上海鼎元信息科技有限公司

适用场景

绝大多数人在谈到网络安全时，首先会想到“防火墙”。防火墙得到了广泛的部署，并被作为多层安全体系结构的第一层防护，它主要是作为一个访问控制设备，允许特定协议（例如 HTTP、DNS、SMTP）在一组源地址和目标地址之间传递。作为访问策略增强的一个组成部分，防火墙一般是通过检查数据包头来制定流量决策。一般来说，它们并不能检查数据包的全部内容，因此，也无法检测或拦截嵌入到普通流量中的恶意代码。

目前的防护措施所固有的不足促使企业必须通过其他安全手段来实现网络层面的威胁防护，我们称之为入侵防护系统 (Intrusion prevention system)

鼎元科技网络入侵防护解决方案主要适用于以下场景：

1、企业具有能够直接从互联网访问到的应用服务器或Web服务器，面临来自互联网的各种类型的入侵，需要保证服务器的正常运行以及数据安全；

2、企业内网根据不同安全级别划分有不同区域的，需要防范来自内网受蠕虫、木马影响的主机向核心业务系统进行攻击的；

3、企业具有24小时不间断服务的业务系统，需要避免经常停机安装补丁影响业务系统正常运作的。

需求分析

针对目前企业用户在网络入侵防护方面遇到的诸多问题，我们认为入侵防护解决方案必须满足以下需求：

高准确率——方案必须能够对入侵实现较高准确率的识别和阻断，具有极低的误报率和漏报率。

能够对威胁进行全面防护——方案必须能够对各种类型的已知威胁、未知威胁以及零日攻击等进行全面的防护。

DoS防护能力——方案必须具备对DoS及DDoS的防护能力，避免由于攻击引起的服务器宕机等问题。

高性能——方案必须在实现对企业网络防护的同时具备较高性能，不影响网络延迟及速率。

实现方式

核心技术

本方案使用前沿技术，能够在关键系统受到攻击之前阻止“网络”入侵行为。具有高自动化和易管理性，设计灵活，能够分阶段执行，克服了老旧入侵检测系统中固有的误报率，也使用户能够配置合适的策略，以阻止独特 IT 基础架构中的攻击。

nsm01

方案基于完整的攻击分析方法，并引入了业界较为全面的网络攻击特征检测、异常检测以及拒绝服务攻击检测技术，除了可以防御已知攻击，还可以防御未知的蠕虫、攻击和后门程序，抵御拒绝服务攻击等。

部署方式

本方案采用专用的入侵防护设备作为防护手段，使用专用的ASIC芯片进行网络威胁流量处理，支持旁路监听、TAP分流、透明串联、链路集群等多种部署方式。

nsm02

通常将设备透明串联在需要防护的设备或网络前端，由设备对网络中的所有数据包进行实时的威胁分析，检测其中是否有恶意代码、入侵、DOS流量，并在发现威胁后实时阻断，确保后端网络和设备的安全。

主要功能

防护已知威胁——方案集成了全面的状态检测引擎、完善的特征规范语言、“用户自定义特征”以及实时特征更新，确保能够提供并维护业界较为全面、更新及时的攻击签名数据库。

防护未知威胁——异常检测技术为全面的签名检测功能提供了完美的补充，异常检测技术使得网络工程师能够对突发威胁或首次攻击进行拦截，并创建出一套完整的“异常档案”，从而保护网络免受未知攻击的骚扰。

0Day防护——方案能够通过与特有的GTI系统（全球威胁智能）云服务平台进行整合，第一时间获取最新的威胁信息，并通过全球350人的Avert研究团队，提供最新威胁的及时发现和特征码的更新。

DOS防护——应用多种DoS/DDoS防护技术，解决可能面临的拒绝服务攻击威胁。

虚拟补丁——针对无法及时安装补丁的服务器，鼎元科技入侵防护解决方案能够通过网络层面对针对特定漏洞的攻击进行防护，成为服务器的“虚拟补丁”。

线速分析能力——采用ASIC+FBGA架构，提供对网络流量的高速处理速度，在实现安全防护的同时提供高性能、低延迟。

产品推荐

我们推荐选用McAfee的Network Security Platform作为IPS产品。

McAfee的Network Security Platform是全球知名产品化的IPS设备，它能够对已知攻击、未知攻击以及拒绝服务攻击进行检测和防御，满足各种企业网络的安全要求。McAfee NSP能够通过部署业内全面、成熟的网络 IPS 解决方案来降低企业安全风险。 NSP 是基于 ASIC芯片及FPGA的设备，可前瞻性地防护终端和关键网络基础设施不受已知的攻击、Zero-day攻击、DOS/DDOS 攻击和加密攻击的威胁，也不受间谍软件、VoIP 漏洞、botnet、网络蠕虫、恶意软件、网络钓鱼诈骗攻击、木马以及 P2P 等应用程序的威胁。

同时，NSP 也是业界知名的风险感知 IPS 解决方案，它能够有效地结合McAfee的MVM风险管理系统或第三方风险评估工具，识别并拦截针对您网络资产的相关的安全威胁和攻击，可较大限度地保障安全，增加绩效。