Download Datasheet (PDF: 2.2mb)

SECUREIRON安全流量管理软件

特性

• 网络级安全性——专用的高性能、高可用性、网络级安全流量管理设备。
• 第7层安全性——非常先进的第7层安全保护，可防范各种新的应用威胁。
• 入侵防护——高性能入侵防护，包括高度客户化的签名特征。
• 应用速率限制——细致的应用速率限制，可防范各种攻击和关键资源的滥用。
• 特殊应用保护——针对Web、DNS、SIP、VoIP和电子邮件攻击提供特殊应用保护，包括消除网络垃圾邮件。
• DoS保护——优异的拒绝服务（DoS）攻击保护，可防范最高360万SYN/秒（2.5 Gbps线速）的SYN攻击，支持超过30个DoS签名特征。
• 流量监控——永远在线的实时流量监控，提供基于标准的硬件辅助sFlow。
• 全状态容量——业界最高的全状态容量，最多可支持500万个并发流量。
• 全状态安全性——全状态安全性，提供高可用性和不间断故障切换，实现零运行中断。
• 防火墙集群和可用性——高度透明的防火墙集群和高可用性，提高了防火墙性能。
• 防火墙卸载——防火墙卸载，包括支持线速访问控制列表（ACL）以及高性能、全状态IP网络地址转换（NAT）和高级DoS。
• 可扩展性和高性能——多种性能的可选型号，可升级到支持多个Gb的安全吞吐量。

概述
各类组织机构日益依靠IP网络提供对其业务效率和利润至关重要的各种应用。为确保连续的业务运行，必须保护这一基础设施免遭恶意用户攻击，防止出现性能下降。应用的移动性、汇聚性和以Web为中心的特点令各种中央安全模型失去效力。今天，组织机构需要分布式的网络级安全架构来防范来自网络外部的各种威胁以及最大程度地减少网络内部的漏洞。另外，随着用户移动性的增强和可识别性的降低，互联网和内部网之间的边界正在淡化。在这样一个开放的基础设施中，威胁并非集中在网络边界上的某一单一入口点，而是遍及整个网络。除此之外，各种攻击也变得更加高级，而且会利用应用层漏洞来破坏关键IP服务。

网捷网络SecureIron流量管理器提供了高性能的第2层到第7层交换和安全功能，可以帮助各类组织机构创建一个高度安全和可扩展的网络和应用基础设施。这些安全流量管理器可防范遍布网络各处的网络层和应用层威胁，包括隐藏在网络边界、数据中心内部和企业LAN中的威胁。SecureIron流量管理器专为支持网络级嵌入式部署而设计，可提供类似边界的LAN内部安全保护，防范企业网络中的各种威胁。SecureIron流量管理器系列包括2种性能型号：SecureIron 100和SecureIron 300，由网捷网络的SecureWorks软件套件为SecureIron提供支持，保护网络和应用免遭各种高速攻击。

SecureIron流量管理器可执行高度客户化的安全策略并防范各种入侵，能够以透明的方式防范针对任何IP应用的攻击。另外，这些交换机还可以为Web、域名系统（DNS）、IP语音（VoIP）、会话初始化协议（SIP）和电子邮件应用提供特殊的安全保护。

SecureIron设备包括了网捷网络创新的第三代安全处理器和高级ASIC技术，可以在不牺牲网络和服务性能的情况下提供优异的安全性。SecureIron 100和SecureIron 300基于网捷网络成熟的JetCore ASIC架构，通过10/100、千兆和万兆以太网接口模块选件提供出色的可扩展性、性能和高密度连接。JetCore ASIC支持线速ACL和基于标准的硬件辅助sFlow网络监控，这增加了流量的能见度、可管理性和安全性。另外，SecureIron设备拥有一个用于提供可靠设备管理和控制的专用处理器，即使在极限负载下也能够保证设备的访问。通过安装第二个活动安全管理模块可令基本性能提高一倍。

SecureIron流量管理器可以对流量进行深度数据包检查，寻找恶意内容和入侵行为，并对违规流量执行用户配置的纠正措施。另外，这些交换机还可以执行综合性的第2层、第3层和第4层安全策略，防范多种网络和传输层DoS攻击。通过使用应用层高级速率限制功能，SecureIron可以防止表面上合法的IP流量成为资源滥用或攻击的载体。

安全的DNS对所有IP服务都非常重要。SecureIron包括了一个独特的拥有DNS域名管理权限的DNS代理服务器，SecureIron能够在考虑到与DNS域名相关的IP地址的状态和可用性的情况下，以智能化的方式响应客户端DNS请求。这一功能提高了DNS总体安全性，是支持高可用性应用、灾难恢复和地点透明的基础，可以从不同地点的数据中心为用户提供始终如一的用户体验。

SecureIron可针对特殊流量提供丰富和可定制的第2层、第3层以及第4-7层策略，同时优化安全性和网络性能。用户可以针对来自特殊网段、用户或终端设备的流量执行细致的安全策略。另外，安全策略还可以针对特殊的应用设备、服务器资源或用户。SecureIron可支持基于硬件的访问控制，并能够在不影响总体流量性能的情况下以线速阻止有害的流量。

SecureIron流量管理器提供了最大程度的安全保护和不间断的执行。为防范设备故障期间出现会话丢失的现象，SecureIron流量管理器提供了先进的高可用性模式，可在一对设备之间实现实时流量状态同步和不间断故障切换。如果一个设备发生故障，备用设备可在不丢失现有会话或连接的情况下接管故障设备进行流量处理和安全策略执行。与那些发生故障时执行旁路处理并在没有进行安全检查的情况下允许所有流量通过的解决方案相比，网捷网络的不间断和高可用特性提供了另一种优异的选择。

SecureIron设备配置简单且易于管理，它使用了行业标准命令行界面（CLI）、内置的Web浏览器、基于标准的SNMP和网捷网络的IronView网络管理软件（INM）。

图1：网络级第7层安全性
图字：
Radius NAC Server：Radius NAC服务器
SecureIron traffic manager：SecureIron流量管理器（服务器组保护）
SecureIron traffic manager（Inside LAN Protection）：SecureIron流量管理器（LAN保护内部）
SecureIron traffic manager（Perimeter Security）：SecureIron流量管理器（边界安全）
Internet：互联网
Web and Application Servers：Web和应用服务器
Traditional Firewalls：传统防火墙
IronView Network Manager：IronView网络管理软件
sFlow from Switches：来自交换机的sFlow
Edge Port Remediation：边缘端口纠正
Network Admission Control Agents on the Desktops：桌面上的网络准入控制代理
Anomaly-Based IPS：非常规IPS
? External Collector, Analyzer：外部采集器，分析器
? External Closed-Loop Interface：外部闭环接口

SecureIron平台重点提示及拥有的优势

• 模块化设计——高度模块化和富于弹性的设计，提供未来端口可扩展性和性能可升级性。
• 冗余电源——支持冗余、热拔插、可从前端进行维护的电源。
• 热拔插模块——热拔插模块和扩展插槽，支持热拔插管理和功能模块，用于提高性能和增加端口密度。
• 双管理模块——可选第二个活动管理模块，支持冗余并能够将性能提高一倍。
• 集成SSL流量安全性——可选的未来服务模块升级，用于为安全套接层（SSL）加密流量增加集成和可扩展的安全执行功能。
• 投资保护——独一无二的平台，可满足当前和未来对功能、性能和可扩展性的需求。
• 可靠性——使用先进的ASIC架构和高度可靠的嵌入式实时操作系统提供一个富于弹性的交换和路由基础。
• 灵活的连接——铜缆和光纤千兆介质选件，支持高密度千兆铜缆。

高性能安全功能集

• 线速硬件访问控制——在每一端口使用标准和扩展ACL以线速执行访问策略；不需要消耗安全处理能力来分析禁止通过的数据流和流量；使用易用的行业标准ACL格式，可动态移植其它设备上的访问策略。
• 可防范超过30种签名特征的DoS安全保护——使用超过30种签名特征对流量进行过滤，可防范多种MAC、IP和TCP/UDP层分布式DoS（DDoS）攻击，包括TCP、ICMP和UDP攻击及洪水（Flood）攻击。使用可定制的DoS签名特征来阻止拥有非法协议头、标志和载荷的流量
• SYN-Guard TCP SYN/ACK洪水攻击保护——防止致命的TCP SYN和ACK洪水攻击瘫痪关键的Web、电子邮件和其它TCP服务。使用可阻止非法TCP连接的硬件辅助SYN-Guard来防范速度高达多个Gb的线速SYN洪水攻击
• 防火墙集群和高可用性——将流量负载分配给多个防火墙，提高防火墙的性能。防火墙不再成为单故障点，从而克服了可扩展性限制，增加了吞吐量和性能，并提高了弹性。实现了充分利用在传统防火墙上的投资。
• 深度数据包检查和过滤——使用SecureIron的高性能深度数据包检查功能来防止应用层攻击和入侵对服务产生影响。使用高度可定制和综合性的内容过滤规则来识别和阻止应用流中的恶意内容。使用深度数据包检查规则来检查目标流量、用户和服务，在优化性能的同时增强安全保护。
• 智能DNS代理和DNS安全——使用DNS安全功能来保护在外部专用服务器上托管运行的DNS服务。根据域名、队列类型和其它DNS消息内容进行过滤，阻止攻击和非法DNS流量。使用智能DNS代理服务器来消除使用外部DNS服务器的必要，并为拥有正常和能够做出应答的IP地址提供智能响应。为使用智能DNS代理的关键服务提供跨多个站点的冗余。
• 连接和应用速率限制——强制执行所要求的用户和主机行为，限制IP流量的数量和速度。阻止滥用者使用自动和人工抑制来访问服务。限制访问特殊服务器和应用的数据流数量，令可用资源和负载之间保持平衡。另外，可以将这一特性扩展到所有TCP和UDP应用，包括Web、DNS、电子邮件和VoIP。
• 防止带宽滥用——限制指定用户或用户组使用的带宽，防止滥用共享的带宽资源。可以将带宽限制的定义一直细致到每一源IP。确保关键应用的合法用户不会遇到中断或响应时间过长的现象。
• SIP和VoIP应用安全——通过应用层检查对SIP消息进行验证，只允许合法SIP通信能够通过预定义的UDP端口。通过速率限制和SIP消息过滤来防范DoS以及其它攻击和滥用，只允许使用预定义的SIP方法。使用深度数据包检查对恶意或非法内容中的SIP消息进行过滤。
• 消除垃圾电子邮件——根据IP信誉列表在网络边缘阻止垃圾邮件。用户可以实时下载多达800万个IP地址和前缀（这些前缀可代表数千万或数亿个地址）信誉列表，阻止来自已知垃圾邮件源的电子邮件。帮助其它应用防范来自已知电子邮件滥用者的攻击。
• 执行应用访问策略——将用户源IP地址划分为不同的服务访问组，允许正确的用户访问指定的应用。通过细致和可扩展的应用访问策略列表来增强硬件ACL，将应用访问控制到个体主机和用户级别上。可将策略列表扩展到拥有800万个IP地址和前缀。
• 高性能和全状态IP NAT——使用高性能 IP NAT来保护内部主机、服务器和其它设备的保密性和安全性。使用动态和全状态NAT来防止将内部主机暴露给公共网络。通过使用到备用设备的不间断NAT故障切换，防止设备故障导致NAT流量和数据流的中断。
• 支持不间断故障切换的冗余和高可用性——将2个SecureIron流量管理器部署为活动-备用模式，可在设备发生故障期间提供冗余和高可用性。使用到备用设备的全状态和不间断故障切换，确保数据流和安全策略的执行不会出现中断。通过在两台设备之间实现会话/数据流状态的实时同步，当一台设备发生故障时，可确保通过这一对设备的现有流量不会出现中断。
• 可对被过滤的流量采取多种措施——可根据深度数据包检查规则对流量进行记录、报警、镜像、重定向、阻止、重新设置、抑制或丢弃。可根据组织机构的安全和运行需要对被过滤的流量采取多种措施的组合。为进行审计，可通过连接记录来识别通过设备的每一流量。
• 使用sFlow实现永远在线的流量监控和能见度——使用基于标准的sFlow技术全程收集每一端口的流量统计数据，提供网络流量的能见度。通过流量趋势分析来识别异常用户或网络活动，并通过动态的安全策略配置和执行来采取相应的纠正措施。

提供网络级安全的SecureIron流量管理解决方案
网捷网络的SecureIron专为满足包括企业、服务供应商和可管理安全供应商在内的很多组织机构对数Gb流量速率的需要和其它多样化需求而设计，可以帮助客户在整个网络的范围内实现第7层安全性。SecureIron非常适合部署在网络边缘、LAN内部以及数据中心内部，防范来自外部和内部用户的威胁。

图2：边缘前端
图字：
PERIMETER：边缘
Enterprise Core：企业核心
Traditional Firewall：传统防火墙

边缘安全解决方案
各类组织机构一直依靠网络边缘上的防火墙解决方案来管理和控制对网络内部特殊资源和应用的访问。现在，这些组织机构可以使用SecureIron流量管理器作为防火墙的前端，充分利用自己在防火墙上的投资并延长这些设备的使用寿命。

SecureIron流量管理器增强了这些防火墙的作用，不仅能够防范网络层和DoS攻击，而且可以防范通过表面上合法的流量发起的应用层攻击。另外，SecureIron还将IP NAT和访问控制功能从防火墙卸载到自己身上。为扩展防火墙性能，SecureIron提供了一个高可用性的防火墙集群解决方案。最终，客户获得了更强大的边缘安全保护并延长了防火墙的使用寿命，最大程度地提高了投资回报。

数据中心安全解决方案
每一组织机构最重要的应用、服务器和存储基础设施都安装在数据中心的内部，这些资产是大多数攻击和恶意用户针对的高价值目标。SecureIron流量管理器超越了大多数防火墙提供的网络层保护，可以阻止各种针对应用和应用数据的攻击和威胁。通过使用创新的硬件辅助DoS保护解决方案，SecureIron可以保护服务器组免受速度高达数Gb的TCP攻击的破坏。另外，这些交换机还可使用高度可定制的应用层过滤器来阻止恶意消息和内容到达这些服务器。目前，SecureIron包括的特殊应用签名特征定义和策略执行功能可用于保护各种Web、DNS、VoIP和电子邮件应用。

图3：数据中心安全
图字：
DATA CENTER：数据中心
SecureIron（In-Line）：SecureIron交换机（在线）
Traditional Firewall：传统防火墙
Storage and DB：存储和数据库
Mail Apps：邮件应用
ERP Apps：ERP应用
Web Apps：Web应用

局域网内部安全解决方案
局域网内部的网络用户和主机长期以来一直都被认为是安全和可靠的。但是，随着这些用户变得更加多样化以及连接性和移动性的日益增强，网络边缘已经不再存在这样的可靠边界。另外，随着网络边界与互联网的联通，局域网边缘实际上已经成为一个不可靠的滋生各种威胁和攻击的来源。

网捷网络的SecureIron流量管理器可以为进出企业LAN边缘的流量提供第7层保护。另外，这些交换机还为面临网络和内部攻击的边缘设备提供了优异的保护。拥有高级第2/3层交换和路由基础的SecureIron流量管理器非常适合进行局域网内部的部署。

鉴于局域网内部部署的高带宽链路及其用途，性能是在局域网内部部署安全解决方案时需要考虑的关键事项。为能够在优化网络和服务性能的同时执行所需的安全策略，SecureIron流量管理器可部署为在线（见图4）或单臂（见图5）形式。

在线方式适合那些要求对所有流量进行检查并对所有流量执行安全策略的网络。对性能敏感的网络可将流量划分为可靠流量和非可靠流量，然后只将非可靠流量引导至SecureIron交换机并对其执行安全策略。通过这些选项，企业可以在性能和安全保护之间实现最佳的平衡。

图4：局域网内部——在线
图字：
INLINE：在线
SecureIron（In-Line）：SecureIron交换机（在线）
Finance：财务
Operations：运行
Internal LAN：内部局域网

图5：局域网内部——单臂
图字：
ONE ARM：单臂
SecureIron（One Arm）：SecureIron交换机（单臂）
Manufacturing：制造
Support：支持
Internal LAN：内部局域网

物理和技术规格
第2层功能和安全保护

• 32000个MAC地址
• 802.1d生成树协议
• 802.1w快速生成树协议
• 802.1p优先级
• 基于策略的VLAN
• 基于端口的VLAN
• 802.1q VLAN标签
• MAC过滤器
• 端口镜像
• sFlow

第3层和第4层安全保护

• ACL
• 扩展ACL
• Spoof攻击
• Land攻击
• SYN洪水攻击
• ACK洪水攻击
• Smurf攻击
• Ping of death
• 连接打开/关闭
• ICMP无法到达
• ICMP重定向
• SYN分段
• 畸形TCP数据包和SYN消息
• 非法TCP选项
• 非法IP选项
• IP选项过滤
• 协议执行
• UDP洪水攻击
• TCP洪水攻击
• 端口扫描
• IP扫描
• 信息隧道
• 签名扫描和过滤

入侵保护和签名阻止

• 深度数据包扫描
• 转发
• 反向
• 双向
• TCP流
• UDP流
• 固定和可变签名偏移
• 边界扫描（在固定偏移或可变字符串之间），检测是否出现特殊签名或没有出现任何签名
• 根据签名特征匹配情况采取措施
• 日志
• 计数器
• 复位
• 丢弃
• 镜像
• 重定向
• 病毒扫描（邮件和HTTP附件）

特殊应用安全性

• DNS
• DNS代理服务器

? DNS查询应答

• DNS代理的IP状态检查
• DNS速率限制
• DNS第7层过滤

? DNS查询类型
? 域名和主机

• DNS循环/非循环查询阻塞
• DNS载荷扫描（深度数据包扫描）
• SIP/VoIP
• SIP协议验证
• SIP头验证
• SIP速率限制
• SIP方法过滤
• SIP DoS防护
• Web/HTTP
• URL过滤
• URL重写
• HTTP头过滤
• HTTP方法
• HTTP版本
• 垃圾电子邮件
• 黑名单
• 白名单
• 追溯列表执行
• 实时列表下载

第4层速率限制

• 并发连接
• 连接速率
• 可服务的最大连接数量
• 到目的主机的最大连接数量
• 执行每流量带宽策略
• 人工抑制
• 连接记录
• TCP、UDP和ICMP

IP NAT

• NAT内部
• NAT外部
• 静态NAT
• 动态NAT
• 端口地址转换
• NAT全状态故障切换
• 动态端口协议

- FTP
- RTSP
- 其它

防火墙集群和高可用性

• 负载分布
• 状态监控
• 自动故障切换
• 多安全区（DMZ）
• VPN负载分布和故障切换

遵从的标准

• 802.3 10BaseT
• 802.3u 100BaseTX，100BaseFX
• 802.3z 1000BaseSX
• 802.3z 1000BaseLX
• 802.1qVLAN tagging
• 802.1d bridging
• 802.1w RSTP
• 802.1ad link aggregation
• 802.3 Ethernet-like Management Information Base（MIB）
• Repeater MIB
• Ethernet interface MIB
• SNMPV2c
• SNMP MIB II

网络管理

• 集成行业标准CLI
• SSHv2
• 基于Web的GUI（HTTP和HTTPS）
• Telnet
• SNMP
• RMON
• IronView网络管理软件（INM）
• HP OpenView

安全机构认证

• EN 60950/EN 60825/IEC 950
• UL 1950-CSA 950电磁辐射认证
• FCC Class A-EN 55022/CISPR-22 Class A/ VCCI Class A
• CE Mark

抗干扰能力

• Generic：EN 50082-1
• ESD：IEC 61000-4-2；4 kV CD，8 kV AD
• Radiated：IEC 61000-4-3；3 V/m
• EFT/Burst：IEC 61000-4-4；1.0 kV（电源线），0.5 kV（信号线）
• Conducted：IEC 61000-4-6；3 V

环境

• 工作温度：32°F到104°F（0°C到40°C）
• 相对湿度：5%到90%，104°F（40°C），无冷凝时
• 工作海拔：最高6000英尺（2000米）
• 贮存温度：9oF到158°F（-25oC到70oC）
• 贮存海拔：最高15000英尺（4500米）
• 贮存湿度：最高相对湿度95%，无凝结时

安装选件

• 19英寸通用EIA（电信）机架
• 桌面

SecureIron系统概况和规格
SecureIron流量管理器

注：为SecureIron系统添加第二个活动管理模块后，系统性能和容量可增加一倍。

	SecureIron 100	SecureIron 300
全状态会话容量（双向流量）	1,000,000	5,000,000
每秒钟第4层流量	50,000	150,000
每秒钟第7层流量	15,000	45,000
SYN洪水攻击保护	1,000,000 SYN/秒	3,000,000 SYN/秒
吞吐量 第2/3层 第4层 第7层（单路） 第7层（双路）	线速 2.0 Gbps 350 Mbps 180 Mbps	线速 6.0 Gbps 1.0 Gbps 550 Mbps
L2交换容量	56 Gbps
最大端口数（可扩展性） 10/100 千兆 万兆 总计	48 48 6 64
物理尺寸	8.75"（高）×17.5"（长）×15"（宽）（22.2 cm×44.5 cm×38.1 cm）
重量	60磅，全配置（29.9千克）
电源要求	4-插槽独立机箱，配置1个电源，额定输入电压和电流为： -70到-40 VDC：17A 100到120 VAC（自适应）：8A 200到240 VAC（自适应）：4A 交流线频率：47–63 Hz

订购信息

部件编号	描述
	SecureIron流量管理器平台
SCI100	4-插槽独立机箱，配置1个SSM6-1（安全交换管理模块），1个交流电源（提供冗余电源选件）
SCI300	4-插槽独立机箱，配置1个SSM6（安全交换管理模块），1个交流电源（提供冗余电源选件）。这一型号的性能为SCI100的3倍。
SCI100-DC	4-插槽独立机箱，配置1个SSM6-1（安全交换管理模块），1个48V直流电源（提供冗余电源选件）
SCI300-DC	4-插槽独立机箱，配置1个SSM6（安全交换管理模块），1个48V直流电源（提供冗余电源选件）。这一型号的性能为SCI100的3倍。
	SecureIron流量管理器功能模块选件
J-B2Gx	2-端口1000BaseX（mini-GBIC）JetCore功能模块
J-B4Gx	4-端口1000BaseX（mini-GBIC）JetCore功能模块
J-BxG	8-端口1000BaseX（mini-GBIC）JetCore功能模块
J-B16Gx	16-端口1000BaseX（mini-GBIC）JetCore功能模块
J-B16GC	16-端口100/1000BaseT（RJ-45）JetCore功能模块
J-B48E-A	48-端口10/100BaseTX（RJ-45）双宽JetCore功能模块
J-B24FX	24-端口100BaseFX JetCore功能模块
J-B2404CF	24-端口10/100BaseTX（RJ-45）和4-端口千兆（铜缆和光纤组合）双宽JetCore功能模块
B10Gx1	1-端口万兆以太网基本模块（要求光纤接口）
B10Gx2	2-端口万兆以太网基本模块（要求光纤接口）
	SecureIron流量管理器管理模块选件（冗余、双-活动、升级）
SSM6-1	安全交换管理模块，配置1个安全流量处理器和1个管理处理器
SSM6	安全交换管理模块，配置3个安全流量处理器和1个管理处理器
	SecureIron流量管理器Mini-GBIC选件
E1MG-SX	1000BaseSX mini-GBIC光纤接口，多模光纤，LC连接器
E1MTG-SX	1000BaseSX mini-GBIC光纤接口，多模光纤，MTRJ连接器
E1MG-LX	1000BaseLX mini-GBIC光纤接口，单模光纤，LC连接器
E1MG-LHA	1000BaseLHA mini-GBIC光纤接口，单模光纤，LC连接器
E1MG-LHB	1000BaseLHB mini-GBIC光纤接口，单模光纤，LC连接器，最远连接距离为150公里
E1MG-TX	1000BaseTX mini-GBIC铜缆接口，RJ-45连接器
	SecureIron流量管理器万兆光纤接口模块
10G-XNPK-SR	850nm串行XENPAK插件式收发器（SC），使用多模光纤时的目标范围为300米
10G-XNPK-LR	只配置1310nm串行可拔插XENPAK光纤接口（SC），使用单模光纤时的最远连接距离为10公里
10G-XNPK-ER	只配置1550nm串行可拔插XENPAK光纤接口（SC），使用单模光纤时的最远连接距离为40公里