网络设计华为产.ppt

SecEngineIDS系列产品规格介绍SecEngineIDS系列产品特点介绍SecEngineIDS系列产品解决方案SecEngineIDS系列产品典型案例 SecEngine系列入侵检测产品形态 SecEngine入侵检测系统参数一览表 QuidwaySecEngineD200产品规格 QuidwaySecEngineD500产品规格 SecEngineIDS系列产品规格介绍SecEngineIDS系列产品特点介绍SecEngineIDS系列产品解决方案SecEngineIDS系列产品典型案例 高性能的专用硬件平台 采用专用内容搜索芯片单搜索芯片模块最大搜索能力可达2 5Gbps采用插卡式方式 配置灵活NP板 加速板 FE GE接口板均为插卡方式 可根据用户要求进行业务配置电源系统为1 1备份电源系统采用1 1冗余热备份设计 支持双路电源供电 支持内容搜索硬件加速 独立设计的内容搜索加速卡采用高性能的搜索芯片可实现所有7层的内容检测和规测匹配处理带宽灵活配置 可以从733M升级至2 5Gbps加速卡槽位和接口板槽位信号完全兼容 可实现混插支持多加速卡同时工作 安全的操作系统平台 针对安全应用度身定做的操作系统符合EAL3的安全操作系统系统资源受控访问系统资源多区域 特定的应用只能访问指定区域的资源 在操作系统级解决了BufferOverflow问题可扩展 可裁减的安全操作系统可以针对IDS IPS等应用分别进行功能裁减 与上层应用紧密结合 全面的异常流量的检测能力 检测主机扫描和端口扫描Anti DoS DDoS功能支持QoS 对于异常的流量可以报警并进行流量整形 0110100101010101 1010101001110100 0010100100010001 0110100101110101 管理控制台 大量数据扫描报文 正常流量 报警 SecEngineP200 服务器 完善的应用协议分析与跟踪能力 分析应用协议 HTTP FTP SMTP等常用协议 及MSN QQ BT等P2P协议 并可根据用户需求定制扩展 针对不同的协议行为作出相应的动作 以FTP为例 FTP协议存在缺陷 客户端可以用PORT命令携带异常参数指示服务器向第三方发起连接 从而间接地和第三方通信 可以配置QuidwaySecEngine对正常的FTP命令予以放行 对连接第三方的PORT命令予以报警或阻断 x 客户端 服务器 正常FTP命令 正常FTP数据 试图连接第三方的PORT命令 丰富的基于特征匹配的检测能力 根据报文的特征进行匹配 并作出相应动作 可以匹配的特征包括IP头各字段 UDP头各字段 TCP头各字段 ICMP头各字段 净荷内容等 支持正则表达式 系统提供1600 条规则的通用特征库 并可方便地升级 匹配成功 丢弃报文 报文 特征库 01110101 011010010111010110011 支持IP重组与TCP流恢复 黑客攻击时可能故意把攻击数据分散在多个IP分片或TCP段中 从而避开检测 QuidwaySecEngine可以重组IP分片 恢复TCP流 从中找出隐含的攻击数据 原始攻击信息 reboot 分成两个分片发送 第一个分片净荷尾部是 reb 第二个分片净荷头部是 oot QuidwaySecEngine重组后得到 reboot 匹配成功 0111010 Reboot 特征库 分片1 reb 0111011 分片2 oot 重组 0111010 reboot 0111011 支持多端口综合检测模式 QudiwaySecEngine的各个检测端口 sensor 共享同一套会话表在某个端口已经记录一个会话后 该会话流经其它端口的报文可直接匹配该会话的规则 SecEngineP500 1 2 3 4 Session SignatureTable 支持状态同步的双机热备和负载分担 两台QuidwaySecEngine可协同工作于主 备模式或负荷分担模式 从而提高设备的可靠性和性能 协同工作时 检测状态通过独立的连接线在两台设备间同步 虚地址 SecEngineP200 SecEngineP200 Switch Switch 虚地址 同步连接 主备 主备 支持基于区域的安全策略 财务部 市场部 研发部 测试中心 SecEngineP500 区域1 区域2 可将各个端口划分到不同的区域中不同的区域实施不同的安全策略 应用不同的规则 全面的动态联动能力 SecEngineIDS检测到攻击后不仅仅报警 还可以与其他网络安全设备联动 动态阻断攻击数据 SecEngineIDS提供全面的联动能力 包括华为3Com大部交换机 路由器 防火墙及第三方防火墙 攻击者 报警 攻击者尝试攻击 企业数据中心 管理中心 后续攻击被阻 与交换机联动 ERP OA CRM 文件服务器 SecEngine 安全的管理手段 SSH HTTPS 传统的Telnet命令行管理 适用于可信任的环境 安全的SecureShell SSH 命令行管理基于HTTPS的安全的Web管理基于SSL的管理方式 防止了中间人攻击 图示表达防止重放攻击 防止地址欺骗攻击 SecEngineP500 HTTPS SSH x 控制台 攻击者 图形化的管理界面 WebUI 配置管理功能VRB CRB的升级和维护实时的攻击事件功能具有强大的统计分析功能基于策略的管理配置基于stepbystep的快速配置引导对客户端没有特殊的要求 标准的浏览器即可 强大的统计与分析 支持各种条件的组合攻击事件查询功能支持用户频繁使用攻击事件的查询功能 包括当天攻击事件分类 最频繁发生事件分类等支持一定时间范围内攻击事件发生次数统计对比分析功能统计分析结果以直观的 便于理解的图表方式展现 完备的攻击特征数据库 开放的攻击特征数据库任何人员都可以查看该攻击特征数据库设备产生的攻击事件都可以自动关联到华为网站漏洞数据库获得该攻击的详细描述用户发现的漏洞可以及时补充到网站漏洞数据库详细而完整的中英文漏洞数据数据库任何漏洞描述都有中英文对照漏洞数据描述符合业界的标准能与CVE bugtraq Whitehats进行连接 支持特征库的裁剪与自定义 支持两种特征库知名攻击特征库 VendorRuleBase VRB 华为的专业团队跟踪 维护定期发布 更新用户可以针对实际情况进行裁减用户自定义特征库 CustomerRuleBase CRB 用户可以根据自己的应用度身定制自己的特征及特征库用户可以以VRB作为模板裁减和补充自己的特性和特征库简单方便的特征库配置和管理功能 简单方便的特征库升级模式 支持两种升级特征库的方式自动升级手动升级升级地点可以配置 SecEngineD P系列 华为网站 内部网络 管理中心 支持多种日志格式与多种实时报警 两种日志格式syslog文本日志二进制日志丰富的日志内容攻击事件日志系统运行日志操作日志NAT日志多样的告警手段命令行报警管理中心报警Email报警 统一的安全管理平台 支持层级管理提供统一的管理界面集成配置管理和维护集成告警台集成强大的统计分析工具 监控中心 SecEngineP2000 SecEngineP500 控制台 SecEngineD200 提供网络安全状况评估工具 提供和QuidwaySecEngine配套的漏洞扫描工具SecDoctor可以检测用户的网络环境 操作系统 应用软件智能配置规则减少漏报 误报可以分析上报的日志 告警分析报告输出指导管理员调整安全策略 SecEngine入侵检测系统特点总结 融合 和路由器 交换机 防火墙联动 提供整网解决方案强大 专用硬件平台 高性能 易扩展 业界领先的硬件搜索加速引擎精确 多种检测技术配合降低误报率和漏报率易用 中文图形化界面 集中式分级管理 特征库自动升级等等放心 华为3Com专业的安全队伍 研发 安全响应小组 是您的强大后援 SecEngineIDS系列产品规格介绍SecEngineIDS系列产品特点介绍SecEngineIDS系列产品解决方案SecEngineIDS系列产品典型案例 单一端口检测部署模式 Router SecEngineD200 SecEngineD200 可信任网络 Firewall Switch 服务器集群 DMZ区 管理中心 内部网络 Switch 外部网络 Switch 多端口协同检测部署模式 I Router Switch Switch SecEngineD500 Switch 可信任网络 多端口协同检测部署模式 II 服务器集群 Firewall Router 可信任网络 LoadBalancer 内部网络 管理中心 SecEngineD500 多设备协同检测部署模式 服务器集群 Firewall Router 可信任网络 LoadBalancer 内部网络 SecEngineD200 管理中心 SecEngineD200 SecEngineD200 与交换机 防火墙联动部署 Router SecEngineD200 SecEngineD200 可信任网络 Firewall Switch 服务器集群 DMZ区 管理中心 内部网络 Switch SecEngineIDS系列产品规格介绍SecEngineIDS系列产品特点介绍SecEngineIDS系列产品解决方案SecEngineIDS系列产品典型案例 天津