组网工程与技术：入侵防御系统组网案例

1.绿盟网络入侵防护系统

国内知名安全厂商绿盟科技推出的入侵防御系统是一款性能极为卓越的网络入侵防御系统，得到了广泛的应用。绿盟网络入侵防护系统（NSFOCUS Network Intrusion Prevention Sys-tem，NSFOCUS NIPS）是绿盟科技自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方案。本节以绿盟科技的产品介绍网络安全产品的组网应用。

NSFOCUS NIPS具有高度融合、高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的Web信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提供深度攻击防御和应用带宽保护。具有以下功能。

●入侵防护：实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DOS（拒绝服务器攻击）等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或死机。

●Web安全保护：基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地在第一时间拦截Web威胁。

●流量控制：阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。

●上网行为监管：全面监测和管理IM即时通信、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。

NSFOCUS NIPS提供极为灵活的组网方式。NSFOCUS NIPS支持5种安全区模式：透明（Layer2）、路由（Layer3）、监听（Monitor）、直通（Direct）、管理（Mgt），能够快速部署在各种网络环境中。

（1）独立式多路NIPS部署方式

NSFOCUS NIPS支持独立式多路NIPS部署，各路NIPS相互独立，彼此没有数据交换，如图7-6所示。

目前，很多企业为了保证网络带宽资源的充足和网络冗余，网络出口采用多链路连接方式，连接到两个或更多ISP服务商。针对这种连接方式，绿盟科技入侵防护系统提供多链路防护的解决方案，在网络出口处部署一台绿盟网络入侵防护系统，采用多路NIPS的部署方式，如图7-7所示。

图7-6 独立式NIPS多路部署

图7-7 NSFOCUS NIPS多链路防护解决方案

NSFOCUS NIPS支持多路NIPS部署，每路NIPS单独防护一个ISP接入链路，一台NS-FOCUS NIPS可以同时防护多条链路，节约客户投资；而且各路NIPS是相互独立的，彼此之间没有数据交换，互不干扰，保证了各链路流量的自身安全、能够实时监测各种流量，提供从网络层、应用层到内容层的深度安全防护。(www.xing528.com)

（2）交换式多路NIPS部署

NSFOCUS NIPS交换式多路NIPS部署，NIPS类似交换机一样，一进多出或多进多出，适用于复杂的网络环境，如图7-8所示。

企业内部网络根据工作地点和职责，划分为不同的网段，各网段通过交换机连接，进行数据交换。如何有效检测不同网段之间内部数据交换的安全性，是很多网络管理人员关心的问题。针对以上需求，绿盟科技入侵防护系统提供交换防护的解决方案，如图7-9所示。

NSFOCUS NIPS类似二层交换机，采用一进多出或多进多出的方式，同时与不同网段相连接，进行数据交换；能够实时监测各网段之间的各种流量，提供从网络层、应用层到内容层的深度安全防护。

2.东软NetEye入侵防护系统

NetEye IPS是东软软件股份有限公司精心研究开发的深层攻击防御产品。其系统结构严格按照国家公安部颁布的《信息技术入侵防御产品安全检验规范》设计，具备完善的攻击防御、身份鉴别和事件审计等功能。NetEye IPS通过对网络进行不间断地监控，扩大网络防御的纵深，利用先进的基于网络数据流实时智能分析技术，判断来自网络内部和外部的入侵企图，从而进行报警、阻断和防范；并可对网络的运行及使用情况进行监控、记录和重放，使用户对网络的运行状况一目了然，便于网络问题的分析和网络故障的排除，是防火墙之后的第二道安全闸门。

NetEye IPS可对自身进行自动维护，不需要用户的干预；学习和使用十分简单；不对网络的正常运行造成任何干扰；是完整的网络审计、监测、防御、分析系统，是简单高效的网络安全解决方案。NetEye IPS目前具有攻击防御、集中管理、实时监控和网络审计4大功能。

针对不同的网络类型，东软NetEye IPS提供了集中管理方案，可以通过将NetEye IPS合理布置在多个关键区域来实现多级监控和管理。利用NetEye IPS主管理器集中管理多台监控主机，达到简化管理员的配置操作，并可以统一下发安全策略，便于实时高效地掌握全网的安全状况，如图7-10所示。

图7-8 交换式多路NIPS部署方式

图7-9 NSFOCUS NIPS交换防护解决方案

图7-10 NetEye IPS应用部署