• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath T5000入侵防御系统

H3C SecPath T5000产品是H3C开发的业界专业的万兆IPS产品。H3C SecPath T5000产品部署在客户网络的关键路径上,通过对流经该关键路径上的网络数据流进行4到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,同时,H3C SecPath T5000产品还具有强大、实用的带宽管理和URL过滤功能。

H3C SecPath T5000产品面向运营商及行业市场,硬件上基于多核处理器架构,为2U的独立盒式设备。T5030、T5060和T5080提供4个千兆combo口,8个万兆光口,8个支持Bypass的千兆电口,并且提供5个扩展槽位用于进行端口及业务扩充。T5000-C、T5000-S提供4个千兆combo口,并且提供8个扩展槽位用于进行端口及业务扩充。

在安全功能方面,H3C SecPath T5000产品还一体化地集成了IPS、AV、病毒、应用控制、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、服务、IP等多维度的策略控制功能。

在虚拟化和可靠性方面,基于H3C专业的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。

高性能的软硬件处理平台

* H3C SecPath T5000产品采用了专用的最新64位(MIPS)多核高性能处理器和高速存储器,可以提供超万兆以上的安全业务处理性能。

* H3C SecPath T5000产品采用CPU+Switch架构,CPU进行安全业务处理,Switch实现多业务端口的扩展。H3C SecPath T5030/T5060/T5080标配支持多达8个万兆以太光口及8个Bypass千兆以太网电口及5个扩展插槽,支持40G接口。H3C SecPath T5000-C/T5000-S标配支持多达4个千兆Combo口及8个扩展插槽,支持40G接口。

完善的安全保障

业界最完善的虚拟化解决方案

* 支持N:1,1:N,N:1:M等多种方式虚拟化,满足云计算资源池需求。

* 支持虚拟入侵防御的创建、启动、关闭、删除功能;可独立分配CPU/内存等计算资源;可独立管理,独立保存配置;具备独立会话管理、NAT、路由等功能。

全面的网络安全防护能力

* 集成入侵防御与检测、病毒防护、带宽管理和URL过滤等功能,是业界综合防护技术专业的入侵防御/检测系统。通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。

* 丰富的攻击防范技术。同时支持IPv4和IPv6。除提供普通的状态防火墙安全隔离技术外,针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法,地址欺骗攻击如IP spoofing,扫描攻击如IP地址攻击、端口攻击,泛洪攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。

全面、及时的攻击特征库

* H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告,经过分析、验证所有这些威胁,生成保护操作系统、应用系统以及数据库漏洞的特征库。

* 特征库覆盖全面,包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征,同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征。

* H3C通过了微软的MAPP (Microsoft Active Protections Program)认证,可以提前获得微软的漏洞信息。

* 攻击特征库通过了国际权威组织CVE(Common Vulnerabilities & Exposures,通用漏洞披露)的兼容性认证,在系统漏洞研究和攻击防御方面达到了业界顶尖水平。并关注国内特有的网络安全状况,及时对国内特有的攻击提供防御。

* 通过部署于全球的蜜罐系统,实时掌握最新的攻击技术和趋势,以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并自动或手动地分发到IPS设备中,使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。

丰富的响应方式

* 针对报文检测结果提供了丰富的响应方式,包括阻断、丢弃、允许、CP Reset、抓取原始报文、重定向、记录日志、告警等。

* 各响应方式可以相互组合,并且设备出厂内置了一些常用的动作组合,以方便客户使用。

完善的IPv6解决方案

* 所有特性全面支持IPv6。

* 支持IPv6网络部署,支持IPv6管理、日志及审计。

电信级业务高可靠性

* 支持状态1:1热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份。

* 支持SCF(安全集群系统),实现灵活管理和弹性扩展。

* 故障隔离:软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计,保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复,不影响硬件的运行。

全面的管理监控手段

* 支持通过Web-GUI、CLI、SSH等多种手段管理设备。

* 基于角色的功能授权机制,可以实现到功能、命令行、菜单级的权限控制。

* 统一的SSM管理平台,可以实现设备的配置管理、性能监控、日志审计。

* 丰富的MIB节点便于外部设备进行性能监控。

开放的系统接口

* 开放接口:传统的网络操作系统为封闭的系统,有专用的系统概念和处理流程,缺乏开放性。而Comware V7使用通用的Linux操作系统,回归了主流的软件实现方式。提供开放的标准编程接口,可供用户利用Comware V7提供的基础功能,实现自己的专用功能,目前主要基于NetConf接口。

* TCL脚本:Comware V7内嵌了TCL脚本执行功能,用户可以利用TCL脚本语言直接编写脚本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公开的编程接口等实现所需功能。

* EAA:可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时,满足用户一些个性化需求。

表1-1

表1-2 T5030/T5060/T5080

项目

描述

接口

1个配置口(CON)

2个外置USB host接口

4个combo口RJ45+SFP

8个万兆以太光口

8个bypass千兆电口

扩展槽位

5个

电源

双电源

外型尺寸(W×D×H)

440×660×88.1mm

环境温度

工作:0~45℃

非工作:-40~70℃

环境湿度

工作:10~95%,无冷凝

非工作:5~95%,无冷凝

表1-3 T5000-C/T5000-S

项目

描述

接口

1个配置口(CON)

2个外置USB host接口

4个combo口RJ45+SFP

扩展槽位

8个

电源

双电源

外型尺寸(W×D×H)

440×660×88.1mm

环境温度

工作:0~45℃

非工作:-40~70℃

环境湿度

工作:10~95%,无冷凝

非工作:5~95%,无冷凝

表1-4 功能特性表

属性

说明

网络安全性

DPI

支持IPS

支持应用控制及应用带宽管理

支持防病毒

支持URL过滤

支持应用识别

支持Bypass

防范的网络攻击类型和网络滥用类型

蠕虫/病毒

木马

后门

DoS/DDoS攻击

探测/扫描

间谍软件

网络钓鱼

利用漏洞的攻击

SQL注入攻击

缓冲区溢出攻击

协议异常

IDS/IPS逃逸攻击

P2P、流媒体滥用

IM滥用

网游滥用

攻击防范

基本ACL和高级ACL

基于安全区域的访问控制

基于时间段的访问控制

ASPF

DOS/DDOS攻击防范:包括SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood,DNS Flood、HTTP Flood

畸形包攻击如:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、IP分片报文攻击、分片报文攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、ICMP重定向或不可达报文

扫描窥探攻击防范:端口扫描、地址扫描、IP路由记录选项报文、Tracert报文

静态和动态黑名单功能

连接数限制

安全审计

攻击实时日志

域间策略匹配日志

黑名单日志

连接数限制日志

会话日志

流量统计和分析功能

安全事件统计功能

网络协议

IP服务

ARP

· 静态ARP

· 动态ARP

· ARP代理

· 免费ARP

DNS

· 本地静态域名

· DNS Client

NTP

· NTP Client

· NTP Server

IP路由

静态路由管理

策略路由

动态路由

· RIP-1/RIP-2

· OSPF

· 路由策略

高可靠性

支持集群部署,可以将2台设备虚拟成一台设备使用,实现统一管理,统一配置

支持集群内1:1备份

支持双机热备的主备模式、双主模式,选择性开启状态热备

支持静态链路聚合、支持动态链路聚合、支持跨设备链路聚合

链路质量探测NQA

支持BFD

热补丁

ISSU

配置管理

命令行接口

通过Console口进行本地配置

通过Telnet或SSH进行本地或远程配置

支持基于RBAC的细粒度权限控制,可以控制具体命令的权限

User-interface配置,提供对登录用户多种方式的认证和授权功能

Web网管接口

支持通过Web方式进行配置

支持Web管理员的超时下线

支持Web用户的登录和鉴权

支持基于RBAC的细粒度权限控制,可以控制具体Web菜单的操作权限

支持标准网管SNMP

支持SNMPV1、V2c和SNMPV3


IPS在线部署方式

部署于网络的关键路径上,对流经的数据流进行4-7层深度分析,实时防御外部和内部攻击。

IDS旁路部署方式

对网络流量进行监测与分析,记录攻击事件并告警。


(1)主机选购一览表

项目

数量

备注

H3C SecPath T5030/T5060/T5080/T5000-C/T5000-S主机

1

必配

(2)License选购一览表

项目

数量

备注

H3C SecPath T5000,IPS/AV/ACG特征库升级服务,1年

0-N

选配

H3C SecPath T5000,IPS/AV/ACG特征库升级服务,3年

0-N

选配

H3C SecPath T5000安全威胁情报升级服务授权函,1年

0-N

选配

H3C SecPath T5000安全威胁情报升级服务授权函,3年

0-N

选配

H3C SecPath T5000 WAF特征库升级授权函,1年

0-N

选配

H3C SecPath T5000 WAF特征库升级授权函,3年

0-N

选配

(3)电源模块选购一览表

电源模块

描述

备注

PSR650B-12A1-A

650W交流电源模块

选配

PSR650B-12D1-A

650W直流电源模块

选配

注:电源至少配置1块,不支持混插

(4)风扇模块选购一览表

风扇模块

描述

备注

FAN-20F-2-A

风扇模块(电源侧进风,端口侧出风)

选配

FAN-20B-2-A

风扇模块(端口侧进风,电源侧出风)

选配

注:T5030/60/80风扇必配2块,不支持混插

(5)接口模块选购一览表

接口模块

描述

备注

NSQM1GT8A

8端口千兆电

选配

NSQM1GP8A

8端口千兆光

选配

NSQM1G4XS4

4端口万兆+4端口千兆光

选配

NSQM1GT4PFCA

4端口千兆Bypass

选配

NSQM1TG8A

8端口万兆

选配

NSQM1QG2A

2端口40G

选配

(6)硬盘选购一览表

硬盘

描述

备注

NS-SSD-480G-SATA-SFF

480G SSD硬盘

选配

NS-SSD-1.92T-SATA-SFF

1.92T SSD硬盘

选配

说明

· “必配”表示所描述项目是设备正常运行的最小配置。

· “选配”表示所描述项目是用户根据实际使用需要可选择配置。

获取更多资源与支持

需要技术帮助?

如果您需要更多更准确的技术帮助

去往技术论坛 >

新华三官网
联系我们