IPS为什么永远不会成为故障点.doc

机密IPS为什么永远不会成为故障点1. 概述IPS是一个深入应用层（七层）的安全设备，主要提供网络威胁防御的业务，不同于交换机、路由器，IPS本身不参与报文选路和交换，而是透明部署，从一个接口上接收网络流量，对报文进行深入七层的实时的分析检测，根据检测结果阻断攻击流量，并将正常流量从另一个确定的接口上转发出去。所以，在IPS上可以实现相比交换机、路由器更多的可靠性设计，即IPS的多重高可靠性（MHA）设计。IPS的多重高可靠性（MHA）面向业务传送的所有层面进行高可靠保护，使得在任何情况下业务都不会因为IPS的故障而中断，使得IPS这个网络节点永远不会成为中断业务的故障点。IPS的多重高可靠性（MHA）可从宏观和微观两个角度来描述，从宏观角度来看，IPS的多重高可靠性可划分为硬件高可靠性、软件高可靠性、组网高可靠性；从微观角度来看，可按协议栈各层次，在物理层（一层）、链路层（二层）、IP层、TCP层、应用层等层次上提供层层保护，系统监控模块对各协议层的运行状态做统一监控，上层失效时，可以迅速实现二层Bypass（二层回退）、一层Bypass，从而保证网络业务的连通性。本文介绍H3C IPS的多重高可靠性（MHA）的实现机制和性能指标。2. 电源可靠性H3C IPS按照电信级标准设计了冗余电源进行供电，如下图所示，并且支持在线电源模块更换。同时提供了电源线卡扣等可靠性设计。另外，可根据客户需要提供交流电源模块和直流电源模块。3. 掉电保护机制H3C设计了无源连接设备PFC（Power Free Connector），PFC可以为IPS产品提供了掉电保护功能。在IPS掉电的情况下，PFC可以将网络流量自动绕开IPS、旁路到下一跳设备上去；而当管理员恢复电源供给后，PFC又会自动禁止旁路功能，所有流量将再度流经IPS接受检测。如下图所示。PFC是通过IPS设备上的USB口供电的，当IPS掉电后，PFC也掉电，PFC掉电后通过内部的继电器装置会迅速连通网络，实现一层Bypass。利用PFC设备，H3C IPS在掉电后小于10ms的时间内即能恢复网络连通。同时，H3C IPS通过控制USB口的供电，可以保证在IPS重启时也不中断网络业务，这个会在下一节介绍。4. 重启保护机制利用上一节介绍的PFC，H3C IPS在设备重启过程中不对USB口进行供电，这样可保证IPS在重启过程中仍能通过PFC实现网络业务的连续性，实现一层Bypass；同时，当IPS重启完成后，USB口供电，PFC断开，网络流量会自动切换到IPS来进行检测。虽然H3C IPS的重启时间在3分钟左右，但在重启过程中中断网络的时间小于10ms（对上层应用来说，几乎无法感觉到该中断）。重启保护机制在设备人为重启或异常重启时都保证了网络业务的连续性。5. 二层回退（二层Bypass）机制H3C IPS产品实现了二层回退机制，当检测引擎或软件系统故障（如某个软件进程挂起）时，H3C IPS会退到二层工作模式，直接将接收到的网络流量在二层就转发出去，不再进行上层的检测处理，以保证在设备软件故障时仍能保证网络业务连续性。如下图所示。设备检测引擎或软件系统故障切换到二层回退的时间在1ms数量级以下。同时，H3C IPS还会监控设备本身的处理性能，当网络流量超过设备的检测处理性能时（设备的检测引擎处理的丢包率持续达到阈值30时），设备会自动切换到二层回退模式，以保证将网络流量在二层就迅速转发出去，以保证网络业务的连续性。H3C IPS在二层回退模型下通过设备上内置的交换芯片实现报文转发，可以在接口满配的情况下达到小包线速转发。6. 透明部署的可靠性机制H3C IPS的透明部署可靠性机制从两方面来实现，一方面是IPS设备的业务口无IP、无MAC，同时对检测为正常流量的报文不会做任何修改（如改变TTL值等），对攻击者来说是完成透明的，网络上的攻击者用探测扫描方法感觉不到网络上存在IPS设备，所以IPS永远不会成为攻击者的攻击目标，这样也保证了IPS的安全性和可靠性；另一方面，IPS对两端的设备也是透明的，即对两端的设备来说，IPS相当于一根网线，当IPS的一端的接口Down掉时，另一端的接口也会马上Down掉，同时当一端的接口UP时，如果另一端的接口符合UP的条件也会马上UP起来，所以不会影响原有网络的拓扑，也不会影响原有网络的各种动态路由、交换协议等其他协议的工作机制。 7. 冗余部署的可靠性机制H3C IPS可双机部署到冗余链路上，当其中一边的IPS或其他网络设备故障时，IPS两端的设备会自动将流量选到另一边正常的链路上，IPS自动能对该链路上的流量进行深度检测防范，从而可以保