精确高效的攻击检测防御能力
NetEye IPS采用全新的攻击描述语言平台来开发攻击检测防御规则,故规则精准高效,具有极高的检测准确性和检测效率。例:NetEye IPS采用一条规则就可以阻断CAN-1999-0098、CAN-1999-0284、CAN-1999-1529、 CVE-2000-0042、CVE-2000-0488、CVE-2000-0507、CAN-2000-0657、 CAN-2003-0264、CAN-2004-1291等十几种不同的针对SMTP服务器的攻击。
基于漏洞特征定义攻击检测防御规则的能力
当一个漏洞被公布后,针对这个漏洞的攻击及其变种会不断出现,因而完全基于攻击特征来检测防御黑客入侵无疑是费时费力,而且会处于防不胜防的尴尬境地。NetEye IPS具有基于漏洞特征定义攻击检测防御规则的能力,无论攻击者利用漏洞开发了多少种攻击工具和攻击方法,NetEye IPS只需一条规则就可以有效地阻断,包括一些尚未出现的攻击方法。另外,如果一个攻击同时符合基于漏洞特征的规则和基于攻击特征的规则,NetEye IPS还可以将两者关联起来,以便安全管理人员了解更多关于攻击者利用的漏洞(同时也可能是系统存在的安全隐患)、所使用的攻击工具和方法的信息,从而更准确地判断安全事件的危害程度并追查攻击。
强大的、细粒度的协议级防护能力
RFC中对各种协议的状态转换、交互过程都是有严格限定和规范的,如果协议的交互过程偏离了协议规范,即出现了协议异常,这种情况往往意味着攻击。NetEye IPS可以通过检测协议异常来有效地检测并抵御攻击。比如根据RFC 2821,在一个正常的SMTP连接过程中,只有在客户端至少发送过一个“RCPT TO”请求命令之后,客户端发送“DATA”请求命令才是合法的。据此,NetEye IPS可以通过记录SMTP连接中客户端是否发送过“RCPT TO”请求命令的状态,阻挡住所有不符合SMTP协议标准交互过程的“DATA”请求命令,同时也将所有利用直接发送“DATA”请求命令进行的攻击拦截下来。NetEye IPS还可以通过检查协议状态转换过程中的命令携带参数的异常等诸多方式来有效检测和抵御网络攻击,并可以设置详细的过滤开关。
用户自定义规则和行业定制化规则的能力
以Web应用为例,用户可以与东软的工程师一起,针对自己的应用环境特点,通过在规则中引入应用环境相关的信息(如HTTP协议版本、服务器类型、Web应用所使用的数据类型、页面语言等),开发出定制化的NEL规则,增强其适应性和准确性,更好地抵御各类缓冲区溢出攻击、SQL注入、URL攻击等等。东软对电信、社保、电子政务、金融、电力、教育等行业应用的深刻理解和在行业解决方案领域深厚的技术积淀无疑对于定制化规则的开发裨益良多。
应用层DoS/DDoS攻击防御能力
NetEye IPS具有基于攻击特征和统计特征来定义攻击检测防御规则的能力,因而可以有效防御针对Web服务器、DNS服务器、SMTP服务器等关键服务器发起的应用层DoS和DDoS攻击。
多重高可用性保证能力
NetEye IPS支持HA工作方式,提供掉电事故保护、系统软件故障保护、基于状态的业务保护等多重高可用性保障机制,充分保障业务应用的安全稳定运行。
无缝部署能力
在已建成的网络及建设中的网络里,都可以轻松的将NetEye IPS嵌入进任何部分,并不会对网络的拓扑、应用运行等带来任何影响。
高性能多核处理架构
NetEye IPS采用具有强大计算能力的多核计算平台,保证其性能满足网络环境和应用的要求。IPS要进行大量的协议分析和入侵检测防御的计算,计算量和计算复杂度远远大于传统的防火墙,因此IPS对硬件平台的处理器性能要求非常之高。NetEye IPS采用了多核处理器技术,在一个处理器上集成两个或多个核心计算单元,每个核心拥有独立的指令集、执行单元,多个核心可以实现真正的并行处理模式。这样,一颗多核CPU就可以提供接近传统2、4、8颗CPU的处理性能。与此同时,NetEye IPS的硬件平台还支持多CPU架构,进一步提升了IPS的处理性能,完全可以满足千兆网络环境的部署要求。
