IPS-Appliances für Hochleistungsnetze

26.04.2006
Force10 Networks steigt mit zwei IDS/IPS-Boxen (Intrusion Detection/Prevention System) in den Security-Markt ein.

Mit seiner zweiköpfigen Appliance-Familie "P-Series" gibt der Netzausrüster auf High-Performance-Switching und -Routing spezialisierte sein Debüt im Security-Markt. Das größere der beiden Sicherheitssysteme, "P10", ist laut Force10 dazu in der Lage, das Datenaufkommen im Netz in voller Leitungsgeschwindigkeit von 10 Gbit/s zu inspizieren, zu überwachen und zu blockieren. Laut Andrew Feldman, Vice President Marketing bei Force10, kann die Box damit das in der 10-Gigabit-Spezifikation festgeschriebene theoretische Maximum an Datenpaketen pro Sekunde auch praktisch handhaben - ohne die Netz-Performance zu beeinträchtigen.

Die P10 verfügt über zwei 10Gbit-Ports, die einen aggregierten Durchsatz von 20 Gbit/s ermöglichen, sowie zwei Gigabit-Ethernet-Ports für die Protokollierung beziehungsweise Spiegelung des Datenverkehrs. Der Listenpreis für das Appliance-Flaggschiff beträgt 95000 Dollar. Der kleine Bruder "P1" ist mit jeweils zwei Gigabit-Ethernet-Ports für den Datenverkehr sowie für Protokollierung oder Spiegelung ausgestattet. Sein Listenpreis wird auf 38000 Dollar beziffert.

Neue Architektur

Die Appliance-Familie basiert auf der so genannten DPI-Technik (Dynamic Parallel Inspection). Dabei handelt es sich dem Hersteller zufolge um eine spezielle, Force10-eigene Architektur zur Verarbeitung von Signaturen, die hinreichend Flexibi- lität und Skalierbarkeit für die Sicherung von Hochleistungsnetzen bietet. Hierzu kommen mehrere Hardware-basierende Engines für die simultane Verarbeitung tausender Regeln zu einem einzelnen Datenpaket zum Einsatz. Sicherheitsregeln und Signaturen sind direkt in Hardware eingebettet, um Verarbeitung, Inspektion und Überwachung des Datenverkehrs in Leitungsgeschwindigkeit zu gewährleisten. Die Möglichkeit, neue Signaturen direkt und in Echtzeit in Hardware zu schreiben, gewährleiste planbare und vorhersehbare Netz-Performance - unabhängig von den jeweiligen Traffic-Konditionen, so der Hersteller.

Darüber hinaus soll die Appliance-Familie quelloffene Netzsicherheitslösungen unterstützen, um es Anwendern zu ermöglichen, Policies auf Basis allgemein zugänglicher Signaturen oder Standard-Netz-Monitoring-Libraries zu definieren.

Die Markteinführung der P-Serie resultiert aus der Übernah- me von MetaNetworks, einem Entwickler von speziell für hohen Datendurchsatz konzipierten IDS/IPS, durch Force10 im November vergangenen Jahres. (kf)