TippingPoint 基於 ASIC 入侵檢測防禦引擎
UnityOne 無可比擬的性能、穩定性和準確率都是透過 TippingPoint 的工程師和科學家所開發的專利技術發展出來的。這些優勢展現於 TippingPoint 的 TSE 威脅防禦引擎( Threat Suppression Engine )上。 UnityOne 是由最新型的網絡處理器技術組成的壹個高度專業化的硬件式入侵檢測防禦平臺。 TippingPoint 擁有整套自行開發的 FPGA (Layer 7) 及 Layer 4 (ASIC) 模塊。 TSE(威脅防禦引擎 ) 是壹個能實現所有入侵檢測防禦所需要的全部功能的硬件線速引擎,主要功能包括 IP 碎片重組、 TCP 流重組、攻擊行為統計分析、網絡流量帶寬管理、惡意封包阻擋、流量狀態追蹤和超過 170 種的應用層網絡通訊協議分析。
TSE 重組與檢測數據包的內容並分析至網絡的應用層。當每壹個新的數據包隨著數據流到達 TSE 時,就會重新檢測這個數據流是否含有有害的內容,如果實時檢測出這個數據包含有害內容,那麽這個數據包以及隨後而來屬於這個數據流的數據包將會被阻擋。這樣可以正確地保證攻擊不會到達攻擊目的地。
這種領先的 IPS 技術只有結合高速的網絡處理器及定制化的 ASIC 芯片才有可能實現。這種高度專業的流量分類技術可以使IPS 在具有千兆處理速度的同時處理延遲不到壹微秒 (Latency under Microsecond) ,且具有高度的檢測和阻擋準確性。不像軟件式的或其它競爭對手宣稱擁有千兆處理速度的入侵防禦系統,其處理性能會受到 Filter 安裝多寡而受到嚴重的影響,同時處理延時卻高達數秒甚至數十秒之多。 UnityOne 具有高度擴充能力的硬件防護引擎可以允許上萬筆的 Filter 同時運行而不影響其性能與準確性。
UnityOne 運用 TSE 突破性的擴充性與高性能,實時偵測通訊協議異常與流量統計異常,防護 DDoS 攻擊以及阻擋或限制未經授權的應用程序的帶寬。
TippingPoint 三大入侵防禦功能
UnityOne 提供業界最完整的入侵偵測防禦功能,遠遠超出傳統 IPS 的能力。 TippingPoint 定義的三大入侵偵測防禦功能包括:應用程序防護、網絡架構防護與性能保護。這三大功能可提供最強大且最完整的保護以防禦各種形式的網絡攻擊行為,如:病毒、蠕蟲、拒絕服務攻擊與非法的入侵和訪問。
應用程序防護 -UnityOne 提供擴展至用戶端、服務器、及第二至第七層的網絡型攻擊防護,如:病毒、蠕蟲與木馬程序。利用深層檢測應用層數據包的技術, UnityOne 可以分辨出合法與有害的封包內容。最新型的攻擊可以透過偽裝成合法應用的技術,輕易的穿透防火墻。而 UnityOne 運用重組 TCP 流量以檢視應用層數據包內容的方式,以辨識合法與惡意的數據流。大部分的入侵防禦系統都是針對已知的攻擊進行防禦,然而 UnityOne 運用漏洞基礎的過濾機制,可以防範所有已知與未知形式的攻擊。
網絡架構防護 - 路由器、交換器、 DNS 服務器以及防火墻都是有可能被攻擊的網絡設備,如果這些網絡設備被攻擊導致停機,那麽所有企業中的關鍵應用程序也會隨之停擺。而 UnityOne 的網絡架構防護機制提供了壹系列的網絡漏洞過濾器以保護網絡設備免於遭受攻擊。此外, UnityOne 也提供異常流量統計機制的過濾器,對於超過 ” 基準線 ” 的正常網絡流量,可以針對其通訊協議或應用程序特性來進行警示、限制流量或阻絕流量等行動。如此壹來可以預防 DDoS 及其它溢出式流量攻擊所造成的網絡斷線或阻塞。
性能保護 - 是用來保護網絡帶寬及主機性能,免於被非法的應用程序占用正常的網絡性能。如果網絡鏈路壅塞,那麽重要的應用程序數據將無法在網絡上傳輸。非商用的應用程序,如點對點文檔***享 (P2P) 應用 或實時通訊軟件 (IM) 將會快速的耗盡網絡的帶寬,因此 UnityOne 提供帶寬保護 (Traffic / Rate Shaping) 的功能,協助企業仔細的辨識出非法使用的應用程序流量並降低或限制其帶寬的使用量。
TippingPoint 三大入侵偵測防禦機制
TippingPoint 的 UnityOne IPS 產品線可同時運作三個獨立但互補的入侵偵測防禦機制:弱點過濾器,攻擊特征過濾器和流量異常過濾器。 TippingPoint 可以同時運作這三個機制的能力就是來自於這組特別開發的 ASIC 。
弱點過濾器 主要是保護操作系統與應用程序。這種過濾器行為就像是壹種網絡型的虛擬軟件補丁程序,保護主機免於遭受利用未修補的漏洞來進行的網絡型攻擊。新的漏洞壹旦發現開始被駭客攻擊利用,弱點過濾器就會被實時啟動,進行漏洞保護。這個過濾機制的運作模式是重組第七層的信息,從而可以完整地檢測應用層的流量。過濾規則可以指定特別的條件,如檢測應用程序的運作流程(如:緩沖區溢出的應用程序異常)或通訊協議的規範(如: RFC 異常)。
流量異常過濾器 是用來偵測在流量模式方面的變化。 這些過濾機制可以調整與學習 UnityOne 所在的特別環境中“正常流量 ” 的模式。壹旦正常流量被設定為基準,這些過濾機制將依據可調整的門限閥值來偵測統計異常的網絡流量。流量異常過濾機制可以有效的阻擋分布式的阻斷服務的攻擊 (DDOS) 、未知的蠕蟲、異常的應用程序流量與其它零時差閃電攻擊。此外 UnityOne 壹個重要的特殊功能是可以依據應用程序的種類、通訊協議與 IP 進行最合適網絡流量分配。
攻擊特征過濾器 主要是針對不需要利用安全漏洞的攻擊方式,如病毒或木馬。這個過濾方式必須全盤了解已知攻擊的特征,且可以偵測並制作出防禦的特征數據庫。目前 TippingPoint 擁有壹個專業團隊 7X24 全年無休地分析來自於全球的各種攻擊威脅,並與 SANS 、 CERT 、 SECURITEAM 等知名的信息安全團隊合作,在第壹時間透過在線更新,讓全球每個角落的 UnityOne 配備最新的攻擊特征數據庫。
TippingPoing 數字疫苗在線更新機制
蘇州眾裏數碼會和HP在企業信息安全這塊壹起努力。在每周提供 SANS 漏洞分析的同時, TippingPoint 的安全團隊也同步制作出針對漏洞的過濾器數據庫並混入到數字疫苗( Digital Vaccines )中,數字疫苗不只針對特定的攻擊制作過濾器,還包括對變種攻擊與零時差閃電攻擊進行阻擋。為了擁有最大的安全涵蓋範圍,數字疫苗除了每周定時在線更新過濾器數據庫外,並隨時對有嚴重威脅的漏洞或攻擊生成新的過濾器,數字疫苗也會自動地部署新的過濾器至全球的 UnityOne IPS 上。
為了防禦最新的弱點與攻擊,最新的過濾器會持續的更新至 IPS 上。每壹條過濾都可以被視為網絡上的虛擬軟件補丁程序,以保護內部的主機免於被攻擊。任何企圖運用於特定漏洞的有害流量將會被實時偵測與阻擋。換句話說,這個方式就是運用壹個虛擬的修丁程序來保護上千個未修補漏洞的系統。
TippingPoint 的安全專家是被世界公認的,全球超過二十五萬個安全管理者及專家都訂閱了 TippingPoint 所編輯的SAN @RISK 分析報告。相同的分析也運用到數字疫苗的開發上,優先制作出保護 TippingPoint 客戶的最佳過濾器。
TippingPoint 擁有最完整的可靠性機制
UnityOne 的設計理念是,無論是網絡發生什麽故障、設備內部與系統發生什麽錯誤、甚至設備完全失去電源,保證網絡永不斷線、並保證維持線速的運作。 UnityOne 運用系統內部備份機制與網絡狀態備份機制,並相互補充的模式來確保最大的網絡可用性。
UnityOne 有多種內建的備份機制:壹、所有的設備都具有兩個相互備份,可熱插拔的電源適配器。二、看門狗計時器(watchdog timers )會持續的監控安全與管理引擎,壹旦系統錯誤被偵測到, UnityOne 可以自動或手動的切換成 Layer 2的設備,確保網絡不斷線。此外, TippingPoint 還提供了壹個外接式電源適配器( Zero Power High Availability ),當整個機房或數據中心失去電源時,所有的流量會自動切換 (Power Bypass) 由這個設備運作。