H3C SecPath下一代防火墙产品介绍
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应需而安•化繁为简——
H3C SecPath NGFW下一代防火墙产品介绍
目录
➢ NGFW的时代需求 ➢ H3C下一代防火墙介绍 ➢ 典型应用场景
2
新挑战-用户的安全策略随行
员工和领导使用同一台设备办 公可否获取不同的安全策略?
传统防火墙根据设备的IP或MAC地址来 下发安全策略。设备即用户,策略控制 不够灵活。
真路由!真安全!真交换!
16
Hale Waihona Puke 新老防火墙参数对比固定端口形态 防火墙吞吐量 SSL VPN并发用户
并发连接数 4到7层深度防御 VPN性能(3DES)
硬盘扩展插槽 Comware软件平台
F100-A-G 6GE 1.2G 50 25万 250M 300M 无 V5
F100-A-G2
F1000-C-G
SecPath NGFW
小型分支
SecPath NGFW
总公司内部网络
20
典型应用场景-VPN及BYOD解决方案
系统自带VPN 组件对接
通过L2TP over IPSec 加密传输
安卓/IOS
H3C iNODE SSL对接
企业WiFi
加密 认证
3G/4G
SecPath NGFW
通过SSL VPN加密传输
目前可识别多达1200种应用流量并进行控制! 特征库不断更新!
HTTP 邮件、P2P
UDP、TCP
1200+
11
强大的4-7层深度安全防御引擎
开启深度安全防御,性能折损在 所难免,业界公认折损容忍度: 相比防火墙性能折损比≤50%
SecPath NGFW全系列 DPI性能平均折损比≤40%
DPI性能折损比(D)
公网
主设备 完成全部FW工作
备份设备 平时不工作
传统防火墙只能实现一主一备,备 份防火墙资源严重浪费。
VRRP链路备份 HA备份
如何在保证高可靠性的同时将备份 设备也有效利用起来?
内部网络
6
老困难-网关集成化
防火墙在SMB内能否扮演更多的角色? 安全、路由、交换能否集成到同一台设备上?
安全
路由
交换
自定义用户分类进行本地认证!
时间识别
终端类型识别
针对时间、位置、身份ID、终端类型等进行多维度用户识别
序号 1 2 3
用户
时间 any Work work
应用 any
领导
员工
认证服务器
配合认证服务器进行远程认证!
默认动作 深度防御 带宽管理
——
≥20M
IPS、DLP ≥50M
——
——
10
海量应用流量识别及控制
7
新网络变化呼唤下一代防火墙
• 用户的安全策略随行 • 海量应用的识别与控制 • 4-7层防御性能折损严重 • 双机热备造成的资源浪费 • 网关集成化
传统防火墙已无法应对!
8
目录
➢ NGFW的时代需求 ➢ H3C下一代防火墙介绍 ➢ 典型应用场景
9
基于用户的策略下发
位置识别
身份ID识别
领导 员工
ISP1
ISP2
SSL VPN 数据流
DMZ服务 器区
出差 SecPath NGFW
内部网络
防火墙、核心交换、路由、 NAT、 VPN、认证、深度防御、 链路负载均衡等多种特性合一。
19
典型应用场景-全能VPN接入
移动接入
SSL/L2TP VPN
家庭办公
SSL/L2TP VPN
Internet
IPSec VPN
内部服务器群
21
P A G E 43
THANKS
外部网络 IRF集群部署
内部网络
13
链路负载均衡
电信
出方向:策略路由+负载均衡 入方向:智能DNS
网通
服务器负载均衡
…
内部网络
DMZ
14
专业虚拟防火墙和IPv6完全防御
虚拟防火墙
1:N虚拟化
IPv6网络
访问控制
网络层攻 击过滤
应用层攻 击过滤
异常流量 限速
1、访问控制 2、攻击防范 3、流量限速
然而,互联网时代更多的是移动办公, 用户的位置和使用的设备都是不固定的, 如何让安全以人为本,策略随行?
3
新挑战-海量应用的流量识别与控制
传统防火墙的应用特征库十分有限, 无法对海量新兴应用的流量进行识 别与控制。
如何识别并控制互联网时代各种层 出不穷的应用流量?
4
老困难-开启4至7层防御性能折损严重
4至7层深度安全防御
✓ 漏洞入侵攻击检测及防护 ✓ 病毒攻击防护 ✓ APP应用精准识别
✓ 内容检测过滤
✓ URL检测过滤
……
然而,传统防火墙将之开启后性能会出现断崖式下滑!
DPI性能折损比(D)
传统防火墙 D=1-DPI/FW
80%
5
老困难-双机热备造成的资源浪费
安全高可靠性——防火墙设备之基本素养
安全内容
4、合格交付
全面的IPv6支持!
15
NGFW下一代防火墙
SecPath F100-A-G2 SecPath F1000-C-G2
网关集成化 多维度用户识别 海量应用识别与控制 用户的策略随行 强大的4至7层安全防御 高可靠性,高利用率——IRF2 链路负载均衡 专业虚拟防火墙 全面支持IPv6
40% 50%
业界最强!!!
其他厂商NGFW SecPath D=1-DPI/FW
12
高可靠性-IRF2
IRF2的新价值!
①对外呈现单节点,单实IP,多链路捆绑 ②多台设备单IP、管理界面唯一,简单一致 ③整系统性能随设备数线性叠加 ④链路动态负载均衡,提高链路利用率 ⑤配置统一管理,自动下发,无需人工备份 ⑥对外呈现单一的安全资源池,灵活可靠
F1000-C-G2
16GE+8SFP
12GE
16GE+8SFP
1.5G
2G
4G
15(授权可达1000)
100
15(授权可达4000)
100万
100万
400万
1G
300M
2G
1G
400M
2G
1个
无
1个
V7
V5
V7
17
目录
➢ NGFW的时代需求 ➢ H3C下一代防火介绍 ➢ 典型应用场景
18
典型应用场景-出口防护
H3C SecPath NGFW下一代防火墙产品介绍
目录
➢ NGFW的时代需求 ➢ H3C下一代防火墙介绍 ➢ 典型应用场景
2
新挑战-用户的安全策略随行
员工和领导使用同一台设备办 公可否获取不同的安全策略?
传统防火墙根据设备的IP或MAC地址来 下发安全策略。设备即用户,策略控制 不够灵活。
真路由!真安全!真交换!
16
Hale Waihona Puke 新老防火墙参数对比固定端口形态 防火墙吞吐量 SSL VPN并发用户
并发连接数 4到7层深度防御 VPN性能(3DES)
硬盘扩展插槽 Comware软件平台
F100-A-G 6GE 1.2G 50 25万 250M 300M 无 V5
F100-A-G2
F1000-C-G
SecPath NGFW
小型分支
SecPath NGFW
总公司内部网络
20
典型应用场景-VPN及BYOD解决方案
系统自带VPN 组件对接
通过L2TP over IPSec 加密传输
安卓/IOS
H3C iNODE SSL对接
企业WiFi
加密 认证
3G/4G
SecPath NGFW
通过SSL VPN加密传输
目前可识别多达1200种应用流量并进行控制! 特征库不断更新!
HTTP 邮件、P2P
UDP、TCP
1200+
11
强大的4-7层深度安全防御引擎
开启深度安全防御,性能折损在 所难免,业界公认折损容忍度: 相比防火墙性能折损比≤50%
SecPath NGFW全系列 DPI性能平均折损比≤40%
DPI性能折损比(D)
公网
主设备 完成全部FW工作
备份设备 平时不工作
传统防火墙只能实现一主一备,备 份防火墙资源严重浪费。
VRRP链路备份 HA备份
如何在保证高可靠性的同时将备份 设备也有效利用起来?
内部网络
6
老困难-网关集成化
防火墙在SMB内能否扮演更多的角色? 安全、路由、交换能否集成到同一台设备上?
安全
路由
交换
自定义用户分类进行本地认证!
时间识别
终端类型识别
针对时间、位置、身份ID、终端类型等进行多维度用户识别
序号 1 2 3
用户
时间 any Work work
应用 any
领导
员工
认证服务器
配合认证服务器进行远程认证!
默认动作 深度防御 带宽管理
——
≥20M
IPS、DLP ≥50M
——
——
10
海量应用流量识别及控制
7
新网络变化呼唤下一代防火墙
• 用户的安全策略随行 • 海量应用的识别与控制 • 4-7层防御性能折损严重 • 双机热备造成的资源浪费 • 网关集成化
传统防火墙已无法应对!
8
目录
➢ NGFW的时代需求 ➢ H3C下一代防火墙介绍 ➢ 典型应用场景
9
基于用户的策略下发
位置识别
身份ID识别
领导 员工
ISP1
ISP2
SSL VPN 数据流
DMZ服务 器区
出差 SecPath NGFW
内部网络
防火墙、核心交换、路由、 NAT、 VPN、认证、深度防御、 链路负载均衡等多种特性合一。
19
典型应用场景-全能VPN接入
移动接入
SSL/L2TP VPN
家庭办公
SSL/L2TP VPN
Internet
IPSec VPN
内部服务器群
21
P A G E 43
THANKS
外部网络 IRF集群部署
内部网络
13
链路负载均衡
电信
出方向:策略路由+负载均衡 入方向:智能DNS
网通
服务器负载均衡
…
内部网络
DMZ
14
专业虚拟防火墙和IPv6完全防御
虚拟防火墙
1:N虚拟化
IPv6网络
访问控制
网络层攻 击过滤
应用层攻 击过滤
异常流量 限速
1、访问控制 2、攻击防范 3、流量限速
然而,互联网时代更多的是移动办公, 用户的位置和使用的设备都是不固定的, 如何让安全以人为本,策略随行?
3
新挑战-海量应用的流量识别与控制
传统防火墙的应用特征库十分有限, 无法对海量新兴应用的流量进行识 别与控制。
如何识别并控制互联网时代各种层 出不穷的应用流量?
4
老困难-开启4至7层防御性能折损严重
4至7层深度安全防御
✓ 漏洞入侵攻击检测及防护 ✓ 病毒攻击防护 ✓ APP应用精准识别
✓ 内容检测过滤
✓ URL检测过滤
……
然而,传统防火墙将之开启后性能会出现断崖式下滑!
DPI性能折损比(D)
传统防火墙 D=1-DPI/FW
80%
5
老困难-双机热备造成的资源浪费
安全高可靠性——防火墙设备之基本素养
安全内容
4、合格交付
全面的IPv6支持!
15
NGFW下一代防火墙
SecPath F100-A-G2 SecPath F1000-C-G2
网关集成化 多维度用户识别 海量应用识别与控制 用户的策略随行 强大的4至7层安全防御 高可靠性,高利用率——IRF2 链路负载均衡 专业虚拟防火墙 全面支持IPv6
40% 50%
业界最强!!!
其他厂商NGFW SecPath D=1-DPI/FW
12
高可靠性-IRF2
IRF2的新价值!
①对外呈现单节点,单实IP,多链路捆绑 ②多台设备单IP、管理界面唯一,简单一致 ③整系统性能随设备数线性叠加 ④链路动态负载均衡,提高链路利用率 ⑤配置统一管理,自动下发,无需人工备份 ⑥对外呈现单一的安全资源池,灵活可靠
F1000-C-G2
16GE+8SFP
12GE
16GE+8SFP
1.5G
2G
4G
15(授权可达1000)
100
15(授权可达4000)
100万
100万
400万
1G
300M
2G
1G
400M
2G
1个
无
1个
V7
V5
V7
17
目录
➢ NGFW的时代需求 ➢ H3C下一代防火介绍 ➢ 典型应用场景
18
典型应用场景-出口防护