聯想網御IPS入侵防護系統(tǒng)產品白皮書

1、聯想網御ips入侵防護系統(tǒng)產品白皮書聯想網御ips入侵防護系統(tǒng)產品白皮書v2.0聯想網御科技（北京）有限公司版權信息版權所有 20012007，聯想網御科技(北京)有限公司本文檔中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬聯想網御科技(北京)有限公司所有，受國家有關產權及版權法保護。如何個人、機構未經聯想網御科技(北京)有限公司的書面授權許可，不得以任何方式復制或引用本文檔的任何片段。商標信息聯想網御，legend，lenovo，leadsec等標識及其組合是聯想網御科技(北京)有限公司擁有的商標，受商標法和有關國際公約的保護。第三方信息本文檔中所涉及

2、到的產品名稱和商標，屬于各自公司或組織所有。聯想網御科技（北京）有限公司lenovo security technologies inc.北京市海淀區(qū)中關村南大街6號中電信息大廈8層 1000868/f zhongdian information tower no.6 zhongguancun south street, haidian district, beijing電話(tel)真(fax)術熱線(customer hotline)子信箱(e-mail)：infosec公司網站：目 錄1、序言42、聯想網

3、御解決方案ips入侵防護系統(tǒng)74、聯想網御ips入侵防護系統(tǒng)系列產品介紹74.1簡介74.2系統(tǒng)架構84.3工作模式95、聯想網御ips入侵防護系統(tǒng)產品特點95.1聯想網御ips入侵防護系統(tǒng)專用操作系統(tǒng)的特點和優(yōu)點105.2聯想網御ips入侵防護系統(tǒng)內容處理硬件體系結構135.2.1硬件體系結構簡介135.2.2內容處理加速引擎155.2.3在聯想網御ips入侵防護系統(tǒng)結構中的高可靠性165.3結論176、聯想網御ips入侵防護系統(tǒng)主要功能176.1 動態(tài)入侵防護/保護176.2防病毒206.3高可靠性（ha）206.4管理功能211、序言近幾年來，隨著信息化建設的飛速發(fā)展，信息安全的內容也越

4、來越廣泛，用戶對安全設備和安全產品的要求也越來越高。盡管防火墻、ids等傳統(tǒng)安全產品在不斷的發(fā)展和自我完善，但是道高一尺魔高一丈，黑客們不僅專門針對安全設備開發(fā)各種工具來偽裝攻擊、逃避檢測，在攻擊和入侵的形式上也與應用相結合越來越緊密。這些都使傳統(tǒng)的安全設備在保護網絡安全上越來越難?；旌瞎魩淼男绿魬?zhàn)隨著紅色代碼、nimda等有里程碑式的病毒出現，改寫了病毒形態(tài)和病毒的歷史，病毒已經不再只具有破壞力。新的病毒已經成為黑客的攻擊和入侵手段，借助病毒的傳播方式，黑客們可以輕易地竊取網絡中的敏感數據和信息。黑客程序、木馬、病毒已經有機地結合起來，使之成為黑客攻擊的新工具。同時，木馬、病毒等惡意程序

5、也經常通過郵件、惡意的web網頁（或者被篡改的web網頁）、文件下載等傳播途徑使得病毒的危害范圍和擴散速度加大。這些都給傳統(tǒng)的安全設備帶來新的挑戰(zhàn)。一些老式的防火墻不具備內容檢測的能力，不具備檢測新型的混合攻擊和防護的能力。較新的深度檢測防火墻往往在分片的數據包前一籌莫展,所以傳統(tǒng)的防火墻不具備完備的內容檢測能力，無法做到內容安全過濾。ids設備雖然可以檢測網絡中的攻擊，但是它不能對攻擊行為進行有效的防御和阻斷，ids的大量誤報也使得管理員難以從大量的日志中找出有價值的信息。桌面防病毒軟件防護對象是終端，往往需要使用者的對操作系統(tǒng)和其軟件都有較高的操作水平，并且防病毒軟件往往會限制用戶一些正常

6、操作，為了突破限制用戶會不得不關閉防毒軟件，這些都使得防病毒軟件實施的效果受到了很大的影響，所以不能保障網絡的安全。什么是ipsips是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護方法之后的新一代安全保障技術。它監(jiān)視計算機系統(tǒng)或網絡中發(fā)生的事件，并對它們進行分析，以尋找危及信息的機密性、完整性、可用性或試圖繞過安全機制的入侵行為并進行有效攔截。（ips）就是自動執(zhí)行這種監(jiān)視和分析過程，并且執(zhí)行阻斷的硬件產品。防火墻的局限性防火墻是阻止黑客攻擊的一種有效手段，但隨著攻擊技術的發(fā)展，這種單一的防護手段已不能確保網絡的安全，它存在以下的弱點和不足：1. 防火墻無法阻止內部人員所做的攻擊防火墻保護的是網絡

7、邊界安全，對在網絡內部所發(fā)生的攻擊行為無能為力，而據調查，網絡攻擊事件有60%以上是由內部人員所為。2. 防火墻對信息流的控制缺乏靈活性防火墻是依據管理員定義的過濾規(guī)則對進出網絡的信息流進行過濾和控制的。如果規(guī)則定義過于嚴格，則限制了網絡的互連互通；如果規(guī)則定義過于寬松，則又帶來了安全隱患。防火墻自身無法根據情況的變化進行自我調整。3. 在攻擊發(fā)生后，利用防火墻保存的信息難以調查和取證在攻擊發(fā)生后，能夠進行調查和取證，將罪犯繩之以法，是威懾網絡罪犯、確保網絡秩序的重要手段。防火墻由于自身的功能所限，難以識別復雜的網絡攻擊并保存相關的信息。為了確保計算機網絡安全，必須建立一整套的安全防護體系，進

8、行多層次、多手段的檢測和防護。入侵防護系統(tǒng)就是安全防護體系中重要的一環(huán)，它能夠及時識別網絡中發(fā)生的入侵行為并實時報警并且進行有效攔截防護。需要說明的是，雖然目前很多防火墻都集成有入侵防護模塊，但由于技術和性能上的限制，它們通常只能檢測少數幾種簡單的攻擊，無法與專業(yè)的入侵防護系統(tǒng)相比。專業(yè)入侵防護系統(tǒng)所具有的實時性、動態(tài)檢測和主動防御等特點，彌補了防火墻等靜態(tài)防御工具的不足。為什么要使用入侵防護系統(tǒng)對于一個行之有效的安全解決方案，它必須考慮當前在應用和安全上的挑戰(zhàn)。這些挑戰(zhàn)包括： 1) 對分布式應用的依賴性不斷增強 各個機構日益依賴基于web的應用和業(yè)務級的分布式應用來開展業(yè)務。分支機構和生產部

9、門也會通過廣域網從遠程訪問crm和erp等關鍵應用。 2) 網絡化應用容易受到攻擊 由于80、139等端口通常是打開的，因此如果不對借助這些端口穿越防火墻進入網絡的流量進行檢測，網絡化應用將非常容易遭到病毒、入侵、蠕蟲和dos等形式的攻擊。為保護網絡化應用的安全，需要對所有流量進行深入的數據包檢測，以實時攔截攻擊，并且防止安全性侵害進入網絡并威脅各個應用。 3) 呈爆炸性增長的攻擊 應用攻擊的數量和嚴重性都在飛快地增長，僅2003年就出現了4200多種攻擊形式，而且這一數字每年都會翻一番。 4) 相應地，這些攻擊造成的損失也呈直線上升趨勢。據報道，2003年8月成為it歷史上最糟的一個月。在該

10、月，僅sobig病毒就在全球造成了297億美元的經濟損失。 5) 當前的安全工具無法攔截這些攻擊 在應用層的攻擊面前，防火墻、ids以及防病毒網關等現有的安全工具缺乏相應的處理能力、性能和應用安全智能，從而使各個機構暴露無遺。 因此，一種能用數千兆位的速度對所有流量進行雙向掃描并且可以實時防范各種應用層攻擊（比如蠕蟲、病毒、木馬和dos攻擊）的內置安全解決方案，無疑已成為當務之急。 聯想網御ips入侵防護系統(tǒng)在業(yè)內首先提供了以快速防范入侵和拒絕服務攻擊的產品。該產品可以實時地隔離、攔截和阻止各種應用攻擊，從而為所有網絡化應用、用戶和資源提供了直接保護。2、聯想網御解決方案ips入侵防護系統(tǒng)針對

11、以上的各種不安全以及難以管理的因素，網御ips入侵防護系統(tǒng)作為信息安全的新一代門戶，就應運而生了。自2001年聯想網御開始研發(fā)帶入侵防御系統(tǒng)模塊的防火墻以來，經過不斷地努力，在2007年第一季度我們即將實現聯想ips入侵防護系統(tǒng)產品上市的夢想。在眾多國內乃至全球安全廠商中，聯想網御是研發(fā)ips入侵防護系統(tǒng)產品的領跑者，在2002年就取得多項該領域的技術專利。 聯想網御通過對入侵防護、防火墻的整合和改良，使ips入侵防護系統(tǒng)產品可以很好地防御目前流行的混合型數據攻擊的威脅。這些特性和技術使得it管理人員可以很容易地控制如instant message信息和p2p應用的傳輸，并且阻斷來自內部的數據

12、攻擊以及垃圾數據流的泛濫。同時，設備可以支持動態(tài)的行為特征庫更新，更具備7層的數據包檢測能力。完全克服了目前市場上深度包檢測的技術弱點。特別針對分包攻擊的內容效果明顯。 為了突破硬件平臺限制，聯想網御采用專用的asic芯片來完成對網絡數據包的內容檢測，打破了傳統(tǒng)防火墻內容處理障礙 ，提供了實時入侵防護功能所需的強大計算處理功能。4、聯想網御ips入侵防護系統(tǒng)系列產品介紹4.1簡介作為國內領先的專業(yè)的防火墻/vpn廠商，聯想網御在服務用戶的過程中，很早就認識到傳統(tǒng)安全設備的局限性。早在2001年，我們在國內率先推出集防火墻、防病毒、ids功能于一身的產品，并申請了發(fā)明專利（專利號: 011091

13、789）。近年來一直在技術上努力創(chuàng)新，針對多安全功能整合、并行處理等方面進行軟件體系結構的改進和優(yōu)化，并尋找合適的高性能硬件平臺。同時，由于ips入侵防護系統(tǒng)涉及技術非常全面，既有網絡層、傳輸層安全也有應用層安全技術，既有軟件技術也有硬件技術，不可能由一家公司獨立完成，必須廣泛合作，尤其是和業(yè)界領先廠商合作。2005年，聯想網御專門赴美國硅谷技術考察，并且成功地和多家頂級安全軟硬件廠商展開深入合作。終于在2007年q1成功推出了成熟的ips入侵防護系統(tǒng)產品。目前，聯想網御已經擁有提供業(yè)界最優(yōu)秀ips入侵防護系統(tǒng)產品的能力，產品線覆蓋百兆、千兆ips入侵防護系統(tǒng)。聯想網御ips入侵防護系統(tǒng)產品采

14、用了獨特的高性能、高安全性、高可靠性的操作系統(tǒng)，提高了自身安全性的同時，加速了多線程的內容處理，為運行在其上層的防火墻、vpn、防病毒等安全引擎提供了強大而安全的性能支持。聯想網御ips入侵防護系統(tǒng)使用了專門的asic內容處理加速芯片，大大提高了系統(tǒng)的內容處理能力，為特征匹配，加解密，啟發(fā)式掃描提供了硬件加速。聯想網御ips入侵防護系統(tǒng)在各個安全引擎中運用了新的算法和技術，針對傳統(tǒng)包過濾無法檢測的威脅；針對未知的攻擊行為，使用了實時動態(tài)保護技術。4.2系統(tǒng)架構聯想網御power v ips入侵防護系統(tǒng)主要由硬件平臺、專用操作系統(tǒng)、ips管理服務系統(tǒng)、ips安全引擎等四個部分組成。硬件平臺根據用

15、戶使用環(huán)境的不同，選取專用安全平臺或基于高性能服務器架構進行設計，并且使用專門asic內容處理芯片進行掃描和模式匹配的加速；專用操作系統(tǒng)為自主研發(fā)的高效強化安全的實時嵌入式操作系統(tǒng)；ips安全引擎采用模塊化設計，針對不同的應用環(huán)境和不同的安全策略，可以配置不同的功能模塊。入 侵 防 護cliha報警日志監(jiān)控高效強化安全的操作系統(tǒng)cpuasic內容處理芯片4.3工作模式聯想網御全系列產品均采用聯想網御新一代多安全域設計， ips入侵防護系統(tǒng)系列產品多口的硬件設計可以使多安全域需求得到完全的滿足，完全突破了傳統(tǒng)的內網、外網、?；饏^(qū)的理念，可以根據企業(yè)內部不同的部門設置不同的互通安全規(guī)則，使得不僅在

16、內網與外網的安全得到保障，同時保障了企業(yè)內部不同部門之間的安全需求。聯想網御ips入侵防護系統(tǒng)支持全透明交換工作模式，與網御ips入侵防護系統(tǒng)可連接各個網絡之間構成一個統(tǒng)一的交換式物理子網，子網內部還可以有自己的第二級路由器。除安全管理以外，防火墻本身的工作不需要ip地址，為隱式全透明防火墻。這樣一方面大大降低了防火墻自身受到攻擊的可能性，另一方面也使系統(tǒng)安裝變得十分簡單，不再需要改變原有的網絡拓撲結構和各主機與設備的網絡設置，即不需要重新劃分網段和調整網絡結構。同時強化了對虛擬局域網（vlan）和生成樹協議（stp）的支持。聯想網御ips入侵防護系統(tǒng)同時支持路由工作模式，與網御防火墻powe

17、r v ips入侵防護系統(tǒng)可連接不同的物理網段。防火墻接口可以通過配置別名設備，可以使得一個物理接口上綁定多個ip地址。聯想網御ips入侵防護系統(tǒng)還支持集群工作模式，可以通過多臺防火墻的集群提高整個網絡系統(tǒng)的可靠性，降低出現網絡中斷的風險。5、聯想網御ips入侵防護系統(tǒng)產品特點聯想網御ips入侵防護系統(tǒng)的完善體系結構包括兩大部分：強化安全的專用操作系統(tǒng)和模塊化硬件系統(tǒng)。以下分別介紹這兩大部分5.1聯想網御ips入侵防護系統(tǒng)專用操作系統(tǒng)的特點和優(yōu)點聯想網御ips入侵防護系統(tǒng)操作系統(tǒng)是專用的、實時的強化安全的操作系統(tǒng)，它在全平臺上支持病毒掃描，內容過濾，sateful檢測防火墻，ip安全（ipse

18、c）vpn，基于網絡的ids和流量管理應用。以下介紹其設計特點、應用級和網絡級功能，以及高性能，高可靠性，高靈活性和擴展性。 高性能并行處理聯想網御ips入侵防護系統(tǒng)高端產品設計為雙cpu。 利用對稱多處理技術，有效地分解和協調在雙處理器之間不同的任務。 在任一特定時間， 兩個處理器都負載在最佳的處理水平。 由于利用了專門的算法， 任務切分和協調過程中的消耗減到了最小程度。 實時體系結構與非實時os（例如許多防火墻和設備采用的不同風格的linux）相比，聯想網御ips入侵防護系統(tǒng)操作系統(tǒng)是使數據流程處理達到優(yōu)化的實時操作系統(tǒng)。在非實時os中，核心并不總是對輸入的數據包觸發(fā)的中斷作出及時反應；這

19、不僅使數據包排隊時間增長， 而且造成系統(tǒng)資源（例如內存）不能有效地利用，因而增加了丟包率。聯想網御ips入侵防護系統(tǒng)操作系統(tǒng)的設計集成了智能排隊和管道管理， 與包的到達/處理相關的系統(tǒng)中斷得到立刻的重視。同時，基于內容處理加速模塊的硬件加速使各種類型流量的處理時間達到最小，加上最短的排隊時間，從而給用戶提供了最好的實時系統(tǒng)。 實時內容級智能常規(guī)的安全網關設計有兩類：狀態(tài)包檢測（基于流程的,flow-based）和應用代理（ proxy）。在基于流程的網關中，安全策略是大多在包一級定義和執(zhí)行的（雖然狀態(tài)檢測對一定類型的流量保持會話上下文）。 這種方法因為包在處理后馬上送走, 而導致高處理速度和高

20、吞吐量； 但是， 由于處理是在包一級的， 系統(tǒng)不理解高一級語言，（例如協議）或目標（例如文件），因此不能識別有害的腳本、病毒攻擊、或不想要的內容。相比之下，基于代理的系統(tǒng)，安全網關終斷進入和流出的會話，檢測包，將它們重新組合為原始的數據流，理解會話的當前狀態(tài)，并能夠對預先定義的違規(guī)、或動態(tài)產生的安全或網絡策略進行檢測內容。這種方法有足夠的智能在應用級運作，因而能進行應用級處理。但是，重新組合所有的包和檢測數據流需要耗費大量的計算資源，那會使基于代理的網關變得性能減低許多。聯想網御ips入侵防護系統(tǒng)設計為綜合基于流程的和基于代理的兩者優(yōu)點，而同時又克服它們的弱點。聯想網御ips入侵防護系統(tǒng)設計為

21、具有基于流程的檢測引擎和多應用級代理（http, smtp,pop3, imap等）。專利設計在包檢測和代理之間給出最佳的協調。由內容加速單元提供了基于代理系統(tǒng)的智能，而在性能上達到通常只有基于流程的系統(tǒng)才能達到的水平。結果使聯想網御ips入侵防護系統(tǒng)不僅能達到常規(guī)的網絡級安全, 例如防火墻，vpn和nids，而且能在網絡界面邊緣高速地處理應用級安全功能，例如病毒與蠕蟲掃描、url和關鍵詞內容過濾、跨過防火墻的話音voice over ip (voip)。 完整的投資保護和完整的網絡保護聯想網御ips入侵防護系統(tǒng)專用操作系統(tǒng)設計的另一個優(yōu)點是能適應新的功能和應用。模塊化設計使得能方便地添入或修

22、改新的代理。在引入新的協議和業(yè)務時，不需要改變整個操作系統(tǒng)結構（或硬件系統(tǒng)結構）。聯想網御ips入侵防護系統(tǒng)專用操作系統(tǒng)適應支持voip nat的能力就代表了操作系統(tǒng)靈活性的一個很好的例子。使用得越來越多的voip，協議比較復雜，例如h.323, mgcp, sip等，不能由常規(guī)的網絡地址轉換防火墻來防護。如果不使用代理，為了讓voip通行，voip網關要求在防火墻中打開“洞”。然而，這些洞往往會被入侵者利用，利用話音業(yè)務來損壞防火墻，并增加未經容許的網絡接入。如果網絡保護網關能理解復雜的voip協議，它們就能處理voip業(yè)務安全，不需要開“洞”，而“洞”往往會讓voip和潛在的有害流量通過。

23、如上所述，基于流程的網關一般缺少智能來理解復雜的高級的協議，而常規(guī)的基于代理的設計缺少必要的性能，來處理對延遲敏感的話音，以免引入不能接受的抖動和延遲。 這就是聯想網御ips入侵防護系統(tǒng)專用操作系統(tǒng)的立足之處：它能容易地適應h.323協議，分隔h.323信息本體。高性能的操作系統(tǒng)核心，結合專門建立的內容處理加速硬件，能使聯想網御ips入侵防護系統(tǒng)適合新的應用，而無須重新設計系統(tǒng)或對硬件升級作大的改動。 提供分區(qū)間安全的虛擬系統(tǒng)支撐用戶能夠建立一個單個的聯想網御ips入侵防護系統(tǒng)單元行為，就好象它包含大量的獨立的“虛擬系統(tǒng)”，它們提供專門的服務，對各個部門或用戶分別具有自己獨特的策略。聯想網御i

24、ps入侵防護系統(tǒng)體系結構中設計了虛擬系統(tǒng)支撐。符合802.1q標準的一個或多個vlan能被映射到一個虛擬系統(tǒng)，帶有vlan中繼支撐的交換機/路由器與聯想網御ips入侵防護系統(tǒng)的物理接口相連接。聯想網御ips入侵防護系統(tǒng)能提供多達500個虛擬系統(tǒng)?；诮巧墓芾碓试S不同的管理員僅管理它們授權的虛擬系統(tǒng)，使它們建立和維護它們自己的一套安全策略、地址和地址組， 以及監(jiān)視系統(tǒng)狀態(tài)。 提供closed-loop 保護的體系結構常規(guī)入侵檢測系統(tǒng)的主要問題正在于檢測系統(tǒng)本身，因為它們只檢測，提供報告，但不能防護或防止攻擊。主要原因在于大多數ids, 例如防火墻，防病毒掃描，是在點上的解決辦法，它們互相不通氣

25、。聯想網御ips入侵防護系統(tǒng)專用操作系統(tǒng)平臺組成了一個共框架，它無縫地自然地集成了所有支持的應用。當系統(tǒng)中的nids模塊檢測一個攻擊時，它能采用一個或多個防護措施，例如重新設置連接， 放棄與攻擊相關的包，告示防火墻阻擋攻擊，或等候到攻擊指示燈顯示達到某個門限。這是一種“closed loop”保護，根據這一強有力的概念， 將被動防護變?yōu)橹鲃臃雷o。 高可用性(ha)的備份保護聯想網御ips入侵防護系統(tǒng)通常用于關鍵任務環(huán)境，例如運營服務商基礎設施或大型企業(yè)，不能容忍由于任一點故障的業(yè)務丟失。用戶使用備分的一對聯想網御ips入侵防護系統(tǒng)單元，并利用專用冗余協議，來確保萬一有故障發(fā)生時的故障恢復零中斷

26、。正如支持高可用性的其它協議一樣，例如vrrp和路由器故障恢復零中斷的hsrp，聯想網御ips入侵防護系統(tǒng)專用冗余協議提供安全會話的故障恢復零中斷。協議中包含幾項技術，包括： 連續(xù)地ping互相連接，以證實備份中的每一伙伴處在健康狀態(tài)中。 如果有一個模塊發(fā)生故障或無電， 業(yè)務會轉到另一個系統(tǒng)中。 鏈接狀態(tài)監(jiān)視 監(jiān)視上行和下行交換機/路由器的流量狀態(tài)，聚焦于為維持連接而從待命狀態(tài)轉到使用狀態(tài)。聯想網御ips入侵防護系統(tǒng)能利用專用冗余協議，配置為完全的備份環(huán)境， 使得沒有單個點的故障。聯想網御ips入侵防護系統(tǒng)能配置為支持熱備份模式或雙機容錯（active-active）負載共享模式。5.2聯想網

27、御ips入侵防護系統(tǒng)內容處理硬件體系結構5.2.1硬件體系結構簡介聯想網御ips入侵防護系統(tǒng)設計為傳送高速度的吞吐量，并優(yōu)化為第七層， 以及第二層和第三層包處理。系統(tǒng)由以下四個主要部分組成：聯想網御ips入侵防護系統(tǒng)內容處理硬件體系結構1 內容處理加速模塊content processing acceleration module(cpam)聯想網御ips入侵防護系統(tǒng)中有兩個部件，每一個由一個內容處理芯片和一個內容處理加速單元組成。內容處理加速單元有一個專用的內容檢測處理器，它與其它專用硬件一起，優(yōu)化為強化內容搜索，模式識別，和數據分析大多數時間消耗在病毒掃描，內容過濾和基于網絡的入侵檢測。

28、內容處理芯片包含一個專利的內容處理引擎，以及加密加速引擎和內置的防火墻策略引擎。 這些引擎分別處理防病毒和蠕蟲探測，nids特征探測，des、3des、aes加速，加密，nat,和執(zhí)行防火墻策略。cpam 模塊有專用的快速存儲器，所以很少要求通過總線與管理模塊中的系統(tǒng)內存相交互。正是由于這一有效的數據流動體系結構， 聯想網御ips入侵防護系統(tǒng)能達到應用層內容處理的高吞吐量。2 管理模塊 management module(mm) - mm 是基于高性能處理器設計。管理模塊的功能是流程控制， 和處理不能被內容處理加速模塊有效處理的包和流量。mm還支持各種管理接口和相關的功能（gui，cli, s

29、nmp等）。3 背板總線模塊 backplane bus module(bbm） - bbm由數據通道(datapath)和管理總線組成。 這一模塊的特點是多總線設計， 它控制在兩條不同的總線上發(fā)生的信息和數據交換控制在管理通道（management path）上的信息流程，和數據通道上模塊行程之間的數據交換，以提供負載流量能力。這一設計實現了在不同模塊之間的高效率通信。4 接口模塊 interface module(im) - 支持輸入/輸出接口， 流量通過這些物理接口進入和離開聯想網御ips入侵防護系統(tǒng)系統(tǒng)。根據流量的特點，包被路由到管理模塊或內容控制處理加速模塊去處理。注意， 如果vla

30、n/虛擬系統(tǒng)支撐是設置為接通的，流經過一個物理接口的數據能代表從多個子網絡的流量，取決于不同的安全策略。5.2.2內容處理加速引擎聯想網御ips入侵防護系統(tǒng)內容處理器利用模塊設計，包含有四個數據處理引擎： 特征掃描引擎 該引擎支持高速掃描病毒， 蠕蟲和入侵攻擊特征以及被禁止的內容。關鍵的部件是模式匹配模塊， 它將文件的一個一個字節(jié)， 與表示病毒、蠕蟲和入侵攻擊存在或黑名單上的內容的數據庫相匹配。病毒和蠕蟲特征存儲在專用的高速存儲器中， 它直接被內容處理器存取， 而任何數據不在數據通道上傳輸。這一方法將掃描活動與包傳輸完全隔離， 從而使聯想網御ips入侵防護系統(tǒng)能在支持應用層處理時不降低系統(tǒng)性能

31、。當流量從一個應用層協議http, snmp, pop3 imap之一 傳到達聯想網御ips入侵防護系統(tǒng)時，專用操作系統(tǒng)將包導向到內容處理加速芯片， 它在專門的掃描存儲器中將包組合為文件。掃描引擎將數據與直接與它連接的高速存儲器中的特征數據庫匹配。 一旦掃描完成， 掃描引擎向管理模塊接口告示掃描的結果， 并接受下一批數據。操作在被檢測有攻擊時進行，或者整個文件被掃描時進行。 加密引擎內容處理器提供高性能加密引擎， 支持des, triple-des, aes加密。triple-des的吞吐量高達600mbps. 安全策略引擎這一子系統(tǒng)提供包和協議的分隔(parsing)，是能快速對策略匹配包流

32、程的關鍵。策略引擎處理防火墻功能， 例如地址翻譯和狀態(tài)檢測， 管理包的重新組合和分裂。 內容處理加速單元（cpau）內容處理加速單元（cpau） 是作為一個額外的加速引擎， 進一步加速應用層處理。cpau在建立和管理會話相關的強化處理任務中擔負著重要的角色，包含了公共秘鑰(public key cryptography) 引擎 ，以加速秘鑰的產生和改變。cpau是可編程的并可用軟件升級的, 以便適應新的算法和應用。5.2.3在聯想網御ips入侵防護系統(tǒng)結構中的高可靠性聯想網御ips入侵防護系統(tǒng)是為滿足大型企業(yè)和運營服務商設計的， 高可靠性是設計中最重要的考慮因素。 在部件級，使用高質量部件，部

33、件均由獲得iso-9000認證的提供商提供 高端設備采用雙cpu處理器體系結構， 使其中一個cpu在另一個cpu出現故障時承擔負載 利用誤差檢測和校正存儲，以防止存儲故障 高端設備采用冗余、熱備份的電源，冗余、熱備份的電扇組合，以保證連續(xù)的運作和在線維修， 不會造成停機。為了保證最大的可靠性， 可將聯想網御ips入侵防護系統(tǒng)配置為冗余、高可用性模式，熱備份單元使得在單元發(fā)生故障時能維持當前的會話。5.3結論聯想網御ips入侵防護系統(tǒng)設計為不僅可以處理網絡層安全，而且具有應用層功能，包括其他如病毒和蠕蟲掃描和內容過濾。聯想網御ips入侵防護系統(tǒng)裝有強化安全的、實時的操作系統(tǒng)，采用故障恢復零中斷備

34、份邏輯，和利用專門的內容處理加速單元加速，是一個無與倫比的網絡安全網關。 它提供給大企業(yè)和運營服務商高性能、高可靠性、高安全性。其體系結構還保證了對新業(yè)務的快速適應，而不需要改變硬件。采用一個在單個的單元上運行的集成的安全和內容管理功能，預付出的采購設備的成本和運行中的管理成本均可大大地減少。從而，在低成本和保護投資的同時，用戶的安全性和生產率得到很好改善。6、聯想網御ips入侵防護系統(tǒng)主要功能6.1 動態(tài)入侵防護/保護聯想網御ips入侵防護系統(tǒng)先進的入侵檢測/防御技術包括： 狀態(tài)檢測 內容重組 通信協議檢測 應用協議檢測 內容檢測圖： 聯想網御ips入侵防護系統(tǒng)先進的入侵檢測/防御技術聯想網

35、御ips入侵防護系統(tǒng)的異常檢測技術是通過分析整個數據包進行的，它遠比基于特征的ids 更強，包括包頭、協議信息、應用信息、包內容和會話行為等。通過分別運用6 個完全內容重組和關聯的檢測過程和動態(tài)威脅防御系統(tǒng)，詳細地會話信息被跟蹤和分析，以檢測出最先進的威脅和未知的“零小時”（zero-hour）攻擊。這些攻擊包括：基于網絡的蠕蟲和木馬 野蠻攻擊 碎片不良數據包 cross-site 腳本 directory traversal拒絕服務 信息查詢 會話劫持欺騙 緩沖區(qū)溢出 無端注入及其他。 狀態(tài)檢測引擎：狀態(tài)檢測引擎是設計為跟蹤每一個經過聯想網御ips入侵防護系統(tǒng)的會話的所有通信層包括基于連接和

36、非基于連接的協議。它保存積累的狀態(tài)和會話信息，以確保每一個會話后續(xù)的包能被正確的發(fā)送和接收。 內容重組模塊：內容重組模塊重組所有的數據包，以保證包能以正確的順序排列。這樣就可以去掉那些重疊的分段、重復的分段、大小無效的包、偏移量無效的包過濾許多基于碎片、不合法偏移量、fragroute 逃避等的攻擊。 通信協議檢測引擎：通信協議檢測引擎保證協議確實是有效的，包括tcp、udp、icmp 等。所有的協議頭都需要對語法和語義的合法性及進行檢驗，帶有不良協議信息的包將被識別出來并阻擋。 應用協議檢測引擎：應用協議檢測引擎確保協議頭符合合法的語法和語義。協議頭數值的有效性被驗證，溢出被阻止。合法的應用

37、如telnet、ftp、http、smtp、pop3等的一致性被檢查，而有害應用如backorifice、subseven、tfn2k 等被識別出來，并在它們可能對網絡造成危害之前被阻擋。 內容檢測模塊：內容檢測模塊分析應用負載，尋找已知和未知的惡意內容。內容檢測模塊使用復雜的評估系統(tǒng)和會話行為模板來進行深度包分析，并在應用內容類型之間加以區(qū)別，以確保對每一個會話流量的最大檢測能力。 行為檢測模塊：行為檢測模塊將異常檢測帶到一個新的水平。通過將雙向會話信息的關聯、數據信息、通道信息、控制信息、活動會話和僵尸會話信息匯集到一起進行分析。隨著流量信息的積累，系統(tǒng)開發(fā)出正常流量模板知識，當有不良和異常流量流經聯想網御ips入侵防護系統(tǒng)，它們會很快被識別并阻擋。 動態(tài)威脅防御系統(tǒng)：動態(tài)威脅防御系統(tǒng)將各種檢測過程關聯在一