等级别的高吞吐量和低延时,同时可以对所有主要网络应用进行分析,精确鉴别和阻断攻击。事实上,H3C IPS所具备的超高性能与精确阻断能力,已经彻底重新定义了网络安全的内涵,并且从根本上改变了保护网络的方式,帮助客户实现持续降低IT成本、持续
提高IT生产率的目标! ? 无与伦比的高性能
H3C IPS具备绝对领先的能与交换机媲美的性能指标:最高可达5G吞吐量的线速检测、转发;低时延(最大时延<215微秒);精确检测攻击并实时阻断;支持200万个并发连接;
支持每秒25万个新建立连接。
? 威胁抑制引擎(TSE,Threat Suppression Engine)
H3C基于ASIC、FPGA和NP技术开发的威胁抑制引擎(TSE,Threat Suppression Engine)是高性能和精确检测的基础。TSE的核心架构由以下部件有机融合而成:定制的ASIC、FPGA(现场可编程门阵列)、20G高带宽背板以及高性能网络处理器。该核心架构提供的大规模并行处理机制(10,000条以上并行过滤器),使得H3C IPS对一个报文从2层到7层所有信息的检测可以在215微秒内完成,并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的TSE可以对一个报文同时进行几千种检测,从而将整体的处理性能提高到最佳水平。在具备高速检测功能的同时,TSE还提供增值的流量分类、流量管理和流量整形功能。TSE可以自动统计和计算正常状况下网络内各种应用流量的分布,并且基于该统计形成流量框架模型;当DoS/DDoS攻击发生,或者短时间内大规模爆发的病毒导致网络内流量发生异常时,TSE将根据已经建立的流量框架模型限制或者丢弃异常流量,保证关键业务的可达性和通畅性。此外,为防止大量的P2P、IM流量侵占带宽,
TSE还支持对100多种点到点应用的限速功能,保证关键应用所需的带宽。
? 安全保障无处不在
H3C IPS在跟踪流状态的基础上,对报文进行2层到7层信息的深度检测,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断,而且,H3C IPS也能够有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。H3C IPS还支持基于访问控制列表(ACL)的检测、基于统计的检测、基于协议跟踪的检测、基于应用异常的检测、报文规范检测(Normalization)、IP报文重
组和TCP流恢复。以上机制协同工作,H3C IPS可以对流量进行细微粒度的识别与控制,有效检测流量激增、缓冲区溢出、漏洞探测、IPS规避等一些已知的、甚至未知的攻击。
? 业界领先的安全威胁分析团队
H3C的安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯SANS @Risk的主要撰稿人,SANS @Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的公告,内容包含最新发现的漏洞、漏洞所带来的影响、表现形式,而且指导用户如何采取防范措施。SANS @Risk公告可以在http://www.sans.org/newsletters/risk免费订阅
? 数字疫苗(DV,Digital Vaccine)保障实时安全
H3C实时更新、发布的数字疫苗(DV,Digital Vaccine)是网络免疫的保障与基础。在撰写SANS @Risk公告的同时,H3C的专业团队同时跟踪其它知名安全组织和厂商发布的安全公告;经过跟踪、分析、验证所有这些威胁,生成供H3C IPS使用的可以保护这些漏洞的特征知识库 - 数字疫苗,它针对漏洞的本质进行保护,而不是根据特定的攻击特征进行防御。数字疫苗以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够通过内容发布网络自动地分发到用户驻地的IPS设备中,从而使得用户的IPS设备在漏洞
被公布的同时立刻具备防御零时差攻击的能力。
H3C还与全球著名的系统软件厂商,如Microsoft、Oracle等,保持了良好的合作关系。在某个漏洞被发现后,H3C能够在第一时间(即厂商公布安全公告之前)获得该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字疫苗,使得用户的网络免遭
这种“零时差攻击”(Zero-day Attack)。 ? 综合管理中心 - 轻松管理,一览无遗 针对不同的用户部署,H3C IPS提供三种管理方式:
SMS - Security Management System,面向规模部署的企业级综合管理中心
LSM - Local Security Manager,面向独立部署的嵌入式管理软件 CLI - Command Line Interface,面向专业用户的命令行管理工具
H3C SMS是为管理IPS集群而专门开发的管理系统软件,它预装在1U的高性能服务器中交付用户使用。一台SMS最多可以管理1000台IPS,其主要任务是发现、监控、配置和诊断
在网络中部署的IPS设备,同时为管理员生成详细的报表,以支撑网络安全状况的评估和诊断。SMS管理系统基于安全Java技术开发,整个SMS管理体系由以下三部分构成:支持安全Java的客户端;SMS服务器;被管理的IPS集群。SMS管理体系可以提供:IPS设备运行状况报表;数字疫苗的自动升级与图形化管理;安全趋势报表;实时流量的关联分析与图形报表;网络主机与服务统计报表。借助以上这些全景式的分析功能,网络的安全状况管理不再是令管理员头痛的问题:在全景式分析报表中,管理员可以轻松的看到网络当前的
性能状况、报警事件与所有被管理IPS的运行状况。
H3C LSM是集成在IPS设备中的基于安全Web的管理软件,可以提供对IPS进行管理的
基本功能,包含配置、监测、报表等; H3C CLI是面向专业管理员提供的命令行配置工具。
基于出色性能和安全能力、简单易用的SMS、LSM和CLI具备的强大的管理能力,H3C
IPS成为真正的、也是唯一的一站式整体安全解决方案。
? 无缝部署 – 简易、高性能、无冲击
H3C IPS的设计遵循了一个很重要的原则:无缝部署。基于这个原则,无论对已经建成的网络,还是正在建设中的网络,都可以很容易地将H3C IPS嵌入进任何部分,并且不会对网络的拓扑、性能、运行带来任何改动。从逻辑上来看,H3C IPS就好像一根智能的
线,这根智能的线却从根本上解决了困扰网络的安全问题。
这样的无缝部署主要体现在以下方面:嵌入式部署(in-line)模型保证最简化的部署步骤,而不需要进行交换机镜像等复杂的配置,更不需要更改网络拓扑;检测接口不需要IP地址,也不需要MAC地址,一旦接入网络,立刻开始保护网络;同时保证自身对攻击源是隐身的,增强整网的安全性;高性能、低时延使得H3C IPS无论被部署在网络内部还是边缘,都可以提供线速的精确检测和实时阻断能力,对网络业务的效率没有任何的损伤。同
时,卓越的带宽管理能力将加速异常情况下的业务应用。
经过精心分析、调试、验证的数字疫苗可以在不经任何调整的情况下正常工作,无需任何调整即可抵御所有已知的网络威胁;经过按照实际网络状况微调的数字疫苗可以使
H3C IPS发挥更高的性能。
? 多重高可靠性(MLHA,Multi-Layer High Availability)打造99.999%安全网络
多重高可靠(MLHA,Multi-Layer High Availability)是H3C为保证网络与业务的永续性而开发的专利技术,该技术面向业务传送的所有层面进行高可靠保护,使得在任何情况
下业务都不会因为IPS的故障而中断。
物理级保护和掉电事故保护:按照电信标准设计的H3C IPS采用冗余电源供电,并且支持在线更换;掉电保护设备ZPHA(Zero Power High Availability)是H3C IPS的辅助设备。该设备可以在IPS电源被不慎碰掉的情况下,将网络流量自动绕开IPS、旁路到下一站设备上去;当SMS监测到IPS电源丢失并发出告警、管理员恢复电源供给后,ZPHA又会自动禁止旁路功能,所有流量将再度流经IPS接受检测。冗余电源和ZPHA可以保证被IPS保护的网络不会因为引入IPS而出现物理级的单点故障。
项目/规格 项目/规格/说明 H3C-50 H3C-200 H3C-400 H3C-1200 H3C-2400E H3C-5000E 性能 吞吐量 时延 连接数 每秒连接数 接口/扩展性 电10/100/1000自2 4 0或4或8 0或4或8 0或4或8 0或4或8 整机每秒最大连接数 5,000+ 250,000 250,000 250,000 1,000,000 1,000,000 单个报文最大时延 整机最大并发连接数 500,000 2,000,000 2,000,000 2,000,000 2,000,000 2,000,000 <1毫秒 <150微秒 <150微秒 <150微秒 <150微秒 <150微秒 整机最大吞吐 量 50Mbps 200Mbps 400Mbps 1.2Gbps 2.0Gbps 5.0Gbps 口 适应电以太网接口 光口 可保护网段 管理100/100自适应以太网接口 1 1 1 1 1 1 1000M光口(单模/多模) 两个接口保护一个网段 1 2 4 4 4 4 0 0 8或4或0 8或4或0 8或4或0 8或4或0