IPS如何实现深度检测和入侵抵御

　　二、应用感知的智能防御

　　1. 办公网用户访问Internet上的WWW服务器；

　　2. IPS检测到该请求，判断该请求符合事先设定的安全策略，放行；

　　3. 该用户与外部服务器的连接建立；

　　4. 该用户试图通过已经建立的连接，利用二次代理，发起对某非法或不良网站的访问请求；

　　5. 根据对应用层协议的深度分析和内容识别，IPS检测到该企图，阻断该次HTTP连接；

　　6. 上报该安全事件到管理中心备查；

　　7. IPS可以根据管理中下发的策略，对该用户进行一定时间的惩罚（拒绝该用户后续的上网请求）。

　　三、行为分析的智能防御，阻止病毒、蠕虫泛滥

　　1. 某办公网用户通过公共区域网络访问业务服务器集群；

　　2. 正常连接建立后，位于服务器集群前端的IPS检测到来自该用户的通信流量中隐藏有某种病毒的行为特征，立即阻断该用户的此次访问，并且上报该安全事件给管理中心；

　　3. 管理中心分析该安全事件，根据报文信息定位到该用户，并且制定新的安全策略；

　　4. 接入管理更改该用户的安全等级，下发更新的安全策略给相关网络设备；

　　5. 更新了安全策略的网络设备将该用户隔离至某特定区域，避免该病毒感染其他网络用户，并采取后续行动。

　　IPS深度检测与入侵抵御的关键技术

　　高性能、高可靠性的硬件平台

　　依赖于对网络设备体系架构的深刻理解和强大的设计开发能力，华为3Com为IPS产品设计了专用的高性能硬件平台。该平台彻底抛弃了目前市面上常见的工控机架构。

　　协议分析与跟踪技术

　　通过前面的分析，我们可以看到协议分析与跟踪对IPS设备的重要性。与传统防火墙不同的是，IPS不但要分析和跟踪IP、ICMP、UDP、TCP这几种网络层、传输层的协议，而且，还要对HTTP、HTTPS、FTP、TFTP、SNMP、Telnet、SMTP、POP、DNS、RPC、LDAP、ICQ、MSN、Yahoo Messenger等众多的应用层协议进行分析、跟踪。没有对网络协议和操作系统的深刻理解，要完成这件工作是不可能的。华为3Com已经具备了在操作系统的内核级别对应用协议进行全面跟踪、深度分析的实力；而且，在引入网络处理器后，所有的逻辑检测和协议分析、跟踪都要下移到网络处理器中，采用微码实现，进一步提高系统性能。

　　特征匹配的性能

　　从海量的数据中去寻找一定的特征，在计算领域，这历来是一个高计算量、高复杂度的问题；而IPS的报文内容识别，恰恰要基于此工作。那么，如何解决这个CPU杀手和提高设备性能之间的矛盾呢？

　　华为3Com采用专用的硬件加速卡来解决这个问题。基于专门的内容查找芯片设计的硬件加速卡在系统中与CPU、网络处理器协同工作，在需要对报文进行内容搜索的情况下，为CPU和网络处理器卸载负担，使得CPU和网络处理器可以专注于报文处理和逻辑检测，从而将内容搜索对系统效率的影响降至最低。目前华为3Com设计的硬件加速卡，可以在千兆的环境下线速地处理流量。
(e129)