总第11期
2017年12月刊
Dialogue    对话
Dialogue    对话
下一代入侵防御系统
文/车渝
分享

近年来,随着“互联网+”“工业2.0”等的概念提出,云计算、大数据、物联网等新技术、新业务和新模式的出现和发展,特别是云计算特有的虚拟化技术,云服务的按需安全、策略随行等特性,对入侵防御系统提出了新的要求。新华三为了适应新兴技术发展趋势,率先推出了和云网络完美适配的下一代入侵防御系统H3C SecPath IPS。

1.下一代入侵防御系统有什么优势?

下一代入侵防御系统支持虚拟化、vxlan和服务链,能够高度满足云网络提出的按需安全、策略随行的安全需求。新华三推出的SCF技术和插卡技术,支持设备集群和板卡无缝扩展,相比于提高单台设备的容量或者改变网络结构方式,H3C SecPath IPS可以在不中断业务、不改变网络架构的前提下,更便捷地满足业务高速增长、网络性能及容量提升的需求,其中典型的的代表有H3C SecPath T9000系列和H3C SecBlade IPS产品。尤其在当前数据中心从传统数据中心建设向云数据中心建设演变的过程中,SCF和SecBlade技术有着非常广阔的应用空间。

2.下一代入侵防御系统有什么技术亮点?

下一代入侵防御系统的技术亮点如下。

● 丰富的设备款型及多种类型接口板供用户选择

下一代入侵防御系统产品款型多种多样,从千兆到万兆,再到超万兆,涵盖不同行业的应用场景。H3C SecPath IPS从低端到高端产品,支持的接口类型非常丰富,即使最低端的IPS,也支持万兆接口,并且支持部分接口自带bypass功能,最大程度保障客户业务的稳定性和可靠性。

中高端H3C SecPath T5030设备,小块头,大容量,多槽位,高端口密度,高性能业务处理能力。在2U主机高度的条件下,自带4个SFP/GE COMBO接口,同时对外提供8个接口板槽位,可以适配8*SFP+,2*QSFP+,8*SFP,8*GE,4*PFC,4SFP+4SFP+六种类型接口板,可以覆盖40G/10G光口,1G光口/电口多种接口类型,业界领先设计。

高端H3C SecPath T9000设备,支持按需扩展SecBlade IPS板卡,在不改变网络架构和硬件设备的情况下,更便捷地满足业务高速增长、网络性能及容量提升的需求。

● 前后风道散热设计,风向可选

H3C SecPath T5030整机采用前后风道设计,更符合运营商机房的风道设计。同时支持抽风和吹风两种方式,风向可选,能更好的适应不同用户机房的风道情况。

● 自带大容量存储介质

设备自身提供1~2个硬盘槽位,可以支持机械硬盘HDD,固态硬盘SSD,为日志存储、数据分析和报表分析提供数据支撑。

● 虚拟化----云网融合的完美支持

虚拟化技术是实现基于多租户业务隔离的重要方式,和传统厂商的虚拟化实现方式不同,新华三的安全虚拟化是一种基于容器的完全虚拟化技术;每个安全引擎通过唯一的OS内核对系统硬件资源进行管理,每个虚拟入侵防御作为一个容器实例运行在同一个内核之上,多台虚拟入侵防御相互独立,每个虚拟入侵防御实例对外呈现为一个完整的入侵防御系统,该虚拟入侵防御业务功能完整、管理独立、具备精细化的资源限制能力。

● 服务链+vxlan----云安全守护利器

在当前云网融合的大环境下,如何能够适应用户的业务快速发展的需求,在较短时间内屏蔽掉硬件基础架构上的差异,按需发布用户关注的业务应用,并且能够自动化实现对基础设施的配置和策略部署,是目前云计算服务商关注的重点。正是在这种环境下新华三推出了云网融合VCF解决方案,在云计算基础设施的基础上,叠加了VCF控制层,对上提供相关可编程接口支持云计算业务的用户侧展现,对下利用Netconf/CLI或者是Openflow协议实现对基础设施的自动化配置和策略部署。

● 场景化部署模式

H3C SecPath IPS支持对不同场景的不同保护对象,轻松部署安全防护策略,如操作系列类型、数据库、邮件服务器、浏览器、办公软件、网络设备、web服务器等等。客户可以根据实际使用,开启保护对象对应的安全防护检测。或者根据攻击类型,如DDoS类、信息收集类、协议异常类、恶意代码类等,针对性部署安全防护策略。

3.下一代入侵防御系统可以应用于什么场景?

数据中心场景:支持高性能的防攻击能力及整网报表统一分析、告警,支持HA高可靠性部署,满足数据中心备份需求,提供ISSU升级,在不影响用户网络的情况下,平滑升级新版本。

园区网场景:支持基于用户的IPS策略,提供任意位置接入,策略跟随特性,支持攻击联动功能,当发现用户有攻击行为或者被感染,可联动其它设备如FW、交换机等,隔离该用户。

云场景:基于SDN Overlay环境下部署,提供虚拟化功能,支持Service-chain安全业务处理实现流量路径规划,构建统一安全资源池,将IPS功能以云服务方式为不同用户提供。

分享到
关闭