天融信网络卫士入侵防御系统TopIDP介绍

　　随着网络技术的广泛应用，网络为我们的工作和生活提供了便利，但同时网络环境中的各种安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游）等极大地困扰着用户，尤其是混合威胁，给企业的信息网络造成严重的破坏。能否及时发现并实时成功阻断网络中的各种入侵威胁、保证计算机和网络系统的安全正常运行已经成为各个企业所面临的重要问题。面对这些问题，传统安全产品——以访问控制为主的防火墙、旁路部署的IDS等产品已经无法独立应对。

　　天融信公司基于硬件加速的“网络卫士入侵防御系统TopIDP”，在线部署在网络中，提供主动、实时的防护，具备对2到7层网络的线速、深度检测防御能力；同时配合以精心研究、及时更新的攻击特征库，既可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络架构的防护、网络性能的保护和核心应用的保障。

产品优势

　　优异的产品性能——高吞吐量、低延时

　　TopIDP具有交换机一样的高吞吐量、低延时，能够与网络中其它设备的性能相匹配，能够满足如VoIP等低延时应用的要求。TopIDP是以硬件加速——ASIC+NPU技术为基础开发的入侵防御产品，可提供百兆/千兆网络环境下2~7层深度线速防御、64字节小包线速处理能力。

　　·强大的入侵防御能力

　　TopIDP具备对2到7层网络的线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库，可以有效检测并实时阻断隐藏在海量网络中的各种攻击、蠕虫病毒与滥用行为。

·多重立体防御保护

　　基于“ClearFlow 入侵防御微引擎”技术，为用户提供网络架构防护、网络性能保护、核心应用保障，去除网络中与业务无关、有害的数据信息，保护公司业务连续不间断正常运行。

　　·网络架构防护：

　　TopIDP具有实时、主动的网络架构防护能力，对网络边界和内部网络进行实时防护，为网络设备的漏洞提供虚拟补丁；具有流量管理功能，对可能出现的异常流量，提供抗拒绝服务攻击功能。

　　·网络性能保护

　　TopIDP提供L7各种应用管理功能，可以对即时通讯、P2P下载、网络游戏等内容进行监控、阻断，并可有效检测阻断各种间谍软件等。保障网络免受各种攻击，提高网络性能。

　　·核心应用保障

　　TopIDP提供对核心应用的保障，针对操作系统、应用软件以及数据库，提供深度的内容检测技术，过滤报文中的恶意流量和攻击行为，保护可能存在漏洞的网络设备，防止操作系统和应用程序损坏或宕机，保证企业ERP、CRM、财务等核心应用的正常运行。

　　·VIDP实现精细化防御

　　TopIDP支持虚拟系统（VIDP）功能，针对不同的网络环境和安全需求，可以制定不同的规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象，执行不同策略的智能化入侵防御。

·高可用性和冗余性

　　TopIDP所有接口都支持FOD失效开放机制，当出现软硬件故障和电源故障时，系统能够在200us以内自动切换到旁路模式以保障网络的畅通，而且丝毫不影响数据传输速率，能胜任骨干网及数据中心的带宽需求。同时，TopIDP可工作在主备（Active/Passive）模式，也可工作在负载分担（Active/Active）模式，保证网络环境的高度畅通性。

　　产品功能

　　TopIDP在分析/跟踪流量信息的基础上，对报文进行2~7层信息的深度检测，主要功能点如下：

　　·强大的抗DOS/DDOS攻击能力；

　　·准确的蠕虫、后门、木马、漏洞、间谍软件、Web攻击防御能力；

　　·繁多的垃圾应用、流行P2P/IM、热门游戏的过滤控制能力；

　　·智能的VIDP功能：针对不同的网络环境和安全需求，制定不同的防御规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象，执行不同策略的智能化入侵防御

　　·优异的产品性能：可提供64字节小包线速性能，可支持最高达4GB的网络环境；

　　·人性化的UI管理系统：提供快捷方便的本地管理、分布式管理功能；支持上百台设备的集中管理；

　　·专业的芯片级硬件高可靠性保证体系——ByPass、HA，保证用户业务的不间断正常运行；

　　·丰富的报表分析统计功能：提供多种攻击检测、阻断、报警等信息的报表统计功能；

　　·多样的可选功能模块：邮件病毒、垃圾邮件、URL过滤功能。

　　典型应用

　　·综合部署图——部署在FW前

　　面对复杂多变的网络环境，企业不仅需要有针对重点区域的防护，还需要针对内部整个网络的全面防护。此时就需要在企业网络的出入口和重点服务器处分别部署TopIDP入侵防护系统，这样可以很好地保护企业的重要信息资产、提高企业网络整体的安全水平。部署示意图如下。

　　TopIDP部署在企业Internet边界（上图IPS1），放在防火墙前面，防止DDoS攻击、保护防火墙等网络基础设施；抵御来自Internet的针对DMZ区服务器的应用层攻击、提供虚拟软件补丁服务，保证服务器最大正常运；对Internet出口应用进行控制管理，对各种应用带宽进行控制，防止带宽滥用。

　　TopIDP也可以部署在其他重要位置，如总部与分支机构边界(上图IPS2)，用于抵御来自分支机构攻击、保护广域网线路带宽；抑制企业内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播，抵御内网攻击。

　　·综合部署图——部署在FW后

　　TopIDP部署在防火墙后，从防火墙出来后进入到DMZ、Intranet两个区域的流量首先分别进入TopIDP设备的两个接口，TopIDP设备对此两路流量进行深度过滤。该部署方式，除了提供IPS的正常防御功能外，还可以防御内网对DMZ区域的攻击；并且针对DMZ、Intranet区域不同的保护对象，利用TopIDP的虚拟IPS（VIDP）功能，设置不同的防御保护策略，提供精细化防御。

　　·高可用性部署图

　　TopIDP设备支持冗余部署，互为备份的多台IPS可以工作在主备模式（Active/Passive），也可以工作在负载分担模式（Active/Active）。