华为中高端防火墙和IPS IDSWord格式文档下载.docx
- 文档编号:21523623
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:36
- 大小:37.11KB
华为中高端防火墙和IPS IDSWord格式文档下载.docx
《华为中高端防火墙和IPS IDSWord格式文档下载.docx》由会员分享,可在线阅读,更多相关《华为中高端防火墙和IPS IDSWord格式文档下载.docx(36页珍藏版)》请在冰豆网上搜索。
支持每秒25万个新建立连接。
威胁抑制引擎(TSE,ThreatSuppressionEngine)
TippingPoint基于ASIC、FPGA和NP技术开发的威胁抑制引擎(TSE,ThreatSuppressionEngine)是高性能和精确检测的基础。
TSE的核心架构由以下部件有机融合而成:
定制的ASIC、FPGA(现场可编程门阵列)、20G高带宽背板以及高性能网络处理器。
该核心架构提供的大规模并行处理机制(10,000条以上并行过滤器),使得TippingPointIPS对一个报文从2层到7层所有信息的检测可以在215微秒内完成,并且保证处理时间与检测特征数量无线性关系。
采用流水线与大规模并行处理融合技术的TSE可以对一个报文同时进行几千种检测,从而将整体的处理性能提高到最佳水平。
在具备高速检测功能的同时,TSE还提供增值的流量分类、流量管理和流量整形功能。
TSE可以自动统计和计算正常状况下网络内各种应用流量的分布,并且基于该统计形成流量框架模型;
当DoS/DDoS攻击发生,或者短时间内大规模爆发的病毒导致网络内流量发生异常时,TSE将根据已经建立的流量框架模型限制或者丢弃异常流量,保证关键业务的可达性和通畅性。
此外,为防止大量的P2P、IM流量侵占带宽,TSE还支持对100多种点到点应用的限速功能,保证关键应用所需的带宽。
安全保障无处不在
TippingPointIPS在跟踪流状态的基础上,对报文进行2层到7层信息的深度检测,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断,而且,TippingPointIPS也能够有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。
TippingPointIPS还支持基于访问控制列表(ACL)的检测、基于统计的检测、基于协议跟踪的检测、基于应用异常的检测、报文规范检测(Normalization)、IP报文重组和TCP流恢复。
以上机制协同工作,TippingPointIPS可以对流量进行细微粒度的识别与控制,有效检测流量激增、缓冲区溢出、漏洞探测、IPS规避等一些已知的、甚至未知的攻击。
业界领先的安全威胁分析团队
TippingPoint的安全威胁分析团队也处于业界领先的地位。
该团队是安全威胁快讯SANS@Risk的主要撰稿人,SANS@Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的公告,内容包含最新发现的漏洞、漏洞所带来的影响、表现形式,而且指导用户如何采取防范措施。
SANS@Risk公告可以在http:
//www.sans.org/newsletters/risk免费订阅
数字疫苗(DV,DigitalVaccine)保障实时安全
TippingPoint实时更新、发布的数字疫苗(DV,DigitalVaccine)是网络免疫的保障与基础。
在撰写SANS@Risk公告的同时,TippingPoint的专业团队同时跟踪其它知名安全组织和厂商发布的安全公告;
经过跟踪、分析、验证所有这些威胁,生成供TippingPointIPS使用的可以保护这些漏洞的特征知识库-数字疫苗,它针对漏洞的本质进行保护,而不是根据特定的攻击特征进行防御。
数字疫苗以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够通过内容发布网络自动地分发到用户驻地的IPS设备中,从而使得用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。
TippingPoint还与全球著名的系统软件厂商,如Microsoft、Oracle等,保持了良好的合作关系。
在某个漏洞被发现后,TippingPoint能够在第一时间(即厂商公布安全公告之前)获得该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字疫苗,使得用户的网络免遭这种“零时差攻击”(Zero-dayAttack)。
综合管理中心-轻松管理,一览无遗
针对不同的用户部署,TippingPointIPS提供三种管理方式:
SMS-SecurityManagementSystem,面向规模部署的企业级综合管理中心
LSM-LocalSecurityManager,面向独立部署的嵌入式管理软件
CLI-CommandLineInterface,面向专业用户的命令行管理工具
TippingPointSMS是为管理IPS集群而专门开发的管理系统软件,它预装在1U的高性能服务器中交付用户使用。
一台SMS最多可以管理1000台IPS,其主要任务是发现、监控、配置和诊断在网络中部署的IPS设备,同时为管理员生成详细的报表,以支撑网络安全状况的评估和诊断。
SMS管理系统基于安全Java技术开发,整个SMS管理体系由以下三部分构成:
支持安全Java的客户端;
SMS服务器;
被管理的IPS集群。
SMS管理体系可以提供:
IPS设备运行状况报表;
数字疫苗的自动升级与图形化管理;
安全趋势报表;
实时流量的关联分析与图形报表;
网络主机与服务统计报表。
借助以上这些全景式的分析功能,网络的安全状况管理不再是令管理员头痛的问题:
在全景式分析报表中,管理员可以轻松的看到网络当前的性能状况、报警事件与所有被管理IPS的运行状况。
TippingPointLSM是集成在IPS设备中的基于安全Web的管理软件,可以提供对IPS进行管理的基本功能,包含配置、监测、报表等;
TippingPointCLI是面向专业管理员提供的命令行配置工具。
基于出色性能和安全能力、简单易用的SMS、LSM和CLI具备的强大的管理能力,TippingPointIPS成为真正的、也是唯一的一站式整体安全解决方案。
无缝部署–简易、高性能、无冲击
TippingPointIPS的设计遵循了一个很重要的原则:
无缝部署。
基于这个原则,无论对已经建成的网络,还是正在建设中的网络,都可以很容易地将TippingPointIPS嵌入进任何部分,并且不会对网络的拓扑、性能、运行带来任何改动。
从逻辑上来看,TippingPointIPS就好像一根智能的线,这根智能的线却从根本上解决了困扰网络的安全问题。
这样的无缝部署主要体现在以下方面:
嵌入式部署(in-line)模型保证最简化的部署步骤,而不需要进行交换机镜像等复杂的配置,更不需要更改网络拓扑;
检测接口不需要IP地址,也不需要MAC地址,一旦接入网络,立刻开始保护网络;
同时保证自身对攻击源是隐身的,增强整网的安全性;
高性能、低时延使得TippingPointIPS无论被部署在网络内部还是边缘,都可以提供线速的精确检测和实时阻断能力,对网络业务的效率没有任何的损伤。
同时,卓越的带宽管理能力将加速异常情况下的业务应用。
经过精心分析、调试、验证的数字疫苗可以在不经任何调整的情况下正常工作,无需任何调整即可抵御所有已知的网络威胁;
经过按照实际网络状况微调的数字疫苗可以使TippingPointIPS发挥更高的性能。
多重高可靠性(MLHA,Multi-LayerHighAvailability)打造99.999%安全网络
多重高可靠(MLHA,Multi-LayerHighAvailability)是TippingPoint为保证网络与业务的永续性而开发的专利技术,该技术面向业务传送的所有层面进行高可靠保护,使得在任何情况下业务都不会因为IPS的故障而中断。
物理级保护和掉电事故保护:
按照电信标准设计的TippingPointIPS采用冗余电源供电,并且支持在线更换;
掉电保护设备ZPHA(ZeroPowerHighAvailability)是TippingPointIPS的辅助设备。
该设备可以在IPS电源被不慎碰掉的情况下,将网络流量自动绕开IPS、旁路到下一站设备上去;
当SMS监测到IPS电源丢失并发出告警、管理员恢复电源供给后,ZPHA又会自动禁止旁路功能,所有流量将再度流经IPS接受检测。
冗余电源和ZPHA可以保证被IPS保护的网络不会因为引入IPS而出现物理级的单点故障。
系统软件故障保护:
内置的监测模块以很高的频率定时地监测IPS设备的健康状况。
一旦探测到软件系统故障,该模块会将IPS设置成一个简单的二层交换设备,网络流量将在两个接口之间直接贯通;
软件故障恢复后,所有流量贯通被自动取消,恢复的IPS重新开始保护整个网络。
冗余网络部署中的基于状态的业务保护:
TippingPointIPS设备支持冗余部署。
互为备份的多台IPS即可以工作在主备(Active/Passive)模式,也可以工作在负载分单(Active/Active)模式,与已经在网络中大规模部署的VRRP、OSPF多出口等冗余保护技术无缝的结合在一起。
同时,在冗余部署的IPS之间,通过专门的高速物理通道同步地传递配置信息、检测数据和连接状态,可以完全保证冗余部署与业务分布的无关性。
不间断的管理保护:
甚至对于管理,这一最容易被高可靠保障所忽视的环节,TippingPoint都作了精巧的高可靠性保护设计。
TippingPointSMS提供增强模式:
基于基本配置的SMS服务器,TippingPoint还提供经过增强配置的SMS服务器。
增强型SMS服务器具备双电源、双硬盘、双CPU,不但提升了管理系统的性能,而且最大限度上保护其物理可靠性。
TippingPointSMS支持冗余部署:
基础型和增强型的SMS都支持冗余部署。
冗余部署模式中的两台SMS一台处于工作状态,另一台处于备份状态;
所有管理信息通过高速物理通道同步;
当工作状态的SMS故障时,备份状态的SMS将自动接管整网的管理工作,保证管理的管理延续性。
Quidway®
SecPath1800F防火墙是华为3Com公司开发的新一代基于网络处理器技术(NP)的硬件高速状态检测防火墙设备,可以作为大型企业的出口防火墙,也可以作为大型企业的内部骨干防火墙。
支持外部攻击防范、内网安全、流量监控等功能,能够有效地保证网络的安全;
采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;
提供多种智能分析和管理手段,支持多种日志,提供多种网络安全管理手段;
支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;
支持多种VPN业务,如L2TPVPN、IPSecVPN等;
支持RIP/OSPF/BGP/路由策略/路由迭代及策略路由。
SecPath1800F防火墙充分考虑网络应用对高可靠性的要求,融入了电信设备可靠性技术,设备关键部件如总线、电源、散热系统、BootRom等都采用冗余设计,采用互为冗余备份的双电源(1+1备份)模块,支持交、直流输入电源模块。
业务接口卡及风扇、电源支持热插拔,充分满足网络维护、升级、优化的需求。
支持双机状态热备,支持Active/Active方式实现负载分担和业务备份;
提供机箱内部环境温度检测功能,并支持网管。
◆
提供企业网络的安全保障和防护功能
●
防火墙安全过滤能力:
支持改进的状态检测包过滤技术,可以按照时间段进行过滤;
支持华为3Com专有ASPF应用层报文过滤(ApplicationSpecificPacketFilter)协议;
支持多种攻击防范技术:
包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能、静态和动态黑名单功能、MAC和IP绑定功能,支持智能防范蠕虫病毒技术。
支持深度内容检测能力:
可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用,并且对这些应用采取阻断、限流的控制措施,有效保护网络带宽;
支持多种安全认证:
在PPP线路上支持CHAP和PAP验证协议;
支持USBKey方式存储数字证书、配置信息以及用户名密码;
支持用户身份分级管理;
支持用户视图分级管理;
支持与Radius服务器配合,实现对接入用户的验证、授权和计费;
另外OSPF、RIP2具有MD5认证功能,能够确保所交换路由信息的可靠性。
全面的NAT应用支持:
提供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同的地址转换服务,通过内部服务器可以向外提供FTP、Telnet和WWW等服务,实现公网和私网混合地址解决方案。
支持多种应用协议,如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、ILS、PPTP、NBT的NATALG功能。
采用电信级设备保证高可靠性:
设备关键部件均采用冗余设计;
支持接口模块热插拔;
支持机箱内部环境温度自动检测,并可通过网管自动采集告警信息;
双电源冗余备份;
支持双机热备,支持Active/Active方式实现负载分担和业务备份;
SecPath1800F系统说明表:
项目
属性
接口
1个配置口(CON)
1个备份口(AUX)
2个10/100M以太网口
插槽
4个HIC插槽,最多可支持6GE+IPSec加密卡,或者24FE+IPSec加密卡
Flash
32MB
SDRAM
缺省:
256MB
最大:
512MB
外型尺寸(W×
D×
H)
436×
420×
130
重量
18.7kg
电源模块
输入
交流主机:
100-240V;
50/60Hz
直流主机:
-48V--60V
输出
电压:
12V
平均无故障间隔时间(MTBF)
37.54年
最大功率
105W
工作环境温度
0~40℃
环境相对湿度
10~90%(不结露)
SecPath1800F功能特性列表:
说明
网络安全性
AAA服务
RADIUS
HWTacacs
CHAP验证
PAP验证
域认证
防火墙
包过滤
基于接口的访问控制列表
基于时间段的访问控制列表
动态包过滤
防攻击特性
Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、ARP欺骗攻击防范
TCP报文标志位不合法攻击防范
超大ICMP报文攻击防范
地址/端口扫描的防范
DoS/DDoS攻击防范
ICMP重定向或不可达报文控制功能
Tracert报文控制功能
带路由记录选项IP报文控制功能
静态和动态黑名单功能
MAC和IP绑定功能
工作模式
路由模式、透明模式、混合模式
安全管理
NAT日志
ASPF流日志
攻击防范日志
流量监控日志
黑名单日志
进制格式日志功能
流量统计和分析功能
全局/基于安全域连接数率监控
全局/基于安全域协议报文比例监控
安全事件统计功能
数据安全
支持终端访问安全
IPSec
IKE
NAT
支持局域网内用户使用地址池中的IP地址访问外部网络
支持将访问控制列表与地址池的关联
支持将访问控制列表与接口的关联
支持外部网络主机访问内部的服务器
可配置支持地址转换的有效时间
支持多种ALG
VPN
L2TPVPN
可以根据VPN用户完整用户名,用户域名和电话号码向指定LNS发起连接
可以为VPN用户分配地址
可以进行LCP重协商和二次CHAP验证
IPSec/IKE
支持AH、ESP协议
支持手工或通过IKE自动建立安全联盟
ESP支持DES、3DES两种加密算法
支持MD5及SHA-1验证算法
支持IKE主模式及野蛮模式
支持NAT穿越
网络协议
IP服务
ARP
DHCP中继
DHCP服务器
静态域名解析
IP路由
静态路由管理
动态路由协议
RIP
OSPF
BGP
路由策略
策略路由
路由迭代
网络可靠性
设备关键部件都采用冗余设计
支持接口模块热插拔
支持机箱内部环境温度检测功能,并可通过网管自动采集告警
支持双电源冗余备份
支持备份中心
提供双机状态热备,支持Active/Active方式实现负载分担和业务备份
配置管理
命令行接口
通过Console口进行本地配置
通过AUX口进行远程配置
通过Telnet或SSH进行本地或远程配置
配置命令分级保护,确保未授权用户无法配置设备
提供全中文的提示和帮助信息
详尽的调试信息,帮助诊断网络故障
提供网络测试工具,如Tracert、Ping命令等,迅速诊断网络是否正常
用Telnet命令直接登录并管理其它网络设备
FTPServer/Client,可以使用FTP下载、上载配置文件和应用程序
支持TFTP上传下载文件
支持日志功能
文件系统管理
User-interface配置,提供对登录用户多种方式的认证和授权功能。
支持标准网管SNMPv3,并且兼容SNMPv2C、SNMPv1
支持NTP时间同步
SecPath1000F防火墙是华为3Com公司面向大型企业用户开发的新一代专业防火墙设备。
支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;
提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;
支持多种VPN业务,如L2TPVPN、IPSecVPN、GREVPN、华为动态VPN等等,可以构建Internet、Intranet、RemoteAccess等多种形式的VPN;
提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;
支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
提供企业网络的安全保障和防护功能
支持状态检测包过滤技术,还可以按照时间段进行过滤;
提供多种攻击防范技术:
支持细粒度内容过滤能力:
支持邮件过滤、SMTP邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤、HTTPURL过滤、HTTP内容过滤;
提供基于PKI/X.509的证书认证功能;
支持RSASecurID动态口令认证;
支持用户身份管理,不同身份的用户拥有不同的命令执行权限;
支持用户视图分级,不同级别的用户赋予不同的管理配置权限;
另外,OSPF、RIP2具有MD5认证功能,确保所交换路由信息的可靠性。
强大灵活的管理功能:
提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。
提供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为中高端防火墙和IPS IDS 华为 高端 防火墙 IPS