详解SecPath防火墙体系结构 | 必读!
SecPath防火墙家族成员
描述了H3C SecPath防火墙家族产品型号、应用范围和价值关系:
伴随着企业和公司的不断扩张和网络技术的深入普及,网络***行为出现的越来越频繁了。通过各种***软件,只要具有一般计算机知识的初学者也能完成对网络的***。各种网络病毒的泛滥,也加剧了网络被***的危险。对于内网防范,更是当今网络安全的主流。
H3C SecPath系列防火墙设备(以下简称防火墙)是H3C公司面向企业用户开发的新一代专业防火墙设备,既可以作为中小企业的核心防火墙,也可以作为企业的汇聚及接入防火墙设备。SecPath F1000-E/F1000-A/F100-E/F100-A/F100-C提供完善的安全防范体系,可以提供安全访问限制/内网安全防范措施。
H3C SecPath 系列防火墙是指:
SecPath F1000-E
SecPath F1000-A
SecPath F1000-S
SecPath F1000-M
SecPath F100-E
SecPath F100-A
SecPath F100-A-S
SecPath F100-M
SecPath F100-S
SecPath F100-C
SecBlade防火墙插卡
等11个型号的防火墙产品。产品的划分主要依据应用场合的不同,价值也不同。
请读者仔细学习以下设备的主要技术参数及其设备之间的主要差别,以便在具体应用中做到选型正确。
SecPath F1000-E防火墙
H3C SecPath F1000-E防火墙设备,全方位为大中型企业网络的安全提供了高性价比的解决方案。
主要技术参数:
采用业界主流的多核处理器技术,提供8核CPU,每核4线程,总共32线程的处理能力;
安全部分采用高性能网络处理器进行硬件处理,提供了强大的安全防范、业务加速能力。
支持10GE接口/最大支持20个GE;
具备交换机级别的延时;
每秒钟新建5W的连接;
1 Gbps的Ddos防护性能;
2 Gbpsd的IPSec加密性能;
10 Gbps 防火墙吞吐率 (见注1)
100W并发连接,每秒钟新建5W连接;
注1:吞吐量(Throughput)——设备在一定时间内(一般120秒),不丢帧情况下转发某一帧长数据所能达到的最大速率。(请注意是不丢帧情况下,这是与转发率以及最大转发率最本质的区别。)
SecPath F1000-A防火墙
H3C SecPath F1000-A防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备,可以作为中小型企业的出口防火墙设备,也可以作为大中型企业的内部防火墙设备使用。
主要技术参数:
采用64位的微处理器技术,使用主频800MHZ的MIPS CPU,并使用内部集成GMII控制器技术提高报文处理速率;
16M FLASH、512M内存(可扩到1G);
提供2个固定的10、100、1000M的自适应GE接口,支持光口和电口;
内置Ipsec硬件加密卡;内置HT硬件加密卡
提供一个MIM扩展槽位,目前可选的接口模块为1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七种(注:HDC软件功能暂时不支持)。
提供双电源冗余备份解决方案(AC+DC\DC+DC两种机型);
提供机箱内部环境温度检测功能;
支持网管和Web配置管理;
3DES加密性能可达400Mbps(1400bytes);
吞吐量2Gbps ;
可满足电信级产品的高可靠性要求。
SecPath F1000-S防火墙
H3C SecPath F1000-S防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备,可以作为中小型企业的出口防火墙设备,也可以作为大中型企业的内部防火墙设备使用。
主要技术参数:
采用64位的微处理器技术,使用主频800MHZ的MIPS CPU,并使用内部集成GMII控制器技术提高报文处理速率;
16M FLASH、512M内存(可扩到1G);
提供4个固定的10、100、1000M的自适应GE接口,2个即支持光口又支持电口,其余2个仅支持电口;比
内置Ipsec硬件加密卡;内置HT硬件加密卡
提供2个MIM扩展槽位,目前可选的接口模块为1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七种(注:HDC软件功能暂时不支持)。
提供双电源冗余备份解决方案(AC+DC\DC+DC两种机型);
提供机箱内部环境温度检测功能;
支持网管和Web配置管理;
3DES加密性能可达300Mbps(1400bytes);
吞吐量1.5Gbps ;
可满足电信级产品的高可靠性要求。
F1000-A和F1000-S防火墙的主要差别:
F1000-A防火墙 |
F1000-S防火墙 |
2个固定10、100、1000M的自适应GE接口 |
4个固定10、100、1000M的自适应GE接口 |
1个MIM扩展槽位 |
2个MIM扩展槽位 |
400Mbps(1400bytes)3DES加密性能 |
300Mbps(1400bytes)3DES加密性能 |
2Gbps吞吐量 |
1.5Gbps吞吐量 |
SecPath F100-A防火墙
H3C SecPath F100-A防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备,可以作为中小型企业的出口防火墙设备,也可以作为中型企业的内部防火墙设备使用。
主要技术参数:
32位的微处理器技术;
16M FLASH 256M内存
4个固定的10、100M自适应FE口作为局域网口;
3个固定的10、100M自适应FE口作为广域网口;
1个MIM扩展槽位;可选接口模块1FE/2FE/4FE/NDECII(加密卡)/HDC(软件功能不支持);
60Mbps(1400bytes)3DES加密性能(使用硬件加密卡)
300Mbps吞吐量;
SecPath F100-C防火墙
H3C SecPath F100-C防火墙设备是H3C面向家庭办公、小型办公室开发的防火墙设备。
其主要技术参数:
采用MPC的微处理技术,并且自带硬件加密卡。
8M FLASH 64M 内存
4个固定的10、100M自适应FE口作为局域网口;
1个固定的10、100M自适应FE口作为广域网口;
20Mbps吞吐量
F100-A和F100-C防火墙的主要差别:
F100-A防火墙 |
F100-C防火墙 |
32位的微处理器技术; |
MPC的微处理技术,并且自带硬件加密卡。 |
16M FLASH 256M内存 |
8M FLASH 64M 内存 |
4个固定10/100自适应FE口作为局域网口 |
4个固定10/100自适应FE口作为局域网口 |
3个固定10/100自适应FE口作为广域网口 |
1个固定10/100自适应FE口作为广域网口 |
1个MIM扩展槽位; |
无 |
60Mbps(1400bytes)3DES加密性能(使用硬件加密卡) |
?3DES加密性能(自带硬件加密卡) |
300Mbps吞吐量 |
20Mbps吞吐量 |
SecPath防火墙业务特性
防火墙主要业务特性
防火墙支持多种***防范手段、Tcp proxy、内网安全、流量监控、网址过滤、网页过滤、邮件过滤等功能,能够有效的保证网络的安全。
防火墙采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成动态包过滤。
防火墙提供多种智能分析和管理手段,支持邮件警告,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理。
防火墙支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络。
防火墙支持多种***业务,如L2TP *** 、IPSec *** 、SSL ***、GRE ***、或动态***等,并且支持硬件加密,可以针对客户需求通过ADSL拨号、VLAN或隧道等方式接入远端用户,构建Internet 、 Intranet、Remote Access 等多种形式的***。
防火墙支持通过BIMS功能自动更新设备的配置文件及应用程序,支持通过*** Manager功能来完成***的部署和配置。
防火墙提供基本的路由器能力,支持RIP/OSPF/BGP路由策略及策略路由;支持丰富的Qos特性,提供流量监管、流量整形及多种队列调度策略。
防火墙主要功能
支持包过滤技术。支持基于接口的访问控制列表,基于时间的访问控制列表。借助报文优先级、TOS、UDP、或TCP端口等信息作为过滤参数,通过在接口输入或输出方向上使用标准或扩展访问控制规则,可以实现对数据包的过滤。同时,还可以按照时间段进行过滤。
支持应用层报文过滤ASPF(Application Specific Packet Filter),也称为状态防火墙,它检测应用层协议(如FTP、HTTP、SMTP、H.323、RTSP等协议及其它基于TCP/UDP协议的应用层协议)并且监控基于连接的应用层协议状态,维护每一个连接的状态信息,支持ActiveX的过滤功能,并动态地决定数据包是否被允许通过防火墙或者被丢弃。
提供多种***防范技术,包括针对Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood 、ICMP Flood、ARP Flood、ARP欺骗***的防范,提供ARP主动反向查询、TCP报文标志不合法***防范、超大ICMP报文***防范、地址/端口扫描的防范、Dos/DDOS***防范、ICMP重定向或不可达报文控制功能、MAC地址和IP地址绑定功能。支持透明防火墙。支持反向路由检查功能。
内容和邮件过滤
支持业务邮件过滤,提供SMTP邮件过滤、SMTP邮件标题过滤、SMTP邮件内容过滤和SMTP邮件附件过滤,支持SQL/Java Applet/ActiveX过滤。支持网页过滤,提供HTTP URL过滤、HTTP内容过滤。支持反向路由检测等功能。
监控功能
防火墙提供了强大的监控功能,主要通过监视防火墙自身提供的各种系统日志,统计、分析和告警,最终来实现控制防火墙的目的:
图中形象地描述了防火墙如何提供将日志给管理员的。
防火墙提供的日志信息和功能如下:
1、各种日志:
***实时日志、黑名单日志、地址绑定日志、流量警告日志、会话日志、二进制格式日志和NAT等日志。这些日志能够有效的记录网络情况,从而为网络管理人员分析网络状况,防范网络***提供依据。
2、流量统计和分析功能:
通过流量统计和分析可以及时发现***和网络蠕虫病毒产生的异常流量。网络管理员可以使用防火墙预先定义的流量分析模型,也可以自己定义各种协议流量的比例,连接速率阈值等参数,形成适合当前网络的分析模型、
3、各种事件监控和统计功能:
包括全局/基于安全域连接速率监控、全局/基于安全域协议报文比例监控和安全事件统计功能。这些监控统计功能可以有效的提供针对各种***情况、异常情况提供有效的分析数据。
4、邮件告警功能:
包括E-mail邮件的实时告警、E-mail邮件定期信息发布。告警邮件中包含有***日志和详细的网络流量分析结果,可以供管理员进行网络优化。告警邮件的发送使用两种方式:一种是实时发送,一旦检测到***行为,立即发送邮件到指定的邮件地址;另外一种是在指定的时间定期发送告警邮件到达指定的邮件地址。
多种配置方式
H3C SecPath 防火墙还支持web配置接口,以区别于命令行接口,方便图像化配置和管理。
图是WEB图形化的屏幕截图,
配置和管理包括如下功能:
系统管理:系统资源管理、设备重启,系统软件的升级,配置信息文件的浏览、保存、下载和上传;
用户配置;
接口管理;
静态路由,域名服务支持;
IPSec配置;
支持防火墙:***防范,ACL,黑名单,安全区域,IP/MAC地址绑定;
支持邮件过滤:地址过滤,内容过滤,邮件过滤,主题过滤;
日志监控:流量统计,日志管理;
业务管理:NAT管理,DHCP管理,SNMP管理;
常用工具支持(包括Ping,Tracert等);
帮助信息;
注销身份。
SecPath系列防火墙的典型应用
应用1---企业出口防火墙应用
图给出了典型企业防火墙的应用方案,该方案使用H3C SecPath 系列防火墙提供强大的过滤功能,提供优秀的管理功能,部署在内部网络的出口,防范来自外部网络的各种***。
该方案实现了通过报文检测并阻止非法***。提供多种***防范技术。支持黑名单过滤。MAC地址过滤。帧过滤。支持TCP代理。支持通明防火墙,ASPF状态防火墙。阻止恶意***,能够实现邮件、网页过滤。支持流量监控。支持详尽的日志,支持***告警。具有强大的处理能力,能够充分发挥带宽优势。支持NAT,支持多种ALG。
应用2---中小企业防火墙结合***功能应用
图给出了典型中小企业防火墙结合***的应用,该方案使用H3C SecPath F1000-S防火墙。不但提供强大的过滤功能,并且具有强大的***功能,使用SecPath F1000-S防火墙,即可以保护内部网络的安全,也可以满足分支以及移动办公访问公司本部资源的需求。
该方案实现了阻止恶意***,能够实现邮件、网页过滤。支持流量监控。支持详尽的日志,支持***警告。基于用户接入控制,对用户流量进行过滤。远程办公人员使用动态密码认证,保证用户的唯一性,解决移动用户安全问题。支持D***、L2TP、GRE、IPSEC组网应用。支持BIMS和*** Mannger。
应用3--- soho防火墙结合***功能应用
图给出了典型soho防火墙结合***功能应用,该方案使用H3C SecPath F100-C防火墙,具有强大的***功能,可以满足分支以及移动办公访问公司本部资源的需求,适应SOHO型的家庭或者办公网络。SecPath F100-C防火墙还提供强大的过滤功能和优秀的管理功能。可以将其部署在内部网络的出口,防范来自外部网络的各种***。
该方案实现了通过报文检测并阻止非法***。阻止恶意***,能够实现邮件、网页过滤。支持详尽的日志,支持***告警。支持流量监控。具有地强大的处理能力,能够充分发挥带宽优势。支持NAT,支持多种ALG。基于用户接入控制,对用户流量进行过滤。支持D***/L2TP/IPSec组网应用。
应用4--- 分支机构***结合防火墙备份应用
图给出了典型分支机构***结合防火墙备份应用 该方案使用H3C SecPath 防火墙支持***应用,同时能够提供设备冗余备份和负载分担。通过在企业总部放置两台SecPath 防火墙,分支通过IPSec ***接入,来保证数据在网络上传输时的私有性、完整性、真实性和防重放。企业总部使用两台防火墙进行负载分担,当其中一台设备出现问题之后实现备份。
在该方案中,总部采用SecPath防火墙作为IPSec隧道终点,分支分别和总部两台SecPath建立***隧道实现分支访问总部的备份。总部两台防火墙对内也支持负载分担和设备备份,典型的应用于对稳定性要求较高的企业,能够同时满足防火墙和***的需求。
防火墙实现备份,避免单点故障;
防火墙之间实现负载分担,使资源得到充分利用;
支持分支机构动态IP上网;
支持NAT穿越;
数据报文保证私有性、完整性、真实性;
技
术
是
用
来
学
的
,
不
是
用
来
收
藏
的
!