总线上发生的信息和数据交换——控制在管理通道(Management path)上的信息流程,和数据通道上模块行程之间的数据交换,以提供负载流量能力。这一设计实现了在不同模块之间的高效率通信。
4.接口模块 Interface Module(IM) - 支持输入/输出接口, 流量通过这些物理接口进入和离开联想网御IPS入侵防护系统系统。根据流量的特点,包被路由到管理模块或内容控制处理加速模块去处理。注意, 如果VLAN/虚拟系统支撑是设置为接通的,流经过一个物理接口的数据能代表从多个子网络的流量,取决于不同的安全策略。
5.2.2内容处理加速引擎
联想网御IPS入侵防护系统内容处理器利用模块设计,包含有四个数据处理引擎:
特征扫描引擎
该引擎支持高速扫描病毒, 蠕虫和入侵攻击特征以及被禁止的内容。关键的部件是模式匹配模块, 它将文件的一个一个字节, 与表示病毒、蠕虫和入侵攻击存在或黑名单上的内容的数据库相匹配。
病毒和蠕虫特征存储在专用的高速存储器中, 它直接被内容处理器存取, 而任何数据不在数据通道上传输。这一方法将扫描活动与包传输完全隔离, 从而使联想网御IPS入侵防护系统能在支持应用层处理时不降低系统性能。 当流量从一个应用层协议HTTP, SNMP, POP3 IMAP之一 传到达联想网御IPS入侵防护系统时,专用操作系统将包导向到内容处理加速芯片, 它在专门的扫描存储器中将包组合为文件。扫描引擎将数据与直接与它连接的高速存
储器中的特征数据库匹配。 一旦扫描完成, 扫描引擎向管理模块接口告示扫描的结果, 并接受下一批数据。操作在被检测有攻击时进行,或者整个文件被扫描时进行。
加密引擎
内容处理器提供高性能加密引擎, 支持DES, Triple-DES, AES加密。Triple-DES的吞吐量高达600Mbps.
安全策略引擎
这一子系统提供包和协议的分隔(parsing),是能快速对策略匹配包流程的关键。策略引擎处理防火墙功能, 例如地址翻译和状态检测, 管理包的重新组合和分裂。
内容处理加速单元(CPAU)
内容处理加速单元(CPAU) 是作为一个额外的加速引擎, 进一步加速应用层处理。
CPAU在建立和管理会话相关的强化处理任务中担负着重要的角色,包含了公共秘钥(public Key Cryptography) 引擎 ,以加速秘钥的产生和改变。CPAU是可编程的并可用软件升级的, 以便适应新的算法和应用。
5.2.3在联想网御IPS入侵防护系统结构中的高可靠性
联想网御IPS入侵防护系统是为满足大型企业和运营服务商设计的, 高可靠性是设计中最重要的考虑因素。
在部件级,使用高质量部件,部件均由获得ISO-9000认证的提供商提供
高端设备采用双CPU处理器体系结构, 使其中一个CPU在另一个CPU出现故障时承担负载
利用误差检测和校正存储,以防止存储故障
高端设备采用冗余、热备份的电源,冗余、热备份的电扇组合,以保证连续的运作和在线维修, 不会造成停机。
为了保证最大的可靠性, 可将联想网御IPS入侵防护系统配置为冗余、高可用性模式,热备份单元使得在单元发生故障时能维持当前的会话。
结论
联想网御IPS入侵防护系统设计为不仅可以处理网络层安全,而且具有应用层功能,包括其他如病毒和蠕虫扫描和内容过滤。
联想网御IPS入侵防护系统装有强化安全的、实时的操作系统,采用故障恢复零中断备份逻辑,和利用专门的内容处理加速单元加速,是一个无与伦比的网络安全网关。 它提供给大企业和运营服务商高性能、高可靠性、高安全性。其体系结构还保证了对新业务的快速适应,而不需要改变硬件。采用一个在单个的单元上运行的集成的安全和内容管理功能,预付出的采购设备的成本和运行中的管理成本均可大大地减少。从而,在低成本和保护投资的同时,用户的安全性和生产率得到很好改善。
6、联想网御IPS入侵防护系统主要功能
动态入侵防护/保护
联想网御IPS入侵防护系统先进的入侵检测/防御技术包括:
状态检测 内容重组 通信协议检测 应用协议检测 内容检测
图: 联想网御IPS入侵防护系统先进的入侵检测/防御技术 联想网御IPS入侵防护系统的异常检测技术是通过分析整个数据包进行的,它远比基于特征的IDS 更强,包括包头、协议信息、应用信息、包内容和会话行为等。通过分别运用6 个完全内容重组和关联的检测过程和动态威胁防御系统,详细地会话信息被跟踪和分析,以检测出最先进的威胁和未知的“零小时”(zero-hour)攻击。这些攻击包括: ○基于网络的蠕虫和木马 ○野蛮攻击 ○碎片
○不良数据包 ○Cross-site 脚本 ○Directory Traversal ○拒绝服务 ○信息查询 ○会话劫持 ○欺骗 ○缓冲区溢出 ○无端注入 及其他。
状态检测引擎:
状态检测引擎是设计为跟踪每一个经过联想网御IPS入侵防护系统的会话的所有通信层——包括基于连接和非基于连接的协议。它保存积累的状态和会话信息,以确保每一个会话后续的包能被正确的发送和接收。
内容重组模块:
内容重组模块重组所有的数据包,以保证包能以正确的顺序排列。这样就可以去掉那些重叠的分段、重复的分段、大小无效的包、偏移量无效的包——过滤许多基于碎片、不合法偏移量、fragroute 逃避等的攻击。 通信协议检测引擎:
通信协议检测引擎保证协议确实是有效的,包括TCP、UDP、ICMP 等。所有的协议头都需要对语法和语义的合法性及进行检验,带有不良协议信息的包将被识别出来并阻挡。 应用协议检测引擎:
应用协议检测引擎确保协议头符合合法的语法和语义。协议头数值的有效性被验证,溢出被阻止。合法的应用如Telnet、FTP、HTTP、SMTP、POP3等的一致性被检查,而有害应用如BackOrifice、SubSeven、TFN2K 等被识别出来,并在它们可能对网络造成危害之前被阻挡。
内容检测模块:
内容检测模块分析应用负载,寻找已知和未知的恶意内容。内容检测模块使用复杂的评估系统和会话行为模板来进行深度包分析,并在应用内容类型之间加以区别,以确保对每一个会话流量的最大检测能力。 行为检测模块:
行为检测模块将异常检测带到一个新的水平。通过将双向会话信息的关联、数据信息、通道信息、控制信息、活动会话和僵尸会话信息汇集到一起进行分析。随着流量信息的积累,系统开发出正常流量模板知识,当有不良和异常流量流经联想网御IPS入侵防护系统,它们会很快被识别并阻挡。
动态威胁防御系统:
动态威胁防御系统将各种检测过程关联在一起,可以很好的检测各种已知和未知的攻击。通过检查每一个异常检测引擎的输出结果,并与已知和学到的会话活动相比较,误报率便会大大降低。
工作模式:路由,透明,混合 包过滤:支持状态检测
身份认证:支持内置的认证数据库,支持Radius和LDAP认证服务器 服务:提供几十种标准服务,并且支持用户自定义服务和服务组
联想网御IPS产品白皮书
