21ic通信網(wǎng)訊，NIP 網(wǎng)絡(luò)智能防護(hù)系統(tǒng)是華為公司推出的最新一代專業(yè)入侵檢測(cè)及防 護(hù)產(chǎn)品，面向 Web2.0 及云時(shí)代的網(wǎng)絡(luò)安全問題，提供了虛擬補(bǔ)丁、Web 應(yīng)用防護(hù)、客戶端保護(hù)、惡意軟件防御、網(wǎng)絡(luò)應(yīng)用管控、網(wǎng)絡(luò)及應(yīng)用層 DOS 保護(hù)等功能。為大中企業(yè)、行業(yè)及運(yùn)營(yíng)商等客戶，提供對(duì)網(wǎng)絡(luò)基礎(chǔ) 設(shè)施、網(wǎng)絡(luò)帶寬性能、服務(wù)器及客戶端的全面防護(hù)。

產(chǎn)品使用模塊化引擎設(shè)計(jì)，利用多種先進(jìn)的檢測(cè)技術(shù)，提供虛擬補(bǔ)丁、Web應(yīng)用防護(hù)、客戶端應(yīng)用防護(hù)、惡意軟件防護(hù)、Anti-DDoS及應(yīng)用感知控制等功能。幫助組織保障業(yè)務(wù)的連續(xù)性，數(shù)據(jù)的安全性，提供對(duì)相關(guān)法律法規(guī)的合規(guī)性。

采用電信級(jí)的高可靠性設(shè)計(jì)，提供對(duì)MPLS、VLAN等多種特殊協(xié)議的支持，可在多種環(huán)境靈活的部署。產(chǎn)品提供零配置上線的部署能力，無需復(fù)雜的簽名調(diào)整，無需人工設(shè)定網(wǎng)絡(luò)參數(shù)及閾值基線，即可自動(dòng)阻截各種業(yè)務(wù)威脅。華為NIP產(chǎn)品顯著降低了部署的復(fù)雜性，使整體的TCO成本得到有效的控制。

1. 華為NIP系列支持如下特性

全面檢測(cè)：覆蓋網(wǎng)絡(luò)、服務(wù)器、終端及應(yīng)用全面防護(hù)新型威脅

防范最新惡意軟件、零日攻擊及botnet；

防范應(yīng)用層DDoS攻擊：DNS、HTTP、SIP等；

200+安全研究人員，全球威脅采集，實(shí)時(shí)簽名升級(jí)

精準(zhǔn)分析：低誤報(bào)率，有效降低維護(hù)成本檢測(cè)精準(zhǔn)，自動(dòng)阻截業(yè)務(wù)威脅

基于漏洞的檢測(cè)技術(shù)，提供精準(zhǔn)的檢測(cè)；

動(dòng)學(xué)習(xí)業(yè)務(wù)流量基線，避免閾值配置錯(cuò)誤；

自動(dòng)阻截關(guān)鍵業(yè)務(wù)威脅，無需人工干預(yù)

易于使用，降低TCO成本

零配置上線，無需各種參數(shù)調(diào)整；

集中安全管理、實(shí)時(shí)安全監(jiān)控；

應(yīng)用流量可視化

高可靠性

電信級(jí)硬件設(shè)計(jì)，支持溫度監(jiān)控，支持風(fēng)扇、電源等部件的熱插拔;

支持主-主、主-備方式的HA部署;

支持硬件Bypass

2. 華為NIP“零”配置，“零“誤報(bào)，助力客戶輕松安全管理

今日企業(yè)的網(wǎng)絡(luò)安全正在面臨前所未有的挑戰(zhàn)，這主要來自于有組織、有特定目標(biāo)、隱蔽性強(qiáng)、破壞力大、持續(xù)時(shí)間長(zhǎng)的新型攻擊和威脅，入侵檢測(cè)與防御設(shè)備（IPS）越來越多的被各行業(yè)采用，IPS設(shè)備的功能也越來越強(qiáng)大，部署的場(chǎng)景也越來復(fù)雜，通常需要復(fù)雜的配置過程才能上線使用，以及在使用過程中有針對(duì)性的調(diào)優(yōu)，這對(duì)企業(yè)的安全管理人員提出了更高的技術(shù)要求，但是如果設(shè)備的設(shè)置和使用都很困難的話，安全管理員不會(huì)愿意將這一入侵防御系統(tǒng)應(yīng)用在其網(wǎng)絡(luò)之上。

Infornetics調(diào)查了五家IPS供各自的使用參數(shù)，包括安裝時(shí)間和IPS過濾器配置的便捷程度。最后據(jù)Infonetics的Jeff Wilson稱：“這方面是研究中最重要的發(fā)現(xiàn)之一。許多IPS設(shè)備都卡在了初始化配置階段，或者更糟的是，設(shè)備配置錯(cuò)了，結(jié)果不能阻攔攻擊。”如何快速有效的配置IPS設(shè)備，并使之能有效的對(duì)攻擊進(jìn)行檢測(cè)，是IPS設(shè)備必須解決的一個(gè)重要問題。

經(jīng)過多年的市場(chǎng)調(diào)查和用戶反饋，華為智能網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIP）很好的解決了這個(gè)復(fù)雜的安全管理問題。華為NIP 西海岸測(cè)試報(bào)告中明確了NIP的簡(jiǎn)單配置過程： “在測(cè)試中，無任何配置過程。即使對(duì)應(yīng)特定測(cè)試，配置時(shí)間也小于5分鐘”，也就是華為NIP產(chǎn)品的目標(biāo)：”零”配置上線。

華為是如何做到的呢？

在華為的NIP設(shè)備默認(rèn)配置中，預(yù)先將端口進(jìn)行兩兩匹配，形成“端口對(duì)”的模式，在上線過程中，直接將鏈路的上下行分別插入到同一“端口對(duì)”的兩個(gè)端口中，NIP默認(rèn)所有的“端口對(duì)”都已經(jīng)配置好了默認(rèn)威脅防護(hù)策略，能夠?qū)崿F(xiàn)對(duì)流量的監(jiān)控和防護(hù)，真正做到了即插即用的模式。通過對(duì)兩對(duì)“端口對(duì)”進(jìn)行捆綁，還可以對(duì)非對(duì)稱路由場(chǎng)景下的流量提供安全防護(hù)。

下圖以設(shè)備內(nèi)置接口來舉例接口對(duì)的劃分。

在實(shí)現(xiàn)設(shè)備”零配置”上線的支撐中，更重要的是在對(duì)后期調(diào)優(yōu)的工作量中，之前華為遇到的一些客戶，購(gòu)買友商設(shè)備后，出現(xiàn)大量的誤報(bào)和漏報(bào)，給業(yè)務(wù)造成很大的影響，通常在很短的時(shí)間內(nèi)產(chǎn)生了大量的誤報(bào)日志，造成安全管理人員高度緊張，設(shè)備調(diào)優(yōu)浪費(fèi)了大量的時(shí)間和精力，這些都是由于友商設(shè)備上線后的大量誤報(bào)造成難區(qū)分是否攻擊，花大量精力確認(rèn)誤報(bào)后，需要更改設(shè)備配置、調(diào)整，之后才能使用。

從NSS 公開的測(cè)試數(shù)據(jù)中，我們可以看到，好的產(chǎn)品，產(chǎn)品調(diào)優(yōu)前后的攻擊阻斷率變化很小，只有5%-10%的變化，最小的變化只有2.8%，而有的廠商調(diào)優(yōu)后阻斷率從30%多增長(zhǎng)到70%多，這樣的產(chǎn)品要上線并發(fā)揮真正具備攔截功能，這說明需要付出大量的時(shí)間進(jìn)行產(chǎn)品調(diào)優(yōu)，而調(diào)優(yōu)的工作則需要安全管理人員具備很強(qiáng)的安全技術(shù)能力，花費(fèi)大量的時(shí)間對(duì)海量的日志詳細(xì)分析后才能真正達(dá)到效果，這嚴(yán)重的影響了產(chǎn)品的可用性。

華為NIP產(chǎn)品在基于各種攻擊的詳細(xì)分析的基礎(chǔ)上，通過精確地算法和高質(zhì)量的基于漏洞的簽名，能真正的將各種攻擊準(zhǔn)確識(shí)別，實(shí)現(xiàn)“零誤報(bào)”，使得產(chǎn)品上線后基本不需要大量的調(diào)優(yōu)工作即可實(shí)現(xiàn)對(duì)攻擊的有效防范。

我們可以簡(jiǎn)單從一個(gè)案例可以看看華為NIP是如何能實(shí)現(xiàn)“零誤報(bào)“，在NIP對(duì)客戶端提供的保護(hù)中，可以保護(hù)客戶端在下載文件是，免受各種隱藏域文件中的惡意代碼攻擊：

1. IPS 引擎識(shí)別該流量為HTTP流量

2. 通過分析HTTP頭部，引擎識(shí)別到承載的內(nèi)容是PDF

3. 調(diào)用PDF分析器對(duì)該P(yáng)DF進(jìn)行分析

4. PDF 分析器發(fā)現(xiàn)PDF文檔中有多塊被壓縮的 Jscript 腳本

5. 每塊腳本解壓縮并被送到簽名掃描引擎

6. 簽名掃描引擎基于多個(gè)Jscript 簽名對(duì)該 JScript 腳本進(jìn)行掃描

7. 其中一個(gè)簽名評(píng)估該腳本中存在攻擊（如GetIcon()參數(shù)有問題）

8. IPS阻斷該網(wǎng)絡(luò)連接

從上面的過程，我們可以清晰看到NIP引擎在工作時(shí)，通過識(shí)別-分析-掃描三個(gè)共享上下文的動(dòng)作，極其有針對(duì)性的進(jìn)行各種掃描，從而有效的識(shí)別各種攻擊，避免了誤報(bào)的發(fā)生，這也避免了后期大量繁瑣的調(diào)優(yōu)工作。

3. 總結(jié)：

華為NIP產(chǎn)品用其強(qiáng)大的攻擊檢測(cè)防范功能以及“零“配置，”零“誤報(bào)，有效的助力企業(yè)安全管理人員輕松管理，也越來越多的被用戶接受，2013年以來連續(xù)在大型的項(xiàng)目招投標(biāo)中取得第一的市場(chǎng)份額，如2013年的電信入侵防御的集采項(xiàng)目，2013年國(guó)網(wǎng)的入侵防御集采項(xiàng)目等。