网络安全技术与实践第二篇边界安全课件

1、网络安全技术与实践第二篇边界安全 网络安全技术与实践（课件） 人民邮电出版社2012 年 蒋亚军 编著 网络安全技术与实践第二篇边界安全2 项目二 入侵防护系统 IPS 第二篇 网络安全技术与实践第二篇边界安全3 网络安全技术与实践第二篇边界安全4 【项目背景】 n某企业的计算机网络最近频繁遭受到攻 击，虽然已经安装了防火墙，但是效果 依然不理想。邀请安全专家检测网络发 现公司内部计算机网络存在大量的恶意 代码、僵尸网络、病毒以及有针对性不 良数据包的攻击，公司决定投资解决相 关网络安全问题。 网络安全技术与实践第二篇边界安全5 【需求分析】 n传统的网络安全防范方法是对操作系统进行安全加固，

2、 通过各种各样的安全补丁提高操作系统本身的抗攻击性。 安装防火墙的思路是在网络边界检查攻击包的并将其直接 抛弃，使攻击包无法到达目标，从而从根本上避免黑客的 攻击。但通常的防火墙却无法对付应用层的恶意代码，对 于僵尸网络、病毒以及有针对性的不良数据包的攻击却都 显得有些无能为力。入侵检测系统（IDS）可以检测网络攻 击，但它的阻断攻击能力却非常有限，一般只能通过发送 TCP reset包或联动防火墙来阻止攻击。本例中最好采用入 侵防御系统（IPS），因为IPS是一种主动的、积极的入侵 防范、阻止系统，它可部署在网络的边界上，当它检测到 上述的攻击时，能够自动地将攻击包丢掉或采取措施将攻 击源阻

3、断。 网络安全技术与实践第二篇边界安全6 【预备知识】 n入侵防护系统 (IPS) 倾向于提供主动防护，其设计宗 旨是预先对入侵活动和攻击性网络流量进行拦截，避 免造成损失，而不是简单地在恶意流量传送时或传送 后才发出警报。IPS 是通过直接部署在网络边界上连 接内外网实现安全防护功能的，它可通过网络端口接 收来自外部系统的流量，检查确认其中是否包含异常 或可疑的活动内容，在数据传输过程中清除掉有问题 的数据内容。 网络安全技术与实践第二篇边界安全7 入侵防护系统 n几个问题 n1.入侵防御系统（IPS）就是入侵检测系 统（Intrusion Detection System，IDS） 的升级

4、产品， n2.入侵防护系统能够取代入侵检测系统 n3. 入侵防护系统是入侵检测系统+防火 墙 n4. 关于主动防护问题与防护体系的问题 网络安全技术与实践第二篇边界安全8 IPS的现状 IPS提出了多年，一直认为IPS会取代IDS（入侵检测 系统），但是很多年过去了，情况似乎并非如此。 据调查，目前59%的用户部都署了IDS，27%的用户将 IDS列入购买计划，62% 用户在关注 IPS，并且7%的 用户有意向购买 IPS，这些数据表明，IDS和IPS 在 国内都呈现出繁荣发展的前景 。IDS和IPS 将会有 着不同的发展方向和职责定位。IDS 短期内不会消 亡，IPS 也不会完全取代IDS的

5、作用。虽然IPS 市场 前景被绝大多数人看好，市场成熟指日可待，但要 想靠蚕食IDS 市场来扩大市场份额，对于IPS 来说 应该还是很难的。 网络安全技术与实践第二篇边界安全9 IPS的产品背景 n1.安全漏洞越来越多 n零日攻击 网络安全技术与实践第二篇边界安全10 n2.DoS/DDoS仍是很大的威胁 n根据调查，每天平均侦测到6,110个事件 nArbor的研究指出，DoS/DDoS占网络安全事件的65%， 其中主要还是TCP SYN/UDP Flooding n应用层CC攻击 网络安全技术与实践第二篇边界安全11 n3.来自内部网络的威胁 nInstant Message在线聊天软件

6、nP2P共享软件 n虚拟隧道软件 n在线网络游戏 企业网络企业网络 IMIM：MSNMSN、QQQQ、SkypeSkype P2PP2P：迅雷、：迅雷、BitTorrentBitTorrent 虚拟隧道：虚拟隧道：VNNVNN 在线网游：联众、浩方在线网游：联众、浩方 网络安全技术与实践第二篇边界安全12 n降低工作效率 n文件传输，引发泄密风险 n散布恶意程序 网管员的梦想网管员的梦想 “只允许聊天，禁止其它功能只允许聊天，禁止其它功能” “不同的对象使用不不同的对象使用不 同管理方式同管理方式” l 4.IM即时消息软件的威胁 网络安全技术与实践第二篇边界安全13 P2PP2P在耗尽带宽在

7、耗尽带宽 Thunder 迅雷、eMule 电驴、BT、FlashGet PPLive、PPStream、QQLive 消耗正常网络带宽 病毒散布温床 机密文件外泄 下载文档的著作权 l 5.P2P的威胁 网络安全技术与实践第二篇边界安全14 n6.穿透防火墙对外连机 n7.直接与外界计算机 直接交换信息 l 通过防火墙开放的合法端口建立虚拟隧道 数据加密，企业难以防范，机密信息泄露 虚拟隧道软件：VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP- Tunnel、Tor 网络安全技术与实践第二篇边界安全15 IPS产品的客户价值 l Intrusion P

8、revention System 入侵防护系统 l 简单的讲：IPS是在应用层上进行威胁检测和防御的“深度 防火墙+上网行为管理” 防火墙是IDS是IPS是 nIPS是什么？ 网络安全技术与实践第二篇边界安全16 IPSIPS的种类的种类 n1. 基于主机的入侵防护(HIPS) HIPS通过在主机/服务器上安装软件代理程序，防止网络 攻击入侵操作系统以及应用程序。基于主机的入侵防 护能够保护服务器的安全弱点不被不法分子所利用。 Cisco公司的Okena、NAI公司的McAfee Entercept、冠 群金辰的龙渊服务器核心防护都属于这类产品，它们 在防范红色代码和Nimda的攻击中，能起到

9、了很好的防 护作用。基于主机的入侵防护技术可以根据自定义的 安全策略以及分析学习机制来阻断对服务器、主机发 起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录 口令、改写动态链接库以及其他试图从操作系统夺取 控制权的入侵行为，整体提升主机的安全水平。 网络安全技术与实践第二篇边界安全17 IPSIPS的种类的种类 2. 基于网络的入侵防护(NIPS) NIPS通过检测流经的网络流量，提供对网 络系统的安全保护。由于它采用在线连接 方式，所以一旦辨识出入侵行为，NIPS就 可以去除整个网络会话，而不仅仅是复位 会话。同样由于实时在线，NIPS需要具备 很高的性能，以免成为网络的瓶颈，因此 NIP

10、S通常被设计成类似于交换机的网络设 备，提供线速吞吐速率以及多个网络端口。 网络安全技术与实践第二篇边界安全18 IPSIPS的种类的种类 n3.应用入侵防护（AIP） NIPS产品有一个特例，即应用入侵防护（Application Intrusion Prevention ，AIP），它把基于主机的入 侵防护扩展成为位于应用服务器之前的网络设备。AIP 被设计成一种高性能的设备，配置在应用数据的网络 链路上，以确保用户遵守设定好的安全策略，保护服 务器的安全。NIPS工作在网络上，直接对数据包进行 检测和阻断，与具体的主机/服务器操作系统平台无关。 NIPS的实时检测与阻断功能很有可能出现在

11、未来的交 换机上。随着处理器性能的提高，每一层次的交换机 都有可能集成入侵防护功能。 网络安全技术与实践第二篇边界安全19 IPS IPS主要功能与特性主要功能与特性 l检测机制 由于需要具备主动阻断能力，检测准确程度的高低对于 IPS来说十分关键。IPS厂商综合使用多种检测机制来提高 IPS的检测准确性。据Juniper 的工程师介绍，Juniper产品 中使用了包括状态签名、协议异常、后门检测、流量异常、 混合式攻击检测在内的“多重检测技术”，以提高检测和阻 断的准确程度。McAfee 公司则在自己的实验室里加强了对 溢出型漏洞的研究和跟踪，把针对溢出型攻击的相应防范手 段推送到IPS 设

12、备的策略库中。国内品牌冰峰网络在IPS设 备中采用了漏洞阻截技术，通过研究漏洞特征，将其加入到 过滤规则中，IPS就可以发现符合漏洞特征的所有攻击流量 ，在冲击波及其变种大规模爆发时，直接将其阻断，从而赢 得打补丁的关键时间。 网络安全技术与实践第二篇边界安全20 IPS IPS主要功能与特性主要功能与特性 n弱点分析 IPS产品的发展前景取决于攻击阻截功能的 完善。引入弱点分析技术是IPS完善攻击阻 截能力的重要依据.IPS厂商通过分析系统 漏洞、收集和分析攻击代码或蠕虫代码、 描述攻击特征或缺陷特征，使IPS 能够主 动保护脆弱系统。 网络安全技术与实践第二篇边界安全21 IPSIPS主要

13、功能与特性主要功能与特性 n环境配置 nIPS 的检测准确率还依赖于应用环境。 一些流量对于某些用户来说可能是恶意 的，而对于另外的用户来说就是正常流 量，这就需要IPS能够针对用户的特定需 求提供灵活而容易使用的策略调优手段 ，以提高检测准确率。McAfee、Juniper 、ISS、冰峰网络等公司同时都在IPS中 提供了调优机制，使IPS通过自学习提高 检测的准确性。 网络安全技术与实践第二篇边界安全22 IPSIPS主要功能与特性主要功能与特性 n兼容性 n所有的用户都希望用相对少的投入，建 设一个最安全、最易管理的网络环境。 IPS如若需达到全面防护工作，则还要把 其它网络管理功能集成

14、起来，如网络管 理、负载均衡、日志管理等，各自分工 ，但紧密协作。 网络安全技术与实践第二篇边界安全23 2. 典型IPS产品的功能 （1） 天融信TopIDP产品的主要功能。 n高吞吐量、低延时 n入侵防御能力 n多重立体防御保护 n网络架构防护能力 n网络性能保护 n核心应用保障能力 n实现精细化防御 网络安全技术与实践第二篇边界安全24 2. 典型IPS产品的功能 （2）联想网域入侵防护系统IPS n良好的产品架构 n强大的入侵与防护检测能力 n强大的DoS/DDoS攻击防护能力 n带宽管理 n上网行为管理 n应用层防火墙 网络安全技术与实践第二篇边界安全25 2. 联想网御IPS主要功

15、能 企业网络企业网络 IM、P2P、Web Mail Web Post、Online Game Intrusion、DoS/DDoS Worm/Network Virus 带宽管理带宽管理 上网行为管理上网行为管理 抗抗DoS/DDoSDoS/DDoS 七层防火墙七层防火墙 IDSIDS IPSIPS 联想网御联想网御 IPSIPS 网络安全技术与实践第二篇边界安全26 分类分类特性特性/功能功能详细描述详细描述 产品架构硬件架构采用 ASIC硬件架构，无硬盘设计，减少设备故障几率 操作系统采用VSP通用安全平台；采用非开放式操作系统，以确保防御设备自身的稳定性 入侵检测与 防护 入侵检测引擎

16、采用USE统一安全引擎，具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能； 工作模式支持IPS、IDS、IPS监视、IDS监视、Forward等多种工作模式; 特征规则内置IPS特征库，特征规则数量超过2,300条；可自定义入侵攻击和应用软件的特征 协议分析支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析 防护攻击类型 支持对蠕虫、木马、间谍软件、广告软件、可疑代码、扫描、非法连接、DosS/DDoS、Web攻击等多种攻击 的防护。可以防范IP Spoofing攻击。 策略时间管理可自定义单个策略的运行时间 对数据包的处理

17、方 式 支持丢弃数据包、切断会话、事件监视/记录 (可选择记录数据包内容，如Sniffer一般)、限制连接传输带 宽、限制传输总量等多种处理方式 DoS/DDoS攻 击防护 三/四层防护支持双向阻断TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMP Smurfing等各种类型的DoS/DDoS的攻击 七层防护支持基于限制访问单位时间内访问特定服务次数来，阻断未知类型的DoS/DDoS攻击，如针对Web、DNS等服 务的攻击 带宽管理流量整形针对VLAN、源/目的IP地址、应用协议端口、七层应用软件（如P2P、FTP、PPlive、PPStream等），支持进 行网络传

18、输带宽和网络传输总量两种限制方式 P2P下载管理拥有完善的P2P特征识别库，支持的常用P2P软件包括Thunder、eMule、WinMX、QQLive (China)、Skype、 eDonkey、BitTorrent、Mldonkey等30余种；带宽限流可精准到1Kbps 上网行为管 理 聊天应用管理拥有完善的实时聊天程序特征识别库，支持的聊天程序包括MSN、QQ、Yahoo Messenger、Skype、AIM、TM、 Google Talk、PoPo Build、iChat等10多类；并可对基于Web的聊天进行登陆和禁止管理控制，如 MSN、Yahoo、ICQ、Google Talk

19、、AIM、eB、iLoveIM.com 等 在线游戏管理支持对腾讯QQ游戏大厅、联众世界、浩方对战平台、跑跑卡丁车等流行的在线游戏实现阻断管理 Web访问检查可基于URL、内容等制定黑白名单来对Web访问进行过滤 网络安全技术与实践第二篇边界安全27 分类分类特性特性/功能功能详细描述详细描述 应用层防 火墙 防火墙功能支持状态检测防火墙功能，支持基于网络接口、源/目的IP地址、协议、时间等 自定义访问控制策略 虚拟通道管理支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流 行的虚拟隧道，以及对自由门、无界、花园等反动类软件，

20、实现阻断管理。 高可靠性 双机热备 基于HA网络物理接口，可实现在设备宕机、端口坏等故障下的主机和从机的及时 切换 旁路保护 支持硬件Bypass、软件Bypass的功能，以避免在任何情况下，因本系统无法正常 运作而造成网络中断的情形 灵活的管 理 管理方式基于Java的B/S管理架构，支持图形界面和命令行管理方式 高效的集中管 理 支持通过专用的安全管理系统，实现全局拓扑生成、集中日志审计、集中设备监 控等安全管理 直观的状态显 示 具有显示攻击事件百分比的仪表盘、显示协议流量的柱状图、安全事件趋势分析 曲线图、实时事件列表等多种实时状态显示，方便分析网络的现状和趋势 设备升级支持通过线升级

21、和本地文件升级方式，来对特征库、管理软件、设备操作系统实 现升级 报警可实时通过LEMS、邮件、syslog进行报警 流量分析 支持端口Mirror功能。设备提供Mirror接口，网络分析设备可直接获得流量数据 进行分析。 日志审计 报表 内置多样化的报表模版，自动定时生成和自定义来生成报表；支持HTML、PDF、 CSV等文件格式；可利用邮件或FTP等形式定时外传报表 事件查询 可根据事件类型、虚拟设备、时间、源/目的IP、攻击名称等信息进行快速问题 定位 网络安全技术与实践第二篇边界安全28 5. 联想网御IPS核心技术 n1.基于协议自动机（PA）的流量识别技术 n提供了更精确的流量检测

22、方法 n高效的流量数据包特征匹配 网络安全技术与实践第二篇边界安全29 n2.硬件特征匹配技术 n传统硬件加速技术 n基于FPGA n基于Bloom过滤器 n基于TCAM n联想网御硬件特征匹 配技术 nFPGA+TCAM+SSRAM的硬 件加速架构 网络安全技术与实践第二篇边界安全30 n3.联想网御硬件加速架构的优势 n使用TCAM做预处理，因而支持Wildcard、Distance、 Within等等针对P2P/IM等应用程序所需要的操作单 元； n对特征进行了预分组，在保证了匹配速度的同时， 控制了器件规模，从而节约成本，保证了用户得到 最高的性能价格比； n算法相关部分全部位于FPG

23、A之中，由于其具有可动 态升级特性，因而算法可以不断随着产品升级进行 优化，灵活性大； nSSRAM成本低，容量大，用它来实现精确匹配极大了 扩展了可以用于匹配的规则数目； nCPU的多核机制和FPGA中并行数据包缓冲处理机制结 合，支持全并行的特征匹配。 网络安全技术与实践第二篇边界安全31 5.5.联想网御IPS产品优势 n1.高效的硬件体系结构 n零拷贝技术 n多核处理与内存分配技术 nASIC加上特征比对技术 网络安全技术与实践第二篇边界安全32 l 2.USE统一安全引擎 基于协议异常、会话状态和七层应用行为进行检测 内置2300多条特征规则，支持自定义特征 支持对VLAN、MPLS

24、、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等各种协议 的分析 网络安全技术与实践第二篇边界安全33 n3.支持七层状态检测防火墙 n支持基于网络接口、源/目的IP地址、协议、时间等自定义访问控制策 略 n支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、 Tor等流行的虚拟隧道实现阻断管理 网络安全技术与实践第二篇边界安全34 DNS/SMTP/WWWDNS/SMTP/WWW InternetInternet n4.高级自学习抗DoS攻击 传统单纯基于时间及访问次数的方法，会阻挡合法流量 自动学习和分析每个特定IP地址

25、的流量 阻止攻击，同时允许合法的流量通过 “源IP+URL特征+时间+访问次数”有效防范CC攻击 网络安全技术与实践第二篇边界安全35 n5.全面的P2P管控 n基于软件行为、数据内容，而不是端口识别应用 n可检测加密型或非加密型P2P n支持100余种常用P2P软件 n带宽限流可精准到1Kbps 网络安全技术与实践第二篇边界安全36 n6.细粒度的IM管控 n基于软件行为、数据内容，而不是基于端口号识别应用 n可检测加密型或非加密型IM应用 n支持10种以上常用IM软件，包括Web IM n可对登陆、文字聊天、文件传输、实时语音、实时视频等进行分项管理 网络安全技术与实践第二篇边界安全37

26、n7.精准的带宽管理 n针对VLAN、源/目的IP地址、应用协议端口、七层应用软件（如P2P、FTP、 PPlive、PPStream等） n支持进行网络传输带宽和网络传输总量两种限制方式 n针对P2P应用的带宽限流，可精准到1Kbps 网络安全技术与实践第二篇边界安全38 n8.丰富的工作模式 n支持IPS、IDS、IPS监视、IDS监视、Forward等工作模式 n支持Mirror模式 网络安全技术与实践第二篇边界安全39 l 9.自定义检测方向 针对性检测 节省系统资源 网络安全技术与实践第二篇边界安全40 l 10.图像化的实时监视窗口 网络安全技术与实践第二篇边界安全41 n11.方

27、便、实用的报表 n预设事件报表、内建报表、随选报表、定期报表四类报表 l 事件报表 查看事件的详细列表 l 内建报表 图形化 显示 l 随选报表 丰富的查询条件 l 定期报表 多样的计划类型：循环生成、一次性生成 丰富的过滤条件 HTML、PDF、CSV文件存储 邮件、FTP通知 网络安全技术与实践第二篇边界安全42 n12.灵活的管理 n基于JAVA的B/S管理架构 n支持在线、脱机两种方式对特征库、管理软件、设备操作系统 实现升级 n支持实时通过LEMS、邮件、syslog进行报警 nSSH、Console管理IPS设备 网络安全技术与实践第二篇边界安全43 n13.实用的多重冗余功能 无

28、硬盘设计 冗余电源 硬件/软件Bypass 联机自动切换（Link Fault Pass Through） 支持Active-Active、Active-Passive两种模式 网络安全技术与实践第二篇边界安全44 l 14.全面的产品资质 网络安全技术与实践第二篇边界安全45 项目项目/规格规格项目项目/规格规格/说明说明350IPS650IPS950IPS4500IPS6000IPS6500IPS 性能性能 防火墙吞吐量防火墙吞吐量整机最大吞吐量500Mbps1Gbps2Gbps3Gbps4Gbps4Gbps IPS吞吐量吞吐量整机最大吞吐量200Mbps500Mbps600Mbps1Gb

29、ps1Gbps1Gbps 时延时延单个报文最大时延200微秒200微秒200微秒128微秒128微秒128微秒 并发连接数并发连接数整机最大并发连接数500,0001,000,0001,000,0001,000,0001,000,0001,000,000 每秒新建连接数每秒新建连接数整机每秒最大连接数12,00012,00012,00022,00022,00022,000 接口接口/扩展性扩展性 IPS/IDS共用口共用口10/100/1000自适应电口444400 1000M（单模/多模光口）000004 插槽（支持1000M单模光口/多模光口/电 口 模块，模块未标配，按需另行购买） 00

30、4个SFP插槽04个GBIC插槽0 IDS口口10/100/1000自适应电口111222 管理口管理口10/100/1000自适应电口111111 串口串口1个RJ-451个RJ-451个RJ-451个RS-2321 个RS-2321个RS-232 IPS接口说明接口说明支持多路IPS（两个接口为一路IPS，一路 IPS保护一个网段） 22标配2路，购买2个模块 可扩展为3路， 购买4个模块可 扩展为4路 2标配无IPS功能，购 买2个模块可 扩展为1路， 购买4个模块 可扩展为2路 2 支持硬件Bypass 1对电口Bypass2对电口Bypass2对电口Bypass2对电口Bypass不

31、支持2对光口Bypass 电源电源是否为冗余电源 机箱机箱是否为机架式 机箱高度1U1U2U2U2U2U 产品定位入门级低端主打产品端口密集/光电混合全电口高端接口模块化高端光口Bypass高端 目标客户用于低价竞争中端客户，价 格敏感 控标型产品运营商、高校、IDS、政府信息中心、金融、大企业等高 性能需求 5.6 联想网御 IPS 产品线 网络安全技术与实践第二篇边界安全46 n1.上网行为管理 n部署在内网出口 n上网行为管理 nIM即时消息软件 nWeb-IM nP2P软件 n虚拟隧道 n在线游戏 n反动软件 5.7. 联想网御 IPS 典型部署 网络安全技术与实践第二篇边界安全47

32、n2.内外兼顾 n部署在网络出 口 n防范外网攻击 n上网行为管理 网络安全技术与实践第二篇边界安全48 n3.多路防护 n多路IPS n每路设置不同的 策略 n带宽限流 网络安全技术与实践第二篇边界安全49 5.7. 竞争分析 联想网御联想网御 市场定位市场定位百兆百兆千兆千兆 项目项目/ /规格规格350350650650950950450045006000600065006500 吞吐量200Mbps/500Mbps500 Mbps /1Gbps600Mbps/2Gbps1Gbps/3Gbps 1Gbps/4Gbps1Gbps/4Gbps 最大并发500,0001,000,0001,00

33、0,0001,000,0001,000,0001,000,000 接口数量6个10/100/1000M电口6个10/100/1000M电口6 6个个10/100/1000M10/100/1000M电口电口 +4+4个个SFPSFP插槽插槽 7个10/100/1000M电口3个10/100/1000M电口+4 个GBIC插槽 3个10/100/1000M电口 +4个GBIC光口 IPS路数最多2路最多2路最多最多4 4路路最多2路最多2路最多2路 IDS路数最多最多5 5路路最多最多5 5路路最多最多9 9路路最多最多6 6路路最多最多6 6路路最多最多6 6路路 Bypass1路电口2路电口2

34、路电口2路电口不支持2路光口路光口 冗余电源否否标配标配标配标配 绿盟科技绿盟科技 项目项目/ /规格规格200P-02、200P-03600P-02、 600P-031200P-02/1200P-03/1200P-041600P-02/1600P-03/1600P-04 吞吐量200Mbps600Mbps1.2G2G 最大并发150,000200,000500,0001,000,000 接口数量最多4个100M工作口 +最多4个管理 口 最多4个100M工作口 +最多4个管理口 最多4个千兆工作口（单模/多模/电 口） +最多6个管理口 最多4个千兆工作口 （单模/多模/电口） +最多6个管

35、理口 IPS路数最多最多1 1路路最多最多1 1路路最多最多1 1路路最多最多1 1路路 IDS路数最多3路最多3路最多4路最多4路 Bypass内置内置外置外置外置外置 冗余电源否否需购买需购买需购买需购买 1.1.绿盟产品线及规格对比绿盟产品线及规格对比 网络安全技术与实践第二篇边界安全50 n2.2.联想相对绿盟的优势联想相对绿盟的优势 n联想的产品线丰富，接口数量多，类型丰富，其中950IPS最多支持 4路IPS或9路IDS。具体信息可参考产品线及产品规格对比表。 n联想支持，绿盟不支持的功能 n虚拟隧道软件的检测虚拟隧道软件的检测 n自由门、无界、花园等反动类软件的检测 n “端口端

36、口Mirror”Mirror”功能功能 n “IP Spoofing”功能 n “Link Fault Pass Through”功能 n “自定义检测方向” n绿盟产品不如我们做的好的功能 n联想的产品对P2P的支持更全面，检测准确，且支持P2P限流，特别是迅雷，绿 盟支持的不好，可以引导用户进行测试。 n我们的产品可以对IM软件的登陆、文字聊天、文件传输、语音聊天、视频聊天 进行分项检测，并支持对Web-IM的检测，比绿盟产品要全面，可以引导用户进 行测试。 网络安全技术与实践第二篇边界安全51 n绿盟强调其产品具有绿盟强调其产品具有CVECVE证书证书. . nCVE兼容性证书是与产品相

37、关的，绿盟的IDS和风险评估软件具有CVE证 书，IPS产品并没有CVE证书。 n绿盟强调其产品支持路由和绿盟强调其产品支持路由和NATNAT功能功能. . n绿盟绿盟IPSIPS支持路由和支持路由和NATNAT功能的原因有以下两点：功能的原因有以下两点： n（1 1）绿盟没有防火墙产品）绿盟没有防火墙产品。绿盟不是专业的路由器和防火墙厂商，想 想其路由和NAT功能能做好吗？绿盟为了争取一些防火墙的项目，所以 在IPS产品中加入了路由和NAT功能。而业内主流产品TP等主流IPS厂商 均不在IPS产品中集成路由和NAT功能，这已经成为业内默认的产品标准。 n（2 2）路由）路由/NAT/NAT功

38、能与硬件功能与硬件BypassBypass功能之间是矛盾的。功能之间是矛盾的。客户购买IPS产品 时都要求支持硬件Bypass功能，这就要求每路IPS接口之间工作在透明 模式下。如使用路由或NAT功能，则硬件Bypass就会不起作用，当设备 出现问题时，直接导致断网。 n注：硬件bypass功能解决了在IPS主机掉电、硬件故障、操作系统故障 时，实现每路IPS的接口之间直通，从而避免了由于IPS故障导致的断网 现象发生。 n3.3.联想与绿盟功能对比联想与绿盟功能对比 网络安全技术与实践第二篇边界安全52 4.4.联想与启明产品线及规格对比联想与启明产品线及规格对比 联想网御联想网御 市场定位市场定位百兆百兆千兆千兆 项目项目/ /规格规格350350650650950950450045006000600065006500 吞吐量200Mbps/500Mbps500 Mbps /1Gbps 600Mbps/2Gbps1Gbps/3Gbps 1Gbps/4Gbps1Gbps/4Gbps 最大并发500,0001,000,0001,000,0001,000,0001,000,0001,000,000 接口数量6个10/100/1000M电 口 6个 10/100/1000M电 口 6 6个个10/100/1000M10