文章目录
- 网络安全产品与方案概述
- 1.H3C安全产品介绍
- 2.H3C安全产品部署
- 防火墙产品
- 经典防火墙
- NGFW下一代防火墙
- 多因素安全理念
- 一体化安全策略
- 智能安全策略(iPolicy)
- SOP(Security One Platform)专业虚拟防火墙
- 智能选路
- NGFW防火墙产品系列
- NGFW优势1:基于用户名控制
- NGFW优势2:集群(SCF)
- M9000高端安全旗舰
- IPS产品
- 负载均衡产品
网络安全产品与方案概述
目标:
了解H3C全系列安全产品的功能特色(以华三为例,了解所有网络安全产品)
掌握安全产品的基本组网应用
1.H3C安全产品介绍
H3C 安全产品全家福
网络层安全产品
防火墙集成了VPN功能
AFC产品系列是做流量清洗的,防止DDoS攻击(抗D)
NGFW产品系列其实就是普通防火墙的高端产品。
NFV产品系列是虚拟防护产品,vLB是虚拟负载均衡,vFW是虚拟防火墙,一般用在运营商和数据中心
M9000多业务网关产品系列是跨网络层和业务层的产品
应用层安全产品
入侵检测产品有插卡和普通型号
数据库审计产品系列可以用在排错,例如查看输入了什么SQL导致死锁或者崩溃。
网闸用在物理隔离的场景(防火墙是逻辑隔离)
堡垒机用于设备的运维审计等
安全管理产品
安全管理中心(SSM)对安全设备进行管理的软件
安全态势感知:有两种方式,一种是收集所有设备的日志进行大数据分析,一种是利用网络探针,采集网络中的关键流量,然后分析得到当前网络的健康状况。
终端安全管理(EAD):认证、终端安全检查
H3C防火墙安全产品命名规则
举例:F100-C/S/M/A/E/G,字母用于细分产品类型和档次
■C——表示Compact,定位为该档次的精简型产品
■S——表示Standard,定位为该档次的标准型产品
■M——表示Middle,定位为该档次的中间型产品
■A——表示Advanced,定位为该档次的高级型产品
■E——表示Enhanced,定位为该档次的增强型产品
■G——表示Generation,表示前缀型号的下一代产品
性能、功能及价格对比:C<S<M<A<E<G
交换机也一样,别被厂商官网产品型号唬住了,其实某一时间主推产品就那么几款。下面对华为常见中低端交换机功能,给大家做了一个总结对比:
S5720S-LI系列下一代精简型千兆交换机:静态路由,支持RIP、RIPng协议(目前主推的接入节点使用,性价比高)
S5720-LI系列精简型千兆交换机:静态路由、RIP、RIPng、OSPF、OSPFV3协议(上一代产品,慢慢开始停产)
S5720-SI系列标准型千兆以太交换机:静态路由、RIPv1/2、RIPng、OSPF、OSPFV3、ECMP、ISIS、ISISV6、BGP、BGP4+(分销产品)
S5720-EI系列增强型千兆以太交换机:静态路由、RIP v1/2、RIPng、OSPF、OSPFV3、IS-IS、IS-ISV6、BGP、BGP4+、ECMP、路由策略(目前主推的汇聚节点使用)
S5720-HI系列盒式敏捷交换机:主打SDN功能,VXLAN/iPCA/EVPN等敏捷方案功能(很少出场)
分销产品通常是指分销商可批量购进,然后零售卖出的产品,价格比较固定
行业产品通常是指不可批量购进,只能按项目进行采购的产品,价格随项目大小有所差异,项目越大通常越便宜,当然不能将大项目采购的产品高价卖出(串货)
安全产品关键性能指标
主要参考以下3种性能指标:
1.整机吞吐量:指安全产品在状态检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量安全产品对报文的处理能力。例如一个防火墙的吞吐带宽为10G,那么这个设备理论的出口带宽为5G,考虑设备本身的损耗以及处理协议的报头,实际出口带宽估算为10/3≈3G。
2.最大并发连接数:由于安全产品是针对连接进行处理报文的,并发连接数目是指的安全产品可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。例如一个防火墙的并发量为100万,我们为每一个终端预估的连接数量为1000,因此实际上一个防火墙对应的并发终端为:100万/1000=1000台终端
3.每秒新建连接数:指每秒钟可以通过安全产品建立起来的完整TCP/UDP连接。该指标主要用来衡量安全产品在处理过程中对报文连接的处理速度,如果该指标低会造成用户明显感觉上网速度慢,在用户量较大的情况下容易造成安全产品处理能力急剧下降,并且会造成其对网络攻击防范能力下降。
以上指标一般厂商不对外宣传。因此在选型的时候只能看接口数量。
2.H3C安全产品部署
防火墙产品
经典防火墙
防火墙:保护网络周边安全的关键设备,可以保护一个“信任”网络免受“非信任”网络的攻击,但是同时还必须允许两个网络之间可以进行合法(符合安全策略)的通信。
基本功能:网络隔离和访问控制
例如下图中划分了三个区域(下图中DMZ区中服务器是邮件服务器),然后可以配置各个区域之间的访问安全策略(方框中的就是,实际上和交换机或路由器上的ACL一样)。
防火墙中经常集成了VPN功能:
| 类型 | 应用场景 | 主要用途 | 技术要求 |
|---|---|---|---|
| IPSEC | Internet,分支网络间互联(总部分支结构,下图红线) | 安全传输,加密 | 两端网关支持IPSEC |
| SSL | Internet,移动终端接入(终端接入,下图蓝线) | 安全传输,加密 | 中心网关支持SSL VPN |
H3C防火墙全面的深度安全防护
■应用层攻击抵御:蠕虫、木马、间谍软件的实时防护。
■全球漏洞特征升级:设备自动完成升级,实现实时防护。
灵活的虚拟防火墙
一台防火墙可以虚拟为N个防火墙来使用
免费内置多种VPN特性
■免费提供多种VPN:支持L2TP VPN、GREVPN、IPSec VPN、SSL VPN和动态VPN等各种VPN,其中动态VPN(DVPN)是H3C的专利技术,很好的解决VPN星型组网方式下分支互联问题。
■智能VPN管理:传统VPN方式的弊端,就是必须是按照事先的配置进行组网,不仅组网复杂,管理维护工作量很大,而且无法适应动态IP地址环境,H3C VPN结合多种VPN技术和管理手段完美的解决了此问题。
■图形化集中管理平台,可以实现多功能配置、特征库升级和设备管理
■率先支持双网管协议(SNMP和TR069),可以实现海量设备智能管理
H3C当前防火墙主打款型
NGFW下一代防火墙
多因素安全理念
传统防火墙是基于网络层的,包括IP、端口
下一代防火墙控制的因素很多,如下图所示:
一体化安全策略
就是配置简单,原来基于ACL的控制方法对一些应用很难配置(如迅雷,它的端口不固定),而下一代防火墙的图形化配置非常简单,如下图所示,可以用用户组来进行管理。
智能安全策略(iPolicy)
SOP(Security One Platform)专业虚拟防火墙
| 传统虚拟防火墙 | 云时代虚拟防火墙 | |
|---|---|---|
| 隔离方式 | VRF路由隔离 | 业务系统隔离 |
| 虚拟化程度 | 部分业务VPN实例化 | 完全虚拟化 华三防火墙虚拟化底层用Docker技术 |
| 动态资源 | 有限资源分配 | 所有动态资源均可分配 保障+抢占 |
| 性能 | 性能高 | 性能高 |
| 可靠性 | 一个实例故障,整机故障 | 一个SOP故障,其他SOP不受影响 |
VRF: Virtual Router Forward虚拟路由转发
Docker
传统服务器:
那么在这个服务器上可以按照自己的应用服务,例如web服务、数据库。但是如果有多个web应用,都丢在一个服务器,如果其中一个出问题,很容易影响别的WEB应用。
虚拟化服务器
这里虚拟化出来的VM1、VM2等这些服务器可以有自己的OS,自己的WEB服务器,数据库。
当有多个web应用,可以分别放到不同的虚拟化的服务器上。
这样虽然隔离了各个web应用,但是每个虚拟化的服务器都安装相同的OS、WEB服务器,数据库。。。很浪费资源。
然后docker技术:
智能选路
多出口选路=静态智能+动态智能
NGFW防火墙产品系列
高端
安全守望者(Security Watchmen)
NGFW优势1:基于用户名控制
■上线策略跟随:通过提前预置策略,用户上线再下发对应IP到地址组,实现用户管控
■下线策略回收:预置策略不变,只删除对应IP,节省设备资源
■攻击威胁溯源:发现攻击,通过日志溯源用户,实现用户下线、加黑名单、限速
NGFW优势2:集群(SCF)
◆SCF集群的新价值:
1、从管理角度——解决了传统双机热备(HA)技术的多节点管理问题,两台设备集群后,仅一个网元节点;
2、从应用角度突破传统HA了双活和主备概念,集群后的两台设备统一控制,接口扩展,性能翻倍;
3、从维护角度——因为集群后双机统一控制,因此没有配置同步问题,更解决了双机占用多个地址问题。
M9000高端安全旗舰
三个型号:
灵活的硬件架构
1.控制、交换、业务、接口分离架构提高设备整体的可靠性(业务引擎:防火墙等)
2.独立交换引擎提供更高槽位带宽,保障性能扩展
3.独立接口单元,便于业务能力、接口密度灵活搭配(万兆)
领先的业务处理能力
相应的板卡性能指标:
L4代表网络层
L7代表应用层
全新一代SecBlade硬件,重新定义性价比
√单卡最高吞吐200G、并发1亿+
√综合排名第一入围2015移动NAT集采
√综合排名第一入围2015广东广电集采
以上是2015年状态。
丰富的接口单元类型
几个特色功能
智能分流(IFF)
安全集群框架(SCF)
安全ONE平台(SOP)
Docker技术
业务N:N高可用
传统方法只有一个主机在使用,另外一个是standby状态
使用场景
园区网场景
·多业务网关同时提供4-7层安全防护及应用交付功能
·防火墙提供高性能NA及安全策略控制
·LB提供多链路智能选路
·ACG提供应用QoS及流量审计功能
·配合IMCSSM平台实现海量日志审计
云计算数据中心场景
·接口万兆上行,通过高密万兆或40G捆绑保障业务带宽
·SCF提供多业务弹性扩展能力
·N:N备份,简化网络部署,提高可靠性,保证业务零中断
M9000系列与交换机插安全板卡有什么不一样?
虽然二者都会有安全方面的功能,但是他们底层不一样,M9000系列底层是安全构架,交换机插安全板卡底层是交换构架
IPS产品
IPS与防火墙有什么不同?
答:防火墙趋向于边界的管理,主要做边界的隔离,类似园区的出入口的保安。对于绕过出入口的内网攻击需要IPS来防护,通常IPS镜像接入核心路由器。
H3C高端分布式IPS产品
大型数据中心,云计算数据中心、云服务提供商多租户场景
IPS通过的库认证
CVE:Common Vulnerabilities&Exposures,通用漏洞披露,是系统漏洞和漏洞防护领域事实上的工业标准
从CVE Searchable、CVE Output、CVE Mapping、Documentation等方面进行严格认证
确保IPS可以为用户提供更全面、更及时的攻击特征库,有效防御零日攻击
确保IPS可以通过CVE标准与其他安全产品或安全测试工具进行“对话”,从而帮助用户更有效地消除系统漏洞带来的安全风险
http://cve.mitre.org/compatible/compatible.html
MAPP(The Microsoft Active Protections Program)旨在整合全球安全资源,通过认证的安全厂商,可提前获取微软漏洞的技术细节信息
MAPP认证确保H3CIPS在攻击出现之前就能提供前瞻性安全防护
三库合一实现全面攻击防御
创新技术带来的价值:
更有效地防御混合型威胁
切合新型攻击手法的发展趋势
提高防御精度和效率
IPS虚拟化
完全虚拟化
按需分配资源
独立管理
单独重启
高扩展性
传统部署方式
传统部署方式+SCF部署方式
IPS架构
多核平台实现对安全业务的并行处理,既能够适应应用层多变的特点,又能够达到专业级的高性能。
可以看到多核平台中每一个核都可以单独进行各种业务处理,相对于把每种业务单独用不同核心来处理的构架而言,这种方式资源分配更加均衡,因为如果把每种业务单独用不同核心来处理,一些业务需要资源多(流量分析),一些业务需要资源少(协议识别),这样就会造成资源分配不均匀。
内置的高可用性(软件二层回退)
■热插拨,双电源支持
■支持二层回退功能
硬件掉电保护模块 PFC(Power Free Connector)
■借助于掉电保护模块,可保证IPS掉电时,网络依然畅通(掉电后数据直接走PFC模块,而不中断,这个东西是在串联的时候用,镜像接入时不需要)。
■T1000系列内置掉电保护模块
负载均衡产品
负载均衡分类及价值
链路负载均衡通常集成在FW或者ACG上,一般不单独购买,而其他两类是需要单独设备的。
当服务器数量比较多,或者服务器比较重要的时候,需要单独购买服务器负载均衡设备
大型运营商(例如:百度)有多个数据中心,这个时候用户在访问的时候,需要全局负载均衡设备协调就近的数据中心或者空闲的数据中心。
负载均衡带来的好处
扩展网络设备和服务器的带宽;
增加吞吐量,加强网络数据处理能力;
提高网络的灵活性和可用性。
高性能
高可用性
高安全性
高灵活性
高可靠性
高扩展性
除此之外,LB设备还包含其他应用层的安全防护功能:
负载均衡一全新V7序列
L1000:低端
L5000:高端
Secblade ADE:
■产品特性
单板性能达25Gbps
适配主机:S75E/S105/S76-X/SR88-X
■丰富灵活的应用交付特性
TCP连接复用、SSL卸载、HTTP压缩等基于丰富特征的Policy特性
■SCF集群N:1虚拟化,N:1后再一虚多(1虚64)
·负载均衡资源虚拟化、一虚多满足多租户需求优化网络拓扑、实现设备性能叠加
·统一管理、避免多设备重复配置、会话实时同步
■DRX方案、LBM+APM联动方案
·与虚拟机联动实现动态资源扩展,全面监控服务器及应用状态,并对虚拟机进行创建/删除/重启等操作
应用加速
TCP连接复用
■大幅减轻服务器处理海量TCP连接压力
SLB与互联网用户建立海量连接
SLB与后端服务器建立少量复用长连接
显著降低服务器响应TCP连接开销
普通服务器一旦有用户进行TCP连接(三次握手)后,就要为这个连接授予相应的cpu和内存资源,连接用户一旦很多,服务器很容易就DoS。
如果采用TCP连接复用的服务器,可以中间使用负载均衡设备去终结(复用)TCP的连接,减少服务器的TCP连接。
■显著提升用户体验
降低服务器负荷,加速服务响应
■减少服务器投入,降低成本
高性能SLB代为处理
减少服务器投入数量
关键流量高峰从容应对
HTTP压缩
就是把本来要在服务器上进行的HTTP压缩工作转移到负载均衡设备上来做,减轻服务器压力。
■大幅减轻服务器处理HTTP压缩开销
用户HTTP请求会自带要求压缩字段
SLB设备收到请求后剥离压缩字段发给服务器
服务器响应不压缩数据,降低开销
由SLB设备压缩发还给用户
■显著提升用户体验
降低服务器负荷,加速服务响应
小容量数据实现更快传输
■减少服务器投入,减小带宽使用率
高性能SLB代为处理压缩流量占用少量带宽
SSL卸载
就是把本来要在服务器上进行的HTTPS的SSL加解密转移到负载均衡设备上来做(负载均衡设备有专门加解密的芯片),减轻服务器(X86构架做加解密很慢)压力。
■大幅减轻服务器SSL加解密压力
用户HTTPS流量到达SLB设备会被卸载
明文HTTP流量发给后端服务器
显著降低服务器SSL加解密开销
■显著提升用户体验
SSL卸载由高速硬件芯片完成
加速服务响应
■减少服务器投入,降低成本
SSL高速硬件芯片处理
效率远高于服务器CPU处理
N:1虚拟化
■H3C私有IRF协议,实现N:1虚拟化
智能弹性架构Intelligent Resilient Framework
双机热备、双主(双活)
故障切换时间小于50ms(拔线丢1个包)
冗余口成员只需配一个地址
■用户部署便捷、节省公网IP地址
友商VRRP(虚拟路由冗余协议:Virtual Router Redundancy Protocol)方式需3个地址(2个接口地址,1个浮动IP)
华三只需一个地址,通过ARP调度
公网IPV4地址紧缺,浪费不可饶恕
1:N虚拟化
■实现全业务虚拟化
虚拟设备完全独立
独立配置管理、独立审计
独立配置文件
独立启动、停止、重启
■实现云计算虚拟化多租户
最多虚拟64个虚拟设备
配合H3C IRF实现N:1虚拟化后再1:N实现应用交付资源池
CPU时分复用技术保证集群高性能
基于应用健康度的负载方案
负载均衡产品金融应用场景
金融应用场景
■互联网出口链路负载均衡LLB
·出向Outbound、入向Inbound
·基于应用的智能选路
·DNS透明代理
·链路繁忙控制等
■服务器区负载均衡
·服务器集群虚拟化、系统高可用性
·网上银行应用虚拟化
·网上银行web应用加速
·网上银行SSL卸载/加速
·网上银行大客户虚拟专线接入
·各类前置机负载均衡等
■防火墙负载均衡
·实现多台防火墙的负载均衡
To Be Continued…