《網絡安全技術與實踐》第二篇邊界安全課件

《網絡安全技術與實踐》課件制作人：蔣亞軍網絡安全技術與實踐（課件）

人民郵電出版社2012

年

蔣亞軍編著《網絡安全技術與實踐》課件制作人：蔣亞軍網絡安全技術項目二入侵防護系統(tǒng)IPS第二篇《網絡安全技術與實踐》第二篇邊界安全課件《網絡安全技術與實踐》第二篇邊界安全課件【項目背景】某企業(yè)的計算機網絡最近頻繁遭受到攻擊，雖然已經安裝了防火墻，但是效果依然不理想。邀請安全專家檢測網絡發(fā)現公司內部計算機網絡存在大量的惡意代碼、僵尸網絡、病毒以及有針對性不良數據包的攻擊，公司決定投資解決相關網絡安全問題?！卷椖勘尘啊磕称髽I(yè)的計算機網絡最近頻繁遭受到攻擊，雖然已經安【需求分析】傳統(tǒng)的網絡安全防范方法是對操作系統(tǒng)進行安全加固，通過各種各樣的安全補丁提高操作系統(tǒng)本身的抗攻擊性。安裝防火墻的思路是在網絡邊界檢查攻擊包的并將其直接拋棄，使攻擊包無法到達目標，從而從根本上避免黑客的攻擊。但通常的防火墻卻無法對付應用層的惡意代碼，對于僵尸網絡、病毒以及有針對性的不良數據包的攻擊卻都顯得有些無能為力。入侵檢測系統(tǒng)（IDS）可以檢測網絡攻擊，但它的阻斷攻擊能力卻非常有限，一般只能通過發(fā)送TCPreset包或聯(lián)動防火墻來阻止攻擊。本例中最好采用入侵防御系統(tǒng)（IPS），因為IPS是一種主動的、積極的入侵防范、阻止系統(tǒng)，它可部署在網絡的邊界上，當它檢測到上述的攻擊時，能夠自動地將攻擊包丟掉或采取措施將攻擊源阻斷?！拘枨蠓治觥總鹘y(tǒng)的網絡安全防范方法是對操作系統(tǒng)進行安全加固，【預備知識】入侵防護系統(tǒng)(IPS)傾向于提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接部署在網絡邊界上連接內外網實現安全防護功能的，它可通過網絡端口接收來自外部系統(tǒng)的流量，檢查確認其中是否包含異?；蚩梢傻幕顒觾热?，在數據傳輸過程中清除掉有問題的數據內容?！绢A備知識】入侵防護系統(tǒng)(IPS)傾向于提供主動防護，其入侵防護系統(tǒng)幾個問題1.入侵防御系統(tǒng)（IPS）就是入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）的升級產品，2.入侵防護系統(tǒng)能夠取代入侵檢測系統(tǒng)3.入侵防護系統(tǒng)是入侵檢測系統(tǒng)+防火墻4.關于主動防護問題與防護體系的問題入侵防護系統(tǒng)幾個問題IPS的現狀IPS提出了多年，一直認為IPS會取代IDS（入侵檢測系統(tǒng)），但是很多年過去了，情況似乎并非如此。據調查，目前59%的用戶部都署了IDS，27%的用戶將IDS列入購買計劃，62%用戶在關注IPS，并且7%的用戶有意向購買IPS，這些數據表明，IDS和IPS在國內都呈現出繁榮發(fā)展的前景

。IDS和IPS將會有著不同的發(fā)展方向和職責定位。IDS短期內不會消亡，IPS也不會完全取代IDS的作用。雖然IPS市場前景被絕大多數人看好，市場成熟指日可待，但要想靠蠶食IDS市場來擴大市場份額，對于IPS來說應該還是很難的。IPS的現狀IPS提出了多年，一直認為IPS會取代IDS（入IPS的產品背景1.安全漏洞越來越多零日攻擊IPS的產品背景1.安全漏洞越來越多2.DoS/DDoS仍是很大的威脅根據調查，每天平均偵測到6,110個事件Arbor的研究指出，DoS/DDoS占網絡安全事件的65%，其中主要還是TCPSYN/UDPFlooding應用層CC攻擊2.DoS/DDoS仍是很大的威脅3.來自內部網絡的威脅InstantMessage在線聊天軟件P2P共享軟件虛擬隧道軟件在線網絡游戲企業(yè)網絡IM：MSN、QQ、SkypeP2P：迅雷、BitTorrent虛擬隧道：VNN在線網游：聯(lián)眾、浩方3.來自內部網絡的威脅企業(yè)網絡IM：MSN、QQ、Skype降低工作效率文件傳輸，引發(fā)泄密風險散布惡意程序這些工具我們都在用，安全嗎？網管員的夢想——“只允許聊天，禁止其它功能”

“不同的對象使用不同管理方式”4.IM即時消息軟件的威脅降低工作效率這些工具我們都在用，安全嗎？網管員的夢想——4.P2P在耗盡帶寬Thunder迅雷、eMule電驢、BT、FlashGet…PPLive、PPStream、QQLive…

消耗正常網絡帶寬病毒散布溫床機密文件外泄下載文檔的著作權5.P2P的威脅P2P在耗盡帶寬Thunder迅雷、eMule電驢、BT6.穿透防火墻對外連機

7.直接與外界計算機直接交換信息通過防火墻開放的合法端口建立虛擬隧道數據加密，企業(yè)難以防范，機密信息泄露虛擬隧道軟件：VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor

6.穿透防火墻對外連機7.直接與外界計算機直接交換信息通IPS產品的客戶價值IntrusionPreventionSystem

入侵防護系統(tǒng)簡單的講：IPS是在應用層上進行威脅檢測和防御的“深度防火墻+上網行為管理”防火墻是IDS是IPS是IPS是什么？IPS產品的客戶價值IntrusionPrevention凈化過濾蠕蟲、木馬、網絡病毒、及DDoS等惡意攻擊以凈化網絡流量優(yōu)化強大的P2P流量控管功能以優(yōu)化網絡效能管理面向用戶的強大審計功能以落實網絡管理凈化過濾蠕蟲、木馬、網絡病毒、及DDoS等惡意攻擊以凈化網絡IPS的種類1.基于主機的入侵防護(HIPS)HIPS通過在主機/服務器上安裝軟件代理程序，防止網絡攻擊入侵操作系統(tǒng)以及應用程序。基于主機的入侵防護能夠保護服務器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfeeEntercept、冠群金辰的龍淵服務器核心防護都屬于這類產品，它們在防范紅色代碼和Nimda的攻擊中，能起到了很好的防護作用。基于主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對服務器、主機發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權的入侵行為，整體提升主機的安全水平。IPS的種類1.基于主機的入侵防護(HIPS)IPS的種類2.基于網絡的入侵防護(NIPS)NIPS通過檢測流經的網絡流量，提供對網絡系統(tǒng)的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網絡會話，而不僅僅是復位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網絡的瓶頸，因此NIPS通常被設計成類似于交換機的網絡設備，提供線速吞吐速率以及多個網絡端口。IPS的種類2.基于網絡的入侵防護(NIPS)IPS的種類3.應用入侵防護（AIP）NIPS產品有一個特例，即應用入侵防護（ApplicationIntrusionPrevention，AIP），它把基于主機的入侵防護擴展成為位于應用服務器之前的網絡設備。AIP被設計成一種高性能的設備，配置在應用數據的網絡鏈路上，以確保用戶遵守設定好的安全策略，保護服務器的安全。NIPS工作在網絡上，直接對數據包進行檢測和阻斷，與具體的主機/服務器操作系統(tǒng)平臺無關。NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。IPS的種類3.應用入侵防護（AIP）IPS主要功能與特性檢測機制

由于需要具備主動阻斷能力，檢測準確程度的高低對于IPS來說十分關鍵。IPS廠商綜合使用多種檢測機制來提高IPS的檢測準確性。據Juniper的工程師介紹，Juniper產品中使用了包括狀態(tài)簽名、協(xié)議異常、后門檢測、流量異常、混合式攻擊檢測在內的“多重檢測技術”，以提高檢測和阻斷的準確程度。McAfee公司則在自己的實驗室里加強了對溢出型漏洞的研究和跟蹤，把針對溢出型攻擊的相應防范手段推送到IPS設備的策略庫中。國內品牌冰峰網絡在IPS設備中采用了漏洞阻截技術，通過研究漏洞特征，將其加入到過濾規(guī)則中，IPS就可以發(fā)現符合漏洞特征的所有攻擊流量，在沖擊波及其變種大規(guī)模爆發(fā)時，直接將其阻斷，從而贏得打補丁的關鍵時間。IPS主要功能與特性檢測機制IPS主要功能與特性弱點分析

IPS產品的發(fā)展前景取決于攻擊阻截功能的完善。引入弱點分析技術是IPS完善攻擊阻截能力的重要依據.IPS廠商通過分析系統(tǒng)漏洞、收集和分析攻擊代碼或蠕蟲代碼、描述攻擊特征或缺陷特征，使IPS能夠主動保護脆弱系統(tǒng)。

IPS主要功能與特性弱點分析IPS主要功能與特性環(huán)境配置IPS的檢測準確率還依賴于應用環(huán)境。一些流量對于某些用戶來說可能是惡意的，而對于另外的用戶來說就是正常流量，這就需要IPS能夠針對用戶的特定需求提供靈活而容易使用的策略調優(yōu)手段，以提高檢測準確率。McAfee、Juniper、ISS、冰峰網絡等公司同時都在IPS中提供了調優(yōu)機制，使IPS通過自學習提高檢測的準確性。

IPS主要功能與特性環(huán)境配置IPS主要功能與特性兼容性所有的用戶都希望用相對少的投入，建設一個最安全、最易管理的網絡環(huán)境。IPS如若需達到全面防護工作，則還要把其它網絡管理功能集成起來，如網絡管理、負載均衡、日志管理等，各自分工，但緊密協(xié)作。IPS主要功能與特性兼容性2.典型IPS產品的功能（1）天融信TopIDP產品的主要功能。高吞吐量、低延時入侵防御能力多重立體防御保護網絡架構防護能力網絡性能保護核心應用保障能力實現精細化防御2.典型IPS產品的功能（1）天融信TopIDP產品的主2.典型IPS產品的功能（2）聯(lián)想網域入侵防護系統(tǒng)IPS良好的產品架構強大的入侵與防護檢測能力強大的DoS/DDoS攻擊防護能力帶寬管理上網行為管理應用層防火墻2.典型IPS產品的功能（2）聯(lián)想網域入侵防護系統(tǒng)IPS2.聯(lián)想網御IPS主要功能帶寬管理上網行為管理抗DoS/DDoS七層防火墻IDSIPS聯(lián)想網御IPS企業(yè)網絡IM、P2P、WebMailWebPost、OnlineGameIntrusion、DoS/DDoSWorm/NetworkVirus2.聯(lián)想網御IPS主要功能帶寬管理上網行為管理抗DoS/D分類特性/功能詳細描述產品架構硬件架構采用ASIC硬件架構，無硬盤設計，減少設備故障幾率操作系統(tǒng)采用VSP通用安全平臺；采用非開放式操作系統(tǒng)，以確保防御設備自身的穩(wěn)定性入侵檢測與防護入侵檢測引擎采用USE統(tǒng)一安全引擎，具備基于協(xié)議異常、會話狀態(tài)識別和七層應用行為的攻擊識別功能；工作模式支持IPS、IDS、IPS監(jiān)視、IDS監(jiān)視、Forward等多種工作模式;特征規(guī)則內置IPS特征庫，特征規(guī)則數量超過2,300條；可自定義入侵攻擊和應用軟件的特征協(xié)議分析支持對VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各種協(xié)議的分析防護攻擊類型支持對蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼、掃描、非法連接、DosS/DDoS、Web攻擊等多種攻擊的防護?？梢苑婪禝PSpoofing攻擊。策略時間管理可自定義單個策略的運行時間對數據包的處理方式支持丟棄數據包、切斷會話、事件監(jiān)視/記錄(可選擇記錄數據包內容，如Sniffer一般)、限制連接傳輸帶寬、限制傳輸總量等多種處理方式DoS/DDoS攻擊防護三/四層防護支持雙向阻斷TCP/UDP/IGMP/ICMP/IPFlooding、UDP/ICMPSmurfing等各種類型的DoS/DDoS的攻擊七層防護支持基于限制訪問單位時間內訪問特定服務次數來，阻斷未知類型的DoS/DDoS攻擊，如針對Web、DNS等服務的攻擊帶寬管理流量整形針對VLAN、源/目的IP地址、應用協(xié)議端口、七層應用軟件（如P2P、FTP、PPlive、PPStream等），支持進行網絡傳輸帶寬和網絡傳輸總量兩種限制方式P2P下載管理擁有完善的P2P特征識別庫，支持的常用P2P軟件包括Thunder、eMule、WinMX、QQLive(China)、Skype、eDonkey、BitTorrent、Mldonkey等30余種；帶寬限流可精準到1Kbps上網行為管理聊天應用管理擁有完善的實時聊天程序特征識別庫，支持的聊天程序包括MSN、QQ、YahooMessenger、Skype、AIM、TM、GoogleTalk、PoPoBuild、iChat等10多類；并可對基于Web的聊天進行登陸和禁止管理控制，如MSN、Yahoo、ICQ、GoogleTalk、AIM、eB、iLoveIM.com等在線游戲管理支持對騰訊QQ游戲大廳、聯(lián)眾世界、浩方對戰(zhàn)平臺、跑跑卡丁車等流行的在線游戲實現阻斷管理Web訪問檢查可基于URL、內容等制定黑白名單來對Web訪問進行過濾分類特性/功能詳細描述產品架構硬件架構采用ASIC硬件架構分類特性/功能詳細描述應用層防火墻防火墻功能支持狀態(tài)檢測防火墻功能，支持基于網絡接口、源/目的IP地址、協(xié)議、時間等自定義訪問控制策略虛擬通道管理支持對VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虛擬隧道，以及對自由門、無界、花園等反動類軟件，實現阻斷管理。高可靠性雙機熱備基于HA網絡物理接口，可實現在設備宕機、端口壞等故障下的主機和從機的及時切換旁路保護支持硬件Bypass、軟件Bypass的功能，以避免在任何情況下，因本系統(tǒng)無法正常運作而造成網絡中斷的情形靈活的管理管理方式基于Java的B/S管理架構，支持圖形界面和命令行管理方式高效的集中管理支持通過專用的安全管理系統(tǒng)，實現全局拓撲生成、集中日志審計、集中設備監(jiān)控等安全管理直觀的狀態(tài)顯示具有顯示攻擊事件百分比的儀表盤、顯示協(xié)議流量的柱狀圖、安全事件趨勢分析曲線圖、實時事件列表等多種實時狀態(tài)顯示，方便分析網絡的現狀和趨勢設備升級支持通過線升級和本地文件升級方式，來對特征庫、管理軟件、設備操作系統(tǒng)實現升級報警可實時通過LEMS、郵件、syslog進行報警流量分析支持端口Mirror功能。設備提供Mirror接口，網絡分析設備可直接獲得流量數據進行分析。日志審計報表內置多樣化的報表模版，自動定時生成和自定義來生成報表；支持HTML、PDF、CSV等文件格式；可利用郵件或FTP等形式定時外傳報表事件查詢可根據事件類型、虛擬設備、時間、源/目的IP、攻擊名稱等信息進行快速問題定位分類特性/功能詳細描述應用層防火墻防火墻功能支持狀態(tài)檢測防火5.聯(lián)想網御IPS核心技術1.基于協(xié)議自動機（PA）的流量識別技術提供了更精確的流量檢測方法高效的流量數據包特征匹配5.聯(lián)想網御IPS核心技術1.基于協(xié)議自動機（PA）的流量2.硬件特征匹配技術傳統(tǒng)硬件加速技術基于FPGA基于Bloom過濾器基于TCAM聯(lián)想網御硬件特征匹配技術FPGA+TCAM+SSRAM的硬件加速架構2.硬件特征匹配技術3.聯(lián)想網御硬件加速架構的優(yōu)勢使用TCAM做預處理，因而支持Wildcard、Distance、Within等等針對P2P/IM等應用程序所需要的操作單元；對特征進行了預分組，在保證了匹配速度的同時，控制了器件規(guī)模，從而節(jié)約成本，保證了用戶得到最高的性能價格比；算法相關部分全部位于FPGA之中，由于其具有可動態(tài)升級特性，因而算法可以不斷隨著產品升級進行優(yōu)化，靈活性大；SSRAM成本低，容量大，用它來實現精確匹配極大了擴展了可以用于匹配的規(guī)則數目；CPU的多核機制和FPGA中并行數據包緩沖處理機制結合，支持全并行的特征匹配。3.聯(lián)想網御硬件加速架構的優(yōu)勢5.5.聯(lián)想網御IPS產品優(yōu)勢1.高效的硬件體系結構零拷貝技術多核處理與內存分配技術ASIC加上特征比對技術5.5.聯(lián)想網御IPS產品優(yōu)勢1.高效的硬件體系結構2.USE統(tǒng)一安全引擎基于協(xié)議異常、會話狀態(tài)和七層應用行為進行檢測內置2300多條特征規(guī)則，支持自定義特征支持對VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等各種協(xié)議的分析2.USE統(tǒng)一安全引擎3.支持七層狀態(tài)檢測防火墻支持基于網絡接口、源/目的IP地址、協(xié)議、時間等自定義訪問控制策略支持對VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虛擬隧道實現阻斷管理

3.支持七層狀態(tài)檢測防火墻DNS/SMTP/WWWInternet4.高級自學習抗DoS攻擊傳統(tǒng)單純基于時間及訪問次數的方法，會阻擋合法流量自動學習和分析每個特定IP地址的流量阻止攻擊，同時允許合法的流量通過“源IP+URL特征+時間+訪問次數”有效防范CC攻擊DNS/SMTP/WWWInternet4.高級自學習抗Do5.全面的P2P管控基于軟件行為、數據內容，而不是端口識別應用可檢測加密型或非加密型P2P支持100余種常用P2P軟件帶寬限流可精準到1Kbps5.全面的P2P管控6.細粒度的IM管控基于軟件行為、數據內容，而不是基于端口號識別應用可檢測加密型或非加密型IM應用支持10種以上常用IM軟件，包括WebIM可對登陸、文字聊天、文件傳輸、實時語音、實時視頻等進行分項管理6.細粒度的IM管控7.精準的帶寬管理針對VLAN、源/目的IP地址、應用協(xié)議端口、七層應用軟件（如P2P、FTP、PPlive、PPStream等）支持進行網絡傳輸帶寬和網絡傳輸總量兩種限制方式針對P2P應用的帶寬限流，可精準到1Kbps

7.精準的帶寬管理8.豐富的工作模式支持IPS、IDS、IPS監(jiān)視、IDS監(jiān)視、Forward等工作模式支持Mirror模式8.豐富的工作模式9.自定義檢測方向針對性檢測節(jié)省系統(tǒng)資源9.自定義檢測方向10.圖像化的實時監(jiān)視窗口10.圖像化的實時監(jiān)視窗口11.方便、實用的報表預設事件報表、內建報表、隨選報表、定期報表四類報表事件報表查看事件的詳細列表內建報表圖形化顯示隨選報表豐富的查詢條件定期報表多樣的計劃類型：循環(huán)生成、一次性生成豐富的過濾條件HTML、PDF、CSV文件存儲郵件、FTP通知11.方便、實用的報表事件報表內建報表隨選報表定期報表12.靈活的管理基于JAVA的B/S管理架構支持在線、脫機兩種方式對特征庫、管理軟件、設備操作系統(tǒng)實現升級支持實時通過LEMS、郵件、syslog進行報警SSH、Console管理IPS設備12.靈活的管理13.實用的多重冗余功能無硬盤設計冗余電源硬件/軟件Bypass聯(lián)機自動切換（LinkFaultPassThrough）支持Active-Active、Active-Passive兩種模式13.實用的多重冗余功能14.全面的產品資質14.全面的產品資質項目/規(guī)格項目/規(guī)格/說明350IPS650IPS950IPS4500IPS6000IPS6500IPS性能防火墻吞吐量整機最大吞吐量500Mbps1Gbps2Gbps3Gbps4Gbps4GbpsIPS吞吐量整機最大吞吐量200Mbps500Mbps600Mbps1Gbps1Gbps1Gbps時延單個報文最大時延<200微秒<200微秒<200微秒<128微秒<128微秒<128微秒并發(fā)連接數整機最大并發(fā)連接數500,0001,000,0001,000,0001,000,0001,000,0001,000,000每秒新建連接數整機每秒最大連接數12,00012,00012,00022,00022,00022,000接口/擴展性IPS/IDS共用口10/100/1000自適應電口4444001000M（單模/多模光口）000004插槽（支持1000M單模光口/多模光口/電口模塊，模塊未標配，按需另行購買）004個SFP插槽04個GBIC插槽0IDS口10/100/1000自適應電口111222管理口10/100/1000自適應電口111111串口1個RJ-451個RJ-451個RJ-451個RS-2321個RS-2321個RS-232IPS接口說明支持多路IPS（兩個接口為一路IPS，一路IPS保護一個網段）22標配2路，購買2個模塊可擴展為3路，購買4個模塊可擴展為4路2標配無IPS功能，購買2個模塊可擴展為1路，購買4個模塊可擴展為2路2支持硬件Bypass1對電口Bypass2對電口Bypass2對電口Bypass2對電口Bypass不支持2對光口Bypass電源是否為冗余電源××√√√√機箱是否為機架式√√√√√√機箱高度1U1U2U2U2U2U產品定位入門級低端主打產品端口密集/光電混合全電口高端接口模塊化高端光口Bypass高端目標客戶用于低價競爭中端客戶，價格敏感控標型產品運營商、高校、IDS、政府信息中心、金融、大企業(yè)等高性能需求5.6聯(lián)想網御IPS產品線項目/規(guī)格項目/規(guī)格/說明350IPS650IPS950IP1.上網行為管理部署在內網出口上網行為管理IM即時消息軟件Web-IMP2P軟件虛擬隧道在線游戲反動軟件5.7.聯(lián)想網御IPS典型部署1.上網行為管理5.7.聯(lián)想網御IPS典型部署2.內外兼顧部署在網絡出口防范外網攻擊上網行為管理2.內外兼顧3.多路防護多路IPS每路設置不同的策略帶寬限流3.多路防護5.7.競爭分析聯(lián)想網御市場定位百兆千兆項目/規(guī)格350650950450060006500吞吐量200Mbps/500Mbps500Mbps/1Gbps600Mbps/2Gbps1Gbps/3Gbps1Gbps/4Gbps1Gbps/4Gbps最大并發(fā)500,0001,000,0001,000,0001,000,0001,000,0001,000,000接口數量6個10/100/1000M電口6個10/100/1000M電口6個10/100/1000M電口

+4個SFP插槽7個10/100/1000M電口3個10/100/1000M電口+4個GBIC插槽3個10/100/1000M電口+4個GBIC光口IPS路數最多2路最多2路最多4路最多2路最多2路最多2路IDS路數最多5路最多5路最多9路最多6路最多6路最多6路Bypass1路電口2路電口2路電口2路電口不支持2路光口冗余電源否否標配標配標配標配綠盟科技項目/規(guī)格200P-02、200P-03600P-02、600P-031200P-02/1200P-03/1200P-041600P-02/1600P-03/1600P-04吞吐量200Mbps600Mbps1.2G2G最大并發(fā)150,000200,000500,0001,000,000接口數量最多4個100M工作口

+最多4個管理口最多4個100M工作口

+最多4個管理口最多4個千兆工作口（單模/多模/電口）

+最多6個管理口最多4個千兆工作口

（單模/多模/電口）

+最多6個管理口IPS路數最多1路最多1路最多1路最多1路IDS路數最多3路最多3路最多4路最多4路Bypass內置內置外置外置冗余電源否否需購買需購買1.綠盟產品線及規(guī)格對比5.7.競爭分析聯(lián)想網御市場定位百兆千兆項目/規(guī)格35062.聯(lián)想相對綠盟的優(yōu)勢聯(lián)想的產品線豐富，接口數量多，類型豐富，其中950IPS最多支持4路IPS或9路IDS。具體信息可參考產品線及產品規(guī)格對比表。聯(lián)想支持，綠盟不支持的功能虛擬隧道軟件的檢測自由門、無界、花園等反動類軟件的檢測“端口Mirror”功能“IPSpoofing”功能“LinkFaultPassThrough”功能“自定義檢測方向”綠盟產品不如我們做的好的功能聯(lián)想的產品對P2P的支持更全面，檢測準確，且支持P2P限流，特別是迅雷，綠盟支持的不好，可以引導用戶進行測試。我們的產品可以對IM軟件的登陸、文字聊天、文件傳輸、語音聊天、視頻聊天進行分項檢測，并支持對Web-IM的檢測，比綠盟產品要全面，可以引導用戶進行測試。2.聯(lián)想相對綠盟的優(yōu)勢綠盟強調其產品具有CVE證書.CVE兼容性證書是與產品相關的，綠盟的IDS和風險評估軟件具有CVE證書，IPS產品并沒有CVE證書。綠盟強調其產品支持路由和NAT功能.綠盟IPS支持路由和NAT功能的原因有以下兩點：（1）綠盟沒有防火墻產品。綠盟不是專業(yè)的路由器和防火墻廠商，想想其路由和NAT功能能做好嗎？綠盟為了爭取一些防火墻的項目，所以在IPS產品中加入了路由和NAT功能。而業(yè)內主流產品TP等主流IPS廠商均不在IPS產品中集成路由和NAT功能，這已經成為業(yè)內默認的產品標準。（2）路由/NAT功能與硬件Bypass功能之間是矛盾的。客戶購買IPS產品時都要求支持硬件Bypass功能，這就要求每路IPS接口之間工作在透明模式下。如使用路由或NAT功能，則硬件Bypass就會不起作用，當設備出現問題時，直接導致斷網。注：硬件bypass功能解決了在IPS主機掉電、硬件故障、操作系統(tǒng)故障時，實現每路IPS的接口之間直通，從而避免了由于IPS故障導致的斷網現象發(fā)生。3.聯(lián)想與綠盟功能對比綠盟強調其產品具有CVE證書.3.聯(lián)想與綠盟功能對比4.聯(lián)想與啟明產品線及規(guī)格對比聯(lián)想網御市場定位百兆千兆項目/規(guī)格350650950450060006500吞吐量200Mbps/500Mbps500Mbps/1Gbps600Mbps/2Gbps1Gbps/3Gbps1Gbps/4Gbps1Gbps/4Gbps最大并發(fā)500,0001,000,0001,000,0001,000,0001,0