天融信产品白皮书 网络卫士入侵防御系统 TopIDP 系列 网络卫士入侵防御系统 TopIDP 天融信公司为了满足市场上用户对入侵防御产品的需求， 推出了 “网络卫士入侵防御系统 TopIDP” 。它是基于新一代并行处理技术开发的网络入侵防御系统，通过设置检测与阻断策略对流经 TopIDP 的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部 IT 资源的安全保护。 TopIDP 采用天融信自主研发的 TOS 操作系统和多核处理器的硬件平台， 保证了 TopIDP产品更高性能地对网络入侵进行防护。TopIDP 能够阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的 DoS 攻击等。入侵防御策略库随时防护目前业内最流行的入侵攻击行为。与现在市场上的入侵防御系统相比，TopIDP 系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向，堪称网络入侵检测和防御系统的典范。 强大的高性能多核并行处理架构强大的高性能多核并行处理架构 TopIDP 产品采用了先进的多核处理器硬件平台，将并行处理技术成功地融入到天融信自主知识产权操作系统 TOS（Topsec Operating System）系统，集成多项发明专利，形成了先进的多核并发运算的架构技术体系。在此基础上的 TopIDP 产品具有高速的数据并行检测处理和转发能力，能够胜任高速网络的安全防护要求。 图 1 多核 CPU 内部运算示意图 精确的基于目标系统的流重组检测引擎精确的基于目标系统的流重组检测引擎 传统的基于单个数据包检测的入侵防御产品无法有效抵御 TCP 流分段重叠的攻击，任何一个攻击行为通过简单的 TCP 流分段组合即可轻松穿透这种引擎，在受保护的目标服务器主机上形成真正的攻击。TopIDP 产品采用了先进的基于目标系统的流重组检测引擎，首先对到达的 TCP 数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了 TCP 流分段重叠攻击行为。 准确与完善的检测能力准确与完善的检测能力 TopIDP 产品的智能检测引擎可分析网络攻击的组合行为特征来准确识别各种攻击，准确性更高；可以智能地识别出多种攻击隐藏手段及变种攻击，带来更高安全性；通过智能化检测引擎，能够识别出多种高危网络行为，并可以将此类行为以告警方式通知管理员，达到防患于未然的目的，带来更高网络安全性；同时新版 TopIDP 具有强大的木马检测与识别能力；完善的应用攻击检测与防护能力；丰富的网络应用控制能力和及时的应急响应能力。 丰富灵活的自定义规则能力丰富灵活的自定义规则能力 TopIDP 产品内置了丰富灵活的自定义规则能力，能够根据协议、源端口、目的端口及协议内容自行定义攻击行为， 其中协议内容支持强大灵活的 PCRE （兼容 perl 的正则表达式）语法格式，特定协议支持更多达 10 种，包括：ip、tcp、http、dns、ftp、pop3、smtp、qq、msn、imap 等。借助于灵活的自定义规则能力，用户可以轻松定义自己的应用层检测和控制功能。 可视化的实时报表功能可视化的实时报表功能 TopIDP 产品提供了可视化的实时报表功能，可以实时显示按发生次数排序的攻击事件排名， 使网络攻击及其威胁程度一目了然。 应用配套的 TopPolicy 产品， 可以实时显示 Top10攻击者、Top10 被攻击者、Top10 攻击事件等统计报表，更可以显示 24 小时连续变化的事件发生统计曲线图。借助于可视化的实时报表功能，用户可以轻松实现全网威胁分析。 与天融信集中管理产品与天融信集中管理产品 TopPolicy 的完美融合的完美融合 TopIDP 产品完全支持天融信集中管理产品 TopPolicy，可以通过 TopPolicy 分级管理多个 TopIDP 产品，并能够集中下发策略，集中监控设备运行状态、及时响应安全事件。同时TopPolicy 能够集中收集 TopIDP 产品发出的日志信息，并能够进行统计分析，输出报表。与TopPolicy 的完美融合， 使得 TopIDP 产品分布部署和管理简便易行， 并能够实现真正的全网威胁分析。 功能类别 功能项 功能描述 工作模式 网络接入 透明，路由，IDS 监听，混合 防火墙 访问控制 基于状态检测的动态包过滤 基于源/目的 IP 地址、端口、协议、时间的访问控制 支持报文合法性检查 支持 IP/MAC 绑定 NAT 支持双向 NAT 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多种方式的地址转换 支持协议包括 H.323、 SIP、 FTP、 RTSP、 SQL*NET、 MMS、 RPC、TFTP、PPTP 等 攻击类型 攻击特征库 大于 2200 条的规则 木马(Trojan) 具备丰富的木马特征库，能识别包括灰鸽子、PCShare、 Gh0st、上兴、Byshell、Npch、Downloader 等多种热点木 马及其变种，以及识别多种网页挂马攻击 RPC 能对当前主流的 RPC 漏洞攻击做检测和阻断， 例如： RPC 0x82-dcomrpc_usermgret、RPC Immunity_svchostkill 等 系统漏洞 （vulnerability） 支持识别针对 FTP、Netbios、IMAP、Samba 等应用安全 漏洞的攻击 拒绝服务 （DOS/DDOS） 能对当前主流的拒绝服务做检测和阻断， 例如： WinNUKE 攻击、UDP Flooding、SYN Flooding 等 溢出 （bufferoverflow） 支持识别多种 IIS、Apache、RPC、Oracle、SQL 等应用 系统类溢出攻击 HTTP 能对当前主流的 HTTP 类攻击做检测和阻断， 例如： HTTP Apache 批处理文件漏洞、Apache2.0.39 及以前版本存在 目录遍历漏洞、Cart32 管理员口令泄露漏洞等 自定义攻击 可以根据用户需求自行设置攻击规则， 能对其他有害攻击 行为做检测和阻断 应用监控 P2P 应用 支持识别 BT、迅雷、Napster、Popo、Kazaa 等 P2P 类应 用 IM 支持识别 QQ、MSN、ICQ、UC 以及 Google Talk 等 IM 类应用 游戏 支持识别魔兽世界、征途、劲舞团、跑跑卡丁车、梦幻西 游以及 QQ 游戏等网络游戏 异常流量 能对设备的异常流量进行分析、阻断 入侵防御 引擎 支持路由、交换、直连、IDS 监听四种模式 支持基于源、目的、规则集、动作的入侵检测规则 支持时间对象 支持策略改变引擎自动重起 DDOS 防御 非法报文攻击：land、Smurf、Pingofdeath、winnuke、 tcp_sscan、ip_option、teardrop、targa3、ipspoof 统计型报文攻击：Synflood、Icmpflood、Udpflood、 Portscan、ipsweep 支持主机连接数和半连接数的限制 动作 支持阻断 drop，检测到策略中设置的数据后，丢弃报文 支持报警 Alert， 检测到策略中设置的数据后，进行报警 支持 TCP Reset，向攻击者发 TCP Reset 包 支持日志 Log，检测到攻击事件后记录日志 支持记录报文， 检测到攻击事件后将原始报文完整记录下 来 支持防火墙联动，与防火墙联动，仅限 IDS 模式运行 支持自定义组合， 可以将以上操作的组合做为一个新的动 作 报表 Webui 支持实时显示按发生次数累计的攻击事件排名 支持 Top10 攻击者、Top10 被攻击者、Top10 事件统计报 表 支持按时间统计的 IPS 流量报表 支持选定时间、网络攻击分类的统计报表 支持日报、周报、月报、季报等统计报表 支持报表输出，输出格式可以为 PDF、DOC、HTML 格式 规则库维护 支持自定义规则库导入、导出 支持系统规则库手动、自动升级 系统规则 预置系统规则集包含认证类、木马类、拒绝服务类、即时 通讯类、 p2p 类、 溢出攻击类、 扫描类、 系统漏洞类、 webcgi 类、蠕虫类、游戏类、HTTP 攻击类、RPC 攻击类、高风 险类、中风险类、低风险类和所有事件等 自定义规则 支持自定义规则 支持自定义规则集 网 络 适 应 性 路由 支持静态路由 支持基于源/目的地址、接口、Metric 的策略路由 支持 Vlan 路由，能够在不同的 VLAN 虚接口间实现路由 功能 VLAN 支持 802.1Q，能进行封装和解封 在同一个 Vlan 内能进行二层交换 ARP 支持 ARP 代理、ARP 学习 可设置静态 ARP 高可用性 双机热备 支持双机热备（Active-Active 模式） 支持连接、配置同步 Bypass 提供专业的硬件 ByPass 功能，保证网络通畅 负载均衡 支持轮询、加权轮叫、最少连接、加权最少链接等多种服 务器负载均衡方式 备份系统 支持备份系统， 主系统破坏后可以通过备份系统启动运行 系统管理 管理方式 支持 WEB 图形配置、命令行配置 支持本地配置、远程配置 支持基于 SSH、SSL 的安全配置 SNMP 支持 SNMP 的 v1 、v2 、v2c 、v3 版本 与当前通用的网络管理平台兼容，如 HP Openview 等 丰富的私有 MIB 系统信息 监控和报警 支持网络接口、CPU 利用率、内存使用率等 内置了“管理”、 “系统”、 “安全”、 “策略”、 “通信”、 “硬件”、 “容错”、“测试”等多种触发报警的事件类 支持邮件、SNMP、控制台等多种组合报警方式 日志 支持 Welf、Syslog 等多种日志格式的输出 支持通过第三方软件来查看日志 支持日志分级 支持对接收到的日志进行缓冲存储 其它 系统升级，支持远程维护和系统升级 系统升级，支持 TFTP、FTP、HTTP 方式升级 配置恢复，可进行配置文件的备份、下载、删除、恢复和 上载 时钟调整，支持网络时钟协议 NTP，可自动根据 NTP 服 务器时钟调整本机时间 典型部署图典型部署图 面对复杂多变的网络环境，企业不仅需要有针对重点区域的防护，还需要针对内部整个网络的全面防护。此时就需要在企业网络的出入口和重点服务器处分别部署 TopIDP 入侵防护系统。 两种部署方式的相互配合可以更好地保护企业的重要信息资产、 提高企业网络整体的安全水平。部署示意图如下。 综合应用部署图综合应用部署图 TopIDP 可以同时具备防火墙和入侵防御产品的功能，部署在网络的边界处，即可以进行网络访问控制等功能，同时对入侵的网络行为进行高效的阻断，保护内网的安全。下图是一个 TopIDP 被纵深部署在从中央到地方的网络中的部署图。产品型号 PN 描述 TopIDP2000 TI-2124-IDP 1U 机型；最大配置为 8 个接口； 标配 4 个 10/100BASE-TX 端口， 2 个接口扩展槽位 TI-2230-IDP 1U 机型；最大配置为 26 个接口； 标配 2 个 10/100BASE-TX 端口； 3 个接口扩展插槽位；具有硬件 Bypass 功能 TopIDP3000 TI-3230-IDP 1U 机型；最大配置为 26 个接口； 标配2个10/100/1000BASE-TX端 口，3 个接口扩展槽位；具有硬件 Bypass 功能 TI-3430-IDP 2U 机型；最大配置为 26 个接口； 标配 2 个 10/100/1000BASE-TX 端口；3 个接口扩展插槽位；具有 硬件 Bypass 功能 TI-3630-IDP 2U 机型；最大配置为 26 个接口