華為 NIP6000下一代入侵防御系統(tǒng)

產(chǎn)品特性

全新軟硬件架構(gòu)，產(chǎn)品性能業(yè)界領(lǐng)先

軟件匹配引擎在處理正則表達(dá)式規(guī)則的時候，性能都比較低，極大的制約了設(shè)備檢測性能，華為NGIPS引擎采用了全球領(lǐng)先的處理器提供商Cavium的MIPS64架構(gòu)處理器，可以為IPS提供高性能的硬件模式匹配引擎，同時采用全新架構(gòu)的智能感知引擎，在大流量深度檢測的情況下仍保持高達(dá)15Gpbs的檢測性能。

NIP6000系列下一代入侵防御采用全新的軟硬結(jié)合一體化架構(gòu)，對有規(guī)律、大批量、高運(yùn)算能力要求的報文處理，采用專用多核平臺由專用的協(xié)處理器硬件處理。對小規(guī)模的運(yùn)算，仍然用軟件處理。這樣的處理方式讓整體性能更高：

• 采用異步匹配技術(shù)，模式匹配中最消耗系統(tǒng)資源尤其是CPU資源的核心處理完全交給硬件的匹配引擎來處理，在匹配的同時不影響CPU處理其他業(yè)務(wù)，并行的處理大大提高報文處理效率和減低時延；
• 規(guī)則的增加不影響匹配的性能，硬件引擎能滿足上萬條威脅簽名的同時加載，而傳統(tǒng)的IPS引擎在加載大量的簽名時匹配效率嚴(yán)重下降，造成設(shè)備性能降低，而用硬件匹配引擎則能完美解決這個問題；
• 提供ZIP等壓縮文件的硬件解壓能力， IPS引擎要對壓縮的網(wǎng)頁或者文件進(jìn)行檢測，就要有強(qiáng)大的解壓縮引擎，而Cavium同樣提供硬件解壓縮能力，可以保證對ZIP等壓縮包中的文件進(jìn)行高性能的IPS檢測。

環(huán)境動態(tài)感知，實(shí)現(xiàn)策略調(diào)整智能化及日志分級管理

傳統(tǒng)的IPS設(shè)備僅基于攻擊報文的特征進(jìn)行檢測，卻忽略了真實(shí)網(wǎng)絡(luò)環(huán)境中受保護(hù)資產(chǎn)的實(shí)際情況，容易產(chǎn)生誤報，導(dǎo)致管理員需要浪費(fèi)大量的精力處理誤報事件。NIP6000通過對環(huán)境動態(tài)的感知，實(shí)現(xiàn)策略智能調(diào)整和日志分級管理功能解決此問題：

• NIP6000感知受保護(hù)網(wǎng)絡(luò)中的資產(chǎn)信息作為策略調(diào)整和風(fēng)險評估的依據(jù)。支持手動錄入、主動感知和第三方掃描軟件導(dǎo)入資產(chǎn)信息，包括資產(chǎn)類型、操作系統(tǒng)、資產(chǎn)價值和開啟的服務(wù)等；
• 根據(jù)感知的資產(chǎn)信息，NIP6000進(jìn)行策略自動調(diào)整，基于感知到的資產(chǎn)信息選取合適的簽名自動生成入侵防御策略，有針對性地防護(hù)，當(dāng)環(huán)境有變化時，NIP6000能第一時間感知相關(guān)的變化情況，及時自動調(diào)整或提醒管理員進(jìn)行相關(guān)的策略調(diào)整以應(yīng)對新的風(fēng)險；
• 當(dāng)NIP6000檢測到攻擊時，從簽名中提取本次攻擊針對的操作系統(tǒng)、服務(wù)等信息。然后將提取的信息與設(shè)備中存儲的實(shí)際資產(chǎn)信息進(jìn)行比對，同時根據(jù)資產(chǎn)的價值確定攻擊事件的風(fēng)險等級，并對這些告警日志進(jìn)行分級管理，通過分級管理，可以幫助管理員過濾誤報攻擊事件、忽略非關(guān)鍵事件，重點(diǎn)聚焦高風(fēng)險攻擊事件；
• 通過對環(huán)境的感知，獲取所保護(hù)網(wǎng)絡(luò)的靜態(tài)安全風(fēng)險，同時對攻擊的實(shí)時檢測，獲取所保護(hù)網(wǎng)絡(luò)的動態(tài)安全風(fēng)險，通過動態(tài)和靜態(tài)的風(fēng)險展示，全面深刻的展示所保護(hù)網(wǎng)絡(luò)的風(fēng)險。

支持沙箱聯(lián)動檢測和信譽(yù)體系，APT威脅無所遁形

基于簽名的威脅檢測一般是針對已知漏洞的威脅檢測，但是對于零日攻擊和APT攻擊的檢測比較弱。檢測APT攻擊的最有效手段就是沙箱技術(shù)，通過沙箱技術(shù)構(gòu)造一個隔離的威脅檢測環(huán)境，然后將網(wǎng)絡(luò)流量送入沙箱進(jìn)行隔離分析并最終判斷是否存在威脅：

• NIP6000從網(wǎng)絡(luò)流量中識別并提取需要進(jìn)行APT檢測的文件類型，將文件送入沙箱進(jìn)行威脅分析；
• 沙箱對文件進(jìn)行解析，實(shí)時檢測已知或未知威脅，然后沙箱將威脅檢測結(jié)果反饋給NIP6000，并通過日志報表等形式展示威脅檢測結(jié)果；
• 將威脅的具體攻擊行為提交至云安全中心。云安全中心根據(jù)沙箱提交的威脅數(shù)據(jù)生成信譽(yù)信息和簽名庫并推送至NIP6000，從而提升NIP6000的快速威脅防御能力。

多重檢測，全面防護(hù)

越來越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上，網(wǎng)絡(luò)攻擊和信息竊取形成巨大的產(chǎn)業(yè)鏈，這對下一代入侵防御產(chǎn)品的防護(hù)能力提出了更高要求。NIP6000具備全面的深度防護(hù)功能：

• 入侵防護(hù)（IPS）：超過5000種漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護(hù)，如跨站腳本攻擊、SQL注入攻擊等；
• 防病毒（AV）：高性能病毒引擎，可防護(hù)500萬種以上的病毒和木馬，病毒特征庫每日更新；
• 服務(wù)器惡意外聯(lián)檢測：可以對重要服務(wù)器的外聯(lián)進(jìn)行檢測，包括端口盜用檢測和非法外聯(lián)行為的檢測，保護(hù)重要信息資產(chǎn)安全；
• SSL解密：通過代理方式，對SSL加密流量進(jìn)行應(yīng)用層安全防護(hù)，如IPS、AV、URL過濾等；
• Anti-DDoS： 可以識別和防范SYN flood、UDP flood等100+種網(wǎng)絡(luò)層及應(yīng)用層DDoS攻擊

組網(wǎng)應(yīng)用

互聯(lián)網(wǎng)邊界防護(hù)

此種場景NIP6000一般部署于出口防火墻或路由器后端、透明接入網(wǎng)絡(luò)。如果需要保護(hù)多條鏈路，可使用NIP6000的多個接口對同時接入。

• 入侵防御：防御來自互聯(lián)網(wǎng)的蠕蟲活動、針對瀏覽器和插件漏洞的攻擊，使得企業(yè)辦公網(wǎng)絡(luò)健康運(yùn)行。攔截基于漏洞攻擊傳播的木馬或間諜程序活動，保護(hù)辦公電腦的隱私、身份等關(guān)鍵數(shù)據(jù)信息。
• 反病毒：對內(nèi)網(wǎng)用戶從Internet下載的文件進(jìn)行病毒掃描，防止內(nèi)網(wǎng)PC感染病毒。
• URL過濾：對內(nèi)網(wǎng)用戶訪問的網(wǎng)站進(jìn)行控制，防止用戶隨意訪問網(wǎng)站而影響工作效率或者導(dǎo)致網(wǎng)絡(luò)威脅。
• 應(yīng)用控制：對P2P、視頻網(wǎng)站、即時通訊軟件等應(yīng)用流量進(jìn)行合理控制，保證企業(yè)主要業(yè)務(wù)的順暢運(yùn)行。

IDS/服務(wù)器前端防護(hù)

此種場景一般采用雙機(jī)部署避免單點(diǎn)故障。部署位置有如下兩種：直路部署于服務(wù)器前端，采用透明方式接入；或者旁掛于交換機(jī)或路由器，外網(wǎng)和服務(wù)器之間的流量、服務(wù)器區(qū)之間的流量都先引流到NIP6000處理后再回注到主鏈路。

• 入侵防御：防御對Web、Mail、DNS等服務(wù)器的蠕蟲活動、針對服務(wù)和平臺的漏洞攻擊。防御惡意軟件造成服務(wù)器數(shù)據(jù)的損壞、篡改或失竊。防御針對Web應(yīng)用的SQL注入攻擊、各種掃描、猜測和窺探攻擊
• 服務(wù)器惡意外聯(lián)檢測：防御服務(wù)器的惡意外聯(lián)，防止價值信息外傳
• 反病毒：對用戶向服務(wù)器上傳的文件進(jìn)行病毒掃描，防止服務(wù)器感染病毒。
• DDoS攻擊防范：防御針對服務(wù)器的DoS/DDoS攻擊造成服務(wù)器不可用。

網(wǎng)絡(luò)邊界防護(hù)

對于大中型企業(yè)，內(nèi)網(wǎng)往往被劃分為安全等級不同的多個區(qū)域，區(qū)域間有風(fēng)險隔離、安全管控的需求。如部門邊界、總部和分支機(jī)構(gòu)之間等，實(shí)現(xiàn)了網(wǎng)絡(luò)區(qū)域的安全隔離

• 入侵防御：實(shí)現(xiàn)網(wǎng)絡(luò)安全邏輯隔離，檢測、防止外部網(wǎng)絡(luò)對本網(wǎng)的攻擊探測等惡意行為，以及外部網(wǎng)絡(luò)的蠕蟲、木馬向本網(wǎng)蔓延；
• 違規(guī)監(jiān)控：監(jiān)控內(nèi)部網(wǎng)絡(luò)用戶向外部網(wǎng)絡(luò)的違規(guī)行為；

旁路監(jiān)控

旁路部署在網(wǎng)絡(luò)中監(jiān)控網(wǎng)絡(luò)安全狀況也是IPS產(chǎn)品的一種應(yīng)用場景，此種場景下IPS產(chǎn)品主要用來記錄各類攻擊事件和網(wǎng)絡(luò)應(yīng)用流量情況，進(jìn)而進(jìn)行網(wǎng)絡(luò)安全事件審計(jì)和用戶行為分析。在這種部署方式下一般不進(jìn)行防御響應(yīng)。旁掛在交換機(jī)上，交換機(jī)將需要檢測的流量鏡像到NIP6000進(jìn)行分析和檢測。

• 入侵檢測：檢測外網(wǎng)針對內(nèi)網(wǎng)的攻擊、內(nèi)網(wǎng)員工發(fā)起的攻擊，通過日志和報表呈現(xiàn)攻擊事件供企業(yè)管理員評估網(wǎng)絡(luò)安全狀況。同時提供攻擊事件風(fēng)險評估功能降低管理員評估難度。
• 應(yīng)用識別：識別并統(tǒng)計(jì)P2P、視頻網(wǎng)站、即時通訊軟件等應(yīng)用流量，通過報表為企業(yè)管理員直觀呈現(xiàn)企業(yè)的應(yīng)用使用情況。
• 防火墻聯(lián)動：IDS設(shè)備防御能力弱，檢測到攻擊后可以通知防火墻阻斷攻擊流量
• 滿足對政策合規(guī)性要求，如等保、涉密網(wǎng)等政府強(qiáng)制標(biāo)準(zhǔn)的遵從等

產(chǎn)品規(guī)格

整機(jī)規(guī)格：

訂購信息

更多信息，敬請?jiān)L問華為企業(yè)業(yè)務(wù)網(wǎng)站 或聯(lián)系華為當(dāng)?shù)劁N售機(jī)構(gòu)