入侵防御系統(tǒng)（IPS）

產(chǎn)品亮點(diǎn)

1. 高效的一體化過濾引擎與一站式配置

   通過高效的報(bào)文分流算法（HIPAC），能達(dá)到匹配時間與策略數(shù)無關(guān)性，即1萬條策略與10條策略的匹配時間基本一致。通過混合有限狀態(tài)機(jī)（HFA）的模式匹配算法，將IPS、AV、木馬檢測等安全業(yè)務(wù)的模式信息統(tǒng)一編譯到一個HFA中，報(bào)文流只需匹配一次HFA狀態(tài)機(jī)就能完成安全檢查。

2. 先進(jìn)的多核處理技術(shù)

   基于多核硬件處理器芯片，采用多核并行處理技術(shù)，多線程同時工作，大幅提高攻擊簽名的匹配速度和網(wǎng)絡(luò)流量的處理速度。

3. 全面的監(jiān)測手段

   采用模式匹配、異常流量分析、深度協(xié)議解析等技術(shù)實(shí)現(xiàn)了對各種常見攻擊的精準(zhǔn)識別與實(shí)時響應(yīng)。

4. 豐富的應(yīng)用識別管理

   具有豐富的應(yīng)用識別管理功能?？梢宰R別超過數(shù)百種常見的即時消息、在線游戲、股票軟件、P2P下載等網(wǎng)絡(luò)應(yīng)用，提供精細(xì)化的帶寬管理保障網(wǎng)絡(luò)暢通。

5. 高度容錯能力

   產(chǎn)品支持硬件掉電Bypass機(jī)制、軟件異常Bypass機(jī)制、電源冗余保護(hù)機(jī)制（視具體型號而定），全方位保障業(yè)務(wù)的連續(xù)性。同時具備的集群部署模式，允許用戶橫向擴(kuò)容，降低總擁有成本。

產(chǎn)品功能

• 全面的攻擊檢測能力

  內(nèi)置超過4000種經(jīng)過安全專家精心提煉的特征條目，可以防范包括掃描、可疑代碼、蠕蟲、病毒、木馬、間諜軟件、DoS/DDoS等各類網(wǎng)絡(luò)威脅，真正做到了檢測準(zhǔn)確率高，誤報(bào)率低。

• 強(qiáng)大的抗DoS/DDoS能力

  提供獨(dú)特的DoS/DDoS檢測及預(yù)防機(jī)制，可以辨別合法數(shù)據(jù)包以及DoS/DDoS攻擊數(shù)據(jù)包，保證用戶在遭受攻擊時也能順利享用網(wǎng)絡(luò)服務(wù)。

• 采用虛擬化IPS引擎

  提供虛擬化、彈性化的管理方式。每一對實(shí)體接口都可配置不同的規(guī)則集，每一個規(guī)則集都可依據(jù)來源/目的端IP地址等對象信息來決定對應(yīng)的處理方式。同時每個規(guī)則集皆可定義有效的運(yùn)行時間，方便網(wǎng)絡(luò)管理人員依據(jù)業(yè)務(wù)系統(tǒng)的規(guī)范要求進(jìn)行規(guī)劃和部署。

• 動態(tài)的異常流量管理，精確的帶寬管理功能

  針對通信協(xié)議異常、IP/Port的掃描異常、網(wǎng)絡(luò)流量異常等進(jìn)行動態(tài)的管理，采取七層深度數(shù)據(jù)包分析技術(shù)，可以完整地做到應(yīng)用程序級別的流量管理。

• 方便的管理方式，直觀的實(shí)時顯示

  具有強(qiáng)大且豐富的管理能力，能夠貼近各種不同網(wǎng)絡(luò)架構(gòu)的需求，提供友好的管理接口以及多種實(shí)用的信息實(shí)時顯示。

使用場景

• 入侵防御系統(tǒng)的典型部署為串行透明接入模式，在這種接入模式下，不需要改變網(wǎng)絡(luò)拓?fù)?，只需要將入侵防御系統(tǒng)透明串聯(lián)到防護(hù)鏈路之間即可實(shí)現(xiàn)主動安全攔截攻擊。如下圖所示是入侵防御系統(tǒng)幾種典型的防護(hù)部署。

• 1.串行透明部署在內(nèi)網(wǎng)關(guān)鍵鏈路:

  防御來自外部的各種攻擊威脅；

  防止內(nèi)網(wǎng)被感染主機(jī)的威脅擴(kuò)散到其他網(wǎng)段；

  有效了解/控制內(nèi)部應(yīng)用，如即時通信和在線游戲。

• 2.串行透明部署在DMZ或者數(shù)據(jù)中心區(qū):

  防御來自內(nèi)外網(wǎng)對Web、Mail、FTP、數(shù)據(jù)庫等服務(wù)器的應(yīng)用層攻擊；

  防御DDoS等攻擊，保障業(yè)務(wù)連續(xù)性。