统,它在全平台上支持病毒扫描,内容过滤,sateful检测防火墙,IP安全(IPSec)VPN,基于网络的IDS和流量管理应用。以下介绍其设计特点、应用级和网络级功能,以及高性能,高可靠性,高灵活性和扩展性。
高性能并行处理
联想网御IPS入侵防护系统高端产品设计为双CPU。 利用对称多处理技术,有效地分解和协调在双处理器之间不同的任务。 在任一特定时间, 两个处理器都负载在最佳的处理水平。 由于利用了专门的算法, 任务切分和协调过程中的消耗减到了最小程度。
实时体系结构
与非实时OS(例如许多防火墙和设备采用的不同风格的Linux)相比,联想网御IPS入侵防护系统操作系统是使数据流程处理达到优化的实时操作系统。在非实时OS中,核心并不总是对输入的数据包触发的中断作出及时反应;这不仅使数据包排队时间增长, 而且造成系统资源(例如内存)不能有效地利用,因而增加了丢包率。联想网御IPS入侵防护系统操作系统的设计集成了智能排队和管道管理, 与包的到达/处理相关的系统中断得到立刻的重视。同时,基于内容处理加速模块的硬件加速使各种类型流量的处理时间达到最小,加上最短的排队时间,从而给用户提供了最好的实时系统。
实时内容级智能
常规的安全网关设计有两类:状态包检测(基于流程的,flow-based)和应用代理( proxy)。在基于流程的网关中,安全策略是大多在包一级定义和执行的(虽然状态检测对一定类型的流量保持会话上下文)。 这种方法因为包在处理后马上送走, 而导致高处理速度和高吞吐量; 但是, 由于处理是在包一
级的, 系统不理解高一级语言,(例如协议)或目标(例如文件),因此不能识别有害的脚本、病毒攻击、或不想要的内容。相比之下,基于代理的系统,安全网关终断进入和流出的会话,检测包,将它们重新组合为原始的数据流,理解会话的当前状态,并能够对预先定义的违规、或动态产生的安全或网络策略进行检测内容。这种方法有足够的智能在应用级运作,因而能进行应用级处理。但是,重新组合所有的包和检测数据流需要耗费大量的计算资源,那会使基于代理的网关变得性能减低许多。
联想网御IPS入侵防护系统设计为综合基于流程的和基于代理的两者优点,而同时又克服它们的弱点。联想网御IPS入侵防护系统设计为具有基于流程的检测引擎和多应用级代理(HTTP, SMTP,POP3, IMAP等)。专利设计在包检测和代理之间给出最佳的协调。由内容加速单元提供了基于代理系统的智能,而在性能上达到通常只有基于流程的系统才能达到的水平。结果使联想网御IPS入侵防护系统不仅能达到常规的网络级安全, 例如防火墙,VPN和NIDS,而且能在网络界面边缘高速地处理应用级安全功能,例如病毒与蠕虫扫描、URL和关键词内容过滤、跨过防火墙的话音Voice over IP (VoIP)。
完整的投资保护和完整的网络保护
联想网御IPS入侵防护系统专用操作系统设计的另一个优点是能适应新的功能和应用。模块化设计使得能方便地添入或修改新的代理。在引入新的协议和业务时,不需要改变整个操作系统结构(或硬件系统结构)。联想网御IPS入侵防护系统专用操作系统适应支持VoIP NAT的能力就代表了操作系统灵活性的一个很好的例子。使用得越来越多的VoIP,协议比较复杂,例如, MGCP, SIP等,不能由常规的网络地址转换防火墙来防护。如果不使用代理,为了让
VoIP通行,VoIP网关要求在防火墙中打开“洞”。然而,这些洞往往会被入侵者利用,利用话音业务来损坏防火墙,并增加未经容许的网络接入。 如果网络保护网关能理解复杂的VoIP协议,它们就能处理VoIP业务安全,不需要开“洞”,而“洞”往往会让VoIP和潜在的有害流量通过。如上所述,基于流程的网关一般缺少智能来理解复杂的高级的协议,而常规的基于代理的设计缺少必要的性能,来处理对延迟敏感的话音,以免引入不能接受的抖动和延迟。 这就是联想网御IPS入侵防护系统专用操作系统的立足之处:它能容易地适应协议,分隔信息本体。高性能的操作系统核心,结合专门建立的内容处理加速硬件,能使联想网御IPS入侵防护系统适合新的应用,而无须重新设计系统或对硬件升级作大的改动。
提供分区间安全的虚拟系统支撑
用户能够建立一个单个的联想网御IPS入侵防护系统单元行为,就好象它包含大量的独立的“虚拟系统”,它们提供专门的服务,对各个部门或用户分别具有自己独特的策略。联想网御IPS入侵防护系统体系结构中设计了虚拟系统支撑。符合标准的一个或多个VLAN能被映射到一个虚拟系统,带有VLAN中继支撑的交换机/路由器与联想网御IPS入侵防护系统的物理接口相连接。联想网御IPS入侵防护系统能提供多达500个虚拟系统。基于角色的管理允许不同的管理员仅管理它们授权的虚拟系统,使它们建立和维护它们自己的一套安全策略、地址和地址组, 以及监视系统状态。
提供Closed-loop 保护的体系结构
常规入侵检测系统的主要问题正在于检测系统本身,因为它们只检测,提供报告,但不能防护或防止攻击。主要原因在于大多数IDS, 例如防火墙,防
病毒扫描,是在点上的解决办法,它们互相不通气。联想网御IPS入侵防护系统专用操作系统平台组成了一个共框架,它无缝地自然地集成了所有支持的应用。当系统中的NIDS模块检测一个攻击时,它能采用一个或多个防护措施,例如重新设置连接, 放弃与攻击相关的包,告示防火墙阻挡攻击,或等候到攻击指示灯显示达到某个门限。这是一种“closed loop”保护,根据这一强有力的概念, 将被动防护变为主动防护。
高可用性(HA)的备份保护
联想网御IPS入侵防护系统通常用于关键任务环境,例如运营服务商基础设施或大型企业,不能容忍由于任一点故障的业务丢失。用户使用备分的一对联想网御IPS入侵防护系统单元,并利用专用冗余协议,来确保万一有故障发生时的故障恢复零中断。正如支持高可用性的其它协议一样,例如VRRP和路由器故障恢复零中断的HSRP,联想网御IPS入侵防护系统专用冗余协议提供安全会话的故障恢复零中断。协议中包含几项技术,包括:
连续地ping互相连接,以证实备份中的每一伙伴处在健康状态中。 如果有一个模块发生故障或无电, 业务会转到另一个系统中。
链接状态监视 – 监视上行和下行交换机/路由器的流量状态,聚焦于为维持连接而从待命状态转到使用状态。
联想网御IPS入侵防护系统能利用专用冗余协议,配置为完全的备份环境, 使得没有单个点的故障。联想网御IPS入侵防护系统能配置为支持热备份模式或双机容错(active-active)负载共享模式。
联想网御IPS入侵防护系统内容处理硬件体系结构
5.2.1硬件体系结构简介
联想网御IPS入侵防护系统设计为传送高速度的吞吐量,并优化为第七层, 以及第二层和第三层包处理。系统由以下四个主要部分组成:
联想网御IPS入侵防护系统内容处理硬件体系结构
1.内容处理加速模块Content Processing Acceleration Module(CPAM)–联想网御IPS入侵防护系统中有两个部件,每一个由一个内容处理芯片和一个内容处理加速单元组成。内容处理加速单元有一个专用的内容检测处理器,它与其它专用硬件一起,优化为强化内容搜索,模式识别,和数据分析——大多数时间消耗在病毒扫描,内容过滤和基于网络的入侵检测。 内容处理芯片包含一个专利的内容处理引擎,以及加密加速引擎和内置的防火墙策略引擎。 这些引擎分别处理防病毒和蠕虫探测,NIDS特征探测,DES、3DES、AES加速,加密,NAT,和执行防火墙策略。CPAM 模块有专用的快速存储器,所以很少要求通过总线与管理模块中的系统内存相交互。正是由于这一有效的数据流动体系结构, 联想网御IPS入侵防护系统能达到应用层内容处理的高吞吐量。
2.管理模块 Management Module(MM) - MM 是基于高性能处理器设计。管理模块的功能是流程控制, 和处理不能被内容处理加速模块有效处理的包和流量。MM还支持各种管理接口和相关的功能(GUI,CLI, SNMP等)。
3.
背板总线模块 Backplane Bus Module(BBM) - BBM由数据通道(Datapath)和管理总线组成。 这一模块的特点是多总线设计, 它控制在两条不同的
联想网御IPS产品白皮书
