华聚千里(图)-绿盟***-河源绿盟

针对日趋复杂的应用安全威胁和混合型网络攻击，绿盟科技提供了完善的安全防护方案。绿盟下一代网络***防护系统（以下简称“NSFOCUS NIPS（N系列）”）是绿盟科技拥有完全自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在适应攻防的发展，准确监测网络异常流量，自动应对各层面安全隐患，将安全威胁阻隔在企业网络外部。这类产品弥补了防火墙、***检测等产品的不足，提供动态的、深度的、主动的安全防御。为应对新型攻击带来的威胁，从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测和防护，为企业提供了一个看得见、检得出、防得住的全新***防护解决方案。

NSFOCUS NIPS（N系列）的体系架构包括三个主要组件：网络引擎、管理模块、安全响应模块，方便各种网络环境的灵活部署和管理。

主要功能：

NSFOCUS NIPS（N系列）是网络***防护系统同类产品中的精品典范，该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，河源绿盟，产品内置***的Web信誉机制，同时具备深度***防护、精细流量控制，以及***用户上网行为监管等多项功能，绿盟代理商，能够为用户提供深度攻击防御和应用带宽保护的***价值体验。

***防护

实时、主动拦截攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。

Web安全

基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地拦截Web威胁。

流量控制

阻断一切非***用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。

应用管理

***监测和管理IM即时通讯、XIA载、网络游戏、在线视频，以及在线CHAO股等网络行为，协助企业辨识和限制非***网络流量，更好地执行企业的安全策略。

典型混合防护解决方案

大型企业的网络规模很大，结构相对复杂，不仅有总部，还有各地的分支机构，既要保护网络边界的安全，同时又要保护企业内网的安全。

针对大型企业网络特点，绿盟科技网络***防护系统提供混合防护的解决方案：

1. 在总部互联网出入口处在线部署NSFOCUS NIPS（N系列），实现路由防护，提供互联网的从网络层、应用层到内容层的深度安全防护；

1. 在总部内部网段之间以及与分支机构网络之间在线部署NSFOCUS NIPS（N系列），提供透明接入的、***多路NIPS（N系列）一进一出的、交换式NIPS（N系列）多进多出的全fang位、立体式的安全防护体系，实现内网的安全区域划分和控制；

2. 在企业服务器区旁路部署NSFOCUS NIPS（N系列），相当于***检测系统，监测、分析服务器区的安全状况，保护服务器安全；

通过一个绿盟安全中心，实现对全网NIPS（N系列）设备的集中管理、安全信息的集中分析和处理，有效解决企业面临的安全问题，提高***回报率。

绿盟Web应用防火墙（简称WAF），站在“资产”的视角，用完整的防护体系将多种Web安全检测方法连结成一套完整的解决方案，保卫您的Web应用免遭当前和未来的安全威胁。专注于保护Web应用和Web服务，并将成熟的分布式拒绝服务攻击抵御机制整合在一起，绿盟WAF提供针对OWASP Tp 10、LOIC、HOIC的***防御，通过事前防御、事中防护、事后补偿的整体解决方案，为Web安全保驾护航。

关键能力

1、客户资产视角

绿盟WAF通过建立客户资产列表（或称“站点树”）的方式来提供资产视图，能直观展示资产（站点）清单及各资产（站点）的属性，如状态、协议类型、IP地址、端口等。同时，将策略——某类规则的集合也作为资产的属性，并以“实体”的方式保存，可以被复用，产品更贴近客户。

2、优化的向导系统

基于客户资产视角，绿盟WAF提供了一套优化的向导系统，在配置相关信息的过程中询问操作系统、数据库、Web服务器及使用的编程语言信息，同时引入站点组概念，支持将OS、Web Server和应用程序相同或者类似的站点（IP地址 端口号）纳入一个站点组，在构建站点资产的同时也完成了针对客户环境的规则过滤，实现了客户环境对规则体系中黑名单规则的精准利用，减少了误报，同时大大简化了配置操作。

3、 快捷的配置体系

基于多年积累的安全实践，绿盟WAF能为各种类型的站点组提供缺省规则，实现了设备上线后的零配置防护，大大简化了设备上线后的配置操作。

绿盟WAF引入了自学习 白名单机制，则有效增强了0day漏洞的防护能力和精准防护能力，弥补了黑名单防护体系的固有缺点。基于统计学方法的自学习技术通过分析用户行为和相关URL的HTTP请求参数（包括参数的个数、名称、类型、取值范围等），将站点的业务逻辑完整的呈现出来，并能方便快捷的应用于白名单规则。

黑名单规则解决已知安全风险，自学习、白名单作为黑名单规则的补充解决业务逻辑层面的安全风险，使绿盟WAF的安全防护体系更完整，进一步贴近了客户业务环境，在应对0day漏洞时也更加快速、精准、有效。

5、细致***的规则体系

规则是WAF识别和阻止已知攻击的基础检测方法，绿盟WAF规则库基于多年网络安全研究积累，已高度细化，基于规则的防护功能包括：

Web服务器漏洞防护

Web插件漏洞防护

爬虫防护

跨站脚本防护

SQL注入防护

LDAP注入防护

SSI指令防护

XPATH注入防护

命令行注入防护

路径穿越防护

远程文件包含防护

6、主动防护的代理架构

使用代理架构，绿盟WAF实现了很多在桥模式下难以实现的功能，在安全性上具有更强的主动性。相对于桥模式的被动防护，绿盟代理模式的WAF在安全防护上更具有主动性，包含更多、更有效的安全功能。

绿盟WAF应用了自主研发的抗拒绝服务攻击算法，可防护各类带宽及资源耗尽型拒绝服务攻击，如对SYN Flood这种常见攻击行为能够有效识别，并实时对攻击流量进行阻断，确保了Web业务的可用性及连续性。

通过与绿盟科技云安全平台的Web漏洞扫描服务（PAWSS）或者WEB应用漏洞扫描系统（WVSS）联合防护，WAF能获取被防护站点的漏洞扫描报告，并根据自身已有的规则自动生成一套新的规则即智能补丁，应用于被保护站点。当被防护站点打上了智能补丁之后，之前被扫描出的Web应用漏洞将无法重现。

9、辅助PCI-DSS合规

随着业务的扩展，支撑业务的信息环境也日益复杂，各种安全合规标准成为了各行业规约和保证企业信息安全的一种手段。 ***卡行业（PCI：Payment Card Industry）数据安全标准（DSS：Data Security Standard），作为衡量如***机构、消费者等涉及***卡业务的商家和服务提供者的数据资料安全基准，详细讲述了对存储、处理或传输持卡人数据的商家和服务提供商的安全要求，已经在***范围内获得了越来越广泛的认可。 绿盟WAF， 站在用户资产的视角，能够结合当前防护站点的安全配置，按照PCI-DSS的checklist对用户资产环境做出是否合规的判断，并在此基础上提出满足PCI-DSS合规的配置建议，协助商家和服务提供商应对PCI-DSS合规检查和信息系统安全环境的加固。

10、高可用性

在保证安全功能***、有效的基础上，绿盟WAF本身也具有安全、可靠、高可用的特性。

绿盟WAF本身支持HTTPS登录，能对账户进行安全策略配置，包括口令长度和口令生存期，符合《中国移动设备通用安全功能和配置规范V2.1》，支持Radius认证；可以限制远程管理的登录IP，符合《中国移动设备通用安全功能和配置规范V2.1》。

HA机制是评判防火墙设备是否具有高可用性的功能特性之一，绿盟WAF支持完全的HA机制，即主从（A/S）模式和主主（A/A）模式。

此外，在支持软硬件Bypass的基础上，绿盟WAF创新性的支持紧急模式：当WAF处理的并发连接达到一定数量后，设备进入紧急模式，已经代理的连接正常代理，对新增的请求不进行代理，直接转发。从而保证了设备达到性能瓶颈时，客户环境的业务不受影响。

典型部署

绿盟WAF提供多种灵活的部署方式，包括透明部署模式、反向代理模式和旁路模式。

串联部署模式下，绿盟WAF在内核模块实现从TCP/IP协议栈的透明代理，极大地提高网络适应能力、确保产品在网络中即插即用而无需修改网络及服务器配置，降低了部署、维护开销。而反向代理模式，需要改动服务器IP地址以及DNS解析；桥模式下，用Web服务器的IP地址作为VIP，牺牲了一部分功能（如SSL功能）。

在部署了多业务网段服务器的网络环境中，WAF设备也可以采用旁路方式部署，提供一种逻辑在线防护机制。该种部署灵活性较好，可以实现业务分流，对核心系统影响较小。旁路方式部署的技术原理如下：

1. 流量牵引：通过路由方式，将原来去往目标网站IP的流量牵引至WAF设备。被牵引的流量为攻击流量与正常流量混杂的HTTP流量；

1. 流量检测和过滤：WAF设备通过多层的攻击流量识别与净化功能，将Web攻击流量从混合流量中过滤；

2. 流量注入：经过WAF过滤之后的合法流量被重新注入回网络，***终到达目的网站。

3. 对返回流量检测：网站响应的HTTP流量在返回给客户端之前，仍然需要流经WAF设备，WAF可提供安全检测，经WAF检测后的流量***终返回给客户端。

针对目前流行的抗拒绝服务攻击，包括未知的攻击形式，绿盟科技提供了自主研发的抗拒绝服务产品——NSFOCUS Anti-抗拒绝服务 System，简称NSFOCUS ADS。通过及时发现背景流量中各种类型的攻击流量，NSFOCUS ADS可以迅速对攻击流量进行过滤或旁路，保证正常流量的通过。产品可以在多种网络环境下轻松部署，不仅能够避免单点故障的发生，同时也能保证网络的整体性能和可靠性。

三位一体的解决方案

绿盟科技推出了三位一体的异常流量清洗解决方案，可满足电信运营商对大型Anti-抗拒绝服务系统“可管理、可运营”的需求。该解决方案由异常流量检测系统（NSFOCUS NTA）、异常流量净化系统（NSFOCUS ADS）及管理和***系统（NSFOCUS ADS-M）组成。解决方案由三类组件产品构成：

1、NSFOCUS ADS（绿盟抗拒绝服务攻击产品）——作为绿盟流量清洗产品系列中的关键设备，其中NSFOCUS ADS提供了单台10G的抗拒绝服务线速防护能力，通过部署NSFOCUS ADS设备，可以对网络中的抗拒绝服务攻击流量进行清除，同时保证正常流量的通过。NSFOCUS ADS设备可以通过旁路方式部署在网络中，同时利用万兆级别的NSFOCUS ADS组成的多台设备的集群，防护容量可以高达数十G，提高整个系统抵御海量抗拒绝服务攻击的能力。

2、NSFOOCUS NTA（绿盟网络流量分析产品）——绿盟流量清洗产品系列中第二类设备，称之为NSFOCUS NTA，该设备主要应用于异常流量检测，需要和NSFOCUS ADS设备配合工作。NSFOCUS NTA设备可以应用Netflow等方式对流量数据进行采集，并对采集到的数据进行深入分析。一旦发现异常的网络流量，NSFOCUS NTA会根据预先由系统管理员定义的方式触发NOC（Network Operation Center）控制台报警或自动联动异常流量净化系统进行流量的牵引和净化。

3、NSFOCUS ADS-M（绿盟抗拒绝服务攻击综合管理产品）——绿盟流量清洗产品系列中第三类设备，称之为NSFOCUS ADS-M，负责收集来源于不同网络位置的多个NSFOCUS ADS设备的状态数据，进行关联分析和处理；基于防护群组、流量群组等逻辑对象进行***的业务用户分组防护管理，并分别提供类型丰富的报表；对于网络不同节点的防护/监控产品进行集中的配置管理和权限分配；为攻击溯源提供抓包***的功能。除此之外，NSFOCUS ADS-M更提供用户自服务系统，满足运营商利用抗拒绝服务做增值服务的需要。

部署方式

1、串行部署方式

针对少量服务器或出口带宽较小的企业内部网，绿盟IPS，绿盟抗拒绝服务产品提供串行部署方式，通过ADS设备透明地“串联”在网络入口端，对抗拒绝服务攻击进行检测、分析和阻断。部署拓扑图如下所示：

2、旁路部署方式

针对IDC、ICP或运营商关键业务系统，绿盟***，绿盟抗拒绝服务系统提供了基于流量牵引技术的旁路部署方式。通常，流量监测设备NTA部署在网络任意位置，ADS设备“旁路”部署在网络入口。NTA设备主要对网络入口的流量提供监控功能，及时检测抗拒绝服务攻击的类型和来源。当发现抗拒绝服务攻击发生时，NTA设备会及时通知ADS设备，随后由ADS设备启动流量牵引机制，从路由器或交换机处分流KE疑流量至ADS设备，在完成抗拒绝服务攻击的过滤后，ADS再将“干净”的流量注入回网络当中。在这个过程中ADS-M系列的管理系统参与整体协调和记录管理。

针对大型IDC、城域网或骨干网，当发生海量抗拒绝服务攻击时，绿盟抗拒绝服务产品还能够提供集群部署的方式。在旁路集群部署中，若干台ADS设备并联在网络中，在某台ADS设备接收到NTA设备的攻击告警后，会启动流量牵引机制，将可YI流量均衡分配到若干台ADS上进行流量过滤。

随着抗拒绝服务攻击工具不断的普遍和强大，Internet上的安全隐患越来越多，以及客户业务系统对网络依赖程度的***，可以预见的是抗拒绝服务攻击事件数量会持续增长，而攻击规模也会更大，损失严重程度也会更高。由于这些攻击带来的损失增长，运营商、企业或是***必须有所对策以保护其***、利润和服务。

为了弥补目前安全设备（防火墙、***检测等）对抗拒绝服务攻击防护能力的不足，我们需要一种新的工具用于保护业务系统不受抗拒绝服务攻击的影响。这种工具不仅仅能够检测目前复杂的抗拒绝服务攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品，必须具备更细粒度的攻击检测和分析机制。对于运营商来说，通过在网络骨干出口及IDC出口的部署，这类工具还可为运营商创造一种新的安全增值服务提供平台支撑。

绿盟抗拒绝服务攻击产品提供了业界领XIAN的抗拒绝服务防护能力，通过多种机制的分析检测机制以及灵活的部署方式，绿盟科技的产品和技术能够有效的阻断攻击，保证合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。