網御星云憑借在防火墻、入侵檢測、應用分析等方面的深厚積累，傾力打造出了業內首款“內外兼修”的入侵防護系統（以下簡稱“IPS”）。網御星云IPS基于VSP通用安全平臺和USE統一安全引擎，綜合采用會話狀態檢測、應用層完全分析、誤用檢測、異常檢測、網絡審計、主動云防御等分析與檢測技術，實現了“入侵檢測與實時阻斷、應用層訪問控制、綠色上網管理、帶寬管理”等核心功能，配合實時更新的入侵攻擊特征庫，做到了對網絡數據流從高效阻止非法行為（凈化）到按需限制合法行為（優化）的全面管理。以下案例是網御星云公司眾多IPS產品行業應用案例中的很少一部分，旨在為大家提供一些IPS行業應用案例借鑒，也希望通過這些案例與讀者進行更加深入的探討。

網御星云IPS特色描述：

■內外兼修

網御星云IPS作為業內首款“內外兼修”的入侵防護系統，通過訪問控制、入侵防護功能，可以有效攔截外網攻擊；綠色上網、帶寬管理等功能，可以合理管控內網應用。

■主動云防御

網御星云IPS支持主動云防御計算框架，以云防御服務器為中心，惡意URL探測服務器和部署在云端的IPS、UTM、防病毒網關等設備主動掃描和檢測，并將獲得的惡意站點URL列表及有攻擊企圖的IP地址列表等匯集至云防御服務器定時歸納合并。云防御服務器將動態更新的病毒庫、攻擊特征庫、惡意站點庫、攻擊IP列表等同步到云內所有網御星云網關設備中，使其他設備具有防病毒、IPS、防掛馬等功能，并能獲得更高的處理性能。云端IPS設備利用內置漏洞掃描模塊主動掃描被保護服務器，并根據掃描結果自動調整IPS策略，為被保護服務器提供“虛擬補丁”功能。

■可靠性高

多重機制確保網絡運行的穩定可靠，降低斷網幾率。

◆內置軟/硬件Bypass：避免在軟、硬件故障時，因本系統無法正常工作而造成網絡中斷；

◆接口狀態同步：支持網絡接口狀態的自動同步，以適應復雜冗余環境；

◆端口聚合：基于標準802.3ad協議的鏈路聚合功能實現端口冗余及鏈路冗余，同時在一條或多條鏈路出現問題的時候自動將流量切換至別的正常鏈路；

◆HA、集群部署：支持標準VRRP協議，可實現在設備宕機、端口損壞等故障下主機和從機的及時切換，保障網絡連通性的同時確保網絡的安全性。

■ 部署靈活

網御星云IPS支持透明、交換、路由、混合、HA集群部署等多種部署方式，適應各種復雜的網絡環境。

■協同防護

網御星云IPS與內網安全管理產品的協同防護減輕了IPS的網絡負擔，可最終確定威脅點進行阻斷。其次，響應的手段有通知、斷網、鎖定，可強制、準確的對發生威脅的終端計算機進行修復。網御星云IPS與內網安全管理產品的協同防護是完全的流程管理（無人值守），預策略的制定、執行，減輕了網管人員網絡維護的壓力，最終對企業的內部網絡進行全方位的安全保護。

典型案例之一：網御星云IPS產品在行政服務中心專網的典型應用

A.背景與需求

某市行政服務中心是市委、市政府為大力推進行政工作提速、服務提質、深化行政審批制度改革、進一步優化發展環境，而批準設立的正縣級機構，是集信息與咨詢、許可與收費、管理與協調、投訴與監督于一體的綜合性行政服務機構。進駐部門42個，80個服務窗口，共辦理各類審批服務事項279項，其中行政許可事項191項，非許可審批事項69項，服務及收費事項19項。

B.解決方案

某市行政服務中心內網有70多個終端，專網出口為2M專線。網御星云Power V-320IPS部署在邊界路由器和內網二層交換機之間，采用透明方式接入，應用自定義的入侵防護模板。

C.實施效果

某市行政服務中心屬于政府專網，網絡流量不大，網絡應用相對也比較簡單，產品部署后持續穩定工作，經受住了考驗，贏得了用戶的信任。

典型案例之二：網御星云IPS產品為運營商搭建安全壁壘

A.背景與需求

伴隨著運營商業務的不斷發展，網上營業廳、在線支付系統也蓬勃發展起來，現有的支付系統不僅承擔者運營商自營網上商城的支付業務，也承載著其他合作商城的支付業務，同時支付業務需要和銀行、合作伙伴等網絡進行互通實現用戶消費活動費用的結算。隨著運營商業務的發展，所面臨的安全威脅也在不斷的增加，主要體現在：應用層面的黑客入侵：黑客利用各種漏洞侵入業務系統，劫持主機，盜取重要數據和信息，嚴重危害業務服務性的安全性。運營商支付系統核心服務器區域中承載著大量的應用層數據和業務信息，一旦遭到網絡攻擊用戶數據、業務數據等信息就有可能被竊取，被破壞，影響業務系統的保密性和完整性。

B.解決方案

針對運營商業務特點和需求分析，網御星云推出了的基于VSP操作系統、MIPS多核架構的入侵防護設備。首先，網御星云MIPS多核架構入侵防護系統具備全面深入的協議分析、協議識別、協議異常檢測、關聯分析等多種技術手段的主動防御功能可為用戶提供針對應用層入侵行為的檢測和分析功能；其次，由于系統采用MIPS多核架構，使其具有高吞吐、高并發、高新建連接數等性能優勢；同時，為了能夠更加適應運營商網絡的發展要求，網御星云多核入侵防護系統具有基于IPV6網絡環境攻擊檢測的能力。

C.實施效果

從目前系統實際部署情況來看，該方案極大提高了運營商業務系統的安全威脅入侵護御等級，從而保障內部關鍵業務和關鍵數據的信息安全。將整個業務網的網絡邊界筑起了一道堅實的安全壁壘，把原來讓安全運維人員所擔心的各種惡意攻擊拒之網外，為業務系統網絡的正常應用提供了一個安全、可靠的運營環境。

典型案例之三：網御星云IPS產品在省電網公司廣域網出口的典型應用

A.背景與需求

某電網公司已經使用防火墻實現對全網的安全域劃分，并通過安全控制策略減少了不可控區域對其它區域的安全威脅。但傳統防火墻主要工作在網絡層和傳輸層，并不能有效完成對應用層漏洞攻擊、惡意軟件、蠕蟲病毒等的深度防御；同時入侵檢測系統（IDS）也存在不能提供主動防御的缺點。因此，某電網公司決定采用入侵防護系統（IPS）實現主動防御，以提供二到七層的全面安全防護。

B.解決方案

本項目中，在6個地州供電局的廣域網出口側各部署1臺Power V-1220IPS系統，對各安全區域之間提供深度防御，有效攔截漏洞攻擊、惡意軟件、蠕蟲病毒等各種攻擊行為。

C.實施效果

網御星云IPS部署后運行穩定，有效防范了各地州到總部、以及各地州之間的惡意攻擊和蠕蟲病毒傳播。