NIP 網(wǎng)絡(luò)智能防護(hù)系統(tǒng)是華為公司推出的最新一代專業(yè)入侵檢測及防 護(hù)產(chǎn)品，面向 Web2.0 及云時代的網(wǎng)絡(luò)安全問題，提供了虛擬補丁、Web 應(yīng)用防護(hù)、客戶端保護(hù)、惡意軟件防御、網(wǎng)絡(luò)應(yīng)用管控、網(wǎng)絡(luò)及應(yīng)用層 DOS 保護(hù)等功能。為大中企業(yè)、行業(yè)及運營商等客戶，提供對網(wǎng)絡(luò)基礎(chǔ) 設(shè)施、網(wǎng)絡(luò)帶寬性能、服務(wù)器及客戶端的全面防護(hù)。

產(chǎn)品使用模塊化引擎設(shè)計，利用多種先進(jìn)的檢測技術(shù)，提供虛擬補丁、Web應(yīng)用防護(hù)、客戶端應(yīng)用防護(hù)、惡意軟件防護(hù)、Anti-DDoS及應(yīng)用感知控制等功能。幫助組織保障業(yè)務(wù)的連續(xù)性，數(shù)據(jù)的安全性，提供對相關(guān)法律法規(guī)的合規(guī)性。

采用電信級的高可靠性設(shè)計，提供對MPLS、VLAN等多種特殊協(xié)議的支持，可在多種環(huán)境靈活的部署。產(chǎn)品提供零配置上線的部署能力，無需復(fù)雜的簽名調(diào)整，無需人工設(shè)定網(wǎng)絡(luò)參數(shù)及閾值基線，即可自動阻截各種業(yè)務(wù)威脅。華為NIP產(chǎn)品顯著降低了部署的復(fù)雜性，使整體的TCO成本得到有效的控制。

1. 華為NIP系列支持如下特性

全面檢測：覆蓋網(wǎng)絡(luò)、服務(wù)器、終端及應(yīng)用全面防護(hù)新型威脅

防范最新惡意軟件、零日攻擊及botnet；

防范應(yīng)用層DDoS攻擊：DNS、HTTP、SIP等；

200+安全研究人員，全球威脅采集，實時簽名升級

精準(zhǔn)分析：低誤報率，有效降低維護(hù)成本檢測精準(zhǔn)，自動阻截業(yè)務(wù)威脅

基于漏洞的檢測技術(shù)，提供精準(zhǔn)的檢測；

動學(xué)習(xí)業(yè)務(wù)流量基線，避免閾值配置錯誤；

自動阻截關(guān)鍵業(yè)務(wù)威脅，無需人工干預(yù)

易于使用，降低TCO成本

零配置上線，無需各種參數(shù)調(diào)整；

集中安全管理、實時安全監(jiān)控；

應(yīng)用流量可視化

高可靠性

電信級硬件設(shè)計，支持溫度監(jiān)控，支持風(fēng)扇、電源等部件的熱插拔;

支持主-主、主-備方式的HA部署;

支持硬件Bypass

2. 華為NIP“零”配置，“零“誤報，助力客戶輕松安全管理

今日企業(yè)的網(wǎng)絡(luò)安全正在面臨前所未有的挑戰(zhàn)，這主要來自于有組織、有特定目標(biāo)、隱蔽性強、破壞力大、持續(xù)時間長的新型攻擊和威脅，入侵檢測與防御設(shè)備（IPS）越來越多的被各行業(yè)采用，IPS設(shè)備的功能也越來越強大，部署的場景也越來復(fù)雜，通常需要復(fù)雜的配置過程才能上線使用，以及在使用過程中有針對性的調(diào)優(yōu)，這對企業(yè)的安全管理人員提出了更高的技術(shù)要求，但是如果設(shè)備的設(shè)置和使用都很困難的話，安全管理員不會愿意將這一入侵防御系統(tǒng)應(yīng)用在其網(wǎng)絡(luò)之上。

Infornetics調(diào)查了五家IPS供各自的使用參數(shù)，包括安裝時間和IPS過濾器配置的便捷程度。最后據(jù)Infonetics的Jeff Wilson稱：“這方面是研究中最重要的發(fā)現(xiàn)之一。許多IPS設(shè)備都卡在了初始化配置階段，或者更糟的是，設(shè)備配置錯了，結(jié)果不能阻攔攻擊。”如何快速有效的配置IPS設(shè)備，并使之能有效的對攻擊進(jìn)行檢測，是IPS設(shè)備必須解決的一個重要問題。

經(jīng)過多年的市場調(diào)查和用戶反饋，華為智能網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIP）很好的解決了這個復(fù)雜的安全管理問題。華為NIP 西海岸測試報告中明確了NIP的簡單配置過程： “在測試中，無任何配置過程。即使對應(yīng)特定測試，配置時間也小于5分鐘”，也就是華為NIP產(chǎn)品的目標(biāo)：”零”配置上線。

華為是如何做到的呢？

在華為的NIP設(shè)備默認(rèn)配置中，預(yù)先將端口進(jìn)行兩兩匹配，形成“端口對”的模式，在上線過程中，直接將鏈路的上下行分別插入到同一“端口對”的兩個端口中，NIP默認(rèn)所有的“端口對”都已經(jīng)配置好了默認(rèn)威脅防護(hù)策略，能夠?qū)崿F(xiàn)對流量的監(jiān)控和防護(hù)，真正做到了即插即用的模式。通過對兩對“端口對”進(jìn)行捆綁，還可以對非對稱路由場景下的流量提供安全防護(hù)。

下圖以設(shè)備內(nèi)置接口來舉例接口對的劃分。

在實現(xiàn)設(shè)備”零配置”上線的支撐中，更重要的是在對后期調(diào)優(yōu)的工作量中，之前華為遇到的一些客戶，購買友商設(shè)備后，出現(xiàn)大量的誤報和漏報，給業(yè)務(wù)造成很大的影響，通常在很短的時間內(nèi)產(chǎn)生了大量的誤報日志，造成安全管理人員高度緊張，設(shè)備調(diào)優(yōu)浪費了大量的時間和精力，這些都是由于友商設(shè)備上線后的大量誤報造成難區(qū)分是否攻擊，花大量精力確認(rèn)誤報后，需要更改設(shè)備配置、調(diào)整，之后才能使用。

從NSS 公開的測試數(shù)據(jù)中，我們可以看到，好的產(chǎn)品，產(chǎn)品調(diào)優(yōu)前后的攻擊阻斷率變化很小，只有5%-10%的變化，最小的變化只有2.8%，而有的廠商調(diào)優(yōu)后阻斷率從30%多增長到70%多，這樣的產(chǎn)品要上線并發(fā)揮真正具備攔截功能，這說明需要付出大量的時間進(jìn)行產(chǎn)品調(diào)優(yōu)，而調(diào)優(yōu)的工作則需要安全管理人員具備很強的安全技術(shù)能力，花費大量的時間對海量的日志詳細(xì)分析后才能真正達(dá)到效果，這嚴(yán)重的影響了產(chǎn)品的可用性。

華為NIP產(chǎn)品在基于各種攻擊的詳細(xì)分析的基礎(chǔ)上，通過精確地算法和高質(zhì)量的基于漏洞的簽名，能真正的將各種攻擊準(zhǔn)確識別，實現(xiàn)“零誤報”，使得產(chǎn)品上線后基本不需要大量的調(diào)優(yōu)工作即可實現(xiàn)對攻擊的有效防范。

我們可以簡單從一個案例可以看看華為NIP是如何能實現(xiàn)“零誤報“，在NIP對客戶端提供的保護(hù)中，可以保護(hù)客戶端在下載文件是，免受各種隱藏域文件中的惡意代碼攻擊：

1. IPS 引擎識別該流量為HTTP流量

2. 通過分析HTTP頭部，引擎識別到承載的內(nèi)容是PDF

3. 調(diào)用PDF分析器對該PDF進(jìn)行分析

4. PDF 分析器發(fā)現(xiàn)PDF文檔中有多塊被壓縮的 Jscript 腳本

5. 每塊腳本解壓縮并被送到簽名掃描引擎

6. 簽名掃描引擎基于多個Jscript 簽名對該 JScript 腳本進(jìn)行掃描

7. 其中一個簽名評估該腳本中存在攻擊（如GetIcon()參數(shù)有問題）

8. IPS阻斷該網(wǎng)絡(luò)連接

從上面的過程，我們可以清晰看到NIP引擎在工作時，通過識別-分析-掃描三個共享上下文的動作，極其有針對性的進(jìn)行各種掃描，從而有效的識別各種攻擊，避免了誤報的發(fā)生，這也避免了后期大量繁瑣的調(diào)優(yōu)工作。

3. 總結(jié)：

華為NIP產(chǎn)品用其強大的攻擊檢測防范功能以及“零“配置，”零“誤報，有效的助力企業(yè)安全管理人員輕松管理，也越來越多的被用戶接受，2013年以來連續(xù)在大型的項目招投標(biāo)中取得第一的市場份額，如2013年的電信入侵防御的集采項目，2013年國網(wǎng)的入侵防御集采項目等。