详解SecPath防火墙体系结构 | 必读!

image.png




SecPath防火墙家族成员

描述了H3C SecPath防火墙家族产品型号、应用范围和价值关系:


image.png


伴随着企业和公司的不断扩张和网络技术的深入普及,网络***行为出现的越来越频繁了。通过各种***软件,只要具有一般计算机知识的初学者也能完成对网络的***。各种网络病毒的泛滥,也加剧了网络被***的危险。对于内网防范,更是当今网络安全的主流。

H3C SecPath系列防火墙设备(以下简称防火墙)是H3C公司面向企业用户开发的新一代专业防火墙设备,既可以作为中小企业的核心防火墙,也可以作为企业的汇聚及接入防火墙设备。SecPath F1000-E/F1000-A/F100-E/F100-A/F100-C提供完善的安全防范体系,可以提供安全访问限制/内网安全防范措施。

H3C SecPath 系列防火墙是指:
  • SecPath F1000-E

  • SecPath F1000-A

  • SecPath F1000-S

  • SecPath F1000-M

  • SecPath F100-E

  • SecPath F100-A

  • SecPath F100-A-S

  • SecPath F100-M

  • SecPath F100-S

  • SecPath F100-C

  • SecBlade防火墙插卡

等11个型号的防火墙产品。产品的划分主要依据应用场合的不同,价值也不同。

请读者仔细学习以下设备的主要技术参数及其设备之间的主要差别,以便在具体应用中做到选型正确。

SecPath F1000-E防火墙


image.png

H3C SecPath F1000-E防火墙设备,全方位为大中型企业网络的安全提供了高性价比的解决方案。

主要技术参数:
  • 采用业界主流的多核处理器技术,提供8核CPU,每核4线程,总共32线程的处理能力;

  • 安全部分采用高性能网络处理器进行硬件处理,提供了强大的安全防范、业务加速能力。

  • 支持10GE接口/最大支持20个GE;

  • 具备交换机级别的延时;

  • 每秒钟新建5W的连接;

  • 1 Gbps的Ddos防护性能;

  • 2 Gbpsd的IPSec加密性能;

  • 10 Gbps 防火墙吞吐率 (见注1)

  • 100W并发连接,每秒钟新建5W连接;

注1:吞吐量(Throughput)——设备在一定时间内(一般120秒),不丢帧情况下转发某一帧长数据所能达到的最大速率。(请注意是不丢帧情况下,这是与转发率以及最大转发率最本质的区别。)

SecPath F1000-A防火墙


image.png

H3C SecPath F1000-A防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备,可以作为中小型企业的出口防火墙设备,也可以作为大中型企业的内部防火墙设备使用。

主要技术参数:
  • 采用64位的微处理器技术,使用主频800MHZ的MIPS CPU,并使用内部集成GMII控制器技术提高报文处理速率;

  • 16M FLASH、512M内存(可扩到1G);

  • 提供2个固定的10、100、1000M的自适应GE接口,支持光口和电口;

  • 内置Ipsec硬件加密卡;内置HT硬件加密卡

  • 提供一个MIM扩展槽位,目前可选的接口模块为1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七种(注:HDC软件功能暂时不支持)。

  • 提供双电源冗余备份解决方案(AC+DC\DC+DC两种机型);

  • 提供机箱内部环境温度检测功能;

  • 支持网管和Web配置管理;

  • 3DES加密性能可达400Mbps(1400bytes);

  • 吞吐量2Gbps ;
    可满足电信级产品的高可靠性要求。

SecPath F1000-S防火墙

H3C SecPath F1000-S防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备,可以作为中小型企业的出口防火墙设备,也可以作为大中型企业的内部防火墙设备使用。

主要技术参数:
  • 采用64位的微处理器技术,使用主频800MHZ的MIPS CPU,并使用内部集成GMII控制器技术提高报文处理速率;

  • 16M FLASH、512M内存(可扩到1G);

  • 提供4个固定的10、100、1000M的自适应GE接口,2个即支持光口又支持电口,其余2个仅支持电口;比

  • 内置Ipsec硬件加密卡;内置HT硬件加密卡

  • 提供2个MIM扩展槽位,目前可选的接口模块为1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七种(注:HDC软件功能暂时不支持)。

  • 提供双电源冗余备份解决方案(AC+DC\DC+DC两种机型);

  • 提供机箱内部环境温度检测功能;

  • 支持网管和Web配置管理;

  • 3DES加密性能可达300Mbps(1400bytes);

  • 吞吐量1.5Gbps ;
    可满足电信级产品的高可靠性要求。

image.png


F1000-A和F1000-S防火墙的主要差别:

F1000-A防火墙

F1000-S防火墙

2个固定101001000M的自适应GE接口

4个固定101001000M的自适应GE接口

1MIM扩展槽位

2MIM扩展槽位

400Mbps1400bytes3DES加密性能

300Mbps1400bytes3DES加密性能

2Gbps吞吐量

1.5Gbps吞吐量

SecPath F100-A防火墙

H3C SecPath F100-A防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备,可以作为中小型企业的出口防火墙设备,也可以作为中型企业的内部防火墙设备使用。

主要技术参数:

  • 32位的微处理器技术;

  • 16M FLASH 256M内存

  • 4个固定的10、100M自适应FE口作为局域网口;

  • 3个固定的10、100M自适应FE口作为广域网口;

  • 1个MIM扩展槽位;可选接口模块1FE/2FE/4FE/NDECII(加密卡)/HDC(软件功能不支持);

  • 60Mbps(1400bytes)3DES加密性能(使用硬件加密卡)

  • 300Mbps吞吐量;


image.png

SecPath F100-C防火墙

H3C SecPath F100-C防火墙设备是H3C面向家庭办公、小型办公室开发的防火墙设备。


image.png

其主要技术参数:
  • 采用MPC的微处理技术,并且自带硬件加密卡。

  • 8M FLASH 64M 内存

  • 4个固定的10、100M自适应FE口作为局域网口;

  • 1个固定的10、100M自适应FE口作为广域网口;

  • 20Mbps吞吐量

F100-A和F100-C防火墙的主要差别:

F100-A防火墙

F100-C防火墙

32位的微处理器技术;

MPC的微处理技术,并且自带硬件加密卡。

16M FLASH  256M内存

8M FLASH  64M 内存

4个固定10/100自适应FE口作为局域网口

4个固定10/100自适应FE口作为局域网口

3个固定10/100自适应FE口作为广域网口

1个固定10/100自适应FE口作为广域网口

1MIM扩展槽位;

60Mbps1400bytes3DES加密性能(使用硬件加密卡)

3DES加密性能(自带硬件加密卡)

300Mbps吞吐量

20Mbps吞吐量

SecPath防火墙业务特性

防火墙主要业务特性

防火墙支持多种***防范手段、Tcp proxy、内网安全、流量监控、网址过滤、网页过滤、邮件过滤等功能,能够有效的保证网络的安全。

防火墙采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成动态包过滤。

防火墙提供多种智能分析和管理手段,支持邮件警告,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理。

防火墙支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络。

防火墙支持多种***业务,如L2TP *** 、IPSec *** 、SSL ***、GRE ***、或动态***等,并且支持硬件加密,可以针对客户需求通过ADSL拨号、VLAN或隧道等方式接入远端用户,构建Internet 、 Intranet、Remote Access 等多种形式的***。

防火墙支持通过BIMS功能自动更新设备的配置文件及应用程序,支持通过*** Manager功能来完成***的部署和配置。
防火墙提供基本的路由器能力,支持RIP/OSPF/BGP路由策略及策略路由;支持丰富的Qos特性,提供流量监管、流量整形及多种队列调度策略。image.png

防火墙主要功能

支持包过滤技术。支持基于接口的访问控制列表,基于时间的访问控制列表。借助报文优先级、TOS、UDP、或TCP端口等信息作为过滤参数,通过在接口输入或输出方向上使用标准或扩展访问控制规则,可以实现对数据包的过滤。同时,还可以按照时间段进行过滤。

支持应用层报文过滤ASPF(Application Specific Packet Filter),也称为状态防火墙,它检测应用层协议(如FTP、HTTP、SMTP、H.323、RTSP等协议及其它基于TCP/UDP协议的应用层协议)并且监控基于连接的应用层协议状态,维护每一个连接的状态信息,支持ActiveX的过滤功能,并动态地决定数据包是否被允许通过防火墙或者被丢弃。

提供多种***防范技术,包括针对Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood 、ICMP Flood、ARP Flood、ARP欺骗***的防范,提供ARP主动反向查询、TCP报文标志不合法***防范、超大ICMP报文***防范、地址/端口扫描的防范、Dos/DDOS***防范、ICMP重定向或不可达报文控制功能、MAC地址和IP地址绑定功能。支持透明防火墙。支持反向路由检查功能。image.png

内容和邮件过滤

支持业务邮件过滤,提供SMTP邮件过滤、SMTP邮件标题过滤、SMTP邮件内容过滤和SMTP邮件附件过滤,支持SQL/Java Applet/ActiveX过滤。支持网页过滤,提供HTTP URL过滤、HTTP内容过滤。支持反向路由检测等功能。image.png

监控功能

防火墙提供了强大的监控功能,主要通过监视防火墙自身提供的各种系统日志,统计、分析和告警,最终来实现控制防火墙的目的:image.png

图中形象地描述了防火墙如何提供将日志给管理员的。

防火墙提供的日志信息和功能如下:

1、各种日志:
***实时日志、黑名单日志、地址绑定日志、流量警告日志、会话日志、二进制格式日志和NAT等日志。这些日志能够有效的记录网络情况,从而为网络管理人员分析网络状况,防范网络***提供依据。

2、流量统计和分析功能:
通过流量统计和分析可以及时发现***和网络蠕虫病毒产生的异常流量。网络管理员可以使用防火墙预先定义的流量分析模型,也可以自己定义各种协议流量的比例,连接速率阈值等参数,形成适合当前网络的分析模型、

3、各种事件监控和统计功能:
包括全局/基于安全域连接速率监控、全局/基于安全域协议报文比例监控和安全事件统计功能。这些监控统计功能可以有效的提供针对各种***情况、异常情况提供有效的分析数据。

4、邮件告警功能:
包括E-mail邮件的实时告警、E-mail邮件定期信息发布。告警邮件中包含有***日志和详细的网络流量分析结果,可以供管理员进行网络优化。告警邮件的发送使用两种方式:一种是实时发送,一旦检测到***行为,立即发送邮件到指定的邮件地址;另外一种是在指定的时间定期发送告警邮件到达指定的邮件地址。

多种配置方式

H3C SecPath 防火墙还支持web配置接口,以区别于命令行接口,方便图像化配置和管理。image.png

图是WEB图形化的屏幕截图,

配置和管理包括如下功能:
  • 系统管理:系统资源管理、设备重启,系统软件的升级,配置信息文件的浏览、保存、下载和上传;

  • 用户配置;

  • 接口管理;

  • 静态路由,域名服务支持;

  • IPSec配置;

  • 支持防火墙:***防范,ACL,黑名单,安全区域,IP/MAC地址绑定;

  • 支持邮件过滤:地址过滤,内容过滤,邮件过滤,主题过滤;

  • 日志监控:流量统计,日志管理;

  • 业务管理:NAT管理,DHCP管理,SNMP管理;

  • 常用工具支持(包括Ping,Tracert等);

  • 帮助信息;

  • 注销身份。

SecPath系列防火墙的典型应用

应用1---企业出口防火墙应用

图给出了典型企业防火墙的应用方案,该方案使用H3C SecPath 系列防火墙提供强大的过滤功能,提供优秀的管理功能,部署在内部网络的出口,防范来自外部网络的各种***。
该方案实现了通过报文检测并阻止非法***。提供多种***防范技术。支持黑名单过滤。MAC地址过滤。帧过滤。支持TCP代理。支持通明防火墙,ASPF状态防火墙。阻止恶意***,能够实现邮件、网页过滤。支持流量监控。支持详尽的日志,支持***告警。具有强大的处理能力,能够充分发挥带宽优势。支持NAT,支持多种ALG。image.png

应用2---中小企业防火墙结合***功能应用

图给出了典型中小企业防火墙结合***的应用,该方案使用H3C SecPath F1000-S防火墙。不但提供强大的过滤功能,并且具有强大的***功能,使用SecPath F1000-S防火墙,即可以保护内部网络的安全,也可以满足分支以及移动办公访问公司本部资源的需求。
该方案实现了阻止恶意***,能够实现邮件、网页过滤。支持流量监控。支持详尽的日志,支持***警告。基于用户接入控制,对用户流量进行过滤。远程办公人员使用动态密码认证,保证用户的唯一性,解决移动用户安全问题。支持D***、L2TP、GRE、IPSEC组网应用。支持BIMS和*** Mannger。image.png

应用3--- soho防火墙结合***功能应用

图给出了典型soho防火墙结合***功能应用,该方案使用H3C SecPath F100-C防火墙,具有强大的***功能,可以满足分支以及移动办公访问公司本部资源的需求,适应SOHO型的家庭或者办公网络。SecPath F100-C防火墙还提供强大的过滤功能和优秀的管理功能。可以将其部署在内部网络的出口,防范来自外部网络的各种***。image.png

该方案实现了通过报文检测并阻止非法***。阻止恶意***,能够实现邮件、网页过滤。支持详尽的日志,支持***告警。支持流量监控。具有地强大的处理能力,能够充分发挥带宽优势。支持NAT,支持多种ALG。基于用户接入控制,对用户流量进行过滤。支持D***/L2TP/IPSec组网应用。

应用4--- 分支机构***结合防火墙备份应用image.png

图给出了典型分支机构***结合防火墙备份应用 该方案使用H3C SecPath 防火墙支持***应用,同时能够提供设备冗余备份和负载分担。通过在企业总部放置两台SecPath 防火墙,分支通过IPSec ***接入,来保证数据在网络上传输时的私有性、完整性、真实性和防重放。企业总部使用两台防火墙进行负载分担,当其中一台设备出现问题之后实现备份。
在该方案中,总部采用SecPath防火墙作为IPSec隧道终点,分支分别和总部两台SecPath建立***隧道实现分支访问总部的备份。总部两台防火墙对内也支持负载分担和设备备份,典型的应用于对稳定性要求较高的企业,能够同时满足防火墙和***的需求。

  • 防火墙实现备份,避免单点故障;

  • 防火墙之间实现负载分担,使资源得到充分利用;

  • 支持分支机构动态IP上网;

  • 支持NAT穿越;

  • 数据报文保证私有性、完整性、真实性;