绿盟十年回望

《绿盟十年回望》由会员分享，可在线阅读，更多相关《绿盟十年回望（5页珍藏版）》请在装配图网上搜索。

1、绿盟十年回望之入侵检测与防御引子2010年3月31 日,绿盟科技对外宣布，其入侵防御系统（NSFOCUS IPS）顺利通过国际权威机构NSS Labs的严格测试，荣获NSS Labs Approved认证，并且被NSS Labs认定为最高级别Recommended 产品，在此之前仅有三家顶尖国际安全厂商的IPS得到过NSS Labs的鼎力推荐。历经十年磨砺， NSFOCUS IPS 实现跨越，进入国际顶尖的产品行列。十年前，诸多安全公司选择了 IDS产品作为进入国内安全市场的第一款安全产品；十年后，大浪淘沙，业 内知名的IDS产品并不多了，这十年发生了什么？未来十年又会怎样一、过去的十年冰冻三

2、尺非一日之寒，不论哪个产品，如果在十年的竞争中获得优势，一定与其在这个领域的执着和专注 是密不可分的。11市场萌芽，IDS产品成为安全市场的敲门砖2000 年至2004 年期间，各种蠕虫病毒大肆爆发，红色代码、尼姆达、冲击波，震荡波此起彼伏，它们 的各种变种程序更是层出不穷，在互联网上任意肆虐。面对上述基于正常端口工作的蠕虫病毒，传统的防 火墙（Firewall）显得束手无策，而入侵检测系统（IDS）则能够利用这些蠕虫病毒的攻击特征，进行检 测和预警，这使得IDS 一时名声大噪，各大安全厂商争先恐后涌入IDS市场。就在国内IDS市场刚刚萌动的同时，国际安全厂商在海外酝酿一场新的技术变革。200

3、0年9月18 日， Network ICE第一次将pass by的IDS技术用于pass through模式，在线部署的BlackICE Guard 产品，通过分析网络流量，直接丢弃恶意数据包，这也是入侵防御系统（IPS）的最早雏形。为了抑制当 时较为泛滥的拒绝服务攻击（D.o.S），早期的IPS产品都带有一定抗拒绝服务攻击能力，部分网络厂商、 负载均衡厂商借此机会跻身IPS市场，从而使得早期的IPS市场较为混乱。绿盟科技是国内最早进入IDS市场的安全厂商之一，凭借对入侵检测市场的深刻理解，以及多年来在安全 领域的深耕精作，绿盟入侵检测系统（NSFOCUS IDS）自2001年上市以来，就一直

4、代表着业界IDS的 最高水平，持续多年直至今日，该产品仍牢牢占据着国内IDS市场的领导者地位。2004 年, NSFOCUS IDS做出重大技术变革，在绿盟科技特别定制的安全操作系统之上，NSFOCUS IDS 的引擎架构经过重新设计，检测技术由单包模式匹配，全面进化到完全的状态检测与深入的协议解码。同 时，系统的稳定性和处理性能得到极大提升。由此形成的系统主体框架一直沿用到现在，这也成为了今后 NSFOCUS IPS 所采用的基本系统架构。图 1 早期的 NSFOCUS IDS 产品图片1.2 IDS已死？，IPS粉墨登场！随着互联网的普及，公司之间的联系比以往更加密切，更多企业的生产系统，

5、以及运营体系逐渐向互联网 迁徙，在发展或提高生产力的同时，安全成为企业尤为关注的重要环节。防火墙和IDS在面对趋于复杂的 混合性安全威胁时略显苍白，企业迫切需要一种能够积极、主动应对不断变化的安全威胁，有效控制各类 网络安全风险的产品，IPS再次引起人们的关注。IPS 将入侵检测技术应用到串联网络之中，旨在第一时间对所有出入企业网络的流量进行深度分析和检测， 实时阻断攻击。基于其高效的处理性能和精准的检测效率，IPS重新诠释了网络安全的定义，并从根本上 改变了人们保护网络架构和应用系统的方式。区别于防火墙和 IDS， IPS 具有更精准的检测率和更有效的执行力，能够实现对整个报文流直至应用层的

6、 全面检测和保护。系统融合多重检测机制，通过应用状态防火墙、智能协议分析、异常检测、状态签名、 关联分析，以及行为建模等多种方法，以确保能准确识别入侵，并在损失发生之前精确拦截攻击，从而持 续净化互联网和内网的流量。s.防火堵FTP、HTTTP,DNS, SPtTP.ip確廿站陌1mSSSSSiKSmSS透辱胡楡测 宀1丄冋己卩II il高性第处理罟台 tellalls.llBI 全荷胚歟朗普锂图 2 入侵防御系统和传统安全产品的区别因为IPS能够完全取代IDS,并提供IDS所不具备的关键功能，使得IPS产品逐渐成为国内IT安全市场 上一个新的热点。然而，早期的国内IPS市场充斥着传统国际IP

7、S厂商的身影，多数国内安全厂商却仍在 为IDS和IPS孰是孰非，为Gartner的IDS is dead论调争论不休。直至2005年9月，绿盟科技正式 推出了国内第一款IPS产品一一绿盟入侵防御系统(NSFOCUS IPS)，终于打破国际IPS厂商一统天 下的局面。1.3大浪淘沙，IPS领军人物出现自2007年起，市场上涌现出越来越多的IPS产品，国内IPS市场也得到了充足的发展。据国际权威调研 机构IDC统计分析，IPS市场是国内IT安全市场中，近几年来增长速度最快的子市场之一。与此同时， 因为部分用户市场完全覆盖，国内 IDS 市场规模受到 IPS 冲击，增长速度逐渐减缓，甚至成为 200

8、9 年唯 一开始负增长的安全子市场。一边是高歌猛进的 IPS 市场，一边是逐渐没落的 IDS 市场，绿盟科技均一直保持平稳增长和绝对的市场统治力。其实在这个市场中，也会重复着IDS市场的过去，市场兴起的时候诸多厂家争相进入，产品鱼龙混杂，而 到了后期，只有专注和坚持的厂家才能活下来，成为真正的领军人物。盪审丘：和M鹊LatH 力(Mb曲人世畀皆( vl.D 1 windows V5 5 :纂啊试心V5 0 :宜逼咀,(i： VZ-3 : 5S址Ullfi 以IS九冊甘Eft撮 y2.0 :星炼脚号VJhU t引初挥药曲 辛于全範的商*洌科a旳/rwHff丿no闻科呻*f沖I聊图3绿盟入侵检测/

9、防御系统(NSFOCUS IDS/NSFOCUS IPS)发展历程n 2004年至2009年，NSFOCUS IDS连续6年进入IDC定义的国内IDS领导者行列；n 2006年至2009年，NSFOCUS IPS连续4年进入IDC定义的国内IPS领导者行列;n 2009年7月，绿盟科技荣获Frost&Sullivan颁发的2009年中国IDS/IPS市场增长战略领导者奖(2009 China Frost & Sullivan Growth Strategy Leadership Award in the IDS/IPS NetworkSecurity Market)，由此率先完成历史性突破，成

10、为国内首家获此殊荣的安全厂商； n 2010年3月，NSFOCUS IPS荣获NSS Labs Approved认证，并被认定为最高级别Recommended 产品，成为国内安全厂商中唯一获得该权威机构认证的产品.二、下一个十年目前，安全威胁形势已经改变，全球性的安全疫情很难复现，区域性和定向攻击，在数量与精密度上势必 持续升高；强制性感染已经成为常态，用户只要浏览到恶意网站就可能被感染；僵尸网络将永远存在；未 来可能还会出现针对虚拟化与云计算环境的攻击方式；当互联网上的所有信息，包括企业网络和社区网络 (Facebook、Twitter 等)都承载着对我们有用的信息时，当利益已成为一切罪恶的

11、诱因，网络犯罪不可 能消失，未来十年将是信息安全的黄金十年。作为国内IT安全市场中增长速度最快的一个子市场，IPS市场的未来十年生机无限。笔者认为，不断革新 的产品技术，以及随需而变的产品策略，将推动IPS进入下一个黄金十年，IPS必然在产品形态、产品架 构，以及应用模式等方面发生重大变革。2.1趋于融合的下一代安全网关传统的安全网关在应对不断变化的混合型安全威胁，处理丰富的互联网应用时，已经显得力不从心，基于Botnet传播的安全威胁，新的Web 2.0应用，利用隧道技术的业务程序，都能够轻易绕开防火墙的封锁。笔者认为，未来将出现趋于融合的下一代安全网关 NGSG(Next Gene rat

12、ion Secu rity Gateway), 面向安全威胁新趋势，专注于应用层防护的高性能安全网关，NGSG具有一系列特点，以适应未来35 年的安全威胁防护趋势：n标准的防火墙特性：具备包过滤、网络地址转换(NAT)、状态协议检查和VPN等基本功能；n拥有较强的应用识别能力，不局限于端口和协议的识别，对于某些限制应用，如SSL加密会话，也能准 确识别；n 深度融合入侵防御(intrusion prevention)、内容控制(content control)和 URL过滤(URL filtering)等多种功能；n基于用户身份(users by name)的会话识别和监控，而不仅仅通过IP地

13、址进行判断；n具备10Gbps以上的在线处理能力，不会影响业务系统的正常应用。在上述特性之中，应用安全防护是NGSG需要重点解决的问题。针对WEB、DNS、电子邮件、电子商务、VoIP 和视频会议等各类应用的攻击监控，将成为未来应用安全防护的重点。IPS、UTM，亦或是防火墙，都将只是NGSG发展史上的阶段性里程碑，尽管它们在限定的细分市场内， 仍将保持一定规模的增长，但最终必将殊途同归，在不久的将来成为融为一体的下一代安全网关。2.2基于SaaS的安全威胁管理服务安全问题的威胁日渐变得复杂，并且其规模和数量使得中小企业无法很好的应对。RSA总裁亚瑟科维洛认 为云安全是2010年的关键趋势，旧

14、的管理安全服供应商只是为用户提供防火墙管理和虚拟专用网。这使 我看到了新的外包服务即将诞生：人们需要更多的安全管制，但他们又无法很好的进行全面的管理。在这 一基础上，形成了安全云外包服务，或者称为多重安全应用外包服务。新的安全威胁总是孕育着新的市场机会。无论是国内中小型企业用户，还是全球范围内的企业级用户，在 选择安全解决方案的时候，不仅要考虑方案的完整性和有效性，还要兼顾方案的总体拥有成本，他们需要 的不再是单一的安全产品，而是更具成本效益、更方便透明的一体化安全服务。新的Security as a service (SaaS)模式应运而生，基于互联网为全球范围内的用户交付定制化的安全 服务

15、，这将打破传统的安全防护方法，用户依托这个平台，可以选择个性化的安全服务，例如基于IPS的 安全威胁管理。从产品管理、运维，直至警报分析和解决方案建议， SaaS 平台将提供一站式安全贴心服 务。在不久的将来，这个平台还将为全球范围内的企业级用户，提供全面的安全威胁管理能力，以及安全趋势 分析服务，而IPS/IDS则将成为依附于这个平台，同时不可或缺的重要组件。遍布于全球的IPS/IDS引 擎首先将新出现的安全威胁发布到云安全平台，然后基于安全威胁分析引擎处理，形成新的解药，再快速 部署到各个节点的 IPS/IDS 产品之中。同时，云安全平台还将依据实时的威胁信息，持续协助用户不断改 进安全策略。三、总结随着IPS技术的日益完善、用户对IPS产品认知的逐步深入，国内IPS市场日渐成熟，未来这个市场都将 是安全厂商重点发力的领域。随需而变的产品策略，使得IPS不断焕发新的青春，无论是作为独立的IPS 产品，融合多种安全解决方案的IPS管理平台，还是为用户提供SaaS服务的IPS族群，未来的路都还很 长。辉煌十年，不是终结，而是一个新的起点，作为绿盟科技全面拓展国际市场的一把利刃， NSFOCUS IPS 进入国际顶尖产品行列之后，将面临更多的挑战。历经十年磨砺，当我们怀揣梦想，站在群山之巅的时候， 我们已经准备好了.