华为零配置零误报助力客户轻松安全管力量

企业络的安全正在面临前所未有的挑战，这主要来自于有组织、有特定目标、隐蔽性强、破坏力大、持续时间长的新型攻击和威胁，为了有效的防范各种攻击威胁，入侵检测与防御设备（IPS）功能越来越复杂，通常需要复杂的配置过程才能上线使用，并且在使用过程中要根据现使用情况，判断是否存在漏报和误报，并进行针对性的调优，这就对企业的安全管理人员提出了很高的技术要求。

2010年Infonetics对业界多家IPS产品进行了评测，对产品的安装时间和IPS过滤器配置的便捷程度做了有针对性的测试。最后Infonetics的Jeff Wilson称：这方面是研究中最重要的发现之一。许多IPS设备都卡在了初始化配置阶段，或者更糟的是，设备配置错了，结果不能阻拦攻击。可见，如何快速有效的配置IPS设备，并使之能有效的对攻击行为进行检测和阻断，是IPS设备必须解决的一个重要问题。

这个发现让我略感宽慰。淡蓝色的烟雾在倩女幽魂般的她的面前萦绕 经过多年的市场调查和用户使用反馈，华为智能络入侵检测与防御系统（NIP）很好的解决了这个复杂的安全管理问题。在西海岸中国的测试报告中肯定了NIP的简单配置过程： 在测试中，无任何配置过程。即使对应特定测试，配置时间也小于5分钟。

那么，华为是如何做到的呢？

在华为的NIP设备默认配置中，预先将端口进行两两匹配，形成端口对的模式，在上线过程中，直接将链路的上下行分别插入到同一端口对的两个端口中，由于所有的端口对都已经配置好了默认威胁防护策略，能够即刻实现对攻击流量的检测和防护，真正做到了即插即用。通过对两对端口对进行捆绑，还可以对非对称路由场景下的流量提供安全防护。

下图以设备内置接口来举例接口对的划分。

要想真正实现零配置上线，IPS系统必须能准确的识别各种攻击行为，实现极低的误报和漏报率，这样可以大幅减少设备上线后的策略调优工作。之前华为遇到的一些客户，购买IPS设备后，出现大量的误报和漏报，给业务造成很大的影响。漏报会导致无法识别攻击行为，让IPS设备形同虚设；而误报则可能引发正常业务的被阻断，即便只是开启检测功能，由于IPS设备在很短的时间内产生了大量的误报日志，也容易造成安全管理人员高度紧张，在耗费大量精力确认为误报后，还需要更改IPS设备的策略配置，进行策略调优，这个过程是一个漫长的循环过程，会大幅降低安全管理的效率。

从NSS 公开的测试数据中，我们看到，好的产品调优前后的攻击阻断率变化很小，默认策略配置情况下就可以达到80%以上的识别率，即使进行策略调优，也只有5%-10%的增长，最小的变化只有2.8%。而有的厂商调优前阻断率只有30%, 调优后阻断率增长到70%，这样的产品要上线并发挥真正的攻击拦截功能，强烈依赖于复杂的调优工作，而调优工作需要安全管理人员具备很强的安全技术能力，花费大量的时间对海量的日志详细分析后才能真正达到效果，这极大提高了安全管理的难度，严重的影响了产品的可用性。

华为公司基于多年的安全研究积累，研发出高质量的基于漏洞的签名库，通过精准的算法快速完成识别、分析和扫描，无论攻击行为如何变形隐藏，都能精准的予以识别和阻断，实现真正的零误报和零漏报，使得产品上线后基本不需要调优即可实现对攻击的有效防范。

我们可以简单从一个案例可以看看华为NIP是如何能实现零误报，如客户从站上下载PDF文件时，经常遭受到各种隐藏在文件中的恶意代码攻击，NIP是通过以下的过程实现对这类攻击进行检测和防御的：

S 引擎识别该流量为HTTP流量

2.通过分析HTTP头部，引擎识别到承载的内容是PDF

3.调用PDF分析器对该PDF进行分析

F 分析器发现PDF文档中有多块被压缩的 Jscript 脚本

5.每块脚本解压缩并被送到签名扫描引擎

6.签名扫描引擎基于多个Jscript 签名对该 JScript 脚本进行扫描

7.其中一个签名评估该脚本中存在攻击（如GetIcon（）参数有问题）

S阻断该络连接

从上面的过程，我们可以清晰看到NIP引擎在工作时，通过识别-分析-扫描三个共享上下文的动作，极其有针对性的进行各种扫描，从而有效的识别各种攻击，避免了误报的发生，这也避免了后期大量繁琐的调优工作。

华为NIP产品零配置，零误报，助力企业管人员轻松管理，也越来越多的被用户接受，2013年以来连续在大型的项目招投标中取得第一的市场份额，如2013年的电信入侵防御的集采项目，2013年国的入侵防御集采项目等。

双歧杆菌三联活菌和四联活菌有什么不同氨氯地平贝那普利片Ⅱ哪里有卖合肥子宫内膜炎治疗多少钱荆门治疗白癜风医院费用
杭州好医院白癜风
淮安白癜风医院收费高吗