SecPath M9000综合网关介绍.docx

《SecPath M9000综合网关介绍.docx》由会员分享，可在线阅读，更多相关《SecPath M9000综合网关介绍.docx（13页珍藏版）》请在三一办公上搜索。

1、在当前各行业加速迈向互联网化的形势下，用户的网络安全防护也面临着新的挑 战，而规避互联网化、移动化、云化的风险，成为了下一代安全必须具备的特性。 因此，结合当前安全与网络深入融合的技术趋势，H3C面向大型企业、运营商 和数据中心、云计算市场推出了 SecPathM9000系列新一代高性能超万兆安全 综合网关，将高端安全旗舰产品的级别提升到了一个新的高度。如何理解多业务安全网关？它应具备哪些特征？随着网络应用的广泛普及和网络带宽的持续发展，安全话题日趋成为了人们 关注的焦点,安全网关产品做为网络边界的第一道防线，越来越向着更高性能、 更高密度、更高扩展性、更高可靠性以及更易管理的方向发展。更高性

2、能：除吞吐量外，随着Web2.0业务和移动智能终端的兴起，新建连 接数和系统并发连接数日益成为安全厂家和用户的关注点。更高密度：在单位空间下对外提供更高的业务处理能力及更多的端口数量， 从而提升设备整体的业务输出能力。更高扩展性：针对用户的安全业务，能够根据用户的业务状况定制功能及性 能，并伴随用户的业务发展能对设备的功能、性能进行平滑升级。更高可靠性：除了在硬件层面通过主控、电源、风扇等关键部件冗余设计提 高可靠性外，系统软件层面需要更富针对性的安全业务集群来保障可靠性，而不 是传统的双机热备。更易管理：业务的持续扩展必然使得业务板卡数量和类型的持续增加，墨守 成规的松耦合、分散式的管理方式

3、给不仅占用了多个IP地址，且给运维工作带 来了极大的不便，多块业务板卡能够作为一个独立的网元来部署和管理显得尤为 重要。同时为满足云计算自动化部署、虚拟机防护策略自动迁移等需求，对外提 供完善标准的配置接口是必然需求。H3CSecPathM9000系列支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF (ApplicationSpecificPacketFilter )应用状态检测技术，可对连接状态过程 和异常命令进行检测；支持多种VPN业务，如L2TPVPN、GREVPN、 IPSecVPN和动态VPN等，可以构建多种形式的VP

4、N ；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持IPv4/IPv6双协议栈。要求，主机主控冗余、风扇冗余、电源模块M + N备份。交、直流输入电源模块 可插拔，可灵活根据系统功耗配置模块数量，保证模块高效工作。风扇框支持风 扇状态监控，风扇支持无级调速，可以根据环境温度、单板配置自动分组调速。 业务引擎和接口单元支持热插拔，充分满足网络维护、升级、优化的需求。此外， H3CSecPathM9000全系列产品均支持安全集群。H3CM9000系列：高皿 安全可靠高性能的软硬件处理平台H3CSecPathM9000系列采用控制、业务、数据相分离的全分布式架构，控制引擎

5、、交换引擎、业务引擎及接口单元硬件独立，解耦和系统关键部件，提 高系统可靠性；独立的硬件交换引擎设计，完美支撑高性能、无阻塞的安全业务 处理。其中，M9000系列主控采用了专用的最新多核高性能处理器和高速存储器， 可实现高速处理性能面向40G/100G ；同时采用了专业硬件TCAM，可保证大 容量策略表项的高速检索。此外，该系列内置了模块化软件系统，支持多进程的调度，进程间运行空间 隔离，单个进程的异常不会影响系统其他部分以提高了系统的可靠性。电信级设备高可靠性产品应用从电信运营商到中小企业用户，经历了多年的市场考验。首先，该系列支持状态1:1热备功能，支持Active/Active和Acti

6、ve/Passive 两种工作模式，可实现负载分担和业务备份；并且支持状态N:N热备功能，可 进一步提高系统可靠性；此外，该系列支持安全集群，可以实现N:1的虚拟化， 从而实现灵活的管理和弹性扩展。强大的安全防护功能H3CSecPathM9000系列支持丰富的攻击防范功能，包括：Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP 分片报文、ARP 欺骗、 ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端 口扫描等攻击防范，还包括针对SYNFlood、UPDFlood、ICMPFlood、 DNSFlood等常见D

7、DoS攻击的检测防御。M9000系列支持统一管理：主机+多业务引擎始终作为一个网元进行统一管 理，无需对每块插卡进行IP地址规划，在节省用户的IP地址的同时大量减少部 署的复杂度，并且可以对设备实现全面的配置管理、性能监控和日志审计。M9000系列还支持智能分流（IFF）:部署多业务插卡后，流量自动在多个 业务板卡内负载分担从而实现分布式处理，新的业务插卡加入后，流量会自动均 衡到新的插卡，全程无需人工干预。M9000 系列同时支持包过滤：通过在安全区域间使用标准或扩展访问控制规 则，借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外，还可以按 照时间段进行过滤。M9000 系列支持应

8、用层状态包过滤(ASPF)功能：通过检查应用层协议信 息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议)， 并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过多业务安全 网关或者是被丢弃。而特别值得一提的是，M9000系列通过SCF安全集群框架可支持最大4台 不同型号的M9000的多虚一能力扩展；此外，通过SOP可以使M9000虚拟 成多个独立的业务处理单元，灵活的虚拟化特性可以满足未来安全业务的弹性需 求，充分满足当前及未来用户安全防护应用的需求增长，在目前业内同类产品中 占据着领先位置。下面一起来详细了解一下：安全集群框架(SCF)，可全面突破机

9、框的限制，在简化管理和部署的基础上 同时实现了安全业务和安全性能的弹性扩展。同时支持异构集群，即M9006、 M9010和M9014可以相互进行集群，使集群系统更加的灵活和多样化。安全ONE平台(SOP),采用创新的基于容器的虚拟化技术实现了真正意义 上的虚拟防火墙：SOP之间实现了基于进程的真正相互隔离；并可通过统一的 OS内核可以对系统的静态及动态的资源进行细粒度的划分；与此同时，SOP数 量可以按照系统需求的变化动态调整；而SOP能力可以根据用户需求动态的进 行调整；此外，它还支持安全区域管理。可基于接口、VLAN划分安全区域。TOPH3CM9000系列支持IPv6和智能管理业界领先的I

10、Pv6H3CM9000 系列支持IPv6状态多业务安全网关，真正意义上实现IPv6条 件下的多业务安全网关功能；同时支持IPv4/IPv6双协议栈，并支持IPv6数据 报文转发、静态路由、动态路由及组播路由等功能。M9000 系列还支持IPv6各种过渡技术，包括NAT-PT、IPv6OverIPv4GRE 隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道、NAT444、 DS-Lite等。同时支持IPv6ACL、Radius等安全技术。专业的智能管理M9000 系列支持标准网管SNMPv3，并且兼容SNMPv1和v2 ；同时提供 了图形化界面，实现了简单易用的Web

11、管理；此外，它还可通过命令行界面进 行设备管理与多业务安全网关功能配置，满足专业管理和大批量配置需求。而通过H3CSecCenter安全管理中心，即可实现统一管理，集安全信息与事 件收集、分析、响应等功能为一体，解决了网络与安全设备相互孤立、网络安全 状况不直观、安全事件响应慢、网络故障定位困难等问题，使IT及安全管理员 脱离繁琐的管理工作，极大提高工作效率，能够集中精力关注核心业务。基于先进的深度挖掘及分析技术，采用主动收集、被动接收等方式，为用户 提供集中化的日志管理功能，并对不同类型格式（Syslog、二进制流日志等）的日志进行归一化处理。同时，采用高聚合压缩技术对海量事件进行存储，并可

12、 通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统， 避免重要安全事件的丢失。此外，M9000系列可提供丰富的报表，主要包括基于应用的报表、基于网流 的分析报表等；并且支持以PDF、HTML、WORD和TXT等多种格式输出；还 可通过Web界面进行报告定制，定制内容包括数据的时间范围、数据的来源设 备、生成周期以及输出类型等。典型组网应用M9000 系列产品是具备更高性能、更高密度、更高扩展性、更高可靠性以及 更易管理的多业务安全网关，主要面向40G至100G领域更具挑战性的应用场 景，重点适用于大型数据中心安全隔离防护、运营商CGNNAT及云计算多租 户安全防护等场景。

13、H3CSecPathM9000系列组网应用示意图双机状态热备技术，高可靠网络设计；具有强大的处理能力；丰富路由协议，实现安全与网络融合；具有强大的VPN加密处理能力；阻止恶意攻击，能够实现邮件、网页过滤；丰富路由协议，实现安全与网络融合。TOPH3CM9000系列多业务网关详细参数H3CSecPathM9000系列多业务安全网关包含三个产品型号，即M9006、M9010和M9014，三者的主要区别是业务板槽位数不同，其中M9006为4 个，M9010为8个，而且是竖式插槽，而M9014则拥有12个。曲M006MOIOM4014主校板懵位数222业务板橹位敦48 （竖式话槽）12夹换网板梧也数4

14、44冗余设计主控、交犊网饭、电源.凤扁主校交捕问梭、电源、FL启主怜、交树可彼、电源、时扇环础度工作；。SC匪工作：Y07（TG运行很丈路由模式、透明模柬、温氽模式AAA的Portal认证、RADIUS认证、HWTACACS认证、PKI /CA 乂509怡式）认证、域认证 CHAP短证、PA遂证多业务安全网关度康多龙分安全网关安全区修蜘司以饬郤Land、Smurf x Fraggle % Ping of Death . Tear Drop s IP spoofing. IP分片报文Rpg辨h ARP主劾反向宜询、TCP1汶标志位不含法超 3*ClCMP|E、地址扫插、谈口扫偷 SYN FlQQ

15、d. UPD Floods ICMP Flood、 DNS Fl。将多种恶意攻击其破和猝炭的访i研做J列襄坚科捐段的访1 翊湖列曩动态包过酒姑PF应用总报艾遍懑H态和动态里名单功祗NAC湘网隆功能基于mac的询可拴刮湫支捧802.1 QVLftN海倚NAT支特多个内前地姑映射到向一个公网地妣 支掩多个内部地附到多个公闷址 支挎内部魁1到公钩地址一一映射 支拼原JW和目的地址哪婚报支持外衲S主饥防间内部fig焚器 支推内部弛妣画电射到枪口公即眺抛 支挣DNS肘功废H3C M9000 系列详细参数H3C 新一代高端全分布式多业务安全网关SecPathM9000系列，拥有 领先的业务处理能力、电信级设备高可靠性、强大的安全防护功能、业界领先的 IPv6以及专业的智能管理等多项特性，单机处理能力达到400G，可提供全球领 先的高密度10G及40G接口（面向40G/100网络）；该系列同时加载了 ComwareV7平台，除提供防火墙功能外，还可以全面支持负载均衡、入侵防 御、网流分析、应用控制、VPN等其他专用安全业务板卡，在提供超高性能的 同时全面扩展安全防护的维度，旨在为用户提供更高安全防护服务。