產品特點 多重方法檢測(MMD)提高精確度
NetScreen的最新產品 NetScreen-IDP采用的是嶄新的IDP(入侵檢測和防護)技術,它可以打破NIDS(網絡入侵檢測系統)的以上瓶頸。NetScreen- IDP100/500采取了一系列的革新技術。第一個革新是采用多重方法檢測技術(Multi-Method Detection,MMD), NetScreen采用了8種不同的檢測方法以強化檢測力,同時減少錯誤報警。這些檢測方法包括協議異常檢測、流量異常檢測以及一些專利技術,如:狀態簽名(Stateful Signature)、后門檢測(Backdoor Detection)等。第二個革新是NetScreen- IDP100/500采用了一個帶內(in-Line)解決方案,這是惟一能對付潛逃的技術,提供真正入侵防護的方法。第三個革新是基于規則的中央式管理的構架。集中管理使管理員能精確控制NetScreen-IDP100/500的水平,同時簡化安全策略和簽名更新的作業。
NetScreen-IDP100產品示意圖
NetScreen-IDP100/500系統通過應用協議異常、狀態簽名、流量異常、后門、同步攻擊(Syn-flood)、IP欺騙(IP spoof)、第二層檢測以及網絡陷阱(network honeypot)等8種不同的檢測方法,能準確地識別入侵。不像其他廠商那樣應用一個單一入侵檢測機制去驅動整個產品架構, NetScreen-IDP100/500的架構設計能支持上述所有檢測方法。這些方法共享信息,并且用更有效的方式一起去識別網絡和應用層中的所有形式的攻擊。同時,這些檢測方法都是針對以高數據速率進行分析而被優化的,從而確保性能未能受到影響。由于NetScreen-IDP100/500能提供一個全面的覆蓋,用戶不需要費神決定,到底是買一個基于協議異常的系統還是基于簽名的系統,或者需要兩臺或更多的產品。另外,多方法檢測使管理員能夠信任報警,而不用再擔心會浪費時間去調查錯誤報警。
帶內操作模式提供真正保護
NetScreen-IDP100/500被設計為帶內模式操作。在這種配置里,NetScreen-IDP100/500一般被放置在防火墻之后,檢查每個進出的數據包。當NetScreen-IDP100/500檢測出惡意流量時,它能丟棄連接,使之不能進入網絡。當然,你能準確地控制哪種形式的流量是需要丟棄連接的。相反,通常被動式的NIDS檢測出惡意流量時,它只能發送一個TCP重設命令,試圖阻止攻擊。但是,由于TCP重置的特性,你無法確信攻擊能及時被制止,這意味著需要花費時間去調查攻擊是否已到達它的受害者。然后你不得不去了解攻擊是怎么產生的,并且試圖去調整NIDS,以防范未來類似的事情。最后,假如攻擊成功了,你還需要評估造成的損失,當中又產生更多的投資和人力成本。采用NetScreen-IDP100/500,你可以丟棄有關惡意流量,并且確保這個流量不能到達目的地。
中央式、基于規則的管理提供更高可控性
NetScreen-IDP系統利用中央式、基于規則的管理方式,可以提供真正的三層管理架構。它包括一個檢測與執行層(傳感器)、一個管理層(服務器)和一個應用層(用戶界面)。多用戶界面可以連接到一個單一的管理服務器上,完成所有的管理操作。基于規則的管理容許NetScreen- IDP100/500的行為提供精確的控制。根據需要被尋找和匹配的來源、目標地、業務和攻擊進行分類,你可以設置相應規則,以便去應用。然后,當攻擊被檢測到時,規則指定下一步操作,如丟棄或允許連接,以及記錄攻擊。中央式安全策略允許相同的安全策略應用到多個執行點上。盡管一個設備與其他不一樣,你無需建立新的安全策略,只需列明那條在安全策略里的個別規則是對應哪臺設備即可。閉環調查(Closed Loop Investigation)使你在綜合報告、個別記錄、相關記錄的規則、記錄的數據包之間自由地瀏覽查找。數據點相互關聯以及在各信息層間輕松瀏覽查找的能力,讓你更容易理解網絡狀況,并且能對防護新威脅的工作作出即時的響應。
防火墻在控制什么流量被允許進出網絡方面做得很好。但不可避免的是,一些被允許進入的流量在本質上是惡意的。你需要第二層防護去協助防火墻,同時檢測和防止各種形式的攻擊。到現在為止,被動式的網絡入侵檢測系統(NIDS)一直被用于檢測網絡攻擊。遺憾的是,目前的入侵檢測解決方案通常只執行一個單一的入侵檢測機制,因而造成很多錯誤報警,漏過不少攻擊。另外,被動式方式不能阻止攻擊,并且在管理上亦非常困難。NetScreen開發的入侵檢測和防護系統(NetScreen-IDP100/500) 可以克服這些不足,助你保護公司的資產。
點評:應用性能放在第一位
所有與互聯網連接的企業通常要做的第一件事就是安裝防火墻,通過提供接入控制,防火墻提供了出色的第一層防護。第二層防護就是設置IDS。一般企業普遍認為,被動式的、網絡入侵檢測系統(NIDS)能夠保護機構免受攻擊。遺憾的是,這種防護方式有許多問題。
首先,大量的錯誤報警常常使系統管理員感到困惑,需要大量的人工過濾來鑒別混雜在錯誤報警中的真正的攻擊,造成許多公司都變成對這些警報數據置之不理,系統無法發揮其作用;其次,一般的NIDS解決方案很難管理和維護,它需要大量的時間和精力以保持傳感器的更新和安全策略的有效;再者,很多公司誤以為, 如果將NIDS加入其系統,就需要將NIDS的維護工作外包給專業的安全服務提供商;同時,現有的NIDS解決方案不能防止攻擊,盡管聲稱具有防護能力,其實這些產品只是檢測工具而已,防護能力是空洞的許諾。近兩年,入侵檢測系統(IDS)產品和技術得到了快速發展,從目前產品采用的檢測技術來看主要有兩種:一種是異常發現技術,也稱為協議分析技術;另一種是模式匹配檢測技術。從主流的入侵檢測產品來看,通常是采用兩種模式的結合。NetScreen- IDP采用了IDS協議分析的檢測機制,檢測功能包括了重要的IP碎片整理能力、TCP重組——在去除復制和重疊數據的時候,用正確的次序適當地重組 TCP片段的能力,流量跟蹤功能可以跟蹤流量(客戶端到服務器的流量以及服務器到客戶端的流量),并且把它們與一個單一的通信會話聯系起來,保證了檢測機制的先進性和檢測結果的正確。
總體來說,NetScreen-IDP100/500在智能管理和檢測能力上具有一定的先進性,代表了目前較為前沿的IDS檢測技術,能夠減少錯誤報警或沒有意義的報警,為用戶減少了許多無謂的工作量。
