网络安全 频道

知己知彼 分级呈现 华为NIP6300评测

   加密流量识别

华为下一代入侵防御系统NIP6330特性

  随着HTTPS流量越来越普遍,如果安全设备不对其进行解密,则无法识别入侵和病毒,防护功能也就无从说起。所以这要求安全厂商的产品必须需要支持对HTTPS加密流量进行解密,对解密后的流量进行入侵行为的检测防护,以及病毒检测。

  为保护数据传输安全,越来越多的网站或企业选择通过SSL对流量进行加密传输。据统计企业网络中有26%的应用程序都在某种程度上以某种形式或方式使用SSL加密。由于SSL流量是加密传输的,传统IPS设备无法直接对其进行威胁检测,使得这种攻击行为越来越多的被采用,安全的盲区也越来越大。另外,当APT类型的攻击获得服务器的控制权限后,服务器和控制端之间通常会使用SSL 等加密通信方式,并且由于是从内部主机发起的对外连接,不太容易被注意到。而传统的IPS设备完全无法应对加密攻击。

  华为下一代入侵防御系统为应对下一代的威胁,支持对SSL加密流量的解密和检测的能力。例如对SSL流量进行解密,当HTTPS请求报文匹配解密策略时,华为下一代入侵防御系统作为SSL代理首先对客户端(或服务器)发来的HTTPS流量解密,对解密的流量完成威胁检测,然后重新加密发送给服务器。

  沙箱联动与信誉体系

  基于签名的威胁检测一般是针对已知漏洞的威胁检测,但是对0day攻击和APT攻击的检测比较弱。检测APT攻击的最有效手段就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论:

  ?NIP6330从网络流量中识别并提取需要进行APT检测的文件类型,将文件送入沙箱进行威胁分析。沙箱对文件进行解析,实时检测已知或未知威胁,然后沙箱将威胁检测结果反馈给NIP6330,并通过日志报表等展示威胁检测结果

  ?将威胁的具体攻击行为提交至云安全中心。云安全中心根据沙箱提交的威胁数据生成信誉信息和签名库并推送至NIP6330,从而提升NIP6330的快速威胁防御能力。设备支持IP信誉、C&C等信誉 ,实现对攻击的快速检测,以及与全球安全情报同步能力。信誉体系是安全防护很总要组成部分,信誉系统除显著提供检测能力外,还可以共享全球安全能力的成果,只要攻击在全球某个地方发生,一旦信誉生成,则可快速同步

  多重检测

华为下一代入侵防御系统NIP6330特性

  越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代入侵防御产品的防护能力提出了更高要求。0day的广泛利用,也对安全厂商提出了严峻的考验,传统的攻击方式多数是采用DDOS、溢出、病毒等,而下一代的攻击方式形式则变的多样化,隐蔽化。

  NIP6330具备全面的深度防护功能:

  入侵防护(IPS):超过5000种漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。

  防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新。

  服务器恶意外联检测:可以对重要服务器的外联进行检测,包括端口盗用检测和非法外联行为的检测,保护重要信息资产安全。

  SSL解密:作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。

  Anti-DDoS:可以识别和防范SYNflood、UDPflood等100+种DDoS攻击。

0