参考h3c学习ngfw培训胶片2015q2.pptx

应需而安•化繁为简—— H3C SecPath NGFW 目录 NGFW的时代需求 H3C下一代防火墙介绍 典型应用场景 新挑战-用户的安全策略随行 传统防火墙根据设备的IP或MAC地址来下发安全策略。设备即用户，策略控制不够灵活。 然而，互联网时代更多的是移动办公，用户的位置和使用的设备都是不固定的，如何让安全以人为本，策略随行？ 员工和领导使用同一台设备办公可否获取不同的安全策略？ 新挑战-海量应用的流量识别与控制 传统防火墙的应用特征库十分有限，无法对海量新兴应用的流量进行识别与控制。 如何识别并控制互联网时代各种层出不穷的应用流量？ 老困难-开启4至7层防御性能折损严重 4至7层深度安全防御 然而，传统防火墙将之开启后性能会出现断崖式下滑！ 漏洞入侵攻击检测及防护 病毒攻击防护 APP应用精准识别 内容检测过滤 URL检测过滤 … … 老困难-双机热备造成的资源浪费 安全高可靠性——防火墙设备之基本素养 HA备份 VRRP链路备份 公网 备份设备 平时不工作 主设备 完成全部FW工作 传统防火墙只能实现一主一备，备份防火墙资源严重浪费。 如何在保证高可靠性的同时将备份设备也有效利用起来？ 内部网络 老困难-网关集成化 防火墙在SMB内能否扮演更多的角色？ 安全、路由、交换能否集成到同一台设备上？ 路由 安全 交换 新网络变化呼唤下一代防火墙 用户的安全策略随行 海量应用的识别与控制 4-7层防御性能折损严重 双机热备造成的资源浪费 网关集成化 传统防火墙已无法应对！ 目录 NGFW的时代需求 H3C下一代防火墙介绍 典型应用场景 基于用户的策略下发 序号 用户 时间 应用 默认动作 深度防御 带宽管理 1 any any —— ≥20M 2 Work IPS、DLP ≥50M 3 work —— —— 领导 员工 自定义用户分类进行本地认证！ 领导 员工 认证服务器 配合认证服务器进行远程认证！ 身份ID识别 位置识别 终端类型识别 时间识别 针对时间、位置、身份ID、终端类型等进行多维度用户识别 海量应用流量识别及控制 1200+ HTTP 邮件、P2P UDP、TCP 目前可识别多达1200种应用流量并进行控制！ 特征库不断更新！ 强大的4-7层深度安全防御引擎 开启深度安全防御，性能折损在所难免，业界公认折损容忍度： 相比防火墙性能折损比≤50% SecPath NGFW全系列DPI性能平均折损比≤40% 业界最强！！！ 高可靠性-IRF2 IRF集群部署 IRF2的新价值！ ①对外呈现单节点，单实IP，多链路捆绑 ②多台设备单IP、管理界面唯一，简单一致 ③整系统性能随设备数线性叠加 ④链路动态负载均衡，提高链路利用率 ⑤配置统一管理，自动下发，无需人工备份 ⑥对外呈现单一的安全资源池，灵活可靠 链路负载均衡 内部网络 DMZ 服务器负载均衡 出方向：策略路由+负载均衡 入方向：智能DNS … 专业虚拟防火墙和IPv6完全防御 1:N虚拟化 全面的IPv6支持！ IPv6网络 虚拟防火墙 NGFW下一代防火墙 多维度用户识别 网关集成化 海量应用识别与控制 用户的策略随行 强大的4至7层安全防御 高可靠性，高利用率——IRF2 链路负载均衡 专业虚拟防火墙 全面支持IPv6 SecPath F100-A-G2 SecPath F1000-C-G2 真路由！真安全！真交换！ 　 F100-A-G F100-A-G2 F1000-C-G F1000-C-G2 固定端口形态 6GE 16GE+8SFP 12GE 16GE+8SFP 防火墙吞吐量 1.2G 1.5G 2G 4G SSL VPN并发用户 50 15(授权可达1000) 100 15(授权可达4000) 并发连接数 25万 100万 100万 400万 4到7层深度防御 250M 1G 300M 2G VPN性能（3DES） 300M 1G 400M 2G 硬盘扩展插槽 无 1个 无 1个 Comware软件平台 V5 V7 V5 V7 新老防火墙参数对比 目录 NGFW的时代需求 H3C下一代防火介绍 典型应用场景 典型应用场景-出口防护 SecPath NGFW SSL VPN 数据流 内部网络 出差 DMZ服务器区 防火墙、核心交换、路由、NAT、 VPN、认证、深度防御、链路负载均衡等多种特性合一。 典型应用场景-全能VPN接入 SecPath NGFW 小型分支 家庭办公 移动接入 SSL/L2TP VPN IPSec VPN SecPath NGFW SSL/L2TP VPN 总公司内部网络 典型应用场景-VPN及BYOD解决方案 企业WiFi 3G/4G 通过L2TP over IPSec加密传输 通过SSL VPN加密传输 加密