|
TippingPoint基于ASIC、FPGA和NP技术开发的威胁抑制引擎(TSE,Threat Suppression Engine)是高性能和精确检测的基础。TSE的核心架构由以下部件有机融合而成:
图13 IPS 的基于硬件的威胁抑止引擎
定制的ASIC
FPGA(现场可编程门阵列)
20G高带宽背板
高性能网络处理器
该核心架构提供的大规模并行处理机制,使得TippingPoint IPS对一个报文从2层到7层所有信息的检测可以在215微秒内完成,并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的TSE可以对一个报文同时进行几千种检测,从而将整体的处理性能提高到空前水平。
在具备高速检测功能的同时,TSE还提供增值的流量分类、流量管理和流量整形功能。TSE可以自动统计和计算正常状况下网络内各种应用流量的分布,并且基于该统计形成流量框架模型;当短时间内大规模爆发的病毒导致网络内流量发生异常时,TSE将根据已经建立的流量框架模型限制或者丢弃异常流量,保证关键业务的可达性和通畅性。此外,为防止大量的P2P、IM流量侵占带宽,TSE还支持对100多种点到点应用的限速功能,保证关键应用所需的带宽。
3. 应用防护能力
TippingPoint IPS在跟踪流状态的基础上,对报文进应用层信息的深度检测,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断。
图14 IPS 的应用防护能力
TippingPoint IPS还支持以下检测机制:
基于访问控制列表(ACL)的检测
基于统计的检测
基于协议跟踪的检测
基于应用异常的检测
报文规范检测(Normalization)
IP报文重组
TCP流恢复
以上机制协同工作,TippingPoint IPS可以对应用流量进行细微粒度的识别与控制,有效检测流量激增、缓冲区溢出、漏洞探测、IPS规避等一些已知的、甚至未知的攻击。
TippingPoint的安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯SANS @Risk的主要撰稿人,SANS @Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的公告,内容包含最新发现的漏洞、漏洞所带来的影响、表现形式,而且指导用户如何采取防范措施。
4. “零时差攻击”防御
TippingPoint实时更新、发布的数字疫苗(DV,Digital Vaccine)是网络免疫的保障与基础。在撰写SANS @Risk公告的同时,TippingPoint的专业团队同时跟踪其它知名安全组织和厂商发布的安全公告;经过跟踪、分析、验证所有这些威胁,生成供TippingPoint IPS使用的可以保护这些漏洞的特征知识库 – 数字疫苗,它针对漏洞的本质进行保护,而不是根据特定的攻击特征进行防御。数字疫苗以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够通过内容发布网络自动地分发到用户驻地的IPS设备中,从而使得用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。TippingPoint还与全球著名的系统软件厂商,如Microsoft、Oracle等,保持了良好的合作关系。在某个漏洞被发现后,TippingPoint能够在第一时间(即厂商公布安全公告之前)获得该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字疫苗,使得用户的网络免遭这种“零时差攻击”(Zero-day Attack)。
图15 IPS的数字疫苗系统
3.1.4 数据中心网络管理安全技术
1. SSH
上一篇:国内数字集群技术简介
下一篇:数据中心解决方案高可用技术白皮书
|
精品推荐