《网络安全技术与实践》第二篇 边界安全(2).ppt

网络安全技术与实践》; 项目二 入侵防护系统 IPS ;3;【项目背景】;【需求分析】;【预备知识】;入侵防护系统;IPS的现状;IPS的产品背景;2.DoS/DDoS仍是很大的威胁 根据调查，每天平均侦测到6,110个事件 Arbor的研究指出，DoS/DDoS占网络安全事件的65%，其中主要还是TCP SYN/UDP Flooding 应用层CC攻击;3.来自内部网络的威胁 Instant Message在线聊天软件 P2P共享软件 虚拟隧道软件 在线网络游戏;降低工作效率 文件传输，引发泄密风险 散布恶意程序;P2P在耗尽带宽;6.穿透防火墙对外连机 ;IPS产品的客户价值;16;IPS的种类;IPS的种类;IPS的种类; IPS主要功能与特性; IPS主要功能与特性;IPS主要功能与特性;IPS主要功能与特性;2. 典型IPS产品的功能;2. 典型IPS产品的功能;2. 联想网御IPS主要功能;分类;分类;5. 联想网御IPS核心技术;2.硬件特征匹配技术 传统硬件加速技术 基于FPGA 基于Bloom过滤器 基于TCAM 联想网御硬件特征匹配技术 FPGA+TCAM+SSRAM的硬件加速架构 ;3.联想网御硬件加速架构的优势 使用TCAM做预处理，因而支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元； 对特征进行了预分组，在保证了匹配速度的同时，控制了器件规模，从而节约成本，保证了用户得到最高的性能价格比； 算法相关部分全部位于FPGA之中，由于其具有可动态升级特性，因而算法可以不断随着产品升级进行优化，灵活性大； SSRAM成本低，容量大，用它来实现精确匹配极大了扩展了可以用于匹配的规则数目； CPU的多核机制和FPGA中并行数据包缓冲处理机制结合，支持全并行的特征匹配。;5.5.联想网御IPS产品优势;2.USE统一安全引擎 基于协议异常、会话状态和七层应用行为进行检测 内置2300多条特征规则，支持自定义特征 支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等各种协议的分析;3.支持七层状态检测防火墙 支持基于网络接口、源/目的IP地址、协议、时间等自定义访问控制策略 支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虚拟隧道实现阻断管理 ;DNS/SMTP/WWW;5.全面的P2P管控 基于软件行为、数据内容，而不是端口识别应用 可检测加密型或非加密型P2P 支持100余种常用P2P软件 带宽限??可精准到1Kbps;6.细粒度的IM管控 基于软件行为、数据内容，而不是基于端口号识别应用 可检测加密型或非加密型IM应用 支持10种以上常用IM软件，包括Web IM 可对登陆、文字聊天、文件传输、实时语音、实时视频等进行分项管理;7.精准的带宽管理 针对VLAN、源/目的IP地址、应用协议端口、七层应用软件（如P2P、FTP、PPlive、PPStream等） 支持进行网络传输带宽和网络传输总量两种限制方式 针对P2P应用的带宽限流，可精准到1Kbps ;8.丰富的工作模式 支持IPS、IDS、IPS监视、IDS监视、Forward等工作模式 支持Mirror模式;9.自定义检测方向 针对性检测 节省系统资源;10.图像化的实时监视窗口;11.方便、实用的报表 预设事件报表、内建报表、随选报表、定期报表四类报表;12.灵活的管理 基于JAVA的B/S管理架构 支持在线、脱机两种方式对特征库、管理软件、设备操作系统实现升级 支持实时通过LEMS、邮件、syslog进行报警 SSH、Console管理IPS设备;13.实用的多重冗余功能 无硬盘设计 冗余电源 硬件/软件Bypass 联机自动切换（Link Fault Pass Through） 支持Active-Active、Active-Passive两种模式;14.全面的产品资质;5.6 联想网御 IPS 产品线;1.上网行为管理 部署在内网出口 上网行为管理 IM即时消息软件 Web-IM P2P软件 虚拟隧道 在线游戏 反动软件;2.内外兼顾 部署在网络出口 防范外网攻击 上网行为管理;3.多路防护 多路IPS 每路设置不同的策略 带宽限流;5.7. 竞争分析;2.联想相对绿盟的优势 联想的产品线丰富，接口数量多，类型丰富，其中950IPS最多支持4路IPS或9路IDS。具体信息可参考产品线及产品规格对比表。 联想支持，绿盟不支持的功能 虚拟隧道软件的检测 自由门、无界、花园等反动类软件的检测 “端口Mirror”功能 “IP Spoofing”功能 “Link Fault