• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath T9000入侵防御系统

H3C SecPath T9000系列产品是H3C公司开发的高端IPS产品。H3C SecPath T9000系列IPS产品部署在客户网络的关键路径上,通过对流经该关键路径上的网络数据流进行4到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,同时,H3C SecPath T9000系列产品还具有强大、实用的带宽管理和URL过滤功能。

H3C SecPath T9000系列是面向运营商及行业市场的高端IPS产品。在安全功能方面,H3C SecPath T9000系列一体化地集成了IPS、AV、病毒、应用控制、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、服务、IP等多维度的策略控制功能。

在虚拟化和可靠性方面,基于H3C的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。

高性能的软硬件处理平台

* 采用控制、业务、数据相分离的全分布式架构,控制引擎、交换引擎、业务引擎及接口单元硬件分离,解耦合系统关键部件, 提高系统可靠性;独立的硬件交换引擎,支撑高性能安全业务无阻塞处理及转发。

* 独立的高性能控制引擎,实现系统统一配置管理和安全集群。

* 安全业务引擎采用多核高性能处理器,保证大 容量策略表项的高速检索。

* 内置模块化软件系统,支持多进程的调度,进程间运行空间隔离,单个进程的异常不会影响系统其他部分,提高系统可靠性; 支持权限管理功能,基于特性、命令行、系统资源、WEB 管理等级别定义用户读写权限,提高系统安全性;支持热补丁、ISSU,不中断业务的情况下实现系统升级,提高系统易用性。

完善的安全保障

业界最完善的虚拟化解决方案

* 支持N:1,1:N,N:1:M等多种方式虚拟化,满足云计算资源池需求。

全面的网络安全防护能力

* 集成入侵防御与检测、病毒防护、带宽管理和URL 过滤等功能,是业界综合防护技术较佳的入侵防御/检测系统。通过深入到7 层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。

* 丰富的攻击防范技术。同时支持IPv4和IPv6。除提供普通的状态防火墙安全隔离技术外,针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法,地址欺骗攻击如IP spoofing,扫描攻击如IP地址攻击、端口攻击,泛洪攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。

全面、及时的攻击特征库

* H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告,经过分析、验证所有这些威胁,生成保护操作系统、应用系统以及数据库漏洞的特征库。

* 特征库覆盖全面,包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征,同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征。

* H3C通过了微软的MAPP (Microsoft Active Protections Program)认证,可以提前获得微软的漏洞信息。

* 攻击特征库通过了国际权威组织CVE(Common Vulnerabilities & Exposures,通用漏洞披露)的兼容性认证,在系统漏洞研究和攻击防御方面达到了业界顶尖水平。并关注国内特有的网络安全状况,及时对国内特有的攻击提供防御。

* 通过部署于全球的蜜罐系统,实时掌握攻击技术和趋势,以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并自动或手动地分发到IPS设备中,使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。

丰富的响应方式

* 针对报文检测结果提供了丰富的响应方式,包括阻断、丢弃、允许、CP Reset、抓取原始报文、重定向、记录日志、告警等。

* 各响应方式可以相互组合,并且设备出厂内置了一些常用的动作组合,以方便客户使用。

完善的IPv6解决方案

* 所有特性全面支持IPv6。

* 支持IPv6网络部署,支持IPv6管理、日志及审计。

电信级业务高可靠性

* 支持状态1:1 热备功能,支持Active/Active 和Active/Passive 两种工作模式,实现负载分担和业务备份。

* 支持SCF(安全集群系统),实现灵活管理和弹性扩展。

* 故障隔离:软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计,保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复,不影响硬件的运行

全面的管理监控手段

* 支持通过Web-GUI、CLI、SSH等多种手段管理设备。

* 基于角色的功能授权机制,可以实现到功能、命令行、菜单级的权限控制。

* 统一的SSM管理平台,可以实现设备的配置管理、性能监控、日志审计。

* 丰富的MIB节点便于外部设备进行性能监控。

开放的系统接口

* 开放接口:传统的网络操作系统为封闭的系统,有专用的系统概念和处理流程,缺乏开放性。而Comware V7使用通用的Linux操作系统,回归了主流的软件实现方式。提供开放的标准编程接口,可供用户利用Comware V7提供的基础功能,实现自己的专用功能,目前主要基于Netconf接口。

* TCL脚本:Comware V7内嵌了TCL脚本执行功能,用户可以利用TCL脚本语言直接编写脚本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公开的编程接口等实现所需功能。

* EAA:可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时,满足用户一些个性化需求。

规格列表

项目

T9006

T9010

T9014

主控槽位

2

2

2

业务槽位

4

8

12

交换网板槽位数

4

4

4

外形尺寸(W*H*D)

440mm x 353mm x 660 mm
8RU

440mm x 886mm x 660mm
20RU

440mm x 797mm x 660mm
18RU

环境温度

工作:0~45℃

非工作:-40~70℃

环境湿度

工作:10~95%,无冷凝

非工作:5~95%,无冷凝

功能特性表

属性

说明

网络安全性

DPI

支持IPS

支持应用控制及应用带宽管理

支持防病毒

支持URL过滤

支持应用识别

支持bypass

防范的网络攻击类型和网络滥用类型

蠕虫/病毒

木马

后门

DoS/DDoS攻击

探测/扫描

间谍软件

网络钓鱼

利用漏洞的攻击

SQL注入攻击

缓冲区溢出攻击

协议异常

IDS/IPS逃逸攻击

P2P滥用

IM滥用

网游滥用

攻击防范

基本ACL和高级ACL

基于安全区域的访问控制

基于时间段的访问控制

ASPF

DOS/DDOS攻击防范:包括SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood,DNS Flood、HTTP Flood

畸形包攻击如:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、IP分片报文攻击、分片报文攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、ICMP重定向或不可达报文

扫描窥探攻击防范:端口扫描、地址扫描、IP路由记录选项报文、Tracert报文

静态和动态黑名单功能

连接数限制

安全审计

攻击实时日志

域间策略匹配日志

黑名单日志

连接数限制日志

会话日志

流量统计和分析功能

安全事件统计功能

网络协议

IP服务

ARP

静态ARP

动态ARP

ARP代理

免费ARP

DNS

本地静态域名

DNS Client

NTP

NTP Client

NTP Server

IP路由

静态路由管理

策略路由

动态路由

RIP-1/RIP-2

OSPF

路由策略

高可靠性

支持集群部署

支持集群内1:1备份

支持选择性开启状态热备

支持静态链路聚合、支持动态链路聚合、支持跨设备链路聚合

链路质量探测NQA

支持BFD

热补丁

ISSU

配置管理

命令行接口

通过Console口进行本地配置

通过Telnet或SSH进行本地或远程配置

支持基于RBAC的细粒度权限控制,可以控制具体命令的权限

User-interface配置,提供对登录用户多种方式的认证和授权功能

Web网管接口

支持通过Web方式进行配置

支持Web管理员的超时下线

支持Web用户的登录和鉴权

支持基于RBAC的细粒度权限控制,可以控制具体Web菜单的操作权限

支持标准网管SNMP

支持SNMPV1、V2c和SNMPV3

IPS在线部署方式

部署于网络的关键路径上,对流经的数据流进行4-7层深度分析,实时防御外部和内部攻击。

IDS旁路部署方式

对网络流量进行监测与分析,记录攻击事件并告警。

(1)主机&引擎选购一览表

项目

数量

备注

SecPath T9006主机

1

必配

SecPath T9010主机

1

必配

SecPath T9014主机

1

必配

SecPath T9000系列主控引擎

1-2

必配,至少1块

SecPath M9006交换引擎

2-4

必配,至少2块

SecPath M9010交换引擎

2-4

必配,至少2块

SecPath M9014交换引擎

2-4

必配,至少2块

(2)板卡选购一览表

模块

数量

备注

IPS业务板

依据机箱线卡槽位数

必配

48端口千兆以太网电接口

依据机箱线卡槽位数

可选

48端口增强型千兆以太网光接口

依据机箱线卡槽位数

可选

16端口千兆以太网光口(SFP,LC)+8端口千兆以太网Combo口+2端口万兆以太网光接口

依据机箱线卡槽位数

可选

4端口万兆以太网光接口模块

依据机箱线卡槽位数

可选

8端口万兆以太网光接口模块

依据机箱线卡槽位数

可选

32端口万兆以太网光接口模块

依据机箱线卡槽位数

可选

4端口40G以太网光接口板

依据机箱线卡槽位数

可选

2端口100G以太网光接口板

依据机箱线卡槽位数

可选

注:电源至少配置1块,不支持混插

(3)License选购一览表

项目

数量

备注

H3C SecPath T9000,IPS/AV/ACG 特征库升级服务,1年

0-N

选配

H3C SecPath T9000,IPS/AV/ACG 特征库升级服务,3年

0-N

选配

(4)电源选购一览表

接口模块

描述

备注

交流电源模块

1-2

必选1个电源,最多可选2个,根据设备供电情况选择电源模块

直流电源模块

1-2

必选1个电源,最多可选2个,根据设备供电情况选择电源模块

& 说明:

“必配”表示所描述项目是设备正常运行的最小配置。

“选配”表示所描述项目是用户根据实际使用需要可选择配置。

获取更多资源与支持

需要技术帮助?

如果您需要更多更准确的技术帮助

去往技术论坛 >

新华三官网
联系我们