发布时间 : 星期一 文章内网网络设计方案更新完毕开始阅读ba2e3dbd1a37f111f1855b43
网络方案技术建议书
RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
SecPath F1000-S防火墙充分考虑网络应用对高可靠性的要求,采用互为冗余备份的双电源(1+1备份)模块,支持交、直流输入电源模块;业务接口卡支持热插拔,充分满足网络维护、升级、优化的需求;支持双机状态热备,支持Active/Active和Active/Passive两种工作模式。提供机箱内部环境温度检测功能,并支持网管。
市场领先的安全防护功能
? 增强型状态安全过滤:支持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间
段进行过滤;支持华为3Com特有ASPF应用层报文过滤(Application Specific Packet Filter)协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对FTP、HTTP、SMTP、RTSP、H.323(包括Q.931,H.245, RTP/RTCP等)应用层协议的状态监控,支持TCP/UDP应用的状态监控。
? 抗攻击防范能力:包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动
反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智能防范蠕虫病毒技术。 ? 应用层内容过滤:可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应
用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题和内容过滤;支持网页过滤,提供HTTP URL和内容过滤;支持应用层过滤,提供Java/ActiveX Blocking和SQL注入攻击防范。
? 多种安全认证服务:支持RADIUS和HWTACACS协议及域认证;支持基于PKI /CA体系
的数字证书(X.509格式)认证功能;在PPP线路上支持CHAP和PAP验证协议;支持用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限。
? 集中管理与审计:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、
邮件告警功能。
? 全面NAT应用支持:提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射
等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等NAT ALG功能。
网络方案技术建议书
TippingPoint的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软
件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测,TippingPoint的入侵防御系统能够在发生损失之前阻断恶意流量。利用TippingPoint提供的数字疫苗?服务,入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。此外,TippingPoint的入侵防御系统是目前能够提供微秒级时延、高达5G的吞吐能力和带宽管理能力的最强大的入侵防御系统。
通过全面的数据包侦测,TippingPoint的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力,TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础设施免遭恶意攻击和防止流量出现异常。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源,从而确保网路资源的合理配置并保证关键业务的性能。
TippingPoint IPS产品特点: ? 主动式的入侵防御
TippingPoint IPS可以被“in-line”地部署到网络当中去,对所有流经的流量进行深度分析与检测,从而具备了实时阻断攻击的能力,同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台,TippingPoint IPS不断优化检测性能,使其能够达到与交换机同等级别的高吞吐量和低延时,同时可以对所有主要网络应用进行分析,精确鉴别和阻断攻击。 ? 无与伦比的高性能
TippingPoint 200 IPS具备绝对领先的能与交换机媲美的性能指标:高达200Mbps吞吐量的线速检测、转发;低时延(最大时延<215微秒);精确检测攻击并实时阻断;支持200万个并发连接;支持每秒25万个新建立连接。
? 威胁抑制引擎(TSE,Threat Suppression Engine)
TippingPoint基于ASIC、FPGA和NP技术开发的威胁抑制引擎(TSE,Threat Suppression Engine)是高性能和精确检测的基础。该核心架构提供的大规模并行处理机制(10,000条以上并行过滤器),使得TippingPoint IPS对一个报文从2层到7层所有信息的检测可以在215微秒内完成,并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的TSE可以对一个报文同时进行几千种检测,从而将整体的处理性能提高到最佳水平。在具备高速检测功能的同时,TSE还提供增值的流量分类、流量管理和流量整形功能。TSE可以自动统计和计算正常状况下网络内各种应用流量的分布,并且基于该统计形成流量框架模型;当DoS/DDoS攻击发生,或者
网络方案技术建议书
短时间内大规模爆发的病毒导致网络内流量发生异常时,TSE将根据已经建立的流量框架模型限制或者丢弃异常流量,保证关键业务的可达性和通畅性。此外,为防止大量的P2P、IM流量侵占带宽,TSE还支持对100多种点到点应用的限速功能,保证关键应用所需的带宽。 ? 安全保障无处不在
TippingPoint IPS在跟踪流状态的基础上,对报文进行2层到7层信息的深度检测,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断,而且,TippingPoint IPS也能够有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。TippingPoint IPS还支持基于访问控制列表(ACL)的检测、基于统计的检测、基于协议跟踪的检测、基于应用异常的检测、报文规范检测(Normalization)、IP报文重组和TCP流恢复。以上机制协同工作,TippingPoint IPS可以对流量进行细微粒度的识别与控制,有效检测流量激增、缓冲区溢出、漏洞探测、IPS规避等一些已知的、甚至未知的攻击。 ? 业界领先的安全威胁分析团队
TippingPoint的安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯SANS @Risk的主要撰稿人,SANS @Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的公告,内容包含最新发现的漏洞、漏洞所带来的影响、表现形式,而且指导用户如何采取防范措施。SANS @Risk公告可以在http://www.sans.org/newsletters/risk免费订阅 ? 数字疫苗(DV,Digital Vaccine)保障实时安全
TippingPoint实时更新、发布的数字疫苗(DV,Digital Vaccine)是网络免疫的保障与基础。在撰写SANS @Risk公告的同时,TippingPoint的专业团队同时跟踪其它知名安全组织和厂商发布的安全公告;经过跟踪、分析、验证所有这些威胁,生成供TippingPoint IPS使用的可以保护这些漏洞的特征知识库 - 数字疫苗,它针对漏洞的本质进行保护,而不是根据特定的攻击特征进行防御。数字疫苗以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够通过内容发布网络自动地分发到用户驻地的IPS设备中,从而使得用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。
TippingPoint还与全球著名的系统软件厂商,如Microsoft、Oracle等,保持了良好的合作关系。在某个漏洞被发现后,TippingPoint能够在第一时间(即厂商公布安全公告之前)获得该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字疫苗,使得用户的网络免遭这种“零时差攻击”(Zero-day Attack)。 ? 无缝部署 – 简易、高性能、无冲击
网络方案技术建议书
TippingPoint IPS的设计遵循了一个很重要的原则:无缝部署。基于这个原则,无论对已经建成的网络,还是正在建设中的网络,都可以很容易地将TippingPoint IPS嵌入进任何部分,并且不会对网络的拓扑、性能、运行带来任何改动。从逻辑上来看,TippingPoint IPS就好像一根智能的线,这根智能的线却从根本上解决了困扰网络的安全问题。
这样的无缝部署主要体现在以下方面:嵌入式部署(in-line)模型保证最简化的部署步骤,而不需要进行交换机镜像等复杂的配置,更不需要更改网络拓扑;检测接口不需要IP地址,也不需要MAC地址,一旦接入网络,立刻开始保护网络;同时保证自身对攻击源是隐身的,增强整网的安全性;高性能、低时延使得TippingPoint IPS无论被部署在网络内部还是边缘,都可以提供线速的精确检测和实时阻断能力,对网络业务的效率没有任何的损伤。同时,卓越的带宽管理能力将加速异常情况下的业务应用。
经过精心分析、调试、验证的数字疫苗可以在不经任何调整的情况下正常工作,无需任何调整即可抵御所有已知的网络威胁;经过按照实际网络状况微调的数字疫苗可以使TippingPoint IPS发挥更高的性能。
? 多重高可靠性(MLHA,Multi-Layer High Availability)
多重高可靠(MLHA,Multi-Layer High Availability)是TippingPoint为保证网络与业务的永续性而开发的专利技术,该技术面向业务传送的所有层面进行高可靠保护,使得在任何情况下业务都不会因为IPS的故障而中断。
物理级保护和掉电事故保护:按照电信标准设计的TippingPoint IPS采用冗余电源供电,并且支持在线更换;掉电保护设备ZPHA(Zero Power High Availability)是TippingPoint IPS的辅助设备。该设备可以在IPS电源被不慎碰掉的情况下,将网络流量自动绕开IPS、旁路到下一站设备上去;当SMS监测到IPS电源丢失并发出告警、管理员恢复电源供给后,ZPHA又会自动禁止旁路功能,所有流量将再度流经IPS接受检测。冗余电源和ZPHA可以保证被IPS保护的网络不会因为引入IPS而出现物理级的单点故障。
系统软件故障保护:内置的监测模块以很高的频率定时地监测IPS设备的健康状况。一旦探测到软件系统故障,该模块会将IPS设置成一个简单的二层交换设备,网络流量将在两个接口之间直接贯通;软件故障恢复后,所有流量贯通被自动取消,恢复的IPS重新开始保护整个网络。
5.4 **************外部局域网安全设计
**************内部局域网安全组网示意图: