DPtechIPS2000系列入侵防御系统培训胶片

DPtech UTM2000系列统一威胁管理

安装手册

杭州迪普科技有限公司为客户提供全方位的技术支持。

通过杭州迪普科技有限公司代理商购买产品的用户，请直接与销售代理商联系；直接向杭州迪普科技有限公司购买产品的用户，可直接与公司联系。

杭州迪普科技有限公司

地址：杭州市滨江区通和路68号中财大厦6层

邮编：310052

声明

Copyright2009

杭州迪普科技有限公司

版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

由于产品版本升级或其他原因，本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录

第1章产品介绍1-1

1.1产品概述1-1 1.2产品型号及规格介绍1-1 1.3前后面板介绍1-3 1.3.1UTM2000-MA-N/UTM2000-ME-N/UTM2000-MS-N/UTM2000-CS-N产品外观1-3 1.3.2UTM2000-GS-N/UTM2000-GM-N产品外观1-5 1.3.3UTM2000-CA-N产品外观1-7 1.3.4UTM2000-GA-N产品外观1-9 1.3.5UTM2000-GE-N/UTM2000-TS-N产品外观1-11 1.4端口介绍1-14 1.4.1C ONSOLE口1-14 1.4.210/100/1000B ASE-T以太网电接口1-14 1.4.3SFP口1-16 1.5产品组件1-18 1.5.1处理器及存储器1-18 1.5.2各类接口1-18

DPtech UTM2000入侵防御技术白皮书

1、概述

本篇文章主要介绍DPtech UTM2000系列产品中入侵防御功能的相关技术

1.1 相关术语

段(segment)：段是一个物理组网下对经过UTM设备数据的一个逻辑划分，通常是一对或者多对接口，或者包含VLAN ID的接口数据流，入侵防御相关的业务都基于segment进行配置。

1.2 网络安全现状

融入全球化的Internet是企业网络发展的必然趋势，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入Internet，提供远程接入服务供业务伙伴和出差员工访问等，企业网络边界的淡化，企业面临的威胁的机会也增大了，只要一个访问入口防护不完整，则“黑客”将可以入侵企业，获取数据或者破坏。

1.3 基于网络的攻击与检测技术

入侵防御的基本功能是识别尽可能多的攻击，同时又避免不必要的误报，同时也需要保证企业有限的带宽不被滥用，为了达到上述目标，单纯的采用一种技术手段是无法做到的，迪普创新性的融合了多种内容识别技术，保证了系统能够快速高效的发现异常流量并阻断，同时保证正常业务的开展，提供如下几项技术：基于流的状态特征检测技术，基于攻击固定特征的检测这是IDS/入侵防御最基本攻击检测技术，而基于流的状态特征检测技术与以往的不同的是，可以是基于协议上下文的特征检测技术，这样可以很好的避免误报的发生；如某一个特征只在三次会话之后的client方向发生，则检测时只会针对这部分数据流进行检测，而不会引起误报；

·协议异常检测技术，通常也叫协议分析，即对照RFC规范对通讯的协议进行检查，这对于检测基于RFC 未规范一些未知攻击或新的攻击非常有效；同时对于基于固定特征的逃逸也具有先天的免疫；

DPtech IPS PFP 快速入门

声明

Copyright © 2008-2016杭州迪普科技有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

为杭州迪普科技有限公司的商标。

对于本手册中出现的其他所有商标或注册商标，由各自的所有人拥有。

由于产品版本升级或其他原因，本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

杭州迪普科技有限公司

地址：杭州市滨江区通和路68号中财大厦6层

邮编：310051

网址：http：//

邮箱：support@

7x24小时技术服务热线：400-6100-598

目录

1产品介绍1-1

1.1产品概述1-1

1.2 DPtech PFP工作原理1-2

1.3硬件规格1-4

1.3.1外形尺寸和重量1-4

1.3.2固定接口1-4

1.3.3输入电源1-4

1.3.4工作环境1-5

1.4产品外观1-5 2安装前的准备2-1

2.1通用安全注意事项2-1

2.2检查安装场所2-1

2.2.1安装地点2-1

2.2.2温度/湿度要求2-2

2.2.3洁净度要求2-2

2.2.4防静电要求2-3

2.2.5抗干扰要求2-3

2.2.6防雷击要求2-4

2.2.7布线要求2-4

2.3激光使用安全2-4

DPtech IPS2000技术白皮书

杭州迪普科技有限公司

2013年8月

目录

一、概述 (3)

二、产品简介 (3)

三、产品特色技术介绍 (4)

1.先进的特征提取技术 (4)

1.1.协议特征形式化建模流程 (4)

1.2.特征数据挖掘算法模型 (5)

2.攻击防御技术 (5)

2.1.基于指纹特征的检测技术 (5)

2.1.1 蠕虫攻击防护 (6)

2.1.2 SQL注入防护 (6)

2.1.3 XSS攻击防护 (7)

2.1.4 缓冲区溢出防护 (7)

2.1.5 系统漏洞攻击防护 (7)

2.1.6 碎片攻击防护 (7)

2.1.7 未知威胁检测防护 (8)

2.2.异常流量检测技术 (8)

3.病毒过滤技术 (8)

4.网络带宽限制技术 (10)

4.1.基于用户的带宽管理 (10)

4.2.基于服务的带宽管理 (10)

5.网络访问控制技术 (10)

6.URL过滤技术 (10)

7.高可靠安全性 (11)

7.1.完善的HA部署方式 (11)

7.2.支持冗余电源 (12)

7.3.丰富的Bypass功能 (12)

一、概述

随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。IPS正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产品。但目前大多数IPS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、可靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只能通过减少或关闭特征库来规避。这样的IPS不仅起不到安全防御的作用，甚至会成为网络中的故障点。

⏹ 最全面的一体化安全设备，提供L2~7全面安全防护

为了更好的应对混合型攻击，DPtech UTM2000采用L2~7融合操作系统ConPlat ，具备防火墙、入侵防御、防毒墙、内容过滤等诸多功能，是目前业界功能最丰富的UTM 产品，能够为用户提供L2~7完全融合的防御效果。 ⏹ 采用先进的多核硬件架构，多种业务并行线速处理

DPtech UTM2000基于迪普科技高性能硬件架构APP-X ，即使多功能开启、特征库增加，也不会影响设备性能和网络时延。 ⏹ 有线无线一体化解决方案，提供多样的接入方式

DPtech UTM2000支持有线无线一体化，通过WiFi 和3G 网络，可以提供全面的无线网络安全防护以及线路备份解决方案，帮助用户实现降低建设成本、简化网络结构、易于管理等需求，是用户综合安全保障的最佳选择。 ⏹ 专业的特征库团队，特征库自动升级，持续安全防护

迪普科技拥有一支专业的特征库团队，实时跟踪网络安全领域的最新动态，提供应用识别与威胁特征库APP-ID ，设备可及时自动升级，能够为用户网络提供实时的防御能力。 ⏹ 丰富的防火墙功能

DPtech UTM2000 支持先进的应用防火墙技术，可以提供灵活的安全区域隔离功能，能够按区域进行重点安全防护，并且支持NAT 、虚拟防火墙、MCE 等功能。 ⏹ 全内置

IPSec VPN 、SSL VPN 硬件加密 面对用户分支互联、移动办公的需求，DPtech UTM2000全内置IPSec VPN 、SSL VPN 硬件加解密功能，在简化网络结构的基础上，极大的提升了用户网络安全建设的性价比。 ⏹ 专业的系统漏洞防护，实现虚拟软件补丁技术