应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;能够识别和控制IM协议,如QQ、MSN等;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤;支持应用层过滤,提供Java/ActiveX Blocking和SQL注入攻击防范。
? 全面NAT应用支持:提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能;支持无限NAT转换。
? 支持IPSec VPN业务模式。
? 智能网络集成:支持路由、透明及混合运行模式;支持静态路由协议、路由策略及策略路由;支持RIP v1/2、OSPF、BGP动态路由协议;支持基于802.1q VLAN;支持DHCP Client/Server/Relay。
1.2.2 智能业务网关模块插卡
H3C IAG(Intelligent Application Gateway)是H3C公司面向运营商、企业、教育等用户开发的智能业务网关模块,具有完善的接入、认证、授权和计费功能。H3C IAG模块基于强大的多核、多线程处理器硬件平台,集BRAS业务网关和终端准入控制(EAD,End user Admission Domination)解决方案网关的功能于一体,提供大容量用户的终端安全接入、高密度端口、电信级可靠性、线速转发性能、完整的QoS机制、丰富的业务处理能力,是运营商宽带数据接入和业务运营方案的理想产品。
产品特点
? 灵活的用户接入认证方式
支持强大的PPPoE拨号、Portal认证、DHCP opt82认证、端口绑定等接入认证方式,提供高密度GE业务端口,可针对不同端口制定相应的某种或多种接入方式;同时支持免客户端认证方式以及免费IP访问功能;提供本地认证以及远程Radius认证方式。
? 丰富的计费策略
能够准确地采集用户的计费信息,包括用户上网时长和流量,并可向指定服务器抄送计费信息,提供计费保护机制;同时,支持不计费、一次性付费、后付
费、基于时长或流量的预付费等多种计费策略,提供在指定时间内无流量时强制切断的功能。
? 大容量的用户策略
具有大容量的用户控制策略,通过与灵活的QoS机制、基于用户的策略下发功能进行配合,可实现对带宽资源、IP地址资源、会话资源等网络资源进行保护,大大增强了业务的灵活性、丰富性与安全性。
? 完善的QoS机制
支持高性能、高灵活度的QoS解决方案,提供先进的队列调度、拥塞避免、流量监管、流量整形、优先级标记等功能,可对各类终端所承载的各类业务进行控制,包括带宽CAR限制、访问权限控制、不同终端之间的互访权限控制等,可精确保证不同业务的带宽、时延、抖动和丢包率,满足不同用户、不同业务等级的“区分服务”。
? 丰富的路由能力
支持丰富的路由协议,包括静态路由、RIP、OSPF等各种路由协议,可提供大容量的路由表项。
? 易部署、易实施
通过使用IAG智能业务网关模块,可利于运营商网络的快速部署、简单实现,在企业异构网络环境中实现对网络改造、网络建设与升级的部署和实施,在高性能地实现大容量用户接入、保证网络安全性的同时,大大节省了网络改造带来的资产浪费和工作量。
? 运营商级高可靠
IAG智能业务网关模块按照电信级标准进行设计,作为业务插卡嵌入H3C WX6103/WX7300设备中,降低了单点故障,保证了网络的高可靠性;并通过IGP快速收敛、VRRP、FRB快速路由备份等各种软件设计,可保障IAG智能业务网关在链路层和网络层的高可靠性,确保业务的不中断运行。
考虑到大学用户的技术性较强,在实际的应用的过程当中应当充分考虑到Proxy的使用,对于Proxy的防止,H3C公司针对教育系列交换机配合H3C公司的802.1X的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡),教育系列系列交换机将会下发指令将该用户直接踢下线。
1.2.3 应用控制网关模块插卡
应用控制网关模块是全球唯一应用控制与行为监管模块。是业界第一款千兆高性能应用控制模块,可应用于H3C S7500E/S9500E/S12500系列交换机和SR6600系列路由器,创新性的将应用监控、审计与网络进行无缝融合。SecBlade ACG能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、用户上网行为进行深入分析与全面的事后审计,并具有强大的URL过滤功能,进而全面了解网络应用模型和流量趋势,大大提升网络的业务控制能力,帮助用户优化其网络资源,为用户打造一个和谐、有序的网络环境。
SecBlade ACG模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
此方案中ACG插卡功能特点如下:
对P2P/IM/网游/媒体流等协议和应用的能够识别分类并进行灵活控制;使nternet出口使用可视化;规范内部学生上网行为,提高带宽的使用效率。
在校园网的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己的MAC地址进行修改,然后在进行一些非法操作,网络设计当中我们针对该问题,在接入层交换机上提供防止MAC地址盗用的功能,用户在更改MAC地址后,教育系列交换机对于与绑定MAC地址不相符的用户直接将下线,其下线功能是由教育系列交换机来实现的。
1.2.4 无线控制器(AC)插卡
无线控制器业务插卡是安徽易科技术有限公司(以下简称H3C公司)自主研发的系列无线控制器(AC,Access Controller)。具有大容量、高可靠性、业务类型丰富等特点,具有丰富的有线数据和无线数据的处理功能,集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体,提供强大的WLAN接入控制功能。配合H3C公司自主研发的Fit AP,可以方便的部署于任何现有的二层网络或三层网络之中,控制器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现在有网络进行重新配置。
H3C公司使用创新的基于认证的组网来提供网络服务,这种方法基于用户身份而非端口或设备,以便跨越整个网络实现移动性和安全性。当用户漫游网络时,通过WLAN网络范围内无线控制器的信息交换,以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。
此方案中AC插卡能够对802.11n设备提供统一管理,对接入用户提供Portal认证和WAPI认证。提供多AP间的智能负载分担与信道智能切换功能。平滑支持IPv6,满足校园网组网需求。
1.2.5 入侵防御与检测
SecPath IPS(Intrusion Prevention System)集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能,是业界综合防护技术最领先的入侵防御/检测系统。通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为,并对分布在网络中的各种P2P、IM等非关键业务进行有效管理,实现对网络应用、网络基础设施和网络性能的全面保护;领先的多核架构及分布式搜索引擎,确保SecPath IPS在各种大流量、复杂应用的环境下,仍能具备线速深度检测和防护能力,仅有微秒级时延,保证用户业务的不间断正常运行;支持透明模式,即插即用,支持在线或IDS旁路方式部署,融合了丰富的网络特性,可在MPLS、802.1Q、QinQ、GRE等各种复杂的网络环境中灵活组网;H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告,经过分析、验证所有这些威胁,生成保护操作系统、应用系统以及数据库漏洞的特征库;同时,通过部署于全球的蜜罐系统,实时掌握最新的攻击技术和趋势,以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并自动或手动地分发到IPS设备中,使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力;SecPath IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品,配合H3C FIRST(Full Inspection with Rigorous State Test)专有引擎技术,能精确识别并实时防范各种网络攻击和滥用行为。
? 强大的入侵抵御能力:SecBlade IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS模块。配合H3C FIRST(Full Inspection with
Rigorous State Test)专有引擎技术,能精确识别并实时防范各种网络攻击和滥用行为。
? 专业的病毒查杀:SecBlade IPS集成卡巴斯基防病毒引擎和病毒库。采用第二代启发式代码分析、iChecker实时监控和独特的脚本病毒拦截等多种最尖端的反病毒技术,能实时查杀各种文件型、网络型和混合型病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒。
? 时差的应用保护:H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全漏洞公告,通过准确的分析,快速生成保护操作系统、应用系统以及数据库漏洞的特征库;同时,通过部署于全球的蜜罐系统,实时掌握最新的攻击技术和趋势,以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并自动或手动地分发到SecBlade IPS模块中,使用户的SecBlade IPS模块快速具备防御零时差攻击的能力。
? 网络基础设施保护:SecBlade IPS具有强大的攻击防护和流量模型自学习能力,当攻击发生、或者短时间内大规模爆发的病毒导致网络流量激增时,能自动发现并阻断攻击和异常流量,以保护路由器、交换机、VoIP系统、DNS服务器等网络基础设施免遭各种恶意攻击,保证关键业务的通畅。
? 灵活的组网模式:透明模式,即插即用,支持在线或IDS旁路方式部署;融合了丰富的网络特性,可在MPLS、802.1Q、QinQ、GRE等各种复杂的网络环境中灵活组网。
? 高性能高可靠性:领先的多核架构及分布式搜索引擎,确保SecBlade IPS在各种大流量、复杂应用的环境下,仍能具备线速深度检测和防护能力,仅有微秒级时延。IPS模块通过嵌入到交换机中,可以有效降低单点故障,即使在SecBlade IPS出现故障时也能保证数据业务的正常转发。除了在线部署,SecBlade IPS模块还可以采用旁路部署的模式,实现IDS入侵检测的功能。
? 降低运营成本:直接在H3C S5800/核心交换机/ S9500E系列交换机中增加SecBlade IPS模块,即可实现交换机应用层安全防护功能的扩展。通过与交换机共用管理平台,降低了管理难度。并且交换机的任何端口都可以作为IPS端口使用,从而降低用户首次和后续扩容的投入成本。