下一代互联网入侵防御产品原理与应用.pdf

信息安全产品技术丛书 下一代互联网 入侵防御产品原理与应用 丛书主编 顾 健 主编 顾建新 张 艳 沈 亮 陆 臻 内 容 简 介 本书内容共分为五章，从新一代入侵防御系统的技术发展背景和传统威胁防护方法的局限性入手，结合 IPv6 特性对下一代互联网入侵防御系统产品的产生需求、发展历程、实现原理、技术标准、应用场景和典型产品等内容进行了全面、翔实的介绍。本书适合入侵防御系统产品的使用者（系统集成商、系统管理员）、产品研发人员及测试评价人员作为技术参考书，也可以供信息安全专业的学生及其他科研人员作为参考读物。未经许可，不得以任何方式复制或抄袭本书之部分或全部内容。版权所有，侵权必究。图书在版编目（CIP）数据 下一代互联网入侵防御产品原理与应用/顾建新等主编.北京：电子工业出版社，2017.9（信息安全产品技术丛书）ISBN 978-7-121-32693-6 .下 .顾 .互联网络安全技术 .TP393.408 中国版本图书馆 CIP 数据核字（2017）第 223293 号 策划编辑：李 洁 责任编辑：刘真平 印 刷：装 订：出版发行：电子工业出版社 北京市海淀区万寿路 173 信箱 邮编：100036 开 本：7201 000 1/16 印张：12.5 字数：180 千字 版 次：2017 年 9 月第 1 版 印 次：2017 年 9 月第 1 次印刷 定 价：49.00 元 凡所购买电子工业出版社图书有缺损问题，请向购买书店调换。若书店售缺，请与本社发行部联系，联系及邮购电话：（010）88254888，88258888。质量投诉请发邮件至 ，盗版侵权举报请发邮件至 。本书咨询联系方式：。与防火墙、入侵检测系统等产品比较起来，入侵防御系统是一种能防御防火墙所不能防御的深层入侵威胁的在线部署网络安全产品，因此入侵防御系统被认为是防火墙之后的第二道安全闸门。随着互联网技术的飞速发展，尤其是基于 IPv6 技术的下一代互联网技术的迅速发展，新型网络环境下的攻击事件孕育而生，抵御网络攻击、保护网络安全，对传统的网络安全产品提出了新的要求。IPv6 的安全威胁与 IPv4 相比是完全不同的，安全性策略是一项很重要的基本组成部分，基于 IPv6 的入侵防御系统成为了众多安全策略中的一种非常重要的解决方案。为了适应下一代互联网的发展需求，以及更好地应对新一代威胁的挑战，入侵防御系统必须进行全新的设计以应对和适应下一代互联网的应用及安全需求，从数据包高速捕获、数据负载均衡、模式匹配、硬件设计、协议栈处理等方面优化对 IPv6 报文的处理性能，支持 IPv6/IPv4 双栈、纯 IPv6 等多种 IPv6 应用环境，并充分发挥 IPv6 的性能优势，适应未来网络带宽高速增长情况下的网络转发能力。本书作为信息安全产品系列丛书之一，在下一代互联网入侵防御系统产品的发展历程、关键技术、实现原理、技术标准、典型应用等几大方面均进行了翔实的描述。与此同时，本书突出了下一代互联网 IPv6 的特性，收集了许多实际数据与案例，期望能够对读者了解入侵防御系统产品的安全防护技术和标准 提供一定的帮助。本书的主要编写成员均来自公安部计算机信息系统安全产品质量监督检验中心，常年从事入侵防御系统等信息安全产品的测评工作，对入侵防御系统有着深入的研究。本书的作者牵头组织和参与了下一代互联网入侵防御系统产品标准从规范、行标到国标制修订的全部工作。因此，本书在标准介绍和描述方面具有一定的权威性。本书由顾健作为丛书主编负责把握全书技术方向，第 1 章主要由顾建新撰写，第 2 章主要由张艳、沈亮撰写，第 3 章主要由沈亮、陆臻撰写，第 4、5 章主要由顾建新、张艳撰写。此外，王志佳、俞优、杨元原等同志也参与了本书资料的收集和部分编写工作。由于编写人员水平有限和时间紧迫，本书不足之处在所难免，恳请各位专家和读者不吝批评指正。本书的编写受到了国家发改委信息安全专项“下一代互联网信息安全专项标准研制”项目（发改高技20121615 号）的资金支持。本书在编写过程中，得到了华为技术有限公司、北京神州绿盟信息安全科技股份有限公司、东软集团股份有限公司、启明星辰信息技术有限公司、网神信息技术（北京）股份有限公司等的大力协助，在此表示衷心的感谢！V 第 1 章 综述 1 1.1 网络信息安全背景1 1.2 入侵防御的必要性7 1.2.1 典型的黑客攻击过程7 1.2.2 主动防御的必要性9 1.2.3 入侵防御过程13 1.2.4 入侵防御系统的优势15 1.3 入侵防御系统的相关概念 17 1.3.1 入侵防御系统的分类17 1.3.2 入侵防御系统的主要功能 18 1.4 入侵防御系统的发展历程 24 1.4.1 入侵检测系统的发展25 1.4.2 入侵防御系统的发展26 1.4.3 下一代互联网的防护需求 28 第 2 章 入侵防御系统原理与技术32 2.1 入侵防御系统原理32 2.1.1 入侵防御系统总体架构 32 2.1.2 入侵防御系统原理概述 33 2.1.3 NGIPS 内网安全检测35 VI 2.2 入侵防御系统技术详解 37 2.2.1 原始数据包分析37 2.2.2 IP 分片重组技术 39 2.2.3 TCP 状态检测技术42 2.2.4 TCP 流重组技术45 2.2.5 SA 应用识别技术48 2.2.6 DDoS 防范技术49 2.2.7 入侵防护技术51 2.2.8 应用管理技术53 2.2.9 信誉防护技术54 2.2.10 高级威胁防御技术56 2.2.11 其他相关技术58 2.3 入侵防御系统技术展望 59 2.3.1 传统威胁防护方法的优点和不足59 2.3.2 技术发展趋势62 2.3.3 产品发展趋势63 2.3.4 新一代威胁防御65 第 3 章 入侵防御系统标准介绍70 3.1 标准编制情况概述70 3.1.1 标准的任务来源70 3.1.2 标准调研内容70 3.1.3 参考国内外标准情况73 3.2 标准内容介绍74 3.2.1 总体说明 74 3.2.2 产品功能要求79 3.2.3 产品自身安全要求97 3.2.4 产品保证要求108 3.2.5 环境适应性要求125 VII 3.2.6 性能要求 127 第 4 章 入侵防御系统典型应用132 4.1 产品应用部署132 4.1.1 互联网入口132 4.1.2 服务器前端133 4.1.3 旁路监听 133 4.1.4 IPv6 及其过渡场景 134 4.2 产品应用场合136 第 5 章 入侵防御系统的产品介绍145 5.1 华为 NIP5000 网络智能防护系统145 5.1.1 产品简介 145 5.1.2 产品特点 146 5.1.3 产品架构 148 5.1.4 产品主要功能149 5.2 绿盟 NIPS 网络入侵防御系统155 5.2.1 产品简介 155 5.2.2 体系结构 156 5.2.3 产品主要功能156 5.2.4 产品特点 157 5.3 网神 SecIPS 入侵防御系统170 5.3.1 产品简介 170 5.3.2 关键技术 171 5.3.3 产品主要功能176 5.4 捷普 IPS 入侵防御系统178 5.4.1 产品简介 178 5.4.2 体系结构 178 5.4.3 产品特点 179 5.4.4 产品主要功能182 VIII 5.5 东软 NetEye 入侵防御系统183 5.5.1 产品简介 183 5.5.2 关键技术 183 5.5.3 产品主要功能186 5.6 启明星辰 NGIPS8000-A 入侵防御系统187 5.6.1 产品简介 187 5.6.2 产品组成 188 5.6.3 产品特点 188 参考文献191 第 1 章 综 述 互联网正以惊人的速度改变着人们的生活方式和工作效率。从商业机构到个人都将越来越多地通过互联网处理银行事务、发送电子邮件、购物、炒股和办公。这无疑给社会、企业乃至个人带来前所未有的便利，所有这一切都得益于互联网的开放性和匿名性特征。然而，正是这些特征也决定了互联网不可避免地存在着信息安全隐患。网络安全所包含的范围很广：我们日常上网时碰到的邮件病毒、QQ 密码被盗，大一点的如一个企业或政府的网站被黑，数据内容被篡改，更大的乃至一个国家的国防、军事信息泄露或被截获等。所有这些都属于网络安全所研究讨论的范畴。信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。随着信息业的发展，信息安全也应运而生，信息安全的概念在 20 世纪经历了一个漫长的历史阶段，90 年代以来得到了深化。进入 21 世纪，随着信息技术的不断发展，信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早，投入力度大，已取得了许多成果，并得以推广应用。中国已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业，构成了中国信息安全产业的主要支柱。1.1 网络信息安全背景 信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解第 2 下一代互联网入侵防御产品原理与应用 的象形文字，斯巴达人使用一种称为密码棒的工具传达军事计划，罗马时代的凯撒大帝是使用加密函的古代将领之一，“凯撒密码”据传是古罗马凯撒大帝用来保护重要军情的加密系统，它是一种替代密码，通过将字母按顺序推后 3 位起到加密作用，如将字母 A 换作字母 D，将字母 B 换作字母 E。英国计算机科学之父阿兰图灵在英国布莱切利庄园帮助破解了德国海军的 Enigma 密电码，改变了第二次世界大战的进程。美国 NIST 将信息安全控制分为三类：（1）技术，包括产品和过程（如防火墙、防病毒、入侵检测、加密技术）。（2）操作，主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物理进入控制、备份能力、免于环境威胁的保护。（3）管理，包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。信息系统安全涉及政策法规、教育、管理标准、技术等方面，任何单一层次的安全措施都不能提供全方位的安全，安全问题应从系统工程的角度来考虑。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是，对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的。1网络安全威胁的类型 网络威胁是对网络安全缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面，并且随着时间而变化。网络安全威胁的种类有：窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用等。第 第 1 章 综述 3 2网络安全机制应具有的功能 采取措施对网络信息加以保护，以使受到攻击的威胁减到最小是必需的。一个网络安全系统应有如下的功能：身份识别、存取权限控制、数字签名、保护数据完整性、审计追踪、密钥管理等。3网络信息安全常用技术 通常保障网络信息安全的方法有两大类：以防火墙（Firewall）技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。1）防火墙技术 防火墙安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的 IP 包，尽可能地对外部网络屏蔽被保护网络或节点的信息、结构，另一方面对内屏蔽外部某些危险地址，实现对内部网络的保护。实现防火墙的技术包括四大类：网络级防火墙（也叫包过滤防火墙）、应用级网关、电路级网关和规则检查防火墙。（1）网络级防火墙 一般是基于源地址和目的地址、应用或协议以及每