出版日期：2003-12-8　总期号：1273　本年期号：92

本期导读 要闻综合 中国信息化 网络与通信 软件与服务 产品与应用 渠道与市场 中国教育信息化 华东专刊 华南专刊 西北专刊 东北专刊 西南专刊

McAfee IntruShield 千兆网络的安全防护神 　　McAfee IntruShield网络入侵防护解决方案拥有强大的可编程安全硬件。入侵检测和防护是计算量非常大的应用，需要相当于防火墙8倍到10倍的处理能力。通过使用专用的芯片，可以成倍地提升几乎每个功能的处理速度，如协议分析、统计分析、字符串匹配和可视化。因此，IntruShield在对已知攻击、未知攻击和DoS攻击进行防护时，可以线速支持成千上万的特征，而不会丢失任何数据包。IntruShield在从几十兆到2G网络带宽范围内都具有良好的性价比。 　　IntruShield产品系列包括IntruShield 4000、IntruShield 2600和IntruShield 1200三种功能强大的网络入侵检测和防护的探测器设备，它们为高可用性网络提供了所需要的性能和功能以及IntruShield 安全管理系统，一个功能强大的、具有可扩展性的安全管理方案。 　　具有良好可扩展性的IntruShield方案提供了综合的防护体系，可以跨越企业核心网络，企业边界网络，以及分支机构的网络。对于带宽从几十兆到2G的网络，它都具有极高的性价比。IntruShield 4000几千兆的性能使得它适合于部署在企业网络的核心或者数据中心的逻辑流量汇聚点上。通过在服务器网段的前端部署探测器，用户可以使用具有多个定制策略的IntruShield虚拟IDS功能监控每个汇聚点。另外，探测器的高可用性部署选项在两个探测器之间使用基于状态的失效防护机制，提供了运行冗余，防止任何单点失效，可以提供无间断的IDS防护。IntruShield 2600具有快速和千兆以太网接口，它为企业的网络边界可以提供灵活的解决方案。IntruShield 1200 为中型网络和企业的远程/分支网络提供灵活的解决方案。 　　McAfee IntruShield网络安全产品采用业界非常先进的实时网络入侵检测和防护体系，能有效地保护企业和政府的网络。IntruShield独特的体系结构集成了多项专有技术，包括：特征检测，异常检测和拒绝服务分析技术，从而能在几千兆的网络流量下进行准确和智能的检测和防护。这种对创造性技术空前的驾驭能保护那些具有最严格要求的网络，使其免遭已知攻击、首次发生的未知攻击，以及DoS攻击的影响。 　　单个的技巧和技术都不是万灵药，它们无法对所有已知的攻击、未知的攻击和DoS攻击进行防护。为了对各种威胁和隐患进行可靠的防护，IntruShield紧密地结合了特征、异常检测技术和DOS检测——在单个专用的平台内。通过结合这三种形式的防护，可以显著地提高检测率。深度的数据包分析极大地提高了所收集数据的质量，从而提高检测的准确性。IntruShield通过收集通信状态、协议和应用的详细信息，进行完全的流量检查和协议分析。这可用于高准确性的攻击检测和实时的入侵防护。 　　McAfee IntruShield提供强大的特征检测能力，以准确地对已知攻击进行防护。 　　● 基于状态的特征检测引擎：IntruShield探测器采用了具有专有技术的状态特征检测引擎。它具有上下文敏感的特征检测，通过使用多标记匹配的方法判断数据包中的状态信息，并能检测跨越数据包边界或者在失序的数据流中的攻击特征。 　　● 特征描述语言：IntruShield探测器使用自有的高级特征描述语言。IntruShield体系结构从探测器软件中将特征签名分离出来，从而可以通过更快的方式有效地保证高质量的特征。 　　● 实时的特征更新：IntruShield探测器在其独创的实时特征更新过程中显示出优势，新的特征可以通过客户端的IntruShield管理软件自动获得。根据策略配置，这些特征可以自动实时地从IntruShield管理器推送到探测器。IntruShield探测器无须重置或者重新启动就可以动态利用最新的特征，从而可以进行无间断的攻击防护。 　　● 用户自定义的特征：探测器也可以通过IntruShield管理器的直观的图形用户界面进行特征定制，用户可以很容易地对其进行创建。 　　探测器的异常检测功能能识别狡猾的首次发生的攻击和未知攻击，从而提高攻击检测率。 　　● 统计数据、协议和应用异常：探测器通过使用统计数据、协议和应用异常检测技术提供综合的异常检测。 　　● 缓冲区溢出检测：目前超过半数的利用漏洞的攻击都是缓冲区溢出攻击。IntruShield的异常检测技术在防护这种的主要威胁来源方面非常有效。 　　探测器的DoS检测具有无与伦比的准确性和粒度，它同时提供消除这些攻击的响应行为。 　　● 自学习特征描述和基于阈值的检测：探测器既提供基于阀值的DoS检测，也提供自学习的基于特征描述的DoS检测，它使用获得专有技术的算法从大量的正常流量中区分较低流量的攻击。 　　● 高粒度的DoS检测：通过使用基于描述的技术，探测器在DoS检测方面提供无以匹敌的粒度。DoS描述符包括预定义的阀值和用于检测DoS攻击的自学习参数。描述符可以根据IP地址范围甚至单个主机进行创建，并且，IntruShield体系结构支持每个探测器拥有几百个描述符。任何偏离正常流量的行为都是DoS攻击行为。如果单个主机/子网到千兆网络链路的下行通路受到攻击——即使只有几兆的流量——探测器的粒状DoS检测就可以发现攻击。 　　McAfee IntruShield是美国网络联盟McAfee网络保护解决方案产品系列的一部分，它是一种独特的尖端技术，可在入侵进入关键系统前“在线上”即阻断它们。McAfee IntruShield高度自动、易于管理且有很大的灵活性，可分阶段实施安装，从而避免原有入侵探测系统的误报，从而可使客户能够制定正确的政策以在他们独特的IT基础架构中阻断攻击。