H3C主动式入侵防御系统解决方案.doc

此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 内容简述用途密级说明上次修改 H3C IPS 入侵防御系统技术 建议书模板 用于撰写和 H3C IPS 入 侵防御系统相关的技术 建议书 内部公开 严禁 外传 2008 7 15 主动式入侵防御系统解决方案模版主动式入侵防御系统解决方案模版 杭州华三通信技术有限公司杭州华三通信技术有限公司 安全产品行销部安全产品行销部 20082008 年年 0707 月月 1515 日日 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 目目 录录 一 一 客户客户 IT 应用现状应用现状 3 二 二 IT 部门面临的挑战部门面临的挑战 4 三 三 主动式防御系统的发明及价值主动式防御系统的发明及价值 11 四 四 部署主动入侵防御系统的建议部署主动入侵防御系统的建议 15 五 五 H3C IPS 的特点和优势的特点和优势 17 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 一 一 客户客户 IT 应用现状应用现状 网络规模 网络规模 网络上的应用 网络上的应用 未来发展规划 未来发展规划 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 二 二 IT 部门面临的挑战部门面临的挑战 IT 部门对企业高效运营和快速发展的贡献毋庸置疑 种种益处自不必多言 但是如果网络 崩溃 应用瘫痪 损失将令人痛心 甚至无法弥补 IT 部门也将承受极大的压力 所以保证网 络和应用系统安全 可靠和高效的运行成为 IT 部门的关键任务 要实现上述目标 首先 让我 们来对网络和系统运行面临的挑战做出详细的分析 系统漏洞系统漏洞 无可厚非 软件开发人员在开发一个系统的时候 将实现相应的功能作为首要的任务 而且 他们在编写和调试程序时通常仅考虑用户正常使用的情况 而对误用和恶意使用这些例外和异常 情况处理考虑不周之处 也就形成了系统漏洞 或称系统的弱点 系统已不再是孤立的系统 而 是通过网络互联的系统 即组成了计算机网络 计算机网络的使用者中有专业水平很高但思想并 不纯洁的群体 他们利用这些漏洞对系统展开入侵和攻击 导致对网络和应用系统极大威胁 使 网络和系统的使用和拥有者遭受严重的损失 自计算机紧急事件相应组 CERT 与 1995 年开 始对系统漏洞进行跟踪以来 截止 08 年 7 月份 已公开的漏洞累计达 4 万多个 其中 80 可以 被远程利用 下图是微软 08 年 6 月份公开的部分漏洞 典型的漏洞例子如 MS SQL 的缓冲区溢出漏洞 即 03 年 1 月爆发的 SQL Slammer 蠕虫攻击 的对象 该蠕虫在 10 分钟内在整个互联网传播 击毁令人难以置信数量的服务器 更为严重的 是影响了 13 个根 DNS 中的 5 个 另外一个不幸是 MS RPC DCOM 缓冲区溢出漏洞 也就是臭 名昭著的 Blaster 攻击的对象 相信很多用户对此都有体会 其实漏洞不只 MS Windows 有 路 由器等网络设备的操作系统 如 CISCO IOS 以及网络安全设备 如 Check Point FW1 也有 如此多的漏洞 对 IT 部门意味着什么 安全小组必须采取行动获得补丁程序 测试 最后 将其部署在服务器上 为什么不直接给服务器打补丁呢 因为不能保证补丁对应用系统没有影响 为了以防万一 必须对补丁程序进行测试和验证 然后才允许将其投入生产系统 从补丁程序获 得 测试和验证 再到最终的部署 完成这一系列任务需要多长时间 答案是 可能需要几个小 时到几天 而在此期间攻击可能已经发生 损失已无法挽回 针对针对 Web 的攻击 的攻击 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 攻击者除了利用操作系统 浏览器 数据库 Web 服务器 ASP PHP 等基础软件漏洞实现 攻击外 还经常利用 Web 应用程序开发过程当中对网页输入缺乏有效检查的网页漏洞进行攻击 最常用的方式是 SQL 注入攻击 跨站脚本攻击 经常造成网页挂马 网页篡改 帐号被盗 网 络钓鱼等严重后果 给企业形象 企业财产都造成重大损失 下图是过去几年的中国大陆被篡改 网页数量的统计图 拒绝服务攻击和分布式拒绝服务攻击 拒绝服务攻击和分布式拒绝服务攻击 除了由于操作系统和网络协议存在漏洞和缺陷 而可能遭受攻击外 现在 IT 部门还会拒绝 服务攻击 DoS 和分布式拒绝服务攻击 DDoS 的挑战 DOS 和 DDOS 攻击可以被分为两类 一种是利用网络协议的固有缺陷或实现上的弱点来进行攻击 与漏洞攻击相似 这类攻击典型的 例子如 Teardrop Land KoD 和 Winnuke 对第一种 DOS 攻击可以通过打补丁的方法来防御 但对付第二种攻击就没那么简单了 另一类 DOS 和 DDOS 利用看似合理的海量服务请求来耗尽 网络和系统的资源 从而使合法用户无法得到服务的响应 早期的 DOS 攻击由单机发起 在攻 击目标的 CPU 速度不高 内存有限 网络带宽有限的情况下效果是明显的 随着网络和系统性能的大幅提高 CPU 的主频已达数 G 服务器的内存通常在 2G 以上 此 外网络的吞吐能力已达万兆 单机发起的 DoS 攻击好比孤狼斗猛虎 没有什么威胁 狼的习性 是群居 一只固然势单力薄 但如果群起而攻之 恐怕猛虎也难抵挡 这就是分布式拒绝服务攻 击的原理 用一台攻击机来攻击不再起作用的话 攻击者使用 10 台攻击机 100 台呢共同发起 攻击呢 DDoS 就是利用大量的傀儡机来发起攻击 积少成多超过网络和系统的能力的极限 最 终击溃高性能的网络和系统 常见的 DDOS 攻击方法有 SYN Flood Established Connection Flood 和 Connection Per Second Flood 已发现的 DOS 攻击程序有 ICMP Smurf UDP 反弹 而典型的 DDOS 攻击程序有 Zombie TFN2K Trinoo 和 Stacheldraht DOS 和 DDOS 攻击会耗尽用户宝贵的网络和系统资源 使依赖计算机网络的正常业务无法 进行 严重损害企业的声誉并造成极大的经济损失 使 IT 部门承受极大的压力 例如 2000 年 2 月 7 9 日爆发的 数字珍珠港事件 据 2006 美国 CSI FBI 的计算机犯罪和安全调研分析 DOS 和 DDOS 攻击已成为对企业损害最大的犯罪行为 超出其他各种犯罪类型两倍 零时差攻击 零时差攻击 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 零时差攻击 Zero day Attack 是指从系统漏洞 协议弱点被发现到黑客制造出针对该漏洞 弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击 显而易见 零时差攻击对应用系统和 网络的威胁和损害令人恐怖 这相当于在用户没有任何防备的情况下 黑客发起了闪电战 可能 在极短的时间内摧毁关键的应用系统及令网络瘫痪 回顾历史 可以发现从系统漏洞 协议弱点被发现到用户遭受攻击的时间正快速缩短 即零 时差攻击的可能性越来越大 如下图所示 从 2003 年 7 月 16 日微软公布 RPC DCOM 缓冲区溢出安全漏洞 MS03 026 到 8 月 11 13 日 Blast 蠕虫摧毁大约 140 万台主机的时间大约是 1 个月 26 天 而到 Witty 蠕虫 时间缩短 到 48 小时 再来看最近发生的事情 2005 8 5 日微软公布了 6 个安全漏洞 其中三个是严重漏洞 如下 所示 1 MS05 038 Cumulative Security Update for Internet Explorer Rating Critical 2 MS05 039 Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege Rating Critical 3 MS05 040 Vulnerability in Windows Telephony Service Could Allow Remote Code Execution Rating Important 4 MS05 041 Vulnerability in Remote Desktop Protocol Could Allow Denial of Service Rating Moderate 5 MS05 042 Vulnerabilities in Kerberos Could Lead to Elevation of Privilege 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 Rating Moderate 6 MS05 043 Vulnerability in Print Spooler Service Could Allow Remote Code Execution Rating Critical 不幸的是 在第二天 即 24 小时内就出现了针对上面第二个漏洞的攻击 这对 IT 部门确实 构成了极大的压力 因为测试 评估及部署漏洞补丁需要数天时间 而此时攻击已出现并可能随 时到来 间谍软件 间谍软件 间谍软件 英文名称为 spyware 是一种来自互联网的 能够在用户不知情的情况下偷 偷进行非法安装 安装后很难找到其踪影 并悄悄把截获的一些机密信息发送给第三者的软件 间谍软件在安装时什么都不显示 运行时用户也不知晓 删除起来非常困难 由于间谍软件隐藏 在用户计算机中 秘密监视用户活动 并已经建立了一个进入个人电脑的通道 很容易对用户电 脑做后续的攻击 间谍软件能够消耗计算能力 使计算机崩溃 并使用户被淹没在网络广告的汪 洋大海中 它还能够窃取密码 信用卡号和其它机密数据 作为互联网用户 应该对此保持警惕 了 最新统计显示 在过去的 12 个月中 全球感染间谍软件的企业数量增长了近 50 在 100 人以上的企业中 有 17 的企业网络中藏有间谍软件 如键盘跟踪程序等 间谍软件可分为两类 一类是 广告型间谍软件 与其他软件一同安装 或通过 ActiveX 控件安装 用户并不知道它的存在 记录用户的姓名 性别 年龄 密码 域 电话号码 邮件 地址 VPN Web 浏览记录 网上购物活动 硬件或软件设置等信息 这类间谍软件还会改变 目标系统的行为 诸如霸占 IE 首页与改变搜寻网页的设定 让系统联机到用户根本不会去的广 告网站 以致计算机屏幕不停弹跳出各式广告 而且软件设置简单 只要填写自己的邮件地址和 设置一下运行即可 另一类被称为 监视型间谍软件 它具有记录键盘操作的键盘记录器功能和屏幕捕获功能 可以用来在后台记录下所有用户的系统活动 比如网站访问 程序运行 网络聊天记录 键盘输 入包括用户名和密码 桌面截屏快照等 主要被企业 私人侦探 司法机构 间谍机构等使用 间谍软件的恶行不仅让机密信息曝光 对产能亦造成负面冲击 同时也拖累系统资源 诸如瓜分 其它应用软件的频宽与内存 导致系统没来由减速 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 间谍软件在未来将会变得更具威胁性 不仅可以窃取口令 信用卡号 而且还可以偷走各种 类型的身份信息 用于一些更加险恶的目的 如捕捉和传送 Word 和 Excel 文档 窃取企业秘密 等 如果间谍软件打开通向用户桌面系统的通道 那么用户面临的危险将是不可想象的 协议异常和违规 协议异常和违规 在一切正常的情况下 两个系统间该如何进行某种数据交换 协议都对其进行了定义 由于 某些服务器不能有效处理异常流量 许多攻击会通过违反应用层协议 使黑客得以进行拒绝服务 DoS 攻击 或者获得对服务器的根本访问权限 通过执行协议 RFC 或标准 我们可以阻止 这种攻击 除处理违反协议的情况外 这种机制还可截获命令中的非法参数 阻止许多缓冲溢出 攻击的发生 比如根据 RFC 2821 在一个正常的 SMTP 连接过程中 只有在客户端至少发送过 一个 RCPT TO 请求命令之后 客户端发送 DATA 请求命令才是合法的 侦测和扫描侦测和扫描 刺探是利用各种手段尝式取得目标系统的敏感信息的行为 这些敏感信息包括系统安全状况 系统状态 服务信息 数据资料等 采用工具对系统进行规模化 自动化的刺探工作称为扫描 其工具称为扫描器 扫描器最初是提供给管理员的一些极具威力的网络工具 利用它 网管员可以获得当前系统 信息和安全状况 正是因为扫描器能有效的获取系统信息 因此也成为黑客最喜欢的工具 黑客 利用扫描器的自动化和规模化的特性 只要简单的几步操作 即可搜集到目标信息 网络和滥用网络和滥用 在较短的时间内 互联网 杀手级 应用已经从电子邮件 网络浏览演变为点对点 Peer to Peer P2P 应用 在音乐和电影数字化技术不断成熟的条件下 用户可以从互联网上轻松并 免费获得这些数据文件 这使得 P2P 应用程序成为互联网上下载最多的软件之一 他们共享着 成千上万 Petabytes 的数据 1PetaBytes 100 万 GB 如此大量的数据传输 已足以使网络阻塞 并耗尽所有的可用带宽 近来有研究表明 P2P 流量大约占用服务提供商多达 60 的网络带宽 P2P 应用使得企业网络基础结构的流量负担沉重 这些应用消耗了大量的网络资源 同时妨 碍关键业务的访问 另外 黑客会设法利用 P2P 应用漏洞来攻击巨大的 P2P 应用用户群 对系 统及网络带来严重的安全隐患 同时 由于用户下载受版权保护的资源 P2P 应用也带来了严峻 的法律问题 使接入业务提供商背上了沉重的法律包袱 因此 对高速网络的管理人员而言 这 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 些应用不啻于为他们带来了传输 安全以及法律方面的噩梦 为避免网络带宽消耗过大及恶意攻 击 可以采用入侵防御系统来控制 P2P 应用和网络流量 安全管理安全管理 用户网络为业务发展提供了良好的 IT 保障作用 但随着网络的扩展 应用的增加 正 面临前所未有的挑战 特别是在网络安全方面 如何保证整个网络乃至应用系统安全 稳定和高 效的运行 已成为网络部门的首要任务 虽然 网络中已部署了防火墙 但是 在网络的运行维护中 IT 部门仍然会发现网络的带 宽利用率居高不下 而实际上 主要业务的占用带宽不会达到这样的数量 当初租用带宽时 已 考虑到了未来的发展并预留一定余量 可见有未知的流量侵吞了带宽 所以网络中很可能存在大 量的蠕虫病毒产生非法流量 也不排除有 BT 等应用的可能 这是目前各宽带网络都可能存在的 问题 并不是当初网络设计不周 而是自 2003 年以来 蠕虫 点到点 入侵技术日益滋长的结 果 而这些有害代码总是伪装成正常业务进行传播 目前用户可选的主要防火墙的软硬件设计 仅按照其工作在 L2 L4 设计 不具有对数据流进行综合 深度监测的能力 所以无法有效识别 伪装成正常业务的非法流量 这就是为何用户在部署了防火墙后 仍然遭受入侵以及蠕虫 病毒 拒绝服务攻击的困扰 而且职工的 PC 都需要访问 Internet 同时又必须访问业务系统 所以存 在被病毒感染和黑客控制的可能 对生产系统的威胁很大 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 三 三 主动式防御系统的发明及价值主动式防御系统的发明及价值 仅有防火墙是不够的 仅有防火墙是不够的 从 1990 开始 随着 Internet 的快速发展 网络安全的问题也逐步为人们所重视 从最初采 用简单的访问控制列表 到部署防火墙来保护周界安全 从 1993 年防火墙被广泛地部署在各种 网络中 虽然 网络中已部署了防火墙 但是 在网络的运行维护中 IT 部门仍然发现网络的带宽 利用率居高不下 而应用系统的响应速度越来越慢 只好提升带宽并升级服务器喽 可过不了多 久问题再次出现 而实际上 业务增长速度并没有这样快 业务流量占用带宽不会达到这样的数 量 这是目前各大公司网络都可能存在的问题 并不是当初网络设计不周 而是自 2003 年以来 蠕虫 点到点 入侵技术日益滋长并演变到应用层面 L7 的结果 而这些有害代码总是伪装 成客户正常业务进行传播 目前部署的防火墙其软硬件设计当初仅按照其工作在 L2 L4 时的情 况考虑 不具有对数据流进行综合 深度监测的能力 自然就无法有效识别伪装成正常业务的非 法流量 结果蠕虫 攻击 间谍软件 点到点应用等非法流量轻而易举地通过防火墙开放的端口 进出网络 如下图所示 这就是为何用户在部署了防火墙后 仍然遭受入侵以及蠕虫 病毒 拒绝服务攻击的困扰 事实上 员工的 PC 都既需要访问 Internet 又必须访问公司的业务系统 所以存在被病毒感染和 黑客控制的可能 蠕虫可以穿透防火墙并迅速传播 导致主机瘫痪 吞噬宝贵网络带宽 P2P 等 应用 利用 80 端口进行协商 然后利用开放的 UDP 进行大量文件共享 导致机密泄漏和网络 拥塞 对公司业务系统的危害极大 为了能够让防火墙具备深入的监测能力 许多厂商都基于现有的平台增加了 L4 L7 分析能力 但问题是仅仅将上千个基于简单模式匹配过滤器同时打开来完成对数据包的 L4 L7 深入检测时 防火墙的在数据流量较大时会迅速崩溃 或虽可以勉强工作 却引入很大的处理延时 造成业务 系统性能的严重下降 所以基于现有防火墙体系结构增加深入包检测功能的方案存在严重的性能 问题 IDS 的不作为 的不作为 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 由于已经部署的防火墙从能力和性能上都不具备对大量流量进行综合 深入分析的能力 自 2000 年开始 许多用户在网络中部署了入侵检测系统 IDS 确实为防止入侵和控制非法流量具有开创意义 然而 在实际的应用中 用户发现其存 在严重不足 IDS 是一个被动的监听者 而不能采取有效的行动立即阻止针对系统漏洞的攻击 屏蔽蠕虫 和病毒 防御 DOS 攻击以及限制 P2P 等非法应用 当 IDS 报警的时候 攻击已经发生而损失已 不可避免 如下图所示 为了弥补 IDS 的先天不足 一种称之为 IDS 和防火墙联动的方案出现了 但在实际应用中 从 IDS 发现问题到通过开放接口向防火墙发送策略更新信息 再到最终防火墙激活新的策略所 耗费的时间仍无法满足用户对高安全性的要求 特别是在攻击流量激增的情况下 这种方案几乎 无法奏效 所以其可行性存在很大问题 误报 False Positives 和漏报 False Negatives 问题 已有的 IDS 实现方法都是采用检测 软件运行在通用或专用主机上的体系结构 这种架构的问题在于当网络的流量较大时 IDS 的处 理能力无法完成对所有流量的综合和深入分析 从而出现较多的漏报 除由于性能原因产生漏报 外 由于运行 IDS 的主机的网卡工作在杂收模式 采用诸如 AntiSniff 的技术可以发现网络中 IDS 的存在 攻击者随后可以采用隐秘攻击技术躲过 IDS 的监测 这是因为 IDS 采用主机架构 并使用简单模式匹配技术 如著名的 Snort 这种方法对检测病毒是很有效的 因为病毒的特征 基本固定 但隐秘攻击技术能够实现同样的攻击目的却不出现 IDS 可识别的攻击的特征 即并 不在攻击代码中出现某些特殊的字符的特点 这样就欺骗了 IDS 另外一个问题是误报 IDS 有 时会将正常的访问识别为攻击并进行报警 分析和管理问题 IT 部门为了及时发现入侵 必须对 IDS 的告警和日志进行分析 发现入 侵行为 然后采取相应的防护措施 但随着网络的带宽从 2M 发展到 100M 直至 1000M IDS 产生的报告越来越多 IT 部门已疲于应付如此多的告警 对保证网络安全感到力不 从心 特别是在零时差攻击日益增多情况下 如何采取及时防御措施 成为 IT 部门面临的极大 挑战 主动式入侵防御系统成就网络安全的未来 主动式入侵防御系统成就网络安全的未来 如上文所述 防火墙加 IDS 的方案存在无法识别高层攻击 漏报和误报 响应速度慢 性 能不高以及运行维护管理复杂等缺陷 显然这些问题使 IT 部门无法完成支持日益增长的安全需 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 求的关键任务 在这种充满挑战的环境下 IT 部门急需能够保护应用系统 网络基础设施和性 能的利器 而能够帮助 IT 部门实现这些关键任务的解决方案只有主动式入侵防御系统 即 Intrusion Prevention System IPS H3C IPS 入侵防御系统是华三公司开发的业界领先的 IPS 产品 已拥有 500 多个包括银行数 据中心 中南海政务网等在内顶级的高端应用 以及 5000 多家客户群体 H3C IPS 入侵防御系 统以在线的方式部署在客户网络的关键路径上 通过对数据流进行 2 到 7 层的深度分析 能精确 实时地识别和阻断蠕虫 病毒 木马 SQL 注入 跨站脚本攻击 DoS DDoS 扫描 间谍软件 协议异常 网络钓鱼等安全威胁 并且 H3C IPS 入侵防御系统还开创性地将专业防病毒技术融 入到 IPS 中来 通过集成卡巴斯基的病毒特征库 可全面防止网络型病毒 文件型病毒 复合型 病毒通过网络进行扩散传播 同时 T1000 A 还具有 P2P IM 等网络滥用流量的识别和限制功 能以及 URL 过滤功能 针对零时差攻击 华三提供数字疫苗服务 能够在攻击发生之前 将新 的 IPS 特征库和病毒特征库快速部署在 IPS 中 这些新的特征库实际起到了虚拟软件补丁的作用 客户不必为服务器打补丁就可以完成攻击防御 从而实现了系统正常运行时间的最大化 其价值 可想而知 同时 H3C IPS 入侵防御系统通过领先的多核 MIPS 硬件架构设计以及专利的 FIRST 注 FIRST Full Inspection with Rigorous State Test 基于精确状态的全面检测 检测引 擎设计 确保 IPS 设备不会成为性能瓶颈 H3C IPS 入侵防御系统还通过双电源 掉电保护 二 层回退 双机冗余等高可靠性设计 保证 IPS 设备在任何情况下都不会成为网络业务的故障点 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 四 四 部署主动入侵防御系统的建议部署主动入侵防御系统的建议 针对入侵 病毒 蠕虫 注入和拒绝服务攻击的新特点 必须采用创新的硬件和软件技术来 应对 主动入侵防御系统 主动入侵防御系统是对目前单一防火墙安全防护体系的必要补充 是防范网络应用层攻击的 最有利的武器 部署的总体方案 部署的总体方案 以典型的企业园区网为例 入侵防御系统的部署总体方案如下图所示 建议首先在数据中心部署 1 2 台 SecPath T1000 A 以保护核心数据的安全 SecPath T1000 A 可抵御来自内网的误用或有意攻击 提供服务器漏洞防护 在互联网出口也需要部署 IPS 设备 拥有保护防火墙等网络基础设施 防御互联网对企业园 区网的攻击 同时 还可对互联网出口带宽进行精细控制 防止带宽滥用 另外 H3C 的 IPS 设备还可提供 URL 过滤功能 以限制园区网办公用户对工作无关网站的访问 同时 根据信息资产的重要性和安全威胁的严重程度 可以在 DMZ 区 广域网边界 内部 子网边界都可考虑部署 IPS 设备 保护网络应用的安全 保护网络应用的安全 H3C IPS 提供扩展至用户端 服务器 及第二至第七层的网络型攻击防护 如 病毒 蠕虫 SQL 注入 跨站脚本攻击 与木马程序 利用深层检测应用层数据包的技术 H3C IPS 可以分辨 出合法与有害的数据包内容 最新型的攻击可以透过伪装成合法应用的技术 轻易的穿透防火墙 而 H3C IPS 运用重组 TCP 流量以检视应用层数据包内容的方式 以辨识合法与恶意的数据流 大部分的入侵防御系统都是针对已知的攻击进行防御 然而 H3C IPS 运用漏洞基础的过滤机制 可以防范所有已知与未知形式的攻击 可以保护企业应用系统和信息资产的安全性 保护网络应用的业务连续性 保护网络应用的业务连续性 路由器 交换器 DNS 服务器以及防火墙都是有可能被攻击的网络设备 如果这些网络设 备被攻击导致停机 那么所有企业中的关键应用程序也会随之停摆 而 H3C IPS 提供了一系列 的网络漏洞特征规则以保护网络设备免于遭受攻击 此外 H3C IPS 也提供异常流量统计机制的 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 过滤器 对于超过 基准线 的正常网络流量 可以针对其通讯协议或应用程序特性来进行警示 限制流量或隔离流量等行动 如此一来可以预防 DDoS 及其它溢出式流量攻击所造成的网络断 线或阻塞 同时 H3C IPS 还针对各种网络应用提供保护 保证应用系统不会遭受攻击者的 DoS 攻击而无法提供业务 保护网络应用的性能 保护网络应用的性能 H3C IPS 可用来保护网络带宽及主机性能 免于被非法的应用程序占用正常的网络性能 如 果网络链路拥塞 那么重要的应用程序数据将无法在网络上传输 非商用的应用程序 如点对点 文档共享 P2P 应用或实时通讯软件 IM 将会快速的耗尽网络的带宽 或是 VoIP 需要有备保 证的带宽 SIP H 323 or MGCP H3C IPS 通过识别 P2P IM 网络多媒体 网游等网络滥用流 量并进行细粒度的限流或阻断 以给企业的关键应用保证带宽 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交