安全-2012分销安全产品培训v2

2012年H3C安全分销产品日期：密级：杭州华三通信技术有限公司概述H3CF100/1000系列防火墙H3C新一代多功能防火墙H3CIPS入侵防御产品目录远程接入系统分支机构数据中心园区局域网层出不穷的安全威胁：蠕虫、病毒、漏洞攻击、DDoS攻击、越权访问、带宽滥用等安全威胁，单种防御手段无法完全解决，管理者顾此失彼企业面临的信息安全问题层/4层协议的网络/传输层攻击VPNVPN即虚拟专用网，通过组合数据封装和加密技术，实现私有数据通过公共网络平台进行安全传输IPS(入侵防御系统)入侵防御与检测、病毒过滤、带宽管理、URL过滤在L4~L7层上进行防御，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等UTM(统一威胁管理)统一威胁管理面向中小型企业/分支机构设计防火墙、VPN基础上，提供病毒防护、漏洞攻击防护、P2P/IM流量控制和用户行为审计等安全功能ACG(应用控制网关)控制P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为对网络流量、用户上网行为进行深入分析与全面的审计，概述H3CF100/1000系列防火墙H3C新一代多功能防火墙H3CIPS入侵防御产品目录防火墙/VPN参考指标防火墙4种性能指标：1.吞吐量/时延：吞吐量指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力，吞吐量越大意味着设备的性能越高。时延是指设备入口处输入帧最后1个比特到达出口处输出帧的第1个比特输出所用的时间间隔。时延越小意味着设备性能越高2.最大并发连接数：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。最大并发连接数代表设备可以支持的最大的网络同时建立连接的数量，最大并发连接数越大意味着支持的网络规模越大。3.每秒新建连接数：指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度慢，在用户量较大的情况下容易造成防火墙处理能力急剧下降，并且会造成防火墙对网络攻击防范能力差。每秒新建连接数越大，表示设备在单位时间内的处理能力越强。4、抗攻击能力：对于高端安全设备来说，抗攻击能力也是选择时要考虑的一个很重要的因素。只有硬件防攻击技术结合ASIC才能将防SYNFlood和UDPFlood等DDOS攻击能力提升到10GVPN主要参考指标：1.加密性能：指VPN设备进行背靠背的连接时，能够以一定的加密算法对一定的包长数据的最大转发能力，业界默认一般都采用大包对这个指标进行衡量。2.最大并发隧道数：指在确定的某种VPN协议的前提下，VPN设备能够并发支持最多的虚拟隧道的数量，这些隧道决定了VPN设备能够提供的连接的设备和移动用户的数量。F100-C：海量墙F100-C-EI：新一代海量墙，填补低端防火墙产品系列F100-S：入门级百兆墙F100-M：可扩展SSLVPN的百兆墙，与SSLVPN插卡打包，推荐极低成本的SSLVPN+防火墙解决方案F100-E：增强型（可扩展千兆接口）百兆墙，与千兆接口卡打包，可以应用在200M～400M的百兆高端场景下，比用千兆墙花费更低F100-A：高级百兆墙F100-A-SI：多接口百兆墙F1000-C：入门级千兆墙，全千兆接口（自带4个、可扩展到8个、光口/电口可选、双电源冗余），引领SMB千兆防火墙潮流。……小贴士：H3C的安全产品命名，根据性能由低到高：CSMAEH3CSecPath防火墙安全商业分销市场产品F100-CF100-SF100-EF100-AF100-A-SIF100-MF100-C-EIF1000-CF1000-S-EIF1000-SF1000-A-EIF1000-E-SIF1000-ANewNe插槽数0001111板卡类型N/AN/AN/A4FE/IPSec4FE/IPSec4FE/IPSec4FE/1G/2G光或电SSLVPN——————SSLVPN卡SSLVPN卡SSLVPN卡SSLVPN卡防病毒卡——————ASM卡ASM卡ASM卡ASM卡IPSecVPN10102005005005002000SSLVPN——————5080100200完整的产品序列满足不同规模的应用环境；稳定的产品品质广受大众欢迎今年将进行产品规划并推出全新的F100系列，基于V5平台，特性更强：产品简介：采用多核技术，硬件支持高密千兆接口和万兆上行接口，是极具性价比的千兆盒式防火墙系列产品。产品定位：大、中型园区网的Internet出口二、三级广域网出口小型数据中心的前端产品形态：2个接口扩展槽支持单板类型：4GE光/2GE电/2×10GE绑定，解决各类ARP攻击ARP防攻击全面支持对各种DOS/DDOS攻击、扫描窥探攻击、畸形报文攻击的防护网络层攻击防范网站地址过滤、URL参数过滤JavaApplet过滤、ActiveX过滤WEB过滤完善的双机热备——主主模式两台设备都为主设备，都处理业务，互为备份Internet主/备设备其中一台故障，另一台持续处理全部业务InternetPrivateNetwork会话表项会话表项会话表项PrivateNetwork配置同步IPSecVPN会话同步会话同步主/备设备主/备设备主/备设备完善的双机热备——主备模式故障发生之前，备份设备仅做备份，由主设备处理全部业务Internet主设备主设备故障后，备份设备接替处理业务InternetPrivateNetwork会话表项会话表项会话表项PrivateNetwork备设备主设备备设备VRRPBFDNQA动态路由切换探测地址池内存、CPU资源等管理权限虚拟化路由表项虚拟化安全策略虚拟化系统资源虚拟化当“虚拟化”已经成为网络建设的核心理念—大形势，新需求Phase-1(银)Logo：第一阶段，Logo表明设备包含强制性的核心协议能够基本与其他设备进行通信；Phase-1Logo将于2011年底终止申请。Phase-2(金)Logo：第二阶段，Logo表明设备全部符合IPv6基本协议RFC相关标准，同时V6LC(IPv6ReadyLogo委员会)推荐可商用的IPv6设备需要获得Phase-2Logo当教育网已在全面建设IPv6试商用网络—国际顶尖信息安全认证ICSA（互联网计算机安全联盟）实验室提供独立于供应商的安全产品测试和认证。国际上90%的信息安全产品都会向这个组织申请测试和认证。ICSA从1995年开始网络防火墙领域的测试和认证，Juniper、Fortinet等众多防火墙都在其列。ICSA测试标准极其严格，仅4%的安全产品能够通过第一轮测试。ICSA每年更新和发布相关领域的测试标准，并对通过其认证的产品维持两个月的后续测试，以保证测试效果的连续性。概述H3CF100/1000系列防火墙H3C新一代多功能防火墙H3CIPS入侵防御产品目录•UTM是“统一威胁管理（UnifiedThreatManagement）”的意思，一个来自国外的概念，也指一类网络安全设备。•本质上，UTM是多功能安全网关，与路由器和三层交换机不同的是，UTM不仅可以连接不同的网段，还在数据通信过程中提供了丰富的安全功能，例如访问控制、VPN、入侵防御、病毒过滤、网站过滤、流量管理、网络行为审计等等。UTM新一代多功能防火墙重装上阵定位提升：基于UTM架构，新一代多功能防火墙性能提升：防火墙性能全面提升功能优化：更贴近中小型网络应用管理加强：智能化集中管理防火墙性能翻倍漏洞攻击防护网页过滤防病毒带宽管理行为审计U200-CSU200-CMU200-CA（旧）U200-CMU200-CM（旧）U200-CAU200-CA（旧）性能防火墙吞吐量性能（IMIX）300M175M400M240M600M350M最大并发会话数8万3万10万3万40万40万每秒新建会话6K3K6K3K10K4K最大策略数1000100010001000500050000虚拟防火墙4644646464推荐用户数（人）2001004002001000300防火墙性能全面提升？CF卡，扩展License功能时必配只用主机自带功能时可不配防病毒特征库升级服务License入侵防御（IPS）特征库升级服务License应用控制特征库升级服务License选配一种或多种LicenseUTM主机（必配）自带防火墙、VPN、NAT功能U200-C系列还是UTM产品，但强化了防火墙优势—高性能防火墙性价比最高：相比友商同样性能规格防火墙，价格最低全千兆接口设计友商产品对比表项目CiscoASA5510JuniperSSG140华赛USG2220H3CU200-CSCiscoASA5520JuniperSSG320华赛USG2230H3CU200-CMCiscoASA5540JuniperSSG350华赛USG2250H3CU200-CA吞吐量（bps）300M300M300M300M450M450M400M400M650M550M600M600M3DES加密（bps）170M100M100M225M175M100M325225M350MIPSec隧道数25012550075050050050005001000虚拟防火墙0640540864固定接口3FE