H3C中低端(V3平台)防火墙培训胶片

H3C安全产品培训（防火墙）ISSUE2.0日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播„防火墙是一种重要的网络安全设备,技术和应用已经成熟，SecPath系列是H3C公司自主研发的防火墙产品„本教材从防火墙功能介绍、SecPath安全产品介绍、SecPath防火墙图形化管理平台、安全区域、访问控制列表、包过滤技术、地址转换（NAT）、报文统计与攻击防范、网页过滤和邮件过滤、运行模式和双机备份、防火墙典型组网及常见故障诊断等十一个部分分别进行阐述引入„第一章防火墙功能介绍目录„了解防火墙分类„掌握防火墙必备的技术范围„掌握防火墙和路由器的区别课程目标学习完本课程，您应该能够：种类型防火墙：1.包过滤防火墙：根据一组规则允许一些数据包通过，同时阻塞其他数据包，规则可以根据网络层协议(如IP)中地址信息或者传输层(如TCP头部或者UDP头部)信息制定。2.应用代理型防火墙：作为应用层代理服务器存在于信任与非信任网络之间，在应用层协议层面上提供高安全级别的保护。3.状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。z现代防火墙基本为3种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。针对网络存在的各种安全隐患，防火墙必须具有如下安全特性：Æ网络隔离及访问控制Æ攻击防范Æ地址转换Æ应用层状态检测Æ身份认证Æ内容过滤Æ安全管理受信区域－DMZ区，可以访问POP3和SMTP服务9DMZ－受信区域，不可访问任何服务9不受信区域－DMZ区，可以访问POP3和SMTP服务9DMZ－不受信区域，可以访问任何服务不受信区域和受信区域之间不能互访EMAIL服务器地址转换（NAT）防火墙WEB服务器10.1.1.0/2410.1.1.1210.190.100.2310.1.1.100→210.190.100.2310.1.1.100←210.190.100.23应用层状态检测包过滤（ASPF）动态创建和删除过滤规则动态创建和删除过滤规则监视通信过程中的报文监视通信过程中的报文身份认证防火墙用户上网用户名、密码？输入用户名、密码认证通过正常上网内容过滤正常网站有害网站•Internet有害内容健康内容有害网站过滤网页恶意内容摘除路由器安全特性防火墙路由器基础设施及其安全（路由、链路冗余、QoS等）√√有效识别合法非法用户（AAA）√√实现有效的访问控制(ACL、ASPF)√√保证内部网络的隐蔽性(NAT)√√有效的防伪手段，重要的数据重点保护(VPN)√√统一设备网管（BIMS、VPNmanager）√√基于会话表的连接监控√X基于会话表、配置的状态热备√X基于3层/4层协议的网络/传输层攻击√X路由器（续）安全特性防火墙路由器网页、邮件过滤√X路由、透明模式灵活部署√X丰富日志信息（NAT、ASPF、流日志、攻击防范日志）√X与IDS联动√X„第二章SecPath安全产品介绍目录„了解SecPath系列防火墙体系结构„熟悉SecPath系列防火墙主要业务特性课程目标学习完本课程，您应该能够：系列防火墙概览设备扩展能力、处理能力、高可用性SOHO用户电信级/数据中心大型企业SecPathF100-C-EISecPathF100-SSecPathF100-ASecPathF100-ESecPathF1000-SSecPathF1000-ASecBladeIIFWSecPathF1800-A中型企业小型企业新新新新即将推出即将推出高端高端UTM!UTM!千兆设备NP架构安全插卡安全插卡百兆设备产品命名：H3CSecPathF100-C-EIz市场定位：桌面型防火墙，SOHO、小企业或分支机构的安全接入设备z处理性能：吞吐量10Mbps，并发连接5万，每秒新增连接1000，加密性能5Mz接口数量：5FEz配置：8MFLASH，64M内存z产品特点：Æ提供网络安全保障和防护功能Æ支持丰富的VPN业务特性Æ电信级设备高可靠性Æ全面细粒度的QoS保证Æ智能、高效、动态和图形化的管理性价比高的性价比高的低端百兆产品！低端百兆产品！z产品命名：H3CSecPathF100-Sz市场定位：入门型百兆防火墙，作为SOHO、小企业的出口防火墙设备z处理性能：吞吐量100M，并发连接25万，每秒新增连接5000，VPN加密性能40Mbps（硬件）z接口数量：4FEWANz配置：16MFLASH，128M内存z产品特点：Æ提供网络安全保障和防护功能Æ支持丰富的VPN业务特性Æ电信级设备高可靠性Æ全面细粒度的QoS保证Æ智能、高效、动态和图形化的管理产品命名：H3CSecPathF100-Az市场定位：标准型百兆防火墙，作为中小企业的出口防火墙设备，或中型企业的内部防火墙设备z处理性能：吞吐量300M，并发连接50万，每秒新增连接1万，VPN加密性能10/60Mbps（软/硬件）z接口数量：3FEWAN+4FELAN；一个MIM扩展槽位，可选接口模块包括1FE/2FE/4FE/IPSec加密卡z配置：16MFLASH，256M内存z产品特点：Æ提供网络安全保障和防护功能Æ支持丰富的VPN业务特性Æ电信级设备高可靠性Æ全面细粒度的QoS保证Æ智能、高效、动态和图形化的管理性价比高的性价比高的高端百兆产品！高端百兆产品！z产品命名：H3CSecPathF100-Ez市场定位：增强型百兆防火墙，作为中小企业的出口防火墙设备，或中型企业的内部防火墙z处理性能：吞吐量400M，并发连接80万，每秒新增连接1.5万，VPN加密性能400Mbps（硬件）z接口数量：4FEWAN；一个MIM扩展槽位，可选接口模块包括1FE/2FE/4FE/1GE(光/电)/2GE(光/电)z配置：16MFLASH，256M内存（可扩至512M）;内置IPSec硬件加密z产品特点：Æ提供网络安全保障和防护功能Æ支持丰富的VPN业务特性Æ电信级设备高可靠性Æ全面细粒度的QoS保证Æ智能、高效、动态和图形化的管理的端口密度！的端口密度！z产品命名：H3CSecPathF1000-Sz市场定位：入门型千兆防火墙，作为大中型企业的出口或内部防火墙z处理性能：吞吐量1G，并发连接100万，每秒新增连接2万，VPN加密性能350Mbpsz接口数量：4GE（其中两个为光/电接口，另外两个为10/100/1000M电口）；支持两个MIM扩展槽位，可选接口模块包括1FE/2FE/4FE/1GE(光/电)/2GE(光/电)z配置：16MFLASH，512M内存（可扩至1G）；内置IPSec硬件加密z产品特点：Æ提供网络安全保障和防护功能Æ支持丰富的VPN业务特性Æ电信级设备高可靠性Æ全面细粒度的QoS保证Æ智能、高效、动态和图形化的管理产品命名：H3CSecPathF1000-Az市场定位：企业级千兆防火墙，作为大中型企业的出口或内部防火墙z处理性能：吞吐量1.5G，并发连接150万，每秒新增连接3万，VPN加密性能600Mz接口数量：2GE（光/10/100/1000M电接口）；支持一个MIM扩展槽位，可选接口模块包括1FE/2FE/4FE/1GE(光/电)/2GE(光/电)z配置：16MFLASH，512M内存（可扩至1G）；内置IPSec硬件加密z产品特点：Æ提供网络安全保障和防护功能Æ支持丰富的VPN业务特性Æ电信级设备高可靠性Æ全面细粒度的QoS保证Æ智能、高效、动态和图形化的管理技术技术千兆安全插卡！千兆安全插卡！z产品命名：H3CSecBladeIIFW模块z市场定位：基于NP技术的电信级千兆防火墙安全插卡，可以作为大型企业的数据中心、内部网络安全隔离防火墙z适用机型：S8505/S8508/S8512核心路由交换机z处理性能：吞吐量2G，并发连接100万，每秒新增连接5万，VPN加密性能30M(软件)z接口数量：三个固定的10/100MFE口(管理使用)，提供八个SFPGE光口z配置：16MFLASH，1G内存z产品特点：Æ安全与网络业务相融合Æ安全与网络管理相融合Æ核心网络设备投资保护Æ多模块备份与负载分担Æ可线性扩展的安全性能系列防火墙产品特性相同，差别在于性能„第三章SecPath防火墙图形化管理平台目录„掌握SecPath系列防火墙Web配置„熟悉SecPath系列防火墙BIMS网管课程目标学习完本课程，您应该能够：界面介绍－登陆WEB界面介绍－登陆用户名用户名密码密码语言语言界面介绍－功能WEB界面介绍－功能zz系统配置系统配置zz业务管理业务管理zz防火墙防火墙zzVPNVPN配置配置zz网页过滤网页过滤zz邮件过滤邮件过滤zz流量统计流量统计zz常用工具常用工具zz帮助信息帮助信息zz日志管理日志管理zz在线用户在线用户zz注销用户注销用户。。。。分支机构N‡BIMS作为配置文件中心，根据网络规划，生成每个边缘路由器的配置文件；‡它还是一个系统软件中心，集中控制整网设备的版本。防火墙或者VPN网关作为BIMSclient主动发起和BIMS管理中心的连接，并索取配置文件或系统软件，完成配置文件、系统软件自动更新；工作原理（续）BIMS工作原理（续）„第四章安全区域目录„了解安全区域基本概念„掌握安全区域配置方法课程目标学习完本课程，您应该能够：防火墙(local)Internet接口、网络、安全区域内部网络服务器服务器DMZtrustuntrust防火墙(local)ethernet1/0ethernet1/1ethernet2/0Internet防火墙(local)outboun