Products
UnityOne主動式入侵防禦系統
TippingPoint Technologies Inc.所開發的 UnityOne系列為業界領先的主動式入侵偵測防禦系統(IPS,Intrusion Prevention System),擁有同類型產品中無可比擬的效能、安全性、高可用性與易於操作等特性。UnityOne是唯一榮獲IPS/IDS專業測試機構NSS Group所頒發的NSS Gold Award獎項, 2004 年 Information Security IPS 項目的 Gold award, SC Magazine 2003 年 “Best Buy” 唯一獲得 5顆星滿分的 IPS 設備,並獲得美國軍方與政府單位所認可的Common Criteria(EAL)認證,此外在許多其他專業單位所頒發的獎項中,UnityOne都是入侵偵測防禦系統中的標竿產品。
傳統的入侵偵測系統產品只能偵測惡意與非法的網路流量卻不能做進一步的阻擋。UnityOne入侵偵測防禦系統不但可以早一步偵測到駭客的攻擊,更可以直接將有害的流量阻擋於公司的網路之外。除此之外,UnityOne還能最適化網路效能,透過對合法流量的頻寬管理,來確保企業最關鍵的網路應用能獲得最佳的頻寬保障。UnityOne的高效能表現與準確的阻擋率能夠在即時保護公司網路環境的條件下,絲毫不影響網路的效能。 相反的,反而提升了整體網路的效能。
TippingPoint ASIC Based入侵偵測防禦引擎
UnityOne無比的性能,穩定性和準確率是是透過TippingPoint的工程師和科學家所開發的專利技術上所發展出來的。這些優勢展現於TippingPoint的TSE威脅防禦引擎(Threat Suppression Engine)上。UnityOne是一個高度專業化,由最新型的網路處理器技術組成的硬體式入侵偵測防禦平台,而TippingPoint擁有整套自行開發的 Xilinx Vertex 4 FPGA (Layer 7)及 Layer 4 (ASIC) 模組。威脅防禦引擎是一個包含所有入侵偵測防禦所需要的全部功能的硬體線速引擎,主要功能包括 IP de-fragmentation,TCP flow reassembly,攻擊行為統計分析,網路流量限速,惡意封包阻擋,Spyware and BOT攻擊保護,流量狀態追蹤和超過170種的應用層網路通訊協定分析。
TSE重組與檢視封包的內容並分析至網路的應用層。當每一個新的封包隨著資料流到達TSE時,資料流會被重新檢視是否含有有害的內容,如果有即時的封包被檢查出有害,那麼這個封包以及隨後而來附屬於這個資料流的封包將會被阻擋。這可以保證攻擊不會正確的到達目的地。
這種領先的IPS技術只有結合高速的網路處理器及客制化的ASIC晶片才有可能達到。此種高度專門的流量分類技術可以使IPS在具有Gigabit的速度與僅有微秒的延遲下 (Latency under Microsecond),仍具有高度的準確性。不像軟體式的入侵防禦系統或其他競爭對手宣稱擁有 Gigabit 的效能但是 Latency 卻高達數秒甚至數十秒之多,他們的處理效能會受到Filter安裝多寡而受到及嚴重之影響。 UnityOne具備高度擴充能力的硬體防護引擎可以允許上萬筆的Filter同時運行而不影響其效能與準確性。
UnityOne運用TSE突破性的擴充性與高效能來偵測通訊協定異常與流量統計異常,防護DDoS攻擊以及阻擋或限制未經授權的應用程式的頻寬。
TippingPoint三大入侵防禦功能
UnityOne提供業界最完整的入侵偵測防禦功能,遠遠超出傳統IPS的能力。 TippingPoint定義的三大入侵偵測防禦功能包括:應用程式防護、網路架構防護與效能保護。這三大功能可提供最強大且最完整的保護以防禦各種型式的網路攻擊行為,如:病毒、蠕蟲、阻斷服務攻擊與非法的入侵與存取。
應用程式防護-UnityOne提供擴及用戶與伺服器端第二至第七層的網路型攻擊防護,如:病毒、蠕蟲與木馬程式。利用深層檢測應用程式資料封包的技術,UnityOne可以分辨出合法與有害的封包內容。最新型的攻擊可以透過偽裝為合法應用程式的技術,輕易的穿透防火牆。而UnityOne運用重組TCP流量以檢視應用層封包內容的方式,以辨識合法與惡意的資料流。大部分的入侵防禦系統都是針對已知的攻擊進行防禦,然而UnityOne運用漏洞基礎過濾機制,可以防範所有包含已知與未知形式的攻擊。
網路架構防護-路由器、交換器、DNS伺服器以及防火牆都是有可能被攻擊的網路設備,如果這些網路設備被攻擊導致停機,那麼所有企業中的關鍵應用程式也會隨之停擺。而UnityOne的網路架構防護機制提供了一系列的網路漏洞Filter以保護網路設備免於遭受攻擊。此外,UnityOne也提供異常流量統計機制的Filter,對於超過”基準量”的正常網路流量,可以針對其通訊協定或應用程式特性來進行警示、限制流量或阻絕流量等行動。如此一來可以預防DDoS及其他溢位式攻擊所造成的網路斷線或阻塞。
效能保護-是用來保護網路頻寬及主機效能,免於被非法的應用程式佔用正常的網路效能。如果網路連線壅塞,那麼重要的應用程式資料將無法在網路上流通。非商用的應用程式,如點對點檔案分享 (P2P) 或即時通訊軟體 (IM) 將會快速的耗用網路的頻寬,因此UnityOne提供頻寬保護 (Traffic / Rate Shaping) 的功能,協助企業仔細的辨識出非法使用的應用程式流量並降低或限制頻寬的使用量。
TippingPoint三大入侵偵測防禦機制
TippingPoint的UnityOne IPS 產品線可同時運作三個獨立但互補的入侵偵測防禦機制:安全漏洞過濾,攻擊特徵防護和流量異常過濾。TippingPoint可以同時運作這三個機制的能力就是來自於這組特別開發的ASIC。
安全漏洞過濾主要是保護作業系統與應用程式。這種過濾行為像是一種網路型的虛擬軟體修補程式,保護主機免於遭受利用未修補的漏洞來進行的網路型攻擊。新的漏洞一旦被發現已經開始被利用於駭客攻擊,安全漏洞過濾就會被即時啟動。這個過濾機制的運作模式是重組第七層的資訊以完整的檢視應用層的流量。過濾規則可以指定特別的條件,如檢視應用程式的運作流程(如:緩衝區溢位的應用程式異常)或通訊協定的規格(如:RFC異常)。
流量異常過濾是用來偵測在流量模式方面的變化。這些過濾機制可以調整與學習UnityOne所在的特別環境中”正常流量”的模式。一旦正常流量被設定基準,這些過濾機制將依據可調整的門檻值來偵測統計異常的網路流量。流量異常過濾機制可以有效的阻擋分散式的阻斷服務攻擊、未知的蠕蟲、異常的應用程式流量與其他零時差的攻擊。此外UnityOne一個重要的特殊功能是可以依據應用程式的種類、通訊協定與IP來最適化網路流量分配。
攻擊特徵防護主要是針對不需要利用安全漏洞的攻擊方式,如病毒或木馬。這個過濾方式必須全盤瞭解已知性攻擊的特徵且可以偵測並製作出防禦的特徵資料庫。目前TippingPoint擁有一個專業團隊7X24全年無休的分析來自於全球的攻擊威脅,並與SANS、CERT、SECURITEAM等知名的資訊安全團隊合作,在第一時間透過線上更新讓全球每個角落的UnityOne配備最新的攻擊特徵資料庫。
TippingPoing數位疫苗線上更新機制
在每週提供SANS漏洞分析的同時,TippingPoint的安全團隊也同步的針對漏洞製作出Filter的資料庫並混和入數位疫苗(Digital Vaccines)中,數位疫苗不只針對特定的攻擊製作Filter,還包括變種的攻擊與零時差的威脅。為了擁有最大的安全涵蓋範圍,數位疫苗除了每週定時線上更新Filter資料庫外,當隨時有新的威脅嚴重漏洞或威脅產生,數位疫苗也會自動的部署Filter至全球的UnityOne IPS上。
為了防禦最新的弱點與攻擊,最新的Filter會持續的更新至IPS上。每一個Filter都可以被視為網路上的虛擬軟體修補程式,以保護內部的主機免於被攻擊。任何企圖運用特定漏洞的有害流量將會即時的被偵測與阻擋。換句話說,這個方式就是運用一個虛擬的修補程式來保護上千個未修補漏洞的系統。
TippingPoint的安全專家是被世界公認的,全球超過二十五萬個安全管理者及專家都訂閱了TippingPoint所編輯的SAN @RISK分析報告。相同的分析也運用到數位疫苗的開發上,優先製作出保護TippingPoint客戶的最佳Filter。
TippinPoint擁有最完整的備援機制
UnityOne的設計理念是保證網路流量永不斷線,無論是網路發生錯誤、設備內部與系統發生錯誤、甚至完全失去電源,都可以維持線速的運作。UnityOne運用系統內部備援與網路狀態備援兩種互補的模式來確保最大的網路使用性。
UnityOne有多種內建的備援機制。一、所有的設備都具備有兩顆相互備援,可熱插拔的電源供應器。二、看門狗計時器(watchdog timers)會持續的監控安全與管理引擎。一旦系統錯誤被偵測到,UnityOne可以自動或手動的切換成Layer 2的設備,確保網路不斷線。此外,TippingPoint也提供了一個外接式電源備援器(Zero Power High Availability),當整個機房或資料中心失去電源時,所有的流量會自動切換 (Power Bypass) 由這個設備運作。
高擴充性管理系統SMS
UnityOne管理系統(Security Management System, SMS)是一部專為管理與控制多部的UnityOne入侵防禦系統所設計的硬體設備。SMS可以監視、控制、診斷超過一千台的UnityOne,並產生報表。SMS是一部機架式的硬體,內部是使用Java的用戶端程式來產生趨勢報告分析、事件交叉分析、即時流量統計圖表、過濾的攻擊種類、網路主機與服務與UnityOne的網路位置與健康狀態。
SMS提供一個具擴充性、可制訂政策的運作模式,內建直覺式的管理介面。一個典型的UnityOne部署包括了SMS Client、中央控管的SMS系統以及多部UnityOne入侵防禦系統。
SMS具備一個非常有效率的管理元件-SMS儀表板,這個儀表板提供了一目了然的監控資訊與各種入侵防禦系統所產生的資訊。SMS儀表板標示出所有在網路上的UnityOne的效能資訊,包含數位疫苗的更新與應該注意的潛在問題。
此外,每一部UnityOne入侵防禦系統也有自己內建的LSM(Local Security Management)與CLI(Command Line Interface)。LSM是一個瀏覽器介面的管理系統,提供管理、設定與報表功能,並使用SSL的安全傳輸機制。
TippingPoint榮獲NSS Group唯一金牌獎
NSS Group是世界領先的網路與安全測試機構,在2004年一月九日發佈了一份綜合性的IPS安全與效能測試報告,參與測試的產品包括Cisco、ISS、Juniper/NetScreen、McAfee、TippingPoint與TopLayer。TippingPoint是在三年內的測試廠商中唯一榮獲NSS Gold Award的廠商。沒有任何IDS的廠商曾經得過這個獎,而NSS也是第一次頒發這個獎給IPS廠商。
NSS Group運用了超過750種的測試方法與工具來做綜合性的測試,分為效能特徵、安全準確性與使用性三大類進行測試。
TippingPoint在本次的測試中,NSS Group給予下列的結論:
- 在1GB流量的環境下,唯一擁有100%正確性的設備
- 最快最優異的攻擊辨識能力
- 最好的SYN Flood防護能力
- 最好的全面性管理機制
- 最好的安全政策編輯
- 最好的價格效能比