千兆应用入侵防护系统保护解决方案〓华西安全联盟华西黑客联盟〓 >> —

随着对安全问题的理解日益深入，入侵检测得到了迅速的发展，应用防护的概念逐渐被人们所接受，并应用到入侵检测产品中。而在千兆环境中，如何解决应用防护和千兆高速环境中包线速处理之间的矛盾，成为安全发展一个新的挑战。 入侵检测的演进

入侵检测系统(IDS，　IntrusionDetectionSystem)是近十多年发展起来的新一代安全防范，它通过对计算机或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。IDS产品被认为是在防火墙之后的第二道安全防线在攻击检测、安全审计和监控等方面都发挥了重要的作用。但在入侵检测产品的使用过程中，暴露出了诸多的问题。特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出，并且严重影响了产品发挥实际的作用。Gartner在2003年一份研究报告中称入侵检测系统已经“死”了。Gartner认为IDS不能给带来附加的安全，反而会增加管理员的困扰，建议用户使用入侵防御系统(IPS，IntrusionPreventionSystem)来代替IDS。Gartner公司认为只有在线的或基于主机的攻击阻止(实时拦截)才是最有效的入侵防御系统。从功能上来看，IDS是一种并联在上的设备，它只能被动地检测遭到了何种攻击，它的阻断攻击能力非常有限，一般只能通过发送TCPreset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统，它部署在的进出口处，当它检测到攻击企图后，它会地将攻击包丢掉或采取措施将攻击源阻断。因此，从实用效果上来看，和IDS相比入侵防御系统IPS向前发展了一步，能够对起到较好的实时防护作用。近年来，攻击的发展趋势是逐渐转向高层应用。根据Gartner的分析，目前对的攻击有70%以上是集中在应用层，并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果，比如用户丢失和公司机密泄漏等。因此，对具体应用的有效保护就显得越发重要。从检测方法上看，IPS与IDS都是基于模式匹配、协议分析以及异常流量统计等。这些检测的特点是主要针对已知的攻击类型，进行基于攻击特征串的匹配。但对于应用层的攻击，通常是利用特定的应用程序的，无论是IDS还是IPS都无法通过现有的检测进行防范。为了解决日益突出的应用层防护问题，继入侵防御系统IPS之后，应用入侵防护系统(AIP，ApplicationIntrusionPrevention)逐渐成为一个新的热点，并且正得到日益广泛的应用。 应用入侵防护

对应用层的防范通常比内网防范难度要更大，因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用对应的端口，如web的80端口。这样，通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计，所以同样无法检测对相应协议的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足，对特定应用进行有效保护。所谓应用入侵防护系统AIP，是用来保护特定应用(如web和库等应用)的设备，通常部署在应用器之前，通过AIP系统安全策略的控制来防止基于应用协议和设计缺陷的恶意攻击。在对应用层的攻击中，大部分时通过HTTP协议(80端口)进行。在国外权威机构的一次安全评估过程中发现，97%的web站点存在一定应用协议问题。虽然这些站点通过部署防火墙在层以下进行了很好的防范，但其应用层的仍可被利用进而受到入侵和攻击。因此对于web等应用协议，应用入侵防护系统AIP应用比较广泛。通过制订合理的安全策略，AIP能够对以下类型的web攻击进行有效防范：恶意脚本； Cookie投毒；隐藏域修改；缓存溢出；参数篡改；强制浏览； Sql插入；已知攻击。应用入侵防护近两年刚刚出现，但发展迅速。YankeeGroup预测在未来的五年里，　AIP将和防火墙，入侵检测和反病毒等安全一起，成为安全整体解决方案的一个重要组成部分。 千兆解决方案

应用入侵防护产品在保护企业业务流程和相关方面发挥着日益重要的作用，同时随着带宽的不断增加，只有在适合千兆环境应用的高性能产品才能够满足大型的需要。传统的软件形式的应用入侵防护产品受性能的限制，只能应用在中小型中；基于x86架构的硬件产品无法达到千兆流量的要求；近年来，处理器(NP)在千兆环境中得到了日益广泛的应用，但NP的优势主要在于层以下的包处理上，若进行内容处理则会导致性能的下降。通过高性能内容处理芯片和处理芯片相结合形式，为千兆应用入侵防护产品提供了由于的解决方案。其设计特点是采用不同的处理器实现各自独立的功能，由处理芯片实现层和传输层以下的协议栈处理，通过高速内容处理芯片进行应用层的协议分析和内容检查。从而实现了千兆流量线速转发和高速内容处理的完美结合，真正能够为用户提供千兆高性能的应用防护解决方案。在上面系统框架中，包处理引擎收到包后，首先由处理器进行传输层以下的协议栈处理，并将包还原成流。接下来由内容处理器对流进行应用协议处理，根据控制器设定的安全策略对各种应用攻击进行检测和过滤。只有符合安全策略要求的流才会被发送到器，攻击包则被丢弃。在高性能的千兆解决方案中，能够实现层到应用层的多层次立体防护体系。对于面向大型web应用，产品通过多种功能的集成实现有效的应用防护： Web应用入侵防护。通过系统内置的内容处理芯片，对web请求和回应流量进行细致的分析。根据内置的规则及启发式的安全策略，有效防范各种针对web应用的攻击行为。 DOS攻击的防护。系统通过处理芯片，对Synflood、Icmpflood、Upflood、PinfOfDeath、Smurf、PingSweep等层的拒绝攻击进行过滤的防范，有效保护器。访问控制。通过硬件的ACL匹配算法，系统能够在实现线速转发的同时对包进行实时的访问控制。中科网威在新一代千兆应用入侵防护产品设计中采用了上述解决方案，实现了千兆流量下的线速处理。系统以透明模式接入，在增强安全性的同时，性能不会受到任何影响，真正实现了应用层内容处理和千兆高性能的完美结合。小结

为了保护企业重要的应用资源，应用入侵防护产品AIP正在得到日益广泛的应用。中科网威通过内容处理器和处理器相结合的，有效解决了千兆环境中应用入侵防护和性能之间的矛盾，为用户提供了全新的解决方案。