联想网御IPS入侵防护系统系列产品介绍.doc

联想网御IPS入侵防护系统产品白皮书V2.0联想网御科技（北京）有限公司版权信息版权所有 20012007，联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息联想网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。联想网御科技（北京）有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street, Haidian District, Beijing电话(TEL)真(FAX)术热线(Customer Hotline)子信箱(E-mail)：公司网站：目 录1、序言42、联想网御解决方案IPS入侵防护系统74、联想网御IPS入侵防护系统系列产品介绍74.1简介74.2系统架构84.3工作模式95、联想网御IPS入侵防护系统产品特点95.1联想网御IPS入侵防护系统专用操作系统的特点和优点105.2联想网御IPS入侵防护系统内容处理硬件体系结构135.2.1硬件体系结构简介135.2.2内容处理加速引擎155.2.3在联想网御IPS入侵防护系统结构中的高可靠性165.3结论176、联想网御IPS入侵防护系统主要功能176.1 动态入侵防护/保护176.2防病毒206.3高可靠性（HA）206.4管理功能211、序言近几年来，随着信息化建设的飞速发展，信息安全的内容也越来越广泛，用户对安全设备和安全产品的要求也越来越高。尽管防火墙、IDS等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。混合攻击带来的新挑战随着红色代码、Nimda等有里程碑式的病毒出现，改写了病毒形态和病毒的历史，病毒已经不再只具有破坏力。新的病毒已经成为黑客的攻击和入侵手段，借助病毒的传播方式，黑客们可以轻易地窃取网络中的敏感数据和信息。黑客程序、木马、病毒已经有机地结合起来，使之成为黑客攻击的新工具。同时，木马、病毒等恶意程序也经常通过邮件、恶意的Web网页（或者被篡改的Web网页）、文件下载等传播途径使得病毒的危害范围和扩散速度加大。这些都给传统的安全设备带来新的挑战。一些老式的防火墙不具备内容检测的能力，不具备检测新型的混合攻击和防护的能力。较新的深度检测防火墙往往在分片的数据包前一筹莫展,所以传统的防火墙不具备完备的内容检测能力，无法做到内容安全过滤。IDS设备虽然可以检测网络中的攻击，但是它不能对攻击行为进行有效的防御和阻断，IDS的大量误报也使得管理员难以从大量的日志中找出有价值的信息。桌面防病毒软件防护对象是终端，往往需要使用者的对操作系统和其软件都有较高的操作水平，并且防病毒软件往往会限制用户一些正常操作，为了突破限制用户会不得不关闭防毒软件，这些都使得防病毒软件实施的效果受到了很大的影响，所以不能保障网络的安全。什么是IPSIPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。（IPS）就是自动执行这种监视和分析过程，并且执行阻断的硬件产品。防火墙的局限性防火墙是阻止黑客攻击的一种有效手段，但随着攻击技术的发展，这种单一的防护手段已不能确保网络的安全，它存在以下的弱点和不足：1. 防火墙无法阻止内部人员所做的攻击防火墙保护的是网络边界安全，对在网络内部所发生的攻击行为无能为力，而据调查，网络攻击事件有60%以上是由内部人员所为。2. 防火墙对信息流的控制缺乏灵活性防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的。如果规则定义过于严格，则限制了网络的互连互通；如果规则定义过于宽松，则又带来了安全隐患。防火墙自身无法根据情况的变化进行自我调整。3. 在攻击发生后，利用防火墙保存的信息难以调查和取证在攻击发生后，能够进行调查和取证，将罪犯绳之以法，是威慑网络罪犯、确保网络秩序的重要手段。防火墙由于自身的功能所限，难以识别复杂的网络攻击并保存相关的信息。为了确保计算机网络安全，必须建立一整套的安全防护体系，进行多层次、多手段的检测和防护。入侵防护系统就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。需要说明的是，虽然目前很多防火墙都集成有入侵防护模块，但由于技术和性能上的限制，它们通常只能检测少数几种简单的攻击，无法与专业的入侵防护系统相比。专业入侵防护系统所具有的实时性、动态检测和主动防御等特点，弥补了防火墙等静态防御工具的不足。为什么要使用入侵防护系统对于一个行之有效的安全解决方案，它必须考虑当前在应用和安全上的挑战。这些挑战包括： 1) 对分布式应用的依赖性不断增强 各个机构日益依赖基于Web的应用和业务级的分布式应用来开展业务。分支机构和生产部门也会通过广域网从远程访问CRM和ERP等关键应用。 2) 网络化应用容易受到攻击 由于80、139等端口通常是打开的，因此如果不对借助这些端口穿越防火墙进入网络的流量进行检测，网络化应用将非常容易遭到病毒、入侵、蠕虫和DoS等形式的攻击。为保护网络化应用的安全，需要对所有流量进行深入的数据包检测，以实时拦截攻击，并且防止安全性侵害进入网络并威胁各个应用。 3) 呈爆炸性增长的攻击 应用攻击的数量和严重性都在飞快地增长，仅2003年就出现了4200多种攻击形式，而且这一数字每年都会翻一番。 4) 相应地，这些攻击造成的损失也呈直线上升趋势。据报道，2003年8月成为IT历史上最糟的一个月。在该月，仅Sobig病毒就在全球造成了297亿美元的经济损失。 5) 当前的安全工具无法拦截这些攻击 在应用层的攻击面前，防火墙、IDS以及防病毒网关等现有的安全工具缺乏相应的处理能力、性能和应用安全智能，从而使各个机构暴露无遗。 因此，一种能用数千兆位的速度对所有流量进行双向扫描并且可以实时防范各种应用层攻击（比如蠕虫、病毒、木马和Dos攻击）的内置安全解决方案，无疑已成为当务之急。 联想网御IPS入侵防护系统在业内首先提供了以快速防范入侵和拒绝服务攻击的产品。该产品可以实时地隔离、拦截和阻止各种应用攻击，从而为所有网络化应用、用户和资源提供了直接保护。2、联想网御解决方案IPS入侵防护系统针对以上的各种不安全以及难以管理的因素，网御IPS入侵防护系统作为信息安全的新一代门户，就应运而生了。自2001年联想网御开始研发带入侵防御系统模块的防火墙以来，经过不断地努力，在2007年第一季度我们即将实现联想IPS入侵防护系统产品上市的梦想。在众多国内乃至全球安全厂商中，联想网御是研发IPS入侵防护系统产品的领跑者，在2002年就取得多项该领域的技术专利。 联想网御通过对入侵防护、防火墙的整合和改良，使IPS入侵防护系统产品可以很好地防御目前流行的混合型数据攻击的威胁。这些特性和技术使得IT管理人员可以很容易地控制如Instant Message信息和P2P应用的传输，并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时，设备可以支持动态的行为特征库更新，更具备7层的数据包检测能力。完全克服了目前市场上深度包检测的技术弱点。特别针对分包攻击的内容效果明显。 为了突破硬件平台限制，联想网御采用专用的ASIC芯片来完成对网络数据包的内容检测，打破了传统防火墙内容处理障碍 ，提供了实时入侵防护功能所需的强大计算处理功能。4、联想网御IPS入侵防护系统系列产品介绍4.1简介作为国内领先的专业的防火墙/VPN厂商，联想网御在服务用户的过程中，很早就认识到传统安全设备的局限性。早在2001年，我们在国内率先推出集防火墙、防病毒、IDS功能于一身的产品，并申请了发明专利（专利号: 011091789）。近年来一直在技术上努力创新，针对多安全功能整合、并行处理等方面进行软件体系结构的改进和优化，并寻找合适的高性能硬件平台。同时，由于IPS入侵防护系统涉及技术非常全面，既有网络层、传输层安全也有应用层安全技术，既有软件技术也有硬件技术，不可能由一家公司独立完成，必须广泛合作，尤其是和业界领先厂商合作。2005年，联想网御专门赴美国硅谷技术考察，并且成功地和多家顶级安全软硬件厂商展开深入合作。终于在2007年Q1成功推出了成熟的IPS入侵防护系统产品。目前，联想网御已经拥有提供业界最优秀IPS入侵防护系统产品的能力，产品线覆盖百兆、千兆IPS入侵防护系统。联想网御IPS入侵防护系统产品采用了独特的高性能、高安全性、高可靠性的操作系统，提高了自身安全性的同时，加速了多线程的内容处理，为运行在其上层的防火墙、VPN、防病毒等安全引擎提供了强大而安全的性能支持。联想网御IPS入侵防护系统使用了专门的ASIC内容处理加速芯片，大大提高了系统的内容处理能力，为特征匹配，加解密，启发式扫描提供了硬件加速。联想网御IPS入侵防护系统在各个安全引擎中运用了新的算法和技术，针对传统包过滤无法检测的威胁；针对未知的攻击行为，使用了实时动态保护技术。4.2系统架构联想网御Power V IPS入侵防护系统主要由硬件平台、专用操作系统、IPS管理服务系统、IPS安全引擎等四个部分组成。硬件平台根据用户使用环境的不同，选取专用安全平台或基于高性能服务器架构进行设计，并且使用专门ASIC内容处理芯片进行扫描和模式匹配的加速；专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统；IPS安全引擎采用模块化设计，针对不同的应用环境和不同的安全策略，可以配置不同的功能模块。入 侵 防 护CLIHA报警日志监控高效强化安全的操作系统CPUASIC内容处理芯片4.3工作模式联想网御全系列产品均采用联想网御新一代多安全域设计， IPS入侵防护系统系列产品多口的硬件设计可以使多安全域需求得到完全的满足，完全突破了传统的内网、外网、停火区的理念，可以根据企业内部不同的部门设置不同的互通安全规则，使得不仅在内网与外网的安全得到保障，同时保障了企业内部不同部门之间的安全需求。联想网御IPS入侵防护系统支持全透明交换工作模式，与网御IPS入侵防护系统可连接各个网络之间构成一个统一的交换式物理子网，子网内部还可以有自己的第二级路由器。除安全管理以外，防火墙本身的工作不需要IP地址，为隐式全透明防火墙。这样一方面大大降低了防火墙自身受到攻击的可能性，另一方面也使系统安装变得十分简单，不再需要改变原有的网络拓扑结构和各主机与设备的网络设置，即不需要重新划分网段和调整网络结构。同时强化了对虚拟局域网（VLAN）和生成树协议（STP）的支持。联想网御IPS入侵防护系统同时支持路由工作模式，与网御防火墙Power V IPS入侵防护系统可连接不同的物理网段。防火墙接口可以通过配置别名设备，可以使得一个物理接口上绑定多个IP地址。联想网御IPS入侵防护系统还支持集群工作模式，可以通过多台防火墙的集群提高整个网络系统的可靠性，降低出现网络中断的风险。5、联想网御IPS入侵防护系统产品特点联想网御IPS入侵防护系统的完善体系结构包括两大部分：强化安全的专用操作系统和模块化硬件系统。以下分别介绍这两大部分5.1联想网御IPS入侵防护系统专用操作系统的特点和优点联想网御IPS入侵防护系统操作系统是专用的、实时的强化安全的操作系统，它在全平台上支持病毒扫描，内容过滤，sateful检测防火墙，IP安全（IPSec）VPN，基于网络的IDS和流量管理应用。以下介绍其设计特点、应用级和网络级功能，以及高性能，高可靠性，高灵活性和扩展性。 高性能并行处理联想网御IPS入侵防护系统高端产品设计为双CPU。 利用对称多处理技术，有效地分解和协调在双处理器之间不同的任务。 在任一特定时间， 两个处理器都负载在最佳的处理水平。 由于利用了专门的算法， 任务切分和协调过程中的消耗减到了最小程度。 实时体系结构与非实时OS（例如许多防火墙和设备采用的不同风格的Linux）相比，联想网御IPS入侵防护系统操作系统是使数据流程处理达到优化的实时操作系统。在非实时OS中，核心并不总是对输入的数据包触发的中断作出及时反应；这不仅使数据包排队时间增长， 而且造成系统资源（例如内存）不能有效地利用，因而增加了丢包率。联想网御IPS入侵防护系统操作系统的设计集成了智能排队和管道管理， 与包的到达/处理相关的系统中断得到立刻的重视。同时，基于内容处理加速模块的硬件加速使各种类型流量的处理时间达到最小，加上最短的排队时间，从而给用户提供了最好的实时系统。 实时内容级智能常规的安全网关设计有两类：状态包检测（基于流程的,flow-based）和应用代理（ proxy）。在基于流程的网关中，安全策略是大多在包一级定义和执行的（虽然状态检测对一定类型的流量保持会话上下文）。 这种方法因为包在处理后马上送走, 而导致高处理速度和高吞吐量； 但是， 由于处理是在包一级的， 系统不理解高一级语言，（例如协议）或目标（例如文件），因此不能识别有害的脚本、病毒攻击、或不想要的内容。相比之下，基于代理的系统，安全网关终断进入和流出的会话，检测包，将它们重新组合为原始的数据流，理解会话的当前状态，并能够对预先定义的违规、或动态产生的安全或网络策略进行检测内容。这种方法有足够的智能在应用级运作，因而能进行应用级处理。但是，重新组合所有的包和检测数据流需要耗费大量的计算资源，那会使基于代理的网关变得性能减低许多。联想网御IPS入侵防护系统设计为综合基于流程的和基于代理的两者优点，而同时又克服它们的弱点。联想网御IPS入侵防护系统设计为具有基于流程的检测引擎和多应用级代理（HTTP, SMTP,POP3, IMAP等）。专利设计在包检测和代理之间给出最佳的协调。由内容加速单元提供了基于代理系统的智能，而在性能上达到通常只有基于流程的系统才能达到的水平。结果使联想网御IPS入侵防护系统不仅能达到常规的网络级安全, 例如防火墙，VPN和NIDS，而且能在网络界面边缘高速地处理应用级安全功能，例如病毒与蠕虫扫描、URL和关键词内容过滤、跨过防火墙的话音Voice over IP (VoIP)。 完整的投资保护和完整的网络保护联想网御IPS入侵防护系统专用操作系统设计的另一个优点是能适应新的功能和应用。模块化设计使得能方便地添入或修改新的代理。在引入新的协议和业务时，不需要改变整个操作系统结构（或硬件系统结构）。联想网御IPS入侵防护系统专用操作系统适应支持VoIP NAT的能力就代表了操作系统灵活性的一个很好的例子。使用得越来越多的VoIP，协议比较复杂，例如H.323, MGCP, SIP等，不能由常规的网络地址转换防火墙来防护。如果不使用代理，为了让VoIP通行，VoIP网关要求在防火墙中打开“洞”。然而，这些洞往往会被入侵者利用，利用话音业务来损坏防火墙，并增加未经容许的网络接入。如果网络保护网关能理解复杂的VoIP协议，它们就能处理VoIP业务安全，不需要开“洞”，而“洞”往往会让VoIP和潜在的有害流量通过。如上所述，基于流程的网关一般缺少智能来理解复杂的高级的协议，而常规的基于代理的设计缺少必要的性能，来处理对延迟敏感的话音，以免引入不能接受的抖动和延迟。 这就是联想网御IPS入侵防护系统专用操作系统的立足之处：它能容易地适应H.323协议，分隔H.323信息本体。高性能的操作系统核心，结合专门建立的内容处理加速硬件，能使联想网御IPS入侵防护系统适合新的应用，而无须重新设计系统或对硬件升级作大的改动。 提供分区间安全的虚拟系统支撑用户能够建立一个单个的联想网御IPS入侵防护系统单元行为，就好象它包含大量的独立的“虚拟系统”，它们提供专门的服务，对各个部门或用户分别具有自己独特的策略。联想网御IPS入侵防护系统体系结构中设计了虚拟系统支撑。符合802.1Q标准的一个或多个VLAN能被映射到一个虚拟系统，带有VLAN中继支撑的交换机/路由器与联想网御IPS入侵防护系统的物理接口相连接。联想网御IPS入侵防护系统能提供多达500个虚拟系统。基于角色的管理允许不同的管理员仅管理它们授权的虚拟系统，使它们建立和维护它们自己的一套安全策略、地址和地址组， 以及监视系统状态。 提供Closed-loop 保护的体系结构常规入侵检测系统的主要问题正在于检测系统本身，因为它们只检测，提供报告，但不能防护或防止攻击。主要原因在于大多数IDS, 例如防火墙，防病毒扫描，是在点上的解决办法，它们互相不通气。联想网御IPS入侵防护系统专用操作系统平台组成了一个共框架，它无缝地自然地集成了所有支持的应用。当系统中的NIDS模块检测一个攻击时，它能采用一个或多个防护措施，例如重新设置连接， 放弃与攻击相关的包，告示防火墙阻挡攻击，或等候到攻击指示灯显示达到某个门限。这是一种“closed loop”保护，根据这一强有力的概念， 将被动防护变为主动防护。 高可用性(HA)的备份保护联想网御IPS入侵防护系统通常用于关键任务环境，例如运营服务商基础设施或大型企业，不能容忍由于任一点故障的业务丢失。用户使用备分的一对联想网御IPS入侵防护系统单元，并利用专用冗余协议，来确保万一有故障发生时的故障恢复零中断。正如支持高可用性的其它协议一样，例如VRRP和路由器故障恢复零中断的HSRP，联想网御IPS入侵防护系统专用冗余协议提供安全会话的故障恢复零中断。协议中包含几项技术，包括： 连续地ping互相连接，以证实备份中的每一伙伴处在健康状态中。 如果有一个模块发生故障或无电， 业务会转到另一个系统中。 链接状态监视 监视上行和下行交换机/路由器的流量状态，聚焦于为维持连接而从待命状态转到使用状态。联想网御IPS入侵防护系统能利用专用冗余协议，配置为完全的备份环境， 使得没有单个点的故障。联想网御IPS入侵防护系统能配置为支持热备份模式或双机容错（active-active）负载共享模式。5.2联想网御IPS入侵防护系统内容处理硬件体系结构5.2.1硬件体系结构简介联想网御IPS入侵防护系统设计为传送高速度的吞吐量，并优化为第七层， 以及第二层和第三层包处理。系统由以下四个主要部分组成：联想网御IPS入侵防护系统内容处理硬件体系结构1 内容处理加速模块Content Processing Acceleration Module(CPAM)联想网御IPS入侵防护系统中有两个部件，每一个由一个内容处理芯片和一个内容处理加速单元组成。内容处理加速单元有一个专用的内容检测处理器，它与其它专用硬件一起，优化为强化内容搜索，模式识别，和数据分析大多数时间消耗在病毒扫描，内容过滤和基于网络的入侵检测。 内容处理芯片包含一个专利的内容处理引擎，以及加密加速引擎和内置的防火墙策略引擎。 这些引擎分别处理防病毒和蠕虫探测，NIDS特征探测，DES、3DES、AES加速，加密，NAT,和执行防火墙策略。CPAM 模块有专用的快速存储器，所以很少要求通过总线与管理模块中的系统内存相交互。正是由于这一有效的数据流动体系结构， 联想网御IPS入侵防护系统能达到应用层内容处理的高吞吐量。2 管理模块 Management Module(MM) - MM 是基于高性能处理器设计。管理模块的功能是流程控制， 和处理不能被内容处理加速模块有效处理的包和流量。MM还支持各种管理接口和相关的功能（GUI，CLI, SNMP等）。3 背板总线模块 Backplane Bus Module(BBM） - BBM由数据通道(Datapath)和管理总线组成。 这一模块的特点是多总线设计， 它控制在两条不同的总线上发生的信息和数据交换控制在管理通道（Management path）上的信息流程，和数据通道上模块行程之间的数据交换，以提供负载流量能力。这一设计实现了在不同模块之间的高效率通信。4 接口模块 Interface Module(IM) - 支持输入/输出接口， 流量通过这些物理接口进入和离开联想网御IPS入侵防护系统系统。根据流量的特点，包被路由到管理模块或内容控制处理加速模块去处理。注意， 如果VLAN/虚拟系统支撑是设置为接通的，流经过一个物理接口的数据能代表从多个子网络的流量，取决于不同的安全策略。5.2.2内容处理加速引擎联想网御IPS入侵防护系统内容处理器利用模块设计，包含有四个数据处理引擎： 特征扫描引擎 该引擎支持高速扫描病毒， 蠕虫和入侵攻击特征以及被禁止的内容。关键的部件是模式匹配模块， 它将文件的一个一个字节， 与表示病毒、蠕虫和入侵攻击存在或黑名单上的内容的数据库相匹配。病毒和蠕虫特征存储在专用的高速存储器中， 它直接被内容处理器存取， 而任何数据不在数据通道上传输。这一方法将扫描活动与包传输完全隔离， 从而使联想网御IPS入侵防护系统能在支持应用层处理时不降低系统性能。当流量从一个应用层协议HTTP, SNMP, POP3 IMAP之一 传到达联想网御IPS入侵防护系统时，专用操作系统将包导向到内容处理加速芯片， 它在专门的扫描存储器中将包组合为文件。扫描引擎将数据与直接与它连接的高速存储器中的特征数据库匹配。 一旦扫描完成， 扫描引擎向管理模块接口告示扫描的结果， 并接受下一批数据。操作在被检测有攻击时进行，或者整个文件被扫描时进行。 加密引擎内容处理器提供高性能加密引擎， 支持DES, Triple-DES, AES加密。Triple-DES的吞吐量高达600Mbps. 安全策略引擎这一子系统提供包和协议的分隔(parsing)，是能快速对策略匹配包流程的关键。策略引擎处理防火墙功能， 例如地址翻译和状态检测， 管理包的重新组合和分裂。 内容处理加速单元（CPAU）内容处理加速单元（CPAU） 是作为一个额外的加速引擎， 进一步加速应用层处理。CPAU在建立和管理会话相关的强化处理任务中担负着重要的角色，包含了公共秘钥(public Key Cryptography) 引擎 ，以加速秘钥的产生和改变。CPAU是可编程的并可用软件升级的, 以便适应新的算法和应用。5.2.3在联想网御IPS入侵防护系统结构中的高可靠性联想网御IPS入侵防护系统是为满足大型企业和运营服务商设计的， 高可靠性是设计中最重要的考虑因素。 在部件级，使用高质量部件，部件均由获得ISO-9000认证的提供商提供 高端设备采用双CPU处理器体系结构， 使其中一个CPU在另一个CPU出现故障时承担负载 利用误差检测和校正存储，以防止存储故障 高端设备采用冗余、热备份的电源，冗余、热备份的电扇组合，以保证连续的运作和在线维修， 不会造成停机。为了保证最大的可靠性， 可将联想网御IPS入侵防护系统配置为冗余、高可用性模式，热备份单元使得在单元发生故障时能维持当前的会话。5.3结论联想网御IPS入侵防护系统设计为不仅可以处理网络层安全，而且具有应用层功能，包括其他如病毒和蠕虫扫描和内容过滤。联想网御IPS入侵防护系统装有强化安全的、实时的操作系统，采用故障恢复零中断备份逻辑，和利用专门的内容处理加速单元加速，是一个无与伦比的网络安全网关。 它提供给大企业和运营服务商高性能、高可靠性、高安全性。其体系结构还保证了对新业务的快速适应，而不需要改变硬件。采用一个在单个的单元上运行的集成的安全和内容管理功能，预付出的采购设备的成本和运行中的管理成本均可大大地减少。从而，在低成本和保护投资的同时，用户的安全性和生产率得到很好改善。6、联想网御IPS入侵防护系统主要功能6.1 动态入侵防护/保护联想网御IPS入侵防护系统先进的入侵检测/防御技术包括： 状态检测 内容重组 通信协议检测 应用协议检测 内容检测图： 联想网御IPS入侵防护系统先进的入侵检测/防御技术联想网御IPS入侵防护系统的异常检测技术是通过分析整个数据包进行的，它远比基于特征的IDS 更强，包括包头、协议信息、应用信息、包内容和会话行为等。通过分别运用6 个完全内容重组和关联的检测过程和动态威胁防御系统，详细地会话信息被跟踪和分析，以检测出最先进的威胁和未知的“零小时”（zero-hour）攻击。这些攻击包括：基于网络的蠕虫和木马 野蛮攻击 碎片不良数据包 Cross-site 脚本 Directory Traversal拒绝服务 信息查询 会话劫持欺骗 缓冲区溢出 无端注入及其他。 状态检测引擎：状态检测引擎是设计为跟踪每一个经过联想网御IPS入侵防护系统的会话的所有通信层包括基于连接和非基于连接的协议。它保存积累的状态和会话信息，以确保每一个会话后续的包能被正确的发送和接收。 内容重组模块：内容重组模块重组所有的数据包，以保证包能以正确的顺序排列。这样就可以去掉那些重叠的分段、重复的分段、大小无效的包、偏移量无效的包过滤许多基于碎片、不合法偏移量、fragroute 逃避等的攻击。 通信协议检测引擎：通信协议检测引擎保证协议确实是有效的，包括TCP、UDP、ICMP 等。所有的协议头都需要对语法和语义的合法性及进行检验，带有不良协议信息的包将被识别出来并阻挡。 应用协议检测引擎：应用协议检测引擎确保协议头符合合法的语法和语义。协议头数值的有效性被验证，溢出被阻止。合法的应用如Telnet、FTP、HTTP、SMTP、POP3等的一致性被检查，而有害应用如BackOrifice、SubSeven、TFN2K 等被识别出来，并在它们可能对网络造成危害之前被阻挡。 内容检测模块：内容检测模块分析应用负载，寻找已知和未知的恶意内容。内容检测模块使用复杂的评估系统和会话行为模板来进行深度包分析，并在应用内容类型之间加以区别，以确保对每一个会话流量的最大检测能力。 行为检测模块：行为检测模块将异常检测带到一个新的水平。通过将双向会话信息的关联、数据信息、通道信息、控制信息、活动会话和僵尸会话信息汇集到一起进行分析。随着流量信息的积累，系统开发出正常流量模板知识，当有不良和异常流量流经联想网御IPS入侵防护系统，它们会很快被识别并阻挡。 动态威胁防御系统：动态威胁防御系统将各种检测过程关