Quidway SecEngine D500 （以下简称D500）是华为3Com公司面向企业用户、行业用户开发的新一代的集成了硬件内容搜索加速功能的专业入侵检测设备，可以作为大、中型企业骨干网络或数据中心的入侵检测设备。

　　D500提供三个固定的10/100/1000M自适应的以太网口，用作管理/备份/高可靠接口；同时D500提供了4个业务接口插槽，可根据用户需要混插2FE/4FE/2GE接口卡和内容搜索加速卡（Content Inspection Engine，CIE），其中CIE卡采用了华为3Com自主研发的一体化软硬件框架，通过内置的高性能芯片，可以实现2层到7层的内容检测，领先于业界同类产品。

D500采用华为3Com专门针对安全领域度身定做的安全操作系统，该操作系统可以根据不同的应用进行扩展和裁减，并与上层的应用紧密结合，从而很好地保证了设备自身的安全性。

对于网络中可能存在的安全威胁，例如黑客入侵、网络病毒和网络资源滥用等行为，D500可以进行有效的识别。通过对网络流量进行监听、分析，D500可以对流经被保护网络的流量进行基于三种技术的综合检测，包括：

基于状态的内容特征匹配：采用了高精度的智能模式识别算法，对协议交互特定阶段的报文进行检测，可以识别隐藏在正常业务流量中的网络攻击的特征。

协议跟踪分析：以网络层、传输层和应用层的常用协议为对象，记录和分析协议交互的过程，为基于状态的内容特征匹配提供了状态依据，并且可以有效地探测那些利用协议漏洞的网络攻击。

流量异常探测：通过对网络流量规律的数学建模和智能分析，可以有效地抵御DoS/DDoS攻击和端口扫描。

　　D500可以将检测到的异常行为和网络攻击的详细信息记入数据库，并且可以根据用户设定的策略上报这些信息到统一的安全管理中心；同时，通过开放的联动接口，D500可以通知交换机、路由器、防火墙对网络攻击进行实时阻断，从而达到整体防御的目的。

　　D500提供基于web的管理界面和统计分析工具，并且内置了数据库，支持一站式部署。管理员的配置管理工作既可以通过传统的Telnet命令行方式进行，也可以通过基于web的图形界面进行。命令行管理方式和web管理方式，都可以通过安全协议（SSH或者HTTPS）来保证管理流的安全性。

　　对于大规模的部署和应用，D500也支持安全管理平台的集中式管理。通过安全的传输通道，管理员可以对全网的SecEngine系列设备进行统一的配置管理、策略部署和安全事件监控。对于收集到的网络安全事件，管理员可以通过安全管理平台提供的多种智能分析和管理手段对这些信息进行处理，从而有效地预测和规避网络安全威胁。

1.业界领先的内容搜索硬件加速技术

　　D500采用了基于硬件加速的内容搜索技术，从而有效地解决了业界普遍存在的入侵检测产品对海量网络流量深度检测的性能低下问题。CIE卡采用业界领先的专用检测芯片，性能远远高于传统的软件检测。主要具备以下特点：

支持2～7层的深度检测

最大支持8000条特征检测规则

检测准确率达到100％

与同类产品相比，D500的硬件内容搜索加速技术具有检测范围广、精度高、吞吐量高、规则可扩展性好、功耗低的特点。

CIE卡处理数据流

2.高精度的入侵检测技术

　　Quidway SecEngine采用集成了多项检测技术的FIRST（Full Inspection with Rigorous State Test）检测引擎，实现基于精确状态的全面检测，全面提高了入侵检测的精确度。构成FIRST检测引擎关键技术如下：

基于状态的特征检测技术

　　基于状态的特征检测技术依据攻击的特征模式对网络报文进行匹配。它通过提炼各种攻击的规则特征值并按照规范写成检测规则，在协议交互的特定阶段，对接收到的数据包的内容逐一进行规则匹配分析，如果对内容的搜索可以匹配上一条或多条规则，则认为是发生了一次攻击。系统支持多种高效的模式匹配算法，并且通过专有的硬件实现这些匹配算法，可以高效地检测已知特征值的病毒、蠕虫、木马等攻击。

　　D500能够检测如下攻击类型：

试图获取管理员/用户权限攻击；

成功获取管理员/用户权限攻击；

木马攻击，比如NetBus攻击等；

病毒，比如冲击波病毒、震荡波病毒等；

DoS/DDoS攻击，如winnuke、TFN等；

后门攻击成功后的流量检测；

DoS/DDoS攻击成功后的流量检测；

FTP/ICMP/IMAP/IMAP/NetBIOS/MySQL/P2P/POP3/POP2/SMTP/Telnet/TFTP等服务攻击流量检测；

目前D500能够检测2000多条基于特征的攻击。

基于协议异常分析的检测技术

　　基于协议异常分析的检测技术，主要是针对网络协议本身不够完善，以及各个系统具体实现的缺陷而提出来的。D500能够识别常用协议，包括TCP、UDP、ICMP、HTTP、Telnet、RPC、DNS、FTP、TFTP、SNMP、SMTP/POP3等协议的报文并对其进行解码分析，然后再根据分析的结果进行进一步的检测。基于协议异常分析的检测技术可以：

　　降低误报率。某些攻击只有针对特定协议才有效，比如“%255c..”特征串只有出现在HTTP URL中才是攻击。如果只做简单的特征匹配，则可能把含有上述特征串的非HTTP报文当作攻击报文从而形成误报。D500能够正确地识别出HTTP URL请求报文，在此基础上再匹配特征串，就可以得到正确的结果。

　　检测协议异常。由于协议的某些字段规定了允许的取值范围，如果超过取值范围则会导致处理异常。D500在识别协议内容的基础上可以检查各个字段的值，如果有非法值则向管理中心报警。因为协议异常检测不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。

　　基于协议异常分析的检测技术充分利用了网络协议的高度有序性，极大地提高了入侵检测的精度。

基于流量异常分析的检测技术

　　基于流量异常分析的检测技术是基于网络流量分类统计的方法对被保护的网络流量进行检测，超过正常流量阈值的数据流将被认为是非法流量。D500可以检测SYN flood、UDP flood、ICMP flood、SYN、FIN、Xmas、NULL等形式的DoS/DDoS攻击，以及各种port scan攻击。D500可以根据预先设定的各种统计阈值对网络流量进行判断以确定是否发生了DoS攻击。

　　强大的防DoS/DDoS攻击技术

　　D500采用了多种 DoS/DDoS 攻击检测技术，能有效提高检测的准确度。并且能够与路由器、交换机、防火墙等网络设备联动，对攻击进行实时拦截。

　　D500采用的检测技术包括：

　　基于系统漏洞分析的检测

　　基于已知DoS/DDoS攻击工具特征的检测

　　基于蠕虫病毒内容特征的检测

　　基于网络流量异常波动的检测

　　D500不仅能够检测出被保护网络中的DoS/DDoS攻击，还能在设备自身受到攻击时自动启动攻击自我防御系统，保证D500设备的正常运行。

　　综合检测“逃避IDS”技术

　入侵检测系统的发展已经有了一段时间，黑客也根据IDS的技术特点找出了一些办法来躲过IDS的检测。这些技术包括：

字符串变形/字符串编码

多态shell代码

会话分割（会话拼接）

碎片攻击

拒绝服务

　　D500通过综合FIRST引擎的各项技术，可以从庞大的数据流量中找出试图躲避检测的攻击报文。比如：黑客先将用来攻击的shell代码做一定的变化，形成多态shell代码，然后用Unicode编码，并通过会话分割发送给攻击的服务器。D500可通过流恢复功能合并报文，然后解码，最后用灵活的特征匹配方式找到攻击字符串。

3.方便灵活的管理部署

　　全面的入侵攻击分析功能

　　D500可以把检测到的异常和攻击事件报文保存在本地文件或数据库中供系统管理员做分析和审计，记录内容不仅包括攻击报文协议头中的相关信息以及攻击报文的负载内容部分，也包括报文产生的时间、命中的规则和规则集信息等。

　　D500提供攻击事件查询、统计分析、数据快照等功能。事件查询功能可以让管理员根据攻击的特征类型、特征索引、攻击发生的源端口/目的端口、物理接口、时间、攻击源地址/目的地址、攻击报文类型、攻击数据特征等条件检索攻击信息；统计分析功能可以用图形化的方式显示某段时间内不同类型攻击发生的频率，某段时间内各源地址/目的地址、各源端口/目的端口攻击或被攻击的频率 ；数据快照功能可以显示最近一至三天内发生的攻击信息、最频繁发生的5种特征类型的攻击信息、最常发生攻击的地址或端口。

　　安全丰富的设备管理手段

D500支持传统的Telnet或者web方式的管理。由于这些传统管理机制自身的缺陷，如用户名和口令容易被窃取、数据内容传输是明文、验证方式存在弱点等，在某些特定场合下，它们被认为是不安全的。因此，D500增强了对这些传统管理机制的安全性保障，包括基于SSH的命令行管理和基于HTTPS的图形化管理。

　　D500的web管理界面提供了如下功能：

　　支持安全策略配置

　　支持向导式的快速配置

　　支持攻击事件查询、统计分析和数据快照

　　对于大规模的部署和应用，D500也支持集中式管理。通过安全的传输通道，管理员可以对全网的SecEngine系列设备进行统一的配置管理、策略部署和安全事件监控。

方便灵活的攻击特征库升级和自定义

攻击特征库分为以下两种：

　　VRB（Vender Rule Base），华为3Com定期发布的攻击特征库；

　　CRB（Customer Rule Base），用户根据自己的应用定制的攻击特征库；

　　华为3Com定期更新VRB，D500可以通过手动或者自动方式完成更新和升级，保证攻击特征库的及时更新。VRB进行裁减和补充，并结合自定义的CRB，形成自己的安全策略集合。

4.完整的网络安全解决方案

　　与网络设备联动

　　传统的IDS仅能提供漏洞检测和报警功能，从网络管理员发现攻击到实际做出防范间隔时间较长，可能因为未及时应对而造成损失。D500可以（但不限于）和华为3Com公司的全线路由器、交换机、防火墙等网络设备配合工作，根据检测结果及时通知相应的网络设备阻断攻击数据流。D500可以精确控制阻断的粒度和时间，同时保证正常的业务持续进行。D500的部署将为用户建立起立体的安全网络，有效保护投资。

　　日志告警功能

　　网络管理员可以及时的获取网络流量的安全信息，包括网络拓扑、运行的软件、受到的攻击等，是信息安全管理的一个重要组成部分。 D500可以多种方式提供相关报告，包括：

　　本地攻击日志、操作日志、系统日志；

　　远程日志数据库；

　　Email报警；

　　网管软件提供的多个报表；

　　安全评估软件提供的评估报告。

　　这些报告给网络管理员提供了丰富的信息，管理员可据此调整网络安全策略。

5.电信级供电系统设计

　　D500电源系统采用1+1冗余热备份设计，支持双路电源供电，使系统得到充分保护，满足对电信级高可靠网络的要求。

　　D500一体化机箱采用集中供电方式，根据不同的用户环境需要，供电方式可以选择220VAC/110VAC和-48VDC/-60VDC两种不同的输入。D500主机可以监控电源的运行状态并上报给管理中心，同时电源模块支持热插拔，保证了整个供电系统具有很高的可靠性和可维护性。

Quidway SecEngine D500系统说明表：

Quidway® SecEngine D500接口属性表

CONSOLE接口

以太网口