H3C隶属于3Com公司,自2002年发布第一个入侵防御系统以来已迅速成为提供基于网络的入侵防御系统的领先厂商。H3C的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测,H3C的入侵防御系统能够在发生损失之前阻断恶意流量。利用H3C提供的数字疫苗®服务,入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。此外,H3C的入侵防御系统是目前能够提供微秒级时延、高达5G的吞吐能力和带宽管理能力的最强大的入侵防御系统。
通过全面的数据包侦测,H3C的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力,H3C的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础设施免遭恶意攻击和防止流量出现异常。H3C的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源,从而确保网路资源的合理配置并保证关键业务的性能。
H3C产品型号包括从50Mbps处理性能的H3C 50到5Gbps处理性能的H3C 5000E,可以满足从SOHO办公、中小企业、到大企业和电信运营商的各种组网需求。
作为业界领先的IPS产品,H3C具有高性能、高可靠性和易部署的特点。它是唯一获得“NSS Gold Award”、“Common Criteria Certification”的产品,同时还获得了其他众多奖项,H3C已经成为基于网络的入侵防御系统的标志。H3C目前已经拥有许多著名的客户和案例,这些客户遍布各个行业,他们之所以选择H3C,是因为H3C能够以最优的性价比给他们提供全方位的网络安全保护。
产品特点
l 安全与高性能的完美结合
H3C是IPS领域的领导者。其IPS产品(及其配套的管理和保障产品),凭借强大的攻击检测与实时防御能力、出色的性能、电信级的高可靠性和易部署、易管理等特性,成为唯一的NSS(全球最权威的安全产品评测机构)评测金奖获得者,并率先获得CC(Common Criteria)认证。H3C IPS系列产品完美地将统一的安全功能与出色的高性能融合在一起,已经被公认为IPS领域的标杆与旗舰。
l 主动式的入侵防御
H3C IPS可以被“in-line”地部署到网络当中去,对所有流经的流量进行深度分析与检测,从而具备了实时阻断攻击的能力,同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台,H3C IPS不断优化检测性能,使其能够达到与交换机同
等级别的高吞吐量和低延时,同时可以对所有主要网络应用进行分析,精确鉴别和阻断攻击。事实上,H3C IPS所具备的超高性能与精确阻断能力,已经彻底重新定义了网络安全的内涵,并且从根本上改变了保护网络的方式,帮助客户实现持续降低IT成本、持续提高IT生产率的目标!
l 无与伦比的高性能
H3C IPS具备绝对领先的能与交换机媲美的性能指标:最高可达5G吞吐量的线速检测、转发;低时延(最大时延<215微秒);精确检测攻击并实时阻断;支持200万个并发连接;支持每秒25万个新建立连接。
l 威胁抑制引擎(TSE,Threat Suppression Engine)
H3C基于ASIC、FPGA和NP技术开发的威胁抑制引擎(TSE,Threat Suppression Engine)是高性能和精确检测的基础。TSE的核心架构由以下部件有机融合而成:定制的ASIC、FPGA(现场可编程门阵列)、20G高带宽背板以及高性能网络处理器。该核心架构提供的大规模并行处理机制(10,000条以上并行过滤器),使得H3C IPS对一个报文从2层到7层所有信息的检测可以在215微秒内完成,并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的TSE可以对一个报文同时进行几千种检测,从而将整体的处理性能提高到最佳水平。在具备高速检测功能的同时,TSE还提供增值的流量分类、流量管理和流量整形功能。TSE可以自动统计和计算正常状况下网络内各种应用流量的分布,并且基于该统计形成流量框架模型;当DoS/DDoS攻击发生,或者短时间内大规模爆发的病毒导致网络内流量发生异常时,TSE将根据已经建立的流量框架模型限制或者丢弃异常流量,保证关键业务的可达性和通畅性。此外,为防止大量的P2P、IM流量侵占带宽,TSE还支持对100多种点到点应用的限速功能,保证关键应用所需的带宽。
l 安全保障无处不在
H3C IPS在跟踪流状态的基础上,对报文进行2层到7层信息的深度检测,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断,而且,H3C IPS也能够有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。H3C IPS还支持基于访问控制列表(ACL)的检测、基于统计的检测、基于协议跟踪的检测、基于应用异常的检测、报文规范检测(Normalization)、IP报文重组和TCP流恢复。以上机制协同工作,H3C IPS可以对流量进行细微粒度的识别与控制,有效检测流量激增、缓冲区溢出、漏洞探测、IPS规避等一些已知的、甚至未知的攻击。
l 业界领先的安全威胁分析团队
H3C的安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯SANS @Risk的主要撰稿人,SANS @Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的公告,内容包含最新发现的漏洞、漏洞所带来的影响、表现形式,而且指导用户如何采取防范措施。SANS @Risk公告可以在http://www.sans.org/newsletters/risk免费订阅
l 数字疫苗(DV,Digital Vaccine)保障实时安全
H3C实时更新、发布的数字疫苗(DV,Digital Vaccine)是网络免疫的保障与基础。在撰写SANS @Risk公告的同时,H3C的专业团队同时跟踪其它知名安全组织和厂商发布的安全公告;经过跟踪、分析、验证所有这些威胁,生成供H3C IPS使用的可以保护这些漏洞的特征知识库 - 数字疫苗,它针对漏洞的本质进行保护,而不是根据特定的攻击特征进行防御。数字疫苗以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够通过内容发布网络自动地分发到用户驻地的IPS设备中,从而使得用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。
H3C还与全球著名的系统软件厂商,如Microsoft、Oracle等,保持了良好的合作关系。在某个漏洞被发现后,H3C能够在第一时间(即厂商公布安全公告之前)获得该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字疫苗,使得用户的网络免遭这种“零时差攻击”(Zero-day Attack)。
l 综合管理中心 - 轻松管理,一览无遗
针对不同的用户部署,H3C IPS提供三种管理方式:
SMS - Security Management System,面向规模部署的企业级综合管理中心
LSM - Local Security Manager,面向独立部署的嵌入式管理软件
CLI - Command Line Interface,面向专业用户的命令行管理工具
H3C SMS是为管理IPS集群而专门开发的管理系统软件,它预装在1U的高性能服务器中交付用户使用。一台SMS最多可以管理1000台IPS,其主要任务是发现、监控、配置和诊断在网络中部署的IPS设备,同时为管理员生成详细的报表,以支撑网络安全状况的评估和诊断。SMS管理系统基于安全Java技术开发,整个SMS管理体系由以下三部分构成:支持安全Java的客户端;SMS服务器;被管理的IPS集群。SMS管理体系可以提供:IPS设备运行状况报表;数字疫苗的自动升级与图形化管理;安全趋势报表;实时流量的关联分析与图形报表;网络主机与服务统计报表。借助以上这些全景式的分析功能,网络的安全状况管理不再是令管理员头痛的问题:在全景式分析报表中,管理员可以轻松的看到网络当前的性能状况、报警事件与所有被管理IPS的运行状况。
H3C LSM是集成在IPS设备中的基于安全Web的管理软件,可以提供对IPS进行管理的基本功能,包含配置、监测、报表等;
H3C CLI是面向专业管理员提供的命令行配置工具。
基于出色性能和安全能力、简单易用的SMS、LSM和CLI具备的强大的管理能力,H3C IPS成为真正的、也是唯一的一站式整体安全解决方案。
l 无缝部署 – 简易、高性能、无冲击
H3C IPS的设计遵循了一个很重要的原则:无缝部署。基于这个原则,无论对已经建成的网络,还是正在建设中的网络,都可以很容易地将H3C IPS嵌入进任何部分,并且不会对网络的拓扑、性能、运行带来任何改动。从逻辑上来看,H3C IPS就好像一根智能的线,这根智能的线却从根本上解决了困扰网络的安全问题。
这样的无缝部署主要体现在以下方面:嵌入式部署(in-line)模型保证最简化的部署步骤,而不需要进行交换机镜像等复杂的配置,更不需要更改网络拓扑;检测接口不需要IP地址,也不需要MAC地址,一旦接入网络,立刻开始保护网络;同时保证自身对攻击源是隐身的,增强整网的安全性;高性能、低时延使得H3C IPS无论被部署在网络内部还是边缘,都可以提供线速的精确检测和实时阻断能力,对网络业务的效率没有任何的损伤。同时,卓越的带宽管理能力将加速异常情况下的业务应用。
经过精心分析、调试、验证的数字疫苗可以在不经任何调整的情况下正常工作,无需任何调整即可抵御所有已知的网络威胁;经过按照实际网络状况微调的数字疫苗可以使H3C IPS发挥更高的性能。
l 多重高可靠性(MLHA,Multi-Layer High Availability)打造99.999%安全网络
多重高可靠(MLHA,Multi-Layer High Availability)是H3C为保证网络与业务的永续性而开发的专利技术,该技术面向业务传送的所有层面进行高可靠保护,使得在任何情况下业务都不会因为IPS的故障而中断。
物理级保护和掉电事故保护:按照电信标准设计的H3C IPS采用冗余电源供电,并且支持在线更换;掉电保护设备ZPHA(Zero Power High Availability)是H3C IPS的辅助设备。该设备可以在IPS电源被不慎碰掉的情况下,将网络流量自动绕开IPS、旁路到下一站设备上去;当SMS监测到IPS电源丢失并发出告警、管理员恢复电源供给后,ZPHA又会自动禁止旁路功能,所有流量将再度流经IPS接受检测。冗余电源和ZPHA可以保证被IPS保护的网络不会因为引入IPS而出现物理级的单点故障。
系统软件故障保护:内置的监测模块以很高的频率定时地监测IPS设备的健康状况。一旦探测到软件系统故障,该模块会将IPS设置成一个简单的二层交换设备,网络流量将在两个接口之间直接贯通;软件故障恢复后,所有流量贯通被自动取消,恢复的IPS重新开始保护整个网络。
冗余网络部署中的基于状态的业务保护:H3C IPS设备支持冗余部署。互为备份的多台IPS即可以工作在主备(Active/Passive)模式,也可以工作在负载分单(Active/Active)模式,与已经在网络中大规模部署的VRRP、OSPF多出口等冗余保护技术无缝的结合在一起。同时,在冗余部署的IPS之间,通过专门的高速物理通道同步地传递配置信息、检测数据和连接状态,可以完全保证冗余部署与业务分布的无关性。
不间断的管理保护:甚至对于管理,这一最容易被高可靠保障所忽视的环节,H3C都作了精巧的高可靠性保护设计。
H3C SMS提供增强模式:基于基本配置的SMS服务器,H3C还提供经过增强配置的SMS服务器。增强型SMS服务器具备双电源、双硬盘、双CPU,不但提升了管理系统的性能,而且最大限度上保护其物理可靠性。
H3C SMS支持冗余部署:基础型和增强型的SMS都支持冗余部署。冗余部署模式中的两台SMS一台处于工作状态,另一台处于备份状态;所有管理信息通过高速物理通道同步;当工作状态的SMS故障时,备份状态的SMS将自动接管整网的管理工作,保证管理的管理延续性。
产品规格
|
项目/规格
|
项目/规格/说明
|
H3C-50
|
H3C-200
|
H3C-400
|
H3C-1200
|
H3C-2400E
|
H3C-5000E
|
|
性能
|
|
吞吐量
|
整机最大吞吐量
|
50Mbps
|
200Mbps
|
400Mbps
|
1.2Gbps
|
2.0Gbps
|
5.0Gbps
|
|
时延
|
单个报文最大时延
|
<1毫秒
|
<150微秒
|
<150微秒
|
<150微秒
|
<150微秒
|
<150微秒
|
|
连接数
|
整机最大并发连接数
|
500,000
|
2,000,000
|
2,000,000
|
2,000,000
|
2,000,000
|
2,000,000
|
|
每秒连接数
|
整机每秒最大连接数
|
5,000+
|
250,000
|
250,000
|
250,000
|
1,000,000
|
1,000,000
|
|
接口/扩展性
|
|
电口
|
10/100/1000自适应电以太网接口
|
2
|
4
|
0或4或8
|
0或4或8
|
0或4或8
|
0或4或8
|
|
光口
|
1000M光口(单模/多模)
|
0
|
0
|
8或4或0
|
8或4或0
|
8或4或0
|
8或4或0
|
|
可保护网段
|
两个接口保护一个网段
|
1
|
2
|
4
|
4
|
4
|
4
|
|
管理接口
|
100/100自适应以太网接口
|
1
|
1
|
1
|
1
|
1
|
1
|
|
|
串口
|
1
|
1
|
1
|
1
|
1
|
1
|
|
|
USB 2.0
|
1
|
1
|
1
|
1
|
1
|
1
|
|
电源
|
|
类型
|
|
交流
|
交流
|
交流
|
交流
|
交流
|
交流
|
|
电流
|
安培
|
6/3
|
6/3
|
6/3
|
6/3
|
6/3
|
6/3
|
|
电压
|
伏特
|
100-240
|
100-240
|
100-240
|
100-240
|
100-240
|
100-240
|
|
频率范围
|
赫兹
|
50-60
|
50-60
|
50-60
|
50-60
|
50-60
|
50-60
|
|
外观尺寸
|
|
高
|
厘米(U)
|
4.4(1U)
|
8.9(2U)
|
8.9(2U)
|
8.9( |
