【51CTO.com 獨家特稿】入侵防御系統(tǒng)方案

入侵是指在非授權(quán)的情況下，試圖存取信息、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠，不可用的故意行為。

通常提到對入侵行為的防御，大家都會想到防火墻。防火墻作為企業(yè)級安全保障體系的第一道防線，已經(jīng)得到了非常廣泛的應(yīng)用，但是各式各樣的攻擊行為還是被不斷的發(fā)現(xiàn)和報道，這就意味著有一類攻擊行為是防火墻所不能防御的，比如說應(yīng)用層的攻擊行為。

想要實現(xiàn)完全的入侵防御，首先需要對各種攻擊能準(zhǔn)確發(fā)現(xiàn)，其次是對攻擊進行實時的阻斷與響應(yīng)。防火墻等訪問控制設(shè)備沒有能做到完全的協(xié)議分析，僅能實現(xiàn)較為低層的入侵防御，對應(yīng)用層的攻擊以及其他非法行為無法進行判斷，而入侵檢測等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無法及時切斷可疑連接，都達不到完全防御的要求。

想要實現(xiàn)完全的入侵防御，就需要將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（IPS）：online式在線部署，深層分析網(wǎng)絡(luò)實時數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實施及時的阻斷。

基于趙明的需求，我們推薦趙明使用啟明星辰的天清IPS系統(tǒng)來解決問題。

趙明網(wǎng)站入侵防護系統(tǒng)IPS的部署

本次部署的網(wǎng)絡(luò)入侵防護系統(tǒng)位于Web主備服務(wù)器之前，Web服務(wù)器區(qū)的數(shù)據(jù)是最安全敏感的數(shù)據(jù)，安全級別最高，所以部署IPS首先考慮服務(wù)器區(qū)。

產(chǎn)品部署網(wǎng)絡(luò)拓?fù)鋱D如下：  

天清入侵防御部署圖

天清入侵防御功能分析

天清入侵防御系統(tǒng)（Intrusion Prevention System）是啟明星辰自行研制開發(fā)的入侵防御類網(wǎng)絡(luò)安全產(chǎn)品，圍繞深層防御、精確阻斷這個核心，通過對網(wǎng)絡(luò)中深層攻擊行為進行準(zhǔn)確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效的保護網(wǎng)絡(luò)的安全。

天清入侵防御系統(tǒng)（IPS）融入了啟明星辰公司在入侵攻擊識別方面的積累和研究成果，使其在精確阻斷方面達到國際領(lǐng)先水平，不僅可以對網(wǎng)絡(luò)蠕蟲、間諜軟件、溢出攻擊、數(shù)據(jù)庫攻擊等多種深層攻擊行為進行主動阻斷，而且能夠有效的防御像SQL注入、跨站腳本攻擊這些針對應(yīng)用業(yè)務(wù)的攻擊行為，彌補了其它安全產(chǎn)品深層防御效果的不足。   

◆WEB業(yè)務(wù)安全主動檢測，全面、專業(yè)

天清入侵防御系統(tǒng)提供創(chuàng)新的主動式WEB業(yè)務(wù)安全檢查，整合多種專業(yè)檢查工具的自動化檢測平臺和專業(yè)安全服務(wù)團隊，及時、全面的檢測和呈現(xiàn)網(wǎng)頁木馬和WEB漏洞，并提供補救措施。檢測過程無需客戶參與，網(wǎng)絡(luò)調(diào)整或者網(wǎng)絡(luò)割接，節(jié)約WEB業(yè)務(wù)安全運維成本。 

◆WEB業(yè)務(wù)深層防御能力出眾

近年來應(yīng)用系統(tǒng)的WEB化程度的提高，針對WEB安全的威脅，如SQL注入、跨站腳本等攻擊行為也層出不窮。由于這類攻擊多依托于正常的開放協(xié)議，且變種多樣，使得普通的安全產(chǎn)品無法實現(xiàn)全面、準(zhǔn)確的防御。天清入侵防御系統(tǒng)采用專利技術(shù)算法，對SQL注入、跨腳本攻擊等針對WEB業(yè)務(wù)的攻擊行為有很好的判斷和防御能力，和傳統(tǒng)學(xué)術(shù)界以及產(chǎn)業(yè)界的技術(shù)相比，可以做到無誤報，無漏報。 

◆精確阻斷達到國際領(lǐng)先水平

天清入侵防御系統(tǒng)融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，不但有效提高了對各種深層攻擊行為的識別能力，而且對攻擊變種、異形攻擊等無法通過特征判斷的攻擊行為也能實現(xiàn)精確阻斷。 

◆在線部署，高效可靠

天清入侵防御系統(tǒng)是以透明方式串行部署于網(wǎng)絡(luò)中, 通過虛擬引擎技術(shù)可以實現(xiàn)多策略防護。通過軟、硬件雙Bypass功能，即使在最惡劣的情況下，天清入侵防御系統(tǒng)也不會成為網(wǎng)絡(luò)的故障點。天清入侵防御系統(tǒng)通過合理分配資源、CPU與任務(wù)綁定等技術(shù)，大幅提升了系統(tǒng)的性能，其微秒級時延和千兆高吞吐量可滿足電信級業(yè)務(wù)的應(yīng)用。 

◆綜合管理，易用、易查

天清入侵防御系統(tǒng)同時支持遠程登錄管理和集中拓?fù)涔芾砟Ｊ剑峁┫驅(qū)降牟呗耘渲霉芾?，可根?jù)需求靈活調(diào)整保護策略，達到最佳防御效果，并提供對歷史記錄信息細(xì)致的查詢分析功能。  

◆支持在線更新，防御最新威脅

天清入侵防御系統(tǒng)可通過在線自動升級，增加對最新威脅的防御能力。

天清入侵防御技術(shù)優(yōu)勢  

◆高效的數(shù)據(jù)處理性能

正如很多邊界防護設(shè)備一樣，串行的接入模式需要面對的一個主要問題是如何使設(shè)備不成為網(wǎng)絡(luò)傳輸?shù)钠款i。天清入侵防御系統(tǒng)采用了如下先進技術(shù)確保其具有高效的傳輸性能:

POLL技術(shù)：在通常的系統(tǒng)中，數(shù)據(jù)處理都是采用中斷響應(yīng)機制來進行的。采用中斷在數(shù)據(jù)包較少的情況下，是一個比較好的解決方案，但在數(shù)據(jù)量較大的情況下，尤其是在千兆級環(huán)境下，處理大量中斷所消耗的系統(tǒng)資源是相當(dāng)可觀的，我們在這里采用了輪詢方式的POLL技術(shù)，CPU一直保持工作狀態(tài)，而并且等待喚醒狀態(tài)，以節(jié)約在大數(shù)據(jù)量情況下的CPU開銷。在對數(shù)據(jù)包的轉(zhuǎn)發(fā)中采用POLL技術(shù)，可以確保較低的傳輸時延。

驅(qū)動的內(nèi)部無鎖技術(shù)：常見的數(shù)據(jù)結(jié)構(gòu)有這么三種：堆棧、隊列和樹。在不同的情況下，采用不同的數(shù)據(jù)結(jié)構(gòu)，我們對捕獲后的數(shù)據(jù)的存儲方式采用的是環(huán)狀隊列，也就是說，無需等待中斷，隨時都可以從存儲空間中實時獲得可進行分析的數(shù)據(jù)。

自適應(yīng)的CPU負(fù)載均衡技術(shù)：我們將每一個實際的CPU都虛擬成了多個虛擬的CPU，分別用于處理不同的事務(wù)：分別處理中斷、檢測和通訊等。

以上這三項技術(shù)的協(xié)同應(yīng)用，使得天清入侵防御系統(tǒng)在數(shù)據(jù)包的處理性能方面有著出眾的表現(xiàn)。其微秒級的分析時延，完全可以適應(yīng)電信級用戶網(wǎng)絡(luò)環(huán)境需求。 

◆權(quán)威性的檢測特征庫

基于誤用的檢測方法要達到精確檢測其核心之一就是檢測特征（signature）提取的準(zhǔn)確性，構(gòu)造一個好的入侵防御系統(tǒng)，依賴于能否準(zhǔn)確地提取和描述檢測特征。特別是在串行環(huán)境下，明晰而精確的檢測特征將會是決定保護措施優(yōu)劣的重要砝碼。

天清入侵防御系統(tǒng)在提煉檢測特征的時候采用了如下兩種方式：

方式A：基于漏洞機理的分析方法。

利用漏洞機理的方法來提取和定義特征，可以實現(xiàn)檢測和具體攻擊工具的無關(guān)性，特別對于防止新型變種的攻擊和攻擊工具改造非常有效。

方式B：基于攻擊過程的分析方法。

攻擊過程分析法則是完全站在攻擊者的角度，破析完整的攻擊過程，可以判斷攻擊是處在攻擊嘗試階段還是已經(jīng)攻擊成功。

另外，天清入侵防御系統(tǒng)中對檢測特征的定義都是通過統(tǒng)一的標(biāo)準(zhǔn)化VT++語言來描述，VT++語言的使用，不但保證了特征的快速更新，還向用戶提供了便于自行定義檢測特征的接口，從而擴充了檢測內(nèi)容和范圍。

天清入侵防御系統(tǒng)的檢測防御規(guī)則庫全面兼容CVE和CNCVE，對用戶而言，提供了更詳細(xì)了解網(wǎng)絡(luò)中發(fā)生行為的機會。 

◆準(zhǔn)確的攻擊檢測能力

天清入侵防御系統(tǒng)在對數(shù)據(jù)鏈路層到應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)全面分析的基礎(chǔ)之上，融合漏洞分析信息，可以對上報的攻擊事件進行事先的預(yù)分析，達到精確報警的目的。

此外，天清入侵防御系統(tǒng)采用了啟明星辰公司設(shè)計并實現(xiàn)的高效協(xié)議自識別方法——VFPR (Venus Fast Protocol Recognition)，該協(xié)議自識別方法基于協(xié)議指紋識別和協(xié)議規(guī)則驗證技術(shù)實現(xiàn)，能夠在網(wǎng)絡(luò)協(xié)議通信初期根據(jù)前期網(wǎng)絡(luò)報文特征自動識別所屬協(xié)議類型，并采用預(yù)先建立的協(xié)議驗證規(guī)則進一步驗證協(xié)議識別結(jié)果正確性。 

◆靈活的安全策略管理

天清入侵防御系統(tǒng)采用基于策略的防護方式，內(nèi)置了多種默認(rèn)安全策略集，用戶可以根據(jù)需要選擇最適合自己需要的策略，以達到最佳防護效果。

除了默認(rèn)的安全策略集外，天清入侵防御系統(tǒng)還提供了向?qū)降牟呗怨芾矸绞剑诓呗约g還可實現(xiàn)與、或、并、交等邏輯操作，便于用戶自定義選擇最佳安全策略。

典型部署

天清入侵防御系統(tǒng)提供了即插即用的部署方式，無須更改拓?fù)浣Y(jié)構(gòu)就可為網(wǎng)絡(luò)提供充分防護。  

◆單級部署模式：

將入侵防御系統(tǒng)部署在區(qū)域邊界，提供有針對性的重點防護。

◆多級部署模式：

跨地域部署入侵防御系統(tǒng)，通過互聯(lián)網(wǎng)實現(xiàn)遠程分級防御、統(tǒng)一管理、集中上報。