黃岡市科海智能電子工程有限公司

18971701057
13635897328

華為- NIP6000系列下一代入侵防御系統(tǒng)

簡介—— NIP6000系列下一代入侵防御系統(tǒng)是在傳統(tǒng)IPS(Intrusion Prevention System )產品的基礎上增加對所保護的網(wǎng)絡環(huán)境感知能力、深度應…

  • 網(wǎng)絡安全

詳情內容/ Content details

手機掃一掃

華為 NIP6000下一代入侵防御系統(tǒng)

智能手機、iPad等終端大規(guī)模普及,微信、微博、Facebook、Twitter 成為.常見的網(wǎng)絡應用,企業(yè)利用這些新的技術,大幅度提高員工效率及運營能力。同時,云計算、移動計算等新技術蓬勃發(fā)展,已經(jīng)應用于企業(yè)運營的方方面面。企業(yè)網(wǎng)絡邊界變得模糊,這些技術增加了組織遭受攻擊的風險,通過越來越多的安全事件,可以清楚的看到,信息安全的主要威脅發(fā)生了變化,面對新一代威脅,傳統(tǒng)技術已很難見效。

新一代威脅.重要的特征之一是基于零日漏洞的攻擊,傳統(tǒng)的防護技術需要一個較長的時間來生成可用的簽名,而在這段時間內,攻擊者可能已經(jīng)對目標資產造成了重大危害。同時新一代威脅具有明確的目標性,攻擊者長期有目的性地針對環(huán)境變化采用定制化的攻擊手段,悄然之中達到了攻擊目的。不斷出現(xiàn)的攻擊事件,清楚的展現(xiàn)了一個事實:傳統(tǒng)技術不能完全抵御新一代威脅。當前網(wǎng)絡環(huán)境下IT 設施的保護,需要一套全新的方法,即針對新一代威脅的解決方案。

NIP6000系列產品在傳統(tǒng)IPS產品的基礎上進行了擴展:增加對所保護的網(wǎng)絡環(huán)境感知能力、深度應用感知能力、內容感知能力,以及對未知威脅的防御能力,實現(xiàn)了更精準的檢測能力,和更優(yōu)化的管理體驗,更好的實現(xiàn)對新一代威脅的檢測與防護,保障客戶應用和業(yè)務安全,實現(xiàn)對網(wǎng)絡基礎設施、服務器、客戶端以及網(wǎng)絡帶寬性能的全面防護。

產品特性

全新軟硬件架構,產品性能業(yè)界..

軟件匹配引擎在處理正則表達式規(guī)則的時候,性能都比較低,極大的制約了設備檢測性能,華為NGIPS引擎采用了全球..的處理器提供商Cavium的MIPS64架構處理器,可以為IPS提供高性能的硬件模式匹配引擎。

NIP6000系列下一代入侵防御采用全新的軟硬結合一體化架構,對有規(guī)律、大批量、高運算能力要求的報文處理,采用專用多核平臺由專用的協(xié)處理器硬件處理。對小規(guī)模的運算,仍然用軟件處理。這樣的處理方式讓整體性能更高:

  • 采用異步匹配技術,模式匹配中.消耗系統(tǒng)資源尤其是CPU資源的核心處理完全交給硬件的匹配引擎來處理,在匹配的同時不影響CPU處理其他業(yè)務,并行的處理大大提高報文處理效率和減低時延;
  • 規(guī)則的增加不影響匹配的性能,硬件引擎能滿足上萬條威脅簽名的同時加載,而傳統(tǒng)的IPS引擎在加載大量的簽名時匹配效率嚴重下降,造成設備性能降低,而用硬件匹配引擎則能**解決這個問題;
  • 提供ZIP等壓縮文件的硬件解壓能力, IPS引擎要對壓縮的網(wǎng)頁或者文件進行檢測,就要有強大的解壓縮引擎,而Cavium同樣提供硬件解壓縮能力,可以**對ZIP等壓縮包中的文件進行高性能的IPS檢測。

環(huán)境動態(tài)感知,實現(xiàn)策略調整智能化及日志分級管理

傳統(tǒng)的IPS設備僅基于攻擊報文的特征進行檢測,卻忽略了真實網(wǎng)絡環(huán)境中受保護資產的實際情況,容易產生誤報,導致管理員需要浪費大量的精力處理誤報事件。NIP6000通過對環(huán)境動態(tài)的感知,實現(xiàn)策略智能調整和日志分級管理功能解決此問題:

  • NIP6000感知受保護網(wǎng)絡中的資產信息作為策略調整和風險評估的依據(jù)。支持手動錄入、主動感知和第三方掃描軟件導入資產信息,包括資產類型、操作系統(tǒng)、資產價值和開啟的服務等;
  • 根據(jù)感知的資產信息,NIP6000進行策略自動調整,基于感知到的資產信息選取合適的簽名自動生成入侵防御策略,有針對性地防護,當環(huán)境有變化時,NIP6000能..時間感知相關的變化情況,及時自動調整或提醒管理員進行相關的策略調整以應對新的風險;
  • 當NIP6000檢測到攻擊時,從簽名中提取本次攻擊針對的操作系統(tǒng)、服務等信息。然后將提取的信息與設備中存儲的實際資產信息進行比對,同時根據(jù)資產的價值確定攻擊事件的風險等級,并對這些告警日志進行分級管理,通過分級管理,可以幫助管理員過濾誤報攻擊事件、忽略非關鍵事件,重點聚焦高風險攻擊事件;
  • 通過對環(huán)境的感知,獲取所保護網(wǎng)絡的靜態(tài)安全風險,同時對攻擊的實時檢測,獲取所保護網(wǎng)絡的動態(tài)安全風險,通過動態(tài)和靜態(tài)的風險展示,全面深刻的展示所保護網(wǎng)絡的風險。

支持沙箱聯(lián)動檢測和信譽體系,APT威脅無所遁形

基于簽名的威脅檢測一般是針對已知漏洞的威脅檢測,但是對于零日攻擊和APT攻擊的檢測比較弱。檢測APT攻擊的.有效手段就是沙箱技術,通過沙箱技術構造一個隔離的威脅檢測環(huán)境,然后將網(wǎng)絡流量送入沙箱進行隔離分析并.終判斷是否存在威脅:

  • NIP6000從網(wǎng)絡流量中識別并提取需要進行APT檢測的文件類型,將文件送入沙箱進行威脅分析;
  • 沙箱對文件進行解析,實時檢測已知或未知威脅,然后沙箱將威脅檢測結果反饋給NIP6000,并通過日志報表等形式展示威脅檢測結果;
  • 將威脅的具體攻擊行為提交至云安全中心。云安全中心根據(jù)沙箱提交的威脅數(shù)據(jù)生成信譽信息和簽名庫并推送至NIP6000,從而提升NIP6000的快速威脅防御能力。

多重檢測,全面防護

越來越多的信息資產連接到了互聯(lián)網(wǎng)上,網(wǎng)絡攻擊和信息竊取形成巨大的產業(yè)鏈,這對下一代入侵防御產品的防護能力提出了更高要求。NIP6000具備全面的深度防護功能:

  • 入侵防護(IPS):超過5000種漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護,如跨站腳本攻擊、SQL注入攻擊等;
  • 防病毒(AV):高性能病毒引擎,可防護500萬種以上的病毒和木馬,病毒特征庫每日更新;
  • 服務器惡意外聯(lián)檢測:可以對重要服務器的外聯(lián)進行檢測,包括端口盜用檢測和非法外聯(lián)行為的檢測,保護重要信息資產安全;
  • SSL解密:通過代理方式,對SSL加密流量進行應用層安全防護,如IPS、AV、URL過濾等;
  • Anti-DDoS: 可以識別和防范SYN flood、UDP flood等100+種網(wǎng)絡層及應用層DDoS攻擊

組網(wǎng)應用

互聯(lián)網(wǎng)邊界防護

此種場景NIP6000一般部署于出口防火墻或路由器后端、透明接入網(wǎng)絡。如果需要保護多條鏈路,可使用NIP6000的多個接口對同時接入。

  • 入侵防御:防御來自互聯(lián)網(wǎng)的蠕蟲活動、針對瀏覽器和插件漏洞的攻擊,使得企業(yè)辦公網(wǎng)絡健康運行。攔截基于漏洞攻擊傳播的木馬或間諜程序活動,保護辦公電腦的隱私、身份等關鍵數(shù)據(jù)信息。
  • 反病毒:對內網(wǎng)用戶從Internet下載的文件進行病毒掃描,防止內網(wǎng)PC感染病毒。
  • URL過濾:對內網(wǎng)用戶訪問的網(wǎng)站進行控制,防止用戶隨意訪問網(wǎng)站而影響工作效率或者導致網(wǎng)絡威脅。
  • 應用控制:對P2P、視頻網(wǎng)站、即時通訊軟件等應用流量進行合理控制,**企業(yè)主要業(yè)務的順暢運行。

IDS/服務器前端防護

此種場景一般采用雙機部署避免單點故障。部署位置有如下兩種:直路部署于服務器前端,采用透明方式接入;或者旁掛于交換機或路由器,外網(wǎng)和服務器之間的流量、服務器區(qū)之間的流量都先引流到NIP6000處理后再回注到主鏈路。

  • 入侵防御:防御對Web、Mail、DNS等服務器的蠕蟲活動、針對服務和平臺的漏洞攻擊。防御惡意軟件造成服務器數(shù)據(jù)的損壞、篡改或失竊。防御針對Web應用的SQL注入攻擊、各種掃描、猜測和窺探攻擊
  • 服務器惡意外聯(lián)檢測:防御服務器的惡意外聯(lián),防止價值信息外傳
  • 反病毒:對用戶向服務器上傳的文件進行病毒掃描,防止服務器感染病毒。
  • DDoS攻擊防范:防御針對服務器的DoS/DDoS攻擊造成服務器不可用。

網(wǎng)絡邊界防護

對于大中型企業(yè),內網(wǎng)往往被劃分為安全等級不同的多個區(qū)域,區(qū)域間有風險隔離、安全管控的需求。如部門邊界、總部和分支機構之間等,實現(xiàn)了網(wǎng)絡區(qū)域的安全隔離

  • 入侵防御:實現(xiàn)網(wǎng)絡安全邏輯隔離,檢測、防止外部網(wǎng)絡對本網(wǎng)的攻擊探測等惡意行為,以及外部網(wǎng)絡的蠕蟲、木馬向本網(wǎng)蔓延;
  • 違規(guī)監(jiān)控:監(jiān)控內部網(wǎng)絡用戶向外部網(wǎng)絡的違規(guī)行為;

旁路監(jiān)控

旁路部署在網(wǎng)絡中監(jiān)控網(wǎng)絡安全狀況也是IPS產品的一種應用場景,此種場景下IPS產品主要用來記錄各類攻擊事件和網(wǎng)絡應用流量情況,進而進行網(wǎng)絡安全事件審計和用戶行為分析。在這種部署方式下一般不進行防御響應。旁掛在交換機上,交換機將需要檢測的流量鏡像到NIP6000進行分析和檢測。

  • 入侵檢測:檢測外網(wǎng)針對內網(wǎng)的攻擊、內網(wǎng)員工發(fā)起的攻擊,通過日志和報表呈現(xiàn)攻擊事件供企業(yè)管理員評估網(wǎng)絡安全狀況。同時提供攻擊事件風險評估功能降低管理員評估難度。
  • 應用識別:識別并統(tǒng)計P2P、視頻網(wǎng)站、即時通訊軟件等應用流量,通過報表為企業(yè)管理員直觀呈現(xiàn)企業(yè)的應用使用情況。
  • 防火墻聯(lián)動:IDS設備防御能力弱,檢測到攻擊后可以通知防火墻阻斷攻擊流量
  • 滿足對政策合規(guī)性要求,如等保、涉密網(wǎng)等政府強制標準的遵從等

產品規(guī)格

整機規(guī)格:

型號 NIP6320 NIP6610 NIP6330 NIP6620 NIP6650 NIP6680 NIP6860
產品性能 中端百兆 低端千兆 中端千兆 高端千兆 中端萬兆 高端十萬兆
擴展性
固定接口 4GE+2Combo 8GE+4SFP 4*10GE+16GE+8SFP 無固定接口 支持: 24xGE, 6x10GE, 12x10GE, 3x40GE, 1x100GE
高度 1U 3U 14U
尺寸(mm) 442*421*43.6 442×415×130.5 442 × 650 × 620
重量 10KG 24KG 空箱 43.2kg
滿配 112.9kg
硬盤 Optional single 300 GB hard disks ( hot swappable). Optional. Supports 300 GB hard disks (RAID1 and hot swappable). 不支持硬盤
冗余電源 Optional 標準配置
AC 電源 100~240V 90V ~ 264V
DC電源 - -48~-60V -72 to -38V
功耗 170W 350W DC 典配: 4025W, 
DC .大: 4823W 
AC 典配: 4282W , 
AC .大: 5132W
工作環(huán)境

溫度:0~45℃ (不含硬盤)/5℃~40℃ (包含硬盤)濕度:10%~90%

溫度:0~45℃;
濕度:5%~85%
功能
IT環(huán)境感知 支持感知被保護IT資產的資產類型、操作系統(tǒng),啟用的服務等資產情況,動態(tài)生成適合當前IT環(huán)境的入侵防御策略。
日志分級管理 支持根據(jù)實際IT環(huán)境評估攻擊事件風險等級,聚焦關鍵攻擊事件、忽略低風險攻擊事件。
策略調整 支持對現(xiàn)網(wǎng)流量應用類型自學習,根據(jù)流量中包含應用類型的風險級別選擇是否需要進行入侵檢測。
URL黑名單 通過URL黑名單禁止用戶訪問某些網(wǎng)址,達到管理員工上網(wǎng)行為的目的。
應用層DDoS攻擊防范

支持流量模型自學習;

支持防范應用層DDoS攻擊:HTTP Flood、HTTPS Flood、DNS Flood、SIP Flood
SSL流量檢測 支持對HTTPS流量進行解密并進行威脅檢測。
單包攻擊防范 支持防范多種單包攻擊: 掃描類攻擊:IP地址掃描、端口掃描;畸形報文類攻擊:IP Spoofing、LAND攻擊、Smurf攻擊、Fraggle攻擊、WinNuke、Ping of Death、Tear Drop、IP分片報文檢測、ARP欺騙、TCP標記合法性檢查;特殊報文控制類攻擊:超大ICMP報文控制、ICMP不可達報文控制、ICMP重定向報文的控制、Tracert、源站選路選項IP報文控制、路由記錄選項IP報文控制、時間戳選項IP報文控制
入侵防御IPS 基于簽名庫防御蠕蟲、木馬、僵尸網(wǎng)絡、跨站攻擊、SQL注入等常見攻擊。同時還支持自定義簽名應對突發(fā)攻擊。
APT檢測 基于信譽體系和沙箱技術檢測APT攻擊,NIP6300/6600將疑似文件送入沙箱進行檢測,然后根據(jù)沙箱的檢測結果展示攻擊事件?;谛抛u體系和沙箱技術檢測APT攻擊,NIP6300/6600將疑似文件送入沙箱進行檢測,然后根據(jù)沙箱的檢測結果展示攻擊事件。
反病毒AV 病毒庫每日更新,可迅速檢出超過500萬種病毒。
惡意文件檢測 從各個文件傳輸協(xié)議(HTTP、SMB、FTP、SMTP、POP3、IMAP、NFS)中提取文件,并進入針對文件的檢測引擎進行檢測
應用識別與控制 基于應用識別特征庫可識別P2P、IM、網(wǎng)絡游戲、社交網(wǎng)絡、視頻、語音應用等6000+種應用協(xié)議?;谧R別出的應用協(xié)議可以進行阻斷、流量限制、應用使用情況展示等處理。
IPv6流量檢測 支持IPv6網(wǎng)絡部署及IPv6流量的威脅檢測與防護。
隧道內流量檢測 支持對VLAN、QinQ、MPLS、GRE、IPv4 over IPv6、IPv6 over IPv4隧道流量進行攻擊檢測。
網(wǎng)絡層DDoS攻擊防范

支持流量模型自學習;

支持防范網(wǎng)絡層DDoS攻擊:SYN Flood、UDP Flood、ICMP Flood、ARP Flood;
IP隔離 支持將產生攻擊的源/目的IP地址加入黑名單,阻斷對應IP的后續(xù)報文。
雙機熱備 支持VRRP、VGMP、HRP等雙機熱備協(xié)議。提供完善的雙機熱備處理機制,**主機發(fā)生故障時,業(yè)務可以自動平滑切換到備機上運行。
硬件Bypass 通過插入Bypass卡,實現(xiàn)系統(tǒng)工作異常(包括軟件異常、硬件故障、設備掉電等嚴重故障)時流量直通功能,保障業(yè)務不中斷。
日志顯示 支持流量日志、威脅日志、URL日志、操作日志、系統(tǒng)日志、策略命中日志等多種日志類型供管理員查看,幫助管理員掌握網(wǎng)絡事件。
報表呈現(xiàn) 支持流量報表、威脅報表、策略命中報表等多種報表類型供管理員查看和訂閱,幫助管理員了解網(wǎng)絡流量狀況、威脅狀況。同時網(wǎng)管系統(tǒng)eSight還支持更綜合、更豐富的報表。
配置管理 支持通過Web界面、命令行(Console、Telnet、STelnet)、以及網(wǎng)管(SNMP)對設備進行管理。
特征庫升級 支持入侵防御特征庫、應用識別特征庫和反病毒特征庫的離線和在線升級,使設備持續(xù)擁有.新的防護能力。
故障診斷 支持可視化故障診斷功能,可以幫助管理員一次性完成所有可能原因的診斷,并且自動給出診斷結果和修復建議。

訂購信息

對外型號 NIP機型編碼 中文描述
NIP6610-AC 02350CVY 裝配組件-NIP6610-NIP6610-AC-NIP6610交流主機(4GE電+2GE Combo,含知識庫升級服務12個月)
NIP6320-AC 02350CWA 裝配組件-NIP6320-NIP6320-AC-NIP6320交流主機(4GE電+2GE Combo,含知識庫升級服務12個月)
NIP6330-AC 02350CWC 裝配組件-NIP6330-NIP6330-AC-NIP6330交流主機(8GE電+4GE光,含知識庫升級服務12個月)
NIP6620-AC 02350CWU 裝配組件-NIP6620-NIP6620-AC-NIP6620交流主機(8GE電+4GE光,含知識庫升級服務12個月)
NIP6650-AC 02350CWD 裝配組件-NIP6650-NIP6650-AC-NIP6650交流主機(8GE電+4GE光,2交流電源,含知識庫升級服務12個月)
NIP6650-DC 02350CWE 裝配組件-NIP6650-NIP6650-DC-NIP6650直流主機(8GE電+4GE光,2直流電源,含知識庫升級服務12個月)
NIP6680-AC 02350CWH 裝配組件-NIP6680-NIP6680-AC-NIP6680交流主機(16GE電+8GE光+4*10GE光,2交流電源,含知識庫升級服務12個月)
NIP6680-DC 02350CWJ 裝配組件-NIP6680-NIP6680-DC-NIP6680直流主機(16GE電+8GE光+4*10GE光,2直流電源,含知識庫升級服務12個月)
LIC-AV12-NIP63-HM 88032TYQ 軟件費用-NIP6300-LIC-AV12-NIP63-HM-反病毒升級服務時間12個月
LIC-AV24-NIP63-HM 88032TYR 軟件費用-NIP6300-LIC-AV24-NIP63-HM-反病毒升級服務時間24個月
LIC-IPS12-NIP63-HM 88032TYS 軟件費用-NIP6300-LIC-IPS12-NIP63-HM-知識庫升級服務時間12個月
LIC-IPS24-NIP63-HM 88032TYT 軟件費用-NIP6300-LIC-IPS24-NIP63-HM-知識庫升級服務時間24個月
LIC-AV12-NIP66-LM 88032UBJ 軟件費用-NIP6610-LIC-AV12-NIP66-LM-反病毒升級服務時間12個月
LIC-AV24-NIP66-LM 88032UBK 軟件費用-NIP6610-LIC-AV24-NIP66-LM-反病毒升級服務時間24個月
LIC-IPS12-NIP66-LM 88032UBL 軟件費用-NIP6610-LIC-IPS12-NIP66-LM-知識庫升級服務時間12個月
LIC-IPS24-NIP66-LM 88032UBM 軟件費用-NIP6610-LIC-IPS24-NIP66-LM-知識庫升級服務時間24個月
LIC-AV12-NIP66-LG 88032UBN 軟件費用-NIP6620&NIP6620D-LIC-AV12-NIP66-LG-反病毒升級服務時間12個月
LIC-AV24-NIP66-LG 88032UBP 軟件費用-NIP6620&NIP6620D-LIC-AV24-NIP66-LG-反病毒升級服務時間24個月
LIC-IPS12-NIP66-LG 88032UBQ 軟件費用-NIP6620&NIP6620D-LIC-IPS12-NIP66-LG-知識庫升級服務時間
LIC-IPS24-NIP66-LG 88032UBR 軟件費用-NIP6620&NIP6620D-LIC-IPS24-NIP66-LG-知識庫升級服務時間24個月
LIC-AV12-NIP66-HG 88032UBS 軟件費用-NIP6650&NIP6650D&NIP6680-LIC-AV12-NIP66-HG-反病毒升級服務時間12個月
LIC-AV24-NIP66-HG 88032UBT 軟件費用-NIP6650&NIP6650D&NIP6680-LIC-AV24-NIP66-HG-反病毒升級服務時間24個月
LIC-IPS12-NIP66-HG 88032UBU 軟件費用-NIP6650&NIP6650D&NIP6680-LIC-IPS12-NIP66-HG-知識庫升級服務時間12個月
LIC-IPS24-NIP66-HG 88032UBV 軟件費用-NIP6650&NIP6650D&NIP6680-LIC-IPS24-NIP66-HG-知識庫升級服務時間24個月

Copyright © 黃岡市科海智能電子工程有限公司 版權所有

備案號:鄂ICP備18012137號    技術支持:  萬家燈火