分享

交大捷普国产入侵防御系统应用案例

一、背景
随着网络安全尤其是黑客技术的不断发展,用户面临的安全隐患和安全管理问题也越来越多,安全威胁尤其是多种技术混杂在一起的混合威胁正在飞速增长,如蠕虫病毒、僵尸网络、木马后门、间谍软件、DDoS攻击、网络资源滥用以及基于应用的新型威胁等,极大的困扰着用户。随着云计算、物联网、智慧城市、移动互联网等新一代应用和技术的广泛应用,在促进应用创新的同时,也将带来严重的信息安全隐患。如何能够及时发现网络入侵的发生,并合理、规范化的利用现有的网络资源,成为摆在我们面前的一个重大问题。
二、产品简介
捷普入侵防御系统是一款基于软硬件的入侵防御系统,硬件平台核心处理器采用了国产飞腾和国 产海光处理器,搭配国产麒麟操作系统。捷普入侵防御系统性能优异,运行稳定、可靠,为企业、政府和服务供应商提供关键业务、实时防护。系统能够全面抵御蠕虫、病毒、木马、间谍软件等恶意程序,并实时检 测和阻断溢出攻击、RPC 攻击、拒绝服务攻击、WEB CGI 攻击、SQL 注入、APT 等各类新型攻击,为网络设备、 虚拟机、国产化操作系统和关键应用提供安全保护。捷普入侵防御系统在抵御黑客攻击的同时,还能精确管控 如 P2P 下载、恶意网站、IM 即时通信、在线视频、网络游戏等网络行为,进一步提升企业员工的工作效率和消除安全隐患。
三、业务架构
d567bc4347d343b4bc1d51db6a8589df.png.jpg
功能特点
1.精准行为识别:
8000+条检测规则:从危险程度、攻击手段和服务类型三个角度划分为多种规则对象;全面覆盖 Windows、Linux、Solaris、ALX、BSD 等操作系统,实现了对攻击行为的全面识别和检测,以及对流行病毒木马、APT 的检测。规则库经国际权威组织 CVE 以及国家漏洞库 CNNVD 的兼容性认证。
先进检测技术:系统采用了双向流量检测、加密数据检测、同时支持特征检测 + 原理检测,可全面检测攻 击行为。先进的反规避检测手段,可有效对抗分片、分段逃逸攻击。 高效 DDoS 防护:全面防御 SYN flood、ICMP flood、UDP flood、Winnuke、TcpScan、CC 攻击以及 DNS、SNMP、NTP 等协议的放大攻击,可有效区分攻击流量和正常业务流量。
2.高可用性保障:bypass :软件 bypass,设备 CPU 过载时可自动切换成 bypass 模式,保证网络畅通;硬件 bypass,异常断电时,保证网络流量透明转发。 HA 部署:主备模式,两台设备进行热备,一台故障时,另外一台自动接管流量;主主模式,两台设备进行流量负载,增加了链路带宽。 多核硬件 DPDK 架构,自主操作系统,功能丰富、结构稳定。
3.快速性能平台:基于多核处理架构和动态处理器负载均衡技术,保证了系统的高性能实时检测和防御,通过 WEB 安全检测、 病毒检测、各种攻击检测、DPI 深度检测等多引擎自由协商调度先进技术,提供多层次立体化防护,并实现对网络数据的高性能实时检测和防御。
4.可控:捷普入侵防御系统在硬件层面采用了具有我国自主知识产权的飞腾处理器,使产品安全性获得巨大提升,并具备高效的网络安全处理与转发能力。
、产品优势
  • 检测全面,IPv6支持,配置简单
捷普国产入侵防御系统串联部署在网络中,支持IPv4及IPv6网络环境。它通过综合采用标记检测、协议分析、后门检测、流量签名、欺骗检查、链路层检查、连接风暴检测、内容分析和异常行为分析等相结合的多种检测技术,提供准确的检测和阻断,以发现已知和未知攻击,使需要管理人员干预的程度最小化,甚至可以做到“即插即用”和“零配置”,即系统初次启动便会自动配置好常用的工作模式,有效减轻管理员对攻击报警处理的压力。
  • 强大的攻击检测规则库
捷普入侵防御系全面覆盖Windows、Linux、Unix、Solaris、AIX、BSD等操作系统,实现了对多种常见攻击的识别和多种流行蠕虫病毒的检测,并提供规则库的自动在线升级功能。通过使用捷普安全实验室精心设计的7000多条规则,能够有效的对各种攻击进行防御。
  • 有效的APT检测能力
通过IPS内置沙箱和内容还原功能,可以对恶意文件进行动态检测和静态检测,从而发现0day攻击和未知恶意行为。检测覆盖smtp、pop3、imap、ftp、http等协议,能够对APT攻击实现全面检测。
  • 丰富的攻击行为检测
捷普国产入侵防御系统检测规则由捷普安全实验室精心挑选,同时,完全依靠规则检测也是不够的,该系统把通过统计等手段才能检测出的各种攻击行为都纳入其中。很好的解决了以下一些类型的攻击检查:
  • Arp相关类
  • 后门类
  • 分片相关类
  • 传输层相关类
  • 会话层相关类
  • 数据包解码相关类
  • RPC解码相关类
  • 扫描相关类
  • 即时通信类
  • P2P类
  • Web攻击类
  • 游戏事件类
  • 邮件类
  • 病毒事件类
  • 异常流量类
  • Dos/DDos类
  • 远控木马类
系统提供了以上各种类型的配置接口。对每一种类型都可以单独配置其生效与否,动作等参数。
  • 强大的应用行为规则库
捷普国产入侵防御系统全面覆盖基本服务,HTTP应用,视频网站,P2P下载,流媒体,网络游戏,即时通讯,股票,网上银行,网络电话,网络存储,网页邮箱,软件更新,远程控制,网络货币,网上支付,生活服务,移动应用等应用类型,包含应用特征2300多个。
  • 丰富的IM/P2P/网络游戏/网络视频检测功能
捷普国产入侵防御系统能够检测和过滤腾讯QQ、web微信、YY语音等IM即时聊天软件流量;可以检测常见的P2P协议流量,包括BT、电驴、电骡、vagaa和迅雷等;可以检测联众、边锋游戏、征途和三国杀等常见网络游戏;可以检测优酷视频、土豆视频、新浪视频、腾讯视频、网易视频、凤凰视频、奇艺网视频和中国网络电视等各种网络视频点播。
  • 有针对性的网络行为监控能力
捷普国产入侵防御系统能够对协议还原及回放(可还原HTTP,SMTP,POP3,IMAP,FTP,TELNET 协议),以及文件还原后的病毒扫描,更加有效的监控网络活动行为。
  • 无线网络防护
捷普国产入侵防御系统能够实时监听空间区域内的无线信号,自动发现覆盖区域内的无线设备及终端,并可通过安全策略和无线黑名单阻断伪装AP及非法终端。
  • 精细的流量管理功能
采用基于接口线路、通道、IP和应用的三级流量管理模式。具备优先级划分和带宽借用功能,使得网络中不同类型的流量具有更合理的比例和分布,并结合最小带宽保证,及最大带宽,全面实现流量的精细化控制。
  • 全面深入的应用层协议识别与分析
捷普国产入侵防御系统全面深入的协议识别与分析技术能够分析近100种应用层协议,包括HTTP、FTP、SMTP、POP3等,极大提高检测的准确性,降低误报率;能够识别100多种包括木马、后门、IM即时聊天、网络游戏、网络视频在内的应用层协议,不仅可以更有效的检测通过动态端口或智能隧道等进行的恶意入侵,并且能更好的提高检测效率和准确率。
  • 先进的规则分析技术
捷普国产入侵防御系统采用基于统计的挖掘技术,通过挖掘发现事件不同维度的关系。统计挖掘分析是基于网络引擎设备提供的信息采集报警,在此基础上实现入侵信息和流量的统计挖掘,效率和效果均能够满足网络异常监测的需求。
  • 智能化的异常判断发现技术,检测未知攻击
捷普国产入侵防御系统通过对网络状态的监测,掌握网络正常状态模型。该系统通过监测一段时间内的网络状态,建立起一个基于时间的正常流量模型。该模型会在数据库中对被监测网络的各个时间段建立一个动态流量基线,当某个时段,某个状态与当前基线不符时,会给出一个异常告警。随着时间积累,告警会逐步升级。通过这种智能化的异常学习能力,可以更加精确地掌握网络的实际状态,为判断异常提供有力的依据,并协助检测出潜在的未知网络攻击。
  • 串联接入方式
捷普国产入侵防御系统部署方式简单,能够快速部署在各种应用场景的网络环境下,实现从企业网络核心至边缘及分支机构的全面检测,适用于不同环境不同企业的安全需求。
  • 丰富灵活的规则响应方式
捷普国产入侵防御系统提供丰富的响应方式,除告警外,还提供实时显示、记入数据库、邮件报警、与防火墙联动阻断、发送TCP Reset、发送ICMP不可达信息等多种响应方式。每条系统规则都给出了缺省的最佳响应方式,系统管理员根据当前网络的具体情况,可以对每条规则的响应方式进行修改,以更好的适应实际网络的需求。
  • 严格的用户分级管理和配置
捷普国产入侵检测系统的用户根据操作权限的不同,可分为系统管理员、操作审计员、日志管理员。其中,Web UI管理员通过登录控制管理中心,完成用户管理工作;操作审计员可以对用户的操作行为进行查看;日志管理员能够查询、备份、恢复、清除、维护数据库里的日志信息,并生成和打印各种报表。
  • 优异的产品性能和卓越的高可靠性
捷普国产入侵防御系统专门设计了安全、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准,保证了高可靠性;独特的硬件体系结构大大提升了处理能力、吞吐量;操作系统经过优化和安全性处理,保证系统的安全性和高效率。
捷普国产入侵防御系统支持热插拔的冗余双电源,避免电源硬件故障时设备宕机,提高设备可用性。
捷普国产入侵防御系统运行在特别定制的操作系统上,在提供给网络引擎强健的性能与稳定性的同时,本身具备了超强的安全性,系统内各组件通过强加密的SSL安全通道进行通讯,防止窃听。
  • 详尽的安全和日志报表
捷普国产入侵防御系统提供了自动和手动两种报表类型,每种类型又依次分为日报表、周报表、月报表、年报表和自定义时间段报表,使用户可以分别查看该时间段内发生攻击的综合和详细信息。报表以图形和文字相结合的方式呈现给用户,直观易懂。
除此之外,系统还支持日志报表邮件告警,使管理员无论身处何地,都能对网络安全状况有准确把握。
  • 方便易用的系统管理
捷普国产入侵防御系统基于图形化的管理软件提供了友好的全中文人机界面和系统帮助,全面支持B/S管理方式,通过浏览器可以对系统进行全功能配置,免除安装管理端的繁琐过程。网络引擎支持命令行配置和远程SSH管理。系统支持分布式部署,集中式管理,支持告警信息的集中式分析和全局的流量分析。
从网络引擎部署到报表系统,从攻击告警到日志维护,捷普国产入侵防御系统支持“即插即用”和“零配置”技术。管理员需要日常进行的操作可由系统定时自动后台运行,极大的降低了维护费用与管理员的工作强度。
支持系统引擎、规则库、病毒库的升级以及离线升级等升级方式,使捷普国产入侵防御系统提供最前沿的安全保障。
  • 病毒检测功能
捷普国产入侵防御系统内置病毒检测引擎,对网络流量中的病毒进行实时检测,即时发现病毒在网络中的传播迹象,并产生高危报警。
  • 抗DDOS攻击功能
捷普国产入侵防御系统能够有效地防御常见的DDOS攻击手段,例如SYN Flood攻击、UDP Flood攻击、放大攻击等。更加有效地保护用户的网络。
六、产品参数
设备型号
主要指标
性能参数(默认)
JIPSG-1620
1U标准机架
多核架构(FT-1500A 4核)
6个千兆电口
2个千兆光口
单电源
网络层吞吐:双向4.8G
新建会话数:5万/秒
最大并发会话数:300万

JIPSG-1640
1U标准机架
多核架构(FT-1500A 4核)
支持3个扩展槽位
6个千兆电口
4个千兆光口
单电源
网络层吞吐:双向4.8G
新建会话数:5万/秒
最大并发会话数:300万

七、成功案例
某市应急管理局出口仅部署防火墙,边界防护能力较弱,对于新型高级入侵行为无法做到及时的检测和阻断。通过串联部署该产品于网络边界,对来往的数据流量进行全方位的检测,提供了攻击防护、病毒防护,应用管控等一系列安全功能,在出口处实现安全防护能力,提升网络安全整体防御效果,满足国家及监管部门的合规性安全检查要求。

应用单位
交大捷普国产入侵防御系统应用案例



版权说明:论坛帖子主题均由合作第三方提供并上传,若内容存在侵权,请进行举报

没找到任何评论,期待你打破沉寂

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联系在线客服