TCP流汇聚

NSFOCUS NIPS（N系列）具有强大的IP碎片重组、TCP流汇聚，以及数据流状态跟踪等能力，能够检测到黑客采用任意分片方式进行的攻击。

虚拟补丁

NSFOCUS NIPS（N系列）提供“虚拟补丁”功能，在紧急漏洞出现而系统仍不具备有效补丁解决方案时，为客户提供实时防御，增强了客户应对突发威胁的能力，在厂商就新漏洞提供补丁和更新之前确保企业信息系统的安全。

强大的D.o.S攻击防护能力

NSFOCUS NIPS（N系列）能够全面抵御ICMP Flood、UDP Flood、ACK Flood等常见的D.o.S攻击，阻挡或限制未经授权的应用程序触发的带宽消耗，极大限度地减轻D.o.S攻击对网络带来的危害。

基于应用的流量管理

NSFOCUS NIPS（N系列）智能识别并分类各类应用后，通过流量许可和优先级控制，阻断一切非授权用户流量，管理合法网络资源的利用，使得网络中不同类型的流量具有更合理的比例和分布，并结合最小带宽保证，及最大带宽和会话限制，有效保证关键应用全天候畅通无阻。

用户身份识别与控制功能

NSFOCUS NIPS（N系列）提供了用户身份识别与基于用户身份的访问控制功能，可以有效解决用户网内漫游带来的越权访问。传统NIPS产品基于IP地址进行访问控制，当非授权子网用户将终端接入到授权子网并配置为授权子网IP地址后即可访问和使用非授权的网络资源。结合NSFOCUS NIPS（N系列）产品丰富的应用识别能力，可实现细粒度访问控制。

基于用户身份的行为分析

NSFOCUS NIPS（N系列）在用户身份识别、应用识别的基础上，将用户身份、业务系统、地理位置、操作频次等多种与操作相关的网络环境信息进行关联分析，建立企业网络白环境，准确识别用户异常行为。

高品质的报表事件

NSFOCUS NIPS（N系列）事件过滤系统支持采用攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志，仅记录相关的攻击告警事件，极大地减小了攻击告警的数量，提高了对于高风险攻击的反应速度。

实时日志归并

NSFOCUS NIPS（N系列）归并引擎由规则驱动，可以执行任意粒度的日志归并动作，完全避免Stick此类Anti-NIPS（N系列）攻击。

多点备份

NSFOCUS NIPS（N系列）的探测引擎可以将攻击告警日志，实时发送到多个绿盟安全中心或日志数据库保存，避免因为数据损坏或丢失而导致系统不可用的事故发生。

产品特点

全新的高性能软硬件架构

NSFOCUS NIPS（N系列）采用了全新的硬件平台，全新底层转发模块、多核架构和新一代的全并行流检测引擎技术，新平台和新架构的引入，优化了产品的功能，使处理性能较原来有了大幅度提升。同时大部分配置都是应用配置生效。增强了对客户业务的连续性支持。

更精细的应用层安全控制

NSFOCUS NIPS（N系列）采用流检测技术对各类应用进行深入分析，搭建应用协议识别框架，准确识别大部分主流应用协议，可以对基于应用识别的应用进行精细粒度的管理，能够很好的对这些应用安全漏洞和利用这些漏洞的攻击进行检测和防御。

全面支持IPv6

双协议栈(dual stack)架构，支持IPv6/IPv4双协议栈功能，能同时辨识IPv4和IPv6通讯流量。多种隧道模式的支持，确保IPv6过渡时代的网络通畅。IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略，为IPv6环境提供了有力的入侵防护。

虚拟系统（VIPS）

NSFOCUS NIPS（N系列）提供基于对象的虚拟系统（VIPS），针对不同的网络环境和安全需求，基于对象制定不同的规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象、实现不同策略的智能化入侵防护。

虚拟IPS功能实现示意图

安全可靠的系统平台

NSFOCUS NIPS（N系列）采用安全、可靠的硬件平台，全内置封闭式结构，配置完全自主知识产权的专用系统，经过优化和安全性处理，稳定可靠。系统内各组件通过强加密的SSL安全通道进行通讯防止窃听，确保了整个系统的安全性和抗毁性。

主要竞争优势

功能优势

2~7层双向深度入侵防御

? 服务器防护：阻断针对服务器的扫描、溢出、DoS、SQL注入、跨站脚本等各种攻击；

? 客户端防护：阻断针对访问互联网客户端的网站挂马等攻击，有效防范APT攻击；

精细带宽控制

阻断非授权流量、管理合法资源，保障关键应用畅通，提升IT产出率和收益率。

丰富上网行为管理

管控聊天软件、P2P下载、网络游戏、在线视频、在线炒股等网络行为，减少恶意资软件下载风险，提高工作效率。

多种技术融合的入侵检测机制

以全面深入的协议分析为基础，融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析，以及状态防火墙等多种技术，为客户提供从网络层、应用层到内容层的深度安全防护。

先进的Web威胁抵御能力、

内置先进、可靠的Web信誉机制，采用独特的Web信誉评价技术和URL过滤技术，在用户访问被植入木马的页面时，给予及时报警和阻断，能够有效抵御Web安全威胁渗入企业内网，防止潜在的隐私侵犯，保护企业机密信息。

基于对象的虚拟系统

提供基于对象的虚拟系统（VIPS），针对不同的网络环境和安全需求，基于对象制定不同的规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象、实现不同策略的智能化入侵防护。

灵活的组网方式

支持五种安全区模式：透明（Layer2）、路由（Layer3）、监听（Monitor）、直通（Direct）、管理（Mgt），能够快速部署在各种网络环境中。

强大的管理能力

支持灵活的Web管理方式，适合在任何IP可达地点远程管理，支持三种管理模式：单级管理、多级管理、主辅管理，满足不同企业不同管理模式需要。

高可靠的自身安全性

采用安全、可靠的硬件平台，全内置封闭式结构，配置完全自主知识产权的专用系统，经过优化和安全性处理，稳定可靠。系统内各组件通过强加密的SSL安全通道进行通讯防止窃听，确保了整个系统的安全性和抗毁性。

产品优势

产品成熟

做的最早，应用最多，市场占有率第一。

2005年发布国内第一款具有完全自主知识产权的IPS产品，比国内其他产品早了2年；

已有几千台设备大规模广泛应用在政府、军工、金融、能源、企业、教育科研等众多用户网络中；

2006~2010连续5年进入IDC定义的国内 \o "IPS"IPS领导者行列；2011年上半年以19.3%的市场占有率连续3年（2009年16.8%，2010年17.5%）稳居中国大陆市场综合排名第一（所有国内、国外品牌统一计算）；

Frost&Sullivan亚太区（含日本）2010年网络安全市场报告，绿盟科技位居入侵检测防御市场第三名（IBM第一、McAfee第二）；

2009~2011连续3年获得Frost&Sullivan颁发的中国IDS/IPS市场“增长战略领导者奖”和“市场领导者奖”。

技术领先

2010年3月通过国际最权威的IPS产品评测机构NSS Labs在检测率、性能、可靠性方面的严苛测试，获得亚太区唯一、全球第四个Recommend最高级别认证（McAfee、IBM ISS、Sourcefire）。

服务贴心

针对IPS产品特殊性，绿盟科技在提供更新、保险等基本服务外，还提供了远程协助、上门支持、安全通报、信息快递、先行替换等多项贴心服务；

绿盟科技的“技术-销售”人员配比在国内是最高的，可以到达1:1，甚至更高；而国内其他公司的“技术-销售”配比通常是1:3，甚至更低。

深厚技术底蕴

2000年开始从事入侵检测技术、攻防技术研究，并发布首款IDS产品；

第一个获得中国信息安全测评中心EAL3级别认证的入侵防护类产品；

国内发布自主研究安全漏洞最多的安全公司，超过40个（48个）自主发掘漏洞被国际CVE组织收录；

拥有国内第一个数目超过19,000条的纯中文漏洞信息库；

国内第一家对国外安全产品厂商提供入侵检测技术出口的安全公司；

方案总结

作为下一代入侵防护，绿盟入侵防护给XXX单位客户带来以下价值：

全面深度的入侵阻断

实时发现和阻断来自Internet的蠕虫、病毒、间谍软件和黑客等攻击和入侵，防止黑客带来的安全损失；

实时发现和阻断企业内部人员通过Internet对其他网络实施攻击和破坏；

实时发现和阻断企业内部蠕虫、网络病毒的大规模爆发；

高性能—保证您的业务畅通

采用多核硬件平台保障业务无阻交互

独有的智能协议识别技术准确识别各类复杂应用

高可靠性—保证您的业务可连续性

采用成熟的VRRP高可靠性协议，保障用户高可靠性。

可稳定运行于透明，路由，NAT等多种网络环境。

多功能—节省您的采购成本

防火墙结合IPS、抗拒绝服务功能构建安全企业边界

网关杀毒和反垃圾邮件提供企业绿色网络环境

集成多类VPN满足多分支和漫游办公环境，安全方便

上网可控—提高您的网络使用率

实时阻断访问非法和恶意网站，降低内网风险

包含P2P控制的上网行为管理、内容过滤为关键业务提供带宽保障、合规管理

可与绿盟内网安全管理系统协同实现网关准入

易管理—降低您的维护成本

简单易用，快速上手

分布部署集中管理，节省维护开销