华为下一代入侵防御NIP6300评测及使用

从互联网到移动互联网以及互联网+,用户对于网络设备的需求也开始细化、专业化,对网络设备的各项指标也越来越苛刻。就比如“上网”这件简单的事情,深挖需求,我们从市场上竟然也能找出十几种类别来。然而现在用户所遇到的问题不是找不到需要的产品,而是面对众多的“选择”,不知道应该如何“选择”。

随着“电子商务”这个十年前还只是纸上谈兵的词语慢慢的贴近生活重每一个角落,网络安全问题也变得越来越被重视起来。“安全”的需求是最基础的需求,在满足了网络接入的前提后,安全也是最容易让用户关注的技术点。互联网在改变社会的同时,也带来了新的风险,并且利用这些风险的威胁正在发生深刻的变化,黑客攻击也从传统的恶作剧与技术炫耀逐步转变为获取利益与商业运作。透过越来越多的安全事件可以清楚地看到,信息安全的主要威胁发生了变化,传统技术已很难见效。黑客组织正在利用下一代威胁来规避传统安全技术,窃取敏感的知识产权或个人数据,他们也会针对关键的国家基础设施进行网络间谍活动甚至发动网络战争,一旦得手就会造成财务和声誉上巨大的损害。

华为下一代入侵防御系统NIP6300评测
▲华为下一代入侵防御系统NIP6300

为了防御来自网络的威胁,企业愿意投入资金和人力进行管理,然而海量的错误和报警信息淹没了管理员的视野,面对众多的“选择”,很难从中找到最优针对性的答案。面对疑惑,华为作为老牌网络厂商推出了下一代入侵防御产品NIP6330,能够帮助用户从繁杂的网络安全管理中解放出来,快速找到有效数据,对网络攻击做到知己知彼,分级呈现。本次我们就来为大家评测华为NIP6330 这款产品。

 

华为下一代入侵防御系统NIP6300外观

华为下一代入侵防御系统NIP6300评测

NIP6330为8电口4光口的标准配置,所有网口均可以设置VLAN、TRUNK等信息,设备拥有大多数的二层指令。在正面板拥有两个扩展槽位,可以扩展板卡,以加强系统同时处理的网络接口数量。

华为下一代入侵防御系统NIP6300外观

位于面板左侧有两个粉色接口,分别是上部的MGMT接口和下部的console接口。其中上部的接口可以直接使用网线连接,通过HTTP或HTTPS进行访问,而下部的接口需要使用传统的COM口进行连接。

华为下一代入侵防御系统NIP6300外观

这款产品支持双电接入,标配单电。在电源的后方,可以通过input和output灯的亮灭,检查电源是否工作正常。

 

华为下一代入侵防御系统NIP6330与USG

华为下一代入侵防御系统NIP6330默认支持Web登录,其操作主界面如下图所示:

华为下一代入侵防御系统NIP6330与USG

相信对华为网络安全产品有所了解的朋友,会觉得NIP的操作界面与华为自家的下一代防火墙USG系列的产品非常相似。这么说不无道理,但USG更多的是一种整体解决方案,它集防火墙、IPS、AV、VPN、上网行为管理等功能于一体,可以为企业用户提供安全、灵活、便捷的一体化组网和接入解决方案。对于分支机构初创、业务逻辑层大换血是非常适合的。但在企业已经拥有防火墙的前提下,再采购USG就显得有些重复投资了。NIP系列的产品正是一款功能纯粹的入侵防御系统。部署简单,且不需要对现有环境“大换血”,企业能够做到平滑升级,以获得抵御网络入侵并进行防御的能力。

“入侵检测系统”与“入侵防御系统”这两个概念类似,但前者是提出存在的问题,后者是发现问题并解决问题,以及在源头阻断问题。相较而言,企业更青睐入侵防御系统。多数企业并没有专业、专岗的网络安全人士,因此仅仅提出安全风险而没有解决方法是没有任何用处的。

另一个看待问题的角度是,随着移动办公、BYOD、云计算等技术的快速发展,网络边界的概念也在渐渐弱化,而这增加了企业遭受网络攻击的风险。随着0day的攻击越来越多,传统防护技术需要有一段研发的时间去解决问题,而这个时间差可能会对客户造成无法弥补的损失。我们应该清晰的认识到,传统的网络设备已经对这些威胁缺乏有效的解决手段和快速发现的方法。

华为下一代入侵防御系统NIP6330的系列产品在传统IPS产品的基础上进行了扩展:增加对所保护的网络环境感知能力、深度应用感知能力、内容感知能力,以及对未知威胁的防御能力,实现了更精准的检测能力,和更优化的管理体验,更好的实现对新一代威胁的检测与防护,保障客户应用和业务安全,实现对网络基础设施、服务器、客户端以及网络带宽性能的全面防护。

 

  华为下一代入侵防御系统NIP6330特性

环境感知

对于多数的企业而言,会采用IPS对网络安全进行防御和审计,但是IPS存在先天的一些劣势很难修复:传统的IPS能够做到的只是尽心尽责的记录攻击行为并进行记录,它们并不能深入去分析这些攻击行为有什么渊源,管理员可能面对的是每天几万条甚至更多的安全记录,面对海量的风险告警,想要找到正确的源头是很难的。华为下一代入侵防御系统基于“环境感知”进行智能的防范行为去解决这些问题。例如知道内网中存在Windows服务器,那么会告诉用户存在一些Windows的安全风险;发现流量中有QQ的应用,评估QQ能带来的风险,通过两种风险的展示,向管理员全面展示环境的风险态势。而这种智能化的处理方式,传统的IPS显然是无法实现的。在不同的工作环境中,提供不同的,有针对性的风险展示,是华为下一代入侵防御系统的一大亮点。

华为下一代入侵防御系统感知受保护网络中的资产信息,以其作为策略调整和风险评估的依据。支持手动录入、主动感知和第三方扫描软件导入资产信息,包括资产类型、操作系统、资产价值和开启的服务等,根据感知的资产信息,NIP6330进行策略自动调整,基于感知到的资产信息选取合适的签名,自动生成入侵防御策略,有针对性地防护,当环境有变化时,华为下一代入侵防御系统能第一时间感知相关的变化情况,及时自动调整或提醒管理员进行相关的策略调整以应对新的风险。包括使用AD 集成获得用户的身份信息,利用漏洞状态和地理环境定位信息来做出更有效的报警及阻截策略。环境感知能力也包括集成信誉系统利用安全情报数据进行防御。

当华为下一代入侵防御系统检测到攻击时,从签名中提取本次攻击针对的操作系统、服务等信息。然后将提取的信息与设备中存储的实际资产信息进行比对,同时根据资产的价值确定攻击事件的风险等级,并对这些告警日志进行分级管理,通过分级管理,可以帮助管理员过滤误报攻击事件、忽略非关键事件,重点聚焦高风险攻击事件。

通过对环境的感知,形成所保护网络的静态安全风险,同时对攻击的实时检测,形成所保护网络的动态安全风险。

日志分级

华为下一代入侵防御系统NIP6330特性

在安全防御的整个过程当中,获取数据是很重要的一个环节,针对数据进行分析同样也是一个不可或缺的环节。当传统的IPS系统一旦部署完成,它就开始日以继夜的产生日志。面对这些堆积如山的日志,许多管理员选择完全忽略,导致问题无法得到有效的处理。另外传统的IPS设备通常采用Top N式报表,来代表最多的攻击事件,但一万笔不重要的攻击,比不上一笔重要的攻击,没有太大的实质用途。传统的IPS设备仅基于攻击报文的特征进行检测,却忽略了真实网络环境中受保护资产的实际情况,也容易产生大量误报,导致管理员需要浪费精力处理误报事件。

与IPS处理方式相反的例子是:在华为下一代入侵防御系统上,将日志分成5级,如果攻击行为完全匹配攻击目标,则定义为5级需要高度关注,而按照匹配度的下降,将日志分为其他的级别,这样安全管理人员可以全心全力去关注真正重要的安全事件,这些大约只占全部攻击事件的5%,从而大幅度的降低有效日志量,提高日志的有效性。加入日志分级的功能,是为了减少传统安全设备的误报,提高精确度,解决传统安全的死扣。

从以上两点来说,单纯的网络接入设备和单纯的IPS很难满足现有的用户需求,而这也是我们评测下一代入侵防御系统的初衷。

高性能硬件

华为下一代入侵防御系统NIP6330特性

软件匹配引擎在处理正则表达式规则的时候,性能都比较低,极大的制约了设备检测性能,华为NGIPS引擎采用了全球领先的提供商Cavium的MIPS64处理器,可以为IPS提供高性能的硬件模式匹配引擎,同时采用全新架构的智能感知引擎,在大流量深度检测的情况下仍保持高达60Gpbs的检测性能,强劲的硬件配置保证了软件运行的稳定和高效。

软硬混合计算

NIP6330下一代入侵防御采用全新的软硬结合一体化架构,对有规律、大批量、高运算能力要求的报文处理,采用专用多核平台由专用的协处理器硬件处理。对小规模的运算,仍然用软件处理。这样的处理方式让整体性能更高:

●采用异步匹配技术,模式匹配中最耗系统资源尤其是CPU资源的核心处理完全交给硬件的匹配引擎来处理,在匹配的同时不影响CPU处理其他业务,并行的处理大大提供报文处理效率和减低时延。

●规则的增加不影响匹配的性能,硬件引擎能满足上万条威胁签名的同时加载,而传统的IPS引擎在加载大量的签名时匹配效率严重下降,造成设备性能降低,,而用硬件匹配引擎则能完美解决这个问题。

●提供ZIP等压缩文件的硬件解压能力,IPS引擎要对压缩的网页或者文件进行检测,就要有强大的解压缩引擎,而Cavium同样提供硬件解压缩能力,可以保证对ZIP等压缩包中的文件进行高性能的IPS检测。

 

   加密流量识别

华为下一代入侵防御系统NIP6330特性

随着HTTPS流量越来越普遍,如果安全设备不对其进行解密,则无法识别入侵和病毒,防护功能也就无从说起。所以这要求安全厂商的产品必须需要支持对HTTPS加密流量进行解密,对解密后的流量进行入侵行为的检测防护,以及病毒检测。

为保护数据传输安全,越来越多的网站或企业选择通过SSL对流量进行加密传输。据统计企业网络中有26%的应用程序都在某种程度上以某种形式或方式使用SSL加密。由于SSL流量是加密传输的,传统IPS设备无法直接对其进行威胁检测,使得这种攻击行为越来越多的被采用,安全的盲区也越来越大。另外,当APT类型的攻击获得服务器的控制权限后,服务器和控制端之间通常会使用SSL 等加密通信方式,并且由于是从内部主机发起的对外连接,不太容易被注意到。而传统的IPS设备完全无法应对加密攻击。

华为下一代入侵防御系统为应对下一代的威胁,支持对SSL加密流量的解密和检测的能力。例如对SSL流量进行解密,当HTTPS请求报文匹配解密策略时,华为下一代入侵防御系统作为SSL代理首先对客户端(或服务器)发来的HTTPS流量解密,对解密的流量完成威胁检测,然后重新加密发送给服务器

沙箱联动与信誉体系

基于签名的威胁检测一般是针对已知漏洞的威胁检测,但是对0day攻击和APT攻击的检测比较弱。检测APT攻击的最有效手段就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论:

?NIP6330从网络流量中识别并提取需要进行APT检测的文件类型,将文件送入沙箱进行威胁分析。沙箱对文件进行解析,实时检测已知或未知威胁,然后沙箱将威胁检测结果反馈给NIP6330,并通过日志报表等展示威胁检测结果

?将威胁的具体攻击行为提交至云安全中心。云安全中心根据沙箱提交的威胁数据生成信誉信息和签名库并推送至NIP6330,从而提升NIP6330的快速威胁防御能力。设备支持IP信誉、C&C等信誉 ,实现对攻击的快速检测,以及与全球安全情报同步能力。信誉体系是安全防护很总要组成部分,信誉系统除显著提供检测能力外,还可以共享全球安全能力的成果,只要攻击在全球某个地方发生,一旦信誉生成,则可快速同步

多重检测

华为下一代入侵防御系统NIP6330特性

越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代入侵防御产品的防护能力提出了更高要求。0day的广泛利用,也对安全厂商提出了严峻的考验,传统的攻击方式多数是采用DDOS、溢出、病毒等,而下一代的攻击方式形式则变的多样化,隐蔽化。

NIP6330具备全面的深度防护功能:

●入侵防护(IPS):超过5000种漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。

●防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新。

服务器恶意外联检测:可以对重要服务器的外联进行检测,包括端口盗用检测和非法外联行为的检测,保护重要信息资产安全。

●SSL解密:作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。

●Anti-DDoS:可以识别和防范SYNflood、UDPflood等100+种DDoS攻击。

 

 华为下一代入侵防御系统NIP6330功能

配置简易

NIP6330的配置方法与USG系列产品配置方法类似,均是使用网线直接连接设备面板的MGMT接口与电脑,设备的默认IP地址是192.168.0.1,密码为Admin@123,直接通过web访问设备的IP地址即可,如下图所示:

华为下一代入侵防御系统NIP6330功能

防火墙的配置需要针对各种端口进行复杂配置不同的是,对于NIP6300而言,只需要关注一个名词“接口对”即可。

接口对可以在“网络”→“接口对”下查看,也可以在特定的接口下查看,该网口处于何种模式,如下图所示:

华为下一代入侵防御系统NIP6330功能

为什么要配置接口对?配置接口对有什么好处?这是因为很多数据中心的组网,经常有来回路径不一致的情况,也就是两条链路,每条链路上都只能看到一个方向的网络报文,不能看到另外一个方向的。如果简单的将一般的 IPS产品串入到其中任何一条或者两条链路,都将导致无效的部署,既不能够检测威胁,又有可能导致网络的故障。

NIP 入侵防御产品为了解决这个问题,提出了“接口对组合”的概念,通过 “接口对组”,就能够实现透明的接入和完整的检测功能。在高可靠性冗余组网场景有可能出现不对称的流量, 如下图所示的场景中,NIP通过“接口对组”进行部署,实现了即插即用, 即上下行设备无需重新配置即可透明接入,同时上下行的冗余链路上的流量不会“串线”,更重要的, NIP 网络智能防护系统能够完美的对威胁进行检测和拦截。

华为下一代入侵防御系统NIP6330功能

“接口对”不仅仅可以用在这种复杂的网络环境下,对于普通的单线接入网络,也可以使用,我们可以将NIP理解为桥接设备,所有流量桥接通过NIP。

“接口对”的技术也大大降低了NIP的配置难度,用户只需要配置完管理IP,以及将线插在接口对上,即可完成部署。

 

   环境感知

作为下一代入侵防御系统,NIP可以通过手工录入、自动感知等建立起完整的网络环境,包括网元(如PC、路由器服务器等)、每个网元的基本属性(如资产价值、所在地等)、每个网元的网络/应用相关属性(如ip地址、开启应用、操作系统等)。

NIP可以建立完整的资产管理列表。如下图:

华为下一代入侵防御系统NIP6330功能

管理员可以对每个资产进行详细属性设置,如下图:

华为下一代入侵防御系统NIP6330功能

在感知整体网络环境后,NIP会自动分析网络状况,并生成推荐的防护策略,点击“生成入侵防御配置文件”,会根据资产信息自动生成更精准的配置。管理员可以在设备自动分析的基础上进行手工调整。

华为下一代入侵防御系统NIP6330功能

日志分级

日志分级的目的是为了让管理员能更加直观高效的处理高优先级、高威胁入侵威胁,NIP设备通过将威胁本身的行为和资产属性进行结合分析,给每一个攻击行为进行风险等级定位。使得管理员在不漏过重大风险的同时提升管理效率。

网络发生针对Cisco IOS HTTP服务的注入攻击时,虽然该攻击本身具有很高威胁性,但因为系统自身识别当前网络不存在Cisco IOS HTTP服务,因此将威胁等级设置为低,管理员可以不需要特别关注。如下图:

华为下一代入侵防御系统NIP6330功能

在日志查询界面,自动根据威胁等级将日志排序,方便管理员优先处理高威胁等级事件,如下图:

华为下一代入侵防御系统NIP6330功能

 

   策略限制

NIP的策略大类上只分为安全策略和带宽策略两种,然而这种简单的划分并没有影响到功能细分的实现。在实际使用当中,我们才会发现,这种设计方法减少了多少设置方面的工作量。当我们创建一条带宽策略时,需要填入如下图所示的信息。这张表中包含了控制流量所需的所有信息。

华为下一代入侵防御系统NIP6330功能

针对策略的源类型和目的类型,我们可以设定一个接口或多个接口,也可以设置安全区域,如trust、dmz等。在源地址和目的地址区域,我们不仅可以设置IP地址、IP地址范围,也可以简单的勾选地域信息进行限制。华为已经为用户准备了详细的IP地址数据库,针对不同的地理位置,进行了划分和整合,如下图所示:

华为下一代入侵防御系统NIP6330功能

接下来需要对带宽策略设置所针对的服务。服务的概念很好理解,这里就是一组组预定义的端口和协议。如http服务即是TCP的80端口,https2即是TCP的443端口,如下图所示:

华为下一代入侵防御系统NIP6330功能

我们在“对象”→“服务”→“服务”下,可以看到这些服务实际所对应的端口,也可以自己创建服务组,也就是包含了多个服务的集合,方便后期策略的定制,如下图所示:

华为下一代入侵防御系统NIP6330功能

事实上现在的“服务”只能针对传统的业务来进行管控。无论是QQ还是迅雷,亦或是各种游戏,其使用的端口多数都不会唯一且固定。这就造成这项功能实用性大大降低。在这种情况下,一般都是使用上网行为管理设备所常用的,“应用”这个概念来解决的。在NIP中,也存在“应用”的概念,且作用也与上网行为管理设备中的“应用”一致,如下图所示。“应用”包含了常见的分类,多数情况下这种选择已经可以满足我们的需求。

华为下一代入侵防御系统NIP6330功能

 

如果需要更加细致的进行分类,也可以在“对象”→“应用”→“应用”中进行搜索和排查。如搜索“网络应用”→“网络代理”,我们可以在下方结果处看到每一条细节的规则匹配信息,如下图所示:

华为下一代入侵防御系统NIP6330功能

当点击具体匹配规则名称时,则可以看到具体规则的各种详细信息,如数据传输方式、技术纬度、风险纬度等,如下图所示:

华为下一代入侵防御系统NIP6330功能

我们也可以设置更为细致的搜索条件,如可以搜索“娱乐”→“游戏”下,包含有“QQ”的规则条目,结果如下图所示。这会搜索出腾讯旗下所有匹配的游戏名称,以及传输方式,如确定这是端游还是页游戏。

华为下一代入侵防御系统NIP6330功能

通过“应用组”,我们也可以将不同的应用,集合在一个容器中,方便后期快速添加和匹配策略,如下图所示:

华为下一代入侵防御系统NIP6330功能

完成以上设置后,我们需要匹配带宽通道,设置带宽信息、上下传的带宽,最大连接数等信息,如下图所示。在设置完成后,也可以在“策略”→“带宽管理”→“带宽通道”中查看到详细信息。

华为下一代入侵防御系统NIP6330功能

当正确配置好带宽策略后,我们可以通过下载软件、浏览网页等行为,很直观的看到针对流量的限速效果,以下分别为限制150Kb、2MB、5MB时的效果图。可以看到限速效果准确,同时即时生效。

华为下一代入侵防御系统NIP6330功能

 

   策略模板

安全策略的配置与带宽策略配置类似。事实上,虽然配置的逻辑很清晰,但使用上面的方法配置一条策略依然显得有些麻烦。NIP在新建安全策略时,可以使用策略模板进行设置,而不需要一条条的修改“服务”、“应用”,华为通过大量的分析,针对用户常见的一些行为,定制了很多常用的模板,例如“允许网络游戏类应用”、“上班时间禁止即时通信类应用”、“允许网盘类应用上传和下载”等。直接勾选即可,如下图所示:

华为下一代入侵防御系统NIP6330功能

这种预置的模板会并不是什么新技术,但却能极大的改善用户体验。这也是华为针对中小企业所展现出来的诚意,降低了管理员设置错策略的风险,以及减少了管理员花费在策略设置上的规划和实施时间。

安全防护

作为一款入侵防御系统,NIP自然有其独特的安全防护功能,这些功能主要都集中在“策略”→“安全防护”下,例如针对DDoS的防御,可以在这里设置多种配置参数,通过配置学习参数,应用学习结果,如下图所示:

华为下一代入侵防御系统NIP6330功能

针对单包攻击,也可以设置很多细节防范措施,如下图所示。像常见的地址扫描和端口扫描,可以直接丢弃这些数据包,使黑客得不到有用的信息。另外在IP信誉、监控选项卡下,也有更多的细节设置选项。

华为下一代入侵防御系统NIP6330功能

通过设置URL黑名单,我们也可以手动添加地址,禁止用户针对未收录的恶意网站进行访问,保护用户免受恶意网站的侵扰。

华为下一代入侵防御系统NIP6330功能

除了以上功能外,NIP还可以设置反病毒规则,如反病毒功能所针对的协议,是否包含http、ftp、smtp等。以及查看和配置入侵防御行为的“签名”,这里的签名,其实指的就是恶意行为的特征,华为收集了众多的行为签名,同时对行为的危害、攻击方法也有具体描述。

华为下一代入侵防御系统NIP6330功能

 

    华为下一代入侵防御系统NIP6300评测总结

华为下一代入侵防御系统NIP6300评测
华为下一代入侵防御系统NIP6300

人生没有“如果”。在发生网络安全的危害之前,我们都不会相信有灾难发生。企业在针对网络设备的购买前,会做慎重的考察和调研,但真正购买专业的IPS设备的企业并不多。

国内知名的安全漏洞平台—“乌云”的创始人方小顿近期做了一个演讲:《十二万个漏洞》,讲述了国内网络安全情况的现状和堪忧。网络安全是一个容易被忽视而又非常重要的环节。一旦出现问题,往往对企业而言是灾难性的。但我们相信,良好的安全意识与稳定可靠的华为下一代入侵防御系统结合起来,必然能对网络安全起到积极的作用。

华为下一代入侵防御系统NIP6330是一款纯粹的入侵防御系统,通过高性能的硬件,实现了相应策略的快速响应,并且数据库更新频率也非常频繁,显示出了厂商对产品的用心。其特有的环境感知与日志分级功能,降低了学习和使用的难度,在信息输出方面,也提升了用户体验。同时针对中小企业的需求,也进行了大量的优化。华为下一代入侵防御系统的定位非常准确,它只把精力放在了入侵防御这一块上,因此也就不会与USG系列的目标群体有冲突。两者是一种市场互补的关系。由于华为下一代入侵防御系统的配置非常简单,因此学习成本和维护成本也非常低,对于有过华为系列产品运维经验的工程师来说,上手华为下一代入侵防御系统的难度非常低。即使是没有相关经验的工程师,基本也能够做到见图知意。

对于不断改变的市场需求来说,也只有永远保持对用户的真心,将用户需求放在心上,真正做到高速有效的保护企业安全,同时操作简洁易懂的产品才能给用户以安全感和信赖感,华为下一代入侵防御系统在此次评测中的表现也确实做到了这一点。