单台IPS部署方案.doc

xx项目主动式入侵防御系统解决方案建议 主动式入侵防御系统解决方案-网络安全的未来杭州华三通信技术有限公司2007-4-7目 录1H3C 公司简介32xx客户IT应用现状33信息部门面临的挑战43.1系统漏洞43.2拒绝服务攻击53.3零时差攻击53.4间谍软件63.5应用误用和滥用63.6协议异常和违规检测73.7侦测和扫描83.8VOIP等关键系统保护83.9安全管理94主动式防御系统的发明及价值94.1仅有防火墙是不够的94.2IDS的不作为124.3主动式入侵防御系统成就网络安全的未来145优秀的主动式防御系统必备的五个条件155.1线内操作方式155.2交换机一样的性能165.3高可靠性175.4精确防御和及时更新185.5良好的可管理性196部署主动入侵防御系统的建议196.1部署的总体方案206.2应用程序防护216.3网络架构防护226.4性能保护226.5数字疫苗在线更新机制227H3C IPS 系列IPS的特点和优势237.1高性能237.2高可靠性237.3全面的防御功能247.4专业的安全团队服务247.5物超所值247.6高扩展性安全管理系统257.7获得权威认证金奖258设备选型251 H3C 公司简介H3C 隶属于3Com公司，自2002年发布第一个入侵防御系统以来已迅速成为提供基于网络的入侵防御系统的领先厂商。H3C的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，H3C的入侵防御系统在发生损失之前阻断恶意流量。利用H3C提供的数字疫苗服务，入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。此外，H3C的入侵防御系统是目前能够提供微秒级时延、高达5G的吞吐能力和带宽管理能力的最强大的入侵防御系统。通过全面的数据包侦测，H3C的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力，H3C的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础免遭恶意攻击和防止流量异动。H3C的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源，从而确保网路资源的合理配置并保证关键业务的性能。2 xx客户IT应用现状xx客户网络平台已经搭建完毕，内部终端通过Internet出口连接外部网络，实时获取外部信息，企业业务通过网络出口进行，因此保证网络出口的安全至关重要， 而现在网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。3 信息部门面临的挑战信息部门对企业高效运营和快速发展的贡献毋庸置疑，种种益处自不必多言，但是如果网络崩溃、应用瘫痪，损失将令人痛心，甚至无法弥补，信息部门也将承受极大的压力，所以保证网络和应用系统安全、可靠和高效的运行成为信息部门的关键任务。要实现上述目标，首先，让我们来对网络和系统运行面临的挑战做出详细的分析。3.1 系统漏洞无可厚非，软件开发人员在开发一个系统的时候，将实现相应的功能作为首要的任务，而且他们在编写和调试程序时通常仅考虑用户正常使用的情况，而对误用和恶意使用这些例外和异常情况处理考虑不周之处，也就形成了系统漏洞，或称系统的弱点。系统已不再是孤立的系统，而是通过网络互联的系统，即组成了计算机网络，计算机网络的使用者中有专业水平很高但思想并不纯洁的群体，他们利用这些漏洞对系统展开入侵和攻击，导致对网络和应用系统极大威胁，使网络和系统的使用和拥有者遭受严重的损失。自计算机紧急事件相应组（CERT）与1995年开始对系统漏洞进行跟踪以来，到2004年已有超过12，000个漏洞被报告，而且自1999年以来，每年的数量都翻翻，增长如此迅猛。其实漏洞不只MS Windows有，路由器等网络设备的操作系统，如CISCO IOS，以及网络安全设备，如Check Point FW1也有。如此多的漏洞，对信息部门意味着什么？安全小组必须采取行动获得补丁程序、测试、最后将其部署在服务器上，为什么不直接给服务器打补丁呢？因为不能保证补丁对应用系统没有影响，为了以防万一，必须对补丁程序进行测试和验证，然后才允许将其投入生产系统。从补丁程序获得、测试和验证，再到最终的部署，完成这一系列任务需要多长时间？答案是，可能需要几个小时到几天，而在此期间攻击可能已经发生，损失已无法挽回。3.2 拒绝服务攻击除了由于操作系统和网络协议存在漏洞和缺陷，而可能遭受攻击外，现在信息部门还会拒绝服务攻击（DoS）的挑战。DOS攻击可以被分为两类：一种是利用网络协议的固有缺陷或实现上的弱点来进行攻击，与漏洞攻击相似。这类供给典型的例子如Teardrop、Land、KoD和Winnuke；对第一种DOS攻击可以通过打补丁的方法来防御，但对付第二种攻击就没那么简单了，另一类DOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起，在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。DOS攻击会耗尽用户宝贵的网络和系统资源，使依赖计算机网络的正常业务无法进行，严重损害企业的声誉并造成极大的经济损失，使信息部门承受极大的压力。3.3 零时差攻击零时差攻击（Zero-day Attack）是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。显而易见，零时差攻击对应用系统和网络的威胁和损害令人恐怖，这相当于在用户没有任何防备的情况下，黑客发起了闪电战，可能在极短的时间内摧毁关键的应用系统及令网络瘫痪。3.4 间谍软件间谍软件（英文名称为“spyware”）是一种来自互联网的，能够在用户不知情的情况下偷偷进行非法安装（安装后很难找到其踪影），并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件在安装时什么都不显示，运行时用户也不知晓，删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动，并已经建立了一个进入个人电脑的通道，很容易对用户电脑做后续的攻击。间谍软件能够消耗计算能力，使计算机崩溃，并使用户被淹没在网络广告的汪洋大海中。它还能够窃取密码、信用卡号和其它机密数据。作为互联网用户，应该对此保持警惕了。最新统计显示，在过去的12个月中，全球感染间谍软件的企业数量增长了近50%。在100人以上的企业中，有17%的企业网络中藏有间谍软件，如键盘跟踪程序等。 间谍软件在未来将会变得更具威胁性，不仅可以窃取口令、信用卡号，而且还可以偷走各种类型的身份信息，用于一些更加险恶的目的，如捕捉和传送Word和Excel文档，窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道，那么用户面临的危险将是不可想象的。3.5 应用误用和滥用在较短的时间内，互联网“杀手级”应用已经从电子邮件、网络浏览演变为端到端（Peer-to-Peer，P2P）应用。在音乐和电影数字化技术不断成熟的条件下，用户可以从互联网上轻松并免费获得这些数据文件，这使得P2P应用程序成为互联网上下载最多的软件之一。他们共享着成千上万Petabytes的数据（1PetaBytes=100万GB）。如此大量的数据传输，已足以使网络阻塞并耗尽所有的可用带宽。近来有研究表明，P2P流量大约占用服务提供商多达60%的网络带宽。 P2P应用使得企业网络基础结构的流量负担沉重。这些应用消耗了大量的网络资源，同时妨碍关键业务的访问。另外，黑客会设法利用P2P应用漏洞来攻击巨大的P2P应用用户群，对系统及网络带来严重的安全隐患。同时，由于用户下载受版权保护的资源，P2P应用也带来了严峻的法律问题，使接入业务提供商背上了沉重的法律包袱。因此，对高速网络的管理人员而言，这些应用不啻于为他们带来了传输、安全以及法律方面的噩梦。为避免网络带宽消耗过大及恶意攻击，可以采用入侵防御系统来控制P2P应用和网络流量。 3.6 协议异常和违规检测在一切正常的情况下，两个系统间该如何进行某种数据交换，协议都对其进行了定义。由于某些服务器不能有效处理异常流量，许多攻击会通过违反应用层协议，使黑客得以进行拒绝服务（DoS）攻击，或者获得对服务器的根本访问权限。通过执行协议RFC或标准，我们可以阻止这种攻击。除处理违反协议的情况外，这种机制还可截获命令中的非法参数，阻止许多缓冲溢出攻击的发生。比如根据RFC 2821，在一个正常的SMTP连接过程中，只有在客户端至少发送过一个“RCPT TO”请求命令之后，客户端发送“DATA”请求命令才是合法的。3.7 侦测和扫描刺探是利用各种手段尝式取得目标系统的敏感信息的行为，这些敏感信息包括系统安全状况、系统状态、服务信息、数据资料等；采用工具对系统进行规模化、自动化的刺探工作称为扫描。其工具称为扫描器。 扫描器最初是提供给管理员的一些极具威力的网络工具，利用它，网管员可以获得当前系统信息和安全状况。正是因为扫描器能有效的获取系统信息，因此也成为黑客最喜欢的工具。黑客利用扫描器的自动化和规模化的特性，只要简单的几步操作，即可搜集到目标信息。3.8 VOIP等关键系统保护当某种网络应用日益广泛，并逐渐成为企业和消费者的重要消息传递和业务依托平台时，往往会伴随着针对这类应用的恶意攻击技术的快速增长。例如企业VoIP系统，企业VoIP用户和服务提供者容易受到假冒攻击的袭击，其中的很多攻击与“电话线路盗用者”针对传统电话和蜂窝服务所使用的方法没有什么两样，这些攻击的目标偷也是一样的，即偷窃身份与信息，以及诈骗话费。但除了对VoIP终端的攻击外。操作系统、Internet协议、应用程序以及VoIP硬电话和运行软电话的管理界面容易受到非法接入、病毒与蠕虫和很多拒绝服务（DoS）的攻击。这些攻击往往利用通用Internet协议以及VoIP协议本身进行。另外，针对Web、数据库系统的攻击事件也经常出现。所以，为了避免这些关键应用受到攻击和利用而对企业业务造成影响，用户对这些应用部署专有的保护措施非常重要。3.9 安全管理Xx用户网络为业务发展提供了良好的IT保障作用，但随着网络的扩展，应用的增加，正面临前所未有的挑战，特别是在网络安全方面。如何保证整个网络乃至应用系统安全、稳定和高效的运行，已成为网络部门的首要任务。虽然，网络中已部署了防火墙，但是，在网络的运行维护中，信息部门仍然会发现网络的带宽利用率居高不下，而实际上，主要业务的占用带宽不会达到这样的数量。当初租用带宽时，已考虑到了未来的发展并预留一定余量，可见有未知的流量侵吞了带宽，所以网络中很可能存在大量的蠕虫病毒产生非法流量、也不排除有BT等应用的可能，这是目前各宽带网络都可能存在的问题。并不是当初网络设计不周，而是自2003年以来，蠕虫、点到点，入侵技术日益滋长的结果，而这些有害代码总是伪装成正常业务进行传播，目前用户可选的主要防火墙的软硬件设计，仅按照其工作在L2-L4设计，不具有对数据流进行综合、深度监测的能力，所以无法有效识别伪装成正常业务的非法流量。这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰，而且职工的PC都需要访问Internet，同时又必须访问业务系统，所以存在被病毒感染和黑客控制的可能，对生产系统的威胁很大。4 主动式防御系统的发明及价值4.1 仅有防火墙是不够的从1990开始，随着Internet的快速发展，网络安全的问题也逐步为人们所重视，从最初采用简单的访问控制列表，到部署防火墙来保护周界安全。从1993年防火墙被广泛地部署在各种网络中，如下图所示：图 自1993开始防火墙被广泛应用于周界安全虽然，网络中已部署了防火墙，但是，在网络的运行维护中，信息部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢，只好提升带宽并升级服务器喽，可过不了多久问题再次出现。而实际上，业务增长速度并没有这样快，业务流量占用带宽不会达到这样的数量，这是目前各大公司网络都可能存在的问题。并不是当初网络设计不周，而是自2003年以来，蠕虫、点到点，入侵技术日益滋长并演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络，如下图所示：图 蠕虫、P2P等非法流量穿透防火墙这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上，员工的PC都既需要访问Internet又必须访问公司的业务系统，所以存在被病毒感染和黑客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽，P2P等应用，利用80端口进行协商，然后利用开放的UDP进行大量文件共享，导致机密泄漏和网络拥塞，对公司业务系统的危害极大。为了能够让防火墙具备深入的监测能力，许多厂商都基于现有的平台增加了L4-L7分析能力，但问题是仅仅将上千个基于简单模式匹配过滤器同时打开来完成对数据包的L4-L7深入检测时，防火墙的在数据流量较大时会迅速崩溃，或虽可以勉强工作，却引入很大的处理延时，造成业务系统性能的严重下降，所以基于现有防火墙体系结构增加深入包检测功能的方案存在严重的性能问题。4.2 IDS的不作为由于已经部署的防火墙从能力和性能上都不具备对大量流量进行综合、深入分析的能力，自2000年开始，许多用户在网络中部署了入侵检测系统，即IDS，如下图所示：图 自2000年开始IDS被部署在网络中IDS确实为防止入侵和控制非法流量具有开创意义，然而，在实际的应用中，用户发现其存在严重不足：1. IDS是一个被动的监听者，而不能采取有效的行动立即阻止针对系统漏洞的攻击、屏蔽蠕虫和病毒、防御DOS攻击以及限制P2P等非法应用，当IDS报警的时候，攻击已经发生而损失已不可避免，如下图所示：图 IDS报告却无法及时阻止攻击为了弥补IDS的先天不足，一种称之为IDS和防火墙联动的方案出现了，但在实际应用中，从IDS发现问题到通过开放接口向防火墙发送策略更新信息，再到最终防火墙激活新的策略所耗费的时间仍无法满足用户对高安全性的要求，特别是在攻击流量激增的情况下，这种方案几乎无法奏效，所以其可行性存在很大问题。2. 误报（False Positives）和漏报（False Negatives）问题，已有的IDS实现方法都是采用检测软件运行在通用或专用主机上的体系结构。这种架构的问题在于当网络的流量较大时，IDS的处理能力无法完成对所有流量的综合和深入分析，从而出现较多的漏报。除由于性能原因产生漏报外，由于运行IDS的主机的网卡工作在杂收模式，采用诸如AntiSniff的技术可以发现网络中IDS的存在，攻击者随后可以采用隐秘攻击技术躲过IDS的监测，这是因为IDS采用主机架构并使用简单模式匹配技术，如著名的Snort，这种方法对检测病毒是很有效的，因为病毒的特征基本固定，但隐秘攻击技术能够实现同样的攻击目的却不出现IDS可识别的攻击的特征，即并不在攻击代码中出现某些特殊的字符的特点，这样就欺骗了IDS。另外一个问题是误报，IDS有时会将正常的访问识别为攻击并进行报警。3. 分析和管理问题，信息部门为了及时发现入侵，必须对IDS的告警和日志进行分析，发现入侵行为，然后采取相应的防护措施，但随着网络的带宽从2M，发展到100M，直至1000M，IDS产生的报告越来越多，信息部门已疲于应付如此多的告警，对保证网络安全感到力不从心，特别是在零时差攻击日益增多情况下，如何采取及时防御措施，成为信息部门面临的极大挑战。4.3 主动式入侵防御系统成就网络安全的未来如上文所述，防火墙加IDS的方案存在无法识别高层攻击、漏报和误报、响应速度慢、性能不高以及运行维护管理复杂等缺陷，显然这些问题使信息部门无法完成支持日益增长的安全需求的关键任务。在这种充满挑战的环境下，信息部门急需能够保护应用系统、网络基础设施和性能的利器，而能够帮助信息部门实现这些关键任务的解决方案只有主动式入侵防御系统，即Intrusion Prevention System IPS。H3C发明的主动式入侵防御系统能够及时阻止各种针对系统漏洞的攻击，屏蔽蠕虫、病毒和间谍软件，防御DOS及DDOS攻击，阻断或限制P2P应用，从而帮助信息部门完成应用系统、网络基础设施和系统性能保护的关键任务。H3C的IPS采用了全新的硬件设计理念结合先进的软件特性，其即使在打开成千上万个攻击过滤器时，仍然能够支持限速的吞吐能力并保证微秒级的延时，不会成为网络处理的瓶颈。H3C的IPS已为客户定制了上千个常见攻击过滤器而且支持即插即用模式，用户可以迅速将IPS部署在网络中，大大降低了IT人员的工作量也为企业争取了防御攻击的宝贵时间。针对零时差攻击，H3C提供数字疫苗服务，能够在攻击发生之前，将新的疫苗快速部署在IPS中，这些新的攻击过滤器实际起到了虚拟软件补丁的作用，客户不必为服务器打补丁就可以完成攻击防御，从而实现了系统正常运行时间的最大化，其价值可想而知。5 优秀的主动式防御系统必备的五个条件为了准确、及时而且有效地阻止各种针对系统漏洞的攻击，屏蔽蠕虫、病毒和间谍软件，防御DOS及DDOS攻击，阻断或限制P2P等应用误用和滥用，IPS必须具备以下五个条件才可以成为完成主动式入侵防御的利器，信息部门才值得为其投入。5.1 线内操作方式IPS首先应支持线内工作模式，即其部署在数据传输的路径中，任何数据流都必须经过IPS并被检测以立即发现攻击、屏蔽蠕虫、病毒和间谍软件、DOS及DDOS攻击、应用误用和滥用行为，而一旦发现，IPS应立即阻断攻击，屏蔽蠕虫、病毒和间谍软件，以及阻断和限制P2P等应用误用和滥用行为，如下图所示：图 IPS必备条件一 ：线内操作方式IPS的线内工作方式必须对现有网络没有影响，即其应该工作在全透明模式，本身不需要设置IP地址，也没有MAC地址，这样才不需要对现有网络作任何修改，而且对各种网络协议完全透明，特别是VRRP、HSRP等网络冗余协议，实现了即插即用，大大提高部署效率。5.2 交换机一样的性能既然IPS工作在线内，其必保证实现入侵检测和防御的同时不引入过大的处理延时，否则将成为网络的瓶颈，而且会导致应用系统的交易吞吐量下降，对于在多数的应用，端到端的性能与延时成反比，加倍的延时使得完成一个任务花费二倍多的时间，通常局域网的延时大约200微秒，而园区网的延时大约在500微秒，所以IPS必须具备低延时的特点，而且其引入的延时应小于200微妙；除确保低延时外，IPS还应保证高吞吐能力，即应该与以太网交换机的吞吐能力相匹配，而且在打开成千上万条攻击过滤器的情况下，在实际网络中仍能够保持线速的处理能力，即IPS必须具备像网络交换机一样的低延时和线速的性能。5.3 高可靠性由于IPS工作在线内，其必须具有极高的可靠性并支持双机冗余备份，否则将成为网络的故障的严重隐患，一旦单台IPS瘫痪等于认为制造了拒绝服务攻击将业务系统阻断。首先IPS应支持HA工作模式，而且这种HA应该是有状态的冗余，即两台IPS的攻击过滤列表应该是完全同步，一旦一台出现故障，另外一台可以立即接管全部检测和防御任务，而当两台均健康时可以一起工作，即支持Active-Active工作模式，如下图所示：图 保持状态的HA模式如果只能够部署一台IPS，其也必须提供故障侦测和快速重起自愈功能。如采用看门狗计时器（watchdog timers）持续的监控IPS引擎，一旦系统错误被侦测到，IPS可以自动或手动的切换成Layer 2 的设备，确保网络不断线。如下图所示：图 故障侦测和快速重起自愈在回退到二层设备的同时，IPS能够快速自动重起来完成自愈，重新承担起入侵防御的重任。此外，IPS最好还提供了一个外接式电源适配器（Zero Power High Availability），当整个机房或数据中心失去电源时，所有的流量会自动切换 到(Power Bypass) 由这个设备进行旁路运作。5.4 精确防御和及时更新优秀的IPS必须能够提供精确的防御能力，必须具有极低的误报和漏报率。除支持简单攻击特征匹配功能外，还必须具有反IPS规避能力，包括：IP 碎片和交迭TCP碎片和交迭 （TCP fragmentation and overlap）十六进制编码和统一的字符编码标准（Hex encoding and unicode）变形攻击（Polymorphic attacks）等等只有识别出各种隐蔽攻击，才可以保证极低的误报和漏报率，做到精确的打击同时决不阻断任何合法流量。此外，IPS必须能够进行及时攻击过滤器更新，防御已知的攻击不足为奇，重要的是能够防御零时差攻击，即在漏洞被公布的极短时间内完成IPS的更新，赶在攻击爆发之前构建好有效的防御体系。5.5 良好的可管理性优秀的IPS最后还必须提供良好的可管理性。首先，应该支持SSH和HTTPs等安全管理方式，其次支持基于Web的友好界面，简化IPS的配置，提高运行和维护的效率，最后还必须支持完备的日志和报表功能，能够产生趋势分析报告、事件交叉分析、实时流量统计图表、过滤的攻击种类、网络主机与服务，以及IPS的网络位置与健康状态。6 部署主动入侵防御系统的建议针对入侵、病毒、蠕虫和拒绝服务攻击的新特点，必须采用创新的硬件和软件技术来应对 主动入侵防御系统。主动入侵防御系统是对目前单一防火墙安全防护体系的必要补充，而且在未来将集成防火墙的核心功能。6.1 部署的总体方案主动式入侵防御系统部署方案根据网络情况需要，H3C IPS可以部署在防火墙外，提供高吞吐量和低时延，帮助信息部门完成对应用、网络架构以及网络和应用系统性能保护这三个关键任务。IPS 提供业界最完整的入侵侦测防御功能，远远超出传统IPS 的能力。 H3C定义的三大入侵侦测防御功能包括：应用程序防护、网络架构防护与性能保护。这三大功能可提供最强大且最完整的保护以防御各种形式的网络攻击行为，如：病毒、Spyware、蠕虫、拒绝服务攻击与非法的入侵和访问。6.2 应用程序防护IPS 提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护，如：病毒、蠕虫与木马程序。利用深层检测应用层数据包的技术，IPS 可以分辨出合法与有害的封包内容。最新型的攻击可以透过伪装成合法应用的技术，轻易的穿透防火墙。而IPS 运用重组TCP 流量以检视应用层数据包内容的方式，以辨识合法与恶意的数据流。大部分的入侵防御系统都是针对已知的攻击进行防御，然而IPS 运用漏洞基础的过滤机制，可以防范所有已知与未知形式的攻击。6.3 网络架构防护路由器、交换器、DNS 服务器以及防火墙都是有可能被攻击的网络设备，如果这些网络设备被攻击导致停机，那么所有企业中的关键应用程序也会随之停摆。而IPS 的网络架构防护机制提供了一系列的网络漏洞过滤器以保护网络设备免于遭受攻击。此外，IPS 也提供异常流量统计机制的过滤器，对于超过”基准线”的正常网络流量，可以针对其通讯协议或应用程序特性来进行警示、限制流量或阻绝流量等行动。如此一来可以预防DDoS 及其它溢出式流量攻击所造成的网络断线或阻塞。6.4 性能保护是用来保护网络带宽及主机性能，免于被非法的应用程序占用正常的网络性能。如果网络链路拥塞，那么重要的应用程序数据将无法在网络上传输。非商用的应用程序，如点对点文档共享 (P2P)应用或实时通讯软件 (IM) 将会快速的耗尽网络的带宽，或是 VoIP需要有备保证的带宽 (SIP, H.323 or MGCP)，因此IPS 提供带宽保护 (Traffic / Rate Shaping) 的功能，协助企业仔细的辨识出非法使用的应用程序流量并降低或限制其带宽的使用量。6.5 数字疫苗在线更新机制在每周提供SANS 漏洞分析的同时，H3C 的安全团队也同步制作出针对漏洞的过滤器数据库并混入到数字疫苗（Digital Vaccines）中，数字疫苗不只针对特定的攻击制作过滤器，还包括对变种攻击与零时差闪电攻击进行阻挡。为了拥有最大的安全涵盖范围，数字疫苗除了每周定时在线更新过滤器数据库外，并随时对有严重威胁的漏洞或攻击生成新的过滤器，数字疫苗也会自动地部署新的过滤器至全球的IPS IPS 上。H3C 的安全专家是被世界公认的，全球超过二十五万个安全管理者及专家都订阅了H3C 所编辑的SAN RISK 分析报告。相同的分析也运用到数字疫苗的开发上，优先制作出保护H3C 客户的最佳过滤器。7 H3C IPS 系列IPS的特点和优势H3C公司的IPS系列主动入侵防御系统（IPS）是业界的领先产品和解决方案，具有如下特点：7.1 高性能IPS采用业界独有威胁抑制引擎（TSE），其集成了网络处理器（NP）、专用集成电路（ASIC）、现场可编程逻辑阵列（FPGA）的强大功能和处理能力，是能够实现所有入侵防御功能的线速处理引擎。其处理能力高达5G并能够保证处理延迟小于125微妙，完全满足IP话音，关键交易等时延敏感应用的要求。即使有上万条过滤器同时工作，系统的性能也不会降低。7.2 高可靠性由于IPS部署在数据传输的路径中，所以其必须具有极高的可靠性，否则成为业务的阻断点（自我拒绝服务攻击）。IPS提供真正的HA功能，两台以上设备完全同步并可以同时工作（Active - Active）模式或热备模式（Active - Standby）。即使发生最坏的情况，系统自动恢复时，IPS仍可以工作在交换模式，不会成为业务的阻断点。7.3 全面的防御功能IPS支持应用保护、网络架构保护和性能保护，彻底防护各种网络攻击行为：病毒、间谍软件/木马、蠕虫、DOS和DDOS、以及各种入侵行为。IPS运用三个独立且互补的入侵防御机制，即弱点过滤器、流量异常过滤器和攻击特征过滤器，这些过滤器功能强大，如弱点过滤器能重组第七层信息以完整检测应用层流量，还可以指定检测条件为应用程序流程（侦测缓冲区溢出攻击对应用程序的异常调用）和通信协议规程（IETF RFC异常攻击侦测）。此外，这些过滤器全部由ASIC和FPGA实现，从而保证了系统的高吞吐量和低时延。7.4 专业的安全团队服务提供数字疫苗（Digital Vaccine）更新服务，H3C安全专家举世公认，全球超过25万安全管理员订阅了由Tipping Point安全专家主编的SANrisk的安全漏洞分析报告，同时这些研究成果已用于数字疫苗的开发和生成。数字疫苗被持续地自动发布到每台IPS上并完成更新。针对漏洞的数字疫苗起到了虚拟软件补丁的作用，极大地方便了客户对安全漏洞的攻击的防护，而且为用户在真正的服务器上打