《SecPath M9000综合网关介绍.docx》由会员分享,可在线阅读,更多相关《SecPath M9000综合网关介绍.docx(13页珍藏版)》请在三一办公上搜索。
1、在当前各行业加速迈向互联网化的形势下,用户的网络安全防护也面临着新的挑 战,而规避互联网化、移动化、云化的风险,成为了下一代安全必须具备的特性。 因此,结合当前安全与网络深入融合的技术趋势,H3C面向大型企业、运营商 和数据中心、云计算市场推出了 SecPathM9000系列新一代高性能超万兆安全 综合网关,将高端安全旗舰产品的级别提升到了一个新的高度。如何理解多业务安全网关?它应具备哪些特征?随着网络应用的广泛普及和网络带宽的持续发展,安全话题日趋成为了人们 关注的焦点,安全网关产品做为网络边界的第一道防线,越来越向着更高性能、 更高密度、更高扩展性、更高可靠性以及更易管理的方向发展。更高性
2、能:除吞吐量外,随着Web2.0业务和移动智能终端的兴起,新建连 接数和系统并发连接数日益成为安全厂家和用户的关注点。更高密度:在单位空间下对外提供更高的业务处理能力及更多的端口数量, 从而提升设备整体的业务输出能力。更高扩展性:针对用户的安全业务,能够根据用户的业务状况定制功能及性 能,并伴随用户的业务发展能对设备的功能、性能进行平滑升级。更高可靠性:除了在硬件层面通过主控、电源、风扇等关键部件冗余设计提 高可靠性外,系统软件层面需要更富针对性的安全业务集群来保障可靠性,而不 是传统的双机热备。更易管理:业务的持续扩展必然使得业务板卡数量和类型的持续增加,墨守 成规的松耦合、分散式的管理方式
3、给不仅占用了多个IP地址,且给运维工作带 来了极大的不便,多块业务板卡能够作为一个独立的网元来部署和管理显得尤为 重要。同时为满足云计算自动化部署、虚拟机防护策略自动迁移等需求,对外提 供完善标准的配置接口是必然需求。H3CSecPathM9000系列支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF (ApplicationSpecificPacketFilter )应用状态检测技术,可对连接状态过程 和异常命令进行检测;支持多种VPN业务,如L2TPVPN、GREVPN、 IPSecVPN和动态VPN等,可以构建多种形式的VP
4、N ;提供丰富的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持IPv4/IPv6双协议栈。要求,主机主控冗余、风扇冗余、电源模块M + N备份。交、直流输入电源模块 可插拔,可灵活根据系统功耗配置模块数量,保证模块高效工作。风扇框支持风 扇状态监控,风扇支持无级调速,可以根据环境温度、单板配置自动分组调速。 业务引擎和接口单元支持热插拔,充分满足网络维护、升级、优化的需求。此外, H3CSecPathM9000全系列产品均支持安全集群。H3CM9000系列:高皿 安全可靠高性能的软硬件处理平台H3CSecPathM9000系列采用控制、业务、数据相分离的全分布式架构,控制引擎
5、、交换引擎、业务引擎及接口单元硬件独立,解耦和系统关键部件,提 高系统可靠性;独立的硬件交换引擎设计,完美支撑高性能、无阻塞的安全业务 处理。其中,M9000系列主控采用了专用的最新多核高性能处理器和高速存储器, 可实现高速处理性能面向40G/100G ;同时采用了专业硬件TCAM,可保证大 容量策略表项的高速检索。此外,该系列内置了模块化软件系统,支持多进程的调度,进程间运行空间 隔离,单个进程的异常不会影响系统其他部分以提高了系统的可靠性。电信级设备高可靠性产品应用从电信运营商到中小企业用户,经历了多年的市场考验。首先,该系列支持状态1:1热备功能,支持Active/Active和Acti
6、ve/Passive 两种工作模式,可实现负载分担和业务备份;并且支持状态N:N热备功能,可 进一步提高系统可靠性;此外,该系列支持安全集群,可以实现N:1的虚拟化, 从而实现灵活的管理和弹性扩展。强大的安全防护功能H3CSecPathM9000系列支持丰富的攻击防范功能,包括:Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP 分片报文、ARP 欺骗、 ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端 口扫描等攻击防范,还包括针对SYNFlood、UPDFlood、ICMPFlood、 DNSFlood等常见D
7、DoS攻击的检测防御。M9000系列支持统一管理:主机+多业务引擎始终作为一个网元进行统一管 理,无需对每块插卡进行IP地址规划,在节省用户的IP地址的同时大量减少部 署的复杂度,并且可以对设备实现全面的配置管理、性能监控和日志审计。M9000系列还支持智能分流(IFF):部署多业务插卡后,流量自动在多个 业务板卡内负载分担从而实现分布式处理,新的业务插卡加入后,流量会自动均 衡到新的插卡,全程无需人工干预。M9000 系列同时支持包过滤:通过在安全区域间使用标准或扩展访问控制规 则,借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外,还可以按 照时间段进行过滤。M9000 系列支持应
8、用层状态包过滤(ASPF)功能:通过检查应用层协议信 息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议), 并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过多业务安全 网关或者是被丢弃。而特别值得一提的是,M9000系列通过SCF安全集群框架可支持最大4台 不同型号的M9000的多虚一能力扩展;此外,通过SOP可以使M9000虚拟 成多个独立的业务处理单元,灵活的虚拟化特性可以满足未来安全业务的弹性需 求,充分满足当前及未来用户安全防护应用的需求增长,在目前业内同类产品中 占据着领先位置。下面一起来详细了解一下:安全集群框架(SCF),可全面突破机
9、框的限制,在简化管理和部署的基础上 同时实现了安全业务和安全性能的弹性扩展。同时支持异构集群,即M9006、 M9010和M9014可以相互进行集群,使集群系统更加的灵活和多样化。安全ONE平台(SOP),采用创新的基于容器的虚拟化技术实现了真正意义 上的虚拟防火墙:SOP之间实现了基于进程的真正相互隔离;并可通过统一的 OS内核可以对系统的静态及动态的资源进行细粒度的划分;与此同时,SOP数 量可以按照系统需求的变化动态调整;而SOP能力可以根据用户需求动态的进 行调整;此外,它还支持安全区域管理。可基于接口、VLAN划分安全区域。TOPH3CM9000系列支持IPv6和智能管理业界领先的I
10、Pv6H3CM9000 系列支持IPv6状态多业务安全网关,真正意义上实现IPv6条 件下的多业务安全网关功能;同时支持IPv4/IPv6双协议栈,并支持IPv6数据 报文转发、静态路由、动态路由及组播路由等功能。M9000 系列还支持IPv6各种过渡技术,包括NAT-PT、IPv6OverIPv4GRE 隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道、NAT444、 DS-Lite等。同时支持IPv6ACL、Radius等安全技术。专业的智能管理M9000 系列支持标准网管SNMPv3,并且兼容SNMPv1和v2 ;同时提供 了图形化界面,实现了简单易用的Web
11、管理;此外,它还可通过命令行界面进 行设备管理与多业务安全网关功能配置,满足专业管理和大批量配置需求。而通过H3CSecCenter安全管理中心,即可实现统一管理,集安全信息与事 件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全 状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员 脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。基于先进的深度挖掘及分析技术,采用主动收集、被动接收等方式,为用户 提供集中化的日志管理功能,并对不同类型格式(Syslog、二进制流日志等)的日志进行归一化处理。同时,采用高聚合压缩技术对海量事件进行存储,并可
12、 通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统, 避免重要安全事件的丢失。此外,M9000系列可提供丰富的报表,主要包括基于应用的报表、基于网流 的分析报表等;并且支持以PDF、HTML、WORD和TXT等多种格式输出;还 可通过Web界面进行报告定制,定制内容包括数据的时间范围、数据的来源设 备、生成周期以及输出类型等。典型组网应用M9000 系列产品是具备更高性能、更高密度、更高扩展性、更高可靠性以及 更易管理的多业务安全网关,主要面向40G至100G领域更具挑战性的应用场 景,重点适用于大型数据中心安全隔离防护、运营商CGNNAT及云计算多租 户安全防护等场景。
13、H3CSecPathM9000系列组网应用示意图双机状态热备技术,高可靠网络设计;具有强大的处理能力;丰富路由协议,实现安全与网络融合;具有强大的VPN加密处理能力;阻止恶意攻击,能够实现邮件、网页过滤;丰富路由协议,实现安全与网络融合。TOPH3CM9000系列多业务网关详细参数H3CSecPathM9000系列多业务安全网关包含三个产品型号,即M9006、M9010和M9014,三者的主要区别是业务板槽位数不同,其中M9006为4 个,M9010为8个,而且是竖式插槽,而M9014则拥有12个。曲M006MOIOM4014主校板懵位数222业务板橹位敦48 (竖式话槽)12夹换网板梧也数4
14、44冗余设计主控、交犊网饭、电源.凤扁主校交捕问梭、电源、FL启主怜、交树可彼、电源、时扇环础度工作;。SC匪工作:Y07(TG运行很丈路由模式、透明模柬、温氽模式AAA的Portal认证、RADIUS认证、HWTACACS认证、PKI /CA 乂509怡式)认证、域认证 CHAP短证、PA遂证多业务安全网关度康多龙分安全网关安全区修蜘司以饬郤Land、Smurf x Fraggle % Ping of Death . Tear Drop s IP spoofing. IP分片报文Rpg辨h ARP主劾反向宜询、TCP1汶标志位不含法超 3*ClCMP|E、地址扫插、谈口扫偷 SYN FlQQ
15、d. UPD Floods ICMP Flood、 DNS Fl。将多种恶意攻击其破和猝炭的访i研做J列襄坚科捐段的访1 翊湖列曩动态包过酒姑PF应用总报艾遍懑H态和动态里名单功祗NAC湘网隆功能基于mac的询可拴刮湫支捧802.1 QVLftN海倚NAT支特多个内前地姑映射到向一个公网地妣 支掩多个内部地附到多个公闷址 支挎内部魁1到公钩地址一一映射 支拼原JW和目的地址哪婚报支持外衲S主饥防间内部fig焚器 支推内部弛妣画电射到枪口公即眺抛 支挣DNS肘功废H3C M9000 系列详细参数H3C 新一代高端全分布式多业务安全网关SecPathM9000系列,拥有 领先的业务处理能力、电信级设备高可靠性、强大的安全防护功能、业界领先的 IPv6以及专业的智能管理等多项特性,单机处理能力达到400G,可提供全球领 先的高密度10G及40G接口(面向40G/100网络);该系列同时加载了 ComwareV7平台,除提供防火墙功能外,还可以全面支持负载均衡、入侵防 御、网流分析、应用控制、VPN等其他专用安全业务板卡,在提供超高性能的 同时全面扩展安全防护的维度,旨在为用户提供更高安全防护服务。
