千兆應用入侵防護系統保護解決方案(轉)

千兆應用入侵防護系統保護解決方案(轉)[@more@]

　　隨著對網路安全問題的理解日益深入，入侵檢測技術得到了迅速的發展，應用防護的概念逐漸被人們所接受，並應用到入侵檢測產品中。而在千兆環境中，如何解決應用防護和千兆高速網路環境中資料包線速處理之間的矛盾，成為網路安全技術發展一個新的挑戰。

入侵檢測技術的演進

　　入侵檢測系統(IDS，　Intrusion Detection System)是近十多年發展起來的新一代安全防範技術，它透過對計算機網路或系統中的若干關鍵點收集資訊並對其進行分析，從中發現是否有違反安全策略的行為和被攻擊的跡象。IDS產品被認為是在防火牆之後的第二道安全防線在攻擊檢測、安全審計和監控等方面都發揮了重要的作用。

　　但在入侵檢測產品的使用過程中，暴露出了諸多的問題。特別是誤報、漏報和對攻擊行為缺乏實時響應等問題比較突出，並且嚴重影響了產品發揮實際的作用。Gartner在2003年一份研究報告中稱入侵檢測系統已經“死”了。Gartner認為IDS不能給網路帶來附加的安全，反而會增加管理員的困擾，建議使用者使用入侵防禦系統(IPS，Intrusion Prevention System)來代替IDS。Gartner公司認為只有線上的或基於主機的攻擊阻止(實時攔截)才是最有效的入侵防禦系統。

　　從功能上來看，IDS是一種並聯在網路上的裝置，它只能被動地檢測網路遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般只能透過傳送TCP reset包或聯動防火牆來阻止攻擊。而IPS則是一種主動的、積極的入侵防範、阻止系統，它部署在網路的進出口處，當它檢測到攻擊企圖後，它會自動地將攻擊包丟掉或採取措施將攻擊源阻斷。因此，從實用效果上來看，和IDS相比入侵防禦系統IPS向前發展了一步，能夠對網路起到較好的實時防護作用。

　　近年來，網路攻擊的發展趨勢是逐漸轉向高層應用。根據Gartner的分析，目前對網路的攻擊有70%以上是集中在應用層，並且這一數字呈上升趨勢。應用層的攻擊有可能會造成非常嚴重的後果，比如使用者帳號丟失和公司機密洩漏等。因此，對具體應用的有效保護就顯得越發重要。從檢測方法上看，IPS與IDS都是基於模式匹配、協議分析以及異常流量統計等技術。這些檢測技術的特點是主要針對已知的攻擊型別，進行基於攻擊特徵串的匹配。但對於應用層的攻擊，通常是利用特定的應用程式的漏洞，無論是IDS還是IPS都無法透過現有的檢測技術進行防範。

　　為了解決日益突出的應用層防護問題，繼入侵防禦系統IPS之後，應用入侵防護系統(AIP，Application Intrusion Prevention)逐漸成為一個新的熱點，並且正得到日益廣泛的應用。

應用入侵防護

　　對應用層的防範通常比內網防範難度要更大，因為這些應用要允許外部的訪問。防火牆的訪問控制策略中必須開放應用服務對應的埠，如web的80埠。這樣，駭客透過這些埠發起攻擊時防火牆無法進行識別控制。入侵檢測和入侵防禦系統並不是針對應用協議進行設計，所以同樣無法檢測對相應協議漏洞的攻擊。而應用入侵防護系統則能夠彌補防火牆和入侵檢測系統的不足，對特定應用進行有效保護。

　　所謂應用入侵防護系統AIP，是用來保護特定應用服務(如web和資料庫等應用)的網路裝置，通常部署在應用伺服器之前，透過AIP系統安全策略的控制來防止基於應用協議漏洞和設計缺陷的惡意攻擊。

在對應用層的攻擊中，大部分時透過HTTP協議(80埠)進行。在國外權威機構的一次網路安全評估過程中發現，97%的web站點存在一定應用協議問題。雖然這些站點透過部署防火牆在網路層以下進行了很好的防範，但其應用層的漏洞仍可被利用進而受到入侵和攻擊。因此對於web等應用協議，應用入侵防護系統AIP應用比較廣泛。透過制訂合理的安全策略，AIP能夠砸韻呂嘈偷鑷eb攻擊進行有效防範：

惡意指令碼

Cookie投毒

隱藏域修改

快取溢位

引數篡改

強制瀏覽

Sql插入

已知漏洞攻擊

　　應用入侵防護技術近兩年剛剛出現，但發展迅速。Yankee Group預測在未來的五年裡，　AIP將和防火牆，入侵檢測和反病毒等安全技術一起，成為網路安全整體解決方案的一個重要組成部分。

千兆解決方案

　　應用入侵防護產品在保護企業業務流程和相關資料方面發揮著日益重要的作用，同時隨著網路頻寬的不斷增加，只有在適合千兆環境應用的高效能產品才能夠滿足大型網路的需要。

　　傳統的軟體形式的應用入侵防護產品受效能的限制，只能應用在中小型網路中；基於x86架構的硬體產品無法達到千兆流量的要求；近年來，網路處理器(NP)在千兆環境中得到了日益廣泛的應用，但NP的優勢主要在於網路層以下的包處理上，若進行內容處理則會導致效能的下降。

　　透過高效能內容處理晶片和網路處理晶片相結合形式，為千兆應用入侵防護產品提供了由於的解決方案。其設計特點是採用不同的處理器實現各自獨立的功能，由網路處理晶片實現網路層和傳輸層以下的協議棧處理，透過高速內容處理晶片進行應用層的協議分析和內容檢查。從而實現了千兆流量線速轉發和高速內容處理的完美結合，真正能夠為使用者提供千兆高效能的應用防護解決方案。

　　在上面系統框架中，包處理引擎收到資料包後，首先由網路處理器進行傳輸層以下的協議棧處理，並將資料包還原成資料流。接下來由內容處理器對資料流進行應用協議處理，根據控制器設定的安全策略對各種應用攻擊進行檢測和過濾。只有符合安全策略要求的資料流才會被髮送到伺服器，攻擊包則被丟棄。

　　在高效能的千兆解決方案中，能夠實現網路層到應用層的多層次立體防護體系。對於面向大型web應用，產品透過多種功能的整合實現有效的應用防護：

Web應用入侵防護。透過系統內建的網路內容處理晶片，對web請求和回應流量進行細緻的分析。根據內建的規則及啟發式的安全策略，有效防範各種針對web應用的攻擊行為。

DOS攻擊的防護。系統透過網路處理晶片，對Synflood、Icmpflood、Upflood、PinfOfDeath、Smurf、Ping Sweep等網路層的拒絕服務攻擊進行過濾的防範，有效保護伺服器。

訪問控制。透過硬體的ACL匹配演算法，系統能夠在實現線速轉發的同時對資料包進行實時的訪問控制。

　　中科網威在新一代千兆應用入侵防護產品設計中採用了上述解決方案，實現了千兆流量下的線速處理。系統以透明模式接入網路，在增強安全性的同時，網路效能不會受到任何影響，真正實現了應用層內容處理和千兆高效能的完美結合。

小結

　　為了保護企業重要的應用服務資源，應用入侵防護產品AIP正在得到日益廣泛的應用。中科網威透過內容處理器和網路處理器相結合的技術，有效解決了千兆網路環境中應用入侵防護和效能之間的矛盾，為使用者提供了全新的解決方案。