1M9000系列高性能超万兆安全综合网关
在当前各行业加速迈向互联网化的形势下,用户的网络安全防护也面临着新的挑战,而规避互联网化、移动化、云化的风险,成为了下一代安全必须具备的特性。因此,结合当前安全与网络深入融合的技术趋势,H3C面向大型企业、运营商和数据中心、云计算市场推出了SecPath M9000系列新一代高性能超万兆安全综合网关,将高端安全旗舰产品的级别提升到了一个新的高度。
如何理解多业务安全网关?它应具备哪些特征?
随着网络应用的广泛普及和网络带宽的持续发展,安全话题日趋成为了人们关注的焦点, 安全网关产品做为网络边界的第一道防线,越来越向着更高性能、更高密度、更高扩展性、更高可靠性以及更易管理的方向发展。
更高性能:除吞吐量外,随着Web2.0业务和移动智能终端的兴起,新建连接数和系统并发连接数日益成为安全厂家和用户的关注点。
更高密度:在单位空间下对外提供更高的业务处理能力及更多的端口数量,从而提升设备整体的业务输出能力。
更高扩展性:针对用户的安全业务,能够根据用户的业务状况定制功能及性能,并伴随用户的业务发展能对设备的功能、性能进行平滑升级。
更高可靠性:除了在硬件层面通过主控、电源、风扇等关键部件冗余设计提高可靠性外,系统软件层面需要更富针对性的安全业务集群来保障可靠性,而不是传统的双机热备。
更易管理:业务的持续扩展必然使得业务板卡数量和类型的持续增加,墨守成规的松耦合、分散式的管理方式给不仅占用了多个IP地址,且给运维工作带来了极大的不便,多块业务板卡能够作为一个独立的网元来部署和管理显得尤为重要。同时为满足云计算自动化部署、虚拟机防护策略自动迁移等需求,对外提供完善标准的配置接口是必然需求。
H3C SecPath M9000系列支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN和动态VPN等,可以构建多种形式的VPN;提供丰富的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持IPv4/IPv6 双协议栈。
H3C SecPath M9000系列多业务安全网关充分考虑网络应用对高可靠性的要求,主机主控冗余、风扇冗余、电源模块M+N 备份。交、直流输入电源模块可插拔,可灵活根据系统功耗配置模块数量,保证模块高效工作。风扇框支持风扇状态监控,风扇支持无级调速,可以根据环境温度、单板配置自动分组调速。业务引擎和接口单元支持热插拔,充分满足网络维护、升级、优化的需求。此外,H3C SecPath M9000全系列产品均支持安全集群。
2H3C M9000系列:高性能、安全可靠
高性能的软硬件处理平台
H3C SecPath M9000系列采用控制、业务、数据相分离的全分布式架构,控制引擎、交换引擎、业务引擎及接口单元硬件独立,解耦和系统关键部件,提高系统可靠性;独立的硬件交换引擎设计,完美支撑高性能、无阻塞的安全业务处理。
其中,M9000系列主控采用了专用的最新多核高性能处理器和高速存储器,可实现高速处理性能面向40G/100G;同时采用了专业硬件TCAM,可保证大容量策略表项的高速检索。
此外,该系列内置了模块化软件系统,支持多进程的调度,进程间运行空间隔离,单个进程的异常不会影响系统其他部分以提高了系统的可靠性。
电信级设备高可靠性
H3C SecPath M9000系列采用了H3C拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户,经历了多年的市场考验。
首先,该系列支持状态1:1热备功能,支持Active/Active和Active/Passive两种工作模式,可实现负载分担和业务备份;并且支持状态N:N热备功能,可进一步提高系统可靠性;此外,该系列支持安全集群,可以实现N:1的虚拟化,从而实现灵活的管理和弹性扩展。
强大的安全防护功能
H3C SecPath M9000系列支持丰富的攻击防范功能,包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。
M9000系列支持统一管理:主机+多业务引擎始终作为一个网元进行统一管理,无需对每块插卡进行IP地址规划,在节省用户的IP地址的同时大量减少部署的复杂度,并且可以对设备实现全面的配置管理、性能监控和日志审计。
M9000系列还支持智能分流(IFF):部署多业务插卡后,流量自动在多个业务板卡内负载分担从而实现分布式处理,新的业务插卡加入后,流量会自动均衡到新的插卡,全程无需人工干预。
M9000系列同时支持包过滤:通过在安全区域间使用标准或扩展访问控制规则,借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外,还可以按照时间段进行过滤。
M9000系列支持应用层状态包过滤(ASPF)功能:通过检查应用层协议信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议),并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过多业务安全网关或者是被丢弃。
而特别值得一提的是,M9000系列通过SCF安全集群框架可支持最大4台不同型号的M9000的多虚一能力扩展;此外,通过SOP可以使M9000虚拟成多个独立的业务处理单元,灵活的虚拟化特性可以满足未来安全业务的弹性需求,充分满足当前及未来用户安全防护应用的需求增长,在目前业内同类产品中占据着领先位置。下面一起来详细了解一下:
安全集群框架(SCF),可全面突破机框的限制,在简化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展。同时支持异构集群,即M9006、M9010和M9014可以相互进行集群,使集群系统更加的灵活和多样化。
安全ONE平台(SOP),采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙:SOP之间实现了基于进程的真正相互隔离;并可通过统一的OS内核可以对系统的静态及动态的资源进行细粒度的划分;与此同时,SOP数量可以按照系统需求的变化动态调整;而SOP能力可以根据用户需求动态的进行调整;此外,它还支持安全区域管理。可基于接口、VLAN划分安全区域。
3H3C M9000系列支持IPv6和智能管理
业界领先的IPv6
H3C M9000系列支持IPv6状态多业务安全网关,真正意义上实现IPv6条件下的多业务安全网关功能;同时支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能。
M9000系列还支持IPv6各种过渡技术,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道、NAT444、DS-Lite等。同时支持IPv6 ACL、Radius等安全技术。
专业的智能管理
M9000系列支持标准网管 SNMPv3,并且兼容SNMP v1和v2;同时提供了图形化界面,实现了简单易用的Web管理;此外,它还可通过命令行界面进行设备管理与多业务安全网关功能配置,满足专业管理和大批量配置需求。
而通过H3C SecCenter安全管理中心,即可实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。
基于先进的深度挖掘及分析技术,采用主动收集、被动接收等方式,为用户提供集中化的日志管理功能,并对不同类型格式(Syslog、二进制流日志等)的日志进行归一化处理。同时,采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统,避免重要安全事件的丢失。
此外,M9000系列可提供丰富的报表,主要包括基于应用的报表、基于网流的分析报表等;并且支持以PDF、HTML、WORD和TXT等多种格式输出;还可通过Web界面进行报告定制,定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。
典型组网应用
M9000系列产品是具备更高性能、更高密度、更高扩展性、更高可靠性以及更易管理的多业务安全网关,主要面向40G至100G领域更具挑战性的应用场景,重点适用于大型数据中心安全隔离防护、运营商CGN NAT及云计算多租户安全防护等场景。
H3C SecPath M9000系列组网应用示意图
双机状态热备技术,高可靠网络设计;
具有强大的处理能力;
丰富路由协议,实现安全与网络融合;
具有强大的VPN加密处理能力;
阻止恶意攻击,能够实现邮件、网页过滤;
丰富路由协议,实现安全与网络融合。
4H3C M9000系列多业务网关详细参数
H3C SecPath M9000系列多业务安全网关包含三个产品型号,即M9006、M9010和M9014,三者的主要区别是业务板槽位数不同,其中M9006为4个,M9010为8个,而且是竖式插槽,而M9014则拥有12个。
H3C M9000系列详细参数
H3C新一代高端全分布式多业务安全网关——SecPath M9000系列,拥有领先的业务处理能力、电信级设备高可靠性、强大的安全防护功能、业界领先的IPv6以及专业的智能管理等多项特性,单机处理能力达到400G,可提供全球领先的高密度10G及40G接口(面向40G/100网络);该系列同时加载了Comware V7平台,除提供防火墙功能外,还可以全面支持负载均衡、入侵防御、网流分析、应用控制、VPN等其他专用安全业务板卡,在提供超高性能的同时全面扩展安全防护的维度,旨在为用户提供更高安全防护服务。
