詳解SecPath防火牆體系結構 | 必讀！

詳解SecPath防火牆體系結構 | 必讀！

SecPath防火牆家族成員

描述了H3C SecPath防火牆家族產品型號、應用範圍和價值關係：

伴隨着企業和公司的不斷擴張和網絡技術的深刻普及，網絡***行爲出現的愈來愈頻繁了。經過各類***軟件，只要具備通常計算機知識的初學者也能完成對網絡的***。各類網絡病毒的泛濫，也加重了網絡被***的危險。對於內網防範，更是當今網絡安全的主流。

H3C SecPath系列防火牆設備（如下簡稱防火牆）是H3C公司面向企業用戶開發的新一代專業防火牆設備，既能夠做爲中小企業的核心防火牆，也能夠做爲企業的匯聚及接入防火牆設備。SecPath F1000-E/F1000-A/F100-E/F100-A/F100-C提供完善的安全防範體系，能夠提供安全訪問限制/內網安全防範措施。

H3C SecPath 系列防火牆是指：

• SecPath F1000-E

• SecPath F1000-A

• SecPath F1000-S

• SecPath F1000-M

• SecPath F100-E

• SecPath F100-A

• SecPath F100－A－Ｓ

• SecPath　F100-Ｍ

• SecPath F100-Ｓ

• SecPath F100-C

• SecＢlade防火牆插卡

等11個型號的防火牆產品。產品的劃分主要依據應用場合的不一樣，價值也不一樣。

請讀者仔細學習如下設備的主要技術參數及其設備之間的主要差異，以便在具體應用中作到選型正確。

SecPath F1000-E防火牆

H3C SecPath F1000-E防火牆設備,全方位爲大中型企業網絡的安全提供了高性價比的解決方案。

主要技術參數：

• 採用業界主流的多核處理器技術，提供8核CPU，每核4線程，總共32線程的處理能力；

• 安所有分採用高性能網絡處理器進行硬件處理，提供了強大的安全防範、業務加速能力。

• 支持10GE接口/最大支持20個GE；

• 具有交換機級別的延時；

• 每秒鐘新建5W的鏈接；

• 1 Gbps的Ddos防禦性能；

• 2 Gbpsd的IPSec加密性能；

• 10 Gbps 防火牆吞吐率 (見注1)

• 100W併發鏈接，每秒鐘新建5W鏈接；

注1：吞吐量（Throughput）——設備在必定時間內（通常120秒），不丟幀狀況下轉發某一幀長數據所能達到的最大速率。（請注意是不丟幀狀況下，這是與轉發率以及最大轉發率最本質的區別。）

SecPath F1000-A防火牆

H3C SecPath F1000-A防火牆設備是H3C面向企業用戶開發的新一代專業防火牆設備，能夠做爲中小型企業的出口防火牆設備，也能夠做爲大中型企業的內部防火牆設備使用。

主要技術參數：

• 採用64位的微處理器技術，使用主頻800MHZ的MIPS CPU，並使用內部集成GMII控制器技術提升報文處理速率；

• 16M FLASH、512M內存（可擴到1G）；

• 提供2個固定的十、100、1000M的自適應GE接口，支持光口和電口；

• 內置Ipsec硬件加密卡；內置HT硬件加密卡

• 提供一個MIM擴展槽位，目前可選的接口模塊爲1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七種（注：HDC軟件功能暫時不支持）。

• 提供雙電源冗餘備份解決方案（AC+DC\DC+DC兩種機型）；

• 提供機箱內部環境溫度檢測功能；

• 支持網管和Web配置管理；

• 3DES加密性能可達400Mbps（1400bytes）；

• 吞吐量2Gbps ；
  可知足電信級產品的高可靠性要求。

SecPath F1000-S防火牆

H3C SecPath F1000-S防火牆設備是H3C面向企業用戶開發的新一代專業防火牆設備，能夠做爲中小型企業的出口防火牆設備，也能夠做爲大中型企業的內部防火牆設備使用。

主要技術參數：

• 採用64位的微處理器技術，使用主頻800MHZ的MIPS CPU，並使用內部集成GMII控制器技術提升報文處理速率；

• 16M FLASH、512M內存（可擴到1G）；

• 提供4個固定的十、100、1000M的自適應GE接口，2個即支持光口又支持電口，其他2個僅支持電口；比

• 內置Ipsec硬件加密卡；內置HT硬件加密卡

• 提供2個MIM擴展槽位，目前可選的接口模塊爲1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七種（注：HDC軟件功能暫時不支持）。

• 提供雙電源冗餘備份解決方案（AC+DC\DC+DC兩種機型）；

• 提供機箱內部環境溫度檢測功能；

• 支持網管和Web配置管理；

• 3DES加密性能可達300Mbps（1400bytes）；

• 吞吐量1.5Gbps ；
  可知足電信級產品的高可靠性要求。

F1000-A和F1000-S防火牆的主要差異：

F1000-A防火牆	F1000-S防火牆
2個固定10、100、1000M的自適應GE接口	4個固定10、100、1000M的自適應GE接口
1個MIM擴展槽位	2個MIM擴展槽位
400Mbps（1400bytes）3DES加密性能	300Mbps（1400bytes）3DES加密性能
2Gbps吞吐量	1.5Gbps吞吐量

SecPath F100-A防火牆

H3C SecPath F100-A防火牆設備是H3C面向企業用戶開發的新一代專業防火牆設備，能夠做爲中小型企業的出口防火牆設備，也能夠做爲中型企業的內部防火牆設備使用。

主要技術參數：

• 32位的微處理器技術;

• 16M FLASH 256M內存

• 4個固定的十、100M自適應FE口做爲局域網口；

• 3個固定的十、100M自適應FE口做爲廣域網口；

• 1個MIM擴展槽位；可選接口模塊1FE/2FE/4FE/NDECII(加密卡)/HDC（軟件功能不支持）；

• 60Mbps（1400bytes）3DES加密性能(使用硬件加密卡)

• 300Mbps吞吐量;

SecPath F100-C防火牆

H3C SecPath F100-C防火牆設備是H3C面向家庭辦公、小型辦公室開發的防火牆設備。

其主要技術參數：

• 採用MPC的微處理技術，而且自帶硬件加密卡。

• 8M FLASH 64M 內存

• 4個固定的十、100M自適應FE口做爲局域網口；

• 1個固定的十、100M自適應FE口做爲廣域網口；

• 20Mbps吞吐量

F100-A和F100-C防火牆的主要差異：

F100-A防火牆	F100-C防火牆
32位的微處理器技術;	MPC的微處理技術，而且自帶硬件加密卡。
16M FLASH  256M內存	8M FLASH  64M 內存
4個固定10/100自適應FE口做爲局域網口	4個固定10/100自適應FE口做爲局域網口
3個固定10/100自適應FE口做爲廣域網口	1個固定10/100自適應FE口做爲廣域網口
1個MIM擴展槽位；	無
60Mbps（1400bytes）3DES加密性能(使用硬件加密卡)	？3DES加密性能(自帶硬件加密卡)
300Mbps吞吐量	20Mbps吞吐量

SecPath防火牆業務特性

防火牆主要業務特性

防火牆支持多種***防範手段、Tcp proxy、內網安全、流量監控、網址過濾、網頁過濾、郵件過濾等功能，可以有效的保證網絡的安全。

防火牆採用ASPF狀態檢測技術，可對鏈接過程和有害命令進行監測，並協同ACL完成動態包過濾。

防火牆提供多種智能分析和管理手段，支持郵件警告，支持多種日誌，提供網絡管理監控，協助網絡管理員完成網絡的安全管理。

防火牆支持AAA、NAT等技術，能夠確保在開放的Internet上實現安全的、知足可靠質量要求的網絡。

防火牆支持多種***業務，如L2TP *** 、IPSec *** 、SSL ***、GRE ***、或動態***等，而且支持硬件加密，能夠針對客戶需求經過ADSL撥號、VLAN或隧道等方式接入遠端用戶，構建Internet 、 Intranet、Remote Access 等多種形式的***。

防火牆支持經過BIMS功能自動更新設備的配置文件及應用程序，支持經過*** Manager功能來完成***的部署和配置。
防火牆提供基本的路由器能力，支持RIP/OSPF/BGP路由策略及策略路由；支持豐富的Qos特性，提供流量監管、流量整形及多種隊列調度策略。

防火牆主要功能

支持包過濾技術。支持基於接口的訪問控制列表，基於時間的訪問控制列表。藉助報文優先級、TOS、UDP、或TCP端口等信息做爲過濾參數，經過在接口輸入或輸出方向上使用標準或擴展訪問控制規則，能夠實現對數據包的過濾。同時，還能夠按照時間段進行過濾。

支持應用層報文過濾ASPF（Application Specific Packet Filter），也稱爲狀態防火牆，它檢測應用層協議（如FTP、HTTP、SMTP、H.32三、RTSP等協議及其它基於TCP/UDP協議的應用層協議）而且監控基於鏈接的應用層協議狀態，維護每個鏈接的狀態信息，支持ActiveX的過濾功能，並動態地決定數據包是否被容許經過防火牆或者被丟棄。

提供多種***防範技術，包括針對Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood 、ICMP Flood、ARP Flood、ARP欺騙***的防範，提供ARP主動反向查詢、TCP報文標誌不合法***防範、超大ICMP報文***防範、地址/端口掃描的防範、Dos/DDOS***防範、ICMP重定向或不可達報文控制功能、MAC地址和IP地址綁定功能。支持透明防火牆。支持反向路由檢查功能。

內容和郵件過濾

支持業務郵件過濾，提供SMTP郵件過濾、SMTP郵件標題過濾、SMTP郵件內容過濾和SMTP郵件附件過濾，支持SQL/Java Applet/ActiveX過濾。支持網頁過濾，提供HTTP URL過濾、HTTP內容過濾。支持反向路由檢測等功能。

監控功能

防火牆提供了強大的監控功能，主要經過監視防火牆自身提供的各類系統日誌，統計、分析和告警，最終來實現控制防火牆的目的：

圖中形象地描述了防火牆如何提供將日誌給管理員的。

防火牆提供的日誌信息和功能以下：

一、各類日誌：
***實時日誌、黑名單日誌、地址綁定日誌、流量警告日誌、會話日誌、二進制格式日誌和NAT等日誌。這些日誌可以有效的記錄網絡狀況，從而爲網絡管理人員分析網絡情況，防範網絡***提供依據。

二、流量統計和分析功能：
經過流量統計和分析能夠及時發現***和網絡蠕蟲病毒產生的異常流量。網絡管理員可使用防火牆預先定義的流量分析模型，也能夠本身定義各類協議流量的比例，鏈接速率閾值等參數，造成適合當前網絡的分析模型、

三、各類事件監控和統計功能：
包括全局/基於安全域鏈接速率監控、全局/基於安全域協議報文比例監控和安全事件統計功能。這些監控統計功能能夠有效的提供針對各類***狀況、異常狀況提供有效的分析數據。

四、郵件告警功能：
包括E-mail郵件的實時告警、E-mail郵件按期信息發佈。告警郵件中包含有***日誌和詳細的網絡流量分析結果，能夠供管理員進行網絡優化。告警郵件的發送使用兩種方式：一種是實時發送，一旦檢測到***行爲，當即發送郵件到指定的郵件地址；另一種是在指定的時間按期發送告警郵件到達指定的郵件地址。

多種配置方式

H3C SecPath 防火牆還支持web配置接口，以區別於命令行接口，方便圖像化配置和管理。

圖是WEB圖形化的屏幕截圖，

配置和管理包括以下功能：

• 系統管理：系統資源管理、設備重啓，系統軟件的升級，配置信息文件的瀏覽、保存、下載和上傳；

• 用戶配置；

• 接口管理；

• 靜態路由，域名服務支持；

• IPSec配置；

• 支持防火牆：***防範，ACL，黑名單，安全區域，IP/MAC地址綁定；

• 支持郵件過濾：地址過濾，內容過濾，郵件過濾，主題過濾；

• 日誌監控：流量統計，日誌管理；

• 業務管理：NAT管理，DHCP管理，SNMP管理；

• 經常使用工具支持（包括Ping，Tracert等）；

• 幫助信息；

• 註銷身份。

SecPath系列防火牆的典型應用

應用1---企業出口防火牆應用

圖給出了典型企業防火牆的應用方案，該方案使用H3C SecPath 系列防火牆提供強大的過濾功能，提供優秀的管理功能，部署在內部網絡的出口，防範來自外部網絡的各類***。
該方案實現了經過報文檢測並阻止非法***。提供多種***防範技術。支持黑名單過濾。MAC地址過濾。幀過濾。支持TCP代理。支持通明防火牆，ASPF狀態防火牆。阻止惡意***，可以實現郵件、網頁過濾。支持流量監控。支持詳盡的日誌，支持***告警。具備強大的處理能力，可以充分發揮帶寬優點。支持NAT，支持多種ALG。

應用2---中小企業防火牆結合***功能應用

圖給出了典型中小企業防火牆結合***的應用，該方案使用H3C SecPath F1000-S防火牆。不但提供強大的過濾功能，而且具備強大的***功能，使用SecPath F1000-S防火牆，便可以保護內部網絡的安全，也能夠知足分支以及移動辦公訪問公司本部資源的需求。
該方案實現了阻止惡意***，可以實現郵件、網頁過濾。支持流量監控。支持詳盡的日誌，支持***警告。基於用戶接入控制，對用戶流量進行過濾。遠程辦公人員使用動態密碼認證，保證用戶的惟一性，解決移動用戶安全問題。支持D***、L2TP、GRE、IPSEC組網應用。支持BIMS和*** Mannger。

應用3--- soho防火牆結合***功能應用

圖給出了典型soho防火牆結合***功能應用，該方案使用H3C SecPath F100-C防火牆，具備強大的***功能，能夠知足分支以及移動辦公訪問公司本部資源的需求，適應SOHO型的家庭或者辦公網絡。SecPath F100-C防火牆還提供強大的過濾功能和優秀的管理功能。能夠將其部署在內部網絡的出口，防範來自外部網絡的各類***。

該方案實現了經過報文檢測並阻止非法***。阻止惡意***，可以實現郵件、網頁過濾。支持詳盡的日誌，支持***告警。支持流量監控。具備地強大的處理能力，可以充分發揮帶寬優點。支持NAT，支持多種ALG。基於用戶接入控制，對用戶流量進行過濾。支持D***/L2TP/IPSec組網應用。

應用4--- 分支機構***結合防火牆備份應用

圖給出了典型分支機構***結合防火牆備份應用 該方案使用H3C SecPath 防火牆支持***應用，同時可以提供設備冗餘備份和負載分擔。經過在企業總部放置兩臺SecPath 防火牆，分支經過IPSec ***接入，來保證數據在網絡上傳輸時的私有性、完整性、真實性和防重放。企業總部使用兩臺防火牆進行負載分擔，當其中一臺設備出現問題以後實現備份。
在該方案中，總部採用SecPath防火牆做爲IPSec隧道終點，分支分別和總部兩臺SecPath創建***隧道實現分支訪問總部的備份。總部兩臺防火牆對內也支持負載分擔和設備備份，典型的應用於對穩定性要求較高的企業，可以同時知足防火牆和***的需求。

• 防火牆實現備份，避免單點故障；

• 防火牆之間實現負載分擔，使資源獲得充分利用；

• 支持分支機構動態IP上網；

• 支持NAT穿越；

• 數據報文保證私有性、完整性、真實性；

 

技

術

是

用

來

學

的

，

不

是

用

來

收

藏

的

！