华为网络“金钟罩”让攻击望而却步

21ic通信网讯，NIP 网络智能防护系统是华为公司推出的最新一代专业入侵检测及防 护产品，面向 Web2.0 及云时代的网络安全问题，提供了虚拟补丁、Web 应用防护、客户端保护、恶意软件防御、网络应用管控、网络及应用层 DOS 保护等功能。为大中企业、行业及运营商等客户，提供对网络基础 设施、网络带宽性能、服务器及客户端的全面防护。

产品使用模块化引擎设计，利用多种先进的检测技术，提供虚拟补丁、Web应用防护、客户端应用防护、恶意软件防护、Anti-DDoS及应用感知控制等功能。帮助组织保障业务的连续性，数据的安全性，提供对相关法律法规的合规性。

采用电信级的高可靠性设计，提供对MPLS、VLAN等多种特殊协议的支持，可在多种环境灵活的部署。产品提供零配置上线的部署能力，无需复杂的签名调整，无需人工设定网络参数及阈值基线，即可自动阻截各种业务威胁。华为NIP产品显著降低了部署的复杂性，使整体的TCO成本得到有效的控制。

1. 华为NIP系列支持如下特性

全面检测：覆盖网络、服务器、终端及应用全面防护新型威胁

防范最新恶意软件、零日攻击及botnet；

防范应用层DDoS攻击：DNS、HTTP、SIP等；

200+安全研究人员，全球威胁采集，实时签名升级

精准分析：低误报率，有效降低维护成本检测精准，自动阻截业务威胁

基于漏洞的检测技术，提供精准的检测；

动学习业务流量基线，避免阈值配置错误；

自动阻截关键业务威胁，无需人工干预

易于使用，降低TCO成本

零配置上线，无需各种参数调整；

集中安全管理、实时安全监控；

应用流量可视化

高可靠性

电信级硬件设计，支持温度监控，支持风扇、电源等部件的热插拔;

支持主-主、主-备方式的HA部署;

支持硬件Bypass

2. 华为NIP“零”配置，“零“误报，助力客户轻松安全管理

今日企业的网络安全正在面临前所未有的挑战，这主要来自于有组织、有特定目标、隐蔽性强、破坏力大、持续时间长的新型攻击和威胁，入侵检测与防御设备（IPS）越来越多的被各行业采用，IPS设备的功能也越来越强大，部署的场景也越来复杂，通常需要复杂的配置过程才能上线使用，以及在使用过程中有针对性的调优，这对企业的安全管理人员提出了更高的技术要求，但是如果设备的设置和使用都很困难的话，安全管理员不会愿意将这一入侵防御系统应用在其网络之上。

Infornetics调查了五家IPS供各自的使用参数，包括安装时间和IPS过滤器配置的便捷程度。最后据Infonetics的Jeff Wilson称：“这方面是研究中最重要的发现之一。许多IPS设备都卡在了初始化配置阶段，或者更糟的是，设备配置错了，结果不能阻拦攻击。”如何快速有效的配置IPS设备，并使之能有效的对攻击进行检测，是IPS设备必须解决的一个重要问题。

经过多年的市场调查和用户反馈，华为智能网络入侵检测系统（NIP）很好的解决了这个复杂的安全管理问题。华为NIP 西海岸测试报告中明确了NIP的简单配置过程： “在测试中，无任何配置过程。即使对应特定测试，配置时间也小于5分钟”，也就是华为NIP产品的目标：”零”配置上线。

华为是如何做到的呢？

在华为的NIP设备默认配置中，预先将端口进行两两匹配，形成“端口对”的模式，在上线过程中，直接将链路的上下行分别插入到同一“端口对”的两个端口中，NIP默认所有的“端口对”都已经配置好了默认威胁防护策略，能够实现对流量的监控和防护，真正做到了即插即用的模式。通过对两对“端口对”进行捆绑，还可以对非对称路由场景下的流量提供安全防护。

下图以设备内置接口来举例接口对的划分。

在实现设备”零配置”上线的支撑中，更重要的是在对后期调优的工作量中，之前华为遇到的一些客户，购买友商设备后，出现大量的误报和漏报，给业务造成很大的影响，通常在很短的时间内产生了大量的误报日志，造成安全管理人员高度紧张，设备调优浪费了大量的时间和精力，这些都是由于友商设备上线后的大量误报造成难区分是否攻击，花大量精力确认误报后，需要更改设备配置、调整，之后才能使用。

从NSS 公开的测试数据中，我们可以看到，好的产品，产品调优前后的攻击阻断率变化很小，只有5%-10%的变化，最小的变化只有2.8%，而有的厂商调优后阻断率从30%多增长到70%多，这样的产品要上线并发挥真正具备拦截功能，这说明需要付出大量的时间进行产品调优，而调优的工作则需要安全管理人员具备很强的安全技术能力，花费大量的时间对海量的日志详细分析后才能真正达到效果，这严重的影响了产品的可用性。

华为NIP产品在基于各种攻击的详细分析的基础上，通过精确地算法和高质量的基于漏洞的签名，能真正的将各种攻击准确识别，实现“零误报”，使得产品上线后基本不需要大量的调优工作即可实现对攻击的有效防范。

我们可以简单从一个案例可以看看华为NIP是如何能实现“零误报“，在NIP对客户端提供的保护中，可以保护客户端在下载文件是，免受各种隐藏域文件中的恶意代码攻击：

1. IPS 引擎识别该流量为HTTP流量

2. 通过分析HTTP头部，引擎识别到承载的内容是PDF

3. 调用PDF分析器对该PDF进行分析

4. PDF 分析器发现PDF文档中有多块被压缩的 Jscript 脚本

5. 每块脚本解压缩并被送到签名扫描引擎

6. 签名扫描引擎基于多个Jscript 签名对该 JScript 脚本进行扫描

7. 其中一个签名评估该脚本中存在攻击（如GetIcon()参数有问题）

8. IPS阻断该网络连接

从上面的过程，我们可以清晰看到NIP引擎在工作时，通过识别-分析-扫描三个共享上下文的动作，极其有针对性的进行各种扫描，从而有效的识别各种攻击，避免了误报的发生，这也避免了后期大量繁琐的调优工作。

3. 总结：

华为NIP产品用其强大的攻击检测防范功能以及“零“配置，”零“误报，有效的助力企业安全管理人员轻松管理，也越来越多的被用户接受，2013年以来连续在大型的项目招投标中取得第一的市场份额，如2013年的电信入侵防御的集采项目，2013年国网的入侵防御集采项目等。