xgs芯片

图1. XGS 5100

IBM Security下一代入侵防御系统（NGIPS） XGS 5100设备可以很好地满足两个安全行业的需求：

• 安全产品已经过时，因为它们不检查网络数据包的数据有效负载。
• 安全产品之所以无效，是因为它们没有细粒度的智能来区分不同类型的流量，因此无法执行业务策略。

现代网络活动正在Swift过渡到基于Web的协议，例如Web 2.0 http / https流量（其中包括合法的业务应用程序，非业务应用程序和攻击）。 这反过来又加速了对产品的需求，该产品可以为这两个安全需求提供解决方案。

XGS设备的核心包含NGIPS最重要，最全面的功能- 网络访问控制策略 。 NAC是一种现代而强大的访问控制列表策略（ACL），管理员和安全分析人员可以使用它来帮助确定检测到“有趣”流量时要采取的措施。 “有趣”是指潜在的危险流量。

NAC规则，其部署参数和对象定义应遵循简单，概念性的高层信息流模型设计，该模型包括三个主要阶段或元素：

• WHO
• 什么
• 什么时候

让我们更仔细地研究这些元素。

谁：区分身份的对象

Who概念定义创建以区分身份的对象。 过去，仅使用传统的TCP / IP套接字信息来标识端点源和目的地。 XGS能够将本地和远程身份验证的用户帐户与其网络流量属性相关联。

通过使用逻辑管理界面创建和管理用户和组，可以实现本地身份验证。 如果正确识别了NAC规则中定义的有趣流量，则XGS可能会触发NAC警报对象，例如电子邮件，SNMP或远程系统日志（具有启用该选项时将创建与IBM Security兼容的日志事件扩展格式安全警报的选项）。 QRadar SIEM； QRadar是一种先进的，必不可少的分析工具，用于应对高级持续威胁。

每个启用的NAC规则都必须选择以下常规操作之一：

• 接受
• 拒绝
• 下降
• 验证拒绝

通过引入Authenticate Reject操作，安全分析人员可以将未经身份验证的用户重定向到本地身份验证门户（由设备提供服务），从而主动提示输入凭据。 使用远程目录服务器策略时，XGS本地门户可以使用对LDAP和Active Directory对象的访问进行身份验证。

一项新的强大功能允许安装了Tivoli Logon事件扫描器（TLES）产品的现有Active Directory域控制器将预先认证的（或被动认证）用户帐户信息发布到XGS设备。 TLES对XGS客户免费提供。

我想在这里指出，未经身份验证的用户被视为身份，可以在NAC规则中使用它来标识尚未预定义或先前经过身份验证的任何源值。 尝试首次访问Internet的机器IP地址可能属于此类别。

什么：应用程序层有效负载包含的数据

What概念增强了XGS的下一代NGIPS功能。 该设备具有检查和解释应用层有效负载所包含的数据的能力，以应用控制访问决策。

XGS使用由X-Force集团开发和维护的专有入侵防御系统引擎，称为协议分析模块（PAM）。 PAM安全签名库可以组织成适用于各个NAC规则的多个定制保护策略集（IPS对象），使安全分析人员能够将不同的签名选择部署到要检查的对象确定的特定有趣流量的特定集合。

可以将每个IPS对象策略配置为触发响应，并在发生火灾时启用任何签名的集合时创建安全警报。 响应包括为NAC规则触发定义的相同类型的警报（电子邮件，SNMP和远程Syslog），以及为单个违规数据包或整个连接创建数据包捕获的附加选项。 数据包捕获与生成的安全和网络访问警报一起包含基本信息，以在执行取证和故障排除分析时进一步帮助安全分析人员。

除了PAM之外，当检查NAC规则中定义的有趣的流量应用程序数据时，XGS还利用了专有的，通用的深度内容分析（DCA）引擎，该引擎依赖于IBM Security Kassel组维护的三个数据库：

• URL类别以基于URL分类应用Web过滤决策
• Web应用程序，用于精细的应用程序控制
• IP信誉有助于反垃圾邮件

DCA引擎可帮助安全分析人员对允许已标识的实体（谁）执行的What-type应用程序控制操作（例如，博客应用程序中使用的写入，发布或读取操作）做出决策并创建NAC规则。 也可以应用标准的URL过滤方法。

使用IPFIX标准（IP流信息导出）将检查的流量特征捕获为流数据。 信息可以作为IBM Security QRadar SIEM本地存储或以图形方式表示，也可以远程发布到流收集器。 IPFIX流数据使用UDP传输发布在SIEM上。

收集的流数据可用于为可接受的用户或组带宽消耗建立基线，以检测流量异常。 还可以使用大量的图表选项来显示通过时间，身份和应用程序的各种组合在本地存储的流数据。

XGS的一项新功能使它在竞争中脱颖而出，并进一步提高了“ What”概念的深度，即“检查出站加密有效负载的能力”。 可以在设备上加载Base64 PEM编码的RSA SSL密钥和证书，以解密出站启动的会话。

根据以下证书属性（有效性，有效期以及它们是自签名的还是由证书颁发机构中列出的证书颁发机构颁发的），可以使用其他策略来更好地控制可选的连接阻止（与NAC规则操作分开）。阻止列表。

时间：计划定义时间范围

信息流模型中最后一个也是最简单的概念项提供了When功能。 可以创建计划对象并将其与各个NAC规则相关联，以定义NAC规则应用程序的时间边界或到期时间。 另外，可以使用“计划的安全更新”策略来计划自动安装应用于PAM引擎的基于安全内容的X-Force xPress更新。

部署设备

XGS设备可以部署为入侵防御系统串联设备或被动监视入侵检测系统设备，通过“保护接口”策略将受监视的网段数量加倍。 在串联保护模式下运行时，可以将内置的旁路功能配置为在故障期间停止或继续通信流。

作为一种选择，可以使用SiteProtector管理控制台有效地管理多个设备，在该控制台中可以集中和简化策略管理，并且可以记录NAC规则活动。

规格参数

下表显示了XGS 5100设备的性能，物理，电气和环境规格以及参数。

表1.性能特征

IBM安全网络入侵防护系统引用的性能数据基于对TCP / UDP混合流量的测试，旨在反映典型的实时流量。 协议混合和平均数据包大小等环境因素在每个网络中都会有所不同； 测得的性能结果将相应变化。 IBM Security Network Protection吞吐量是通过以下方式确定的：将混合协议流量通过设备，并测量在零数据包丢失的情况下实现了多少吞吐量。 对于基准测试，XGS系列设备以默认的串联保护模式部署，并具有Trust X-FORCE策略。 Spirent Avalanche 3100测试设备，固件3.50（或更高版本）； 流量混合：HTTP = 41％，HTTPS = 17％，SMTP = 10％，POP3 = 5％，FTP = 9％，DNS = 15％，SNMP = 3％; HTTP / HTTPS流量为44KB，对象大小为标准HTTP / S 1.1 GET请求； DNS标准A记录查找； 2ms突发中的15,000字节的FTP GET请求，两个“用户”邮箱之间具有100KB对象的POP3流量，没有对象传输的SMTP简单连接，SNMP状态查询和响应。

表2.物理特征

表3.电气和环境参数

翻译自: https://www.ibm.com/developerworks/security/library/se-xgs/index.html

xgs芯片