H3CSecPathM9000产品培训.ppt

H3CSecPathM9000产品培训 ISSUE1 0 日期 2014 03 10 了解SecPathM9000产品的硬件架构掌握SecPathM9000产品的软件特性熟悉SecPathM9000产品的典型应用 课程目标 学习完本课程 您应该能够 SecPathM9000产品硬件架构SecPathM9000产品软件特性SecPathM9000典型应用 目录 SecPathM9000系列多业务安全网关 产品定位 大型数据中心 大型企业及园区网出口 云服务提供商多租户 运营商CGN等场景产品形态 全分布式硬件架构 多业务安全网关 全分布式硬件架构 交换引擎 交换引擎 交换引擎 业务引擎 处理器 主控引擎 处理器 主控引擎 处理器 业务引擎 处理器 接口单元 处理器 交换引擎 控制 交换 业务 接口完全物理分离 业务引擎就是各种安全板卡 可以对数据进行安全检测 过滤和审计等 接口单元提供各种丰富 灵活的接口 方便业务接入 主控引擎是设备的控制中心 负责设备的硬件监控 配置管理等工作 1 2 3 交换引擎负责接口板和业务板之间数据的高速转发 4 主控引擎 业务引擎 交换引擎 接口单元完全物理分离 多业务安全网关 大规模策略访问控制 多样化VPN接入 多链路智能调度 全面流量分析 高性能DDoS防护 高性能入侵防御 服务器负载均衡 精细化应用管控 大容量N A T 专业病毒防护 虚机扩容动态 云计算虚拟化安全 SecPathM9000产品硬件特性 M9006 M9010 M9014 SecPathM9000产品外观 主控引擎 安全 接口业务板 电源 M9006 M9010 M9014 SecPathM9000产品外观 风扇 交换网板 出风口 M9006 M9010 M9014 SecPathM9000产品主控引擎 SecPathM9000全系列产品共用一款主控引擎 每个框支持2块 可以实现1 1备份 NSQM1SUPB0 SecPathM9000产品接口板 高密万兆 高速40 100G 高密千兆 NSQM1GP24TXEA0 NSQM1GP48EB0 NSQM1GT48EA0 NSQM1TGS8EA0 NSQM1TGX4EA0 NSQM1TGS32SF0 NSQM1QGS4SF0 NSQM1CGC2SE0 SecPathM9000高性能安全业务处理板 SecPathM9000兼容安全业务处理板 ACG 吞吐量 并发连接数 每秒新建连接 2G 200万 5万 SSLVPN 吞吐量 最大在线用户数 每秒新建连接 2G 10000 5000 NSM 吞吐量 IPv4流数量 IPv6流数量 4G 250万 56万 SecPathM9000全系列安全业务板 现阶段 NSQM1FWCEA0 Firewall LB IPS NSM ACG SSLVPN 将来 NSQM1FWCEA0 LSQM1LBSC0 LSU1IPSBEA0 LSQM1NSMSC0 LSQM1ACGSC0 LSQM1SSLSC0 NSQM1LBCEA0 NSQM1IPSCEA0 NSQMNSMCEA0 SecPathM9000产品规格 M9006 M9010 M9014 SecPathM9000产品形态 V7机框 V5安全板卡 FW LB IPS V7机框 V7安全板卡 FW LB IPS SecPathM9000交换引擎 高速的交换芯片先进的CLOS架构支持N 1冗余备份 M9006 NSQM1FAB04B0 M9010 NSQM1FAB08D0 M9014 NSQM1FAB12D0 SecPathM9000电源模块 SecPathM9000两种电源所有机框通用 M9006最多支持4个电源 M9010 M9014最多可支持6个电源 M9000电源支持N M配置模式 灵活根据系统功耗配置模块数量 LSUM1AC2500 LSUM1DC2400 SecPathM9000风扇模块 SecPathM9000风扇采用冗余设计 风扇支持智能自动调速 同时风扇也支持设置特定转速 可查询风扇上各个叶片实时转速 M9006风扇 M9010风扇 M9014风扇 SecPathM9000防尘网 防尘网安装在机箱散热风道的进风口 用于防止大量灰尘被吸入机箱内部 M9006有两块防尘网 M9010有一块 M9014有三块 M9000的防尘网属于可选部件 SecPathM9000产品硬件架构SecPathM9000产品软件特性SecPathM9000典型应用 目录 SecPathM9000系统软件架构 主控引擎软件系统 接口板 业务引擎软件系统 主控引擎 FW LB IPS Comware Comware Comware iWare Drivers 业务分流QOS报文转发组播复制BFD 会话管理域间策略NATVPN报文异常检测DoS DDoS攻击防范应用控制虚拟防火墙 L4服务器负载L7服务器负载Outbound链路负载Inbound链路负载健康性检测就近性探测持续性 病毒防御攻击检测URL过滤DDoS防范带宽管理日志和报表高可靠性 设备管理配置管理协议交互表项下发集群管理日志监控 智能分流框架 IFF 业务流自接口单元进入 智能分流 全业务负载分担 主控引擎1 主控引擎2 防火墙模块 防火墙模块 防火墙模块 IPS模块 LB模块 接口模块 业务引擎动态加入 退出 流量自动分担 多业务智能调度 交 换 网 单一类型业务引擎智能分流 IO引擎 FW业务引擎 FW业务引擎 FW业务引擎 主控根据业务引擎成员状况 业务配置需求 自动下发正反向引流规则 独立交换引擎3 1冗余 主控引擎1 1冗余 IO引擎 IO引擎 IO引擎 IO引擎 引流策略到某一业务引擎 业务引擎针对隧道类业务 ALG业务动态下发正反向引流规则 FW引擎 路由策略到IO引擎 主控配置 路由通过管理通道自动下发到各业务引擎 多类型业务引擎智能分流 IO引擎 FW业务引擎 IPS业务引擎 LB业务引擎 主控根据业务引擎成员状况 业务配置需求 自动下发引流规则 独立交换引擎3 1冗余 主控引擎1 1冗余 IO引擎 IO引擎 IO引擎 IO引擎 引流规则到FW引擎 针对隧道类 ALG业务动态下发引流策略 FW 引流策略到IPS引擎 IPS 引流策略到LB引擎 LB 路由策略到IO引擎 主控配置 路由自动下发到多业务引擎 NAT特性 多功能 高性能 可视化 PAT NO PATEasy IPNATServerNATStaticNAT444ALG FTP DNS SIP NAT吞吐 400GNAT新建 600万 秒NAT并发 3亿 NAT连接数限制NAT二进制日志NAT444用户 会话日志 VPN特性 总部 合作伙伴 企业分支 出差员工 丰富的VPN功能 L2TPVPNGREVPNIPSecVPNSSLVPNMPLSVPN高效的加密 认证算法 DES 3DESAESMD5 SHA 1多样的认证方式 本地认证RADIUSLDAPPKI CA 攻击防范 黑名单 扫描攻击防范 DDoS防范 动态黑名单静态黑名单 地址扫描端口扫描 畸形报文攻击防范 ICMPFloodUDPFloodSYNFloodDNSFlood Fraggle攻击检测Land攻击检测WinNuke攻击检测TCPFlag攻击检测ICMP不可达报文攻击检测Smurf攻击检测超大ICMP报文攻击检测 Security 服务器负载均衡 全面的负载特性 丰富的调度算法 灵活的健康性检测 L4服务器负载L7服务器负载IPv6服务器负载 加权 轮询 加权 最小连接 加权 随机源地址 端口 散列ACL策略 ICMPTCP UDPSNMPSSLRadiusDNS FTP HTTPSMTP POP3 多样化的持续性 源IP地址 端口 目的IP地址 端口 Cookie插入 重写 截取SIP的Call IDHTTP报文头 链路负载均衡 同时支持Outbound和Inbound链路负载支持持续性 ACL策略 ISP选路 就近性 调度算法等多种灵活的选路机制支持 加权 轮询 随机 最小连接 源 目的地址散列 加权带宽 最大带宽等多种丰富的调度算法 ISP1 ISP3 1 2 3 4 5 6 ISP2 LB 深度检测 路由器 交换机 IPS 内部网络 漏洞库 协议库 病毒库 攻击防范病毒检测URL过滤DDoS防护带宽管理统计报表 三库合一实现全面攻击防御 安全集群框架 SCF SecPathM9000首创多核全分布式安全设备框架集群技术 全面突破机框的限制 在简化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展 安全集群框架 SCF 业务引擎集群 两框集群 4框集群 异构集群 FW1 FW2 LB1 LB2 IPS FW组 LB组 IPS组 安全集群主备模式 SW SW SW SW IRF IRF IRFSW IRFSW A S A S A S A A A S 冗余口 冗余口 冗余组 通过将主备设备接口加入冗余口 根据SCF主备状态阻断备机链路通过将上下行冗余口加入冗余组 实现上下行联动可以监控接口 链路 引擎状态 实现主备切换 上下行聚合组网 独立三层上行链路双活业务引擎通过备份组实现主备 trunk trunk 备份组1 备份组2 备份组3 VRRP VRRP 安全N N高可靠性 业务引擎6 业务引擎7 业务引擎8 业务引擎9 业务引擎10 业务引擎1 业务引擎2 业务引擎3 业务引擎4 业务引擎5 SCF IO引擎1 IO引擎3 IO引擎2 IO引擎4 业务引擎1 业务引擎2 业务引擎3 业务引擎4 IO引擎 192 168 1 1 1024202 101 1 1 80TCP 1 2 NewOwner 主设备故障 新的转发设备 Director 备份 3 4 5 202 101 1 1 80 192 168 1 1 1024TCP 1 IO引擎根据负载分担算法将正向流分配到业务引擎1 该业务引擎成为该数据流的所有者 成为主引擎2 数据流所有者根据数据流五元组信息计算出备份引擎 将会话同步给备份引擎3 主引擎故障4 对于原数据流 IO引擎通过负载分担算法分发到引擎45 引擎4向备份引擎获取主引擎信息 得知主引擎故障 从备份引擎得到备份会话信息 然后成为该数据流新的主引擎 主转发引擎 交换引擎 主机1 主机2 安全集群优势 虚拟化 安全ONE平台 SOP 完全虚拟化 各SOP系统管理 转发全部隔离资源分配灵活 所有资源分配均可保障 限制或抢占高性能 基于多核CPU架构 大容量内存以及高效的软件系统 每个SOP可以获得足够的软硬件资源可靠性高 一个SOP故障 其它SOP不受影响 安全SOP实现原理 硬件平台 操作系统基础功能 驱动 任务调度 内存管理 定时器等 SOP1 OS SOP2 OS 数据 数据 用户态空间 内核态空间 SOPCPU调度机制 所有租户流量都大时 保证金牌租户的最低值 SOP虚拟资源池 引擎1 VFW1 VFW2 VFW3 VFW3 VFW5 VFW6 VFW7 VFW8 VFW9 VFW10 VFW11 VFW12 VFW13 VFW14 VFW15 VFW16 VFW17 VFW18 引擎2 引擎3 引擎4 引擎5 引擎6 虚墙的划分以业务集群组为单位扩展业务板后 虚拟化扩展有如下两种形态 纵向 单虚墙的能力不变 可划分的虚墙数量增加横向 单虚墙的能力增加 可划分地虚墙数量不变 VFW1 VFW2 VFW3 VFW4 VFW1 VFW2 VFW3 VFW4 VFW1 VFW2 VFW3 VFW4 VFW1 VFW2 VFW3 VFW4 VFW1 VFW2 VFW3 VFW4 VFW1 VFW2 VFW3 VFW4 引擎1 引擎2 引擎3 引擎4 引擎5 引擎6 VFW1 VFW2 VFW4 VFW5 引擎集群 开放平台 IMCAPIs HardwarePlatform IMCSSM ComwareAPIs 用户应用平台 接口编译解析器 脚本解释器 3rd程序编程接口 EAA自动化架构 TCL脚本 自定义程序 预定事件及动作 ComwareV7操作系统 安全VPN接入访问控制攻击防范行为审计 交付负载均衡应用QoS链路优化 资源池SOP创建SOP能力分配SOP迁移 SecPathM9000产品硬件架构SecPathM9000产品软件特性SecPathM9000典型应用 目录 园区网场景 AC 云管理平台 网络管理平台 平 电信 联通 汇聚1 汇聚2 汇聚3 汇聚N 教学楼N AC AP AC AP 教学楼1 AC A P 多业务网关同时提供4 7层安全防护及应用交付功能防火墙提供高性能NAT及安全策略控制LB提供多链路智能选路或者服务器负载功能ACG提供上网行为审计和带宽管理功能配合IMCSSM平台实现海量日志审计 教育网 图书馆 AP M9000 云计算数据中心场景 接口万兆上行 通过高密万兆或40G捆绑保障业务带宽SCF提供多业务弹性扩展能力N N备份 简化网络部署 提高可靠性 保证业务零中断 10GLACP 40GLACP M9000 公有云多租户场景 M9000 VM1 VM2 VM2 VFW TenantA VLAN100 VLAN1000 租户A为金牌客户 提供防火墙 IPS和SLB功能 保证处理能力