概要:H3C IPS按照电信级标准设计了冗余电源进行供电,并设计了无源连接设备PFC(Power Free Connector),PFC可以为IPS产品提供了掉电保护功能。在IPS掉电的情况下,PFC可以将网络流量自动绕开IPS、旁路到下一跳设备上去;而当管理员恢复电源供给后,PFC又会自动禁止旁路功能,所有流量将再度流经IPS接受检测。如下图所示。图1. H3C IPS的掉电保护机制设计PFC是通过IPS设备上的USB口供电的,当IPS掉电后,PFC也掉电,PFC掉电后通过内部的继电器装置会迅速连通网络,实现一层Bypass。利用PFC设备,H3C IPS在掉电后小于10ms的时间内即能恢复网络连通。在线部署的IPS是否会因为性能问题而导致IPS节点成为网络瓶颈?这也是很多用户会担心的问题。其实这个担心是没有必要的。网络产品(路由、交换机)的硬件技术、软件技术的发展使得万兆,百万兆的流量处理都是能够实现的,包括IPS在内的各种安全设备在架构设计和芯片处理上都可以借鉴和挪用这些技术积累,从而拥有了更强劲的处理能力
IPS是使网络健康的关键防护措施,标签:电脑网络知识,网络学习,http://www.laixuea.comH3C IPS按照电信级标准设计了冗余电源进行供电,并设计了无源连接设备PFC(Power Free Connector),PFC可以为IPS产品提供了掉电保护功能。在IPS掉电的情况下,PFC可以将网络流量自动绕开IPS、旁路到下一跳设备上去;而当管理员恢复电源供给后,PFC又会自动禁止旁路功能,所有流量将再度流经IPS接受检测。如下图所示。
图1. H3C IPS的掉电保护机制设计
PFC是通过IPS设备上的USB口供电的,当IPS掉电后,PFC也掉电,PFC掉电后通过内部的继电器装置会迅速连通网络,实现一层Bypass。利用PFC设备,H3C IPS在掉电后小于10ms的时间内即能恢复网络连通。
在线部署的IPS是否会因为性能问题而导致IPS节点成为网络瓶颈?这也是很多用户会担心的问题。其实这个担心是没有必要的。网络产品(路由、交换机)的硬件技术、软件技术的发展使得万兆,百万兆的流量处理都是能够实现的,包括IPS在内的各种安全设备在架构设计和芯片处理上都可以借鉴和挪用这些技术积累,从而拥有了更强劲的处理能力,可以保证:IPS能够在可预见的网络带宽下以“交换机式”性能完成入侵检测防御。
IPS已经得到了全球范围的规模应用,说明了IPS的性能是完全可以满足各种实际应用环境的。特别是从2000年开始,业界对IPS的开发和测评已积累了足够的经验,尤其对IPS产品的性能评价和性能测试方法已经足够客观准确,厂家或测评机构可通过客观的IPS性能测试方法来获得IPS的吞吐量、时延、并发连接数、新建连接数等指标,而将IPS用在与这些指标相对应的网络环境中时,IPS的性能是决不会成为瓶颈的。H3C IPS的从高端到低端的全系列IPS产品的时延都在50微秒以下。
IPS的硬件设计先进,如采用多核CPU、多核多线程,采用专有交换芯片实现正常报文转发等,多核CPU可以多达8核、16核、32核。每个核具有多个硬件线程,每个线程具有独立的寄存器组,这些核可以并发地执行指令,保证了多个硬件线程的高速运行。先进的硬件架构使多核并行运算,提供入侵检测防御业务,确保IPS性能。。
四、 总结
通过我们的分析,知道IPS是防范安全威胁的最有效的网络安全设备。分析IPS的发展历史,我们知道IPS规避了IDS的缺陷,IPS相比IDS代表了更先进的产品形态。分析IPS的技术和应用,我们知道IPS不会因为可靠性和性能而影响网络的正常业务。分析IPS产品在国内、外的应用历史和趋势,我们知道IPS已成为主流的网络安全设备在各行各业的网络上进行了规模部署。
我们发现,交换机和路由器的规模部署使网络实现了互联互通,当网络规模变大、安全问题变严重时,防火墙的规模部署使网络实现了访问控制,解决了部分安全问题,而当网络应用不断丰富并且不断商业化、安全形势变得更加严峻时,IPS的规模部署使网络实现深度报文检测和入侵防御必然是网络和网络安全的发展趋势。