详解SecPath防火墙体系结构 | 必读！

详解SecPath防火墙体系结构 | 必读！

SecPath防火墙家族成员

描述了H3C SecPath防火墙家族产品型号、应用范围和价值关系：

伴随着企业和公司的不断扩张和网络技术的深刻普及，网络***行为出现的愈来愈频繁了。经过各类***软件，只要具备通常计算机知识的初学者也能完成对网络的***。各类网络病毒的泛滥，也加重了网络被***的危险。对于内网防范，更是当今网络安全的主流。

H3C SecPath系列防火墙设备（如下简称防火墙）是H3C公司面向企业用户开发的新一代专业防火墙设备，既能够做为中小企业的核心防火墙，也能够做为企业的汇聚及接入防火墙设备。SecPath F1000-E/F1000-A/F100-E/F100-A/F100-C提供完善的安全防范体系，能够提供安全访问限制/内网安全防范措施。

H3C SecPath 系列防火墙是指：

• SecPath F1000-E

• SecPath F1000-A

• SecPath F1000-S

• SecPath F1000-M

• SecPath F100-E

• SecPath F100-A

• SecPath F100－A－Ｓ

• SecPath　F100-Ｍ

• SecPath F100-Ｓ

• SecPath F100-C

• SecＢlade防火墙插卡

等11个型号的防火墙产品。产品的划分主要依据应用场合的不一样，价值也不一样。

请读者仔细学习如下设备的主要技术参数及其设备之间的主要差异，以便在具体应用中作到选型正确。

SecPath F1000-E防火墙

H3C SecPath F1000-E防火墙设备,全方位为大中型企业网络的安全提供了高性价比的解决方案。

主要技术参数：

• 采用业界主流的多核处理器技术，提供8核CPU，每核4线程，总共32线程的处理能力；

• 安所有分采用高性能网络处理器进行硬件处理，提供了强大的安全防范、业务加速能力。

• 支持10GE接口/最大支持20个GE；

• 具有交换机级别的延时；

• 每秒钟新建5W的链接；

• 1 Gbps的Ddos防御性能；

• 2 Gbpsd的IPSec加密性能；

• 10 Gbps 防火墙吞吐率 (见注1)

• 100W并发链接，每秒钟新建5W链接；

注1：吞吐量（Throughput）——设备在必定时间内（通常120秒），不丢帧状况下转发某一帧长数据所能达到的最大速率。（请注意是不丢帧状况下，这是与转发率以及最大转发率最本质的区别。）

SecPath F1000-A防火墙

H3C SecPath F1000-A防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备，能够做为中小型企业的出口防火墙设备，也能够做为大中型企业的内部防火墙设备使用。

主要技术参数：

• 采用64位的微处理器技术，使用主频800MHZ的MIPS CPU，并使用内部集成GMII控制器技术提升报文处理速率；

• 16M FLASH、512M内存（可扩到1G）；

• 提供2个固定的十、100、1000M的自适应GE接口，支持光口和电口；

• 内置Ipsec硬件加密卡；内置HT硬件加密卡

• 提供一个MIM扩展槽位，目前可选的接口模块为1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七种（注：HDC软件功能暂时不支持）。

• 提供双电源冗余备份解决方案（AC+DC\DC+DC两种机型）；

• 提供机箱内部环境温度检测功能；

• 支持网管和Web配置管理；

• 3DES加密性能可达400Mbps（1400bytes）；

• 吞吐量2Gbps ；
  可知足电信级产品的高可靠性要求。

SecPath F1000-S防火墙

H3C SecPath F1000-S防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备，能够做为中小型企业的出口防火墙设备，也能够做为大中型企业的内部防火墙设备使用。

主要技术参数：

• 采用64位的微处理器技术，使用主频800MHZ的MIPS CPU，并使用内部集成GMII控制器技术提升报文处理速率；

• 16M FLASH、512M内存（可扩到1G）；

• 提供4个固定的十、100、1000M的自适应GE接口，2个即支持光口又支持电口，其他2个仅支持电口；比

• 内置Ipsec硬件加密卡；内置HT硬件加密卡

• 提供2个MIM扩展槽位，目前可选的接口模块为1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七种（注：HDC软件功能暂时不支持）。

• 提供双电源冗余备份解决方案（AC+DC\DC+DC两种机型）；

• 提供机箱内部环境温度检测功能；

• 支持网管和Web配置管理；

• 3DES加密性能可达300Mbps（1400bytes）；

• 吞吐量1.5Gbps ；
  可知足电信级产品的高可靠性要求。

F1000-A和F1000-S防火墙的主要差异：

F1000-A防火墙	F1000-S防火墙
2个固定10、100、1000M的自适应GE接口	4个固定10、100、1000M的自适应GE接口
1个MIM扩展槽位	2个MIM扩展槽位
400Mbps（1400bytes）3DES加密性能	300Mbps（1400bytes）3DES加密性能
2Gbps吞吐量	1.5Gbps吞吐量

SecPath F100-A防火墙

H3C SecPath F100-A防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备，能够做为中小型企业的出口防火墙设备，也能够做为中型企业的内部防火墙设备使用。

主要技术参数：

• 32位的微处理器技术;

• 16M FLASH 256M内存

• 4个固定的十、100M自适应FE口做为局域网口；

• 3个固定的十、100M自适应FE口做为广域网口；

• 1个MIM扩展槽位；可选接口模块1FE/2FE/4FE/NDECII(加密卡)/HDC（软件功能不支持）；

• 60Mbps（1400bytes）3DES加密性能(使用硬件加密卡)

• 300Mbps吞吐量;

SecPath F100-C防火墙

H3C SecPath F100-C防火墙设备是H3C面向家庭办公、小型办公室开发的防火墙设备。

其主要技术参数：

• 采用MPC的微处理技术，而且自带硬件加密卡。

• 8M FLASH 64M 内存

• 4个固定的十、100M自适应FE口做为局域网口；

• 1个固定的十、100M自适应FE口做为广域网口；

• 20Mbps吞吐量

F100-A和F100-C防火墙的主要差异：

F100-A防火墙	F100-C防火墙
32位的微处理器技术;	MPC的微处理技术，而且自带硬件加密卡。
16M FLASH  256M内存	8M FLASH  64M 内存
4个固定10/100自适应FE口做为局域网口	4个固定10/100自适应FE口做为局域网口
3个固定10/100自适应FE口做为广域网口	1个固定10/100自适应FE口做为广域网口
1个MIM扩展槽位；	无
60Mbps（1400bytes）3DES加密性能(使用硬件加密卡)	？3DES加密性能(自带硬件加密卡)
300Mbps吞吐量	20Mbps吞吐量

SecPath防火墙业务特性

防火墙主要业务特性

防火墙支持多种***防范手段、Tcp proxy、内网安全、流量监控、网址过滤、网页过滤、邮件过滤等功能，可以有效的保证网络的安全。

防火墙采用ASPF状态检测技术，可对链接过程和有害命令进行监测，并协同ACL完成动态包过滤。

防火墙提供多种智能分析和管理手段，支持邮件警告，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理。

防火墙支持AAA、NAT等技术，能够确保在开放的Internet上实现安全的、知足可靠质量要求的网络。

防火墙支持多种***业务，如L2TP *** 、IPSec *** 、SSL ***、GRE ***、或动态***等，而且支持硬件加密，能够针对客户需求经过ADSL拨号、VLAN或隧道等方式接入远端用户，构建Internet 、 Intranet、Remote Access 等多种形式的***。

防火墙支持经过BIMS功能自动更新设备的配置文件及应用程序，支持经过*** Manager功能来完成***的部署和配置。
防火墙提供基本的路由器能力，支持RIP/OSPF/BGP路由策略及策略路由；支持丰富的Qos特性，提供流量监管、流量整形及多种队列调度策略。

防火墙主要功能

支持包过滤技术。支持基于接口的访问控制列表，基于时间的访问控制列表。借助报文优先级、TOS、UDP、或TCP端口等信息做为过滤参数，经过在接口输入或输出方向上使用标准或扩展访问控制规则，能够实现对数据包的过滤。同时，还能够按照时间段进行过滤。

支持应用层报文过滤ASPF（Application Specific Packet Filter），也称为状态防火墙，它检测应用层协议（如FTP、HTTP、SMTP、H.32三、RTSP等协议及其它基于TCP/UDP协议的应用层协议）而且监控基于链接的应用层协议状态，维护每个链接的状态信息，支持ActiveX的过滤功能，并动态地决定数据包是否被容许经过防火墙或者被丢弃。

提供多种***防范技术，包括针对Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood 、ICMP Flood、ARP Flood、ARP欺骗***的防范，提供ARP主动反向查询、TCP报文标志不合法***防范、超大ICMP报文***防范、地址/端口扫描的防范、Dos/DDOS***防范、ICMP重定向或不可达报文控制功能、MAC地址和IP地址绑定功能。支持透明防火墙。支持反向路由检查功能。

内容和邮件过滤

支持业务邮件过滤，提供SMTP邮件过滤、SMTP邮件标题过滤、SMTP邮件内容过滤和SMTP邮件附件过滤，支持SQL/Java Applet/ActiveX过滤。支持网页过滤，提供HTTP URL过滤、HTTP内容过滤。支持反向路由检测等功能。

监控功能

防火墙提供了强大的监控功能，主要经过监视防火墙自身提供的各类系统日志，统计、分析和告警，最终来实现控制防火墙的目的：

图中形象地描述了防火墙如何提供将日志给管理员的。

防火墙提供的日志信息和功能以下：

一、各类日志：
***实时日志、黑名单日志、地址绑定日志、流量警告日志、会话日志、二进制格式日志和NAT等日志。这些日志可以有效的记录网络状况，从而为网络管理人员分析网络情况，防范网络***提供依据。

二、流量统计和分析功能：
经过流量统计和分析能够及时发现***和网络蠕虫病毒产生的异常流量。网络管理员可使用防火墙预先定义的流量分析模型，也能够本身定义各类协议流量的比例，链接速率阈值等参数，造成适合当前网络的分析模型、

三、各类事件监控和统计功能：
包括全局/基于安全域链接速率监控、全局/基于安全域协议报文比例监控和安全事件统计功能。这些监控统计功能能够有效的提供针对各类***状况、异常状况提供有效的分析数据。

四、邮件告警功能：
包括E-mail邮件的实时告警、E-mail邮件按期信息发布。告警邮件中包含有***日志和详细的网络流量分析结果，能够供管理员进行网络优化。告警邮件的发送使用两种方式：一种是实时发送，一旦检测到***行为，当即发送邮件到指定的邮件地址；另一种是在指定的时间按期发送告警邮件到达指定的邮件地址。

多种配置方式

H3C SecPath 防火墙还支持web配置接口，以区别于命令行接口，方便图像化配置和管理。

图是WEB图形化的屏幕截图，

配置和管理包括以下功能：

• 系统管理：系统资源管理、设备重启，系统软件的升级，配置信息文件的浏览、保存、下载和上传；

• 用户配置；

• 接口管理；

• 静态路由，域名服务支持；

• IPSec配置；

• 支持防火墙：***防范，ACL，黑名单，安全区域，IP/MAC地址绑定；

• 支持邮件过滤：地址过滤，内容过滤，邮件过滤，主题过滤；

• 日志监控：流量统计，日志管理；

• 业务管理：NAT管理，DHCP管理，SNMP管理；

• 经常使用工具支持（包括Ping，Tracert等）；

• 帮助信息；

• 注销身份。

SecPath系列防火墙的典型应用

应用1---企业出口防火墙应用

图给出了典型企业防火墙的应用方案，该方案使用H3C SecPath 系列防火墙提供强大的过滤功能，提供优秀的管理功能，部署在内部网络的出口，防范来自外部网络的各类***。
该方案实现了经过报文检测并阻止非法***。提供多种***防范技术。支持黑名单过滤。MAC地址过滤。帧过滤。支持TCP代理。支持通明防火墙，ASPF状态防火墙。阻止恶意***，可以实现邮件、网页过滤。支持流量监控。支持详尽的日志，支持***告警。具备强大的处理能力，可以充分发挥带宽优点。支持NAT，支持多种ALG。

应用2---中小企业防火墙结合***功能应用

图给出了典型中小企业防火墙结合***的应用，该方案使用H3C SecPath F1000-S防火墙。不但提供强大的过滤功能，而且具备强大的***功能，使用SecPath F1000-S防火墙，便可以保护内部网络的安全，也能够知足分支以及移动办公访问公司本部资源的需求。
该方案实现了阻止恶意***，可以实现邮件、网页过滤。支持流量监控。支持详尽的日志，支持***警告。基于用户接入控制，对用户流量进行过滤。远程办公人员使用动态密码认证，保证用户的惟一性，解决移动用户安全问题。支持D***、L2TP、GRE、IPSEC组网应用。支持BIMS和*** Mannger。

应用3--- soho防火墙结合***功能应用

图给出了典型soho防火墙结合***功能应用，该方案使用H3C SecPath F100-C防火墙，具备强大的***功能，能够知足分支以及移动办公访问公司本部资源的需求，适应SOHO型的家庭或者办公网络。SecPath F100-C防火墙还提供强大的过滤功能和优秀的管理功能。能够将其部署在内部网络的出口，防范来自外部网络的各类***。

该方案实现了经过报文检测并阻止非法***。阻止恶意***，可以实现邮件、网页过滤。支持详尽的日志，支持***告警。支持流量监控。具备地强大的处理能力，可以充分发挥带宽优点。支持NAT，支持多种ALG。基于用户接入控制，对用户流量进行过滤。支持D***/L2TP/IPSec组网应用。

应用4--- 分支机构***结合防火墙备份应用

图给出了典型分支机构***结合防火墙备份应用 该方案使用H3C SecPath 防火墙支持***应用，同时可以提供设备冗余备份和负载分担。经过在企业总部放置两台SecPath 防火墙，分支经过IPSec ***接入，来保证数据在网络上传输时的私有性、完整性、真实性和防重放。企业总部使用两台防火墙进行负载分担，当其中一台设备出现问题以后实现备份。
在该方案中，总部采用SecPath防火墙做为IPSec隧道终点，分支分别和总部两台SecPath创建***隧道实现分支访问总部的备份。总部两台防火墙对内也支持负载分担和设备备份，典型的应用于对稳定性要求较高的企业，可以同时知足防火墙和***的需求。

• 防火墙实现备份，避免单点故障；

• 防火墙之间实现负载分担，使资源获得充分利用；

• 支持分支机构动态IP上网；

• 支持NAT穿越；

• 数据报文保证私有性、完整性、真实性；

 

技

术

是

用

来

学

的

，

不

是

用

来

收

藏

的

！