一.网络入侵防护系统
针对日趋复杂的应用安全威胁和混合型网络攻击,提供了完善的安全防护方案。网络入侵防护系统(以下简称
“NSFOCUSNIPS(N系列)”)是拥有完全自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在适应攻防的最新发展,准确监测网络异常流量,自动应对各层面安全隐患,第一时间将安全威胁阻隔在企业网络外部。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御。为应对新型攻击带来的威胁,从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测和防护,为企业提供了一个看得见、检得出、防得住的全新入侵防护解决方案。
1.1 体系结构
NSFOCUSNIPS(N系列)的体系架构包括三个主要组件:网络引擎、管理模块、安全响应模块,方便各种网络环境的灵活部署和管理。
图 1.1 网络入侵防护系统体系架构
1.2 主要功能
NSFOCUSNIPS(N系列)是网络入侵防护系统同类产品中的精品典范,该产品高度融合高性能、高安全性、高可靠性和易操作性等特性,产品内置先进的Web信誉机制,同时具备深度入侵防护、精细流量控制,以及全面用户上网行为监管等多项功能,能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。 入侵防护
实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
Web安全
基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁。 流量控制
阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。 应用管理
全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和非授权网络流量,更好地执行企业的安全策略。
1.3 解决方案
入侵防护解决方案,实现从企业网络核心至边缘,以及分支机构的全面保护,适用于不同环境的多种安全防护需求。
1.3.1 多链路防护解决方案
目前,很多企业为了保证网络带宽资源的充足和网络冗余,网络出口采用多链路连接方式,连接到两个或更多ISP服务商。
针对这种连接方式,入侵防护系统提供多链路防护的解决方案,在网络出口处部署一台网络入侵防护系统,采用多路NIPS(N系列)的部署方式:
1. NSFOCUSNIPS(N系列)支持多路NIPS(N系列)部署,每路NIPS(N系列)单
独防护一个ISP接入链路,一台NSFOCUSNIPS(N系列)可以同时防护多条链路,节约客户投资;
2. NSFOCUSNIPS(N系列)的各路NIPS(N系列)是相互的,彼此之间没有数
据交换,互不干扰,保证了各链路流量的自身安全;
3. NSFOCUSNIPS(N系列)实时监测各种流量,提供从网络层、应用层到内容层的深
度安全防护。
图 1.2 NSFOCUSNIPS(N系列)多链路防护解决方案
1.3.2 混合防护解决方案
大型企业的网络规模很大,结构相对复杂,不仅有总部,还有各地的分支机构,既要保护网络边界的安全,同时又要保护企业内网的安全。
针对大型企业网络特点,网络入侵防护系统提供混合防护的解决方案:
1. 在总部互联网出入口处在线部署NSFOCUSNIPS(N系列),实现路由防护,提供互
联网的从网络层、应用层到内容层的深度安全防护;
2. 在总部内部网段之间以及与分支机构网络之间在线部署NSFOCUSNIPS(N系列),
提供透明接入的、多路NIPS(N系列)一进一出的、交换式NIPS(N系列)多进多出的全方位、立体式的安全防护体系,实现内网的安全区域划分和控制; 3. 在企业服务器区旁路部署NSFOCUSNIPS(N系列),相当于入侵检测系统,监测、
分析服务器区的安全状况,保护服务器安全;
4. 通过一个安全中心,实现对全网NIPS(N系列)设备的集中管理、安全信息的集中
分析和处理,有效解决企业面临的安全问题,提高投资回报率。
图 1.3 NSFOCUSNIPS(N系列)混合防护解决方案
二.抗拒绝服务系统(云监护系列)
1.1 产品概述
抗拒绝服务系统(云监护系列)(NSFOCUSManagedAnti-DDoSSystem,简称PAMADS),是在原有ADS和NTA产品的基础上,进一步融合云安全技术,推出的7x24小时DDoS攻击防护解决方案。PAMADS可以帮助用户将本地的ADS和NTA设备(如果有的话)与云安全中心对接和同步,由安全专家团队协助用户对拒绝服务攻击进行全天候监控,从事前检测预防、事中响应防护、事后持续监控的角度,最大限度减少DDoS攻击带来的损失,同时帮助用户从繁重的日常安全维护工作中解脱出来,让用户能够专注于自身核心业务的发展。
1.2 主要功能
DDoS攻击监测、分析、响应与防护
用户NTA和ADS设备和云安全中心对接后,会实时将设备状态和日志信息上传云安全中心。云安全中心将收集到的设备状态和日志信息进行归一化和关联分析,形成一条条DDoS攻击告警事件,实时呈现在监测界面上,供7x24小时值守的安全专家团队进一步分析处理。
安全专家团队实时观察DDoS攻击事件监测界面的变化情况,一旦发现告警事件,会第一时间了解该事件的详细信息,包括告警时间、攻击类型、攻击端口、攻击流量等,同
时结合云安全中心对用户资产可用性的监测结果,对该事件的准确性以及影响程度在30分钟之内做出判断,决定是否需要通告用户。
安全专家团队经过分析,确认某一告警事件确系DDoS攻击之后,会第一时间通过电话、短信或邮件等方式将分析结果通告用户,并且在取得用户授权的情况下,协助用户快速调整设备的安全防护策略,精确拦截DDoS攻击。
图 1.4 云安全监控中心
设备远程维护
除了协助用户监测和防御DDoS攻击,安全专家团队还会远程协助用户维护NTA和ADS设备,包括设备监控、系统升级、故障排查、设置调整等。其中,设备监控主要包括以下信息:
• • • • • • • • • •
ADS、NTA设备的CPU使用率 ADS、NTA设备的内存使用率 ADS、NTA设备的磁盘使用率 ADS、NTA设备的引擎状态 ADS、NTA设备的端口状态 ADS、NTA设备的关键进程运行情况 ADS、NTA设备的配置变更记录 ADS、NTA设备的证书信息 ADS设备的实时流量数据 NTA设备的Netflow状态
