H3C SecPath T9000 系列是杭州华三通信技术有限公司(以下简称 H3C 公司)结合云计算、IPv6、大数据及高性能计算的发展趋 势,针对云计算数据中心、运营商 CGN、大型企业及园区网出口等市场推出的新一代高性能入侵防御设备。其中T9000系列包括T9006、T9010、T9014三款产品。
H3C SecPath T9000系列IPS产品部署在客户网络的关键路径上,通过对流经该关键路径上的网络数据流进行2到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,同时,H3C SecPath T9000系列产品还具有强大、实用的带宽管理和URL过滤功能。
在安全功能方面,SecPath T9000系列还一体化地集成了IPS、带宽管理、防病毒、应用控制、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、安全状态等多维度的策略控制功能。
H3C SecPath T9000系列多业务安全网关充分考虑网络应用对高可靠性的要求,采用领先的多核全分布式架构。主控引擎1+1冗余,提供整机统一配置管理,支持安全集群;业务引擎和接口单元支持混插,可以根据性能需求灵活进行选择;风扇模块冗余,风扇框支持风扇状态监控,风扇支持无级调速,可以根据环境温度、单板配置自动分组调速;电源模块M+N备份,交、直流电源模块支持热插拔,多电源模块负载分担,可灵活根据系统功耗配置模块数量,保证模块高效工作。设备所有单元均支持热插拔,充分满足网络维护、升级、优化的需求。在虚拟化方面,基于H3C领先的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。

SecPath T9006
SecPath T9010
SecPath T9014
产品特点
高性能的软硬件处理平台
采用控制、业务、数据相分离的全分布式架构,控制引擎、交换引擎、业务引擎及接口单元硬件分离,解耦合系统关键部件, 提高系统可靠性;独立的硬件交换引擎,支撑高性能安全业务无阻塞处理及转发。
独立的高性能控制引擎,实现系统统一配置管理和安全集群。
安全业务引擎采用最新多核高性能处理器,单板卡高速处理安全业务性能面向 40G/100G/200G;专业硬件 TCAM,保证大 容量策略表项的高速检索。
内置模块化软件系统,支持多进程的调度,进程间运行空间隔离,单个进程的异常不会影响系统其他部分,提高系统可靠性; 支持权限管理功能,基于特性、命令行、系统资源、WEB 管理等级别定义用户读写权限,提高系统安全性;支持热补丁、支 持 ISSU,不中断业务的情况下实现系统升级,提高系统易用性
业界最完善的虚拟化解决方案
支持N:1,1:N,N:1:M虚拟化,满足云计算资源池需求。
最多支持4台设备集群部署。
单块业务卡支持256个虚拟IPS,集群扩展后支持2048个虚拟IPS。
全面的网络安全防护能力
集成入侵防御与检测、病毒防护、带宽管理和URL 过滤等功能,是业界综合防护技术最领先的入侵防御/检测系统。通过深入到七 层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。
丰富的攻击防范技术。同时支持IPv4和IPv6。除提供普通的状态防火墙安全隔离技术外,针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法,地址欺骗攻击如IP spoofing,扫描攻击如IP地址攻击、端口攻击,异常流量攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。
全面、及时的攻击特征库
H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告,经过分析、验证所有这些威胁,生成保护操作系统、应用系统以及数据库漏洞的特征库。
特征库覆盖全面,包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征,同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征。
H3C通过了微软的MAPP (Microsoft Active Protections Program)认证,可以提前获得微软的漏洞信息。
攻击特征库通过了国际权威组织CVE(Common Vulnerabilities & Exposures,通用漏洞披露)的兼容性认证,在系统漏洞研究和攻击防御方面达到了业界顶尖水平。并关注国内特有的网络安全状况,及时对国内特有的攻击提供防御。
通过部署于全球的蜜罐系统,实时掌握最新的攻击技术和趋势,以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并自动或手动地分发到IPS设备中,使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。
丰富的响应方式
针对报文检测结果提供了丰富的响应方式,包括源阻断、丢弃、允许、限流、TCP Reset、捕获原始报文、重定向、记录日志、告警等。
各响应方式可以相互组合,并且设备出厂内置了一些常用的动作组合,以方便客户使用。
完善的IPv6解决方案
所有特性全面支持IPv6。
支持IPv6网络部署,支持IPv6管理、日志及审计。
电信级业务高可靠性
支持状态1:1热备功能,支持Active/Active 和Active/Passive两种工作模式,实现负载分担和业务备份。
支持SCF(安全集群系统),支持多框集群和异构集群,实现灵活管理和弹性扩展。
故障隔离:软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计,保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复,不影响硬件的运行
全面的管理监控手段
支持通过Web-GUI、CLI、SSH等多种手段管理设备。
基于角色的功能授权机制,可以实现到功能、命令行、菜单级的权限控制。
统一的SSM管理平台,可以实现设备的配置管理、性能监控、日志审计。
丰富的MIB节点便于外部设备进行性能监控。
开放的系统接口
开放接口:传统的网络操作系统为封闭的系统,有专用的系统概念和处理流程,缺乏开放性。而Comware V7使用通用的Linux操作系统,回归了主流的软件实现方式。提供开放的标准编程接口,可供用户利用Comware V7提供的基础功能,实现自己的专用功能,目前主要基于Netconf接口。
TCL脚本:Comware V7内嵌了TCL脚本执行功能,用户可以利用TCL脚本语言直接编写脚本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公开的编程接口等实现所需功能。
EAA:可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时,满足用户一些个性化需求。
产品规格
项目 |
T9006 |
T9010 |
T9014 |
主控槽位数 |
2 |
2 |
2 |
业务槽位数 |
4 |
8 |
12 |
网板槽位数 |
4 |
4 |
4 |
冗余设计 |
主控、交换网板、电源、风扇 |
||
外型尺寸(W ×H ×D) |
440mm×353mm×660mm |
440mm×886mm×660mm |
440mm×797mm×660mm |
机箱净重 |
<85kg |
<145kg |
<165kg |
环境温度 |
工作:0~45℃ 非工作:-40~70℃ |
||
环境湿度 |
工作:10~95%,无冷凝 非工作:5~95%,无冷凝 |
组网应用
H3C SecPath 系列IPS产品面向企业客户、行业客户、电信客户,支持透明接入,可不改变客户任何网络拓扑和网络配置,直接在线接入客户网络的关键路径上,如数据中心前、互联网出口、广域网边界、关键子网边界等,对客户网络提供入侵防护和带宽管理等业务。同时,根据客户的某些特殊要求,H3C SecPath T系列IPS产品也支持旁路部署,旁路部署时工作原理类似IDS。
企业园区网的深度安全防护应用
企业园区网是一个企业信息化的基础,在部署IPS时,要从全局安全和深度安全的角度对整网进行安全域的划分,如数据中心区域、DMZ区域、各部门办公区域、分支机构区域、合作伙伴区域、远程移动接入区域、Internet区域等,同时还有确定各安全域的安全级别。然后就可以根据各安全域的安全级别和企业的安全策略,在关键的安全区域部署IPS产品,如图4-1所示。
图1-1 H3C SecPath T系列IPS产品在企业园区网的一个抽象部署图
图4-1是H3C SecPath T系列IPS产品在企业园区网的一个抽象部署图,下面举例对图中的某几个部署点进行具体、细化地介绍。
根据企业Internet出口的带宽,选择特定型号的H3C SecPath T系列IPS产品部署在Internet出口,如T9010;根据企业安全策略,可启用T9010如下防护功能。
保护防火墙等网络基础设施
对Internet出口带宽进行精细控制,防止带宽滥用
URL过滤,过滤敏感网页内容
有些企业园区网有一定的特殊性,比如说双出口到Internet,这时可选择两台T9010分别接入一个出口,也可以利用T9010的虚拟系统特性、多接口特性和不会成为单点故障的高可靠性,将两个出口接入同一台T9010。
数据中心是企业的核心资产,需要重点保护, H3C SecPath 系列IPS产品部署在数据中心前面,可提供如下防护功能。
抵御来自内网攻击,保护核心服务器和核心数据
提供服务器漏洞防护,保证服务器最大正常运行时间
基于服务的带宽控制
利用H3C SecPath 系列IPS产品的虚拟系统特性,在单台IPS上,可以对数据中心不同的服务器应用不同的安全策略。同时,由于数据中心的重要性,很多企业在数据中心都采用了冗余的链路,这时多台H3C SecPath系列IPS也可冗余部署在多条链路上,以增加网络可靠性。另外,针对有些不允许在线接入安全设备的特殊场合,此处H3C SecPath 系列IPS也可旁路部署在数据中心的交换机上,从交换机上将访问数据中心的数量流镜像到IPS上,H3C SecPath 系列IPS也同样可以对镜像过来的数据流进行深度分析、检测,并发现网络中的安全威胁。