混合式处理架构架构成就华为入侵防御NIP2100

 　　防火墙的不足之处：

　　传统防火墙作为网络安全的最基本设施，起到了不可磨灭的重要作用。但是我们应该注意到，对于新的网络安全问题，防火墙是那么的素手无策。从防火墙的角度来看，它更多是一个访问控制设备，防火墙会把符合安全策略的流量放过，高级一点的防火墙还会检测协议的基本健壮性，只让合法的流量通过。但是，新的攻击手段不断涌现，大量的攻击都渗透到应用层或者“内容层”，他们在网络层面的表现是非常健康的，所以防火墙根本无法拦截这些威胁。也由于防火墙本身的定位，其体系结构的设计也更多的是为了高速的访问控制，即使是最先进的基于状态的防火墙在灵活性上也有所欠缺。而互联网上的威胁恰恰是变化非常迅速，要应对这些威胁，企业在防火墙作为第一道防线之外，还需要一个能够迅速适应威胁变化的入侵防护产品。

　　网络入侵防护产品有着鲜明的特点：

　　它既要像一般网络产品一样，高速处理报文，另一方面，它却需要像终端和服务器一样，深度解码网络数据流中的内容。要协调好这一矛盾，使系统同时提供高效的网络性能和强大的检测能力，需要在最最基础的部分，也就是处理架构上充分投入。一般入侵防护产品，基于以下两种架构为主。 一种是使用纯基于 IA 架构的硬件平台，俗称工控机，它的硬件结构基本和 PC 机一致，软件上一般采用一个自行加固的 Linux 或者类 Linux 系统，通过开源程序和自开发程序的结合，堆砌出入侵防护产品。无论从一般 IA 架构的处理器角度来看，还是从上面的类 Linux 的操作系统来看，并没有为高速的网络处理做任何优化。这类的系统即使在你仅仅开启很少的安全策略的时候，也很难把网络的处理性能提上去。如果遇到大规模的分布式拒绝服务攻击的时候(DDoS)，网络的流量非常大，这时候这类系统网络性能不足的缺点将暴露无遗。我们一般总结这类架构的主要瓶颈在网络处理能力。

　　另外一种系统采用为网络处理做过专门加速优化的处理器，包括一些专用的多核 RISC 芯片。这些处理器由于设计有专门的硬件网络报文处理单元，网络处理和转发能力极强，很轻松就能处理几个 Gbps，甚至几十个 Gbps 的网络流量。但是这类系统也存在着严重的缺点：一是由于系统较为专用和封闭，软件灵活性较弱，开发周期长，这个和互联网快速变化的威胁形势不匹配; 二是深度应用层解码和分析方面较弱，由于深度的应用层解码和分析将消耗处理器的通用计算资源(相对于网络处理是使用专用的协处理器)，而通用计算资源恰恰是这类处理器比较薄弱的内容。高速的网络处理和牵强的应用分析能力，使得这类系统也无法很好的提供完整的安全保障。

　　我们一般总结这类架构的主要瓶颈在于计算能力。

　　NIP 网络智能防护系统采用了先进的混合式处理架构，即采用网络处理和应用处理分别加速的方法。

　　通过这种方法，使得系统的瓶颈得到消除，网络和应用的性能同时最大化，见下图： 网络处理应用层处理网络处理应用层处理瓶颈在应用层处理能力瓶颈在网络处理能力网络处理 应用层处理最大化的网络和应用层处理能力 NIP 网络智能防护系统采用高效的多核 RISC 网络处理器，以获得网络处理层面的出色性能，即使是超高报文速率的流量也轻松应对。而基于多核 IA 架构的专门为应用层处理设计的增强服务平台(ESP)插卡，给系统带来了强劲的应用层加速能力，同时也提供了非常灵活的软件架构，即使是最复杂的威胁，最复杂的躲避技术，也能够通过快速软件升级来提供支持。

　　NIP 网络智能防护系统采用高效的多核 RISC 网络处理器，以获得网络处理层面的出色性能，即使是超高报文速率的流量也轻松应对。而基于多核 IA 架构的专门为应用层处理设计的增强服务平台(ESP)插卡，给系统带来了强劲的应用层加速能力，同时也提供了非常灵活的软件架构，即使是最复杂的威胁，最复杂的躲避技术，也能够通过快速软件升级来提供支持。

　　NIP2100的优势性能

　　前瞻性的全面防护

　　NIP系统采用多种先进的检测技术，有效的防御各种已知或者未知的威胁：

　　采用协议智能识别技术，自动的区分不同应用和协议，无需人工设定协议端口;

　　基于漏洞的检测技术，以及基于攻击特征的检测技术，实时发现并防御各种已知的攻击：漏洞利用、蠕虫木马等等;

　　协议异常检测、流量异常检测以及启发式检测技术，可以有效的发现未知漏洞及恶意软件产生的攻击

　　NIP产品荟萃多种入侵检测技术，其中最重要的就是基于漏洞的检测，可有效地阻止因为漏洞而带来的威胁，如：溢出攻击、蠕虫感染等。相对传统的攻击特征检测不会产生误报、并且能够更好地对抗使用逃避技术的攻击行为。

　　易于部署

　　NIP产品预先配置了成熟的默认安全策略，提供了开箱即用的零配置上线的安全保护。此默认策略凭借有先进的引擎技术和高质量基于漏洞的签名，提供高精度的威胁检出能力，对确定对业务有影响的中高级威胁自动阻断，无需人工逐个优化调整。

　　NIP产品可以基于透明模式在线部署，也可旁路部署，同一台设备任何接口可以自由选择在线还是旁路工作，也无需重新调整网络，网络和安全管理员可以轻松选择所需的设备工作方式

　　NIP产品支持对MPLS、VLAN trunk、GRE等特殊网络封装数据的检测，使部署位置更具灵活性。

　　集中管理与报表

　　NIP产品不但提供设备自身的Web管理方式，也可以通过集中管理软件NIP Manager，进行多设备的集中监控、升级和策略下发等配置操作。

　　NIP产品提供多种的预定义策略供客户选择，可以满足客户定制化策略的需求

　　NIP Manager具有丰富的日志统计报表功能，从不同粒度和不同维度全面展示网络实时状况、历史信息及检测到的各种攻击排名、流量趋势走向。方便用户随时了解网络健康状态，对网络加固和IT活动实施予以指导

　　高可靠性

　　IPS在线部署需要极高的可靠性，华为NIP产品提供最高级别的可靠性及可用性。产品支持高可靠性配置(主-备模式、主-主模式)，支持热插拔冗余电源、热插拔风扇，并采用电子硬盘方案。提供软件及硬件的Bypass功能(失效开放)，可以在某个功能模块异常时旁路此模块，也可以在整个IPS设备出现问题时旁路整个IPS产品。