一、绿盟IPS入侵检测系统介绍

为什么需要入侵检测系统

随着网络的普及，网络安全事件的发生离我们越来越近，我们可能遇到如下情况：

1、企业的网络系统被入侵了，造成服务器瘫痪，但不知道什么时候被入侵的；

2、客户抱怨企业的网页无法正常打开，检查发现是服务器被攻击了，但不知道遭受何种方式的攻击；

3、员工因为访问恶意站点，将后门、木马等威胁引入企业内网，造成敏感信息外泄，给企业造成巨大的损失，却无
法找到问题根源；

4、企业网络拥塞，应用正常业务运转，却无法定位消耗带宽的应用类型；

5、企业网络瘫痪，检查出遭受蠕虫病毒攻击，但不知道如何清除并避免再次遭到攻击；

6、企业网络被入侵了，安全事件调查中缺乏证据。

根据调查数据显示，以上情况给网络管理员带来极大的困扰，也给企业带来了巨大的安全风险。如何及时的、准确的发现违反安全策略的事件，并及时处理，是广大用户迫切需要解决的问题。

入侵检测系统的特点

入侵检测系统（Intrusion Detection System）是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道安全闸门，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护大大提高了网络的安全性。

入侵检测系统主要有以下特点：

1、事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；

2、事中防御：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCP Killer等方式进行报警及动态防御；

3、事后取证：被入侵攻击后，入侵检测系统可以提供详细的攻击信息，便于取证分析。

综上所述，防火墙提供静态防御，而入侵检测系统提供动态防御，因此防火墙和入侵检测系统的结合，能够给网络带来全面的防御。对防火墙和入侵检测系统的关系有一个经典的比喻：防火墙相当于门卫，对于所有进出大门的人员进行检查，入侵检测系统相当于闭路监控系统，监控关键位置如财务、库房等地安全状况，仅有门卫是无法发现内部人员的非法行为，而闭路监控系统可以实时监控，发现异常情况及时报警，两者配合使用才能保证安全。

二、绿盟抗(DDOS)拒绝服务系统介绍

DoS（Denial of Service 拒绝服务）攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。拒绝服务攻击可以有各种分类方法，如果按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源，例如：网络带宽、内存和磁盘空间、CPU 使用率等等。通常，网络层的拒绝服务攻击利用了网络协议的漏洞，或者抢占网络或者设备有限的处理能力，造成网络或者服务的瘫痪，而 DDoS攻击又可以躲过目前常见的网络安全设备的防护，诸如防火墙、入侵监测系统等，这就使得对拒绝服务攻击的防治，成为了一个令管理员非常头痛的问题。

传统的攻击都是通过对业务系统的渗透，非法获得信息来完成，而 DDoS 攻击则是一种可以造成大规模破坏的黑客武器，它通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备（如防火墙、路由器等）负载过高，从而最终导致系统崩溃，无法提供正常的Internet 服务。

DDoS 的威胁愈演愈烈

DDoS 攻击给运营商、企业和政府都将可能带来巨大的损失。带宽耗尽型的攻击可能极大浪费运营商骨干网络宝贵的带宽资源，严重增加核心设备的工作负荷，造成关键业务的中断或网络服务质量的大幅降低。DDoS 攻击之下的门户网站性能急剧下降，无法正常处理用户的正常访问请求，造成客户访问失败；服务质量协议（SLA）也会受到破坏，带来高额的服务赔偿。同时，公司的信誉也会蒙受损失，而这种危害又常常是长期性的。利润下降、生产效率降低、IT 开支增高以及相应问题诉诸法律而带来的费用增加等等，这些损失都是由于 DDoS攻击造成的。此外，攻击的波及面之广也是当前不得不面对的问题。CNCERT 在 2010 年上半年《中国互联网网络安全报告》中指出，CNCERT 2010 年上半年抽样监测结果显示我国大陆约有近124 万个 IP 地址对应的主机被植入僵尸和木马程序控制，同时监测发现境外有 127559 个 IP地址作为木马控制服务器参与控制中国大陆地区的木马受控主机。

DDoS 攻击主要分为以下几种类型：

1、带宽型攻击——这类 DDoS 攻击通过发出海量数据包，造成设备负载过高，最终导致网络带宽或是设备资源耗尽。通常，被攻击的路由器、服务器和防火墙的处理资源都是有限的，攻击负载之下它们就无法处理正常的合法访问，导致服务拒绝。

2、流量型攻击最通常的形式是 Flooding 方式，这种攻击把大量看似合法的 TCP、UDP、ICPM包发送至目标主机，甚至，有些攻击还利用源地址伪造技术来绕过检测系统的监控。

3、应用型攻击——这类 DDoS 攻击利用了诸如 TCP 或是 HTTP 协议的某些特征，通过持续占用有限的资源，从而达到阻止目标设备无法处理正常访问请求的目的，比如HTTP Half Open攻击和 HTTP Error 攻击就是该类型的攻击。

DDoS 防护的基本要求

DDoS 防护一般包含两个方面：其一是针对不断发展的攻击形式，尤其是采用多种欺骗技术的技术，能够有效地进行检测；其二，也是最为重要的，就是如何降低对业务系统或者是网络的影响，从而保证业务系统的连续性和可用性。

完善的 DDoS 攻击防护应该从四个方面考虑：

1、能够从背景流量中精确的区分攻击流量；

2、降低攻击对服务的影响，而不仅仅是检测；

3、能够支持在各类网络入口点进行部署，包括性能和体系架构等方面；

4、系统具备很强的扩展性和良好的可靠性；

基于以上四点，抗拒绝服务攻击的设备应具有如下特性：

1、通过集成的检测和阻断机制对 DDoS 攻击实时响应；

2、采用基于行为模式的异常检测，从背景流量中识别攻击流量；

3、提供针对海量 DDoS 攻击的防护能力；

4、提供灵活的部署方式保护现有投资，避免单点故障或者增加额外投资；

5、对攻击流量进行智能处理，保证最大程度的可靠性和最低限度的投资；

6、降低对网络设备的依赖及对设备配置的修改；

7、尽量采用标准协议进行通讯，保证最大程度的互操作性和可靠性；

三、绿盟堡垒机产品介绍

随着信息化的发展，企事业单位 IT 系统不断发展，网络规模迅速扩大、设备数量激增，建设重点逐步从网络平台建设，转向以深化应用、提升效益为特征的运行维护阶段， IT 系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益，构建一个强健的 IT 运维安全管理体系对企业信息化的发展至关重要，对运维的安全性提出了更高要求。
目前，面对日趋复杂的 IT 系统，不同背景的运维人员已给企业信息系统安全运行带来较大潜在风险，

主要表现在：账号管理无序，暗藏巨大风险

1、多个用户混用同一个账号

这种情况主要出现在同一工作组中，由于工作需要，同时系统管理账号唯一，因此只能
多用户共享同一账号。不仅在发生安全事故时难以定位账号的实际使用者和责任人，而且无法对账号的使用范围进行有效控制，存在较大安全隐患。

2、一个用户使用多个账号目前

一个维护人员使用多个账号是较为普遍的情况，用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。如果设备数量达到几十甚至上百台时，维护人员进行一项简单的配置需要分别逐一登录相关设备，其工作量和复杂度成倍增加，直接导致的后果是工作效率低下、管理繁琐甚至出现误操作，影响系统正常运行。

3、粗放式权限管理

安全性难以保证大多数企事业单位的 IT 运维均采用设备、操作系统自身的授权系统，授权功能分散在各设备和系统中。管理人员的权限大多是粗放式管理，由于缺少统一的运维操作授权策略，授权粒度粗，无法基于最小权限分配原则管理用户权限，难以与业务管理要求相协调。因此，出现运维人员权限过大、内部操作权限滥用等诸多问题，如果不及时解决，信息系统的安全性难以充分保证。

4、设备自身日志粒度粗

难以有效定位安全事件在运维工作中，大多是通过各网络设备、操作系统的系统日志进行监控审计，但是由于各系统自身审计日志分散、内容深浅不一，且无法根据业务要求制定统一审计策略；因此，难以通过系统自身审计及时发现违规操作行为和追查取证。

5、第三方代维人员带来安全隐患

目前，越来越多的企业选择将非核心业务外包给设备商或代维公司，在享受便利的同时，由于代维人员流动性大、对操作行为缺少监控带来的风险日益凸显。因此，需要通过严格的权限控制和操作行为审计，加强对代维人员的行为管理，从而达到消隐患、避风险的目的。

6、传统网络安全审计系统已无法满足运维审计和管理的要求

无法审计运维加密协议、远程桌面内容为了加强信息系统风险内控管理，一些企业已部署网络安全审计系统，希望达到对运维人员操作行为监控的目的。由于传统网络安全审计的技术实现方式和系统架构（主要通过旁路镜像或分光方式，分析网络数据包进行审计），导致该系统只能对一些非加密的运维操作协议进行审计，如 Telnet；而无法对维护人员经常使用的 SSH、RDP 等加密协议、远程桌面等进行内容审计，无法有效解决对运维人员操作行为的监管问题。基于 IP 的审计，难以准确定位责任人大多数网络安全审计系统，只能审计到 IP 地址，难以将 IP 地址与具体人员身份准确关
联，导致发生安全事故后，追查责任人成为新的难题。

7、面临法规遵从的压力

为加强信息系统风险管理，政府、金融、运营商等陆续发布信息系统管理规范和要求，如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等均要求采取信息系统风险内控与审计，但其自身确没有有效的技术手段。

上述风险带来的运维安全风险和审计监管问题，已经成为企业信息系统安全运行的严重隐患，制约业务发展，影响企业效益。企业 IT 运维安全管理的变革已刻不容缓！

一、绿盟(IPS)下一代网络入侵检测系统

    随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。业务对信息和网络的逐渐依赖对社会的各行各业产生了巨大深远的影响，信息安全的重要性也在不断提升。近年来，网络信息系统所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其是基于应用的新型威胁，如隐藏在HTTP等基础协议之上的应用层攻击问题、web2.0安全问题、木马后门、间谍软件、僵尸网络、DDoS攻击、网络资源滥用（P2P下载、IM即时通讯、网游、视频）等，极大地困扰着用户，给单位的信息网络造成严重的破坏，严重影响了信息化的进一步发展。

    未来几年，随着云计算、物联网、智慧城市、移动互联网和微博等新一代应用和技术在行业得到广泛应用，在促进应用创新的同时，也将带来严重的信息安全隐患。攻防的不断发展，安全威胁的不断进化，新应用、新技术的广泛使用，对原有的安全保障理念和模式也将带来巨大的冲击，原有的安全检测手段已经不能完全解决面临的安全问题。

    如何在新旧技术交叠应用的变革过程中，更有效地检测系统网络面临的安全问题，已成为各方关注的重点。基于对网络入侵检测的实践，以及攻防的深刻理解和研究，绿盟科技正式发布国内首款下一代入侵检测系统，开启了下一代安全之门。该产品采用了全新的检测防护模型，综合运用智能识别、环境感知和行为分析技术，为用户提供一份看得见、检得出的下一代入侵检测解决方案，标志着国内入侵检测市场迈入一个新的时代。

高可靠的自身安全性
 NSFOCUS NIDS（N系列）采用安全、可靠的硬件平台，全内置封闭式结构，配置完全自主知识产权的专用系统，经过优化和安全性处理，稳定可靠。系统内各组件通过强加密的SSL安全通道进行通讯防止窃听，确保了整个系统的安全性和抗毁性。
 NSFOCUS NIDS（N系列）具有更强的高可用性，设备支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性。
 NSFOCUS NIDS（N系列）监听网口无需设置IP地址，避免了被扫描和攻击。
 NSFOCUS NIDS（N系列）的网络探测器与安全中心在网络完全断开的情况下，探测器仍然会将检测到的事件在探测器本地保存，等网络恢复正常自动地同步到绿盟安全中心，提供日志缓存。

业界领先的安全漏洞研究能力
绿盟科技作为微软的MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软每月发布安全更新之前获得漏洞信息，为客户提供更及时有效的保护。
公司的安全研究部门NSFocus小组，已经独立发现了40多个Microsoft、HP、CISCO、SUN、Juniper等国际著名厂商的重大安全漏洞，保证了NSFOCUS NIDS（N系列）技术的领先和规则库的及时更新，在受到攻击以前就能够提供前瞻性的保护。
 高品质攻击特征库
覆盖广泛的攻击特征库携带超过2000条，由NSFocus安全小组精心提炼、经过时间考验的攻击特征，并通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得最高级别的CVE兼容性认证（CVE Compatible）。
绿盟科技具有领先的漏洞预警能力，是目前国内唯一向国外（美国）出口入侵检测规则库的公司。绿盟科技每周定期提供攻击特征库的升级更新，在紧急情况下可提供即时更新。
 全面深入的协议分析技术
NSFOCUS NIDS（N系列）全面深入的协议分析技术能够分析超过100种应用层协议，包括HTTP、FTP、SMTP等，极大地提高检测的准确性，降低误报率。
NSFOCUS NIDS（N系列）通过分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够高速的、智能的、准确的检测出对运行在任意端口的应用层协议的攻击行为和标准协议运行在非标准端口行为，准确发现绑定在任意端口的各种木马、后门，对于运用了Smart Tunnel技术的软件也能准确地捕获分析。
NSFOCUS NIDS（N系列）通过协议分析，发现任何违背RFC规定后，均视为协议异常。协议异常最为重要的作用是检测未知的溢出攻击与拒绝服务攻击，协议异常具有接近100%的检测准确率和近乎零的误报率。

二、绿盟抗(DDOS)拒绝服务系统介绍

针对目前流行的 DDoS 攻击，包括未知的攻击形式，绿盟科技提供了自主研发的抗拒绝服务产品——NSFOCUS Anti-DDoS System，简称 NSFOCUS ADS。通过及时发现背景流量中各种类型的攻击流量，NSFOCUS ADS 可以迅速对攻击流量进行过滤旁路，保证正常流量的通过。产品可以在多种网络环境下轻松部署，不仅能够避免单点故障的发生，同时也能保证网络的整体性能和可靠性。

绿盟科技推出了三位一体的异常流量清洗解决方案，可满足电信运营商对大型 Anti-DDoS系统“可管理、可运营”的需求。该解决方案由异常流量检测系统（NSFOCUS NTA）、异常流量净化系统（NSFOCUS ADS）及管理和取证系统（NSFOCUS ADS-M）组成。解决方案由三类组件产品构成：

1、 NSFOCUS ADS（绿盟抗拒绝服务攻击产品）——作为绿盟流量清洗产品系列中的关键设备，其中 NSFOCUS ADS 提供了单台最大 10G 的 DDoS 线速防护能力，通过部署NSFOCUS ADS 设备，可以对网络中的 DDoS 攻击流量进行清除，同时保证正常流量的通过。NSFOCUS ADS 设备可以通过旁路方式部署在网络中，同时利用万兆级别的NSFOCUS ADS 组成的多台设备的集群，防护容量可以高达数十 G，提高整个系统抵御海量 DDoS 攻击的能力。

 2、NSFOOCUS NTA（绿盟网络流量分析产品）——绿盟流量清洗产品系列中第二类设备，称之为 NSFOCUS NTA，该设备主要应用于异常流量检测，需要和 NSFOCUS ADS 设备配合工作。NSFOCUS NTA 设备可以应用 Netflow 等方式对流量数据进行采集，并对采集到的数据进行深入分析。一旦发现异常的网络流量，NSFOCUS NTA 会根据预先由系统管理员定义的方式触发 NOC（Network Operation Center）控制台报警或自动联动异常流量净化系统进行流量的牵引和净化。

 3、NSFOCUS ADS-M（绿盟抗拒绝服务攻击综合管理产品）——绿盟流量清洗产品系列中第三类设备，称之为 NSFOCUS ADS-M，负责收集来源于不同网络位置的多个NSFOCUS ADS 设备的状态数据，进行关联分析和处理；基于防护群组、流量群组等逻
辑对象进行高效的业务用户分组防护管理，并分别提供类型丰富的报表；对于网络不同节点的防护/监控产品进行集中的配置管理和权限分配；为攻击溯源提供抓包取证的功能。除此之外，NSFOCUS ADS-M 更提供用户自服务系统，满足运营商利用 DDoS 做增值服务的需要。

三、绿盟堡垒机产品介绍

绿盟安全审计系统-堡垒机产品主要有三大功能：

1、集中账号管理

建立基于唯一身份标识的全局实名制管理，支持统一账号管理策略，实现与各服务器、
网络设备、安全设备、数据库服务器等无缝连接。

2、集中访问控制

通过集中访问控制和细粒度的命令级授权策略，基于最小权限原则，实现集中有序的运
维操作管理，让正确的人做正确的事。

3、集中安全审计

基于唯一身份标识，通过对用户从登录到退出的全程操作行为进行审计，监控用户对目标设备的所有敏感操作，聚焦关键事件，实现对安全事件的实时发现与预警。

全程运维行为审计

绿盟堡垒机可完整审计运维人员通过账号“在什么时间登录什么设备、做什么操作、返回什么结果、什么时间登出”等行为，全面记录“运维人员从登录到退出”的整个过程，帮助管理人员及时发现权限滥用、违规操作，准确定位身份，以便追查取证。

字符会话审计

系统支持审计通过 SSH、Telnet 等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、设备 IP、协议类型、危险等级、操作命令等。可提供操作内容倍速回放、定位播放等功能。

图形操作审计

系统支持审计通过 RDP、VNC 等远程桌面以及 HTTP/HTTPS 协议的图形操作行为，审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、设备 IP、协议类型、危险等级、操作内容等。支持通过视频录像方式记录操作内容，可提供倍速回放、定位播放等功能。

数据库运维审计

系统支持审计 Oracle、MS SQL Server、IBM DB2、PostgreSQL 等各主流数据库的操作行为，审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、设备 IP、协议类型、危险等级、操作内容等。支持通过视频录像方式记录操作内容，可提供倍速回放、进度拖拉等功能。

文件传输审计
系统支持审计通过 SFTP、FTP 等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、目标设备 IP、协议类型、文件名称、危险等级、操作命令等。可提供操作内容倍速回放功能。

合规审计

对上述各类运维审计日志，审计员能够单独或批量进行合规审计，方便地审核每一次运维行为及操作是否符合规章制度的要求，并填写具体的审核批注，最后统一输出合规审计结果。

一、绿盟IPS入侵检测系统优势

针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击，以及网络资源滥用（P2P下载、IM即时通讯网游、视频等），绿盟科技提供了完善的检测方案。绿盟下一代网络入侵检测系统（以下简称“NSFOCUS NIDS（N系列）”）是绿盟科技拥有完全自主知识产权的安全产品，它是对防火墙的有效补充，实时检测网络流量，监控各种网络行为，对违反安全策略的流量给予及时报警和阻断，实现从事前警告、事中防护到事后取证的一体化解决方案。

NSFOCUS NIDS（N系列）的体系架构主要由安全引擎、安全管理模块及响应模块三个部分组成，方便各种网络环境的灵活部署和管理。

NSFOCUS NIDS（N系列）是网络入侵检测系统同类产品中的经典之作，该产品拥有业界其它产品无以比拟的高性能、高安全性、高可靠性和易操作性等特性，具备全面入侵检测、可靠的Web威胁检测、细粒度流量分析，以及全面用户上网行为监测等四大功能，为用户带来了极佳的安全体验。

1、入侵检测
NSFOCUS NIDS（N系列）对缓冲区溢出、SQL注入、暴力猜测、D.o.S攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警，并通过与防火墙联动、TCP Killer、发送邮件、安全中心显示、日志数据库记录、运行用户自定义命令等方式进行动态防御。

2、 Web安全
基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，在用户访问被植入木马等恶意代码的网站时，给予实时警告，并录入安全日志。

3、流量分析
NSFOCUS NIDS（N系列）能够统计出当前网络中的各种报文流量，协助管理员了解实时的网络流量性质和分布，以便及时做出调整，确保关键业务能够持续运转。

4、用户上网行为监测
NSFOCUS NIDS（N系列）系统对网络流量进行监测，对P2P下载、IM即时通讯、网络游戏、网络流媒体等严重滥用网络资源的事件提供告警和记录。

二、绿盟抗(DDOS)拒绝服务系统核心原理

绿盟抗拒绝服务产品基于嵌入式系统设计，在系统核心实现了防御拒绝服务攻击的算法，创造性地将算法实现在协议栈的最底层，避免了 TCP/UDP/IP 等高层系统网络堆栈的处理，使整个运算代价大大降低，并结合特有硬件加速运算，因此系统效率极高。该方案的核心技术

1、反欺骗——绿盟 Anti-DoS 技术将会对数据包源地址和端口的正确性进行验证，同时还对流量在统计和分析的基础上提供针对性的反向探测。

2、协议栈行为模式分析——根据协议包类型判断其是否符合 RFC 规定，若发现异常，则立即启动统计分析机制；随后针对不同的协议，采用绿盟专有的协议栈行为模式分析算法决定是否对数据包进行过滤、限制或放行。

3、特定应用防护——ADS 产品还会根据某些特殊协议类型，诸如 DNS、HTTP、VOIP SIP等，启用分析模式算法机制，进一步对不同协议类型的 DDoS 攻击进行防护。用户行为模式分析——网络上的真实业务流量往往含有大量的背景噪声，这体现了网络流量的随机性；而攻击者或攻击程序，为了提高攻击的效率，往往采用较为固定的负载进行攻击。ADS 产品对用户的行为模式进行统计、跟踪和分析，分辨出真实业务浏览，并对攻击流量进行带宽限制和信誉惩罚。动态指纹识别——作为一种通用算法，指纹识别和协议无关，绿盟 Anti-DoS 技术采用滑动窗口对数据包负载的特定字节范围进行统计，采用模式识别算法计算攻击包的特征。对匹配指纹特征的攻击包进行带宽限制和信誉惩罚。

4、带宽控制——对经过系统净化的流量进行整形输出，减轻对下游网络系统的压力。

三、绿盟堡垒机产品优势

审计信息“零管理”绿盟堡垒机产品支持“日志零管理”技术日志自动维护：根据日志自动维护计划的设置，系统在指定时间自动进行相应的日志数据备份。

日志查询：
系统提供多种审计日志查询条件，包括时间、IP 地址、用户名、设备名、关键字、危险等级（高、中、低）等；

审计报表：
系统提供详细的多种类别的报表模板，可提供基于操作时长、高危操作、阻断操作等类别的用户操作TOP10。系统支持生成：日、周、月、年度综合报表，报表支持 MS Word、Html 等格式导出，降低维护费用与管理员的工作强度。

强大丰富的管理能力

 支持绿盟安全中心的统一集中管理

 支持 B/S 管理方式，Web 管理灵活方便，适合在任何 IP 可达地点远程管理；

 支持批量导入设备信息和主账号信息，灵活适用于设备数量大、运维人员数量多的用户环境，大大节约管理员的运维成本；

 提供带外管理（OOB）功能，解决远程应急管理的需求，减少用户运营成本、提高运营效率、减少宕机时间、提高服务质量；

 支持多个硬件管理口，管理口即插即用，提供对多个区域网段的同时管理能力；

 支持通过发送邮件、日志数据库记录、打印机输出、运行自定义命令等响应方式及时报警；

 支持以 Syslog 格式将审计日志外发到第三方日志平台。

绿盟堡垒机支持 HA 双机热备功能，以规避单点故障隐患，最大程度上保障用户运维管理工作的可靠性和连续性。主、备机通过同一虚拟 IP 地址提供服务，使运维人员通过虚拟IP 地址访问到的堡垒机始终是处于工作状态的主机。备机通过心跳线实时监测主机存活状况，一旦发现主机服务异常则自动切换为主机，无须人工干预。主、备机的关键数据通过手动或定期自动方式完成同步，在保障运维管理服务连续性的同时，最大程度上降低管理人员的工作复杂度。

通过部署绿盟堡垒机产品，可帮助企业建立面向用户的集中、有序、主动的运维安全管控平台，通过基于唯一身份标识的集中账号与访问控制策略，与各服务器、网络设备等无缝连接，实现集中精细化运维操作管控与审计, 降低人为安全风险，避免安全损失，满足合规要求，保障企业效益。

一、绿盟IPS 网络入侵检测功能

可靠的Web威胁检测能力
越来越多的病毒、木马等恶意代码将基于HTTP方式传播，新一代的Web威胁具备混合性、渗透性和利益驱动性，成为当前增长最快的风险因素。员工对互联网的依赖性使得企业网络更容易受到攻击，导致用户信息受到危害，对公司数据资产和关键业务构成极大威胁。
NSFOCUS NIDS（N系列）内置先进、可靠的Web信誉机制，采用独特的Web信誉评价技术，在用户访问被植入木马的页面时，给予及时报警，能够协助企业员工识别Web安全威胁，防止敏感信息外泄等安全事件的发生。

细粒度的流量统计分析
NSFOCUS NIDS（N系列）具有细粒度流量统计分析的功能，不是仅仅通过端口来判断协议进而统计流量，而是通过分析协议的内容后才进行统计，更精确可靠，同时能够基于IP地址、攻击事件、应用协议等条件产生详细的流量报表，可以通过编辑自定义统计指定协议流量的TOP排名，能够协助管理员了解当前网络带宽的使用状况，并及时做出响应。

全面的用户上网行为监测
NSFOCUS NIDS（N系列）结合协议分析和会话关联等多种技术，综合分析应用软件特征和数据内容，能够智能识别和记录各种主流的P2P下载、IM即时通信、在线视频、网络游戏和在线炒股等用户上网行为，以及加密型的P2P下载和IM即时通信。
通过对网络中各类应用所占用带宽情况的了解，能够让管理员清晰地识别出可能影响关键业务正常运转的流量，以便及时调整网络带宽管理策略。

可扩展的安全审计能力
NSFOCUS NIDS（N系列）能够为用户提供可扩展的敏感信息审计方案，系统支持基于时间、用户、协议、内容等多种条件的组合审计策略，对邮件收发（WEBMAIL、SMTP、POP3）、文件上传下载（HTTP、FTP）、论坛、即时通讯等进行全面信息审计，提供实时告警、信息还原功能。系统同时支持基于关键字的信息审计，实现敏感信息的深度检测识别还原，对机密信息外泄、非法言论传播等行为的及时响应处理、事后追查取证提供有力支持。

强大的管理能力
 灵活的Web管理方式
NSFOCUS NIDS（N系列）支持灵活的Web管理方式，适合在任何IP可达地点远程管理，支持 MS IE、Netscape、Firefox、Opera等主路的浏览器，真正意义上实现了跨平台管理。
 丰富的多级管理方式
NSFOCUS NIDS（N系列）支持三种管理模式：单级管理、多级管理、主辅管理，满足不同企业不同管理模式需要。
单级管理模式：安全中心直接管理网络探测器，一个安全中心可以管理多台网络探测器。

高可靠的自身安全性
 NSFOCUS NIDS（N系列）采用安全、可靠的硬件平台，全内置封闭式结构，配置完全自主知识产权的专用系统，经过优化和安全性处理，稳定可靠。系统内各组件通过强加密的SSL安全通道进行通讯防止窃听，确保了整个系统的安全性和抗毁性。
 NSFOCUS NIDS（N系列）具有更强的高可用性，设备支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性。
 NSFOCUS NIDS（N系列）监听网口无需设置IP地址，避免了被扫描和攻击。
 NSFOCUS NIDS（N系列）的网络探测器与安全中心在网络完全断开的情况下，探测器仍然会将检测到的事件在探测器本地保存，等网络恢复正常自动地同步到绿盟安全中心，提供日志缓存。

精准的攻击流量识别
绿盟抗拒绝服务系统应用了自主研发的抗拒绝服务攻击算法，在对网络数据报文进行概
率统计的基础上，针对不同种类的 DDoS 攻击采用不同的算法（例如流量建模、反欺骗、协
议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等）进行识别，从而
准确地区分出恶意的 DDoS 报文和正常访问的网络数据报文。另一方面，产品采用的攻击检
测和识别的算法效率非常之高，可以承受各类大流量 DDoS 的攻击，以 Syn Flood 防护为例，
连接维持率和新发起连接可用率都可达 100%——其效率远远超过了 Syn-cookie 和
Random-drop 等算法。

二、绿盟抗(DDOS)拒绝服务系统优势

1、精准的攻击流量识别
绿盟抗拒绝服务系统应用了自主研发的抗拒绝服务攻击算法，在对网络数据报文进行概率统计的基础上，针对不同种类的 DDoS 攻击采用不同的算法（例如流量建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等）进行识别，从而准确地区分出恶意的 DDoS 报文和正常访问的网络数据报文。另一方面，产品采用的攻击检测和识别的算法效率非常之高，可以承受各类大流量 DDoS 的攻击，以 Syn Flood 防护为例，连接维持率和新发起连接可用率都可达 100%——其效率远远超过了 Syn-cookie 和Random-drop 等算法。

2、强大的攻击防护能力
基于绿盟科技自主研发的独特的防护算法，绿盟抗拒绝服务攻击系统可高效防护各类基于网络层、混合型、连接耗尽型等的拒绝服务攻击，如 SYN Flood、UDP Flood、UDP DNSQuery Flood、(M)Stream Flood、ICMP Flood、 ACK Flood/ DrDoS 等，系统还可针对 HTTPGet Flood 攻击、游戏服务攻击、音视频服务攻击等危害更大的应用层拒绝服务攻击进行有效防护。

3、NSFOCUS ADS 系统提供了流量限制特性，用于应对突发的流量异常变化。系统还提供了访问控制列表（ACL）功能，可以让管理员直接设置黑白名单，简化对一些特定应用的控制难度。另外，深层包检查规则允许管理员根据攻击包的源/目的 IP，源/目的协议端口，以及协议类型或 Tcp Flag/ICMP Type/ICMP Code 等特征字节定义模版，进行快速防护。

由于当前黑客技术发展越来越迅速，所以新的 DDoS 攻击技术也日新月益。绿盟科技拥有一支强大的安全技术研究队伍，专职于安全攻击及防护技术的研究，能够及时跟踪并发现互联网上新出现的 DDoS 攻击类型。基于绿盟 Anti-DoS 系统本身很强的扩展性，当新的攻击类型出现时，绿盟抗拒绝服务攻击系统能够在一周之内迅速升级，以保证客户网络在新的攻击之下的安全性。

4、海量的攻击防护性能根据型号不同，电信级高端NSFOCUS ADS 系统分别采用先进的多核处理器及 NP+ASIC
硬件构架。单台设备最高可具有 10G 流量的线速分析和 DDoS 攻击防护能力。以最具代表性的 64 字节 SYN Flood 为例，NSFOCUS ADS 6000 可以承受 1,480 万 PPS 的攻击流量。多台 ADS 集群后，可以使得整体防护集群的容量和处理性能进一步提升。系统可以依据攻击的目的、流量、类型等多种因素进行流量牵引，拥有对更大规模、更复杂的 DDoS 攻击防御的能力。即使电信运营商或者大型企业在面临最严重的 DDoS 攻击威胁时也能提供最佳的防护实践。

随着 DDoS 攻击工具不断的普遍和强大，Internet 上的安全隐患越来越多，以及客户业务系统对网络依赖程度的增高，可以预见的是 DDoS 攻击事件数量会持续增长，而攻击规模也会更大，损失严重程度也会更高。由于这些攻击带来的损失增长，运营商、企业或是政府必须有所对策以保护其投资、利润和服务。为了弥补目前安全设备（防火墙、入侵检测等）对 DDoS 攻击防护能力的不足，我们需要一种新的工具用于保护业务系统不受 DDoS 攻击的影响。这种工具不仅仅能够检测目前复杂的 DDoS 攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品，必须具备更细粒度的攻击检测和分析机制。对于运营商来说，通过在网络骨干出口及 IDC 出口的部署，这类工具还可为运营商创造一种新的安全增值服务提供平台支撑。

绿盟抗拒绝服务攻击产品提供了业界领先的 DDoS 防护能力，通过多种机制的分析检测机制以及灵活的部署方式，绿盟科技的产品和技术能够有效的阻断攻击，保证合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。

绿盟安全产品介绍

入侵检测系统的特点

二、绿盟抗(DDOS)拒绝服务系统介绍