H3C安全产品培训H3C安全产品培训
H3CH3C安全产品介绍安全产品介绍 日期:2012-3-9目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品3完善的安全产品线完善的安全产品线H3C H3C 防火墙防火墙/VPN/VPN系列系列网络层安全网络层安全专业抗DDoS产品F100-C系列F100-SF100-MF100-A系列V100-EF100-EU200-C系列U200-SU200-MU200-AF1000-S系列F1000-A系列F1000-E系列Secblade AFCF5000-A5H3C H3C 防火墙防火墙/VPN/VPN系列系列应用层安全应用层安全负载均衡产品Secblade LBT1000-ST1000-MT5000-S3T1000-CSecBlade IPST200-MT200-AT200-ST1000-AACG2000-MSecBlade ACGACG8800-S3安全管理安全管理安全管理中心SecCenterEADFW/IPS/UTM/ACG/AFC/IPS-D/iTAS Manager FW、SSL VPNF1000-C4网络层安全网络层安全5应用层安全应用层安全6目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品71.1.什么是防火墙?什么是防火墙?n防火墙:保护网络周边安全的关键设备,可以保护一个保护网络周边安全的关键设备,可以保护一个“信任信任”网络网络免受免受“非信任非信任”网络的攻击,但是同时还必须允许两个网络之间可以网络的攻击,但是同时还必须允许两个网络之间可以进行合法进行合法(符合安全策略)(符合安全策略)的通信。的通信。n 基本功能:网络隔离和访问控制防火墙防火墙交换机交换机受信区受信区域域不受信区域不受信区域DMZDMZ区区受信区域受信区域DMZDMZ区,区,可以访问可以访问POP3POP3和和SMTPSMTP服务服务DMZDMZ 受信区域,不受信区域,不可访问任何服务可访问任何服务不受信区域不受信区域DMZDMZ区,可以访问区,可以访问POP3POP3和和SMTPSMTP服务服务DMZDMZ 不受信区域,不受信区域,可以访问任何服务可以访问任何服务不受信区域和受信区不受信区域和受信区域之间不能互访域之间不能互访8百兆防火墙百兆防火墙-F100-F100系列系列F100-CF100-CF100-C-EIF100-C-EIF100-SF100-SF100-MF100-MF100-A-SIF100-A-SIF100-AF100-AF100-EF100-E型号型号F100-CF100-CF100-C-EIF100-C-EIF100-SF100-SF100-MF100-MF100-A-SIF100-A-SIF100-AF100-AF100-EF100-E吞吐量吞吐量20M20M40M40M80M80M150M150M185M185M200M200M400M400M并发连接数并发连接数50K50K150K150K250K250K400K400K500K500K500K500K500K500K新建连接新建连接5005005005001K1K3K3K3K3K3K3K10K10K固定接口固定接口1WAN+4LAN1WAN+4LAN1WAN+4LAN1WAN+4LAN4FE WAN4FE WAN3FE WAN3FE WAN2WAN+4LAN2WAN+4LAN3WAN+4LAN3WAN+4LAN4FE WAN4FE WAN插槽数插槽数0 00 00 01 11 11 11 1板卡类型板卡类型N/AN/AN/AN/AN/AN/A4FE/IPSec4FE/IPSec4FE/IPSec4FE/IPSec4FE/IPSec4FE/IPSec4FE/1G/24FE/1G/2G G光或电光或电SSL VPNSSL VPN不支持不支持不支持不支持不支持不支持SSL VPNSSL VPN卡卡SSL VPNSSL VPN卡卡SSL VPNSSL VPN卡卡SSL VPNSSL VPN卡卡防病毒卡防病毒卡不支持不支持不支持不支持不支持不支持ASMASM卡卡ASMASM卡卡ASMASM卡卡ASMASM卡卡9新一代百兆防火墙新一代百兆防火墙-U200-U200系列系列型号型号U200-SU200-SU200-MU200-MU200-AU200-AU200-CSU200-CSU200-CMU200-CMU200-CAU200-CA吞吐量吞吐量300M300M400M400M600M600M175M175M240M240M350M350M并发连接数并发连接数60K60K400K400K500K500K60K60K60K60K400K400K新建连接新建连接3K3K4K4K5K5K3K3K3K3K4K4K固定接口固定接口5GE5GE电电6 GE6 GE电电6GE6GE电电5GE5GE电电5GE5GE电电6 GE6 GE电电插槽数插槽数1 11 12 21 11 11 1板卡类型板卡类型2GE2GE电电2GE2GE电电/4GE/4GE光光2GE2GE电电/4GE/4GE光光2GE2GE电电2GE2GE电电2GE2GE电电/4GE/4GE光光SecPath U200-CMSecPath U200-CMSecPath U200-CASecPath U200-CASecPath U200-CSSecPath U200-CSSecPath U200-MSecPath U200-MSecPath U200-ASecPath U200-ASecPath U200-SSecPath U200-SNavigator 2-2(Navigator 2-2(中国电信定制中国电信定制)UTM UTM ManagerManager10千兆、准万兆防火墙千兆、准万兆防火墙型号型号F1000-C/F1000-F1000-C/F1000-S SF1000-S-EIF1000-S-EIF1000-A-SI/F1000-F1000-A-SI/F1000-A-EI/F1000-E-SIA-EI/F1000-E-SIF1000-EF1000-ESecBlade FWSecBlade FW吞吐量吞吐量850M/1G850M/1G1G1G1G/2G/4G1G/2G/4G6G6G10G10G并发连接数并发连接数100100万万100100万万200200万万200200万万200200万万新建连接新建连接1 1万万1.51.5万万1 1万万/3/3万万/6/6万万6 6万万6 6万万固定接口固定接口2GE2GE电电+2COMBO+2COMBO6GE6GE电电+4GE+4GE光光12*Combo12*Combo口口4COMBO4COMBON/AN/A插槽数插槽数2 21 12 22 2N/AN/A板卡类型板卡类型4FE/1GE4FE/1GE光光/1GE/1GE电电/2GE/2GE光光/2GE/2GE电电2GE2GE电电/4GE/4GE光光2GE2GE电电/4GE/4GE光光/2*10GE/2*10GE4GE4GE电电/4GE/4GE光光/8GE/8GE电电/1*10GE/1*10GE适用网络设备适用网络设备S12500/95E/75ES12500/95E/75E/SR88/SR66/58/SR88/SR66/58F1000-CF1000-CF1000-SF1000-SF1000-S-EIF1000-S-EIF1000-AF1000-AF1000-EF1000-ESecblade FWSecblade FWF1000-A-SIF1000-A-SIF1000-A-EIF1000-A-EIF1000-E-SIF1000-E-SI11超万兆防火墙超万兆防火墙F5000-A5F5000-A5产品规格产品规格整机规格整机规格l尺寸 标准7Ul插槽 1主控板+4业务板l业务接口 48GE/8*10GEl管理口 1GE+1CON+1AUXl热备口 1GE整机性能规格整机性能规格l吞吐量 40Gbpsl并发连接 400万l每秒新建连接20万l加密性能 2GbpslVPN隧道数 500012目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品132.2.什么是什么是VPNVPN?中心节点中心节点Site-to-SiteSite-to-Site分支机构ExtranetExtranet合作伙伴接入点接入点DSLDSLCableCable移动用户移动用户SOHOSOHO用户用户VPNVPNInternetInternetVPNVPN即虚拟专用网即虚拟专用网:通过组合数据封装和加密技术,实现私有数据通过公共网络平台进行安全传输,从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接,或者提供移动用户安全的通过公共网络平台接入内网。VPN协议包括:L2TP VPN、GRE VPN、IPSec VPN、MPLS VPN、SSL VPN等多种协议模式,其中IPSec和SSL VPN为主要应用协议,某些情况下需要组合多种协议。14SSL VPNSSL VPN网关网关F1000-CF1000-CF1000-SF1000-SF1000-S-EIF1000-S-EIF1000-AF1000-ASecblade SSLVPNSecblade SSLVPNF100-MF100-MF100-A-SIF100-A-SIF100-AF100-AF100-EF100-EV100-EV100-EU200-M/A/CAU200-M/A/CA 内置加密!内置加密!内置加密!内置加密!F1000-A-SI/F1000-A-EIF1000-A-SI/F1000-A-EI/F1000-E-SI/F1000-E-SI15目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品163.3.什么是什么是IPSIPS?包包头头协协议议数据内容数据内容nIPS定义:Intrusion Prevention System,入侵防御系统nIPS的两个关键特征:n 深入七层的数据流攻击特征检测(可检测蠕虫、基于Web的攻击、利用漏洞的攻击、网页篡改、木马、病毒、P2P滥用、DoS/DDoS等)n 在线部署,实时阻断攻击FW交换机IPSIPS内部网络内部网络nIPSIPS是目前业界最主流的应用层安全硬件产品是目前业界最主流的应用层安全硬件产品17全面安全防护:三库合一全面安全防护:三库合一 攻击库攻击库攻击库攻击库 协议库协议库协议库协议库 病毒库病毒库病毒库病毒库综合防御综合防御H3C IPSH3C IPS:三库合一实现全面攻击:三库合一实现全面攻击防御防御更有效地防御混合型威胁更有效地防御混合型威胁切合新型攻击手法的发展趋势切合新型攻击手法的发展趋势提高防御精度和效率提高防御精度和效率创新技术带来的价值:创新技术带来的价值:我是谁?病毒、木马、蠕虫、恶意我是谁?病毒、木马、蠕虫、恶意代码、后门、黑客程序、垃圾邮件、代码、后门、黑客程序、垃圾邮件、钓鱼、间谍软件钓鱼、间谍软件 18H3C IPSH3C IPS产品系列产品系列SecPath T5000-S3SecPath T5000-S3SecPathSecPath T1000-AT1000-ASecPath T1000-MSecPath T1000-MSecPath T1000-SSecPath T1000-SSecPathSecPath T200-AT200-ASecPathSecPath T200-ST200-SSecBalde IPSSecBalde IPS超万兆超万兆IPSIPS+SecPathSecPath T200-MT200-MSecPath T1000-CSecPath T1000-C19目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品203.3.什么是什么是ACGACG?nACG定义:Application Control Gateway,应用控制网关nACG关键特征:n能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制,保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,进而帮助用户全面了解网络应用模型和流量趋势,优化其带宽资源,开展各项业务提供有力的支撑。FW交换机ACGACG内部网络内部网络21ACG8800-S3ACG8800-S3最大并发会话数2M整机处理能力4 GbpsSecBlade ACG For S75E/S95ESecBlade ACG For S75E/S95E最大并发会话数1M整机处理能力2 GbpsACG2000-MACG2000-M最大并发会话数1M整机处理能力2 GbpsH3C ACG H3C ACG 产品系列产品系列SecCenter/ACG SecCenter/ACG ManagerManager22园区网出口流量控制最佳部署方案园区网出口流量控制最佳部署方案u背景:背景:大型园区网,一般均有多个Internet出口、内网有Radius等认证系统,庞大的网络势必充斥着异常复杂的流量,出口流量拥挤现象屡次发生。u 优势:优势:易部署:业务接口业内最多,利于支持多路出口统一监管,未来易扩容;透明部署、不影响网络拓扑 基于“人”的流量管理:支持与标准Radius/LDAP等联动,避免动态IP地址难以定位用户的问题 高性能、高可靠性在防火墙下行在线透明部署在防火墙下行在线透明部署ACGACG设备,实现对网络、业务、设备,实现对网络、业务、用户用户/服务器的流量控制服务器的流量控制在管理区部署在管理区部署ACG ACG ManagerManager平台,实现平台,实现对应用流量的监管对应用流量的监管23目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品244 4.什么是负载均衡什么是负载均衡n负载均衡从场景上分为服务器负载均衡和链路负载均衡负载均衡从场景上分为服务器负载均衡和链路负载均衡n服务器负载均衡又可从应用上分为服务器负载均衡又可从应用上分为L4 L4 负载均衡和负载均衡和L7 L7 负载均衡负载均衡L4 负载均衡是指根据IP地址及端口号等信息进行分流L7负载均衡需要根据HTTP头内容(URL、HOST)等信息进行细粒度分流,比L4更加精细25H3C H3C 负载均衡交换机系列负载均衡交换机系列负载均衡负载均衡交换机交换机H3C S9500E系列H3C S7500E系列H3C S12500系列LB插卡种类插卡种类LB for S75ELB for S95ELB for S1250026用户InternetH3CH3C负载均衡交换负载均衡交换机机静态HTTP内容服务器动态内容服务器H3CH3C负载均衡交换机支持下述七层负载均衡功能:负载均衡交换机支持下述七层负载均衡功能:TTP Request-URLHTTP HostHTTP User-Agent静态GIF内容服务器GET/index.htmlGET/images/logo.gifGET/logon/logon.aspPOST/cgi-bin/update.cgi高可用性高可用性 服务器七层负载均衡服务器七层负载均衡HTTP Accept-EncodingHTTP Cookie HTTP Accept-Language27高可用性高可用性 链路负载均衡链路负载均衡ISP1ISP31234561 12 26 65 5ISP23 34 4LBH3C的链路负载均衡设备,通过静态表项匹配及动态链路检测,对多条链路状态进行实时的探测和监控,确保流量以最合理及快速的方式分发到不同链路上,,实现业务的高效传输。28目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品293.3.什么什么是是AFCAFC?AFC(Auto Flow Control):自动流控制。H3C AFC异常流量清洗产品推出的专业防御分布式拒绝服务(DDoS)攻击的产品,包含:AFC-D异常流量检测模块、AFC-G异常流量清洗模块以及异常流量清洗业务管理系统。H3C流量清洗产品采用业界领先的“智能化流量模型”、“基于用户行为的单向防御”等技术,能够及时发现网络中的各种DDoS威胁并实现对攻击流量的快速过滤,从而有效保护城域网、IDC等免遭海量DDoS攻击。在提供安全加固的同时,提升了带宽利用效率。30拒绝服务攻击(Denial of Service,DoS)是一种最悠久也是最常见的攻击形式。使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。出于商业竞争、打击报复和网络敲诈等多种因素,导致很多托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰,服务器宕机,业务中断网络瘫痪,大面积断网随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。31AFD检测模块AFC清洗模块 异常流量清洗模块异常流量清洗模块 异常流量检测模块异常流量检测模块S7500ES7500E系列交换机系列交换机流量清洗业务管理系统软件业务管理平台业务管理平台可应用于S75E。单模块2G检测能力,最大可扩展到20GAFCAFC异常流量清洗系统异常流量清洗系统可应用于S75E。单模块2G清洗能力,最大可扩展到20G32流量清洗典型部署流量清洗典型部署hackInternetInternetInternetInternet接入路由器内网核心内网核心 SwitchSwitch僵尸网络僵尸网络对外业务服务器群对外业务服务器群AFC检测防御一体化部署流量清洗部署在流量清洗部署在internetinternet出口路由器侧出口路由器侧,旁路检测全部流量旁路检测全部流量,攻击发现后引流进行,攻击发现后引流进行清洗清洗为了简易化部署,可以基于统一的交换平台,将检测插卡和防御插卡同时部署在该为了简易化部署,可以基于统一的交换平台,将检测插卡和防御插卡同时部署在该平台上平台上对外业务服务器群对外业务服务器群对外业务服务器群对外业务服务器群33典型案例典型案例淘宝网淘宝网IDC(Internet Data Center)Core Router Core RouterSearch、Shop、List Core Switch Core Switch H3C S12508 H3C S12508 Core Switch Core Switch H3C S12508 H3C S12508TFS SeeverApp、DB清洗中心清洗中心AFC 业务管理平台业务管理平台流量清洗中心流量清洗中心用户需求:用户需求:n需要对访问数据中心的所有流量进行监控,杜绝DDoS攻击,确保正常网上交易不受影响。部署模式部署模式n在IDC出口路由器侧旁挂AFC流量检测和清洗设备。一起处理能力为2G,并支持平滑扩容。实现效果实现效果n通过对出口DDoS攻击的实时检测和清洗,帮助用户实现了7*24小时向全球提供网上贸易实时服务的需要。
收藏
编号:216854251
类型:共享资源
大小:3.11MB
格式:PPT
上传时间:2023-06-08
10
积分
- 关 键 词:
-
H3C
安全产品
培训
- 资源描述:
-
H3CH3C安全产品介绍安全产品介绍 日期:2012-3-9目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品3完善的安全产品线完善的安全产品线H3C H3C 防火墙防火墙/VPN/VPN系列系列网络层安全网络层安全专业抗DDoS产品F100-C系列F100-SF100-MF100-A系列V100-EF100-EU200-C系列U200-SU200-MU200-AF1000-S系列F1000-A系列F1000-E系列Secblade AFCF5000-A5H3C H3C 防火墙防火墙/VPN/VPN系列系列应用层安全应用层安全负载均衡产品Secblade LBT1000-ST1000-MT5000-S3T1000-CSecBlade IPST200-MT200-AT200-ST1000-AACG2000-MSecBlade ACGACG8800-S3安全管理安全管理安全管理中心SecCenterEADFW/IPS/UTM/ACG/AFC/IPS-D/iTAS Manager FW、SSL VPNF1000-C4网络层安全网络层安全5应用层安全应用层安全6目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品71.1.什么是防火墙?什么是防火墙?n防火墙:保护网络周边安全的关键设备,可以保护一个保护网络周边安全的关键设备,可以保护一个“信任信任”网络网络免受免受“非信任非信任”网络的攻击,但是同时还必须允许两个网络之间可以网络的攻击,但是同时还必须允许两个网络之间可以进行合法进行合法(符合安全策略)(符合安全策略)的通信。的通信。n 基本功能:网络隔离和访问控制防火墙防火墙交换机交换机受信区受信区域域不受信区域不受信区域DMZDMZ区区受信区域受信区域DMZDMZ区,区,可以访问可以访问POP3POP3和和SMTPSMTP服务服务DMZDMZ 受信区域,不受信区域,不可访问任何服务可访问任何服务不受信区域不受信区域DMZDMZ区,可以访问区,可以访问POP3POP3和和SMTPSMTP服务服务DMZDMZ 不受信区域,不受信区域,可以访问任何服务可以访问任何服务不受信区域和受信区不受信区域和受信区域之间不能互访域之间不能互访8百兆防火墙百兆防火墙-F100-F100系列系列F100-CF100-CF100-C-EIF100-C-EIF100-SF100-SF100-MF100-MF100-A-SIF100-A-SIF100-AF100-AF100-EF100-E型号型号F100-CF100-CF100-C-EIF100-C-EIF100-SF100-SF100-MF100-MF100-A-SIF100-A-SIF100-AF100-AF100-EF100-E吞吐量吞吐量20M20M40M40M80M80M150M150M185M185M200M200M400M400M并发连接数并发连接数50K50K150K150K250K250K400K400K500K500K500K500K500K500K新建连接新建连接5005005005001K1K3K3K3K3K3K3K10K10K固定接口固定接口1WAN+4LAN1WAN+4LAN1WAN+4LAN1WAN+4LAN4FE WAN4FE WAN3FE WAN3FE WAN2WAN+4LAN2WAN+4LAN3WAN+4LAN3WAN+4LAN4FE WAN4FE WAN插槽数插槽数0 00 00 01 11 11 11 1板卡类型板卡类型N/AN/AN/AN/AN/AN/A4FE/IPSec4FE/IPSec4FE/IPSec4FE/IPSec4FE/IPSec4FE/IPSec4FE/1G/24FE/1G/2G G光或电光或电SSL VPNSSL VPN不支持不支持不支持不支持不支持不支持SSL VPNSSL VPN卡卡SSL VPNSSL VPN卡卡SSL VPNSSL VPN卡卡SSL VPNSSL VPN卡卡防病毒卡防病毒卡不支持不支持不支持不支持不支持不支持ASMASM卡卡ASMASM卡卡ASMASM卡卡ASMASM卡卡9新一代百兆防火墙新一代百兆防火墙-U200-U200系列系列型号型号U200-SU200-SU200-MU200-MU200-AU200-AU200-CSU200-CSU200-CMU200-CMU200-CAU200-CA吞吐量吞吐量300M300M400M400M600M600M175M175M240M240M350M350M并发连接数并发连接数60K60K400K400K500K500K60K60K60K60K400K400K新建连接新建连接3K3K4K4K5K5K3K3K3K3K4K4K固定接口固定接口5GE5GE电电6 GE6 GE电电6GE6GE电电5GE5GE电电5GE5GE电电6 GE6 GE电电插槽数插槽数1 11 12 21 11 11 1板卡类型板卡类型2GE2GE电电2GE2GE电电/4GE/4GE光光2GE2GE电电/4GE/4GE光光2GE2GE电电2GE2GE电电2GE2GE电电/4GE/4GE光光SecPath U200-CMSecPath U200-CMSecPath U200-CASecPath U200-CASecPath U200-CSSecPath U200-CSSecPath U200-MSecPath U200-MSecPath U200-ASecPath U200-ASecPath U200-SSecPath U200-SNavigator 2-2(Navigator 2-2(中国电信定制中国电信定制)UTM UTM ManagerManager10千兆、准万兆防火墙千兆、准万兆防火墙型号型号F1000-C/F1000-F1000-C/F1000-S SF1000-S-EIF1000-S-EIF1000-A-SI/F1000-F1000-A-SI/F1000-A-EI/F1000-E-SIA-EI/F1000-E-SIF1000-EF1000-ESecBlade FWSecBlade FW吞吐量吞吐量850M/1G850M/1G1G1G1G/2G/4G1G/2G/4G6G6G10G10G并发连接数并发连接数100100万万100100万万200200万万200200万万200200万万新建连接新建连接1 1万万1.51.5万万1 1万万/3/3万万/6/6万万6 6万万6 6万万固定接口固定接口2GE2GE电电+2COMBO+2COMBO6GE6GE电电+4GE+4GE光光12*Combo12*Combo口口4COMBO4COMBON/AN/A插槽数插槽数2 21 12 22 2N/AN/A板卡类型板卡类型4FE/1GE4FE/1GE光光/1GE/1GE电电/2GE/2GE光光/2GE/2GE电电2GE2GE电电/4GE/4GE光光2GE2GE电电/4GE/4GE光光/2*10GE/2*10GE4GE4GE电电/4GE/4GE光光/8GE/8GE电电/1*10GE/1*10GE适用网络设备适用网络设备S12500/95E/75ES12500/95E/75E/SR88/SR66/58/SR88/SR66/58F1000-CF1000-CF1000-SF1000-SF1000-S-EIF1000-S-EIF1000-AF1000-AF1000-EF1000-ESecblade FWSecblade FWF1000-A-SIF1000-A-SIF1000-A-EIF1000-A-EIF1000-E-SIF1000-E-SI11超万兆防火墙超万兆防火墙F5000-A5F5000-A5产品规格产品规格整机规格整机规格l尺寸 标准7Ul插槽 1主控板+4业务板l业务接口 48GE/8*10GEl管理口 1GE+1CON+1AUXl热备口 1GE整机性能规格整机性能规格l吞吐量 40Gbpsl并发连接 400万l每秒新建连接20万l加密性能 2GbpslVPN隧道数 500012目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品132.2.什么是什么是VPNVPN?中心节点中心节点Site-to-SiteSite-to-Site分支机构ExtranetExtranet合作伙伴接入点接入点DSLDSLCableCable移动用户移动用户SOHOSOHO用户用户VPNVPNInternetInternetVPNVPN即虚拟专用网即虚拟专用网:通过组合数据封装和加密技术,实现私有数据通过公共网络平台进行安全传输,从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接,或者提供移动用户安全的通过公共网络平台接入内网。VPN协议包括:L2TP VPN、GRE VPN、IPSec VPN、MPLS VPN、SSL VPN等多种协议模式,其中IPSec和SSL VPN为主要应用协议,某些情况下需要组合多种协议。14SSL VPNSSL VPN网关网关F1000-CF1000-CF1000-SF1000-SF1000-S-EIF1000-S-EIF1000-AF1000-ASecblade SSLVPNSecblade SSLVPNF100-MF100-MF100-A-SIF100-A-SIF100-AF100-AF100-EF100-EV100-EV100-EU200-M/A/CAU200-M/A/CA 内置加密!内置加密!内置加密!内置加密!F1000-A-SI/F1000-A-EIF1000-A-SI/F1000-A-EI/F1000-E-SI/F1000-E-SI15目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品163.3.什么是什么是IPSIPS?包包头头协协议议数据内容数据内容nIPS定义:Intrusion Prevention System,入侵防御系统nIPS的两个关键特征:n 深入七层的数据流攻击特征检测(可检测蠕虫、基于Web的攻击、利用漏洞的攻击、网页篡改、木马、病毒、P2P滥用、DoS/DDoS等)n 在线部署,实时阻断攻击FW交换机IPSIPS内部网络内部网络nIPSIPS是目前业界最主流的应用层安全硬件产品是目前业界最主流的应用层安全硬件产品17全面安全防护:三库合一全面安全防护:三库合一 攻击库攻击库攻击库攻击库 协议库协议库协议库协议库 病毒库病毒库病毒库病毒库综合防御综合防御H3C IPSH3C IPS:三库合一实现全面攻击:三库合一实现全面攻击防御防御更有效地防御混合型威胁更有效地防御混合型威胁切合新型攻击手法的发展趋势切合新型攻击手法的发展趋势提高防御精度和效率提高防御精度和效率创新技术带来的价值:创新技术带来的价值:我是谁?病毒、木马、蠕虫、恶意我是谁?病毒、木马、蠕虫、恶意代码、后门、黑客程序、垃圾邮件、代码、后门、黑客程序、垃圾邮件、钓鱼、间谍软件钓鱼、间谍软件 18H3C IPSH3C IPS产品系列产品系列SecPath T5000-S3SecPath T5000-S3SecPathSecPath T1000-AT1000-ASecPath T1000-MSecPath T1000-MSecPath T1000-SSecPath T1000-SSecPathSecPath T200-AT200-ASecPathSecPath T200-ST200-SSecBalde IPSSecBalde IPS超万兆超万兆IPSIPS+SecPathSecPath T200-MT200-MSecPath T1000-CSecPath T1000-C19目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品203.3.什么是什么是ACGACG?nACG定义:Application Control Gateway,应用控制网关nACG关键特征:n能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制,保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,进而帮助用户全面了解网络应用模型和流量趋势,优化其带宽资源,开展各项业务提供有力的支撑。FW交换机ACGACG内部网络内部网络21ACG8800-S3ACG8800-S3最大并发会话数2M整机处理能力4 GbpsSecBlade ACG For S75E/S95ESecBlade ACG For S75E/S95E最大并发会话数1M整机处理能力2 GbpsACG2000-MACG2000-M最大并发会话数1M整机处理能力2 GbpsH3C ACG H3C ACG 产品系列产品系列SecCenter/ACG SecCenter/ACG ManagerManager22园区网出口流量控制最佳部署方案园区网出口流量控制最佳部署方案u背景:背景:大型园区网,一般均有多个Internet出口、内网有Radius等认证系统,庞大的网络势必充斥着异常复杂的流量,出口流量拥挤现象屡次发生。u 优势:优势:易部署:业务接口业内最多,利于支持多路出口统一监管,未来易扩容;透明部署、不影响网络拓扑 基于“人”的流量管理:支持与标准Radius/LDAP等联动,避免动态IP地址难以定位用户的问题 高性能、高可靠性在防火墙下行在线透明部署在防火墙下行在线透明部署ACGACG设备,实现对网络、业务、设备,实现对网络、业务、用户用户/服务器的流量控制服务器的流量控制在管理区部署在管理区部署ACG ACG ManagerManager平台,实现平台,实现对应用流量的监管对应用流量的监管23目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品244 4.什么是负载均衡什么是负载均衡n负载均衡从场景上分为服务器负载均衡和链路负载均衡负载均衡从场景上分为服务器负载均衡和链路负载均衡n服务器负载均衡又可从应用上分为服务器负载均衡又可从应用上分为L4 L4 负载均衡和负载均衡和L7 L7 负载均衡负载均衡L4 负载均衡是指根据IP地址及端口号等信息进行分流L7负载均衡需要根据HTTP头内容(URL、HOST)等信息进行细粒度分流,比L4更加精细25H3C H3C 负载均衡交换机系列负载均衡交换机系列负载均衡负载均衡交换机交换机H3C S9500E系列H3C S7500E系列H3C S12500系列LB插卡种类插卡种类LB for S75ELB for S95ELB for S1250026用户InternetH3CH3C负载均衡交换负载均衡交换机机静态HTTP内容服务器动态内容服务器H3CH3C负载均衡交换机支持下述七层负载均衡功能:负载均衡交换机支持下述七层负载均衡功能:TTP Request-URLHTTP HostHTTP User-Agent静态GIF内容服务器GET/index.htmlGET/images/logo.gifGET/logon/logon.aspPOST/cgi-bin/update.cgi高可用性高可用性 服务器七层负载均衡服务器七层负载均衡HTTP Accept-EncodingHTTP Cookie HTTP Accept-Language27高可用性高可用性 链路负载均衡链路负载均衡ISP1ISP31234561 12 26 65 5ISP23 34 4LBH3C的链路负载均衡设备,通过静态表项匹配及动态链路检测,对多条链路状态进行实时的探测和监控,确保流量以最合理及快速的方式分发到不同链路上,,实现业务的高效传输。28目录目录nH3C H3C 安全产品全家福安全产品全家福nH3CH3C防火墙产品防火墙产品nH3C VPNH3C VPN产品产品nH3C IPSH3C IPS产品产品nH3C ACGH3C ACG产品产品nH3CH3C负载均衡产品负载均衡产品nH3CH3C流量清洗产品流量清洗产品293.3.什么什么是是AFCAFC?AFC(Auto Flow Control):自动流控制。H3C AFC异常流量清洗产品推出的专业防御分布式拒绝服务(DDoS)攻击的产品,包含:AFC-D异常流量检测模块、AFC-G异常流量清洗模块以及异常流量清洗业务管理系统。H3C流量清洗产品采用业界领先的“智能化流量模型”、“基于用户行为的单向防御”等技术,能够及时发现网络中的各种DDoS威胁并实现对攻击流量的快速过滤,从而有效保护城域网、IDC等免遭海量DDoS攻击。在提供安全加固的同时,提升了带宽利用效率。30拒绝服务攻击(Denial of Service,DoS)是一种最悠久也是最常见的攻击形式。使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。出于商业竞争、打击报复和网络敲诈等多种因素,导致很多托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰,服务器宕机,业务中断网络瘫痪,大面积断网随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。31AFD检测模块AFC清洗模块 异常流量清洗模块异常流量清洗模块 异常流量检测模块异常流量检测模块S7500ES7500E系列交换机系列交换机流量清洗业务管理系统软件业务管理平台业务管理平台可应用于S75E。单模块2G检测能力,最大可扩展到20GAFCAFC异常流量清洗系统异常流量清洗系统可应用于S75E。单模块2G清洗能力,最大可扩展到20G32流量清洗典型部署流量清洗典型部署hackInternetInternetInternetInternet接入路由器内网核心内网核心 SwitchSwitch僵尸网络僵尸网络对外业务服务器群对外业务服务器群AFC检测防御一体化部署流量清洗部署在流量清洗部署在internetinternet出口路由器侧出口路由器侧,旁路检测全部流量旁路检测全部流量,攻击发现后引流进行,攻击发现后引流进行清洗清洗为了简易化部署,可以基于统一的交换平台,将检测插卡和防御插卡同时部署在该为了简易化部署,可以基于统一的交换平台,将检测插卡和防御插卡同时部署在该平台上平台上对外业务服务器群对外业务服务器群对外业务服务器群对外业务服务器群33典型案例典型案例淘宝网淘宝网IDC(Internet Data Center)Core Router Core RouterSearch、Shop、List Core Switch Core Switch H3C S12508 H3C S12508 Core Switch Core Switch H3C S12508 H3C S12508TFS SeeverApp、DB清洗中心清洗中心AFC 业务管理平台业务管理平台流量清洗中心流量清洗中心用户需求:用户需求:n需要对访问数据中心的所有流量进行监控,杜绝DDoS攻击,确保正常网上交易不受影响。部署模式部署模式n在IDC出口路由器侧旁挂AFC流量检测和清洗设备。一起处理能力为2G,并支持平滑扩容。实现效果实现效果n通过对出口DDoS攻击的实时检测和清洗,帮助用户实现了7*24小时向全球提供网上贸易实时服务的需要。
展开阅读全文
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
装配图网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。