《网络安全技术与实践第二篇边界安全2》由会员分享,可在线阅读,更多相关《网络安全技术与实践第二篇边界安全2(57页珍藏版)》请在金锄头文库上搜索。
1、网络安全技术与实践课件 制作人:蒋亚军网络安全技术与实践(课件)人民邮电出版社2012年蒋亚军编著项目二入侵防护系统IPS第二篇【项目背景】n某企业的计算机网络最近频繁遭受到攻击,虽然已经安装了防火墙,但是效果依然不理想。邀请安全专家检测网络发现公司内部计算机网络存在大量的恶意代码、僵尸网络、病毒以及有针对性不良数据包的攻击,公司决定投资解决相关网络安全问题。【需求分析】n传统的网络安全防范方法是对操作系统进行安全加固,通过各种各样的安全补丁提高操作系统本身的抗攻击性。安装防火墙的思路是在网络边界检查攻击包的并将其直接抛弃,使攻击包无法到达目标,从而从根本上避免黑客的攻击。但通常的防火墙却无法
2、对付应用层的恶意代码,对于僵尸网络、病毒以及有针对性的不良数据包的攻击却都显得有些无能为力。入侵检测系统(IDS)可以检测网络攻击,但它的阻断攻击能力却非常有限,一般只能通过发送TCP reset包或联动防火墙来阻止攻击。本例中最好采用入侵防御系统(IPS),因为IPS是一种主动的、积极的入侵防范、阻止系统,它可部署在网络的边界上,当它检测到上述的攻击时,能够自动地将攻击包丢掉或采取措施将攻击源阻断。【预备知识】n入侵防护系统(IPS)倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接部署在网络
3、边界上连接内外网实现安全防护功能的,它可通过网络端口接收来自外部系统的流量,检查确认其中是否包含异常或可疑的活动内容,在数据传输过程中清除掉有问题的数据内容。入侵防护系统n几个问题n1.入侵防御系统(IPS)就是入侵检测系统(IntrusionDetectionSystem,IDS)的升级产品,n2.入侵防护系统能够取代入侵检测系统n3.入侵防护系统是入侵检测系统+防火墙n4.关于主动防护问题与防护体系的问题IPS的现状IPS提出了多年,一直认为IPS会取代IDS(入侵检测系统),但是很多年过去了,情况似乎并非如此。据调查,目前59%的用户部都署了IDS,27%的用户将IDS列入购买计划,62
4、%用户在关注IPS,并且7%的用户有意向购买IPS,这些数据表明,IDS和IPS在国内都呈现出繁荣发展的前景。IDS和IPS将会有着不同的发展方向和职责定位。IDS短期内不会消亡,IPS也不会完全取代IDS的作用。虽然IPS市场前景被绝大多数人看好,市场成熟指日可待,但要想靠蚕食IDS市场来扩大市场份额,对于IPS来说应该还是很难的。IPS的产品背景n1.安全漏洞越来越多n零日攻击n2.DoS/DDoS仍是很大的威胁n根据调查,每天平均侦测到6,110个事件nArbor的研究指出,DoS/DDoS占网络安全事件的65%,其中主要还是TCP SYN/UDP Floodingn应用层CC攻击n3.
5、来自内部网络的威胁nInstant Message在线聊天软件nP2P共享软件n虚拟隧道软件n在线网络游戏企业网络企业网络IMIM:MSNMSN、QQQQ、SkypeSkypeP2PP2P:迅雷、:迅雷、BitTorrentBitTorrent虚拟隧道:虚拟隧道:VNNVNN在线网游:联众、浩方在线网游:联众、浩方n降低工作效率n文件传输,引发泄密风险n散布恶意程序网管员的梦想网管员的梦想“只允许聊天,禁止其它功能只允许聊天,禁止其它功能” “不同的对象使用不同不同的对象使用不同管理方式管理方式”l4.IM即时消息软件的威胁 P2PP2P在耗尽带宽在耗尽带宽Thunder 迅雷、eMule 电
6、驴、BT、FlashGetPPLive、PPStream、QQLive 消耗正常网络带宽 病毒散布温床 机密文件外泄 下载文档的著作权l5.P2P的威胁 n6.穿透防火墙对外连机 n7.直接与外界计算机直接交换信息 l通过防火墙开放的合法端口建立虚拟隧道数据加密,企业难以防范,机密信息泄露虚拟隧道软件:VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor IPS产品的客户价值lIntrusionPreventionSystem 入侵防护系统l简单的讲:IPS是在应用层上进行威胁检测和防御的“深度防火墙+上网行为管理”防火墙是IDS是IPS
7、是nIPS是什么?净化过滤蠕虫、木马、网络病毒、及DDoS等恶意攻击以净化网络流量优化强大的P2P流量控管功能以优化网络效能管理面向用户的强大审计功能以落实网络管理IPS的种类的种类n1.基于主机的入侵防护(HIPS)HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfeeEntercept、冠群金辰的龙渊服务器核心防护都属于这类产品,它们在防范红色代码和Nimda的攻击中,能起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学
8、习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平。IPS的种类的种类2.基于网络的入侵防护(NIPS)NIPS通过检测流经的网络流量,提供对网络系统的安全保护。由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话。同样由于实时在线,NIPS需要具备很高的性能,以免成为网络的瓶颈,因此NIPS通常被设计成类似于交换机的网络设备,提供线速吞吐速率以及多个网络端口。IPS的种类的种类n3.应用入侵防护(AIP)NIPS产品有一个特例,即应用
9、入侵防护(ApplicationIntrusionPrevention,AIP),它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备,配置在应用数据的网络链路上,以确保用户遵守设定好的安全策略,保护服务器的安全。NIPS工作在网络上,直接对数据包进行检测和阻断,与具体的主机/服务器操作系统平台无关。NIPS的实时检测与阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高,每一层次的交换机都有可能集成入侵防护功能。 IPS主要功能与特性主要功能与特性l检测机制 由于需要具备主动阻断能力,检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种
10、检测机制来提高IPS的检测准确性。据Juniper的工程师介绍,Juniper产品中使用了包括状态签名、协议异常、后门检测、流量异常、混合式攻击检测在内的“多重检测技术”,以提高检测和阻断的准确程度。McAfee公司则在自己的实验室里加强了对溢出型漏洞的研究和跟踪,把针对溢出型攻击的相应防范手段推送到IPS设备的策略库中。国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术,通过研究漏洞特征,将其加入到过滤规则中,IPS就可以发现符合漏洞特征的所有攻击流量,在冲击波及其变种大规模爆发时,直接将其阻断,从而赢得打补丁的关键时间。 IPS主要功能与特性主要功能与特性n弱点分析 IPS产品的发展前景取决
11、于攻击阻截功能的完善。引入弱点分析技术是IPS完善攻击阻截能力的重要依据.IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征,使IPS能够主动保护脆弱系统。IPS主要功能与特性主要功能与特性n环境配置nIPS的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的,而对于另外的用户来说就是正常流量,这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段,以提高检测准确率。McAfee、Juniper、ISS、冰峰网络等公司同时都在IPS中提供了调优机制,使IPS通过自学习提高检测的准确性。IPS主要功能与特性主要功能与特性n兼容性n所有的用
12、户都希望用相对少的投入,建设一个最安全、最易管理的网络环境。IPS如若需达到全面防护工作,则还要把其它网络管理功能集成起来,如网络管理、负载均衡、日志管理等,各自分工,但紧密协作。2.典型IPS产品的功能(1)天融信TopIDP产品的主要功能。n高吞吐量、低延时n入侵防御能力n多重立体防御保护n网络架构防护能力n网络性能保护n核心应用保障能力n实现精细化防御2.典型IPS产品的功能(2)联想网域入侵防护系统IPSn良好的产品架构n强大的入侵与防护检测能力n强大的DoS/DDoS攻击防护能力n带宽管理n上网行为管理n应用层防火墙2. 联想网御IPS主要功能带宽管理带宽管理上网行为管理上网行为管理
13、抗抗DoS/DDoS七层防火墙七层防火墙IDSIPS联想网御联想网御IPSIPS企业网络企业网络IM、P2P、Web MailWeb Post、Online GameIntrusion、DoS/DDoSWorm/Network Virus分类分类特性特性/功能功能详细描述详细描述产品架构硬件架构采用ASIC硬件架构,无硬盘设计,减少设备故障几率操作系统采用VSP通用安全平台;采用非开放式操作系统,以确保防御设备自身的稳定性入侵检测与防护入侵检测引擎采用USE统一安全引擎,具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能;工作模式支持IPS、IDS、IPS监视、IDS监视、Forwar
14、d等多种工作模式;特征规则内置IPS特征库,特征规则数量超过2,300条;可自定义入侵攻击和应用软件的特征协议分析支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析防护攻击类型支持对蠕虫、木马、间谍软件、广告软件、可疑代码、扫描、非法连接、DosS/DDoS、Web攻击等多种攻击的防护。可以防范IPSpoofing攻击。策略时间管理可自定义单个策略的运行时间对数据包的处理方式支持丢弃数据包、切断会话、事件监视/记录(可选择记录数据包内容,如Sniffer一般)、限制连接传输带宽、限制传输总量等多种处理方式DoS/DDoS攻击防护三/四
15、层防护支持双向阻断TCP/UDP/IGMP/ICMP/IPFlooding、UDP/ICMPSmurfing等各种类型的DoS/DDoS的攻击七层防护支持基于限制访问单位时间内访问特定服务次数来,阻断未知类型的DoS/DDoS攻击,如针对Web、DNS等服务的攻击带宽管理流量整形针对VLAN、源/目的IP地址、应用协议端口、七层应用软件(如P2P、FTP、PPlive、PPStream等),支持进行网络传输带宽和网络传输总量两种限制方式P2P下载管理拥有完善的P2P特征识别库,支持的常用P2P软件包括Thunder、eMule、WinMX、QQLive(China)、Skype、eDonkey
16、、BitTorrent、Mldonkey等30余种;带宽限流可精准到1Kbps上网行为管理聊天应用管理拥有完善的实时聊天程序特征识别库,支持的聊天程序包括MSN、QQ、YahooMessenger、Skype、AIM、TM、GoogleTalk、PoPoBuild、iChat等10多类;并可对基于Web的聊天进行登陆和禁止管理控制,如MSN、Yahoo、ICQ、GoogleTalk、AIM、eB、iLoveIM.com等在线游戏管理支持对腾讯QQ游戏大厅、联众世界、浩方对战平台、跑跑卡丁车等流行的在线游戏实现阻断管理Web访问检查可基于URL、内容等制定黑白名单来对Web访问进行过滤分类分类特
17、性特性/功能功能详细描述详细描述应用层防火墙防火墙功能支持状态检测防火墙功能,支持基于网络接口、源/目的IP地址、协议、时间等自定义访问控制策略虚拟通道管理支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虚拟隧道,以及对自由门、无界、花园等反动类软件,实现阻断管理。高可靠性双机热备基于HA网络物理接口,可实现在设备宕机、端口坏等故障下的主机和从机的及时切换旁路保护支持硬件Bypass、软件Bypass的功能,以避免在任何情况下,因本系统无法正常运作而造成网络中断的情形灵活的管理管理方式基于Java的B/S管理架构,支持图
18、形界面和命令行管理方式高效的集中管理支持通过专用的安全管理系统,实现全局拓扑生成、集中日志审计、集中设备监控等安全管理直观的状态显示具有显示攻击事件百分比的仪表盘、显示协议流量的柱状图、安全事件趋势分析曲线图、实时事件列表等多种实时状态显示,方便分析网络的现状和趋势设备升级支持通过线升级和本地文件升级方式,来对特征库、管理软件、设备操作系统实现升级报警可实时通过LEMS、邮件、syslog进行报警流量分析支持端口Mirror功能。设备提供Mirror接口,网络分析设备可直接获得流量数据进行分析。日志审计报表内置多样化的报表模版,自动定时生成和自定义来生成报表;支持HTML、PDF、CSV等文件
19、格式;可利用邮件或FTP等形式定时外传报表事件查询可根据事件类型、虚拟设备、时间、源/目的IP、攻击名称等信息进行快速问题定位5. 联想网御IPS核心技术n1.基于协议自动机(PA)的流量识别技术n提供了更精确的流量检测方法 n高效的流量数据包特征匹配n2.硬件特征匹配技术n传统硬件加速技术n基于FPGAn基于Bloom过滤器 n基于TCAMn联想网御硬件特征匹配技术nFPGA+TCAM+SSRAM的硬件加速架构 n3.联想网御硬件加速架构的优势n使用TCAM做预处理,因而支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元;n对特征进行了预分组,
20、在保证了匹配速度的同时,控制了器件规模,从而节约成本,保证了用户得到最高的性能价格比;n算法相关部分全部位于FPGA之中,由于其具有可动态升级特性,因而算法可以不断随着产品升级进行优化,灵活性大;nSSRAM成本低,容量大,用它来实现精确匹配极大了扩展了可以用于匹配的规则数目;nCPU的多核机制和FPGA中并行数据包缓冲处理机制结合,支持全并行的特征匹配。5.5.联想网御IPS产品优势n1.高效的硬件体系结构n零拷贝技术n多核处理与内存分配技术nASIC加上特征比对技术l2.USE统一安全引擎基于协议异常、会话状态和七层应用行为进行检测内置2300多条特征规则,支持自定义特征支持对VLAN、M
21、PLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等各种协议的分析n3.支持七层状态检测防火墙n支持基于网络接口、源/目的IP地址、协议、时间等自定义访问控制策略 n支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虚拟隧道实现阻断管理 DNS/SMTP/WWWInternetn4.高级自学习抗DoS攻击传统单纯基于时间及访问次数的方法,会阻挡合法流量自动学习和分析每个特定IP地址的流量阻止攻击,同时允许合法的流量通过“源IP+URL特征+时间+访问次数”有效防范CC攻击n5.全面的P2P管控n基于软件行为
22、、数据内容,而不是端口识别应用n可检测加密型或非加密型P2Pn支持100余种常用P2P软件n带宽限流可精准到1Kbpsn6.细粒度的IM管控n基于软件行为、数据内容,而不是基于端口号识别应用n可检测加密型或非加密型IM应用n支持10种以上常用IM软件,包括Web IMn可对登陆、文字聊天、文件传输、实时语音、实时视频等进行分项管理n7.精准的带宽管理n针对VLAN、源/目的IP地址、应用协议端口、七层应用软件(如P2P、FTP、PPlive、PPStream等)n支持进行网络传输带宽和网络传输总量两种限制方式 n针对P2P应用的带宽限流,可精准到1Kbps n8.丰富的工作模式n支持IPS、I
23、DS、IPS监视、IDS监视、Forward等工作模式n支持Mirror模式l9.自定义检测方向针对性检测节省系统资源l10.图像化的实时监视窗口n11.方便、实用的报表n预设事件报表、内建报表、随选报表、定期报表四类报表l事件报表查看事件的详细列表l内建报表图形化显示l随选报表丰富的查询条件l定期报表多样的计划类型:循环生成、一次性生成丰富的过滤条件HTML、PDF、CSV文件存储邮件、FTP通知n12.灵活的管理n基于JAVA的B/S管理架构n支持在线、脱机两种方式对特征库、管理软件、设备操作系统实现升级n支持实时通过LEMS、邮件、syslog进行报警nSSH、Console管理IPS设
24、备n13.实用的多重冗余功能无硬盘设计冗余电源硬件/软件Bypass联机自动切换(Link Fault Pass Through)支持Active-Active、Active-Passive两种模式l14.全面的产品资质项目项目/规格规格项目项目/规格规格/说明说明350IPS650IPS950IPS4500IPS6000IPS6500IPS性性能能防火墙吞吐量防火墙吞吐量整机最大吞吐量500Mbps1Gbps2Gbps3Gbps4Gbps4GbpsIPS吞吐量吞吐量整机最大吞吐量200Mbps500Mbps600Mbps1Gbps1Gbps1Gbps时延时延单个报文最大时延200微秒200微
25、秒200微秒128微秒128微秒128微秒并发连接数并发连接数整机最大并发连接数500,0001,000,0001,000,0001,000,0001,000,0001,000,000每秒新建连接数每秒新建连接数整机每秒最大连接数12,00012,00012,00022,00022,00022,000接接口口/扩扩展展性性IPS/IDS共用口共用口10/100/1000自适应电口4444001000M(单模/多模光口)000004插槽(支持1000M单模光口/多模光口/电 口模块,模块未标配,按需另行购买)004个SFP插槽04个GBIC插槽0IDS口口10/100/1000自适应电口1112
26、22管理口管理口10/100/1000自适应电口111111串口串口1个RJ-451个RJ-451个RJ-451个RS-2321 个RS-2321个RS-232IPS接口说明接口说明支持多路IPS(两个接口为一路IPS,一路IPS保护一个网段)22标配2路,购买2个模块可扩展为3路,购买4个模块可扩展为4路2标配无IPS功能,购买2个模块可扩展为1路,购买4个模块可扩展为2路2支持硬件Bypass 1对电口Bypass2对电口Bypass2对电口Bypass2对电口Bypass不支持2对光口Bypass电源电源是否为冗余电源机箱机箱是否为机架式机箱高度1U1U2U2U2U2U产品定位入门级低端
27、主打产品端口密集/光电混合全电口高端接口模块化高端光口Bypass高端目标客户用于低价竞争中端客户,价格敏感控标型产品运营商、高校、IDS、政府信息中心、金融、大企业等高性能需求5.6 联想网御 IPS 产品线n1.上网行为管理n部署在内网出口n上网行为管理nIM即时消息软件nWeb-IMnP2P软件n虚拟隧道n在线游戏n反动软件5.7. 联想网御 IPS 典型部署n2.内外兼顾n部署在网络出口n防范外网攻击n上网行为管理n3.多路防护n多路IPSn每路设置不同的策略n带宽限流5.7. 竞争分析联想网御联想网御市场定位市场定位百兆百兆千兆千兆项目项目/规格规格35065095045006000
28、6500吞吐量200Mbps/500Mbps500Mbps/1Gbps600Mbps/2Gbps1Gbps/3Gbps1Gbps/4Gbps1Gbps/4Gbps最大并发500,0001,000,0001,000,0001,000,0001,000,0001,000,000接口数量6个10/100/1000M电口6个10/100/1000M电口6个个10/100/1000M电口电口+4个个SFP插槽插槽7个10/100/1000M电口3个10/100/1000M电口+4个GBIC插槽3个10/100/1000M电口+4个GBIC光口IPS路数最多2路最多2路最多最多4路路最多2路最多2路最多2
29、路IDS路数最多最多5路路最多最多5路路最多最多9路路最多最多6路路最多最多6路路最多最多6路路Bypass1路电口2路电口2路电口2路电口不支持2路光口路光口冗余电源否否标配标配标配标配绿盟科技绿盟科技项目项目/规格规格200P-02、200P-03600P-02、600P-031200P-02/1200P-03/1200P-041600P-02/1600P-03/1600P-04吞吐量200Mbps600Mbps1.2G2G最大并发150,000200,000500,0001,000,000接口数量最多4个100M工作口+最多4个管理口最多4个100M工作口+最多4个管理口最多4个千兆工作
30、口(单模/多模/电口)+最多6个管理口最多4个千兆工作口(单模/多模/电口)+最多6个管理口IPS路数最多最多1路路最多最多1路路最多最多1路路最多最多1路路IDS路数最多3路最多3路最多4路最多4路Bypass内置内置外置外置外置外置冗余电源否否需购买需购买需购买需购买1.绿盟产品线及规格对比绿盟产品线及规格对比n2.联想相对绿盟的优势联想相对绿盟的优势n联想的产品线丰富,接口数量多,类型丰富,其中950IPS最多支持4路IPS或9路IDS。具体信息可参考产品线及产品规格对比表。n联想支持,绿盟不支持的功能n虚拟隧道软件的检测虚拟隧道软件的检测n自由门、无界、花园等反动类软件的检测n “端口
31、端口Mirror”功能功能n “IP Spoofing”功能n “Link Fault Pass Through”功能n “自定义检测方向”n绿盟产品不如我们做的好的功能n联想的产品对P2P的支持更全面,检测准确,且支持P2P限流,特别是迅雷,绿盟支持的不好,可以引导用户进行测试。n我们的产品可以对IM软件的登陆、文字聊天、文件传输、语音聊天、视频聊天进行分项检测,并支持对Web-IM的检测,比绿盟产品要全面,可以引导用户进行测试。n绿盟强调其产品具有绿盟强调其产品具有CVE证书证书.nCVE兼容性证书是与产品相关的,绿盟的IDS和风险评估软件具有CVE证书,IPS产品并没有CVE证书。n绿盟
32、强调其产品支持路由和绿盟强调其产品支持路由和NAT功能功能.n绿盟绿盟IPS支持路由和支持路由和NAT功能的原因有以下两点:功能的原因有以下两点:n(1)绿盟没有防火墙产品)绿盟没有防火墙产品。绿盟不是专业的路由器和防火墙厂商,想想其路由和NAT功能能做好吗?绿盟为了争取一些防火墙的项目,所以在IPS产品中加入了路由和NAT功能。而业内主流产品TP等主流IPS厂商均不在IPS产品中集成路由和NAT功能,这已经成为业内默认的产品标准。n(2)路由)路由/NAT功能与硬件功能与硬件Bypass功能之间是矛盾的。功能之间是矛盾的。客户购买IPS产品时都要求支持硬件Bypass功能,这就要求每路IPS
33、接口之间工作在透明模式下。如使用路由或NAT功能,则硬件Bypass就会不起作用,当设备出现问题时,直接导致断网。n注:硬件bypass功能解决了在IPS主机掉电、硬件故障、操作系统故障时,实现每路IPS的接口之间直通,从而避免了由于IPS故障导致的断网现象发生。n3.联想与绿盟功能对比联想与绿盟功能对比4.联想与启明产品线及规格对比联想与启明产品线及规格对比联想网御联想网御市场定位市场定位百兆百兆千兆千兆项目项目/规格规格350650950450060006500吞吐量200Mbps/500Mbps500Mbps/1Gbps600Mbps/2Gbps1Gbps/3Gbps1Gbps/4Gbp
34、s1Gbps/4Gbps最大并发500,0001,000,0001,000,0001,000,0001,000,0001,000,000接口数量6个10/100/1000M电口6个10/100/1000M电口6个个10/100/1000M电口电口+4个个SFP插槽插槽7个10/100/1000M电口3个10/100/1000M电口+4个GBIC插槽3个10/100/1000M电口+4个GBIC光口IPS路数最多2路最多2路最多最多4路路最多2路最多2路最多2路IDS路数最多最多5路路最多最多5路路最多最多9路路最多最多6路路最多最多6路路最多最多6路路Bypass1路电口2路电口2路电口2路电
35、口不支持2路光口路光口冗余电源否否标配标配标配标配启明星辰启明星辰项目项目/规格规格NDP100NDP200NDP1000NDP2000吞吐量200Mbps400Mbps1.2G2G最大并发1,000,000接口数量6个10/100/1000M电口6个10/100/1000M电口6个10/100/1000M电口+2个SFP插槽6个10/100/1000M电口+2个SFP插槽IPS路数最多2路最多2路最多2路最多2路IDS路数Bypass支持支持支持支持冗余电源否否非标配非标配标配n联想相对启明的优势联想相对启明的优势n联想的产品线丰富,接口数量多,类型丰富,其中950IPS最多支持4路IPS或
36、9路IDS。具体信息可参考产品线及产品规格对比表。n联想支持,启明不支持的功能n虚拟隧道软件的检测虚拟隧道软件的检测n自由门、无界、花园等反动类软件的检测n“端口端口Mirror”功能功能n“IP Spoofing”功能功能n“Link Fault Pass Through”功能功能n“自定义检测方向”nVIPS(虚拟(虚拟IPS)功能)功能nB/S管理架构n启明产品不如我们做的好的功能n联想的产品对P2P的支持更全面,检测准确,且支持P2P限流,特别是迅雷,启明产品支持的不好,可以引导用户进行测试。n联想的产品可以对IM软件的登陆、文字聊天、文件传输、语音聊天、视频聊天进行分项检测,并支持对Web-IM的检测,比启明产品要全面,可以引导用户进行测试。n启明强调其产品具有启明强调其产品具有CVE证书证书.nCVE兼容性证书是与产品相关的,启明的IDS和风险评估软件具有CVE证书,IPS产品并没有CVE证书。5.启明产品功能对比启明产品功能对比n1.xx高校网络出口5.9.成功案例l高校网络特点应用复杂人员众多管理松散lIPS应用P2P占用大量带宽P2P限流,支持100多种常用P2P软件n2.xx证券公司网上交易平台、办公网应用案例l网上交易系统侧重于来自外网攻击的防护l办公网侧重于内网上网行为管理结束
