高端防火墙产品介绍ppt课件

《高端防火墙产品介绍ppt课件》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

第一章高端防火墙产品介绍ISSUE1.0日期：2009.5.10杭州华三通信技术有限公司版权所有，未经授权不得使用与传播 了解高端防火墙市场需求掌握高端防火墙的基本功能特性了解高端防火墙组网课程目标学习完本课程，您应该能够： 网络安全新需求高端防火墙产品功能介绍高端防火墙产品典型组网目录 网络发展趋势飞速发展的网络带来更高的需求大量IDC建设网络扁平化发展需求易管理性数据大集中万兆传输多分支并行接入 ???核心网络安全难题一：高性能瓶颈S75E/S9510GE骨干网RRPP汇聚VPN1HQS75E/S95S75E/S95汇聚汇聚S75E/S95S75E/S95PEPEPEPPPVPN1VPN2VPN2高速网络中如何保障高性能的安全？高达万兆数据海量接入多分支机构并行接入重要的核心业务不能中断紧急数据传输高速保障 基于OAA的架构，配合S58/S75E/S95/S95E交换机和SR66/SR88路由器，实现网络和安全的融合。解决之道－－SecBlade万兆防火墙模块解决了网络发展面临的难题：性能瓶颈设备管理难扩展增值难 网络安全新需求高端防火墙产品功能介绍高端防火墙产品典型组网目录 10Gbps防火墙呑吐量交换机级别延时100W并发连接每秒钟新建5W连接2Gbps的IPSec加密性能1Gbps的DDoS防护性能支持H3CS58/75E/95/95E交换机支持H3CSR66/SR88路由器10Gbps防火墙呑吐量交换机级别延时100W并发连接每秒钟新建5W连接2Gbps的IPSec加密性能1Gbps的DDos防护性能支持10GE接口/最大支持20个GEH3C高端防火墙产品一览SecPathF1000-ESecBladeII 高性能10G以上防火墙处理性能1G以上VPN处理性能1G以上DDos防护性能H3C高端防火墙解决之道业务高可扩展性最新网络/视频协议的支持IM/P2P流控的支持新型攻击方式的识别高可用性硬件关键部件冗余设计软件平台健壮性良好的组网能力采用业界最新的多核处理器技术，实现超强的处理性能—防火墙吞吐量10G/IPSecVPN吞吐量2G/SYNFlood防护性能1G传承H3C多年网络设备制造经验，提供良好的网络/应用协议支持，国内首家高端IPv4/v6双栈防火墙电源风扇冗余设计，机箱温度自动监控多年成功应用于H3C电信级路由交换设备的Comware平台，稳定性高，无系统漏洞支持全状态双机和负载均衡 纯软件ASIC技术处理性能软硬结合X86技术NP技术技术发展多核多线程技术2.5Gigabits10Gigabits10Mbps100MbpsGigabitsH3C高端防火墙之高性能—防火墙硬件发展史 H3C高端防火墙之高性能—多核处理平台多核CPU平台，内含多个CPU和独立的Cache，每个CPU支持多个线程多核CPU的灵活扩展，可以适应日益变化的安全需求多个CPU协同工作，降低网络压力增加的后期投入风险深入业务安全防范凸现性能优势线程1线程2线程3线程4.ACL访问控制线程…5.NAT地址转换1.基于状态的检查2.VPN远程安全互联3.安全区域划分多核多线程保障多个安全业务的并行处理，解决安全性能瓶颈问题。CPU1CPU2CPU3 MultiCoreProcessor路由计算、配置管理、表项下发防火墙IPSECNATQoS防火墙IPSECNATQoS防火墙IPSECNATQoS防火墙IPSECNATQoS防火墙IPSECNATQoS防火墙IPSECNATQoS防火墙IPSECNATQoSH3C高端防火墙之高性能—并行业务处理能力多核平台实现对安全业务的并行处理，突破了安全性能瓶颈。 H3C高端防火墙之高可用性—电信级硬件平台关键部件均冗余设计高达35万小时的(MTBF)支持接口模块热插拔支持温度自动检测及告警双电源冗余备份支持双机状态热备设备可靠网络可靠业务可靠端到端可靠网络 DHCP/DNS路由协议VOIPMPLSVPNs多播VRRPQoSGRE、L2TPIP服务层面操作安全层面单播反向地址检查（反欺骗）AAA认证命令行授权16优先级终端日志SNMPv3ARP安全层面ACLAAANATIPsecFirewall入侵检测SSHSSLPKI、VPNFirewallIDS管理业务用户管理网络集成解决方案动态VPNSecureARP状态地址转换ComwareinsideComware作为业界最优先稳定的软件平台，之前已经被成功应用于H3C系列交换、路由设备。H3C高端防火墙之高可用性—专业的软件平台 H3C高端防火墙之高可用性—专利状态检测技术ASPF(ApplicationSpecificPacketFilter)：专利技术保障在支持丰富网络应用的同时提供高安全性支持多种应用协议的状态检测，包括H323/MGCP/SIP/H248/RTSP/HWCC，及ICMP/FTP/DNS/PPTP/NBT/ILS等SecPath防火墙支持对SMTP/HTTP/Java/ActiveX/SQL注入攻击状态检测防火墙用户服务器用户初始化到服务器的一个会话该用户会话的后续数据包被允许非用户建立外部发起会话被拒绝监控通信过程中的数据包动态建立和删除访问规则 H3C高端防火墙之高可用性—专业VPN功能集成业界最为丰富VPN协议高性能内置硬件加密VPN专利技术-VPE智能部署、管理及监控PPMPLSCOREVPN-1VPN-2PEPEInternet移动办公用户VPN-2LSP隧道隧道映射LSP隧道企业分支VPN-1VPECEIPSEC隧道L2TP+IPSEC隧道 H3C高端防火墙之高可用性—网络深度融合能力接收报文报文分类/标记Queue0Queue1Queue2QueueNREDWREDSARED拥塞检测/避免队列调度FIFOPQCQWFQCBWFQ令牌流量整形丢弃丢弃继续发送入队出队令牌筒出接口入接口GTS源地址目的地址源端口目的端口协议类型TOSACLCAR流量监管拥塞管理专业网络厂商的丰富路由及QoS特性：静态/RIPv1/2/OSPF/BGP策略路由及路由策略流量监管/拥塞检测及避免/流量整形MPLS/多播/虚拟防火墙Comwareinside H3C高端防火墙之高可用性—灵活智能NAT转换支持多种常用转换支持多种ALG指定转换后地址静态网段地址转换双向地址转换支持DNS映射防火墙用户服务器源IP198.10.2.7目的IP202.100.1.4源IP202.100.1.4目的IP198.10.2.7源IP10.110.3.25目的IP202.100.1.4源IP202.100.1.4目的IP10.110.3.25 H3C高端防火墙之高可用性—丰富攻击防范功能多种内置攻击防范功能，解决最多网络安全威胁：Land攻击防范Smurf攻击防范Fraggle攻击防范WinNuke攻击防范PingofDeath攻击防范TearDrop攻击防范IPSpoofing攻击防范SYNFlood攻击防范ICMPFlood攻击防范UDPFlood攻击防范ARP欺骗攻击防范ARP主动反向查询TCP报文标志位异常攻击防范超大ICMP报文攻击防范地址扫描的防范端口扫描的防范优异抵御DoS功能！ H3C高端防火墙之高可用性—P2P深度检测及控制完全禁止P2P应用可控限制P2P带宽根据时间限制P2P带宽根据用户限制P2P带宽Source:EurpoeanTierIISPFeb‘04P2P文件共享产生的流量可能是今天因特网最大的单项流量！eDonkeyBTHTTP H3C高端防火墙之高可用性—日志管理及告警Internet日志缓冲监控终端控制台日志主机SecPathSyslog文本日志二进制日志丰富日志信息：流日志NAT/ASPF日志攻击防范日志黑名单/地址绑定日志邮件/网址/内容过滤日志多种告警收集方式告警邮件手机短信 H3C高端防火墙之高可用性—统一设备网管能力多种配置和管理方式支持iMC网管 H3C高端防火墙之高可用性—双机热备心跳线数据同步线CoreSwitchCrossLinkLoadBalancerSecPathF1000-ESecPathF1000-EHA提供基于状态的Active-Active和Active-Passive模式双机热备提供强大的服务器负载均衡能力，支持轮转/加权轮转/最小连接/加权最小连接等11种调度算法 骨干网H3C高端防火墙之高可用性—虚拟防火墙SecBlade虚拟防火墙用户C用户A用户B用户D 路由安全业务接入安全管理安全转发安全ASPF虚拟防火墙IPSec路由协议MD5认证管理与业务平面严格隔离安全的Comware软件系统ACL控制信息的过滤和限速QoSNATIDP深度应用检测DDoS攻击防范SecbladeFW：全方位的安全特性与网络的无缝融合SSHRADIUSTACACS+SYSLOGNQA 网络安全新需求高端防火墙产品功能介绍高端防火墙产品典型组网目录 典型组网一：防火墙部署－内网控制SecPath防火墙EADEADEADSecPathIPSSecBlade服务器区安全管理中心SecCenter智能网管中心iMC安全管理平台 典型组网二：数据中心安全防护DMZ区数据中心AS5600S7500ES7500E汇聚用户数据中心数据中心BS7500S3900接入区园区核心INTERNETWANISP1ISP2认证服务器区数据中心CS3900S9500S9500S7500S7500用户GRE+IPsecL2TP+IPsec每用户一个虚拟防火墙。要求支持NAT、AAA多实例。HA利用虚拟防火墙实现各用户服务器区的独立保护，防火墙双机热备通过SecBladeFW实现IDC安全区域隔离和互访用户用户用户 典型组网三：园区安全（内网安全＋internet出口安全）S9500S9500园区核心汇聚层接入层用户端zone1S7500E重点安全区普通员工办公区S7500EINTERNETWANzone2zone3zone4ISP1ISP2园区核心部署防火墙插卡隔离企业内外网,高性能的插板提供安全区域间的安全策略控制网管区DMZ区利用虚拟防火墙技术进行不同安全区域的隔离，保护核心安全区域，实现双机热备功能实现SecBlade插板的双机热备功能，备份状态信息通过SecBladeFW实现内网安全和出口 MPLS骨干网典型组网四：园区MPLS安全（VPE)PES9500认证服务器区PEPEMPLSVPN用户园区VPNAS3900SIS7500E核心层汇聚用户接入用户端MCEMCEVPNBS5600S3900SIS5600WAN接入VPNBVPNAMPLS城域网PES9500S7500E通过SecBladeFW实VPN网络安全 省直省直省中心国家电子政务外网FW外部数据中心内部数据中心省直省直网管中心1-8地市厅局接入单位省府院内厅局地市城域网地市城域网地市城域网地市城域网济南城域网省委汇聚VPN网关VPN网关9-16地市ISP1MSTP山东省电子政务外网组网图SecBlade H3C高端防火墙功能介绍H3C高端防火墙典型组网本章总结