McAfee入侵防御系统（IPS）

[ Mcafee ] [ 12/28/2017 ]

McAfee入侵防御系统（IPS）

McAfee NSP产品简介
除了出色的网络入侵防御系统功能之外，McAfee NSP还具备许多独特的特点和应用，可以让用户获得更好的安全效果和投资收益。

出众的硬件架构和处理性能
McAfee NSP 基于 ASIC芯片及FPGA的硬件架构，确保为客户提供更好的在线处理性能可靠性，设备自身考虑了安全性、可靠性和高性能，它能够在设备掉电和系统故障发生时自动接通网络，同时也支持双机热备等高可靠性设置。McAfee网络入侵防护设备在接入网络后，确保网络性能没有下降。

虚拟IPS
NSP 体系结构的虚拟 IPS 功能可以通过三种方法来实施。第一，将虚拟局域网 (VLAN) 标志分配给一组网络资源；第二，使用无类别域内路由 (CIDR) 标志来保护一组 IP 地址；第三，将 NSP 系统接口专门用于保护特定部门、地区机构或组织职能部门的网络资源。
典型的IDS/IPS只能支持一个传感器一个策略，这将导致过多的误报，或过多的传感器部署。NSP创新的虚拟IPS功能能在一个传感器上实现多个安全策略，可为保护各个特定环境而定义，减少总体拥有成本。

具备风险识别的入侵防御
•  集中应对最有关联的告警和攻击，提供更高的运作效率；
•  允许导入和关联Foundstone风险评估产品（或其他第三方产品）的信息，实现优先级的风险管理：
• 通过具有风险识别功能的入侵防御系统，降低IT成本，并增加操作效率；
• 通过识别并阻挡带来最大威胁的攻击，实现最大化安全效果，减少业务风险。
• NSP可以主动调用FoundStone进行特定终端的安全评估。

内置Web安全保护
Web 客户端保护为 McAfee 边界和系统保护解决方案提供其他层次的补充保护：
• 保护未打补丁的Web浏览器和客户端避免计算机虚拟攻击；
• 极大的减少 helpdesk & IT 成本，防止破坏隐私，保护数据保密性。

永远在线的管理平台
• NSP 安全管理系统 (NSM) 通过Active/Standby 主备管理服务器技术提供了连续的，高可用性的管理平台；
• 自动失效故障切换和故障恢复技术允许在关键配置数据出现失效事件时可获得灾难恢复。

SSL加密攻击检测
SSL 是一种流行的安全技术选择，SSL 在加密敏感信息的同时……连同某些攻击也一同加密了，而NSP可以检测SSL加密数据中可能存在的攻击行为：
• 将Web服务器或SSL终端加密的私钥导入NSP管理服务器；
• NSP 管理服务器用传感器的公钥地这些私钥进行加密；
• 传感器在启动时收到加密的私钥；
• 传感器将SSL密钥保存在内在中，检查SSL流量中的攻击。

领先的虚拟内部防火墙
McAfee NSP最早发展了IPS的内部防火墙技术，帮助客户避免重复投资：
• 传统防火墙定义了网络边界；
• NSP 提供 IPS + 防火墙的整合；
• 启动突破性的虚拟内部防火墙；
• 虚拟内部防火墙提供更多层的内部保护，使企业级策略得以执行。

流量控制
NSP 当中具有流量控制功能，根据协议、端口对流量进行控制，从而帮助湖北烟草在网关处实现更多的功能，节约投入，如下图所示：

同管理平台ePO的数据共享
随着产品发展，McAfee NSP将能够和ePO平台分享数据，获取终端的第一手信息，实现更好的防护效果。
1、包含 ePO 主机数据的系统感知IPS
• 右键单击即可获得实时防病毒警报“主机详细信息”
• 提供主机名称、用户名、OS、补丁级别、MAC 地址、上次扫描日期以及其他防护策略
• 前十位 HIPS / AV / Spyware 事件
2、系统感知 IPS 优势
• “信息密集型”—可视性、高效性和相关性
• 利用ePO 进行安全风险管理协作
• 更快的获得保护

内嵌NAC功能
McAfee NSP产品可以实现和NAC系统的完善的整合，如下图所示：

MNAC评估到的不安全的终端流量，可以立刻通知NSP进行防护和阻断，更加准确的防护危险终端，达到最佳防护效果。

多种部署模式,混合使用
NSP支持完全实时攻击阻断的嵌入（In-Line）模式，也支持传统的SPAN与HUB监控接入方式、TAP接入和端口群集接入模式。
嵌入模式：NSP 系统位于数据路径上，活动的流量必须通过它们。NSP 系统通过实时拦截恶意流量来防止网络攻击。用户可以全面自定义预防措施，例如自动拦截针对特定 Web 服务器的 DoS 流量。高速的防护以及高度可用的操作使得 NSP 系统能够部署在任务关键型环境中。
交换端口分析器（SPAN）与集线器监控：一台或多台网络交换机的集线器端口或 SPAN 端口都可以连接到 NSP 系统的检测端口。传感器可以使用同一端口来激活响应措施，例如重新设置某个 TCP 连接。
嵌入模式就是常常使用的IPS模式,而Span则为IDS模式,McAfee NSP可以同时支持以上两种部署模式,在IPS和IDS之间快速切换,适应用户网络的变化。