高端防火墙产品介绍.ppt

第一章 高端防火墙产品介绍,ISSUE 1.0,日期：2009.5.10,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,了解高端防火墙市场需求 掌握高端防火墙的基本功能特性 了解高端防火墙组网,课程目标,学习完本课程，您应该能够：,网络安全新需求 高端防火墙产品功能介绍 高端防火墙产品典型组网,目录,网络发展趋势,飞速发展的网络,核心网络安全难题一：高性能瓶颈,S75E/S95,10GE,骨干网,RRPP,汇聚,VPN 1,HQ,S75E/S95,S75E/S95,汇聚,汇聚,S75E/S95,S75E/S95,PE,PE,PE,P,P,P,VPN 1,VPN 2,VPN 2,高速网络中如何保障 高性能的安全？,高达万兆数据 海量接入,多分支机构 并行接入,重要的核心业务 不能中断,紧急数据传输 高速保障,基于OAA的架构，配合S58/S75E/S95/S95E交换机和SR66/SR88路由器，实现网络和安全的融合。,解决之道 SecBlade 万兆防火墙模块,解决了网络发展面临的难题： 性能瓶颈 设备管理难 扩展增值难,网络安全新需求 高端防火墙产品功能介绍 高端防火墙产品典型组网,目录,10 Gbps 防火墙呑吐量 交换机级别延时 100W并发连接 每秒钟新建5W连接 2Gbps的IPSec加密性能 1Gbps的DDoS防护性能 支持H3C S58/75E/95/95E交换机 支持H3C SR66/SR88路由器,10 Gbps 防火墙呑吐量 交换机级别延时 100W并发连接 每秒钟新建5W连接 2Gbps的IPSec加密性能 1Gbps的DDos防护性能 支持10GE接口/最大支持20个GE,H3C高端防火墙产品一览,SecPath F1000-E,SecBlade II,高性能,10G以上防火墙处理性能 1G以上VPN处理性能 1G以上DDos防护性能,H3C高端防火墙解决之道,业务高可扩展性,最新网络/视频协议的支持,IM/P2P流控的支持,新型攻击方式的识别,高可用性,硬件关键部件冗余设计,软件平台健壮性,良好的组网能力,采用业界最新的多核处理器技术，实现超强 的处理性能防火墙吞吐量10G/IPSec VPN 吞吐量2G/SYN Flood防护性能1G,传承H3C多年网络设备制造经验，提供良好的网络/ 应用协议支持，国内首家高端IPv4/v6双栈防火墙,电源风扇冗余设计，机箱温度自动监控,多年成功应用于H3C电信级路由交换设备的 Comware平台，稳定性高，无系统漏洞,支持全状态双机和负载均衡,纯软件,ASIC技术,处理性能,软硬结合 X86技术,NP技术,技术发展,多核多线程技术,2.5Gigabits,10Gigabits,10 Mbps,100Mbps,Gigabits,H3C高端防火墙之高性能防火墙硬件发展史,H3C高端防火墙之高性能多核处理平台,多核CPU平台，内含多个CPU和独立的Cache，每个CPU支持多个线程 多核CPU的灵活扩展，可以适应日益变化的安全需求 多个CPU协同工作，降低网络压力增加的后期投入风险 深入业务安全防范凸现性能优势,MultiCore Processor,H3C高端防火墙之高性能并行业务处理能力,多核平台实现对安全业务的并行处理，突破了安全性能瓶颈。,H3C高端防火墙之高可用性电信级硬件平台,关键部件均冗余设计 高达35万小时的 (MTBF) 支持接口模块热插拔 支持温度自动检测及告警 双电源冗余备份 支持双机状态热备,安全层面,ACL,AAA,NAT,IPsec,Firewall 入侵检测,SSH,SSL,PKI、,VPN,Firewall IDS,管理业务,用户管理,网络集成解决方案,Comware inside,Comware作为业界最优先稳定的软件平台，之前已经被成功应用于H3C系列交换、路由设备。,H3C高端防火墙之高可用性专业的软件平台,H3C高端防火墙之高可用性专利状态检测技术,ASPF (Application Specific Packet Filter)： 专利技术保障在支持丰富网络应用的同时提供高安全性 支持多种应用协议的状态检测，包括H323/MGCP/SIP/H248/RTSP/HWCC，及ICMP/FTP/DNS/ PPTP/NBT/ILS等 SecPath防火墙支持对SMTP/HTTP/Java/ActiveX/SQL注入攻击状态检测,H3C高端防火墙之高可用性专业VPN功能集成,业界最为丰富VPN协议 高性能内置硬件加密 VPN专利技术-VPE 智能部署、管理及监控,H3C高端防火墙之高可用性网络深度融合能力,专业网络厂商的丰富路由及QoS特性： 静态/RIPv1/2/OSPF/BGP 策略路由及路由策略 流量监管/拥塞检测及避免/流量整形 MPLS/多播/虚拟防火墙,Comware inside,H3C高端防火墙之高可用性灵活智能NAT转换,支持多种常用转换 支持多种ALG 指定转换后地址 静态网段地址转换 双向地址转换 支持DNS映射,H3C高端防火墙之高可用性丰富攻击防范功能,多种内置攻击防范功能，解决最多网络安全威胁： Land攻击防范 Smurf攻击防范 Fraggle攻击防范 WinNuke攻击防范 Ping of Death攻击防范 Tear Drop攻击防范 IP Spoofing攻击防范 SYN Flood攻击防范,ICMP Flood攻击防范 UDP Flood攻击防范 ARP欺骗攻击防范 ARP主动反向查询 TCP报文标志位异常攻击防范 超大ICMP报文攻击防范 地址扫描的防范 端口扫描的防范,优异抵御 DoS功能！,H3C高端防火墙之高可用性 P2P深度检测及控制,完全禁止P2P应用 可控限制P2P带宽 根据时间限制P2P带宽 根据用户限制P2P带宽,Source: Eurpoean Tier I ISP Feb 04,P2P文件共享产生的流量可能 是今天因特网最大的单项流量！,eDonkey,BT,HTTP,H3C高端防火墙之高可用性日志管理及告警,Internet,日志缓冲,监控终端,控制台,日志主机,SecPath,Syslog文本日志 二进制日志 丰富日志信息： 流日志 NAT/ASPF日志 攻击防范日志 黑名单/地址绑定日志 邮件/网址/内容过滤日志 多种告警收集方式,告警邮件,手机短信,H3C高端防火墙之高可用性统一设备网管能力,多种配置和管理方式 支持iMC网管,H3C高端防火墙之高可用性双机热备,提供基于状态的Active-Active和Active-Passive模式双机热备 提供强大的服务器负载均衡能力，支持轮转/加权轮转/最小连接/加权最小连接等11种调度算法,骨干网,H3C高端防火墙之高可用性虚拟防火墙,SecBlade虚拟防火墙,用户C,用户A,用户B,用户D,路由安全,业务接入安全,管理安全,转发安全,ASPF,虚拟防火墙,IPSec,路由协议 MD5认证,管理与业务 平面严格隔离,安全的Comware 软件系统,ACL,控制信息的 过滤和限速,QoS,NAT,IDP深度应用检测,DDoS攻击防范,Secblade FW：全方位的安全特性与网络的无缝融合,SSH,RADIUS,TACACS+,SYSLOG,NQA,网络安全新需求 高端防火墙产品功能介绍 高端防火墙产品典型组网,目录,典型组网一：防火墙部署内网控制,SecPath 防火墙,EAD,EAD,EAD,SecPath IPS,SecBlade,安全管理中心SecCenter,智能网管中心iMC,安全管理平台,典型组网二：数据中心安全防护,DMZ区,数据中心A,S5600,S7500E,S7500E,汇聚,用户数据中心,数据中心B,S7500,S3900,接入区,园区核心,INTERNET,WAN,ISP1,ISP2,认证服务器区,数据中心C,S3900,S9500,S9500,S7500,S7500,用户,GRE + IPsec,L2TP + IPsec,每用户一个虚拟防火墙。 要求支持NAT、AAA多实例。 HA,利用虚拟防火墙实现各用户服务器区的独立保护，防火墙双机热备,通过SecBlade FW实现IDC安全区域隔离和互访,用户,用户,用户,典型组网三：园区安全（内网安全internet出口安全）,S9500,S9500,园区核心,汇聚层,接入层,用户端,zone1,S7500E,重点安全区,普通员工办公区,S7500E,INTERNET,WAN,zone2,zone3,zone4,ISP1,ISP2,园区核心部署防火墙插卡隔离企业内外网,高性能的插板提供安全区域间的安全策略控制,网管区,DMZ区,利用虚拟防火墙技术进行不同安全区域的隔离，保护核心安全区域，实现双机热备功能,实现SecBlade插板的双机热备功能，备份状态信息,通过SecBlade FW实现内网安全和出口,MPLS骨干网,典型组网四：园区MPLS安全（VPE),PE,S9500,认证服务器区,PE,PE,MPLS VPN,用户园区,VPNA,S3900SI,S7500E,核心层,汇聚,用户接入,用户端,MCE,MCE,VPNB,S5600,S3900SI,S5600,WAN 接入,VPNB,VPNA,MPLS城域网,PE,S9500,S7500E,通过SecBlade FW实VPN网络安全,省直,省直,省中心,国家电子 政务外网,FW,外部数据中心,内部数据中心,省直,省直,网管中心,1-8地市,厅局接入单位,省府院内厅局,地市 城域网,地市 城域网,地市 城域网,地市 城域网,济南 城域网,省委汇聚,VPN网关,VPN网关,9-16地市,ISP1,MSTP,山东省电子政务外网组网图,SecBlade,H3C 高端防火墙功能介绍 H3C 高端防火墙典型组网,本章总结,