联想网御IPS入侵防护系统
产品白皮书
联想网御科技(北京)有限公司
版权信息
?版权所有 2001-2007,联想网御科技(北京)有限公司
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属联想网御科技(北京)有限公司所有,受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段。
商标信息
联想网御,Legend,Lenovo,leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标,受商标法和有关国际公约的保护。
第三方信息
本文档中所涉及到的产品名称和商标,属于各自公司或组织所有。 联想网御科技(北京)有限公司 Lenovo Security Technologies Inc.
北京市海淀区中关村南大街6号中电信息大厦8层 100086
8/F Zhongdian Information Tower Zhongguancun South Street, Haidian District, Beijing 电话(TEL):0 传真(FAX):010-
技术热线(Customer Hotline):
电子信箱(E-mail):
目 录
1、序言
近几年来,随着信息化建设的飞速发展,信息安全的内容也越来越广泛,用户对安全设备和安全产品的要求也越来越高。尽管防火墙、IDS等传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。
混合攻击带来的新挑战
随着红色代码、Nimda等有里程碑式的病毒出现,改写了病毒形态和病毒的历史,病毒已经不再只具有破坏力。新的病毒已经成为黑客的攻击和入侵手段,借助病毒的传播方式,黑客们可以轻易地窃取网络中的敏感数据和信息。黑客程序、木马、病毒已经有机地结合起来,使之成为黑客攻击的新工具。同时,木马、病毒等恶意程序也经常通过邮件、恶意的Web网页(或者被篡改的Web网页)、文件下载等传播途径使得病毒的危害范围和扩散速度加大。这些都给传统的安全设备带来新的挑战。
一些老式的防火墙不具备内容检测的能力,不具备检测新型的混合攻击和防护的能力。较新的深度检测防火墙往往在分片的数据包前一筹莫展,所以传统的防火墙不具备完备的内容检测能力,无法做到内容安全过滤。IDS设备虽然可以检测网络中的攻击,但是它不能对攻击行为进行有效的防御和阻断,IDS的大量误报也使得管理员难以从大量的日志中找出有价值的信息。桌面防病毒软件防护对象是终端,往往需要使用者的对操作系统和其软件都有较高的操作
水平,并且防病毒软件往往会限制用户一些正常操作,为了突破限制用户会不得不关闭防毒软件,这些都使得防病毒软件实施的效果受到了很大的影响,所以不能保障网络的安全。
什么是IPS
IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。(IPS)就是自动执行这种监视和分析过程,并且执行阻断的硬件产品。
防火墙的局限性
防火墙是阻止黑客攻击的一种有效手段,但随着攻击技术的发展,这种单一的防护手段已不能确保网络的安全,它存在以下的弱点和不足: 1. 防火墙无法阻止内部人员所做的攻击
防火墙保护的是网络边界安全,对在网络内部所发生的攻击行为无能为力,而据调查,网络攻击事件有60%以上是由内部人员所为。 2. 防火墙对信息流的控制缺乏灵活性
防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的。如果规则定义过于严格,则限制了网络的互连互通;如果规则定义过于宽松,则又带来了安全隐患。防火墙自身无法根据情况的变化进行自我调整。
3. 在攻击发生后,利用防火墙保存的信息难以调查和取证
联想网御IPS产品白皮书
