腾讯天幕T-Sec网络入侵防护系统_银行安全威胁情报旁路阻断解决方案-云巴巴

腾讯天幕T-Sec网络入侵防护系统

腾讯天幕T-Sec网络入侵防护系统，通过旁路方式，提供双向流量逐包检测和IP封禁能力，解决数据中心的协同防御和安全治理问题。提供阻断API，方便其他安全检测类产品调用。提供全网流量实时监控功能，能够应用到等保合规、协同防御和日常安全运营等场景。

立即咨询

首页 > 产品中心 > 网络安全 > 腾讯天幕T-Sec网络入侵防护系统

产品概述

T-Sec网络入侵防护系统（简称：腾讯天幕）

通过旁路方式，提供双向流量逐包检测和IP封禁能力，解决数据中心的协同防御和安全治理问题。以AI、威胁情报、计算三大核心能力驱动，通过旁路部署方式，无变更无侵入地对网络四层会话进行实时阻断。提供阻断API，方便其他安全检测类产品调用。提供全网流量实时监控功能，能够应用到等保合规、协同防御和日常安全运营等场景。

T-Sec网络入侵防护系统的使用场景 icon

核心痛点

在重保期间，针对期间的防护措施/能力上存在明显缺陷，不满足现网安全诉求。在重保期间，攻击流量、攻击源激增，但对应防护性能不足，很快达到上线，影响系统安全性。部署了很多安全设备，但之前还是被攻破，高级威胁难发现、检测和防护。由于缺乏关键威胁信息，没有来得及跟进预防措施/策略导致了演练扣分。

场景优势

部署场景：旁路部署模式，上线后对业务无侵入，单点故障不引起业务故障，降低客户部署复杂度。支持一体机、多探针、集群、多区域级联部署，满足多种客户网络环境。开局战术—攻防中检测及阻断—收官总结场景：提供双向流量逐包检测能力，基于内核协议栈专利研发的阻断技术，阻断率 99.9%。支持20W级海量IP黑名单规则配置，秒级生效。支持4层/7层的多种维度精准访问控制以及虚拟补丁策略配置，IPv4/6双栈协议场景支持。开放API，与第三方安全设备协调联动，形成响应阻断中心，利用上述场景优势，发挥特。威胁情报应用闭环场景：腾讯威胁情报库，可离线更新实时生效，及时威胁防护。紧跟威胁时势，共享多种运营级和战术情报，及时将威胁IP、漏洞拒之门。结合威胁情报信息，实现威胁预警，获得好成绩。

产品架构

网络架构

客户的网络设备需要满足以下要求：

引流

外网交换机引流给OPT时，不改变原始报文，不添加VLAN标签。流量为南北向流量。

流量源和目标IP都是外网IP。尽量选择靠近运营商侧的外网交换机。

阻断

外网交换机给腾讯天幕探针互联接口分配一个内网网段。

确保可以把阻断包发往外部和内部，正常情况下无需更改配置。

网管

设备可以网管、内网互通。

核心优势一：旁路部署 icon

旁路部署方式

提供双向流量逐包检测能力

提供IP封禁能力

以上两项产品能力，能够解决数据中心的协同防御和安全治理问题。

核心优势二：高阻断率 icon

核心优势三：海量流量实时监控及处理 icon

核心优势四：大数据实时处理分析 icon

核心优势五：联动开放 icon

核心威胁阻断能力API化

支持第三方检测设备协同联动

与国内所有主流厂商完成标准化对接

海量威胁情报带来的新需求 icon

随着威胁情报的数量以指数级别增长，如何将海量的情报数据实时落地应用，已成为传统安全网关产品的巨大挑战。面对庞大的实时流量和海量情报数据碰撞需求，企业希望从中洞察攻击者的全方位信息，然而传统网关设备由于安全能力受限，无法精准获取此类信息，这也对产品威胁情报处理能力提出了更高的要求。

流量安全运营的挑战

无法感知攻击攻击
传统网关设备往往不具备安全能力，无法精准识别流量当中的恶意访问，更无法进行精准的失陷监测。

规则数量受限
网关设备（例如：防火墙）依靠IDS检测规则和用户自主配置访问控制，容易受到可用规则数量受限的挑战。

情报更新不及时
攻击者策略频繁变化，传统的威胁情报检测设备情报更新不及时，很容易被复杂多变的攻击突破。

覆盖场景单一
市面上的威胁情报厂商大多数只具有单一属性情报，不能同时覆盖业务/攻击/特征/网络属性等。

威胁情报应用场景

基于天幕PaaS算力算法和威胁情报，发现海量流量中的恶意IP，实时告警或拦截响应，在日常和重保场景中监控IP访问，帮助客户更快响应和实时处理威胁，提高阻断效率，减少误报和快速缓解攻击。

识别并拦截恶意攻击

识别恶意IP地址、匿名代理、TOR网络、僵木蠕毒、网络钓鱼URL、云厂商资源池、垃圾评论散布者IP等，并快速阻断。

防止恶意的非法外连

通过匹配出站情报，发现失陷主机外连黑IP或非法外连泄露数据等，快速阻断恶意外连。

业务安全场景

识别并响应恶意攻击，例如：薅羊毛、钓鱼、秒波代理IP等常见的业务攻击手法。

重保防护

重保期间提供攻击队IP情报，知己知彼，针对性做出响应；及时跟进攻击队新型攻击手法，直接响应拦截。根据情报提供的0day/1day相关域名或IP信息，天幕可直接消费、识别并加以拦截响应。

识别并拦截境外IP

为业务提供基于地域的访问限制，提供大陆、港澳台、境外IP地址识别及拦截。

情报的核心：情报源多、情报质量高 icon

内置威胁情报库和威胁情报防护策略，同时在重保期间提供威胁情报信息服务，提供重保相关的攻击IP列表和攻防情报，帮助了解实时攻防信息及0Day漏洞预警。

威胁情报功能及优势

核心优势一：【数量】海量威胁数据累计，秒级响应： - 覆盖云、管、端等多方数据，每日多达2万亿级上报数据。 - 天幕高效的响应检测算法算力支持。核心优势二：【质量】专业的安全人才团队： - 安全专家进行威胁研判，并由腾讯七大安全实验室助力。 - 检出率大幅领先，准确率稳定在97%左右。价值点：提升客户的网络安全预警预防和威胁响应能力，消除因信息不对称导致存在潜在安全风险，并为溯源提供一定的信息源依据。

提供部分七层防护能力，针对HW期间的威胁及漏洞及时防护 icon

产品价值

能依托第三方情报工具（我司提供或客户自行采购）提供的威胁情报，让客户能及时修补防护漏洞，配置策略；通过先拦截阻断再推进修复的方式临时缓解漏洞影响，及时合理的安全运营帮助受护网站无忧层出不穷的Web漏洞隐患。

支持4层和7层多种检测字段

4层字段 ✓ TCP.data

7层字段 ✓ IP ✓ URL ✓ Referer ✓ User-Agent ✓ Params ✓ Cookie ✓ Content-Type ✓ X-Forwarded-For ✓ Content-Length ✓ Post-Body

应用场景

合规护网保障

适用场景

针对内外部红蓝对抗、网络安全评测等行动，如“等保测评”，“护网行动”，提供日志审计和全局攻击源封禁功能。提供 IP 封禁 API，给其他检测类产品调用。

解决方案

通过双向流量镜像和网络多层多协议解析，威胁实时检测与离线分析预测模型关联判定，挖掘流量中多种风险场景，结合坏人的行为恶意度和业务风险等级，准确、灵活、分级进行多维打击和管控。

安全能力连接协同

适用场景

现有的安全产品不能完成阻断，可联动腾讯天幕 API 完成对攻击的阻断。

解决方案

通过核心网络管控能力 API 化，方便客户盘活联动已有第三方检测能力，进而提升整体安全防御效果。

平台安全管控

适用场景

执行监管指令，拦截处理违规页面访问。阻止平台中违规违法等页面及未备案域名的访问。

解决方案

提供 IP、URL、域名黑名单设置、访问规则配置、一键管理网络连接性等功能，帮助企业实现有效的平台安全管控，同时快速响应监管指令，一键拦截访问，避免在重大活动中发生不可控事件。

租户违规监控

适用场景

租户利用云平台服务器偷偷挖矿，资源被浪费。租户对外发送垃圾邮件，导致外网 IP 被列入黑名单。租户被黑客入侵，被动对外发动攻击，导致云平台违规。租户在服务器上部署提供违规外连服务。

解决方案

对租户违规行为进行监控和审计，识别租户主动或被动对外进行攻击、扫描、DDoS、暴力破解等违规行为，并能对违规主机进行自动或手动 IP 封禁，切断网络通信或进行网络隔离，同时也提供事件日志 API，方便客户导入工单系统统一管理。

网络运维监控

适用场景

流量暴涨，出口拥塞，被 DDoS 还是爆款现象？带宽闲置或带宽损耗，如何才能合理有效利用？

解决方案

实时监控网络抖动、时延、丢包率，采用 QoS 策略与流量调整，确保特定数据的优先传输，解决流量拥塞难题。实时监控带宽利用率，根据历史数据比对，合理有效分配带宽资源，提前做好机房容量规划。

虚拟补丁防护补救新发漏洞 icon

提供对应的漏洞修复虚拟补丁，对当前漏洞利用的流量进行检测和阻断拦截，保障业务系统安全，给漏洞修复留下时间。

WordPress拒绝服务（CVE-2018-6389）漏洞防护最佳实践

该漏洞主要位于load-scripts.php文件处，load-scripts.php是WordPress CMS的内置脚本。load-scripts.php文件通过传递name到load参数来选择性地调用必需的Javascript文件，这些name参数间以”,”隔开。

使用精准访问控制对WordPress网站业务进行防护

如左图，配置以下规则限制对load-scripts.php文件传递的参数长度不大于50个字符。

案例一：支撑了腾讯全线业务的边界安全 icon

300+业务线全量接入
覆盖腾讯300+业务线，150+IDC机房。在不影响业务稳定的同时，集中防御腾讯全线业务。

国内处理流量最大的镜像集群
具备以下计算能力：每秒处理15Tbps双向流量单机22亿PPS报文日增量100TB日志

IP封禁，流量分析大中台
可视化的策略模型运维平台，为安全运营管理人员提供了高效运营的神器。

案例二：某国有银行HW行动 icon

客户情况

在国家级HW行动中，能够防御攻击队的渗透，获得防守高分；已采购其他厂商的安全检测类产品，没有防御功能；采用防火墙进行阻断，通过邮件通知网络部门，纯人工操作，策略数有限……阻断的生效时间长达30分钟。

防御过程

使用腾讯天幕的防御过程如下：提供IP封禁作为防御手段；提供API，联动全部安全检测产品，达到最大的协同防御效果。

实战效果

防守住137个应用系统、5847个主机资产，零故障、防守0失分，阻断攻击19.7亿次；六个生态厂商，共八款安全产品调用腾讯天幕的API进行防御。

案例三：某金融行业客户HW行动 icon

客户情况

已采购其他厂商的安全检测类产品，没有防御功能；客户预期：临时提升整体安全防御能力。人员预期：保障腾讯安全产品的正常运行，监测安全事件。

防御过程

使用腾讯天幕的防御过程如下：提供IP封禁作为防御手段；提供API，联动全部安全检测产品，达到最大的协同防御效果。

实战效果

阻断攻击超过7亿次；阻断IP数超过4.6万个；成功防守，未出局；已确认前三名次。

产品推荐查看更多>>

腾讯云智慧能源数字化转型平台

腾讯智慧能源 EnerLink & EnerTwin，实现数字融合能源、连接助力低碳，以“数字融合能源，连接助力低碳”为使命，发挥腾讯科技、连接和生态优势，帮助企业提质增效、节能降碳和数字化转型。实现生产过程“实时监控、智能诊断、自动处置、智能优化”的油田业务新模式。

实现数字融合能源、连接助力低碳

帮助企业提质增效节能降碳

实现生产过程“实时监控

构筑坚实的云计算基础

立即咨询查看详情

腾讯轻联

腾讯轻联基于腾讯云的底座，覆盖性能、安全、容灾、弹性扩缩容等技术底层，保持业界领先的技术水平。针对复杂的网络环境，提供灵活的部署方式一站式集成流DevOps平台，大幅提升运营的效率和质量。帮助客户沉淀自己的连接应用、集成流等资产沉淀，可形成对外赋能的能力和变现的基础。

覆盖性能、安全、容灾、弹性扩缩容等技术底层

提供灵活的部署方式一站式集成流DevOps平台

大幅提升运营的效率和质量

帮助客户沉淀自己的连接应用

立即咨询查看详情

NSWP 网络安全工作平台

六方云NSWP 网络安全工作平台安全合规管理，标准化、电子化通报预警，全天候感知满足合规性，提升工作效率。

安全可靠

功能完备

立即咨询查看详情

数字化社区查看更多>>