《H3CSecPath防火墙培训使用课件》由会员分享,可在线阅读,更多相关《H3CSecPath防火墙培训使用课件(32页珍藏版)》请在金锄头文库上搜索。
1、H3C SecPathH3C SecPath系列产品培训系列产品培训(内部培训使用)(内部培训使用)日期:2008-1密级:内部公开目录目录n1. 1. 基础技术篇基础技术篇n2. 2. 产品技术篇产品技术篇n3. 3. 业务模块篇业务模块篇n4. 4. 解决方案篇解决方案篇n5. 5. 其他说明其他说明2防火墙分类防火墙分类主要分为以下3种类型防火墙:1.1.包过滤防火墙:包过滤防火墙:根据一组规则允许一些数据包通过,同时阻塞其他数根据一组规则允许一些数据包通过,同时阻塞其他数据包,规则可以根据网络层协议据包,规则可以根据网络层协议( (如如IP)IP)中地址信息或者传输层中地址信息或者传输
2、层( (如如TCPTCP头部或者头部或者UDPUDP头部头部) )信息制定。信息制定。2.2.应用代理型防火墙:应用代理型防火墙:作为应用层代理服务器存在于信任与非信任网络作为应用层代理服务器存在于信任与非信任网络之间,在应用层协议层面上提供高安全级别的保护。之间,在应用层协议层面上提供高安全级别的保护。3.3.状态检测型防火墙:状态检测型防火墙:比包过滤防火墙具有更高的智能和安全性,会话比包过滤防火墙具有更高的智能和安全性,会话成功建立连接以后记录状态信息并时时更新,所有会话数据都要与成功建立连接以后记录状态信息并时时更新,所有会话数据都要与状态表信息相匹配;否则会话被阻断。状态表信息相匹配
3、;否则会话被阻断。现代防火墙基本为3种类型防火墙的综合体,即采用状态检测型包过滤技术,同时提供透明应用代理功能。3VPNVPN设备性能指标设备性能指标主要参考以下2种性能指标:1.1.加密性能:加密性能:指指VPNVPN设备进行背靠背的连接时,能够以一定的加密算法设备进行背靠背的连接时,能够以一定的加密算法对一定的包长数据的最大转发能力,业界默认一般都采用大包对这对一定的包长数据的最大转发能力,业界默认一般都采用大包对这个指标进行衡量。个指标进行衡量。2.2.最大并发隧道数:最大并发隧道数:指在确定的某种指在确定的某种VPNVPN协议的前提下,协议的前提下,VPNVPN设备能够设备能够并发支持
4、最多的虚拟隧道的数量,这些隧道决定了并发支持最多的虚拟隧道的数量,这些隧道决定了VPNVPN设备能够提设备能够提供的连接的设备和移动用户的数量。供的连接的设备和移动用户的数量。目录目录n1. 1. 基础技术篇基础技术篇n2. 2. 产品技术篇产品技术篇n3. 3. 业务模块篇业务模块篇n4. 4. 解决方案篇解决方案篇n5. 5. 其他说明其他说明5SOHO/小型分支小型分支SecPath SecPath 防火墙防火墙/VPN/VPN系列产品系列产品ISP/大型数据中心大型数据中心大型分支大型分支/中型企业中型企业中型分支中型分支/小型企业小型企业大型企业总部大型企业总部SecPath F10
5、00-ASecPath F1000-SSecPath V100-SSecPath F100-ASecPath F1800-ASecPath V1000-ASecPath F100-CSecPath F100-SSecPath F1000-CSecPath F100-A-SISecPath F1000-ESecBladeSecPath F100-ESecPath F100-MSecPath V100-E6SecPath SecPath 万兆防火墙万兆防火墙F5000-AF5000-An防火墙提供了5个槽位n12*GE(8*GBE+4*Combo)接口卡和2*10GE(XFP)接口卡n40G吞吐量
6、n采用业界最先进的分布式系统架构,专用ASIC7UTMUTM产品概述产品概述产品型号: H3C SecPath U200-A H3C SecPath U200-M H3C SecPath U200-S 功能特色: 提供丰富的防火墙/VPN/防毒/防垃圾邮件/URL过滤/内容过滤/入侵防范等功能。8病病病病 毒毒毒毒木木木木马马蠕虫蠕虫蠕虫蠕虫集成卡巴斯基专业防病毒特征库集成卡巴斯基专业防病毒特征库专业的的综合防御引擎合防御引擎拥有超过 400 000 个病毒样本对第二层到第七层实行全面检查防止应用程序和操作系统被病毒破坏消除网络病毒或蠕虫对带宽的占用 全面过滤各种混合型木马的入侵 H3C 病毒
7、防病毒防护精细化的深度防御与病毒过滤精细化的深度防御与病毒过滤深入的病毒防护深入的病毒防护( (卡巴斯基卡巴斯基) )9强大的垃圾邮件过滤强大的垃圾邮件过滤Patent #6-330-590灵活部署模式灵活部署模式全球部署更新服务器内部共享镜像服务器特征库本地存储10SpamPORNSPYWAREPhishingVirusesConfidentialGamblingKeywordKeywordBlacklistBlacklistURLGamesAdwareDiallersKeyloggers丰富的丰富的WEBWEB过滤(过滤(SecureComputingSecureComputing)11H
8、3C IPSH3C IPS入侵防御系统入侵防御系统 过滤方法:签名、协议、异常、漏洞、流量异常深度安全抵御深度安全抵御应用保护应用保护来自:来自:蠕虫/病毒/木马/DDoS攻击未经授权访问保护:Microsoft 应用软件 & 操作系统Oracle应用Linux O/S保护:保护:来自:来自:带宽服务器关健的应用和流量 P2P应用未经授权即时通信/未经授权应用 DDoS攻击性能保护性能保护蠕虫/病毒/木马DDoS攻击异常流量来自:来自:路由器/交换机防火墙VOIP网络设备保护网络设备保护保护:保护:完善的完善的IPSIPS防御(防御(H3C IPSH3C IPS)目录目录n1. 1. 基础技术
9、篇基础技术篇n2. 2. 产品技术篇产品技术篇n3. 3. 业务模块篇业务模块篇n4. 4. 解决方案篇解决方案篇n5. 5. 其他说明其他说明13融合融合病毒病毒开放开放防火墙防火墙监控监控应用应用互联互联SecBlade插卡插卡ASM防病毒模块防病毒模块NSM网流监控模块网流监控模块SSL VPN模块模块OAA扩展平台模块扩展平台模块安全产品业务模块安全产品业务模块14SecBlade SecBlade 新产品新产品nSecBlade SSL VPN :S95/75E,高性能SSL 产品nSecBlade AFC:S95/75E,提供清洗和检测功能nSecBlade FW:SR66/88、
10、S58,进一步扩展应用平台15ASMASM防病毒模块防病毒模块基于基于OAAOAA先进体系构架,独立计算和处理能力先进体系构架,独立计算和处理能力专利技术实现对未知病毒防御专利技术实现对未知病毒防御图形化界面管理,配置灵活图形化界面管理,配置灵活强大日志审计、告警功能强大日志审计、告警功能高效的流引擎,优异的流处理能力高效的流引擎,优异的流处理能力灵活升级模式,保障系统高度安全灵活升级模式,保障系统高度安全病毒是破坏力最强的危险之一病毒是破坏力最强的危险之一病毒是破坏力最强的危险之一病毒是破坏力最强的危险之一NewNew!严峻的严峻的严峻的严峻的病毒攻击病毒攻击病毒攻击病毒攻击16ASMASM
11、产品简介产品简介项目项目参数参数接口一个10/100/1000BASE-TXCPUPentium-M,1.4GHZ内存1G SDRAMCF 卡256MB硬盘80GB17产品技术原理产品技术原理18ASMASM产品卖点技术版产品卖点技术版高性能:基于高性能:基于OAAOAA先进体系构架,独立计算和处理能力先进体系构架,独立计算和处理能力防未知病毒:专利技术实现对未知病毒防御防未知病毒:专利技术实现对未知病毒防御优异的流引擎:高效的流处理能力,保障网络流量优异的流引擎:高效的流处理能力,保障网络流量灵活升级模式:多种病毒库升级,保障系统高度安全灵活升级模式:多种病毒库升级,保障系统高度安全完善日志
12、审计、告警功能:病毒告警日志,邮件提醒完善日志审计、告警功能:病毒告警日志,邮件提醒19产品宣传策略产品宣传策略宣传形式宣传形式产品形态产品形态突出重点突出重点使用场合使用场合防病毒插卡ASM 模块防毒原有安全产品升级 防病毒需求防病毒网关 ASMSecPath防火墙防病毒防火墙用户明确需要防火墙和防病毒的项目(防毒墙)UTMASMSecPath防火墙防病毒防火墙VPN针对UTM产品应标ASM产品根据需要可以通过三种形态进行宣传。支持ASM的防火墙产品: SecPath F1000-A、 SecPath F1000-S、 SecPath F100-A、 SecPath F100-M20产品竞争
13、分析产品竞争分析( (防火墙功能防火墙功能) )天融信天融信n采用卡巴斯基防病毒技术;nNGFG系列防病毒网关,只支持透明模式部署,不支持路由模式;nNGFW防火墙系列产品可增加防病毒软件许可,开启后性能下降很大;n病毒库为每天定时更新。 Ciscon采用趋势科技防病毒技术;n通过在ASA5500系列产品上增加防病毒模块(CSC-SSM)实现防病毒功能;n除了购买产品之外,还需购买趋势防病毒软件和服务,费用较高;n病毒库每星期更新,无法实现实时更新。 Fortinetn宣称为自主开发,但是2005年被认定侵犯趋势专利,禁止在美国销售;nFortiGate系列产品内置防病毒功能,开启防病毒功能后
14、对整体性能影响很大;n病毒库为每周更新,无法实现实时更新。21NSMNSM流量监控模块流量监控模块基于基于OAAOAA先进体系构架,独立计算和处理能力先进体系构架,独立计算和处理能力对网络流量的安全分析,并且支持定制分析端口对网络流量的安全分析,并且支持定制分析端口实现网络流量采样和历史流量分析实现网络流量采样和历史流量分析支队多达百余种网络协议的过滤分析支队多达百余种网络协议的过滤分析图形化界面管理,配置灵活图形化界面管理,配置灵活NewNew!宏观微观时间实时及其未来历史网络流量更加清晰可控网络流量更加清晰可控网络流量更加清晰可控网络流量更加清晰可控22SSL VPNSSL VPN业务功能
15、模块业务功能模块基于基于B/SB/S模式,免客户端配置模式,免客户端配置丰富灵活的安全策略丰富灵活的安全策略 高细粒度的权限控制高细粒度的权限控制完备的认证方式完备的认证方式图形化界面管理,配置灵活图形化界面管理,配置灵活个性化的用户界面个性化的用户界面 NewNew!使用使用H3CH3C不需要客户端的不需要客户端的VPNVPN产品,真是维护和管理产品,真是维护和管理都方便!都方便!23基于基于OAA OAA 框架的安全产品框架的安全产品New!New!对外提供标准软硬件接口和互动协议对外提供标准软硬件接口和互动协议独立的计算和处理资源独立的计算和处理资源允许第三方基于允许第三方基于OAAOA
16、A进行软硬件开发进行软硬件开发开放延长了价值链,与第三方形成共赢联盟开放延长了价值链,与第三方形成共赢联盟快速开发用户定制化需求快速开发用户定制化需求24SecBlade SecBlade 安全模块防火墙安全模块防火墙/VPN/VPNSecBlade SecBlade 防火墙模块防火墙模块n支持虚拟防火墙技术,实现业务采用不同的防火墙策略n支持包过滤、基于状态防火墙技术n可以防御单报文、DOS和DDOS攻击n支持Web过滤、邮件过滤等内容过滤技术n支持黑名单、MAC绑定和流量监控SecBlade VPNSecBlade VPN模块模块n支持L2TP、GRE、IPSec VPNn支持访问控制n支
17、持路由和QoSSecBladeSecBlade安全模块实现了安全模块实现了安全模块实现了安全模块实现了网络网络网络网络和和和和安全安全安全安全的无缝融合的无缝融合的无缝融合的无缝融合目录目录n1. 1. 基础技术篇基础技术篇n2. 2. 产品技术篇产品技术篇n3. 3. 业务模块篇业务模块篇n4. 4. 解决方案篇解决方案篇n5. 5. 其他说明其他说明26防火墙部署边界防火墙部署边界安全保护安全保护2 2台防火墙台防火墙负载分担负载分担/ /冗余备份冗余备份企业内部局域网企业内部局域网WWWWWW服务器服务器MailMail服务器服务器服务器服务器27防火墙部署内网及数据中心安全防火墙部署内
18、网及数据中心安全2 2台台SecPathF1800-ASecPathF1800-A冗余备份冗余备份/ /负载分担负载分担总部数据中心总部数据中心内网服内网服务器务器内网服内网服务器务器内网服务器内网服务器内网服内网服务器务器广域连接广域连接2 2台台SecBladeSecBlade冗余备份冗余备份/ /负载分担负载分担28防火墙部署广域网边界安全防火墙部署广域网边界安全2 2台台SecPathF1800-ASecPathF1800-A冗余备份冗余备份/ /负载分担负载分担总部数据中心总部数据中心内网服内网服务器务器内网服内网服务器务器内网服务器内网服务器内网服内网服务器务器广域连接广域连接广域网边界广域网边界29防火墙部署防火墙部署病毒防范病毒防范SecPathSecPath 防火墙防火墙中心交换机ASM模块部署在防火墙实现基于七层的防护数据中心数据中心服务器区服务器区ASMASM防病毒模块防病毒模块分支机构分支机构移动客户端移动客户端SecPathSecPath 防火墙防火墙目录目录n1. 1. 基础技术篇基础技术篇n2. 2. 产品技术篇产品技术篇n3. 3. 业务模块篇业务模块篇n4. 4. 解决方案篇解决方案篇n5. 5. 其他说明其他说明杭州华三通信技术有限公司
