EAD端点准入防御解决方案

EAD端点准入防御解决方案

伴随着网络应用技术的快速发展，网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题，已经直接影响到企业的正常运营。如何应对网络安全威胁，确保企业网络安全，为企业运营提供可靠的网络保障，已经是每一个企业决策者不得不关注得问题，也是每一个网络管理员不得不面对得挑战。

目前，多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在企业网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用企业禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业网络安全管理急需解决的问题。

传统的网络安全产品对于网络安全问题的解决，通常是被动防御，事后补救。H3C端点准入防御（EAD，Endpoint Admission Defense）解决方案则从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。

方案概述

EAD解决方案在用户接入网络前，强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果，强制实施用户接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作；在保证用户终端具备自防御能力并安全接入的前提下，合理控制用户的网络行为，提升整网的安全防御能力。系统应用示意图如下所示：

功能特点

? 完备的安全状态评估

用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本等反映终端防御能力的状态信息。EAD通过对终端安全状态进行评估，使得只有符合企业安全标准的终端才能准许访问网络。 ? 实时的“危险”用户隔离

系统补丁、病毒库版本不及时更新的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。用户上网过程中，如果终端发生感染病毒等安全事件，EAD系统可实时隔离该“危险”终端。

? 基于角色的网络服务

在用户终端在通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全客户端下发系统配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一管理，并实时应用实施。

? 可扩展的、开放的安全解决方案

EAD是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有企业网中，只需对网络设备和第三方软件进行简单升级，即可实现接入控制和防病毒的联动，达到端点准入控制的目的，有效保护用户的网络投资。

EAD也是一个开放的安全解决方案。EAD系统中，安全策略服务器与网络设备的交互、与第三方服务器的交互都基于开放、标准的协议实现。在防病毒方面，目前EAD系统已与诺顿、McAFee、趋势、CA、瑞星、金山、江民等多家主流防病毒厂商的产品实现联动。 ? 灵活、方便的部署与维护

EAD方案部署灵活，维护方便，可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。EAD可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒，不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。 方案部件

EAD是一个整合与联动的安全解决方案，主要部件包括安全策略服务器、安全客户端、安全联动设备和第三方服务器。 ? 安全策略服务器

EAD方案中的用户管理与策略控制中心，实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能，是EAD解决方案的核心部件。H3C公司的CAMS产品作为安全策略服务器，可以在全面管理网络用户信息的基础上，实现对网络用户的身份认证和接入终端的安全认证，并通过与网络设备的联动控制用户网络访问行为。同时，该系统详细记录了用户上网信息和安全事件信息，可以方便地跟踪审计用户上网行为和安全事件。

? 安全客户端

安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的代理。安全客户端可按照企业安全策略的要求，集成第三方厂商的安全产品插件，提供丰富的身份认证方式、实施基于角色的安全策略。

? 安全联动设备

企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供差异化服务的作用。H3C系列交换机、路由器、安全网关等网络设备，可以通过标准的协议与CAMS安全策略服务器的联动，在不同的应用场景实现对用户的准入控制。 ? 第三方服务器

第三方服务器是指病毒服务器、补丁服务器等网络安全产品。通过安全客户端的代理插件以及安全策略服务器的策略控制，第三方安全产品可以集成至EAD解决方案中，实现不同层面安全功能的联动与融合。 典型组网应用

? 局域网安全防护

在企业网内部，接入终端一般是通过交换机接入企业网络，EAD通过与接入层交换机的联动，强制检查用户终端的病毒库和系统补丁信息，降低病毒和蠕虫蔓延的风险，同时强制实施网络接入用户的安全策略，阻止来自企业内部的安全威胁。 ? VPN接入网络的安全防护

许多企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前，检查用户终端的安全状态，并在用户认证通过后实施企业安全策略。对于没有安装EAD安全客户端的远程用户，管理员可以选择拒绝其访问内部网络或限制其访问权限。 ? 企业关键数据保护

接入网络的用户终端的访问权限受EAD下发的安全策略控制，对企业关键数据服务器的访问也因此受到保护。在EAD的控制下，访问企业关键数据的用户需要通过身份验证和安全状态检查，可以避免企业敏感信息遭受非法访问和恶意攻击。 ? 网络入口安全防护

大型企业往往拥有分支机构或合作伙伴，其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍，受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在企业入口路由

器中实施EAD准入控制，保证接入网络的用户终端不会对内部网络造成安全威胁。

IPSec VPN解决方案

随着企业规模日益扩大，客户分布日益广泛，合作伙伴日益增多，传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。虚拟专用网（VPN）满足了企业对网络的灵活性、安全性、经济性、扩展性等多方面要求，赢得了越来越多的企业的青睐，使企业可以较少地关注网络的运行与维护，更多地致力于企业商业目标的实现。

对于企业网用户来说，IPSec VPN是一个公认的理想解决方案。IPSec是业界标准的网络安全协议，可以为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，从而有效抵御网络攻击。

H3C的IPSec VPN解决方案以IPSec技术为基础，与GRE、L2TP等技术的灵活组合给用户提供多样的、高可靠性的解决方案并配合高性能VPN网关、VPN路由器、VPN Manager、BIMS等软硬件设施为用户提供包括接入、传输、认证、管理、配置等全方位解决方案。 方案概述

H3C VPN解决方案，由VPN接入网关子系统、VPN管理子系统两个部分组成。 VPN接入网关子系统

VPN接入网关子系统设备是整个VPN系统的核心部分，其设备可以采用专用VPN网关设备secpath系列来实现，也可以采用H3C高性能的AR系列路由器来承担。

SecPath系列VPN安全网关是H3C公司面向企业用户开发的新一代专业安全网关设备，具有非常高的性能以及丰富的功能特性。VPN安全网关支持防火墙、AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络，支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、MPLS VPN等，可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。

AR46路由器也可作为VPN网关接入。为了提升AR46的加密性能，实际使用时可以将AR46和ENDE加密卡配合完成，该加密卡具有强劲的专用加密卡和加密芯片。同时，采用高性能的CPU、高速大容量内存也保障了优秀的加密性能。 VPN管理子系统

VPN管理子系统由两个组件组成：H3C VPN Manager系统以及H3C BIMS分支智能管理系统。VPN Manager可以简化VPN的部署和配置，可以完成对网路的VPN状态的监控。BIMS可以完成对后续设备进行升级配置和管理的需求。

H3C VPN Manager系统，以用户实际配置任务为驱动，提供IPSec VPN业务配置向导，指导用户进行IPSec VPN设备配置，构建VPN网络。在配置业务中，提供预定义配置参数功能，以方便高级用户预定义、重用配置信息。并提供缺省配置，以使用户初次使用本管理软件时，能快速配置IPSec VPN设备，而无需进行过多配置及软件使用学习。

为了避免在设备上留下冗余的配置信息，支持“清除”功能，能够在重新配置以及配置命令下发过程中出现失败的情况下，清除设备已配置的信息。为了管理方便，以网络域为配置单位，减少配置操作，对网络域的配置会自动赋予网络域内的全部设备，用户可一次性对网络域内所有设备进行相同配置部署。同时，用户也可指定某个设备的特殊配置。

BIMS分支智能管理系统实现从网络管理中心来集中对网络设备的管理，如配置文件下发、设备软件升级等。BIMS（Branch Intelligent Management System）可实现对动态获取IP地址的设备或位于NAT网关后面的分支网点设备的集中、有效的监控和管理，尤其在对业务应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时，BIMS会极大提高管理的效率，大大节约管理成本。同时，为了保证通讯安全，BIMS对传输的消息数据进行加密处理。 方案特点

1、组网灵活，使用范围广

H3C公司从企业用户业务需求、可靠性要求和投资规模等多方面综合考虑，量身打造了多种分支机构上联企业总部的解决方案，包含单链路单网关型、VPN网关备份型和双链路双网关型等多种方案。

方案采用支持NAT穿越和野蛮模式（中心节点通过设备ID名进行协商而不再需要地址信息检查）的方式，解决了分支机构用户通过NAT设备进入Internet和IP地址不固定的用户上网的两类问题，满足了企业用户分支节点接入的多样性需求。

2、管理简单明了

该方案提供专用的管理系统VPN MANAGER，直观友好、简单易用的图形管理界面，简化了管理员的维护操作。支持自动发现和构建VPN拓扑，直观查看VPN通道状态、通道流量情况、VPN设备的运行情况等。能够快速定位网络故障，为解决问题赢得时间。

3、企业分支设备集中配置

分支机构分布广、设备多、配置重复，往往给企业的IT管理带来了繁重的工作量，H3C公司的BIMS（分支智能管理系统）为解决这一问题营运而生。BIMS采用分支设备主动，网管被动的方式对分支的设备进行管理，网络连接由分支设备主动发起，公私网地址转换、动态IP地址、批量设备配置等难题迎刃而解。

4、全系列设备支持

该方案涵盖了H3C公司全系列中低端路由器、VPN网关等产品，为客户提供了多种经过验证、有保证的安全解决方案，企业用户可以根据自己的实际需要和投资规模找到最适合的选择。 典型组网应用

在实际的组网中，可以根据企业实际情况，采用灵活多样的组网方式，用最低的代价实现企业VPN接入需求。可以采用基本组网方案、VPN网关备份组网方案和高可靠性VPN组网方案。 基本组网方案

该组网方案采用单链路单网关方式，在总部局域网数据中心部署VPN Manager组件，实现对VPN网关的部署管理和监控，在总部局域网内部或Internet边界部署BIMS系统，实现对分支机构VPN网关设备的自动配置和策略部署。

该方案主要面向对网络链路要求不高的小型分支机构，可根据企业实际情况采用IPSec VPN、IPSec over GRE VPN、GRE over IPSec VPN、L2TP over IPSec VPN等方式实现接入。 VPN网关备份组网方案 OA服务器

该组

网方案采用单链路双网关方式，对VPN网关进行了双机备份。

该方案面向对可靠性等指标提出了较高要求的用户。根据实际情况，可采用L2TP、VRRP、OSPF方式实现对网关间的备份。 高可靠性VPN组网方案

该组网方案在VPN网关备份的基础上，对于接入分支节点的链路也进行了备份。在进行链路备份时，不同链路分别接入到不同的ISP，主链路采用光纤接入，备份链路采用ADSL进行热备。为了增强VPN网关的稳定性，在VPN网关节点部署双VPN网关，利用该VPN双网关可以有效的提高系统的可靠性。同时，对于业务分支节点较大的企业，可以通过有效配置实现业务的负载分担。

该方案主要面向特别重要、对可靠性要求非常高的分支机构，但其实现的成本也最高。

边界安全解决方案

前言

随着网络技术的不断发展以及网络建设的复杂化，网络边界安全成为最重要的安全问题，需要对其进行有效的管理和控制，主要体现在以下几个方面：

网络隔离需求：

主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数，可以实现对网络流量的精细控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。

攻击防范能力：

由于TCP/IP协议的开放特性，缺少足够的安全特性的考虑，带来了很大的安全风险，常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击（DoS/DDoS）等，必须能够提供有效的检测和防范措施。

病毒抵御能力：

网络中蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透，后门木马和垃圾邮件侵袭的不断，影响企业用户的正常工作，甚至威胁的企业生存。如何识别和处理病毒，抵御未知病毒，降低网络风险成为急需解决的问题。

网络可视化监控：

网络流量的统计、实时流量的监控、系统漏洞检测和网络流量应用管理等功能，是网络管理的基础。如果可以图形化界面和直观全面的展现各种统计信息，就能够帮助管理人员可掌握网络状况，增强了网络的风险防范能力。

网络优化需求：

对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QoS机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如支持WEB和EMAIL过滤，支持P2P识别并限流等能力。

用户管理需求：

对于接入局域网、广域网或者Internet的内网用户，都需要对他们的网络应用行为进行管理，包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。 方案概述

对边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产，其次

对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。根据以上原则，H3C提出以下的安全分区设计模型，主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等区域。

通过以上的分区设计和网络现状，H3C提出了以防火墙、VPN和应用层防御系统为支撑的深度边界安全解决方案：

路由器

路由器在网络中承担路由转发的功能，它们讲流量引导进入网络、流出网络或者在网络中传输，由于边界路由器具有丰富的网络接口，一般置于internet出口或广域网出口，是流量进入和流出之前我们可以控制的第一道防线。

防火墙

防火墙是最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。

由于防火墙部署位置的先天优势，在防火墙中提供了病毒防护和网络流量实时监控功能。

防病毒

通过开启病毒防护可以在网关处抵御了网络中病毒、木马等威胁的传播，保护网络内部用户免受侵害。采用ASM实现了网关病毒防御，改变了原有被动等待病毒感染的防御模式，实现网络病毒的主动防御，切断病毒在网络边界传递的通道。

网流监控

通过启用流量监控功能可以实时收集网络流量信息，分析网络应用情况，可以识别分析一百多种协议，包括P2P等应用层协议。NSM(用于防火墙)/NAM（用于路由器）模块可以将收集的信息存储在本地，或远端服务器，为用户提供优化和再投资的依据。

VPN

VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。VPN只为特定的企业或用户群体所专用。从用户角度看来，使用VPN与传统专网没有任何区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被网络中的其它VPN或非该VPN用户使用；另一方面，VPN提供足够安全性，能够确保VPN内部信息的完整性、保密性、不可抵赖性。

VPN具有成本低、易扩展、高安全等优点，尤其是免客户端的SSL VPN，进一步降低企业用户的投入。通过公用网来建立VPN，可以节省大量的通信费用，并且可以灵活的增加和删除VPN节点。通过VPN，可以在远端用户、分支机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全。利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率。

应用层防御

传统的安全解决方案中，防火墙和入侵检测系统 (IDS，Intrusion Detection System) 已经被普遍接受，但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备，不能充分地分析应用层协议数据中的攻击信号，而IDS也不能阻挡

检测到的攻击。因此，即使在网络中已部署了防火墙、IDS等基础网络安全产品，IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果，必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。

以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过在线部署，检测并直接阻断恶意流量。

方案特点

全面防护

通过对安全区域的设计、配合病毒防护和流量监控功能，在网络边界部署防火墙、VPN、IPS等安全设备，不仅能够保证2至7层的安全，同时也保证了数据传输的安全性，形成动态、立体、深层次的全面安全防护；

VPN特性丰富

H3C安全解决方案的VPN特性非常丰富，包括适用于分支机构的动态VPN（DVPN）解决方案、适用于MPLS VPN和IPSec VPN环境下的VPE解决方案、适用于链路备份的VPN高可用方案等，可以满足各种VPN环境的需要；

深层防护

通过H3C防火墙和IPS的部署，可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对P2P应用禁止和限流、对服务器的虚拟软件补丁管理、抵抗DoS/DDoS的攻击等等。 典型组网应用

在企业互联网出口部署防火墙和VPN设备，分支机构及移动办公用户分别通过VPN网关和VPN客户端安全连入企业内部网络；同时通过防火墙和IPS将企业内部网、DMZ、数据中心、互联网等安全区域分隔开，并通过制定相应的安全规则，以实现各区域不同级别、不同层次的安全防护。 内网安全解决方案 前言

在所有的安全事件中，有超过70%的安全事件是发生在内网上的，并且随着网络的庞大化和复杂化，这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点，但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因，一直以来也都是安全建设的难点。

一般说来，内网安全应该考虑以下问题： ? 终端安全策略部署

终端安全是内网安全的核心问题，终端安全策略的部署也就是内网安全的最主要部分。但是受限于终端用户安全应用水平，如何确保网络中的终端安全状态符合企业安全策略，却是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端，是一项费时费力的工作，往往造成企业安全策略与终端安全实施之间存在巨大的差距。 ? 内网访问控制部署

传统上，在内网是通过划分VLAN，配合ACL进行访问控制，这虽然可以在一定程度上实现内网访问控制，却难以做到比较精细的安全控制，同时也可能会影响到VLAN间用户的访问，从而影响网络的使用效率。对于部分交换机，ACL数量的增加会导致严重的性能下降。如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。 ? 网络自身安全保障

目前在内网安全事件中，出现从攻击主机转为攻击网络资源的趋势，而传统的以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。 方案概述

H3C的内网安全解决方案考虑到内网安全的方方面面，针对上述内网安全的主要问题都提出了有针对性的技术，这些技术相互关联、相互配合，形成完善的内网安全解决方案。 ? 端点准入防御解决终端合规性问题

为了解决现有安全防御体系中存在的不足，H3C推出了端点准入防御（EAD），旨在整合孤立的单点防御系统，加强对用户的集中管理，统一实施企业安全策略，提高网络终端的主动抵抗能力。

EAD将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

EAD方案通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合，可以将不符合安全要求的终端限制在“隔离区” 内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括：

? 检查——检查用户终端的安全状态，配合不同方式的身份验证技术（802.1x、

VPN、Portal等），可以确保接入终端的合法与安全。

? 隔离——隔离违规终端。不符合企业安全策略的终端，将被限制访问权限，

只能访问“隔离区”内的病毒库/补丁服务器等用于系统修复的网络资源。 ? 修复——强制安装系统补丁、升级防病毒软件。

? 管理与监控——EAD提供了集接入策略、安全策略、服务策略、安全事件

监控于一体的用户管理平台，可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合，强制实施终端安全配置（如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等），监控用户终端的安全事件（如查杀病毒、修改安全设置等）。

? 以防火墙为核心的内网访问控制

为解决传统基于VLAN和ACL的内网访问控制解决方案的不足，H3C提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的SecBlade防火墙模块，通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性，实现对同一VLAN内终端之间的访问限制。

SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起，使得交换机在高性能数据转发的同时，能够根据组网的特点处理安全业务。防火墙模块主要实现对企业网络的监控和业务的约束，插入交换机中实现企业网络和园区网络的安全隔离。

SecBlade 防火墙模块主要对需要保护的区域进行策略定制和控制，可以支持所有报文的安全检测，同时SecBlade 防火墙模块支持多安全区域的设置，支持SECURE VLAN，对于需要防火墙隔离或保护的VLAN区域，用户可以将SECURE VLAN绑缚到其中的一个SecBlade 防火墙插卡模块上，这样可以通过设置SECURE VLAN支持对交换机内网之间（不同VLAN之间）访问的策略定制和安全检测。

此外，端口隔离也是内网访问控制的一个有效手段，端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时，可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机，也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播，减小受感染主机可能造成的危害。 ? 交换机安全特性实现网络自身安全保障

以太网在设计时没有考虑安全性的要求，这造成了以太网自身存在很多的安全隐患，正是这种原因，目前出现了从攻击主机向攻击网络资源转变的趋势。

基于H3C在以太网安全领域积累的大量经验，在H3C交换机产品中提供了大量的安全特性，可以充分保障以太网的安全。这些安全特性同时也是内网安全解决方案中很多功能实现的基础，例如在EAD解决方案中就使用到了接入交换机的Port Security特性。这些安全特性包括：

? 接入控制技术——Port Security ? 接入安全技术——防IP伪装

? 防中间人攻击——STP Root / BPDU 保护 ? 防ARP欺骗 ? DHCP server 保护 ? 路由协议攻击防护能力

以上特性的详细信息可参考H3C交换机操作手册。 典型部署

内网安全解决方案的典型部署如下图所示：

内网安全解决方案典型组网

全网都要部署具有丰富安全特性的交换机产品，这是内网安全实现的基础。根据内网应用的要求设计VLAN，并通过SecBlade防火墙安全插卡实现VLAN之间的访问控制，结合交换机的端口隔离特性实心VLAN内的访问限制。

在所有的终端上部署EAD解决方案所需的iNode客户端，对终端的安全策略进行检查，检查的结果将送至部署于网络管理区域的CAMS安全策略服务器，在同样部署于网络管理区的病毒库服务器和补丁服务器的配合下，结合交换机的Port Security安全特性，实现检查、隔离、修复以及管理监控的端点准入防御功能。 方案特点

H3C内网安全解决方案具有以下特点：

? 企业级安全策略实施

本方案不仅仅可以在网络设备上实施统一的安全策略，还可以实施终端安全策略，以达到企业级安全策略统一实施的目的。

? 可扩展的安全解决方案

本方案是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有企业网中，只需对网络设备进行简单升级，即可实现。

? 灵活方便的部署与维护

SecBlade防火墙模块在提供精细化的VLAN间访问控制的同时，也简化了整个系统的部署与维护。而EAD方案则可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。

H3C 综合病毒防护方案

随着互联网的发展，病毒问题越来越严重，以金钱和利益为直接目的的病毒呈现明显上升趋势，更是威胁企业的经济利益。随着病毒和黑客攻击的融合，以及借助于网络和即时通讯、U盘等多元化传播手段，病毒威胁呈现的混合型、网络化、越来越快的趋势。面对新形

势下的病毒威胁，传统防病毒产品孤立的单点部署的防范模式已经不能适应反病毒的要求，反病毒技术迫切需要建立联合各种技术手段和管理措施的统一战线。另一方面，企业的分支机构和不同部门形成了具有一定规模的网络，需要建立机制来防范病毒在总部以及这些分支机构之间的传播和泛滥。享受互联网带来的商业机会，但同时避免病毒攻击等的侵扰成为企业的难题。

H3C综合病毒防护解决方案从企业整体网络安全角度出发，建立一个全面立体的综合病毒防护体系，为病毒防御部署下天罗地网，全面提升企业的信息安全水平。通过部署H3C综合病毒防护解决方案，企业可以避免病毒攻击带来的损失以及对业务流程的影响，从而降低企业的运营风险，并且可以减少为恢复需要的人力、时间等成本。 方案概述

H3C 综合病毒防护解决方案针对企业的网络整体，包括分支机构以及远程接入用户，整合了桌面防病毒策略、互联网出口防病毒策略、网络接入控制与终端安全策略、网络攻击防御、安全监控和策略联动等多个方面的技术和防范措施。

该方案可以分为互联网病毒防护、桌面病毒防护、攻击防护、病毒入侵监控和响应等组件。各个方案组件可以单独部署，也可以灵活组合，针对用户的当前需求实现定制解决方案，解决关键问题的同时节省投资，实现逐步部署。完成该方案的整体部署，可以实现病毒威胁的全方位预防、实时监控、全面分析、快速响应，提供给企业一个强大的病毒防御体系。H3C综合病毒防护方案实现统一的管理策略，与部署并维护多个单点的防病毒产品相比，这降低了维护的成本和复杂度，提高企业的运行效益。 2．方案部署

H3C综合病毒防护解决方案包括互联网病毒防护、桌面病毒防护、攻击防护、病毒入侵监控和响应等组件。

互联网病毒防护：

H3C ASM防病毒模块解决企业针对网络病毒的防护问题，在互联网出口和网络边缘进行病毒查杀，可以很好地防御目前流行的混合型的病毒蠕虫等安全威胁。另外，部署在互联网出口网关设备上的ASM可以针对VPN的流量进行病毒查杀，从而可以防止公司总部和各分支机构之间的病毒传播。

H3C ASM防病毒模块作为独立的硬件部署在H3C防火墙或路由器等产品上，具有性能高、可靠性高的特点；具备断电保护、可以实现冗余备份，负荷分担。另外，H3C ASM防病毒模块具有如下特点：

? 先进的体系构架：H3C ASM防病毒模块是专门的硬件平台，其病毒查杀引擎不占用

防火墙/路由器的硬件资源，不影响网络处理性能，实现网络设备对防病毒功能的无缝扩展。

? 完备的防御模式：ASM 防病毒模块采用了业界领先的防病毒引擎以及“虚拟化”

技术，有效的解决了变种病毒以及加壳病毒的查杀问题。

? 强大的日志审计：支持Syslog和Mysql日志记录格式，可按照用户设置的最长时

间进行滚动保存，用户可以进行日志实时异地存储备份。ASM对系统的各项功能都提供了日志记录以及多种查询方式。

? 高效的处理引擎：当用户访问网络时，防病毒模块实时检查传输流量，如果在流量

中发现病毒，ASM模块将主动断开连接，防止病毒信息对用户环境造成破坏。 ? 实时灵活的升级模式：业界领先的病毒库，实时升级，支持病毒特征库自动定时获

取、和手动下载等模式，满足用户不同应用需求。

终端病毒和病毒内部扩散防护：

通过H3C EAD端点准入防御系统的部署，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方防毒软件的联动，控制用户终端病毒入侵和病毒在内部网络的扩散。

H3C EAD（ Endpoint Admission Defense）端点准入防御系统根据安全策略对终端计算机检查，如不符合安全策略，则与网络设备配合，从物理或网络层面上将之限制在隔离区中。“危险”终端可以访问隔离区中的补丁服务器、病毒库和病毒软件版本服务器进行系统修复，完成后再通过安全认证后才可访问网络。

EAD对桌面安全策略进行统一管理和部署，实现桌面防病毒安全状态实时监控，与业界流行的桌面安全厂商合作对终端的病毒库、病毒软件版本、病毒库、软件补丁版本的管理。EAD解决方案具有易用、易部署的特点，客户端自动安装，并且可以针对用户需求定制化开发。

漏洞攻击防护：

通过部署H3C入侵防御系统，阻止蠕虫、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，能够在发生损失之前阻断恶意流量。利用H3C提供的数字疫苗?和虚拟软件补丁服务，主动地防御最新的攻击。

H3C IPS系统安全性高、性能与服务品质领先、配置简单、即插即用，支持双机热备、掉电保护等高可靠性特性。

病毒攻击事件监控：

H3C提供了更为智能的服务，通过部署基于硬件的智能、高效的安全信息及事件管理（SIEM）系统SecCenter，能够提供对病毒攻击等安全事件的监控分析以及及时快速响应。

SecCenter可以收集和分析来自网络的不同位置的网络设备、用户主机、服务器等上报的病毒和攻击等安全事件，统一分析，实时监控全网安全状况，能根据不同用户需求提供丰富的自动报告，并提供网络安全状况与政策符合性审计报告。并且与H3C智能管理中心iMC配合实现安全联动，及时的针对病毒入侵进行必要的防御部署，从而建立完善的病毒应急响应系统。

SecCenter实现病毒等安全事件的集中监控

SecCenter两种部署：集中式和分布式

典型组网应用

对于包括总部和多个分支机构的企业网络，部署全面的H3C的综合病毒防护解决方案帮助企业构建安全的信息化环境。建议在总部互联网出口部署ASM防病毒模块，在企业总部和各分支机构部署EAD系统，在企业总部互联网出口以及重点保护的服务器前端部署IPS入侵防御系统，在企业总部部署SecCenter安全管理中心。对于企业较大的分支机构的互联网出口，建议部署ASM防病毒卡保护该分支机构；综合病毒防护解决方案组网方案如下所示：

综合病毒防护相关组件配置信息 组件配置列表

组件名称 H3C ASM防病毒模块 描述 互联网出口病毒防护，必配；支持H3C Secpath防火墙和MSR系列路由器。 H3C EAD端点准入防御系统 终端病毒防护必配，具体配置参见EAD相关资料。 H3C IPS入侵防御系统 攻击防护必配；建议部署在互联网出口和数据中心或其它重要设施前端。 H3C SecCenter安全管理中心 安全事件监控必配。建议总部必配，也可以采用分布式部署方式部署多台。 H3C iMC管理中心 H3C IPS入侵防御系统

H3C隶属于3Com公司，自2002年发布第一个入侵防御系统以来已迅速成为提供基于网络的入侵防御系统的领先厂商。H3C的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，H3C的入侵防御系统能够在发生损失之前阻断恶意流量。利用H3C提供的数字疫苗?服务，入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过

选配。 滤器更新从而主动地防御最新的攻击。此外，H3C的入侵防御系统是目前能够提供微秒

级时延、高达5G的吞吐能力和带宽管理能力的最强大的入侵防御系统。 通过全面的数据包侦测，H3C的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力，H3C的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础设施免遭恶意攻击和防止流量出现异常。H3C的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源，从而确保网

路资源的合理配置并保证关键业务的性能。

H3C产品型号包括从50Mbps处理性能的H3C 50到5Gbps处理性能的H3C 5000E，可以满足从SOHO办公、中小企业、到大企业和电信运营商的各种组网需求。 作为业界领先的IPS产品，H3C具有高性能、高可靠性和易部署的特点。它是唯一获得“NSS Gold Award”、“Common Criteria Certification”的产品，同时还获得了其他众多奖项，H3C已经成为基于网络的入侵防御系统的标志。H3C目前已经拥有许多著名的客户和案例，这些客户遍布各个行业，他们之所以选择H3C，是因为H3C能够

以最优的性价比给他们提供全方位的网络安全保护。

产品特点

? 安全与高性能的完美结合

H3C是IPS领域的领导者。其IPS产品（及其配套的管理和保障产品），凭借强大的攻击检测与实时防御能力、出色的性能、电信级的高可靠性和易部署、易管理等特性，成为唯一的NSS（全球最权威的安全产品评测机构）评测金奖获得者，并率先获得CC（Common Criteria）认证。H3C IPS系列产品完美地将统一的安全功能与出色的高性能融合在一起，

已经被公认为IPS领域的标杆与旗舰。

? 主动式的入侵防御

H3C IPS可以被“in-line”地部署到网络当中去，对所有流经的流量进行深度分析与检测，从而具备了实时阻断攻击的能力，同时对正常流量不产生任何影响。基于其高速和可

扩展的硬件平台，H3C IPS不断优化检测性能，使其能够达到与交换机同

等级别的高吞吐量和低延时，同时可以对所有主要网络应用进行分析，精确鉴别和阻断攻击。事实上，H3C IPS所具备的超高性能与精确阻断能力，已经彻底重新定义了网络安全的内涵，并且从根本上改变了保护网络的方式，帮助客户实现持续降低IT成本、持续

提高IT生产率的目标！ ? 无与伦比的高性能

H3C IPS具备绝对领先的能与交换机媲美的性能指标：最高可达5G吞吐量的线速检测、转发；低时延（最大时延<215微秒）；精确检测攻击并实时阻断；支持200万个并发连接；

支持每秒25万个新建立连接。

? 威胁抑制引擎（TSE，Threat Suppression Engine）

H3C基于ASIC、FPGA和NP技术开发的威胁抑制引擎（TSE，Threat Suppression Engine）是高性能和精确检测的基础。TSE的核心架构由以下部件有机融合而成：定制的ASIC、FPGA(现场可编程门阵列)、20G高带宽背板以及高性能网络处理器。该核心架构提供的大规模并行处理机制（10,000条以上并行过滤器），使得H3C IPS对一个报文从2层到7层所有信息的检测可以在215微秒内完成，并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的TSE可以对一个报文同时进行几千种检测，从而将整体的处理性能提高到最佳水平。在具备高速检测功能的同时，TSE还提供增值的流量分类、流量管理和流量整形功能。TSE可以自动统计和计算正常状况下网络内各种应用流量的分布，并且基于该统计形成流量框架模型；当DoS/DDoS攻击发生，或者短时间内大规模爆发的病毒导致网络内流量发生异常时，TSE将根据已经建立的流量框架模型限制或者丢弃异常流量，保证关键业务的可达性和通畅性。此外，为防止大量的P2P、IM流量侵占带宽，

TSE还支持对100多种点到点应用的限速功能，保证关键应用所需的带宽。

? 安全保障无处不在

H3C IPS在跟踪流状态的基础上，对报文进行2层到7层信息的深度检测，可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断，而且，H3C IPS也能够有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。H3C IPS还支持基于访问控制列表（ACL）的检测、基于统计的检测、基于协议跟踪的检测、基于应用异常的检测、报文规范检测（Normalization）、IP报文重

组和TCP流恢复。以上机制协同工作，H3C IPS可以对流量进行细微粒度的识别与控制，有效检测流量激增、缓冲区溢出、漏洞探测、IPS规避等一些已知的、甚至未知的攻击。

? 业界领先的安全威胁分析团队

H3C的安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯SANS @Risk的主要撰稿人，SANS @Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的公告，内容包含最新发现的漏洞、漏洞所带来的影响、表现形式，而且指导用户如何采取防范措施。SANS @Risk公告可以在http://www.sans.org/newsletters/risk免费订阅

? 数字疫苗（DV，Digital Vaccine）保障实时安全

H3C实时更新、发布的数字疫苗（DV，Digital Vaccine）是网络免疫的保障与基础。在撰写SANS @Risk公告的同时，H3C的专业团队同时跟踪其它知名安全组织和厂商发布的安全公告；经过跟踪、分析、验证所有这些威胁，生成供H3C IPS使用的可以保护这些漏洞的特征知识库 - 数字疫苗，它针对漏洞的本质进行保护，而不是根据特定的攻击特征进行防御。数字疫苗以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并且能够通过内容发布网络自动地分发到用户驻地的IPS设备中，从而使得用户的IPS设备在漏洞

被公布的同时立刻具备防御零时差攻击的能力。

H3C还与全球著名的系统软件厂商，如Microsoft、Oracle等，保持了良好的合作关系。在某个漏洞被发现后，H3C能够在第一时间（即厂商公布安全公告之前）获得该漏洞的详细信息，并且利用这一时间差及时制作可以防御该漏洞的数字疫苗，使得用户的网络免遭

这种“零时差攻击”（Zero-day Attack）。 ? 综合管理中心 - 轻松管理，一览无遗 针对不同的用户部署，H3C IPS提供三种管理方式：

SMS - Security Management System，面向规模部署的企业级综合管理中心

LSM - Local Security Manager，面向独立部署的嵌入式管理软件 CLI - Command Line Interface，面向专业用户的命令行管理工具

H3C SMS是为管理IPS集群而专门开发的管理系统软件，它预装在1U的高性能服务器中交付用户使用。一台SMS最多可以管理1000台IPS，其主要任务是发现、监控、配置和诊断

在网络中部署的IPS设备，同时为管理员生成详细的报表，以支撑网络安全状况的评估和诊断。SMS管理系统基于安全Java技术开发，整个SMS管理体系由以下三部分构成：支持安全Java的客户端；SMS服务器；被管理的IPS集群。SMS管理体系可以提供：IPS设备运行状况报表；数字疫苗的自动升级与图形化管理；安全趋势报表；实时流量的关联分析与图形报表；网络主机与服务统计报表。借助以上这些全景式的分析功能，网络的安全状况管理不再是令管理员头痛的问题：在全景式分析报表中，管理员可以轻松的看到网络当前的

性能状况、报警事件与所有被管理IPS的运行状况。

H3C LSM是集成在IPS设备中的基于安全Web的管理软件，可以提供对IPS进行管理的

基本功能，包含配置、监测、报表等； H3C CLI是面向专业管理员提供的命令行配置工具。

基于出色性能和安全能力、简单易用的SMS、LSM和CLI具备的强大的管理能力，H3C

IPS成为真正的、也是唯一的一站式整体安全解决方案。

? 无缝部署 – 简易、高性能、无冲击

H3C IPS的设计遵循了一个很重要的原则：无缝部署。基于这个原则，无论对已经建成的网络，还是正在建设中的网络，都可以很容易地将H3C IPS嵌入进任何部分，并且不会对网络的拓扑、性能、运行带来任何改动。从逻辑上来看，H3C IPS就好像一根智能的

线，这根智能的线却从根本上解决了困扰网络的安全问题。

这样的无缝部署主要体现在以下方面：嵌入式部署（in-line）模型保证最简化的部署步骤，而不需要进行交换机镜像等复杂的配置，更不需要更改网络拓扑；检测接口不需要IP地址，也不需要MAC地址，一旦接入网络，立刻开始保护网络；同时保证自身对攻击源是隐身的，增强整网的安全性；高性能、低时延使得H3C IPS无论被部署在网络内部还是边缘，都可以提供线速的精确检测和实时阻断能力，对网络业务的效率没有任何的损伤。同

时，卓越的带宽管理能力将加速异常情况下的业务应用。

经过精心分析、调试、验证的数字疫苗可以在不经任何调整的情况下正常工作，无需任何调整即可抵御所有已知的网络威胁；经过按照实际网络状况微调的数字疫苗可以使

H3C IPS发挥更高的性能。

? 多重高可靠性（MLHA，Multi-Layer High Availability）打造99.999%安全网络

多重高可靠（MLHA，Multi-Layer High Availability）是H3C为保证网络与业务的永续性而开发的专利技术，该技术面向业务传送的所有层面进行高可靠保护，使得在任何情况

下业务都不会因为IPS的故障而中断。

物理级保护和掉电事故保护：按照电信标准设计的H3C IPS采用冗余电源供电，并且支持在线更换；掉电保护设备ZPHA（Zero Power High Availability）是H3C IPS的辅助设备。该设备可以在IPS电源被不慎碰掉的情况下，将网络流量自动绕开IPS、旁路到下一站设备上去；当SMS监测到IPS电源丢失并发出告警、管理员恢复电源供给后，ZPHA又会自动禁止旁路功能，所有流量将再度流经IPS接受检测。冗余电源和ZPHA可以保证被IPS保护的网络不会因为引入IPS而出现物理级的单点故障。

项目/规格 项目/规格/说明 H3C-50 H3C-200 H3C-400 H3C-1200 H3C-2400E H3C-5000E 性能 吞吐量 时延 连接数 每秒连接数 接口/扩展性 电10/100/1000自2 4 0或4或8 0或4或8 0或4或8 0或4或8 整机每秒最大连接数 5,000+ 250,000 250,000 250,000 1,000,000 1,000,000 单个报文最大时延 整机最大并发连接数 500,000 2,000,000 2,000,000 2,000,000 2,000,000 2,000,000 <1毫秒 <150微秒 <150微秒 <150微秒 <150微秒 <150微秒 整机最大吞吐 量 50Mbps 200Mbps 400Mbps 1.2Gbps 2.0Gbps 5.0Gbps 口 适应电以太网接口 光口 可保护网段 管理100/100自适应以太网接口 1 1 1 1 1 1 1000M光口（单模/多模） 两个接口保护一个网段 1 2 4 4 4 4 0 0 8或4或0 8或4或0 8或4或0 8或4或0

接口 串口 USB 2.0 1 1 1 1 1 1 电源 类型 电流 电压 频率范围 外观尺寸 高 厘米（U） 4.4（1U） 8.9（2U） 8.9（2U） 8.9（2U） 8.9（2U） 8.9（2U） 宽 深 重量 厘米 厘米 公斤 43.8 30.5 5.7 43.8 30.5 7.5 可抵御攻击 攻击特征库 攻击类型 引入蠕虫（Walk-in Worm） √ √ √ √ √ √ 蠕虫（Worm） √ √ √ √ √ √ 攻击过滤器数目(截止2006年10月) 3,000+ 3,000+ 3,000+ 3,000+ 3,000+ 3,000+ 43.8 38.1 9.1 43.8 47 13 43.8 47 13 43.8 47 13 赫兹 50-60 50-60 50-60 50-60 50-60 50-60 伏特 100-240 100-240 100-240 100-240 100-240 100-240 安培 6/3 6/3 6/3 6/3 6/3 6/3 交流 交流 交流 交流 交流 交流 1 1 1 1 1 1 病毒（Virus） 木马（Trojan） √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ 间谍软件（Spyware） 广告软件（Adware） 可疑代码（Suspicious） 拒绝服务（DoS/DDoS） 带宽劫持（Bandwidth Hijack） 探测与扫描（Reconnaissance） 后门（Backdoor） 非法接入（Invalid Access） 混合威胁（Blended Threat） 零日攻击（Zero-day Attack） VoIP攻击（VoIP Attack） √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ 协议分析与应用跟踪 协议分析 ARP MPLS ICMP IP √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ VLAN √ √ √ √ √ √ 应用跟踪-P2P （部分列表） 应用跟踪-IM 应用跟踪 - DB TCP UDP HTTP DNS RPC Telnet FTP IMAP SMTP SMB Kazaa √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ eMule/eDonkey √ √ √ √ √ √ WinMX BT MSN √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ICQ Yahoo Messenger Skype Oracle √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ SQL √ √ √ √ √ √ 主动抵御 允许通过 阻断 隔离 报警 限流 包追踪 记录日志 告警方式 网管 电子邮件 日志 脚本 寻呼机 高可靠性（Multi Layer High Availability） 冗余电源 掉电保护 二层回退保护 业务状态基于状态的业务保护，主备与负载分担√ √ √ √ √ √ 基于Zero Power HA的掉电旁路保护 系统故障后将业务流在二层贯穿 √ √ √ √ √ √ √ √ √ √ √ √ 双电源供电 - √ √ √ √ √ Syslog Script Pager √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ SNMP Email √ √ √ √ √ √ √ √ √ √ √ √ Log √ √ √ √ √ √ Block Quarantine Alert Rate Limit Packet Trace √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ Permit √ √ √ √ √ √ 保护 管理系统保护 模式 冗余硬件（双电源、双CPU、双硬盘） √ √ √ √ √ √ 主备模式管理系统保护 √ √ √ √ √ √ 系统管理 面板LED指示 设备运行状态 管理口IP地址 攻击阻断数量 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ 电源运行状态 √ √ √ √ √ √ 系统基础信息（OS版本等） 命令行 Web管理 管理中心 集成在IPS设备中的基于Web的管理 企业级安全管理系统（SMS）集中管理 IPS集群管理 专用管理硬件平台（1U） 专用操作系统（H3C OS） 客户端支持Windows XP/2000/NT √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √

客户端支持Linux（X-Window） √ √ √ √ √ √ 数字疫苗（Digital Vaccine）服务 自动更新 定期发布 实时发布 自动将数字疫苗更新到IPS中 每周定期发布数字疫苗 针对紧急安全事件实时发布数字疫苗 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ 系统软件故障保护：内置的监测模块以很高的频率定时地监测IPS设备的健康状况。一旦探测到软件系统故障，该模块会将IPS设置成一个简单的二层交换设备，网络流量将在两个接口之间直接贯通；软件故障恢复后，所有流量贯通被自动取消，恢复的IPS重新开

始保护整个网络。

冗余网络部署中的基于状态的业务保护：H3C IPS设备支持冗余部署。互为备份的多台IPS即可以工作在主备（Active/Passive）模式，也可以工作在负载分单（Active/Active）模式，与已经在网络中大规模部署的VRRP、OSPF多出口等冗余保护技术无缝的结合在一起。同时，在冗余部署的IPS之间，通过专门的高速物理通道同步地传递配置信息、检

测数据和连接状态，可以完全保证冗余部署与业务分布的无关性。

不间断的管理保护：甚至对于管理，这一最容易被高可靠保障所忽视的环节，H3C都

作了精巧的高可靠性保护设计。

H3C SMS提供增强模式：基于基本配置的SMS服务器，H3C还提供经过增强配置的SMS服务器。增强型SMS服务器具备双电源、双硬盘、双CPU，不但提升了管理系统的性

能，而且最大限度上保护其物理可靠性。

H3C SMS支持冗余部署：基础型和增强型的SMS都支持冗余部署。冗余部署模式中的两台SMS一台处于工作状态，另一台处于备份状态；所有管理信息通过高速物理通道同步；当工作状态的SMS故障时，备份状态的SMS将自动接管整网的管理工作，保证管理的管理延续性

H3C ? IPS选购一览表

数量 1 描述 50M IPS，2 x 10/100/1000（电口）必配，1年服务（软件升级、攻击特征库升级） 1 100M IPS，2 x 10/100/1000（电口），支持高级DoS/DDoS 防护必配，包含1年服务（软件升级、攻击特征库升级） 1 200M IPS，4 x 10/100/1000（电口）必配，包含1年服务（软件升级、攻击特征库升级） 1 400M IPS，8 x 10/100/1000（电口/光口）必配，包含1年服务（软件升级、攻击特征库升级） 1 1.2G IPS，8 x 10/100/1000（电口/光口）必配，包含1 年服务（软件升级、攻击特征库升级） 1 2G IPS，8 x 10/100/1000（电口/光口）必配，包含1年服务（软件升级、攻击特征库升级） 5G IPS，8 x 10/100/1000（电口/光口），支持高级DoS/DDoS 防护必配，包含1年服务（软件升级、攻击特征库升级） 选配，IPS综合管理系统（预装在1U Dell服务中）

TippingPoint 200E IPS NS-IPS200E-HS1Y IPS200(E)-4 x 10/100自适应电口,保护2个网段,支持高级DoS/DDoS防护 本系统中为用户选配Tippingpoint 200E IPS一台。

本文来源：https://www.bwwdw.com/article/qyaa.html