SecPath M9000综合网关介绍

SecPath M9000综合网关

在当前各行业加速迈向互联网化的形势下，用户的网络安全防护也面临着新的挑战，而规避互联网化、移动化、云化的风险，成为了下一代安全必须具备的特性。因此，结合当前安全与网络深入融合的技术趋势，H3C面向大型企业、运营商和数据中心、云计算市场推出了SecPath M9000系列新一代高性能超万兆安全综合网关，将高端安全旗舰产品的级别提升到了一个新的高度。

如何理解多业务安全网关？它应具备哪些特征？

随着网络应用的广泛普及和网络带宽的持续发展，安全话题日趋成为了人们关注的焦点, 安全网关产品做为网络边界的第一道防线，越来越向着更高性能、更高密度、更高扩展性、更高可靠性以及更易管理的方向发展。

更高性能：除吞吐量外，随着Web2.0业务和移动智能终端的兴起，新建连接数和系统并发连接数日益成为安全厂家和用户的关注点。

更高密度：在单位空间下对外提供更高的业务处理能力及更多的端口数量，从而提升设备整体的业务输出能力。

更高扩展性：针对用户的安全业务，能够根据用户的业务状况定制功能及性能，并伴随用户的业务发展能对设备的功能、性能进行平滑升级。

更高可靠性：除了在硬件层面通过主控、电源、风扇等关键部件冗余设计提高可靠性外，系统软件层面需要更富针对性的安全业务集群来保障可靠性，而不是传统的双机热备。

更易管理：业务的持续扩展必然使得业务板卡数量和类型的持续增加，墨守成规的松耦合、分散式的管理方式给不仅占用了多个IP地址，且给运维工作带来了极大的不便，多块业务板卡能够作为一个独立的网元来部署和管理显得尤为重要。同时为满足云计算自动化部署、虚拟机防护策略自动迁移等需求，对外提供完善标准的配置接口是必然需求。

H3C SecPath M9000系列支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF （Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN和动态VPN等，可以构建多种形式的VPN；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持IPv4/IPv6 双协议栈。

H3C SecPath M9000系列多业务安全网关充分考虑网络应用对高可靠性的要求，主机主控冗余、风扇冗余、电源模块M+N 备份。交、直流输入电源模块可插拔，可灵活根据系统功耗配置模块数量，保证模块高效工作。风扇框支持风扇状态监控，风扇支持无级调速，可以根据环境温度、单板配置自动分组调速。业务引擎和接口单元支持热插拔，充分满足网络维护、升级、优化的需求。此外，H3C SecPath M9000全系列产品均支持安全集群。

H3C M9000系列：高性能、安全可靠

高性能的软硬件处理平台

H3C SecPath M9000系列采用控制、业务、数据相分离的全分布式架构，控制引擎、交换引擎、业务引擎及接口单元硬件独立，解耦和系统关键部件，提高系统可靠性；独立的硬件交换引擎设计，完美支撑高性能、无阻塞的安全业务处理。

其中，M9000系列主控采用了专用的最新多核高性能处理器和高速存储器，可实现高速处理性能面向40G/100G；同时采用了专业硬件TCAM，可保证大容量策略表项的高速检索。

此外，该系列内置了模块化软件系统，支持多进程的调度，进程间运行空间隔离，单个进程的异常不会影响系统其他部分以提高了系统的可靠性。

电信级设备高可靠性

H3C SecPath M9000系列采用了H3C拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。

首先，该系列支持状态1:1热备功能，支持Active/Active和Active/Passive 两种工作模式，可实现负载分担和业务备份；并且支持状态N:N热备功能，可进一步提高系统可靠性；此外，该系列支持安全集群，可以实现N:1的虚拟化，从而实现灵活的管理和弹性扩展。

强大的安全防护功能

H3C SecPath M9000系列支持丰富的攻击防范功能，包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。

M9000系列支持统一管理：主机+多业务引擎始终作为一个网元进行统一管理，无需对每块插卡进行IP地址规划，在节省用户的IP地址的同时大量减少部署的复杂度，并且可以对设备实现全面的配置管理、性能监控和日志审计。

M9000系列还支持智能分流（IFF）：部署多业务插卡后，流量自动在多个业务板卡内负载分担从而实现分布式处理，新的业务插卡加入后，流量会自动均衡到新的插卡，全程无需人工干预。

M9000系列同时支持包过滤：通过在安全区域间使用标准或扩展访问控制规则，借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外，还可以按照时间段进行过滤。

M9000系列支持应用层状态包过滤（ASPF）功能：通过检查应用层协议信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议），并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过多业务安全网关或者是被丢弃。

而特别值得一提的是，M9000系列通过SCF安全集群框架可支持最大4台不同型号的M9000的多虚一能力扩展；此外，通过SOP可以使M9000虚拟成多个独立的业务处理单元，灵活的虚拟化特性可以满足未来安全业务的弹性需求，充分满足当前及未来用户安全防护应用的需求增长，在目前业内同类产品中占据着领先位置。下面一起来详细了解一下：

安全集群框架（SCF），可全面突破机框的限制，在简化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展。同时支持异构集群，即M9006、M9010和M9014可以相互进行集群，使集群系统更加的灵活和多样化。

安全ONE平台（SOP），采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙：SOP之间实现了基于进程的真正相互隔离；并可通过统一的OS内核可以对系统的静态及动态的资源进行细粒度的划分；与此同时，SOP数量可以按照系统需求的变化动态调整；而SOP能力可以根据用户需求动态的进行调整；此外，它还支持安全区域管理。可基于接口、VLAN划分安全区域。