華為 NIP6000下一代入侵防御系統
智能手機、iPad等終端大規模普及,微信、微博、Facebook、Twitter 成為.常見的網絡應用,企業利用這些新的技術,大幅度提高員工效率及運營能力。同時,云計算、移動計算等新技術蓬勃發展,已經應用于企業運營的方方面面。企業網絡邊界變得模糊,這些技術增加了組織遭受攻擊的風險,通過越來越多的安全事件,可以清楚的看到,信息安全的主要威脅發生了變化,面對新一代威脅,傳統技術已很難見效。
新一代威脅.重要的特征之一是基于零日漏洞的攻擊,傳統的防護技術需要一個較長的時間來生成可用的簽名,而在這段時間內,攻擊者可能已經對目標資產造成了重大危害。同時新一代威脅具有明確的目標性,攻擊者長期有目的性地針對環境變化采用定制化的攻擊手段,悄然之中達到了攻擊目的。不斷出現的攻擊事件,清楚的展現了一個事實:傳統技術不能完全抵御新一代威脅。當前網絡環境下IT 設施的保護,需要一套全新的方法,即針對新一代威脅的解決方案。
NIP6000系列產品在傳統IPS產品的基礎上進行了擴展:增加對所保護的網絡環境感知能力、深度應用感知能力、內容感知能力,以及對未知威脅的防御能力,實現了更精準的檢測能力,和更優化的管理體驗,更好的實現對新一代威脅的檢測與防護,保障客戶應用和業務安全,實現對網絡基礎設施、服務器、客戶端以及網絡帶寬性能的全面防護。
產品特性
全新軟硬件架構,產品性能業界..
軟件匹配引擎在處理正則表達式規則的時候,性能都比較低,極大的制約了設備檢測性能,華為NGIPS引擎采用了全球..的處理器提供商Cavium的MIPS64架構處理器,可以為IPS提供高性能的硬件模式匹配引擎。
NIP6000系列下一代入侵防御采用全新的軟硬結合一體化架構,對有規律、大批量、高運算能力要求的報文處理,采用專用多核平臺由專用的協處理器硬件處理。對小規模的運算,仍然用軟件處理。這樣的處理方式讓整體性能更高:
- 采用異步匹配技術,模式匹配中.消耗系統資源尤其是CPU資源的核心處理完全交給硬件的匹配引擎來處理,在匹配的同時不影響CPU處理其他業務,并行的處理大大提高報文處理效率和減低時延;
- 規則的增加不影響匹配的性能,硬件引擎能滿足上萬條威脅簽名的同時加載,而傳統的IPS引擎在加載大量的簽名時匹配效率嚴重下降,造成設備性能降低,而用硬件匹配引擎則能**解決這個問題;
- 提供ZIP等壓縮文件的硬件解壓能力, IPS引擎要對壓縮的網頁或者文件進行檢測,就要有強大的解壓縮引擎,而Cavium同樣提供硬件解壓縮能力,可以**對ZIP等壓縮包中的文件進行高性能的IPS檢測。
環境動態感知,實現策略調整智能化及日志分級管理
傳統的IPS設備僅基于攻擊報文的特征進行檢測,卻忽略了真實網絡環境中受保護資產的實際情況,容易產生誤報,導致管理員需要浪費大量的精力處理誤報事件。NIP6000通過對環境動態的感知,實現策略智能調整和日志分級管理功能解決此問題:
- NIP6000感知受保護網絡中的資產信息作為策略調整和風險評估的依據。支持手動錄入、主動感知和第三方掃描軟件導入資產信息,包括資產類型、操作系統、資產價值和開啟的服務等;
- 根據感知的資產信息,NIP6000進行策略自動調整,基于感知到的資產信息選取合適的簽名自動生成入侵防御策略,有針對性地防護,當環境有變化時,NIP6000能..時間感知相關的變化情況,及時自動調整或提醒管理員進行相關的策略調整以應對新的風險;
- 當NIP6000檢測到攻擊時,從簽名中提取本次攻擊針對的操作系統、服務等信息。然后將提取的信息與設備中存儲的實際資產信息進行比對,同時根據資產的價值確定攻擊事件的風險等級,并對這些告警日志進行分級管理,通過分級管理,可以幫助管理員過濾誤報攻擊事件、忽略非關鍵事件,重點聚焦高風險攻擊事件;
- 通過對環境的感知,獲取所保護網絡的靜態安全風險,同時對攻擊的實時檢測,獲取所保護網絡的動態安全風險,通過動態和靜態的風險展示,全面深刻的展示所保護網絡的風險。
支持沙箱聯動檢測和信譽體系,APT威脅無所遁形
基于簽名的威脅檢測一般是針對已知漏洞的威脅檢測,但是對于零日攻擊和APT攻擊的檢測比較弱。檢測APT攻擊的.有效手段就是沙箱技術,通過沙箱技術構造一個隔離的威脅檢測環境,然后將網絡流量送入沙箱進行隔離分析并.終判斷是否存在威脅:
- NIP6000從網絡流量中識別并提取需要進行APT檢測的文件類型,將文件送入沙箱進行威脅分析;
- 沙箱對文件進行解析,實時檢測已知或未知威脅,然后沙箱將威脅檢測結果反饋給NIP6000,并通過日志報表等形式展示威脅檢測結果;
- 將威脅的具體攻擊行為提交至云安全中心。云安全中心根據沙箱提交的威脅數據生成信譽信息和簽名庫并推送至NIP6000,從而提升NIP6000的快速威脅防御能力。
多重檢測,全面防護
越來越多的信息資產連接到了互聯網上,網絡攻擊和信息竊取形成巨大的產業鏈,這對下一代入侵防御產品的防護能力提出了更高要求。NIP6000具備全面的深度防護功能:
- 入侵防護(IPS):超過5000種漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護,如跨站腳本攻擊、SQL注入攻擊等;
- 防病毒(AV):高性能病毒引擎,可防護500萬種以上的病毒和木馬,病毒特征庫每日更新;
- 服務器惡意外聯檢測:可以對重要服務器的外聯進行檢測,包括端口盜用檢測和非法外聯行為的檢測,保護重要信息資產安全;
- SSL解密:通過代理方式,對SSL加密流量進行應用層安全防護,如IPS、AV、URL過濾等;
- Anti-DDoS: 可以識別和防范SYN flood、UDP flood等100+種網絡層及應用層DDoS攻擊
組網應用
互聯網邊界防護
此種場景NIP6000一般部署于出口防火墻或路由器后端、透明接入網絡。如果需要保護多條鏈路,可使用NIP6000的多個接口對同時接入。
- 入侵防御:防御來自互聯網的蠕蟲活動、針對瀏覽器和插件漏洞的攻擊,使得企業辦公網絡健康運行。攔截基于漏洞攻擊傳播的木馬或間諜程序活動,保護辦公電腦的隱私、身份等關鍵數據信息。
- 反病毒:對內網用戶從Internet下載的文件進行病毒掃描,防止內網PC感染病毒。
- URL過濾:對內網用戶訪問的網站進行控制,防止用戶隨意訪問網站而影響工作效率或者導致網絡威脅。
- 應用控制:對P2P、視頻網站、即時通訊軟件等應用流量進行合理控制,**企業主要業務的順暢運行。
IDS/服務器前端防護
此種場景一般采用雙機部署避免單點故障。部署位置有如下兩種:直路部署于服務器前端,采用透明方式接入;或者旁掛于交換機或路由器,外網和服務器之間的流量、服務器區之間的流量都先引流到NIP6000處理后再回注到主鏈路。
- 入侵防御:防御對Web、Mail、DNS等服務器的蠕蟲活動、針對服務和平臺的漏洞攻擊。防御惡意軟件造成服務器數據的損壞、篡改或失竊。防御針對Web應用的SQL注入攻擊、各種掃描、猜測和窺探攻擊
- 服務器惡意外聯檢測:防御服務器的惡意外聯,防止價值信息外傳
- 反病毒:對用戶向服務器上傳的文件進行病毒掃描,防止服務器感染病毒。
- DDoS攻擊防范:防御針對服務器的DoS/DDoS攻擊造成服務器不可用。
網絡邊界防護
對于大中型企業,內網往往被劃分為安全等級不同的多個區域,區域間有風險隔離、安全管控的需求。如部門邊界、總部和分支機構之間等,實現了網絡區域的安全隔離
- 入侵防御:實現網絡安全邏輯隔離,檢測、防止外部網絡對本網的攻擊探測等惡意行為,以及外部網絡的蠕蟲、木馬向本網蔓延;
- 違規監控:監控內部網絡用戶向外部網絡的違規行為;
旁路監控
旁路部署在網絡中監控網絡安全狀況也是IPS產品的一種應用場景,此種場景下IPS產品主要用來記錄各類攻擊事件和網絡應用流量情況,進而進行網絡安全事件審計和用戶行為分析。在這種部署方式下一般不進行防御響應。旁掛在交換機上,交換機將需要檢測的流量鏡像到NIP6000進行分析和檢測。
- 入侵檢測:檢測外網針對內網的攻擊、內網員工發起的攻擊,通過日志和報表呈現攻擊事件供企業管理員評估網絡安全狀況。同時提供攻擊事件風險評估功能降低管理員評估難度。
- 應用識別:識別并統計P2P、視頻網站、即時通訊軟件等應用流量,通過報表為企業管理員直觀呈現企業的應用使用情況。
- 防火墻聯動:IDS設備防御能力弱,檢測到攻擊后可以通知防火墻阻斷攻擊流量
- 滿足對政策合規性要求,如等保、涉密網等政府強制標準的遵從等
產品規格
整機規格:
型號 | NIP6320 | NIP6610 | NIP6330 | NIP6620 | NIP6650 | NIP6680 | NIP6860 |
---|---|---|---|---|---|---|---|
產品性能 | 中端百兆 | 低端千兆 | 中端千兆 | 高端千兆 | 中端萬兆 | 高端十萬兆 | |
擴展性 | |||||||
固定接口 | 4GE+2Combo | 8GE+4SFP | 4*10GE+16GE+8SFP | 無固定接口 支持: 24xGE, 6x10GE, 12x10GE, 3x40GE, 1x100GE | |||
高度 | 1U | 3U | 14U | ||||
尺寸(mm) | 442*421*43.6 | 442×415×130.5 | 442 × 650 × 620 | ||||
重量 | 10KG | 24KG |
空箱 43.2kg 滿配 112.9kg |
||||
硬盤 | Optional single 300 GB hard disks ( hot swappable). | Optional. Supports 300 GB hard disks (RAID1 and hot swappable). | 不支持硬盤 | ||||
冗余電源 | Optional | 標準配置 | |||||
AC 電源 | 100~240V | 90V ~ 264V | |||||
DC電源 | - | -48~-60V | -72 to -38V | ||||
功耗 | 170W | 350W |
DC 典配: 4025W, DC .大: 4823W AC 典配: 4282W , AC .大: 5132W |
||||
工作環境 |
溫度:0~45℃ (不含硬盤)/5℃~40℃ (包含硬盤)濕度:10%~90% |
溫度:0~45℃; 濕度:5%~85% |
|||||
功能 | |||||||
IT環境感知 | 支持感知被保護IT資產的資產類型、操作系統,啟用的服務等資產情況,動態生成適合當前IT環境的入侵防御策略。 | ||||||
日志分級管理 | 支持根據實際IT環境評估攻擊事件風險等級,聚焦關鍵攻擊事件、忽略低風險攻擊事件。 | ||||||
策略調整 | 支持對現網流量應用類型自學習,根據流量中包含應用類型的風險級別選擇是否需要進行入侵檢測。 | ||||||
URL黑名單 | 通過URL黑名單禁止用戶訪問某些網址,達到管理員工上網行為的目的。 | ||||||
應用層DDoS攻擊防范 |
支持流量模型自學習; 支持防范應用層DDoS攻擊:HTTP Flood、HTTPS Flood、DNS Flood、SIP Flood |
||||||
SSL流量檢測 | 支持對HTTPS流量進行解密并進行威脅檢測。 | ||||||
單包攻擊防范 | 支持防范多種單包攻擊: 掃描類攻擊:IP地址掃描、端口掃描;畸形報文類攻擊:IP Spoofing、LAND攻擊、Smurf攻擊、Fraggle攻擊、WinNuke、Ping of Death、Tear Drop、IP分片報文檢測、ARP欺騙、TCP標記合法性檢查;特殊報文控制類攻擊:超大ICMP報文控制、ICMP不可達報文控制、ICMP重定向報文的控制、Tracert、源站選路選項IP報文控制、路由記錄選項IP報文控制、時間戳選項IP報文控制 | ||||||
入侵防御IPS | 基于簽名庫防御蠕蟲、木馬、僵尸網絡、跨站攻擊、SQL注入等常見攻擊。同時還支持自定義簽名應對突發攻擊。 | ||||||
APT檢測 | 基于信譽體系和沙箱技術檢測APT攻擊,NIP6300/6600將疑似文件送入沙箱進行檢測,然后根據沙箱的檢測結果展示攻擊事件。基于信譽體系和沙箱技術檢測APT攻擊,NIP6300/6600將疑似文件送入沙箱進行檢測,然后根據沙箱的檢測結果展示攻擊事件。 | ||||||
反病毒AV | 病毒庫每日更新,可迅速檢出超過500萬種病毒。 | ||||||
惡意文件檢測 | 從各個文件傳輸協議(HTTP、SMB、FTP、SMTP、POP3、IMAP、NFS)中提取文件,并進入針對文件的檢測引擎進行檢測 | ||||||
應用識別與控制 | 基于應用識別特征庫可識別P2P、IM、網絡游戲、社交網絡、視頻、語音應用等6000+種應用協議。基于識別出的應用協議可以進行阻斷、流量限制、應用使用情況展示等處理。 | ||||||
IPv6流量檢測 | 支持IPv6網絡部署及IPv6流量的威脅檢測與防護。 | ||||||
隧道內流量檢測 | 支持對VLAN、QinQ、MPLS、GRE、IPv4 over IPv6、IPv6 over IPv4隧道流量進行攻擊檢測。 | ||||||
網絡層DDoS攻擊防范 |
支持流量模型自學習; 支持防范網絡層DDoS攻擊:SYN Flood、UDP Flood、ICMP Flood、ARP Flood; |
||||||
IP隔離 | 支持將產生攻擊的源/目的IP地址加入黑名單,阻斷對應IP的后續報文。 | ||||||
雙機熱備 | 支持VRRP、VGMP、HRP等雙機熱備協議。提供完善的雙機熱備處理機制,**主機發生故障時,業務可以自動平滑切換到備機上運行。 | ||||||
硬件Bypass | 通過插入Bypass卡,實現系統工作異常(包括軟件異常、硬件故障、設備掉電等嚴重故障)時流量直通功能,保障業務不中斷。 | ||||||
日志顯示 | 支持流量日志、威脅日志、URL日志、操作日志、系統日志、策略命中日志等多種日志類型供管理員查看,幫助管理員掌握網絡事件。 | ||||||
報表呈現 | 支持流量報表、威脅報表、策略命中報表等多種報表類型供管理員查看和訂閱,幫助管理員了解網絡流量狀況、威脅狀況。同時網管系統eSight還支持更綜合、更豐富的報表。 | ||||||
配置管理 | 支持通過Web界面、命令行(Console、Telnet、STelnet)、以及網管(SNMP)對設備進行管理。 | ||||||
特征庫升級 | 支持入侵防御特征庫、應用識別特征庫和反病毒特征庫的離線和在線升級,使設備持續擁有.新的防護能力。 | ||||||
故障診斷 | 支持可視化故障診斷功能,可以幫助管理員一次性完成所有可能原因的診斷,并且自動給出診斷結果和修復建議。 |
訂購信息
對外型號 | NIP機型編碼 | 中文描述 |
---|---|---|
NIP6610-AC | 02350CVY | 裝配組件-NIP6610-NIP6610-AC-NIP6610交流主機(4GE電+2GE Combo,含知識庫升級服務12個月) |
NIP6320-AC | 02350CWA | 裝配組件-NIP6320-NIP6320-AC-NIP6320交流主機(4GE電+2GE Combo,含知識庫升級服務12個月) |
NIP6330-AC | 02350CWC | 裝配組件-NIP6330-NIP6330-AC-NIP6330交流主機(8GE電+4GE光,含知識庫升級服務12個月) |
NIP6620-AC | 02350CWU | 裝配組件-NIP6620-NIP6620-AC-NIP6620交流主機(8GE電+4GE光,含知識庫升級服務12個月) |
NIP6650-AC | 02350CWD | 裝配組件-NIP6650-NIP6650-AC-NIP6650交流主機(8GE電+4GE光,2交流電源,含知識庫升級服務12個月) |
NIP6650-DC | 02350CWE | 裝配組件-NIP6650-NIP6650-DC-NIP6650直流主機(8GE電+4GE光,2直流電源,含知識庫升級服務12個月) |
NIP6680-AC | 02350CWH | 裝配組件-NIP6680-NIP6680-AC-NIP6680交流主機(16GE電+8GE光+4*10GE光,2交流電源,含知識庫升級服務12個月) |
NIP6680-DC | 02350CWJ | 裝配組件-NIP6680-NIP6680-DC-NIP6680直流主機(16GE電+8GE光+4*10GE光,2直流電源,含知識庫升級服務12個月) |
LIC-AV12-NIP63-HM | 88032TYQ | 軟件費用-NIP6300-LIC-AV12-NIP63-HM-反病毒升級服務時間12個月 |
LIC-AV24-NIP63-HM | 88032TYR | 軟件費用-NIP6300-LIC-AV24-NIP63-HM-反病毒升級服務時間24個月 |
LIC-IPS12-NIP63-HM | 88032TYS | 軟件費用-NIP6300-LIC-IPS12-NIP63-HM-知識庫升級服務時間12個月 |
LIC-IPS24-NIP63-HM | 88032TYT | 軟件費用-NIP6300-LIC-IPS24-NIP63-HM-知識庫升級服務時間24個月 |
LIC-AV12-NIP66-LM | 88032UBJ | 軟件費用-NIP6610-LIC-AV12-NIP66-LM-反病毒升級服務時間12個月 |
LIC-AV24-NIP66-LM | 88032UBK | 軟件費用-NIP6610-LIC-AV24-NIP66-LM-反病毒升級服務時間24個月 |
LIC-IPS12-NIP66-LM | 88032UBL | 軟件費用-NIP6610-LIC-IPS12-NIP66-LM-知識庫升級服務時間12個月 |
LIC-IPS24-NIP66-LM | 88032UBM | 軟件費用-NIP6610-LIC-IPS24-NIP66-LM-知識庫升級服務時間24個月 |
LIC-AV12-NIP66-LG | 88032UBN | 軟件費用-NIP6620&NIP6620D-LIC-AV12-NIP66-LG-反病毒升級服務時間12個月 |
LIC-AV24-NIP66-LG | 88032UBP | 軟件費用-NIP6620&NIP6620D-LIC-AV24-NIP66-LG-反病毒升級服務時間24個月 |
LIC-IPS12-NIP66-LG | 88032UBQ | 軟件費用-NIP6620&NIP6620D-LIC-IPS12-NIP66-LG-知識庫升級服務時間 |
LIC-IPS24-NIP66-LG | 88032UBR | 軟件費用-NIP6620&NIP6620D-LIC-IPS24-NIP66-LG-知識庫升級服務時間24個月 |
LIC-AV12-NIP66-HG | 88032UBS | 軟件費用-NIP6650&NIP6650D&NIP6680-LIC-AV12-NIP66-HG-反病毒升級服務時間12個月 |
LIC-AV24-NIP66-HG | 88032UBT | 軟件費用-NIP6650&NIP6650D&NIP6680-LIC-AV24-NIP66-HG-反病毒升級服務時間24個月 |
LIC-IPS12-NIP66-HG | 88032UBU | 軟件費用-NIP6650&NIP6650D&NIP6680-LIC-IPS12-NIP66-HG-知識庫升級服務時間12個月 |
LIC-IPS24-NIP66-HG | 88032UBV | 軟件費用-NIP6650&NIP6650D&NIP6680-LIC-IPS24-NIP66-HG-知識庫升級服務時間24個月 |