H3CIPS网络安全功能

1.H3C的SecPath T系列IPS产品介绍

H3CSecPath IPS集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御／检测系统。通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为，并对分布在网络中的各种P2P、IM等非关键业务进行有效管理，实现对网络应用、网络基础设施和网络性能的全面保护。其系列产品如图3.19所示。

图3.19 H3CSecPath IPS系列产品

2.H3C的SecPath T系列IPS产品特点

H3CIPS具有如下特点：

（1）高性能高可靠性 领先的多核架构及分布式搜索引擎，确保SecPathIPS在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护能力，仅有微秒级时延。通过掉电保护（PFC）、二层回退、双机热备等高可靠性设计，保证IPS在断电、软硬件故障或链路故障的情况下，网络链路仍然畅通保证用户业务的不间断正常运行。

（2）便捷的管理方式 支持本地和分布式管理。在单台或小规模部署时，通过IPS内置的Web界而进行图形化管理；在大规模部署时，可通过H3C安全处理中心SecCenter对分布部署的IPS进行统一监控、分析与策略管理。

（3）灵活的组网模式 透明模式，即插即用，支持在线或IDS旁路方式部署；融合了丰富的网络特性，可在MPLS，802.1Q，QinQ，GRE等各种复杂的网络环境中灵活组网。

（4）网络基础设施保护 SecPath IPS具有强大的DDoS攻击防护和流量模型自学习能力，当DDoS攻击发生或者短时间内大规模爆发的病毒导致网络流量激增时，能自动发现并阻断攻击和异常流量，以保护路由器、交换机、VOIP系统、DNS服务器等网络基础设施免遭恶意攻击，保证关键业务的畅通。

（5）精细化流量管理 SecPath IPS能精确识别P2P／IM、炒股软件、网络多媒体、网络游戏等应用，并能按时段、用户（组）、会话、应用等进行限流或阻断，限流粒度可以精确到8Kbps。通过精细化带宽管理，帮助用户遏制非关键应用抢夺宝贵的带宽和IT资源，从而确保网络资源的合理配置和关键业务的服务质量，显著提高网络的整体性能。

（6）零时差的应用保护 H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地发布到IPS设备中，使用户的IPS设备在漏洞被发布的同时立刻具备防御零时差攻击的能力。

（7）强大的入侵抵御能力 SecPath IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品，特征库数量已达1 0000＋。配合H3CFIRST（full inspection with rigorous state test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

（8）专业的病毒查杀 SecPath IPS集成卡巴斯基防病毒引擎，内置专业病毒库。采用第二代启发式代码分析、iChecker实时监控和独特的脚本病毒拦截等多种最尖端的反病毒技术，能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。

3.H3C的IPS技术要点

（1）L4 -7的业务感知 网络层次越高，资产价值就越大，比如网络中某台交换机故障后，直接更换即可，对用户的业务影响有限。如果网络中的某台数据库服务器遭到入侵，那么给用户带来的后果非常可怕，所以风险越高，越迫切需要被保护，如图3.20所示，IPS产品就可以实现L4 -7层的业务感知。

图3.20L4 -7层业务感知

图3.21 线内操作方式

（2）线内操作方式 对非法访问、非法入侵最好的办法就是进行实时流量分析和处理，阻断出现在网络上的攻击。而对IDS（入侵检测系统）来说，只能通过与交换机或路由器联动下发策略进行防御，这种方式是不能满足实际需求的。如图3.21所示，只有在线内对流量进行处理，才能真正阻挡出现在网络上的攻击。

（3）基于精确状态的全面检测 H3CIPS具有特有的FIRST检测引擎，如图3.22所示，可进行基于精确状态的全面检测。

图3.22 基于精确状态的全面检测

FIRST：Full Inspection with Rigorous State Test，基于精确状态的全面检测

（4）全面的特征库和及时的特征库更新 H3C作为微软MAPP项目（Microsoft Active Protections Program）的合作伙伴，将及时从微软获取各种安全漏洞等脆弱性信息，及时更新产品特征库，为广大用户提供更快捷、更高水平的安全服务，如图3.23和图3.24所示。

图3.23 全面的特征库(www.xing528.com)

图3.24 及时的特征库更新

用户可以访问H3C官方网站“首页”→“产品技术”→“产品介绍”→“IP安全产品”栏目下的特征库专区下载最新的特征库。

（5）强大的带宽管理功能 H3CIPS如图3.25所示，具有强大的带宽功能。能精确识别并限制P2P／IM、炒股软件、网络多媒体、网络游戏等应用，限流粒度可以精确到8kbps，可以基于每用户和协议进行限速、阻断等动作。

图3.25 强大的带宽管理功能

（6）强大的DDoS防御 H3CIPS的DDoS策略就是针对各种DDoS攻击大类的一系列学习规则。学习规则定义了需要对哪些DDoS攻击大类进行防护，以及攻击大类中各明细攻击可生成的最小检测阈值。

根据学习规则对正常流量进行学习后会生成检测规则。检测规则描述了正常情况下流量的特点，并指明在发现违反规则的流量时的处理动作。DDoS检测规则包含攻击名称、阈值类型级别、阈值和保护IP等参数，如图3.26所示。

图3.26 强大的DDoS防御

（7）高可靠性 H3CSecPath PFC（power free connector，无源连接设备）是H3C自主研发，为IPS产品提供掉电保护的设备。设备在运行的过程中，若由于断电或者版本不太稳定等其他原因发生了重启，会影响网络的稳定运行。如果在网络中在线部署一台PFC，即可解决这一问题。

图3.27 高可靠性

当设备发生断电或者重启时，PFC会将经过设备的流量迅速自动切换给自己，并直接转发到下一套设备上。

当设备重新上电并启动完毕后，PFC能够将流量再切换回设备，重新由设备进行处理。

H3CSecPath T1000系列IPS的缺省固定接口内置PFC功能。

H3CIPS还具有另外一个特性就是二层回退。当设备的性能超负荷达到一定程度时，IPS将会自动切换到二层回退状态，此时IPS相当于一台交换机，对数据流量进行转发，而不进行任何处理。

（8）丰富灵活的全中文管理界面 H3CSecCenter入侵防御管理系统（IPS Manager）是一款功能强大的IPS设备综合分析与集中管理系统，是H3C公司安全管理中心SecCenter系统的重要组件。

IPS Manager能够对网络中的H3CIPS设备进行统一管理，能够适应各种网络规模需求，为部署于各关键位置的IPS提供集中管理与控制，直观的实时事件监控，综合分析攻击、病毒、蠕虫等各种安全小件，并提供丰富的统计报告，方便用户随时掌控当前网络安全状况，与IPS设备一起为用户的网络及资产提供了直观、强大、全面的安全保护。其中文界面如图3.28所示。

图3.28 丰富灵活的全中文管理界面

H3C安全管理中心解决方案主要组成设备为事件管理中心（SecCenter）和响应管理控制中心（iMC SCC）。事件管理中心主要完成对全网安全事件的采集、分析、关联、汇聚、处理报告展示；响应控制中心实现了安全事件与网管系统（iMC平台）、端点准入管理系统（EAD／UAM）的结合，对需要响应的重要事件可灵活进行Email通知、交换机端口关闭、用户下线、加入黑名单、在线提醒等响应操作。

H3C安全管理中心解决方案一般部署于企业网内部，作为企业整网安全管理的枢纽。方案部署方便、灵活。事件管理中心为硬件设备，响应管理控制中心为软件产品，可与H3CiMC网管平台安装在一起，通常建议部署在管理区域。另针对仿冒IP地址、MAC地址行为，建议在接入交换机上配置IP check，ARP detection等功能，以便安全管理中心更准确定位攻击源并进行联动。

当防火墙、IPS等识别到内网发生的攻击（如扫描攻击、蠕虫攻击等）时会阻断攻击并上报日志，但此时安全隐患仍然存在，攻击者仍然在试图寻找网络漏洞发起新的攻击，并不断增加IPS、防火墙的系统负担。管理者可通过安全管理中心解决方案及时了解这些安全预警并对日志内容进行定位，并通过与网管平台、EAD端点准入处理系统联动实现交换机关闭端口、用户下线、加入黑名单、在线提醒等响应策略，也可以通过企业行政手段对攻击者进行处罚，真正发现并解除安全隐患。这种安全与网络的融合如图3.29所示。

图3.29 安全与网络的融合—智能联动