当前位置:首页 >> IT/计算机 >>

H3C不一样的安全之道终稿单P


H3C网络安全产品解决方案精选系列

不一样 的

之道

Foreword 卷首语

H3C安全产品线概述

过多年的高速发展,H3C IP安全产品已经成为网络安全领域的领导者之 一,连续两年市场占有率居国内第一。 目前,H3C已拥有覆盖网络层安全、应用层安全以及安全管理三个层面近百余款 产品,具备2?7层全业务安全防护能力。 网络层安全:主要包括防火墙/VPN、新一代防火墙UTM以及专业抗DDoS产品; 其中,防火墙系列提供了从百兆、千兆到超万兆的丰富型号,拥有业界最领先的 40G超万兆防火墙F5000-A5,以及可扩展至100G的万兆防火墙模块。 应用层安全:主要包括入侵防御检测系统、流量控制与审计网关、应用负载均衡 等产品。其中IPS已连续多年稳据国内绝对领导地位,业界唯一集成漏洞库、应 用协议库、卡巴斯基病毒库于一体的实时入侵防御系统;集流量控制与安全审计 于一体的ACG,内置国内最完整的应用识别协议库;面向运营商、门户网站、大 中型企业的数据中心而开发的业界领先的负载均衡产品。 安全管理:主要包括软硬件一体化安全管理中心SecCenter,能对各类网络、安 全产品进行统一管理,并实现全网的安全智能联动;以及各种Manager管理软 件,实现对安全设备的实时监控、图形化报表分析等。

随着解决方案能力的不断提升,H3C在iSPN(智能安全渗透网络)核心战略的指引下,已实现了从 传统的局部安全、全局安全上升到智能安全的突破性跨越,并逐步形成了覆盖各种规模园区网/局域 网、广域网及数据中心的端到端安全解决方案,为用户构建了“不一样”的安全网络。 经过多年的耕耘,H3C安全取得了骄人成绩,销售额和出货量均稳据安全市场第一集团,已连续两年 入围中国电信/中国移动集团集采选型。截至2009年底,H3C已有数十万台网络安全设备部署于如国 家电子政务外网、国家财政部、国家人保部、国家海事局、国家交通部、中国公安部、环保总局、中 国工商银行、中国农业银行、中国银行、中国石油、中国石化、中国人寿、平安保险、新华社、国家 大剧院、淘宝网、百胜餐饮集团、浙江大学、中南大学、安阳钢铁、太原钢铁、国家电网公司、湖南 电力、山西电力、贵州电力、黑龙江电力、上海电信、广东电信、北京移动、江苏移动、浙江移动等 各行业和运营商用户。 优异的表现源于不断创新的开发实力,H3C安全将每年销售额的15%以上作为研发投入,用以保持在 业界领先的研发优势,至今已申请200件以上的网络安全相关专利;H3C拥有国内专业的攻防团队, 同时与微软、卡巴斯基、CVE、Commtouch等国际安全组织和知名厂商保持长期深度合作,确保安 全产品持续的应用层防护能力;H3C拥有硬件投资超过2亿人民币国内规模最大的测试中心,以及每 年进行近千项、近万次实验的可靠性实验室,确保交付产品99.999%的可靠性。 H3C凭借多年来在网络安全领域的技术积累,在不同的安全技术领域都做好了充分的技术储备,有信 心、有能力为各个行业的用户提供完善的产品和解决方案,为您的IT系统保驾护航!

www.h3c.com.cn

Foreword 卷首语

H3C iSPN为用户构建

不一样 的



所周知,安全产品的发展一直是滞后于网络产品的发展。 往往是网络边界蔓延到那 里, 同种类的安全产品才会随即跟进部署。长期以来,安全建设似乎是“不得已的

事情”,是在牺牲网络效率的条件下“换取信息的安全”。但是这样做矛盾就解决了吗? 答案是否定的。因为大家依然看到各类安全威胁层出不穷、造成的安全事故和隐患与日俱 增、安全威胁的特征及脚本也变得更加复杂。越来越多的IT专家认识到:一味的通过从表 面的、外围的网络出口部署安全设备来防护各种安全攻击和威胁是无法从根本上解决问题 的,原因很显然,一来很多安全威胁和攻击的方式和特征是我们暂时还没有认识和掌握 的,自然无法有针对性的去消除,另外很多安全威胁是“有意或无意”的从系统内部发起 的,外部的安全设备根本起不到作用。 H3C作为国内网络安全厂商的领先者,通过技术和产品的协作,将网络中的计算资源、网 络资源、安全资源以及存储资源联动起来,并通过多层次的安全策略和流程控制,实现用 户网络的局部安全、全局安全以及智能安全。其理念称为iSPN(intelligent Safe Pervasive Network,智能安全渗透网络)。H3C强调的是一个整体的、智能的安全架构,其核心思 想是“面向安全的网络设计”,为用户提供多层次、端到端、互为联动、统一管理的立体 安全防护体系。H3C不再简单的是在纯安全的产品领域去防护攻击和威胁,而是包含了终 端、网络、安全、管理平台四个领域的大范畴来做用户的防护。这与我们过去对传统的安 全防护认识有很大的差异,这也正是H3C能为用户构建“不一样”的安全的缘由所在。 下面我们将系统的阐述H3C与传统安全解决方案的差别和不同。

首先,传统的安全防护网络和安全建设是割裂的,当用户 完成网络建设后,才单点、叠加的考虑安全布署。而H3C iSPN智能安全渗透网络,其核心理念是“面向安全的网络 设计”,整个IT系统建设中网络与安全是一体化、融合化 的,为用户构建的是端到端、全面的安全防护体系。 网络作为2~3层的设备,自身也具备大量的安全业务特性, 比如VLAN隔离、端口绑定、VPN等等,这样不但将安全设 备的部分负担解放出来,而且让网络自身具备更好的“安 全自愈”能力。H3C甚至将各类安全设备作成集成度很高的 板卡,即插即用在路由器和交换机设备上,大大提高了系 统的集成度和易管理性。同样,安全设备为了更好的与网 络配合和联动,也必须要匹配和理解网络的特性,如在安 全设备上集成了特定的路由特性、QoS特性等。整个IT系统 中,安全防护的建设焦点更集中在4~7层的应用防护,如异 常流量、特征识别、各类应用威胁等。 安全防护的对象不再是单纯的设备,而是以人为驱动的安 全事件和隐患。H3C从事前的终端接入、事中威胁的在线防 护、流量控制以及事后的审计和安全管理,都是基于人进 行管理,而非设备、IP、端口等,实现规范制度与技术手段 有效结合。同时,整个系统的网络和安全是在统一的管理 平台下,进行资源调配、设备监控、故障定位分析、安全 事件管理,使得整个网络中的各类安全信息有序化、清晰 化,为用户提供可管理的安全。 总言之,在iSPN的理念下,IT系统的安全将不再单纯是安全设 备的责任,而是网络、终端、安全和管理不可分割、统一部署 的建设,这是H3C与传统安全厂家最本质的、最革命的区别。

其次,传统的安全防护中,由于安全设备的硬件架构大多 采用传统的X86架构,性能严重不足,尤其在应用层的防护 中,由于涉及繁重的特征识别和协议处理,使得4~7安全 防护功能的安全设备性能进一步急剧下降,甚至达到了不 可用的程度。而H3C公司秉承多年网络产品领先的硬件设 计及开放经验,突破性的采用了多核多线程、高速交换背 板、分布式架构、FPGA加速技术等先进技术,并采用分布 式架构部署,彻底改变了安全性能瓶颈问题。目前H3C在防 火墙、IPS、流量控制、负载均衡等2~7层安全产品上都实 现了万兆线速能力,同时做到在不同安全应用开启的情况 下,整机处理能力不下滑。 再者,传统的安全防护是被动的、机械的防御攻击,纯粹 以自身的性能指标作为整个系统安全防护的限度。而H3C 强调从源头阻断安全威胁,及时阻断还没有引发更大危害 的攻击源,避免安全隐患“聚沙成塔”,为客户带来智能 化、一体化的网络安全体验,减少人为干预。 最后,安全建设强调不仅立足现在,更要考虑到今后的扩 展。H3C通过掌握了设备虚拟化、高性能、IPv6等核心领域 的领先技术,让安全产品具备了向云计算/物联网/IPv6过渡 的条件,便于实现下一代安全的过渡,保护用户原有投资 不浪费。 高效的安全解决方案不仅仅是安全事件发生时,我们能够 迅速察觉、准确定位,更重要的是我们能够及时制定合理 的、完备的安全策略,并最大限度的利用现有网络安全资 源,通过智能分析和系统响应及时应对各种网络攻击。H3C iSPN将以先进的产品技术和完善的解决方案,为用户打造 一个全面的、可信赖的、“不一样”的IT安全环境。

www.h3c.com.cn

CONTENTS
ONE
网络层安全 H3C SecPath防火墙/VPN H3C SecPath防火墙业务模块 H3C SecBlade FW防火墙模块 H3C SecBlade SSL VPN模块 H3C SecBlade NetStream模块 H3C SecPath新一代防火墙UTM H3C AFC异常流量清洗产品 应用层安全 H3C SecPath IPS入侵防御系统 H3C SecBlade IPS入侵防御系统模块 H3C SecPath ACG应用控制网关 H3C SecBlade ACG应用控制网关模块 H3C负载均衡产品 安全管理 H3C SecCenter安全管理中心

目录

01 安全产品
02
02 05 07 10 12 14 19

22
22 25 27 30 32

37 解决方案
38 40 43 48 52

TWO

H3C iSPN安全解决方案概述 新一代数据中心安全解决方案 新一代园区网安全解决方案 新一代广域网安全解决方案 安全五个功能组件介绍

35
35

54 高端应用
55 56 57

THREE
中国移动/中国电信集团 ── 全球性服务运营商 中国工商银行数据中心 ── 黑客目光关注的焦点 安徽省农信联农金新数据中心网络安全 ——安全的7×24小时高性能数据中心 江苏广电IDC ── 有线用户数居全国第一 百胜餐饮集团(YUM)全国VPN互联 ── 全球最大的餐饮集团 央视国际内网安全 ── 全球性新闻媒体 国家科技图书文献中心 ── 国内最权威的文献服务中心之一 中南大学校园网出口安全 ── 国家首批211、985大学 山西焦煤集团骨干网安全 ── 中国规模最大的炼焦煤企业 湖南电力调度网安全加固

65 客户名单

FOUR

58

59

60

61

62

63

64

69 荣誉及奖项
www.h3c.com.cn

FIVE

ONE 安全产品
网络层安全 H3C SecPath防火墙/VPN H3C SecPath防火墙业务模块 H3C SecBlade FW防火墙模块 H3C SecBlade SSL VPN模块 H3C SecBlade NetStream模块 H3C SecPath新一代防火墙UTM H3C AFC异常流量清洗产品 应用层安全 H3C负载均衡产品 安全管理 H3C SecCenter安全管理中心

Security Products

H3C SecPath IPS入侵防御系统 H3C SecBlade IPS入侵防御系统模块 H3C SecPath ACG应用控制网关 H3C SecBlade ACG应用控制网关模块

网络层安全

H3C SecPath防火墙/VPN
产品概述 H3C SecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品,集成防火墙、VPN和丰富的网络特性,为用 户提供安全防护、安全远程接入等功能。 支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用 ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分 析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN 业务,如L2TP VPN、GRE VPN 、IPSec VPN、SSL VPN和动态VPN等;支持RIP/OSPF/BGP/路由策略及策略路由;支持 丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。

H3C SecPath 防火墙/VPN系列产品 典型组网

安 全 产 品

02

产品特点 扩展性最强 基于H3C先进的OAA开放应用架构,SecPath防火墙能灵活 扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块, 实现2~7层的全面安全。 强大的攻击防范能力 全面NAT应用支持 能防御DoS/DDoS攻击(如CC、SYN Flood、DNS Query Flood、SYN Flood、UDP Flood等)、ARP欺骗攻击、TCP 报文标志位不合法攻击、Large ICMP报文攻击、地址扫描 攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、 MAC绑定、内容过滤等先进功能。 全面的认证服务 增强型状态安全过滤 支持本地用户、RADIUS、TACACS等认证方式,支持基于 支持基础、扩展和基于接口的状态检测包过滤技术;支持 H3C特有ASPF应用层报文过滤协议,支持对每一个连接状 态信息的维护监测并动态地过滤数据包,支持对应用层协 议的状态监控。 丰富的VPN特性 集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术, 保证移动用户、合作伙伴和分支机构安全、便捷的接入。 产品规格 项目
固定接口 扩展槽位 接口模块 宽×高×深 (mm)

应用层内容过滤 可以有效的识别网络中各种P2P模式的应用,并且对这些应 用采取限流的控制措施,有效保护网络带宽;支持邮件过 滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网 页过滤,提供HTTP URL和内容过滤。

提供多对一、多对多、静态网段、双向转换、Easy IP和 DNS映射等NAT应用方式;支持多种应用协议正确穿越 NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。

PKI/CA体系的数字证书(X.509格式)认证功能。支持基于 用户身份的管理,实现不同身份的用户拥有不同的命令执 行权限,并且支持用户视图分级,对于不同级别的用户赋 予不同的管理配置权限。 集中管理与审计 提供各种日志功能、流量统计和分析功能、各种事件监控 和统计功能、邮件告警功能。

F100-C
5FE 0 无 300×42×220 11W 2Kg

F100-C-EI
5FE 0 无 300×42×220 11W 2Kg

F100-S
4FE 0 无 300×42×220 11W 2Kg

F100-M
3FE 1 4FE/SSL VPN/ ASM 436×44×330 54W 4kg

F100-A-SI
2FE+4(100M 交换接口) 1 4FE/SSL VPN/ ASM 436×44×330 54W 4kg

F100-A
3FE+4(100M 交换接口) 1 4FE/SSL VPN/ ASM 436×44×330 54W 4kg

安 全 产 品

最大功耗 重量 输入电压

100~240VAC,50/60Hz

03

网络层安全

项目
固定接口 扩展槽位 接口模块

F100-E
4FE 1 4FE/1GE光/1GE 电/2GE光/2GE电/ SSL VPN/ASM 436×44×460 150W 7.5Kg 自带双电源 100~240VAC, 50/60Hz

V100-E
4FE 1 4FE/1GE光/1GE 电/2GE光/2GE电 436×44×430 57W 5Kg 自带双电源 100~240VAC, 50/60Hz

F1000-C
2GE Combo+2GE电 2 4FE/1GE光/1GE 电/2GE光/2GE电/ SSL VPN/ASM 436×44×430 100W 6kg 自带双电源 100~240VAC, 50/60Hz

F1000-S
2GE Combo+2GE电 2 4FE/1GE光/1GE 电/2GE光/2GE电/ SSL VPN/ASM 436×44×430 100W 6kg 自带双电源 100~240VAC, 50/60Hz

F1000-S-EI
6GE电+4GE光 1 4GE光/2GE电

F1000-S-AI
12GE Combo 2 4GE光/2GE电/ 2×10GE 442×44.2×443 150W 6kg 可插拔交直流 双电源交流: 100~240V; 50/60Hz 直流: -48V~-60V

宽×高×深 (mm) 最大功耗 重量 输入电压

442×44×400 50W 4Kg 100~240VAC, 50/60Hz

项目
固定接口

F1000-A
2GE Combo

F1000-A-EI
12GE Combo

F1000-E-SI
12GE Combo

F1000-E
4GE Combo

F5000-A5
1个配置口(CON) 1个异步管理(AUX) 1个管理口 1个HA口 4 12GE(8GE电口+ 4Combo) 12GE(8SFP+4Combo) 2×10G接口业务板 436×308×468 650W 27kg 可插拔交直流双电源 交流: 100~240V; 50/60Hz 直流:-48V~-60V

扩展槽位 接口模块

1 4FE/1GE光/1GE 电/2GE光/2GE电/ SSL VPN/ASM 436×44×430 100W 5.5kg 自带双电源 交流主机: 100~240V; 50/60Hz 直流主机: -48V~-60V

2 4GE光/2GE/ 2×10GE

2 4GE光/2GE电/ 2×10GE

2 4GE光/4GE 电/8GE电口/ 1×10GE 436×44×460 150W 7.5Kg 可扩展冗余电源 100~240VAC, 50/60Hz

宽×高×深 (mm) 最大功耗 重量 输入电压

442×44.2×443 150W 6kg 可插拔交直流双电源 交流:100~240V ; 50/60Hz 直流:-48V~-60V

442×44.2×443 150W 6kg 可插拔交直流双电源 交流:100~240V ; 50/60Hz 直流:-48V~-60V

安 全 产 品

04

H3C SecPath防火墙业务模块
H3C公司提供一系列应用于H3C SecPath防火墙的安全模块,包括ASM防病毒模块和SSL VPN模块。

H3C ASM防病毒模块
H3C ASM(Anti-Virus Security Module)是应用于H3C SecPath防火墙/MSR路由器中的防病毒安全模块,具有 查杀毒能力强、易部署、成本低、配置管理方便等特点。 ASM可以快速有效的阻断蠕虫王、冲击波、麦托、尼姆 达、震荡波和高波等网络蠕虫病毒的渗透,防御外部网络 的蠕虫病毒、后门木马和垃圾邮件侵袭;采用面向对象的 高稳定性设计和高应变型智能引擎,可以识别和处理未知 病毒,降低网络风险;支持在线实时升级功能,能够实时 升级病毒特征库及病毒引擎;支持对知名协议和文件的识 别、处理,并且可以定制相应病毒防范策略。 产品特点 一体化的安全保护 ASM嵌入防火墙/路由器中,在不改变原组网结构的情况 下,与防火墙/路由器配合完成查杀病毒的工作,为用户提 供一体化的安全保护。

全面病毒防御 通过报文深度检查、识别应用层信息、协议命令入侵检 测和阻断、蠕虫病毒防护以及先进的数据包验证机制, 可以控制各种蠕虫、病毒网络攻击、后门木马和垃圾邮 件扫描,并且阻断来自内部的数据攻击以及垃圾数据流 的泛滥。 完备防御模式 ASM支持“变种共性特征比对”技术,可以实现对各种未 知病毒的防御,最大程度降低用户损失。支持对各类文件 类型进行病毒防御,可以设置多种防范策略。 强大日志审计 可按照用户设置的最长时间进行滚动保存;支持Syslog和 Mysql日志记录格式,提供日志实时备份模块,能够实现日 志异地存储。提供各种日志功能、流量统计和分析功能、 事件监控和统计功能、邮件告警功能。当用户的邮件中含 有病毒时,ASM会把病毒信息清除后的邮件发送给收件 人,并在邮件中标明该邮件感染过何种类型的病毒。 高效的流引擎 当用户访问网络时,防病毒功能实时检查传输流量,如果 在流量中发现病毒,ASM将主动断开与客户端的连接,防 止病毒信息对用户环境造成破坏。

安 全 产 品
先进的H3C OAA开放应用架构,确保ASM在各种情况下 都不会影响防火墙/路由器的正常业务。独立的操作系统、 CPU、内存和硬盘等计算资源,提供了高性能病毒查杀能 力;动态的检测技术,有效规避了单点故障。 先进的系统架构

05

网络层安全
友好的配置 ASM提供Web和命令行访问方式,具有友好、灵活和直观的操作界面,降低管理人员的配置工作。

H3C SSL VPN模块
H3C SSL VPN模块提供方便、快捷的远程安全接入,直接使用浏览器访问内部网络资源,无需安装客户端软件,为用户提 供高经济、低成本的远程移动安全接入方式。 H3C SSL VPN模块采用业界先进的远端安全状态检测技术,能限制不安全远程终端的访问权限,通过细粒度VPN接入控 制,保证用户对网络资源的安全访问。

产品特点 免客户端Web接入 采用B/S架构,客户端无需安装任何软件,直接使用Web浏 览器即可安全、快捷地访问内网资源。各种配置信息保存 在内网SSL VPN服务器上,统一在服务器进行维护即可,远 端用户不需要任何维护工作。用户退出访问时,SSL VPN模 块自动删除缓存、Cookies和配置文件等信息,避免敏感资 料的泄漏。 远端安全状态检测 基于主动远程状态检测技术,可以实时对接入设备的操作系 统、浏览器、防病毒软件和核心进程等进行安全状态评估, 杜绝不安全终端的接入,实现对远程接入风险的防御。 丰富的接入认证方式 根据远程接入安全性、可控制性的差异化需求,提供 Web、TCP和IP三种不同的接入方式,实现对用户访问的 URL、文件目录、服务器等资源的细粒度控制。 支持主流的认证和外部授权平台,包括本地认证、 Radius、LDAP、AD、RSA SecurID和第三方PKI认证等, 保障对不同用户进行认证的授权和管理。 应用层支持丰富 支持主流C/S应用系统,在构建的SSL VPN通道中,可以 安全使用如Exchange、FTP、SMB文件共享、VNC等各 种应用。

安 全 产 品

直观易用管理界面 具有丰富的Web管理界面,并且用户可设置自定制的Logo 图片和页面标题。

06

H3C SecBlade FW防火墙模块
产品概述 H3C SecBlade FW是业内第一款万兆高性能防火墙模块,可应用于H3C S5800/S7500E/S9500E/S12500交换机以及 SR6600/SR8800路由器。SecBlade FW集成防火墙、VPN、内容过滤和NAT地址转换等功能,提升了网络设备的安全业务 能力,为用户提供全面的安全防护。 H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能,有效的保证网络的安全。 采用H3C ASPF(Application Specific Packet Filter)应用状态检测技术,实时检测应用层连接状态,实现3~7层安全防 护。提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。 H3C SecBlade FW模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。

H3C SecBlade FW模块外观 产品特点 业内性能最高 采用先进的多核硬件结构,提供无以伦比的万兆线速安全防护,是业内处理性能最高的防火墙模块,将网络安全防护提升

安 全 产 品

到万兆安全新阶段。 全面的安全防护 支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向

07

网络层安全

或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ ActiveX Blocking和SQL注入攻击等威胁的防范;可以有效 的识别和控制网络中的各种P2P应用;支持静态和动态黑名 单、MAC绑定、安全区域控制、系统统计等安全功能。 丰富的VPN特性 集成IPSec、L2TP、GRE等多种成熟VPN接入技术,保证移 动用户、合作伙伴和分支机构安全、便捷的远程接入。 全面NAT应用支持 提供多对一、多对多、静态网段、双向转换 、Easy IP和 DNS映射等多种NAT应用方式。提供DNS、FTP、H.323、 NBT等NAT ALG功能,支持多种应用协议正确穿越NAT。 先进的虚拟防火墙

分多个逻辑的防火墙实例来实现对用户多个业务独立安 全策略部署的需求。当用户业务划分发生变化或者产生 新的业务部门时,可以通过添加或者减少防火墙实例的 方式十分灵活的解决后续网络扩展问题,简化了网络管 理的复杂度。 降低运营成本 直接在H3C交换机、路由器中增加SecBlade FW模块,即可 扩展交换机、路由器的防火墙功能。通过与交换机或路由 器共用管理平台,降低了管理难度。并且交换机的任何端 口都可以作为SecBlade FW模块的端口使用,从而降低用户 成本。 高可靠性 H3C SecBlade FW业务模块作为业务插卡嵌入H3C交换机

支持先进的虚拟防火墙技术,通过在同一台物理设备上划 产品规格 项目
应用于 固定接口

或路由器中,降低了单点故障,保证了网络的高可靠性。

H3C SecBlade FW防火墙模块
S5800/S7500E/S9500E/S12500交换机、SR6600/SR8800路由器 1个配置口(CON)、2个千兆RJ45电口、2个千兆Combo口(S7500E/S9500E/S12500交换机、 SR6600/SR8800路由器) 1个千兆RJ45电口(Manager口,S5800) 40.1×399.2×376.5mm(S7500E/S9500E/S12500交换机、SR6600/SR8800路由器) 25×180.0×366.7mm(S5800) 100W(S7500E/S9500E/S12500交换机、SR6600/SR8800路由器) 60W(S5800) 0~40℃ SYN Flood、UDP Flood、ICMP Flood、HTTP Get Flood、Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP标志位异常、地址扫描、端口扫描等探测攻击、Java/ActiveX Blocking和SQL注 入攻击 IPSec VPN、GRE VPN、L2TP VPN 支持地址池方式的地址转换、支持使用ACL控制地址转换 支持Easy IP、支持NAT Server、可配置支持地址转换的有效时间 支持多种ALG,包括FTP、DNS、QQ、MSN、H323、NBT、ILS、RTSP、SQLNET、SIP等

尺寸(高×宽×深) 额定功率 环境温度 攻击防范类型

VPN类型 NAT地址转换功能

安 全 产 品

08

典型组网

选配信息

型号
LSTM1FW2A1 LSRM1FW2A1 LSQM1FWBSC0 LSWM1FW10 IM-FW RT-SPE-FWM-H3

描述
H3C S12500防火墙业务板模块 H3C S9500E防火墙业务板 H3C S7500E防火墙业务板模块 H3C S5800系列防火墙模块 H3C SR8800防火墙业务处理板 H3C SR6600千兆防火墙业务板模块

备注
必配 必配 必配 必配 必配 必配

安 全 产 品

09

网络层安全

H3C SecBlade SSL VPN模块
产品概述 H3C SecBlade SSL VPN模块应用于S7500E交换机/SR6600路由器上,提供方便、快捷的远程安全接入。用户无需安装客 户端软件,直接使用浏览器访问内部网络资源,提供了方便、低成本的远程移动安全接入方式。 H3C SecBlade SSL VPN模块采用业界先进的远端安全状态检测技术,能限制不安全远程终端的接入;通过细粒度VPN访 问权限控制,保证用户对网络资源的安全访问。H3C SecBlade SSL VPN模块与基础网络设备融合,具有即插即用、扩展 性强的特点,降低了用户管理难度,减少了维护成本。 丰富的接入认证方式 根据远程接入安全性、可控制性的差异化需求,提供 Web、TCP和IP等多种不同的接入方式,实现对用户访问的 URL、文件目录、服务器等资源的细粒度控制。 支持主流的认证和外部授权平台,包括本地认证、 Radius、LDAP、AD、RSA SecurID和第三方PKI认证等, 保障对不同用户进行认证的授权和管理。 应用层支持丰富 H3C SecBlade SSL VPN模块外观 支持主流C/S应用系统,在构建的SSL VPN通道中,可以安 产品特点 业内性能最高 采用基于多核处理器的先进硬件结构,是业界支持用户数 最多的SSL VPN模块。 免客户端Web接入 降低运营成本 采用B/S架构,客户端无需安装任何软件,直接使用Web浏 览器即可安全、快捷地访问内网资源。各种配置信息保存 在内网SSL VPN服务器上,统一在服务器进行维护即可,远 端用户不需要任何维护工作。用户退出访问时,SSL VPN模 块自动删除缓存、Cookies和配置文件等信息,避免敏感资 料的泄漏。 远端安全状态检测 直接在H3C交换机或路由器中增加SecBlade SSL VPN模 块,即可实现交换机或路由器在SSL VPN用户接入和管理方 面功能的扩展。通过与交换机或路由器共用管理平台,降 低了管理难度。并且交换机或路由器的任何端口都可以作 为SecBlade SSL VPN端口使用,从而降低用户首次和后续 扩容的投入成本。 全使用如Exchange、FTP、Outlook、VNC等各种应用。 直观易用管理界面 具有丰富的Web使用界面,全部操作在浏览器页面内即可 完成,并且为用户提供可以设置的Logo图片和页面标题, 实现界面的个性化。

安 全 产 品

高可靠性 基于主动远程状态检测技术,可以实时对接入设备的操作系 统、浏览器、防病毒软件和系统进程等进行安全状态评估,杜 绝不安全终端的接入,实现对远程接入风险的防御。 H3C SecBlade SSL VPN业务模块作为业务线卡嵌入H3C交换 机或路由器中,降低了单点故障,保证了网络的高可靠性。

10

产品规格 项目
可应用于 管理接口 环境温度 环境湿度 接入方式 用户认证方式 自动缓存清除 应用支持 加密算法

H3C SecBlade SSL VPN模块
S7500E系列交换机/SR6600系列路由器 1个配置口(CON) 0~45℃ 10~95% (非凝露) Web接入(HTTP代理)、TCP接入(端口转发)、IP接入(网络扩展) 本地认证、Radius认证、LDAP认证、AD认证、CA认证、双因子认证 清除网页缓存、清除Cookie、清除下载程序、清除配置文件 Exchange、FTP、VNC、远程桌面共享、Outlook 支持RSA数字签名算法 支持MD5、SHA1摘要算法 支持RC4、DES、3DES、AES等加密算法 Web(HTTP) CLI(Telnet/SSH)

管理方式

典型组网

选配信息

安 全 产 品

型号
LSQM1SSLSC0 RT-SPE-SSL-H3 LIS- SSLVPN-1000 LIS- SSLVPN-5000

描述
H3C S7500E-SSLVPN业务模块 H3C SR6600 SSL VPN模块 H3C SSL VPN提供的并发1000个用户的SSL VPN服务 H3C SSL VPN提供的并发5000个用户的SSL VPN服务

备注
必配 必配 选配 选配

11

网络层安全

H3C SecBlade NetStream模块
产品概述 H3C SecBlade NetStream模块是业界领先的网络流量统计分析产品,可应用于H3C S7500E/S9500E/S12500系列交换机。 SecBlade NetStream模块对网络中的所有业务流量进行精确的检测以及详细的统计。根据SecBlade NetStream输出的信 息,能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题,为网络容量规划、路由安全、网络应用监控以 及故障诊断等提供客观准确的决策依据,实现真正的网络可视化,提高网络整体性能。 H3C SecBlade NetStream模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。

定的服务器进行存储,以便于分析。但是网络状态千变万 化,为了防止统计信息丢失,SecBlade NetStream模块 提供了向主、备服务器同时发送信息的功能,确保统计信 息万无一失。 H3C SecBlade NetStream模块 产品特点 高性能的硬件平台 H3C SecBlade NetStream模块采用业界领先的多核硬件 平台,通过并行处理机制,能够对交换机中所有流量进行 高性能的报文统计分析。同时,一台交换机可以支持多块 SecBlade NetStream模块,实现系统性能的平滑升级。 降低运营成本 强大的协议处理机制 通过在H3C交换机中增加SecBlade NetStream模块,即可 H3C SecBlade NetStream模块支持IP报文(UDP、TCP、 ICMP报文)和MPLS报文的统计。通过对数据流的包数、 字节数、首包到达时间和末包到达时间等信息的精确统 计,提供网络流量运行情况的第一手资料。 先进的双地址发送功能 H3C SecBlade NetStream模块把统计信息报文发送给设 高可靠性 扩展交换机的网络流量监控功能。通过与交换机共用管理 平台,降低了管理难度。 详尽的统计分析报表 H3C SecBlade NetStream模块能对网络中的所有流量进 行统计分析和异常检测,输出各种丰富的网络流量分析报 表,包括:历史流量分析报表,流量趋势预警,网络异常 流量检测,用户上网行为分析以及整网或者具体的网络设 备、接口和资源组细粒度流量信息报表等信息,让客户及 时全面了解网络运行情况,有效防范网络安全隐患。


H3C SecBlade NetStream业务模块作为业务插卡嵌入H3C 交换机中,采用独立的硬件平台,不会出现单点故障的情 况,保证了网络的高可靠性。

全 产 品

12

产品规格 项目
可应用于 管理接口

H3C SecBlade NetStream模块
S7500E/S9500E/S12500交换机 1个配置口(CON) 2个千兆RJ45电口 2个千兆Combo口 0~45℃ 10~95% (非凝露) 支持接口配置NetStream 支持接口配置报文过滤 支持设置NetStream流缓存区大小 支持设置输出版本号 支持设置V9模板包刷新率 支持设置统计表项Active老化时间 支持设置统计表项Inactive老化时间 支持强制老化 V5 V9 显示流缓冲区统计信息 显示流上报统计信息 显示V9模板统计信息 CLI(Telnet/SSH) 支持标准网管SNMPv3,并且兼容SNMPv2c、SNMPv1 支持接口配置采样方式(按规则采样或随机采样) 支持IP流聚合统计(协议─端口聚合) 支持设置统计报文输出地址 支持设置输出速率 支持设置V9模板时间刷新率

环境温度 环境湿度 功能规格

统计信息老化

统计信息输出格式 统计信息显示

管理方式

典型组网

选配信息

安 全 产 品

型号
LSQM1NSMSC0 LSRM1NSM1A1 LSTM1NSM1A1 NSQM2NTA

描述
H3C S7500E NetStream业务板 H3C S9500E NetStream业务板 H3C S12500 NetStream业务板 H3C SecCenter组件-iTAS智能流量分析系统-纯软件(CD) H3C SecCenter A1000安全管理中心

备注
必配 必配 必配 管理平台:iTAS软件和SecCenter 硬件平台必须二选一

13

NS-SecCenter A1000-S

网络层安全

H3C SecPath新一代防火墙UTM
产品概述 做为新一代防火墙产品的H3C SecPath UTM(United Threat Management,统一威胁管理)采用高性能的多核、多线程 安全平台,保障全部安全功能开启时不降低性能,产品具有极高的性价比。在提供传统防火墙、VPN功能基础上,同时提 供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等增值安全功能。 H3C公司的SecPath UTM产品不仅能够全面有效的保证用户网络的安全,还支持SNMP和TR-069网管方式,最大化减少设 备运营成本和维护复杂性。

产品特点 市场领先的安全防护功能 ■ 完善的防火墙功能:提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等 基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、 Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。 ■ 丰富的VPN特性:支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性 能的VPN处理。 ■ IPv4/IPv6协议栈:支持完整的IPv4/IPv6协议栈,能够为各种IPv4/IPv6应用提供支撑。随着网络安全问题日益突出,加 强了IPv4/IPv6协议栈安全性,提高了网络设备抵御攻击的能力。 ■ 实时的病毒防护:采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。

安 全 产 品

■ 实时的垃圾邮件防护:可以拦截垃圾邮件,净化邮件系统,解决垃圾邮件对正常工作的干扰问题。 ■ 先进的URL过滤:实现基于用户的URL访问控制,防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安 全威胁。

14

■ 全面的流量管理:能精确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用,提供告警、限速、干扰或阻断等多种 方式,保障网络核心业务正常应用。 ■ 细致的行为审计:可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录,实现细粒度的网络行 为审计管理。 ■ NAT应用:提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越 NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。 电信级设备高可靠性 ■ 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户,经历了多年的市场考验。 ■ 支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份。 ■ 36年的平均无故障时间(MTBF)。 智能图形化的管理 ■ 简单易用的Web UI管理 ■ 通过H3C UTM管理软件实现统一管理 ■ 支持基于SNMP和TR-069协议的管理 ■ 通过H3C SecCenter安全管理中心实现统一管理

产品规格 系统规格 项目
固定接口 扩展槽位 接口模块 CF 内存 外型尺寸: 长×深×高 512M 300×260 ×43.6mm 2.5Kg 1G 1G

U200-S
1个配置口 5GE(电) 1 2GE(电)

U200-M
1个配置口 6GE(电) 1 2GE(电) 4GE(光)

U200-A
1个配置口 6GE(电) 2 2GE(电) 4GE(光)

U200-CS
1个配置口 5GE(电) 1 2GE(电)

U200-CM
1个配置口 5GE(电) 1 2GE(电)

U200-CA
1个配置口 6GE(电) 1 2GE(电) 4GE(光)

Navigator2-2
1个配置口 5GE(电) 0 N/A 主机自带CF卡

外置一个CF扩展槽(选配) 512M 512M 1G 442×400 ×44.2mm 4Kg

512M 300×260 ×43.6mm 2.5Kg

442×400×44.2mm 4Kg 4Kg

300×260×43.6mm 2.5Kg 2.5Kg

安 全 产 品

重量 电源模块 最大功率 平均无故障时 间(MTBF) 工作环境温度

输入额定电压:100VAC~240VAC;47/63Hz;最大输入电流:1.5A 54W 100W 100W 54W 36年 0~45℃ 10~95%(不结露) 54W 100W 50W

15

环境相对湿度

网络层安全

功能特性规格 属性
运行模式

说明
路由模式 透明模式 混合模式 AAA服务 RADIUS认证 HWTACACS认证 PKI/CA(X.509格式)认证 域认证 CHAP验证 PAP验证 虚拟防火墙 安全区域划分 可以防御ARP欺骗、TCP报文标志位不合法、Large ICMP报 文、SYN flood、地址扫描和端口扫描等多种恶意攻击 基础和扩展的访问控制列表 基于接口的访问控制列表 基于时间段的访问控制列表 动态包过滤 ASPF应用层报文过滤 静态和动态黑名单功能 MAC和IP绑定功能 基于MAC的访问控制列表 支持802.1q VLAN 透传 基于病毒特征进行检测 支持病毒库手动和自动升级 报文流处理模式 支持HTTP、FTP、SMTP、POP3协议 支持的病毒类型:Backdoor、Email-Worm、IM-Worm、 P2P-Worm、Trojan、AdWare、Virus等 支持病毒日志和报表 客户自定义URL过滤规则库 支持Java Blocking、ActiveX Blocking过滤 支持IP地址黑名单 支持对收发邮件的地址、附件名、附件内容、主体、正文内 容、收发邮件人姓名等关键字匹配过滤 支持对黑客攻击、蠕虫、木马常等攻击的防御 支持对BT等P2P/IM识别和控制 用户行为流日志 NAT转换日志 攻击实时日志 黑名单日志 地址绑定日志 流量告警日志 流量统计和分析功能 全局/基于安全域连接数率监控 全局/基于安全域协议报文比例监控 安全事件统计功能 E-Mail邮件实时告警功能 E-Mail邮件定期信息发布功能

网络安全性

防火墙

病毒防护

URL过滤 垃圾邮件防护

深度安全防护 安全日志及统计

安 全 产 品

NAT

支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 支持外部网络主机访问内部服务器 支持内部地址直映射到接口公网IP地址 支持DNS映射功能 可配置支持地址转换的有效时间

16

属性
网络安全性 VPN

说明
NAT L2TP VPN 支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、 NBT、PPTP、SIP等 支持根据VPN用户完整用户名、用户域名向指定LNS发起连接 支持为VPN用户分配地址 支持进行LCP重协商和二次CHAP验证

GRE VPN IPSec/IKE 支持AH、ESP协议 支持手工或通过IKE自动建立安全联盟 ESP支持DES、3DES、AES多种加密算法 支持MD5及SHA-1验证算法 支持IKE主模式及野蛮模式 支持NAT穿越 支持DPD检测 Ethernet_II Ethernet_SNAP 802.1q VLAN PPPoE IPv4/v6 ARP 域名解析 IP UNNUMBERED DHCP中继 DHCP服务器 DHCP客户端 静态路由 RIP v1/2 OSPF BGP 策略路由 IPv6包过滤 RADIUS 支持IPv6地址管理 支持ICMPv6协议 支持ND协议 支持PMTU DHCPv6 Client DHCPv6 Relay NTP6 Ping6 DNS6 Tracert6 Telnet6 RIPng OSPFv3 MP-BGP IPv6 Unicast MP-BGP IPv6 Multicast IPv6静态路由 IPv6策略路由 MLDv1、MLDv2 PIM SM/DM SSM IPv6 MC over IPv4 Tunnels 组播静态路由 BSR

网络互连

局域网协议

链路层协议 网络协议 IP服务

IP路由

IPv6

IPv6安全 IPv6基础特性

IPv6应用

IPv6路由

安 全 产 品

IPv6组播

17

网络层安全
属性
IPv6

说明
过渡技术 NAT-PT IPv6 over IPv4 GRE隧道 手工隧道 6to4隧道 IPv4兼容IPv6自动隧道 ISATAP隧道

高可靠性 QoS 配置管理

支持VRRP,支持负载分担和业务备份 流量监管 命令行接口 CAR 通过Console口进行本地配置 通过Telnet或SSH进行本地或远程配置 配置命令分级保护,确保未授权用户无法侵入设备 详尽的调试信息,帮助诊断网络故障 用Telnet命令直接登录并管理其它设备 FTP Server/Client,可以使用FTP下载、上载配置文件和应 用程序 支持日志功能 User-interface配置,提供对登录用户多种方式的认证和授 权功能

支持标准网管SNMPv3,并且兼容SNMPv2c、SNMPv1 支持NTP时间同步 支持Web方式进行远程配置管理 支持SNMP/TR-069网管协议 支持H3C SecCenter安全管理中心进行设备管理 认证 支持欧洲严格的RoHS环保认证 支持IPv6 Ready第二阶段核心协议增强认证

典型组网

H3C SecPath U200应用典型部署图

安 全
■ 多功能集成,实现全网应用层安全防护 ■ 双机状态热备技术,高可靠网络设计 ■ 多核、多线程硬件平台,具有强大的处理能力

产 品

■ 统一Web界面,降低管理复杂度

18

订购信息

项目
主机(交流主机) CF Mini插卡(2GE电)(U200-S/CS/CM) MIM插卡(2GE电)(U200-M/A/CA) MIM插卡(4GE光)(U200-M/A/CA) 病毒特征库升级-1年 IPS特征库升级-1年 垃圾邮件特征库升级-1年 URL过滤特征库升级-1年 应用控制特征库升级-1年

数量
1 0-1 0-1

备注
必配 选配,用于功能扩展 选配

0-1 0-1 0-1 0-1 0-1

选配 选配 选配 选配 选配

说明: “必配”表示所描述项目直接随选购的主机提供,不需要用户选择购买。 “选配”表示所描述项目需要用户选择购买。

H3C AFC异常流量清洗产品
产品概述 H3C AFC异常流量清洗产品是杭州华三通信技术有限公 司(以下简称H3C公司)推出的专业防御分布式拒绝服 务(DDoS)攻击的产品,包含:AFC-D异常流量检测模 块、AFC-G异常流量清洗模块以及异常流量清洗业务管理 系统。H3C流量清洗产品采用业界领先的“智能化流量模 型”、“基于用户行为的单向防御”等技术,能够及时发

安 全 产 品

现网络中的各种DDoS威胁并实现对攻击流量的快速过滤, 从而有效保护城域网、IDC等免遭海量DDoS攻击。在提供 安全加固的同时,提升了带宽利用效率。 H3C AFC异常流量清洗产品系列

19

网络层安全

产品特点 高效的流量检测和清洗技术 H3C AFC产品既支持深度数据包检测技术(DPI),也可以 通过分析网络设备输出的NetFlow/NetStream/SFlow流信息 (DFI),从而深入识别隐藏在背景流量中的攻击报文,以 实现精确的流量识别和清洗。采用先进的分布式多核硬件 结构,并且可以按需扩展AFC-D/AFC-G模块,打造超万兆 级异常流量清洗平台。 H3C AFC产品在发现按DDoS攻击时,异常流量清洗设备向 高可用性 H3C AFC产品可以采用在线或旁路部署的方式进行DDoS攻 击的防护。当采用旁路部署的方式时,可以实现对流量的 按需清洗,在任何情况下都不会影响正常流量。良好的网 络协议适应性,能够支持ARP、VLAN、链路聚合等网络层 协议以及静态路由、RIP、OSPF、BGP、策略路由等路由 协议,满足各种组网应用。当采用在线部署模式下,可以 实时对威胁流量进行清洗。 多层次的安全防护 H3C AFC产品通过静态漏洞攻击特征检查、动态规则过 邻居的路由器/交换机发布BGP更新路由通告,自动、迅速 地将被攻击用户的流量牵引到AFC上来,对其进行清洗。同 时,异常流量清洗产品可通过策略路由、MPLS VPN、GRE VPN、二层透传等多种方式,将清洗后的干净流量回注给用 户,用户正常的业务流量不受任何影响。 详尽的分析统计报表 H3C AFC产品针对检测和清洗的各种威胁流量,提供丰富的 攻击日志和报表统计功能,包括攻击前流量信息、清洗后流 量信息、攻击流量大小、时间及排序等信息以及攻击趋势分 析等各种详细的报表信息,便于了解网络流量状况。 滤、异常流量限速和H3C独创的“基于用户行为的单向防 御”技术,实现多层次安全防护,精确检测并阻断各种网 络层和应用层的DoS/DDoS攻击和未知恶意流量,包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、 HTTP Get Flood、CC攻击等各种攻击。 自动流量牵引和灵活的流量回注

产品规格

项目
业务接口 环境温度 环境湿度 DDoS攻击防范类型

H3C AFC异常流量清洗产品
支持千兆以太网光口、千兆以太网电口、万兆以太网光口 0~45℃ 10~95% (非凝露) CC攻击、DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、HTTP Get Flood、 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP标志位异常、地址扫 描、端口扫描等 基于NetFlow/NetStream/SFlow协议的流量检测方式(DFI) 深度数据包检测方式(DPI)

流量检测方式 引流方式 干净流量回注方式

安 全 产 品

BGP引流 策略路由、MPLS VPN、GRE VPN、二层透传模式等

20

典型组网 旁路部署 在线部署

H3C AFC流量清洗产品旁路部署 ■ 旁路部署:高可靠,检测与清洗产品可以集中部署,也 可以分开部署,部署于运营商城域网的核心层或汇聚层, 或部署于数据中心出口。

H3C AFC流量清洗产品在线部署 ■ 在线部署:部署简单、成本低,部署于数据中心出口。

选配信息

型号
LSQM1AFDBSC0 LSQM1AFCBSC0 NSQM1NTC NS-SecCenter A1000-S

描述
H3C S7500E/AFC D系列异常流量检测业务模块 H3C S7500E/AFC G系列异常流量清洗业务模块 H3C SecCenter组件-AFC异常流量清洗业务管理系统纯软件(CD) H3C SecCenter A1000安全管理中心

备注
必配 必配 管理平台:AFC管理软件和SecCenter 硬件平台必须二选一

安 全 产 品

21

应用层安全

H3C SecPath IPS入侵防御系统
产品概述 H3C SecPath IPS(Intrusion Prevention System)集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能,是业 界综合防护技术最领先的入侵防御/检测系统。通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木 马、间谍软件、网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。 产品系列

典型组网 IPS在线部署方式 部署于网络的关键路径上, 对流经的数据流进行2~7层 深度分析,实时防御外部和 内部攻击。

安 全 产 品

22

IDS旁路部署方式 对网络流量进行监测与分析,记录攻击 事件并告警。

产品特点 强大的入侵抵御能力 H3C SecPath IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品,特征库数量已达10000+。配合H3C FIRST (Full Inspection with Rigorous State Test)专有引擎技术,能精确识别并实时防范各种网络攻击和滥用行为。SecPath IPS通过了国际权威组织CVE(Common Vulnerabilities & Exposures,通用漏洞披露)的兼容性认证,在系统漏洞研究和 攻击防御方面达到了业界顶尖水平。 专业的病毒查杀 H3C SecPath IPS集成卡巴斯基防病毒引擎,内置专业病毒库。采用第二代启发式代码分析、iChecker实时监控和独特的脚 本病毒拦截等多种最尖端的反病毒技术,能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和 行为判断技术,准确查杀各种变种病毒、未知病毒。 零时差的应用保护 H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告,经过分析、验证所有这些威胁,生成保护操作系 统、应用系统以及数据库漏洞的特征库;H3C通过了微软的MAPP(Microsoft Active Protections Program)认证,可以 提前获得微软的漏洞信息。同时,通过部署于全球的蜜罐系统,实时掌握最新的攻击技术和趋势,以定期(每周)和紧急 (当重大安全漏洞被发现)两种方式发布,并自动或手动地分发到IPS设备中,使用户的IPS设备在漏洞被公布的同时立刻 具备防御零时差攻击的能力。 带宽滥用控制 H3C SecPath IPS能帮助用户遏制非关键应用抢夺宝贵的带宽和IT资源,从而确保网络资源的合理配置和关键业务的服务质 量,显著提高网络的整体性能。 网络基础设施保护 H3C SecPath IPS具有强大的攻击防护和流量模型自学习能力,当攻击发生、或者短时间内大规模爆发的病毒导致网络流

安 全 产 品

量激增时,能自动发现并阻断攻击和异常流量,以保护路由器、交换机、VoIP系统、DNS服务器等网络基础设施免遭各种 恶意攻击,保证关键业务的通畅。 灵活的组网模式 透明模式,即插即用,支持在线或IDS旁路方式部署;融合了丰富的网络特性,可在MPLS、802.1Q、QinQ、GRE等各种

23

应用层安全

复杂的网络环境中灵活组网。 便捷的管理方式 支持本地和分布式管理。在单台或小规模部署时,通过IPS内置的Web界面进行图形化管理;在大规模部署时,可通过 H3C安全管理中心SecCenter对分布部署的IPS进行统一监控、分析与策略管理。 高性能高可靠性 领先的多核架构及分布式搜索引擎,确保SecPath IPS在各种大流量、复杂应用的环境下,仍能具备线速深度检测和防护能 力,仅有微秒级时延。 通过掉电保护(PFC)、二层回退、双机热备等高可靠性设计,保证IPS在断电、软硬件故障或链路故障的情况下,网络链 路仍然畅通,保证用户业务的不间断正常运行。 产品规格

项目
固定业务接口

T200-S
4GE电口

T200-M
4GE Combo口

T200-A

T1000-C
4GE电口

T1000-S

T1000-M

T1000-A

T5000-S3
16GE SFP 口,+8GE Combo口 - -

扩展槽位 接口模块 电源输入 电源 特征库数量 攻击防范

- -

2 4GE电口、8GE电口、 4GE光口

2 4GE电口、4GE光口

T5000-S3: 100~240VAC,50/60Hz,或-36V~-72VDC 其他型号: 100~240VAC,50/60Hz 1 1+1

10000+,不断更新中 支持Web保护、邮件服务器保护、FTP服务器保护、DNS漏洞、跨站点编写脚本、SNMP漏洞、蠕虫和病毒、暴力攻 击和防护、SQL Injections、后门和特洛伊木马、间谍软件、DDoS、探测/扫描、网络钓鱼、协议异常、IDS/IPS逃逸 攻击等 支持文件型、网络型和混合型病毒等 支持BT、eDonkey、eMule、网际快车、迅雷、PPLive、QQLive等 支持MSN、QQ、Google/Gtalk、Yahoo Messenger等 支持自定义URL过滤规则库、基于时间段过滤等 支持阻断、限流、重定向、隔离、Email告警等 自动/手动 通过欧盟严格的环保标准RoHS 中文/英文

病毒防范 P2P识别 IM识别 URL过滤 响应方式 升级方式 环保标准 管理界面 尺寸(高×宽×深) 重量

安 全
86×420×420mm 10.6Kg 175×436 ×420mm

44.2×442 ×400mm 5.5Kg

43.6×430×480mm 10Kg

产 品

35Kg

24

H3C SecBlade IPS入侵防御系统模块
产品概述 H3C SecBlade IPS(Intrusion Prevention System)是一款高性能入侵防御模块,可应用于H3C S5800/S7500E/S9500E/ S12500系列交换机,集成入侵防御/检测、病毒过滤和带宽管理等功能,是业界综合防护技术最领先的入侵防御/检测系 统。通过深达7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行 为,并实现对网络基础设施、网络应用和性能的全面保护。 H3C SecBlade IPS模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。

零时差的应用保护 H3C专业安全团队密切跟踪全球知名安全组织和厂商发布 的安全漏洞公告,通过准确的分析,快速生成保护操作系 H3C SecBlade IPS模块外观 产品特点 强大的入侵抵御能力 H3C SecBlade IPS是业界唯一集成漏洞库、专业病毒库、 应用协议库的IPS模块。配合H3C FIRST(Full Inspection with Rigorous State Test)专有引擎技术,能精确识别并实 时防范各种网络攻击和滥用行为。SecBlade IPS通过了国际 权威组织CVE(Common Vulnerabilities & Exposures,通 用漏洞披露)的兼容性认证,在系统漏洞研究和攻击防御 方面达到了业界顶尖水平。 专业的病毒查杀 H3C SecBlade IPS具有强大的攻击防护和流量模型自学习 能力,当攻击发生、或者短时间内大规模爆发的病毒导致 网络流量激增时,能自动发现并阻断攻击和异常流量,以 保护路由器、交换机、VoIP系统、DNS服务器等网络基础 设施免遭各种恶意攻击,保证关键业务的通畅。 灵活的组网模式 透明模式,即插即用,支持在线或IDS旁路方式部署;融合 了丰富的网络特性,可在MPLS、802.1Q、QinQ、GRE等 各种复杂的网络环境中灵活组网。 统、应用系统以及数据库漏洞的特征库;H3C通过了微软 的MAPP(Microsoft Active Protections Program)认证, 可以提前获得微软的漏洞信息。同时,通过部署于全球的 蜜罐系统,实时掌握最新的攻击技术和趋势,以定期(每 周)和紧急(当重大安全漏洞被发现)两种方式发布, 并自动或手动地分发到SecBlade IPS模块中,使用户的 SecBlade IPS模块快速具备防御零时差攻击的能力。 网络基础设施保护

安 全 产 品

H3C SecBlade IPS集成卡巴斯基防病毒引擎和病毒库。采 用第二代启发式代码分析、iChecker实时监控和独特的脚本 病毒拦截等多种最尖端的反病毒技术,能实时查杀各种文 件型、网络型和混合型病毒;并采用新一代虚拟脱壳和行 为判断技术,准确查杀各种变种病毒、未知病毒。

25

应用层安全

高性能高可靠性 领先的多核架构及分布式搜索引擎,确保SecBlade IPS在各种大流量、复杂应用的环境下,仍能具备线速深度检测和防护 能力,仅有微秒级时延。IPS模块通过嵌入到交换机中,可以有效降低单点故障,即使在SecBlade IPS出现故障时也能保证 数据业务的正常转发。除了在线部署,SecBlade IPS模块还可以采用旁路部署的模式,实现IDS入侵检测的功能。 降低运营成本 直接在H3C S5800/S7500E/S9500E/S12500系列交换机中增加SecBlade IPS模块,即可实现交换机应用层安全防护功能的 扩展。通过与交换机共用管理平台,降低了管理难度。并且交换机的任何端口都可以作为IPS端口使用,从而降低用户首次 和后续扩容的投入成本。 产品规格

项目
可应用于 管理接口

H3C SecBlade IPS入侵防御模块
S5800/S7500E/S9500E/S12500系列交换机 1个配置口(CON) 2个千兆RJ45电口 2个千兆光电Combo 40.1×399.2×376.5mm (S7500E/S9500E/S12500交换机) 25x180.0x366.7mm (S5800) 0~45℃ 10~95% (非凝露) 蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利 用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击 P2P滥用(BitTorrent、Thunder(迅雷)、eMule(电骡)、eDonkey(电 驴)等) IM滥用(QQ、ICQ、MSN等) 网络视频滥用、网游滥用、炒股软件 特有的三库合一技术,包含攻击特征库、AV特征库和协议特征库 特征库支持自动升级和手动升级 阻断、限流、TCP Reset、抓取原始报文、重定向、隔离、记本地日志、Email 告警、Syslog上报 内置出厂缺省的安全策略、安全策略定制

尺寸(高×宽×深) 环境温度 环境湿度 防范的网络攻击类型 防范的网络滥用类型

特征库 响应方式 安全策略管理 攻击日志管理 管理方式

安 全 产 品

攻击日志查询、攻击日志导出、图形化报表 Web(HTTP) CLI(Telnet) 支持标准网管 SNMPv3,并且兼容SNMPv2c、SNMPv1

26

典型组网

选配信息 型号
LS-LSTM1IPS1A1+1Y LS-LSQM1IPSSC0+1Y LS-LSRM1IPS1A1+1Y LSWM1IPS10 NSQM1IPSM LIS-SBIPS-SA-1Y

描述
H3C S12500-千兆入侵防御系统模块,含一年特征库升级,一年病毒库升级 H3C S7500E-千兆入侵防御系统模块,含一年特征库升级,一年病毒库升级 H3C S9500E-千兆入侵防御系统模块,含一年特征库升级,一年病毒库升级 H3C S5800 系列-IPS&AV模块 H3C SecCenter组件-IPS Manager入侵防御管理系统-纯软件(CD) SecBlade IPS模块,特征库升级-1年,病毒库升级-1年

备注
必配 必配 必配 必配 选配 选配

H3C SecPath ACG应用控制网关
产品概述 H3C SecPath ACG(Application Control Gateway)是业 界识别最全面、控制手段最丰富的高性能应用控制网关, 能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视 频、网络多媒体、非法网站访问等行为进行精细化识别和 控制,保障网络关键应用和服务的带宽,对网络流量、用 H3C SecPath ACG2000-M

安 全 产 品

户上网行为进行深入分析与全面的审计,进而帮助用户全 面了解网络应用模型和流量趋势,优化其带宽资源,开展 各项业务提供有力的支撑。 H3C SecPath ACG8800-S3

27

应用层安全

典型组网 在线部署 ■ 适用于大中型企业用户,以透明方式在线部署于网络出 口;无需改变网络拓扑。 ■ 对P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法网站 访问等各种应用进行监控和管理,保障关键应用和服务的 带宽。 ■ 对用户上网行为进行分析与审计。 ■ 支持MPLS/GRE/L2TP/VLAN/PPPoE等复杂网络环境;支 持多台分布式部署的统一管理。

旁挂部署 ■ 适用于大中型企业用户,以旁挂方式部署于核心设备 旁;不影响网络结构,部署简单。 ■ 对用户P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法 网站访问等的流量、行为进行分析及审计。 ■ 支持MPLS/GRE/L2TP/VLAN/PPPoE等复杂网络环境;支 持多台分布式部署的统一管理。

产品特点 强大的P2P/IM业务监控

安 全 产 品

能精确检测Thunder(迅雷)、BitTorrent、eMule(电骡)、eDonkey(电驴)、QQ、MSN、PPLive等近百种P2P/IM应 用。同时,可基于时间、用户(组)、应用协议,对P2P/IM应用进行告警、限速或阻断。

28

基于应用的带宽保证 能精确识别各种常见的应用,如ERP应用、视频会议等,并 根据应用业务的关键性进行带宽保证。

多维度组合定制报表,使用户能全面掌握网络中的流量、 应用和业务分布,为合理规划网络、制定流量控制策略提 供依据。 及时的特征库更新

完善的安全审计系统 H3C专业安全团队密切跟踪应用变化,并对应用协议特征库 可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮 件收发、数据传输等各种上网行为提供全方面的行为监控 和记录;同时,通过综合分析、检测用户网络流量与流向 趋势,事后对历史数据进行分析,为用户提供细粒度的网 络行为审计管理系统。 丰富的报表 提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表,并支持按照用户名/用户组、使用 频度、使用时段、应用分类、应用协议、流量大小等进行 产品规格 项目
管理接口 业务接口 扩展槽 接口模块 尺寸(高×宽×深) 额定功率 电源 重量 可靠性 环保标准 P2P应用识别 IM应用识别 炒股应用识别 网络多媒体应用识别

及时更新;支持在线自动/手动升级方式,升级过程无需重 启系统,不影响系统业务运行。 高性能、高可靠性 基于分布式多核加大容量交换背板的硬件架构,业务与管 理相分离,实现了千兆级线速业务处理能力,仅有微秒级 时延;通过掉电保护(PFC,无源Bypass)、内置旁路、 软件二层回退、双电源冗余等高可靠性设计,保证H3C ACG在断电、软硬件故障或链路故障、流量过载的情况 下,网络链路仍然畅通。

H3C SecPath ACG2000-M
1个Console口+2个GE Combo口 2个GE Combo口(最大2个GE Combo口+ 16个GE电口) 2 4GE电口/8GE电口/4GE光口 44×442×460mm 150W 100~240VAC/50~60Hz 7.5 Kg

H3C SecPath ACG8800-S3
Console口、FE口、GE口 8个GE Combo口 (光电复用)+16个GE光口 NA NA 175×436×420 mm 650W 90~264VAC/-36V~-72VDC 35Kg

支持外置/无源掉电保护(PFC)、软件二层回退、双电源冗余、关键模块的热插拔 通过欧盟严格的环保标准RoHS认证 Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)等 QQ、ICQ、MSN Messenger、Yahoo Messenger、新浪UC、阿里旺旺(淘宝版)、飞信等 大智慧、同花顺、指南针、证券之星、钱龙、大策略等 PPLive、PPStream、QQLive、沸点网络电视、UUSee、千千静听等 魔兽世界、QQ游戏、联众、Half-Life、劲舞团、征途、梦幻西游、泡泡堂等 支持SQL Server/Oracle等数据库和Lotus notes等企业应用识别 支持对P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为进行审计 支持对Oracle、Sybase、MySQL、SQL Server等数据库的审计 支持自定义IP地址、主机名、正则表达式设置URL库 支持告警、限流、阻断、干扰、带宽保障等控制策略 支持本地Web图形化管理、SecCenter集中管理

安 全 产 品

网络游戏应用识别 其他 行为审计 数据库审计

29

URL过滤 控制策略 管理方式

应用层安全

H3C SecBlade ACG应用控制网关模块
产品概述 H3C SecBlade ACG(Application Control Gateway)是业 界第一款千兆高性能应用控制模块,可应用于H3C S7500E/ S9500E/S12500系列交换机,创新性的将应用监控、审计 与网络进行无缝融合。SecBlade ACG能对网络中的P2P/ IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网 站访问等行为进行精细化识别和控制;同时,根据对网络 流量、用户上网行为进行深入分析与全面的事后审计,并 具有强大的URL过滤功能,进而全面了解网络应用模型和流 量趋势,大大提升网络的业务控制能力,帮助用户优化其 网络资源,为用户打造一个和谐、有序的网络环境。 H3C SecBlade ACG模块与基础网络设备融合,具有即插 即用、扩展性强的特点,降低了用户管理难度,减少了维 护成本。 强大的过滤功能 通过自定义IP地址、主机名、正则表达式等方式设置URL 特征库,支持根据不同的URL策略设置不同的响应方式, 支持根据时间表对不同的URL策略设置不同的响应动作, 避免保密信息的外泄,免受非法信息干扰,确保网络的健 康使用。 丰富的报表 提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表,并支持按照用户名/用户组、使用 频度、使用时段、应用分类、应用协议、流量大小等进行 多维度组合定制报表,使用户能全面掌握网络中的流量、 应用和业务分布,为合理规划网络、制定流量控制策略提 供依据。 及时的特征库更新 H3C SecBlade ACG模块外观 H3C专业安全团队密切跟踪应用变化,并对应用协议特征库 及时更新;支持在线自动/手动升级方式,升级过程无需重 产品特点 强大的P2P/IM业务监控 能精确检测Thunder(迅雷)、BitTorrent、eMule(电 骡)、eDonkey(电驴)、QQ、MSN、PPLive等近百种 P2P/IM应用。同时,可基于时间、用户(组)、应用协 议,对P2P/IM应用进行告警、限速或阻断。 基于应用的带宽保证 能精确识别各种常见的应用,如ERP应用、视频会议等,并 根据应用业务的关键性进行带宽保证。 启系统,不影响系统业务运行。 降低运营成本 通过在H3C交换机中增加SecBlade ACG模块,即可扩展 交换机的应用监控和审计功能。通过与交换机共用管理平 台,降低了管理难度。并且交换机的任何端口都可以作为 SecBlade ACG模块的端口使用,从而降低用户成本。 完善的安全审计系统 可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮 件收发、数据传输等各种上网行为提供全方面的行为监控 和记录;同时,通过综合分析、检测用户网络流量与流向 趋势,事后对历史数据进行分析,为用户提供细粒度的网 络行为审计管理系统。

安 全 产 品

高可靠性 H3C SecBlade ACG业务模块作为业务插卡嵌入H3C交换机 中,降低了单点故障,保证了网络的高可靠性。

30

产品规格 项目
可应用于 管理接口

H3C SecBlade ACG应用控制网关模块
S7500E/S9500E/S12500交换机 1个配置口(CON) 2个千兆RJ45电口 2个千兆Combo口 40.1×399.2×376.5mm 0~45℃ 10~95% (非凝露) Thunder(迅雷)、BitTorrent、eMule(电骡)、eDonkey(电驴)等 QQ、ICQ、MSN Messenger、Yahoo Messenger等 大智慧、同花顺等 PPLive、PPStream等 魔兽世界、QQ游戏、联众等 支持SQL Server/Oracle等数据库和Lotus notes等企业应用识别 支持告警、限速、阻断等方式 SecCenter安全管理中心 ACG管理软件 Web(HTTP) CLI(Telnet/SSH) 支持标准网管 SNMPv3,并且兼容SNMPv2c、SNMPv1

尺寸(高×宽×深) 环境温度 环境湿度 P2P应用识别 IM应用识别 炒股应用识别 网络多媒体应用识别 网络游戏应用识别 其他 控制策略 管理方式

典型组网

选配信息

安 全 产 品

型号
LS-LSTM1ACG1A1+1Y LS-LSQM2ACGASC0+1Y LS-LSRM1ACG1A1+1Y

描述
H3C S12500应用控制网关业务板模块 H3C S7500E应用控制网关业务板模块 H3C S9500E应用控制网关业务板模块 H3C SecCenter-NSQM1ACGM-应用控制与审计管理系统──纯软件(CD) H3C SecPath ACG 2000-M/H3C SecBlade ACG应用识别特征库升级服务──1年

备注
必配 必配 必配 选配 选配

31

NSQM1ACGM LIS-ACG-APP

应用层安全

H3C负载均衡产品
产品概述 H3C负载均衡产品是H3C公司面向运营商、门户网站、大中型企业、行业的数据中心开发的业界领先的负载均衡产品。 H3C负载均衡产品部署在数据中心的汇聚层或核心层,基于特定的负载均衡算法将客户端对数据中心服务的访问请求合理 地分发到数据中心的各台服务器上,以保证数据中心的响应速度和业务连续性。 H3C负载均衡产品开创性地实现了应用优化、安全与网络的深度融合,具有强大的路由、交换、负载均衡、2-7层安全等 功能。负载均衡产品具有高度的弹性伸缩功能,用户可以根据自己的需要灵活选择功能模块,保护用户投资,可以适应各 种复杂的组网环境。 H3C负载均衡产品能够为数据中心带来四大价值: ■ 提高数据中心的应用访问速度 ■ 提高数据中心的业务连续性 ■ 提高数据中心的应用访问总容量 ■ 提高数据中心的安全性 通过部署H3C负载均衡产品,能够大大降低数据中心的采购成本和运维成本,同时增加了数据中心的灵活性和可扩展性。

H3C负载均衡产品系列 产品特点 灵活的扩展能力 H3C负载均衡产品采用控制引擎、接口模块以及LB负载均衡业务模块相互独立的系统架构,独立的负载均衡业务模块能够确 保负载均衡性能的最优化。整机能够提供多个LB业务槽位,并且LB业务模块支持热插拔,可以在原有业务不中断的情况下, 通过增加LB业务模块的方式实现快速、平滑的扩容。

安 全 产 品

强大的硬件平台 H3C负载均衡产品的LB业务模块采用先进的多核多线程硬件平台,能够并行处理健康检测、负载均衡调度以及安全等功能。 此外,一台负载均衡设备可以部署多个LB业务模块,通过内部调度机制实现多个业务模块的并行处理,成倍提升处理性能。

32

高效的健康检测算法 H3C负载均衡产品支持丰富的健康检测算法,可从网络层、 应用层全方位的探测、检查服务器和链路的运行状态,以 便选择最合适的服务器或出口链路,从而实现高效的负载 均衡功能。 丰富的负载均衡调度算法 H3C负载均衡产品支持全面的4~7层负载均衡和链路负载均 衡功能。能够提供多达十余种种的负载均衡调度算法,包 括:轮询、比重法、最小链接、最小响应时间、随机、源 地址/目的地址/源端口HASH、就近性选择、基于带宽的调 度以及基于HTTP内容的调度等算法。全面的功能和灵活的 部署位置,能够适满足各种负载均衡应用需求。 产品规格 项目
业务接口 管理接口

全面的安全防护 H3C负载均衡产品具备全面的安全防护能力,支持对各种 DoS/DDoS攻击、ARP欺骗攻击、超大ICMP报文攻击、地 址/端口扫描等各种攻击的防范,是业界安全功能最强大的 负载均衡产品。 高可靠性 H3C负载均衡产品中所有关键部件,包括主控引擎、电源、 风扇和业务模块等,均支持冗余部署。当某块负载均衡业 务模块发生故障时能通过Bypass方式使数据流绕过故障 板,有效降低单点故障,同时每个业务模块均支持VRRP功 能,保证了业务的高可靠性。

H3C负载均衡产品
支持千兆以太网光口、千兆以太网电口、万兆以太网光口 1个配置口(CON) 2个千兆RJ45电口 2个千兆光电Combo 0~45℃ 10~95% (非凝露) 轮询 加权轮询 最小链接 加权最小链接 随机 加权随机 源地址HASH 目的地址HASH 源端口HASH 最小响应时间 HTTP内容 RTSP URL 轮询 加权轮询 最小链接 随机 加权随机 源地址HASH 目的地址HASH 源端口HASH 就近性算法 带宽算法 基于数据应用类型的算法 基于源地址 基于目的地址 基于HTTP URL、HTTP Cookie、SSLID等信息 支持Ping(ICMP)、TCP、HTTP、FTP、SSL、Radius、DNS等健康检测算法

环境温度 环境湿度 服务器负载均衡调度算法

链路负载均衡调度算法

安 全 产 品
会话保持方式

健康检测方式

33

应用层安全
SSL 加速 攻击防范 网络协议 IPv6 支持的组网模式 管理方式 支持基于DES/3DES、AES、RC4等各种加密算法的SSL加速功能 支持SYN Flood、UDP Flood、ICMP Flood、HTTP Get Flood等各种网络攻击行为的防御 以太网协议、生成树、多生成树(MSTP)、快速生成树(RSTP)、QinQ、VLAN、静态路由、RIP v1/ v2、OSPF v2、BGP-4、IS-IS协议、IGMP、PIM等 支持 支持在线部署模式 支持旁挂部署,包括单臂及双臂方式 Web(HTTP) CLI(Telnet/SSH) 支持标准网管 SNMPv3,并且兼容SNMPv2c、SNMPv1

典型组网 服务器负载均衡组网应用 链路负载均衡组网应用

选配信息

型号
LSQM1LBSC0 LSRM1LB1A1 LSTM1LB1A1

描述
H3C S7500E负载均衡业务板 H3C S9500E负载均衡业务板 H3C S12500负载均衡业务板

备注

安 全 产 品

必配 必配 必配

34

H3C SecCenter安全管理中心
产品概述 H3C SecCenter是业界管理功能最强大的软硬件一体化安全 管理中心,能对各类网络、安全产品进行统一管理,提供超 过1000种网络安全状况与政策符合性审计报告。 H3C SecCenter基于先进的深度挖掘及分析技术,集安全事 件收集、分析、响应等功能为一体,解决了网络与安全设备 相互孤立、网络安全状况不直观、安全事件响应慢、网络 故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工 作,极大提高工作效率,能够集中精力关注核心业务。 H3C SecCenter

典型组网

产品特点 强大的管理功能

安 全 产 品

集成日志采集器、数据库、大容量存储、日志分析、审计、报表等功能部件,可对H3C ACG、AFC、IPS、UTM等安全 设备的进行集中管理,利于网络的快速部署、全面了解设备的运维信息,是业界唯一能同时支持NetStream、NetFlow、

35

安全管理

cFlow、Syslog、Windows WMI、ODBC等国内外主流日志采集方式的安全管理中心,并对各类网络、安全产品进行统一 安全信息与事件管理,能实时、全面地了解全网安全状况。 智能分析与联动 对来自于网络、安全、操作系统、数据库、存储等设施的安全信息与事件进行分析,关联和聚类常见的安全问题,过滤重 复信息,发现隐藏的安全问题,使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口,并能根据预先制 定的策略做出快速的响应,保障网络安全。 丰富的日志管理 采用主动收集、被动接收等多种方式,提供有价值的集中化日志管理,并对不同类型格式的日志进行归一化处理。同时, 采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系 统,避免重要安全事件的丢失。 完善的报告 提供设备、主机、应用系统、漏洞、网络流量、主机资产、法规遵从(如SOX、HIPAA、GLBA、FISMA等法案和条例) 七大类报告,基本覆盖了所有安全相关的信息,并支持以PDF、HTML、WORD、TXT等多种格式输出;同时可通过Web 界面进行定制报告,定制内容包括数据的时间范围、数据的来源设备、生成周期、输出类型等。 业界领先的处理性能 超过10000条/秒的事件处理能力和15000条/秒的流日志处理能力,业界领先。 产品规格

项目
管理接口 业务接口 尺寸(高×宽×深) 额定功率 电源 重量 部署方式 管理对象

H3C SecCenter
1个10/100Mbps以太网口,2个RS232串口 4个10/100/1000Mbps以太网口 43.6×430×685mm 400W 100V~127V/200V~240VAC;50Hz/60Hz 14Kg

安 全 产 品

支持集中式部署、分布式部属与集中管理 防火墙、VPN、IPS/IDS、路由器、交换机、防病毒/间谍/垃圾邮件系统、Windows/Unix/Linux主机 与工作站、代理服务、数据库等

36

TWO 解决方案
Solutions
H3C iSPN安全解决方案概述 新一代数据中心安全解决方案 新一代园区网安全解决方案 新一代广域网安全解决方案 安全五个功能组件介绍

解决方案

H3C iSPN安全解决方案概述
“头痛医头、脚痛医脚” 是目前安全建设一个比较普遍 的现象。对于大多数企业仍然停留在出现一个安全事故后 再去解决一个安全隐患的阶段,缺乏对信息安全的全盘考 虑和统一规划,这样的后果就是网络上的设备五花八门, 设备方案之间各自为战,形成了安全孤岛,缺乏相互关联 和智能联动。这样既增加了处理安全事件的工作难度、减 慢了响应速度,同时还会造成重复投资,增加CTO的整体 成本。 “简单叠加、七国八制”存在的主要不足 各自为战,只关心“局部”问题,不考虑综合防治 这种关心局部、忽视整体的建设方式,将直接导致对安全 威胁的传播途径考虑不足,尤其在现阶段,安全风险不是 孤立的出现,往往需要从网络的多个层面进行综合的防护 才能有效解决。就如同病毒防护,需要考虑的因素包括 Internet网关的防病毒,桌面存储介质导致的病毒防护,以 及需要考虑PC接入网络之前的端点准入认证,避免PC之 间相互传播病毒等等。而这些防护组件之间需要通过基于 “用户名”为对象的统一管理和协调才能实现“牵一发而 动全身”的防护效果,将病毒扼杀于摇篮之中。 相互缺乏关联耦合,无法实现方案之间的安全联动 分散建设的安全解决方案,可能在某一个层面上解决了一 些问题,但是却缺乏方案之间的关联耦合。就像企业建立 了端点准入系统进行接入控制,也使用了防火墙(FW)进 行安全域隔离,但是在接入用户实施安全攻击时,即使防 火墙进行了检测,也无法反馈到用户接入模块,告警信息 甚至会被淹没在大量的安全日志之中。或者像用户的接入 行为控制,在合法接入网络后利用Internet进行信息泄漏, 即使网关检测到这种行为,也因为瞬时IP地址无法和用户名 对应导致不能真正发现泄漏人等。 缺乏统一的安全管理,无法了解整网安全状况 简单叠加建设的安全方案由于缺乏统一规划指导,很可能 会涉及到多厂商不同类型的各种设备,这将导致多设备之 间的安全日志格式不统一,且各厂商管理平台只能管理自 身的设备,缺乏对其他厂商之间的适配,系统缺乏整体安 全事件统一分析管理的能力,从而无法实现对安全事件的 整体把握。当然,还有一个直接的问题就是:多厂商设备 的存在造成配置管理风格不统一,管理人员维护工作量 大,影响问题处理的效率。

H3C“iSPN”理念下的网络安全解决方案
正是基于此,H3C公司在2005年即提出了“智能安全渗 透网络(iSPN)”的理念,其目的就是为用户提供多层 次、端到端、互为联动、统一管理的立体安全防护解决方 案,并非再是通过单一安全设备的简单叠加来防护攻击和 威胁。 iSPN更强调的是一个整体的、智能的安全架构,其核心思 想是“面向安全的网络设计”, 通过在网络设计中深刻的 考虑安全需求,让每一个网络细胞都具备安全的基因,再 配合网络安全统一的管理平台,为用户的IT系统实现局部安 全、全局安全、智能安全: ■ 局部安全针对关键点进行安全部署,抵御最基础的安全 威胁; ■ 全局安全利用安全策略完成产品间的分工协作,达到协 同防御的目的; ■ 智能安全在统一的安全管理平台基础上,借助于开放 融合的大安全模型,将网络安全变为从感知到响应的智能 实体。

解 决 方 案

38

iSPN安全解决方案的三个演进阶段
H3C iSPN安全解决方案的形成并非一蹴而就,其实“用户是H3C最好的老师”。在长期的网络建设过程中,H3C以客户需 求为根本,不断创新摸索、总结沉淀,iSPN网络安全解决方案到目前经历了如下三个阶段: 五大功能组件 从用户的基础安全需求来看,H3C提出了iSPN安全解决方案的五大功能组件:“远程安全接入”、“边界防护”、“内网 控制”、“行为监管”及“数据中心保护”。这一阶段,H3C重点关注的是如何从安全功能角度来解决用户的实际问题。 比如,“内网控制”组件关注的是如何识别从内网发起的攻击并加以控制,它由安全管理平台、安全防护设备和终端软件 组成,任何一个防护设备或终端软件发现威胁即时告警后,安全管理平台就能够智能分析定位威胁源头,并做出响应的控 制策略,避免威胁的再次发生。“远程安全接入”组件则可以实现:一台设备满足IPSec 、GRE 、SSL 、MPLS VPN多种 技术的整合,内网、无线、VPN统一准入认证,数千台分支机构设备管理简化等等。 三大应用场景 从用户的网络建设模式来看,H3C将前面的五大功能组件,按照网络建设的三大场景进行了整合,形成了:广域网安全解 决方案、园区网安全解决方案、数据中心安全解决方案。这一阶段,H3C重点关注的是如何将各个安全功能组件与网络无 缝对接融合,避免让安全成为网络的性能瓶颈、可靠性瓶颈、管理瓶颈。比如,广域网安全解决方案关注的是在保证安全 的前提下如何让有限的带宽资源得到合理的利用,它通过ACG、UTM等设备可以实现深度防护与识别、流量分析、带宽优 化保障的三合一。园区网安全解决方案关注的是如何在安全性、易操作性、可靠性、成本等因素间取得平衡,它通过基于 用户的统一管理、嵌入式的安全模块、以及安全威胁的智能联动等关键技术,寻找到了一个和谐的平衡点。 行业典型解决方案 目前,从用户的行业应用特性来看,H3C在“五大功能组件、三大方案场景”的基础上,结合政府、电力、金融、运营 商、企业等行业应用特性又推出了多种定制化的行业典型安全解决方案,比如:网银/网上报税数据中心安全解决方案、 运营商IDC安全增值解决方案、校园网出口多链路安全解决方案、大型企业园区网安全解决方案、公安“金盾”广域网 提速安全解决方案、电力二次防护/信息网隔离解决方案、烟草广域网安全优化解决方案等等。这一阶段,H3C关注的是 如何将用户的行业应用特性与网络安全技术相结合,为用户提供定制化的精品解决方案。比如,校园网出口多链路安全 解决方案不单可以提供高可靠、高性能NAT设备,还可以提供模块化的应用层安全优化网关,将流量优化、内容审计、 多链路智能负载均衡技术相结合;既保证了今后IPv6的功能可扩展性,又是实现了性能的线性提升,极大地保护了用户 投资。

解 决 方 案

总之,用户需求是H3C赖以生存的源泉。H3C将会不断地根据IT技术的发展、用户需求的变化,通过自身网络安全技术的深 厚积累以及iSPN理念的指导,形成更加丰富和完善的网络安全解决方案,为中国用户的信息化建设添砖加瓦、保驾护航!

39

解决方案

新一代数据中心安全解决方案
应用背景 数据中心承载着用户的核心业务和机密数据,同时为内部、外部以及合作伙伴等客户提供业务交互和数据交换。所以说作 为业务应用核心和敏感数据的汇集点,数据中心永远是攻击者最感兴趣的目标。 以下问题一直困扰着用户的数据中心建设: ■ 如何防范层出不穷的入侵? ■ 如何提高高压力时服务器的响应速度? ■ 如何简化数据中心的组网,降低管理难度和成本投入? 方案概述 数据中心要面对来自局域网、广域网和Internet网等不同用户的访问,由于访问用户所处的位置不同,访问的内容也不一 样,因此其安全威胁的特点和等级都各不相同,有必要针对不同的用户采取不同的安全防护策略。如针对Internet网的用户 需要进行DDoS的检测防御、安全权限的控制以及木马、病毒的检查,面对内网用户主要进行安全区域的隔离和病毒的检 查,因此,能够提供全面的安全产品就非常重要。 H3C具备非常完善的安全产品种类,包括针对网络层的防火墙、流量清洗和网流分析产品;针对应用层的IPS入侵防御和流 控产品。为了提高数据中心的性能,还可以选择链路负载均衡和服务器负载均衡产品。此外,H3C提供的安全管理平台, 能够对上述各类产品提供统一的安全管理。正是由于具备了完善的产品系列,H3C才能够给用户提供一体化、智能化、虚 拟化及高性能的新一代数据中心安全解决方案。 H3C新一代数据中心安全解决方案是由安全防御系统、负载均衡设备和安全管理平台等部分组成,各种设备相互协助和配 合,从而达到完备的安全防护效果。安全防御系统包括高性能的防火墙、IPS和流量清洗设备,能够实现包括DDoS防御、 区域安全隔离、深度入侵防御等功能,实现对2~7层攻击的防御;而通过采用链路负载均衡和服务器负载均衡设备,能够 通过智能的判断链路拥塞情况或者服务器的负荷情况,通过选择有效的负载均衡调度算法,以提升数据中心的响应速度和 处理能力,为用户提供更佳体验;同时,通过安全管理平台通过对各种网络设备和安全设备安全日志的统一收集和监控, 能够发现网络中存在的安全威胁和异常流量,然后再由安全管理平台的统一配置和管理,实现全网安全统一防控。 H3C安全产品的形态也很丰富,包括盒式设备和插卡式设备。H3C针对数据中心专门能够提供多种高性能的盒式安全产品,包 括F5000超万兆防火墙和T5000入侵防御产品(IPS)。这些盒式设备适合独立式组网应用,可以在各个需要的节点部署相应 的安全产品,组网灵活。此外,H3C领先的融合于H3C S12500/S95E/S75E/S58等交换机的各种安全插卡,更是为数据中心的 安全防护提供了的灵活的选择。这些插卡可以部署在从核心层、汇聚层到接入层的各级交换机中,实现分级安全防护。插卡 在部署时充分考虑了可靠性、灵活性,以保障数据中心业务持续不间断地运行。 ■ 如何防御大流量的DDoS和应用层攻击? ■ 在安全防护的前提下,如何保证业务不间断? ■ 不同的安全产品,如何实现智能统一管理?

解 决 方 案

40

典型组网 由于数据中心的重要性,在实现安全防护的 同时,必须保证不能影响数据中心的转发性 能。核心层作为数据中心交换的主节点,不 再部署安全设备,而将安全设备部署在汇聚 交换层和接入层。其中,汇聚交换层可以在 线或者旁挂部署高性能的盒式或插卡设备, 而接入层也可以在各交换机中部署FW或IPS 插卡,实现各个安全分区内部的保护。

方案特点 一体化的部署模式 展,而且像F5000和T5000等盒式安全设备也都采用了可扩 安全防护是一个整体,任何疏漏都可能被攻击者利用并 导致破坏。针对数据中心,H3C新一代数据中心安全解决 方案推出了XBOX安全防御系统,通过在网络设备上集成 SecBlade插卡,真正把安全技术融入到网络设备中,不但 提供了包括安全隔离(FW)、DDoS防御(AFC)、深度 防护(IPS)等在内的全面安全防护功能,还可以通过负载 均衡(LB)以及网络流量分析(NetStream)等功能,实 现对数据中心应用的优化,提高数据中心的可用性。 智能化的按需防护 传统的数据中心安全解决方案一般采用串行的部署模式, 数据流要经过FW、IPS、防毒墙等设备的层层过滤,不但 效率低,而且可靠性差。H3C的旁挂式安全解决方案,可以 采用XBOX数据中心安全服务区,也可以采用高性能的盒式 设备,能够针对不同用户实现按需引流,通过内部灵活的 数据调度,将流量引到特定的安全模块上进行针对性的安 全检测和防御,减小安全产品的处理负荷。对于不需安全 处理的业务,降低传输时延及被阻断的风险。 高性能可扩展 统一安全管理 H3C安全管理平台集成了SecCenter、iMC,可以实现数据 中心统一部署、监控和管理。SecCenter对数据中心所有设 备和服务器的海量安全事件进行采集、分析、关联、汇聚 和统一处理,实时输出安全报告,协助管理员及时掌握数 据中心的安全状态。不管数据中心部署了多少种安全设备 或安全插卡,只要是一台交换机上的安全插卡,全部可以 登录到同一个配置界面进行管理,可以进行统一的安全事 件分析和全策略部署,而不需要部署多套管理软件。 虚拟化的安全 数据中心由于运行的业务系统增多,网络安全设备种类及 数量也在增多,导致部署越来越繁杂,设备与资源之间的 矛盾越来越激烈,而通过采用虚拟化技术对资源进行合理 的分配能够有效的解决上述难题。 H3C的安全设备支持多 种虚拟化技术:通过1:N的虚拟化,可以将一台设备虚拟 成多台设备,供多个对象单独使用,减少安全设备的部署 数量;通过H3C第二代智能弹性架构技术(IRF2)可以实 现N:1的虚拟化,可以将多台设备虚拟成一台设备,实现负 载分担和统一管理,极大简化网络逻辑架构、整合物理节 点,实现数据中心网络运行的简捷化。 展的“插卡式”硬件架构。在不改变拓扑结构和不中断原 有业务的前提下,能够通过业务模块的平滑扩容,实现处 理性能的倍增,灵活、高效的解决了数据中心流量快速增 长情况下的安全瓶颈问题。

解 决 方 案

面对数据中心访问人数多、流量大、业务发展快速的特 点,安全设备如果性能不足,必然会成为数据中心的瓶颈 所在。H3C的安全设备从两个方面满足新一代数据中心对安 全性能的要求。一方面,H3C采用了业界领先的“多核处 理器+FPGA”的硬件处理芯片,处理性能上大大超过传统 的X86等硬件架构。另一方面,不仅XBOX安全平台可以扩

41

解决方案
典型行业安全解决方案 网银数据中心安全防护 近年来,由于网上银行业务的快速发展,网银数据中心面 临着巨大的安全威胁。由于访问流量大、以商业利益为目 的的攻击猖獗以及数据中心业务种类多等特点,导致网银 系统对安全的要求特别高。目前网银数据中心主要呈现以 下应用特点: ■ 访问量快速增长,服务器面临巨大的性能压力; ■ 以木马、间谍软件、SQL注入等以窃取用户个人信息为 代表的应用层攻击难以防范; ■ DDoS攻击日趋严重,通过带宽耗尽或资源耗尽等攻击方 式,导致网银系统服务中断; ■ 网银内部分区复杂,需要进行有效的内部安全隔离,防 止信息泄密; ■ 大量的安全设备带来一系列能耗高、噪音大等环境 问题。 针对上述种种问题,H3C凭借完善的网络安全产品和解决方 案,以及对数据中心的深刻理解,能够为网银数据中心提 供全方面的安全保护。

■ 通过在互联网出口部署专业的流量清洗产品,能够对大 流量、突发性的DDoS攻击进行快速检测和清洗,保证网银 系统能够提供7×24小时的稳定服务; ■ 在出口部署H3C超万兆的防火墙,通过高性能的NAT 转换及安全策略部署,防止非法用户的登录。在数据中心 内部通过部署防火墙,实现互联网区、外联区、核心生产 区、办公区等不同区域之间的有效隔离; ■ 通过集成专业防病毒引擎的IPS,能够有效的阻断SQL注 入、木马、间谍软件、病毒等各种应用层攻击,防止用户 机密信息被窃取等行为导致的商业损失; ■ 采用链路负载均衡,提高出口链路的使用效率和访问速 度。采用服务器负载均衡,把访问数据智能灵活的分发到

不同服务器上,能最大限度发挥服务器的性能,加快服务 器响应速度,从而提高客户满意度; ■ 采用SSL卸载设备,能够对通过HTTPS加密访问的数 据进行数据加解密,从而减轻服务器处理HTTPS业务的负 荷,提高服务器处理性能; ■ 采用H3C领先的安全虚拟化技术,不但减少了数据中心 安全设备的部署数量,降低了TCO;同时由于简化了组网 复杂度,降低了维护难度、减少了故障节点;

解 决 方 案

■ 此外,H3C全系列产品都符合ROHS环保标准,能为用 户创建一个绿色、环保、节能的新一代数据中心。 相关参考案例:工商银行、中国银行、安徽农信、江西农 信、福建农信、厦门商行等等。

42

新一代园区网安全解决方案
应用背景 传统园区网主要以连通性作为中心进行设计的,而很少考 虑安全性。例如最典型的网络三层架构模型(核心层、汇 聚层、接入层架构)中,网络是向核心层集中的而并没有 考虑同一层不同节点之间的安全隔离问题。而在网络安全 改造中首先需要改变的就是:将以连通性为中心的设计思 路转变为以安全为中心的设计思路。 日益严峻的安全威胁迫使企业不得不加强对网络系统的安全 虽然,早期网络中已部署了防火墙等基础网络安全产品,但 是在网络的运行维护中,大量的安全问题仍然困扰着IT管理 人员。 ■ 网络入口已部署了防病毒网关,蠕虫、攻击、间谍软 件、木马等攻击依然泛滥; ■ 网络的带宽利用率居高不下、应用系统的响应速度越来 解决方案 H3C新一代园区网解决方案能彻底解决上述问题,给用户带来了立体化、智能化的安全解决方案。首先,根据业务类型或物 理位置对园区网进行安全域划分。然后,各安全域面临的安全威胁不同,因此会在核心业务区、外联区和互联网区等关键路 径可进行深入检测防护。此外,提供对外访问业务的互联网区不仅仅面临安全威胁问题,同时还面临带宽滥用和如何高效提 升链路等问题,因此在互联网区域可根据实际业务需要部署应用层流控设备和链路负载均衡设备。最后需要部署统一安全管 理系统,对整网的安全事件统一收集,形成安全事件报告输出,有效的帮助管理员了解网络中的安全现状与风险,从而为决 策提供有效依据。 防护,不断追求多层次、立体化的安全防御体系,逐步引入 了防病毒、防火墙、IPS/IDS、VPN等大量异构的单点安全防 御技术,再加上交换机、路由器等网络设备,网络结构日益 复杂。然而,现有网络安全防御体系还是以孤立的单点防御 为主,彼此间缺乏有效的协作,不同的设备之间的信息也无 法共享,从而形成了一个个安全的“信息孤岛”。 越慢; ■ 不同部门、不同区域之间如何安全防护; ■ 如何识别从内网发起的攻击并加以控制; ■ 如何对攻击趋势和目前网络薄弱环节进行分析,得出整 改策略和下一步建设方案。

解 决 方 案

43

解决方案
以安全为核心划分区域 针对园区网安全实际情况,可划分出不同的安全分区, 如:DMZ区、互联网服务区、远程接入区、广域网分区、 数据中心区、网络管理区、内部办公区等,不同区域进行 针对性的安全策略部署。 用防火墙隔离各安全区域 对互联网出口的链路带宽优化 防火墙作为不同网络或网络安全域之间信息的出入口,能 根据安全策略控制出入网络的信息流,且本身具有较强的 抗攻击能力。它是提供信息安全服务,实现网络和信息安 全的基础设施。防火墙在网络间实现访问控制,比如一个 是用户的安全网络,称之为“被信任应受保护的网络”, 另外一个是其它的非安全网络称为“某个不被信任并且不 需要保护的网络”。防火墙位于一个受信任的网络和一个 不受信任的网络之间,通过一系列的安全手段来保护受信 任网络上的信息。 对关键路径进行深入检测防护 在关键路径上部署独立的具有深度检测防御的IPS(入侵防 御系统)就显得非常重要。深度检测防御是为了检测计算 机网络中违反安全策略行为。一般认为违反安全策略的行 为有: ■ 入侵——非法用户的违规行为 方案特点 基于用户的内网控制安全设计 对全网设备进行统一安全管理 通过统一安全管理平台,可以对网络中的网络设备、安全 设备、服务器等进行统一管理,收集相关信息,进行关联 分析,形成安全事件报告输出,有效的帮助管理员了解网 络中的安全现状与风险,从而为决策提供有效依据。 根据实际需要部署其他安全系统 部署EAD终端准入控制系统,确保每一个接入端点的安 全,预防内网病毒、蠕虫的泛滥,并与防火墙、IPS等安全 设备、管理平台实现智能联动,从源头上阻断安全威胁, 实现对接入网络终端的事前准入认证和安全性检查、事中 控制和事后审计功能。 在多链路的互联网出口部署链路负载均衡设备来优化多出 口链路的效率。 ■ 滥用——用户的违规行为 深度检测防御识别出任何不希望有的活动,从而限制这 些活动,以保护系统的安全。深度检测防御的应用目的 是在入侵攻击对系统发生危害前,检测到入侵攻击,并 利用报警与防护系统驱逐入侵攻击,减少入侵攻击所造 成的损失。

解 决 方 案

44

由于移动办公、WLAN接入的普及,如何既保障终端的灵活便捷接入,同时又确保安全策略可以及时迁移,所需而动,成 为当前局域网安全建设的一个重点。H3C通过基于用户的内网控制设计,实现了全网基于统一用户的事前准入、策略下 发、事中防护以及事后审计。一个用户采用唯一的用户名接入网络后,通过EAD系统对其进行网络身份认证、接入网络终 端安全性检查、下发粗粒度安全策略、事后审计;通过嵌入式FW模块,实现安全区域的划分和细粒度访问控制策略,减 轻核心交换机的访问控制压力;通过IPS完成不同安全区域间病毒传播和非法入侵/攻击行为的监测和过滤;最终通过网络 安全统一管理中心,可以实现基于用户的安全策略下发、安全事件联动、事后内容审计。

全面的、立体的、纵深的互联网出口安全设计

针对大型园区网多链路出口,通过部署LB链路负载均衡设备实 现基于链路健康状况的智能动态负载和基于用户访问IP实现动 态访问加速,有效的提升互联网出口带宽的利用率。 在大型园区网或校园网,同时在线用户数一般都在万人级别以 上,互联网出口部署高性能万兆防火墙F5000,实现外网、内 网、DMZ区之间访问控制,提供高达400万的NAT会话,并提供 2~4层的安全防护功能。 在出口部署万兆IPS T5000,防护来自互联网的病毒、蠕虫和 DDoS攻击,提供4~7层的安全防护功能。 在出口部署万兆流控设备ACG8800,通过内置各类常见应用程 序的特征码识别出应用,如P2P类应用、游戏类、流媒体、炒股 类等上千种应用,并对不同的应用进行限速或阻断,实现互联 网出口流量的精细化管理。ACG还可满足公安部82号令要求的 互联网行为审计功能,从而规避法规风险。

智能安全统一管理和安全威胁智能联动

解 决 方 案

45

解决方案
不同厂商、不同种类的网络和安全设备之间缺乏信息交互,容易形成信息孤岛。H3C采用端点准入控制及安全事件分析机 制,将网络中的终端、网络安全设备、应用服务器等IT资源都纳入安全防护的范畴内,在统一安全策略下,利用各组件间 的协同联动,保证了网络各端点的安全性与可控性;同时在统一的管理平台上进行安全事件的收集、整理、分析,可以作 到整网安全风险的前提预防和及时控制。 安全防御设备包含防火墙和IPS,融合了包过滤、状态检测、入侵防御和防病毒等多种技术,可以发现和阻断蠕虫、病毒以 及恶意入侵行为,同时将安全事件上报安全管理平台。SecCenter进行智能分析后联动iMC,对造成威胁的内网用户采取在 线提醒、强制下线、关闭交换机端口、加入黑名单等控制手段,从源头上制止威胁的发生。 典型行业安全解决方案 校园网出口综合安全防护解决方案

■ F5000防火墙做出口NAT网关,工作在路由模式,并通过虚拟化技术虚拟出多台防火墙,每台虚拟防火墙接一条出口链 路。F5000防火墙在万兆流量下,同时开启NAT和策略路由时性能不下降。同时支持完备的路由协议,可以简化客户出口 网络部署。此外,F5000支持高性能抗DDoS攻击等安全特性,构建高校出口的安全屏障; ■ 在防火墙后侧部署应用优化网关,实现链路负载均衡和带宽管理,高校业务流量从以前的简单的、静态的策略路由分配 流量模式转换为精细化、立体化出口流量管控; ■ LB业务卡支持灵活链路负载均衡功能,通过对链路工作状态的实时检测,可以第一时间发现链路故障,进行负载动态调 整,大大提高了出口可靠性。对于访问高校服务器的流量,LB可以通过优化算法,使用户不必绕行教育网,以最快的速度

解 决 方 案

访问高校资源; ■ ACG能精确识别各种应用层流量,并根据客户策略进行细粒度的带宽控制,有效解决出口P2P下载等造成的带宽滥用。

46

该产品同时支持用户上网行为审计功能,为规范学生的上网行为提供技术保障。 相关参考案例:中南大学、郑州大学、华南理工、南京大学、深圳大学等等。 大型企业综合安全防护解决方案

■ 大企业的安全防护首先需进行安全域划分,如出口区域、核心生产数据服务器区、不同业务部门办公区和安全管理区。 安全域通过在核心交换机上部署防火墙模块,每个安全区域利用虚拟防火墙制定不同的安全策略,方便安全域的更改和策 略的调整; ■ 出口区域部署防火墙、负载均衡等,进行边界安全防护和链路负载均衡,对于服务器区的核心生产数据,需要进行4~7 层的安全防护,可部署IPS设备进行防护,可有效保护核心生产数据免受攻击; ■ 为了在不同的业务安全域实施更加精细化的安全策略,可在各业务汇聚交换机上部署防火墙板卡做细粒度安全控制; ■ SecCenter对整网络安全设备的统一管理、网络安全相联动;SecCenter的精细化报表实现安全事件的可视化。 相关参考案例:重庆钢铁、安阳钢铁、西山煤电、郑媒集团、中国科技馆、华润集团、黑龙江烟草、珠江烟草城等等。

解 决 方 案

47

解决方案

新一代广域网安全解决方案
应用背景 广域网确保了总部和各级分支机构之间的互联互通,但是,随着广域网上各种应用的业务量和复杂度不断提升,其安全及 性能问题变得越来越突出,主要问题包括: ■ 访问控制:如何实现各分支机构和总部间、各分支机构之间复杂的访问控制? ■ 安全威胁:边远分支机构的安全级别低、安全管理松散,易引入蠕虫、木马、病毒、黑客等,如何防范这些安全威胁在 广域网上快速扩散? ■ 带宽保障:非关键业务或垃圾流量占用了有限的广域网带宽资源,造成广域网拥塞,如何保证数据流在广域网中按业务 的重要程度进行不同优先级的调度? ■ 安全管理:如何实现广域网集中的安全管理,整网部署统一的安全策略,进行统一的安全事件监控? H3C新一代广域网安全解决方案全面地考虑了广域网的安全问题和性能问题,通过部署H3C的防火墙、IPS、ACG、 UTM、SecCenter等安全产品组成了立体的安全防御和性能优化体系,确保了广域网的高安全和高性能。

解决方案

总部安全设计 总部包含了广域网业务的核心数据,安全级别最高,所以在总部的广域网出口采用功能专一的安全设备实现安全防护和性 能保护。另外,对于大型广域网的总部,H3C可以提供高端万兆的安全产品F5000、T5000、ACG8800,以满足大型广域 网总部对安全业务的高性能需求。

解 决 方 案

48

防火墙实现分支机构针对总部资源的访问控制,H3C防火墙 具有虚拟化、ACL加速等技术优势,其虚拟化特性可大大简 化访问控制策略的部署,ACL加速特性可提升总部大业务量 下的访问控制效率。 IPS产品实现应用层安全威胁防御,H3C IPS具有三库合 一、高性能等技术优势,其中病毒特征库采用了专业防病 毒厂商卡巴斯基授权的SafeStream库,可以有效防护各种 诡异的混合型安全威胁;其独特的FIRST引擎技术可保证 IPS开启所有特征规则(上万条)后,性能不衰减。同时, H3C IPS产品可以有效阻断蠕虫、病毒等产生的扫描探测流 量,以避免这些垃圾流量侵蚀宝贵的广域网带宽资源。 ACG产品实现广域网带宽优化,H3C ACG可识别各种广域 网业务,如Notes等办公业务、电力调度业务、Oracle等数 据库业务、视频会议、SNMP等网管业务;并提供自定义协 议接口,可根据客户自身应用的负载特征和交互特征自定 义应用协议。在识别出各种广域网业务的基础上,ACG可 对关键业务进行带宽保证,对其他业务按优先级进行智能 流量调度。同时,对于广域网上的一些网络滥用业务(如 在线多媒体、上传下载等),ACG可自动识别并进行限流 或阻断。 二级网安全设计 二级网在整个广域网中承上启下,安全级别较高,访问控 制策略复杂,所以在二级网的广域网出口采用功能专一的 安全设备实现安全防护和性能保护。 相对总部而言,二级网的流量相对较小,所以,对于大型 广域网的二级网,可以采用H3C高端千兆安全产品F1000、 T1000、ACG2000等,在确保获得专业安全业务的同时, 又能满足二级网对性能的需求。 三级网安全设计 三级网的安全级别相对较低,但分布广、网点多,要求安 全设备易管理、易部署,所以在三级网的广域网出口部 署功能综合的安全产品UTM。H3C UTM集成了防火墙、

网安全威胁统一监控和安全策略统一管理。对于大型的广 域网,还需要在二级网也部署SecCenter,实现分级的安全 管理。 方案特点 立体化的安全防护 通过防火墙和IPS的有机结合和功能互补,为用户提供 2~7层的全面安全防护,确保了总部和二级网的安全,同 时UTM综合的安全功能确保了三级网的安全。H3C IPS、 UTM可以定期更新攻击特征和病毒特征规则,为用户提供 持续的专业安全保护。 精细化的流量调度和广域网带宽优化 通过ACG的7层QoS功能,可以针对各种关键业务进行带宽 保障和带宽的动态分配,实现精细化流量调度,节约带宽 资源。H3C ACG产品可根据报文负载特征识别包括广域网 常见应用在内的3000多种应用协议,并可以根据不同用户 广域网的特殊业务定制协议特征。在识别后,H3C ACG可 以定义出最多三层通道,在每层通道里都可以部署精细化 的流量调度策略,包括带宽保证、带宽借用、带宽限制、 封堵、连接限制、优先级改写等, 可方便地实现对广域网 关键业务(如视频会议等)的带宽保证,对滥用业务(如 上传下载等)的限制;同时,H3C ACG支持通道带宽的动 态分配,并根据用户数量的变化动态调整带宽分配,保证 带宽资源高效与公平利用。

解 决 方 案

IPS、防病毒、带宽管理等功能,同时支持基于TR069的安 全策略分发,非常方便于远程分支机构的安全业务部署。 安全管理设计

49

在总部部署H3C的安全管理平台SecCenter,实现广域网全

解决方案
安全与网络的融合 H3C的防火墙、IPS、ACG等安全业务都可通过插卡的形式嵌入到广域网路由器或交换机上,形成融合的安全解决方案,可 减少管理运维成本、提高整网可靠性。同时,H3C的安全产品与广域网上的网络设备和EAD终端形成整网联动,构建动态 的安全防御体系。 高性能 H3C的安全产品全线采用了多核分布式架构,安全业务并行处理,显著降低处理时延。其中,H3C IPS产品的入侵防御引 擎采用了多项国家专利技术,可确保开启所有(上万条)攻击特征规则和病毒特征规则时,性能不衰减。 易管理 通过SecCenter实现广域网全网安全策略的统一管理、实现全网安全事件的统一监控,通过TR069可方便地对分支端设备 进行策略分发。

典型行业安全解决方案 公安金盾网安全防护

随着金盾工程的建设,公安政务越来越依赖于IT系统;而同时,蠕虫、病毒、木马在金盾网的传播扩散给公安政务的安全 性带来了严重挑战。为提高各级公安系统的网络安全水平,公安系统建有金盾网的网络安全的例行汇报制度,每两周就要 求各省局将网络安全状况汇报给公安部。H3C具有多年的政府纵向网安全建设经验,可以为用户提供如下的公安金盾网安 全防护方案: ■ 在省厅广域网出口部署高端防火墙,在地市局广域网出口部署中低端防火墙,实现地市局和省厅之间的访问控制;

解 决 方 案

■ 在省厅广域网出口部署高端IPS产品,在地市局广域网出口部署中低端IPS产品,实现应用层安全威胁防护,有效地解决 公安系统重点关注的蠕虫、病毒、木马在金盾网传播扩散的问题; ■ 在省公安厅部署了SecCenter,实现全网防火墙、IPS等各种网络安全设备的集中统一管理,同时,通过SecCenter的图 形化报表功能,方便了省厅向公安部提供网络安全的汇报材料。 相关参考案例:公安部、贵州公安、吉林公安、海南公安、广东公安等等。

50

电力纵向网安全防护

电力广域网分为电力调度网和电力信息网,两张网是物理隔离的,其中电力调度网运行的是电力生产业务,也称为生产控 制区,电力信息网运行的是电力信息业务,也称为管理信息区,电力信息网一般在省局有统一的互联网出口。 随着电力信息化程度的提高,电力调度和运营越来越依赖于信息化系统,可以说,电力广域网的安全直接关系到供电的安 全。H3C经过多年的实战经验总结,可以为用户提供全面的电力广域网安全防护解决方案: ■ 在电力调度网和电力信息网的省局和地市局广域网出口均部署防火墙,实现地市局和省厅之间的访问控制; ■ 在电力调度网和电力信息网的省局和地市局广域网出口均部署IPS产品,实现应用层安全威胁防护,有效解决电力调度 网和电力信息网中的蠕虫、漏洞利用等威胁对电力生产业务调度/电力信息业务造成的影响; ■ 在电力信息网的省局和地市局广域网出口均部署ACG产品,对电力信息网的流量进行智能调度,为视频会议和电力信息 等关键业务进行带宽保证,对P2P等互联网应用进行限流,有效优化广域网带宽; ■ 在电力调度网和电力信息网的区县局广域网出口均部署功能综合的UTM产品,H3C UTM的TR069特性很好地解决了海 量分支机构的安全策略部署问题,同时,UTM的基于应用的带宽管理功能可以与地市局、省局的ACG配合,实现端到端的 带宽保证和流量调度; ■ 在电力调度网和电力信息网的省局均部署SecCenter,实现电力调度网的广域网安全的集中统一管理。 相关参考案例:H3C服务70%省电力调度网,如安徽电力、山西电力、南方电力、山东电力、河南电力、湖南电力、贵州 电力等等。

解 决 方 案

51

解决方案

安全五个功能组件介绍
从用户的基础安全需求来看,H3C提出了iSPN安全解决方案的五大功能组件:“远程安全接入”、“边界防护”、“内网 控制”、“行为监管”及“数据中心保护”,为用户构建了全面的安全体系。

远程安全接入解决方案 H3C远程安全接入解决方案是业界最佳的VPN方案,方案由 安全接入网关和安全管理平台组成。安全接入网关SecPath 防火墙/UTM融合多种VPN技术和专业防火墙功能,实现分 支机构、合作伙伴、移动用户的一体化远程安全接入;并 通过安全管理平台实现众多SecPath防火墙/UTM的统一部 署、监控、管理。

边界防护解决方案 H3C边界防护解决方案由安全网关、入侵防御系统和安全 管理平台组成。安全网关SecPath防火墙/UTM融合2~4层 的包过滤、状态检测等技术,配合SecPath IPS 4~7层的 入侵防御系统,实现全面的2~7层安全防护,有效地抵御 了非法访问、病毒、蠕虫、页面篡改等攻击;并通过安全 管理平台对安全网关、入侵防御系统以及网络设备进行统 一安全管理。

内网控制解决方案 H3C内网控制解决方案由安全管理平台、安全防护设备和 终端软件组成。通过终端软件接入并由安全管理平台进行 身份认证和终端安全状态评估,确保每一个接入端点的安 全,预防内网病毒、蠕虫的泛滥;安全监控和防护设备实 时监控分析网络流量,并对发现的内网攻击进行阻断,同 时上报安全管理平台进行分析;安全管理平台分析后与网 络和安全设备联动,控制攻击来源,避免威胁的再次发 生,并且为用户提供整网安全审计报告,从而得出整改策 略和下一步建设方案。通过点(端点准入)、线(在线控

解 决 方 案

制)、面(统一管理)相结合的立体防护,为用户提供最 有效的内网安全解决方案。

52

行为监管解决方案 H3C行为监管解决方案由应用控制网关,安全管理平台,用 户管理平台组成,是业界应用识别最全面的解决方案。应 用控制网关由H3C SecPath ACG盒式设备、SecBlade ACG 插卡或SecPath UTM组成,可针对P2P/IM、网络游戏、炒 股、非法网站访问等行为,进行精细化识别和控制,有效 解决带宽滥用、访问非法网站感染病毒等问题。安全管理 平台由SecCenter硬件或ACG Manager软件组成,帮助管 理员全面了解用户行为和流量趋势,为加强整网安全、满 足合规性要求提供决策依据,并且能够与用户管理平台联 动,准确获得用户信息。用户管理平台由H3C iMC UAM用 户管理平台与iNode客户端及相应的接入设备组成,对接入 用户进行身份认证,从而能够准确识别接入网络的用户。

数据中心保护解决方案 H3C数据中心保护解决方案由安全防御系统、应用优化系统、安全管理平台组成。安全防御系统融合DDoS防御、区域安全 隔离、深度入侵防御等技术,实现对2~7层攻击的防御,并在部署时充分考虑可靠性,保障业务持续不间断地运行;应用 优化系统包括负载均衡设备和网流分析设备。负载均衡设备能够以5~10倍的效能提升服务器响应速度和处理能力,为用户 提供更佳体验;网流分析设备能够帮助管理员了解网络的流量状况,为排除网络故障和网络优化提供参考。同时,通过安 全管理平台实现对设备、服务器的统一配置、监控和管理。

解 决 方 案

53

高端应用

Three 高端应用
Applications
中国移动/中国电信集团——全球性服务运营商 中国工商银行数据中心——黑客目光关注的焦点 安徽省农信联农金新数据中心网络安全——安全的7×24小时高性能数据中心 江苏广电IDC——有线用户数居全国第一 百胜餐饮集团(YUM)全国VPN互联——全球最大的餐饮集团 央视国际内网安全——全球性新闻媒体 国家科技图书文献中心——国内最权威的文献服务中心之一

高 端 应 用

中南大学校园网出口安全——国家首批211、985大学 山西焦煤集团骨干网安全——中国规模最大的炼焦煤企业 湖南电力调度网安全加固

54

中国移动/中国电信集团
——全球性服务运营商

H3C已成为中国电信/中国移动集团IP网络与安全设备的核心合作伙伴:连续两年入围中国电信/中国移动集团FW、 LB、AFC集采选型,其中高端万兆防火墙连续两年成为中国电信、中国移动集团三家核心供应商之一。 在中国电信:
■ H3C ■

FW、LB、AFC连续两年入围中国电信集采全部款型,IPS入围2010年中国电信集采全部款型。

2009年,H3C以SecPath F5000-A5为代表的多款高端安全产品凭借突出的性能表现,被广东电信和上海电信所 采用,用于IDC/DCN/支撑网/增值业务等核心系统的安全防护,一举打破了国外厂商在万兆高端安全产品领域的 长期垄断地位。

在中国移动:

高 端 应 用

■ 从2007年开始,H3C就进入中国移动的安全设备采购短名单,多年来H3C已经成为了FW、LB入围中移动集采

款型最多的厂商。


在高端领域,H3C的F5000、SecBlade FW系列万兆防火墙全面入围60G、30G、20G、10G档次的选型, 成为了仅有的两家能够入围移动所有万兆防火墙档次的安全厂商之一。

■ H3C数百台超万兆防火墙F5000成功服务于国内最大规模中国移动IMS商用网。

55



IPS/FW/AFC等高端产品服务于大量中国移动数据中心项目,如中国移动手机支付平台、音乐彩铃基地、湖南移 动IDC等项目。

高端应用

中国工商银行数据中心
——黑客目光关注的焦点

中国工商银行拥有近1.7万家境内外机构,覆盖国内大部分大中城市。工行所拥有的全国最大网 银系统,已经成为了黑客目光关注的焦点:首先,黑客的攻击手段不断升级,从单一的SQL注 入、跨站脚本攻击,到以漏洞、病毒、木马相结合的复合式入侵,安全态势日益严峻;其次,性 能压力不断增加,工行网银流量以超过100%的年平均增长率飞速增长,迫切需要由百兆级产品 升级到千兆级产品;最后,原先部署的IDS产品漏报误报情况严重,工行平均每个月的IDS报警 量超过70万条,无效报警的比例很高,且旁挂式部署的IDS,仅仅起到事后风险监测的作用,无 法进行实时风险阻断,具有极大防护不足,无法满足网银对安全威胁进行实时、在线检测和阻断 的要求。 中国工商银行于2007年开始IPS选型工作,H3C IPS以综合排名第一的成绩被工行列为唯一IPS入 围厂家,并在2008年奥运前期完成工行南、北数据中心网银安全保障。同时SecCenter智能管理 中心的部署实现了网络安全事件的自动筛选、攻击日志的联动分析和图表输出,极大的简化了技

高 端 应 用

术人员的维护工作量。H3C解决方案在奥运期间经受了最高峰1G 的网络流量,实现了高性能出 口防护,同时由于IPS的出色表现,目前已连续多次规模采购高端IPS,精确全面阻断各种病毒、 木马、蠕虫等攻击。

56

安徽省农信联农金新数据中心网络安全
——安全的7×24小时高性能数据中心

为满足未来3~5年的持续性发展,安徽省农信启动农金新数据中心建设,以整合现有IT基础设 施,并解决当前所面临的安全防护及管理运维问题。作为安徽地区网点覆盖最广的金融机构, 安徽农信需保证所有应用7×24小时的可用性,故对数据中心的高性能、安全性及稳定性提出 了严格要求。H3C成功为安徽农信打造了安全并具备高性能的数据中心。 数据中心核心业务区:4台S12500交换机集中部署使其具备高性能、易扩展等优势,4台 F5000超万兆防火墙采用旁挂部署,通过完善的网络安全特性以虚拟化技术,保证了组网改 动最小化,又轻松实现了矩阵式的网络安全防护。在汇聚端通过将防火墙、IPS板卡与交换机 S75E融为一体,消除网络性能瓶颈、简化管理并免去布线的烦恼。整个数据中心建立有完善 的运维管理,并通过SecCenter与iMC实现全网设备的事件收集与管理,有效提高管理效率。

高 端 应 用

网银业务区安全加固:作为金融数据中心中安全风险最高的区域,既需构建L2~L7立体式安 全,还需为Web业务进行负载均衡,如何将两大功能有机整合成为系统建设的关键。H3C通过 SecBlade安全板卡将安全加固与应用优化完美结合,构建了AFC异常流量清洗、IPS攻击+入 侵+病毒防护、链路负载均衡三大业务模块构成的安全优化解决方案,根据业务流程提供定制 化的安全和优化策略,既降低了维护成本,又提供了更为完善的防护体系。

57

高端应用

江苏广电IDC
——有线用户数居全国第一

江苏广电拥有1500万有线电视用户,用户数居全国第一,正计划打造承载100万用户的互联网 宽带接入服务以及宽带内容的数据中心,除提供互联网业务外还支持服务器托管等IDC服务。 江苏广电IDC数据中心最大的技术难点在于要求防火墙的吞吐量和并发连接数均为业界最高, 仅现网用户规模就需要2000万的地址转换处理能力,国内尚无先例。 除采用H3C S12518核心交换机和S5800万兆接入交换机构建了高性能IDC网络外,H3C还凭 借业界领先的万兆防火墙板卡以及IRF2堆叠技术为江苏广电提供了超万兆级的地址转换平台。 该地址转换平台经过性能测试、过载压力测试、防攻击测试等多方面严格测试,在没有满配的 情况下实现了江苏有线需要的业界最高防火墙性能,吞吐量≥70Gbps,并发会话≥2100万, 达到了业界最高实测数据。同时,扩展性硬件架构可根据用户数的扩张进行平滑升级,满足了 后续扩容的需求,先进的IRF2虚拟化技术,使得两台防火墙相当于一台防火墙,提高了整体性 能、简化了组网并且增加系统可靠性。

高 端 应 用

58

百胜餐饮集团(YUM)全国VPN互联
——全球最大的餐饮集团

百胜餐饮集团是全球最大的餐饮集团,在110多个国家和地区拥有超过35000家连锁餐厅和 100多万名员工,其旗下包括肯德基、必胜客、塔可钟、A&W及Long John Silver's(LJS) 五个世界著名餐饮品牌。在中国,其中,仅肯德基、必胜客连锁规模达到全国3000多家门 店,覆盖34个省市,并预计未来2年总门店数会达到5000余家。为了更好地传递和管理实时 性生产业务,百胜新建一套VPN系统,有效保证门店的宅急送等订餐订单的及时传递。 对于拥有数千家分支机构的连锁餐饮店而言,网络的稳定运行和优质的服务是业务顺利开 展的重要保障。H3C的广域网VPN解决方案,不但满足了用户对于数千台设备高效管理的需 求,还解决了南北运营商线路高速互访智能切换的问题。H3C全系列防火墙VPN设备所具有 的高可靠性,解决了部署环境恶劣可能引起的高故障率问题。此外,遍布全国的服务网点以

高 端 应 用

及快速响应速度,也赢得了客户的信任。 2009年,H3C承建百胜餐饮(YUM)全国VPN网络及7×24×4小时(4小时解决问题) 的服务,为肯德基、必胜客开展全国“宅急送”提供网络与服务支撑,初期规模3000节点 (后续5000节点),是国内规模最大的商业连锁机构VPN网络,也是对服务响应级别要求最 高的商业连锁网。(目前H3C的服务达标率SLA在98%以上,远远高于其传统服务商92%左 右的指标)

59

高端应用

央视国际内网安全
——全球性新闻媒体

央视国际(央视网、CCTV.COM)面向全球的新闻媒体,是奥运史上首次独立于电视之外的 唯一转播新媒体,其中节目制作和网络维护人员都在内网办公。随着人员扩充,央视内网面临 外协人员通过HUB或者桌面路由器随意接入网络,网络带宽被P2P或者视频流占用,设备各自 为政,管理员无法掌控全局形势并快速定位网络事故等问题。在奥运转播期间,一旦内网出现 问题,势必影响上千万人通过网络平台实时观看奥运信息,网络改造迫在眉睫。 央视国际通过部署防火墙、EAD、SecCenter和iMC,实现事前安全准入检查,避免非法用户 接入的同时防止病毒、蠕虫的泛滥,事中的安全控制以及完善的事后审计,变被动防御为主动 预防,实现智能化的统一管理。同时,通过ACG应用控制网关将P2P等非核心业务流量控制在合 理范围,并与EAD共同实现基于用户名的审计,真正实现“以人为本”的管理。央视国际圆满 的完成了奥运信息发布任务, 转播奥运节目5500小时,开幕式当晚访问量便突破5.5亿次——奥 运史上首次独立于电视之外的唯一转播新媒体央视国际(CCTV.COM)在北京奥运会上创造

高 端 应 用

的奇迹。

60

国家科技图书文献中心
——国内最权威的文献服务中心之一

国家科技图书文献中心(NSTL)是一个虚拟的科技文献信息服务机构,其目标是建设成为国内权威的 科技文献信息资源收藏和服务中心。随着互联网的发展,读者通过网络进行论文查询、图书文献检索 的现象已经非常普遍。但与此同时,NSTL中心及各个分中心网络规模的扩大以及用户访问量的激增, NSTL网络安全事件时有发生,主要存在如下安全隐患:缺少主动安全防护以及系统的统一管理,不能 及时定位网络故障,有效监控系统运行状况。 H3C为NSTL提供了整网的、智能的安全解决方案,通过部署高端防火墙和IPS产品F5000-A5/ T5000-S3实现出口2~7层全面安全,多种业务板卡SecBlade FW/ACG/SSL VPN/AFC/NetStream实现 服务器区个性化、精细化安全需求。系统运行以来,NSTL每天稳定接受数以千万次的论文查询,图书 文献检索,有效拦截各种蠕虫、木马、漏洞、网页篡改、DoS/DDoS等网络攻击,并实现了总部与各

高 端 应 用

成员机构、关联机构之间的安全互联,管理人员也减少了过去被动式的“救火”,变为便捷轻松的统一 管理。

61

高端应用

中南大学校园网出口安全
——国家首批211、985大学

中南大学为教育部直属的全国重点大学,是首批进入国家“211工程”的高校,也是国家 “985工程”重点大学,学校有着近5万名在校师生。在网络建设方面,中南大学是湖南省高 校 CERNET 网的唯一出口,同时该校拥有电信、网通互联网出口达10个之多。但由于缺乏必 要的监管手段,校园网内充斥着各种复杂的非关键业务流量(尤其是各种迅雷、BT等为代表 的P2P流量),经常出现学校正常业务与办公受阻的情况。 H3C为湖南大学提供了有效的行为监管解决方案,在校园网出口部署高性能应用控制网关 ACG8800-S3,实现了对10个互联网出口应用流量的精细化识别和控制,有效解决了之前的 带宽滥用问题;同时,ACG8800-S3通过和认证服务器CAMS进行联动,解决了原动态IP地址 无法满足学校“要求监管必须落实到具体用户”的需求,实现了基于用户名的应用流量监管。 针对复杂的校园网应用流量,H3C快速响应的售后服务团队、研发特征库团队等,有效确保对 中南大学校园网长期应用协议不断变更的有效识别, 使校园网出口流量长期得到有效监管。

高 端 应 用

62

山西焦煤集团骨干网安全
——中国规模最大的炼焦煤企业

山西焦煤集团是中国目前规模最大的优质炼焦煤生产企业和市场主供应商。作为山西省最大 的煤炭生产企业,其前期信息化建设主要以下属二级单位为主,缺乏整体信息资源共享。用 户希望通过本次骨干网安全改造,建设一个良好的信息化支撑平台,实现对各二级单位业务 的有效管理,并且通过统一的数据中心建设,能够为企业下一步的高速发展奠定坚实的技术 保证。 H3C为用户提供了满足未来五年发展需求、高性能的网络平台,并将安全防护融入网络的 关键节点,如在出口路由器、广域网路由器,数据中心交换机等上部署各种安全业务模块 (LB、IPS、ACG、SSLVPN等),实现了与西山煤电、霍州煤电等下属二级单位之间的安全 互联,同时构建了多层次、立体化的核心骨干网,并通过SecCenter与iMC统一管理平台,实

高 端 应 用

现了智能的统一管理, 改变了传统安全体系部署单一、功能割裂、重单点而轻整体的问题, 最大程度的整合了各种IT资源,充分保障了客户业务的安全发展。

63

高端应用

湖南电力调度网安全加固

近年来,随着电力调度生产网络应用的日益普及,所面临的安全问题越来越复杂,安全威 胁正在成倍增长,尤其混合威胁的风险,如蠕虫、病毒、木马、DDoS等攻击困扰着电力 调度生产。湖南省电力公司传统安全防护设备防火墙等对这些威胁已无能为力,特别是病 毒及蠕虫对整网的稳定运行及应用造成了较大的威胁和不良影响。因此,现有地区电业局 (包括直属电厂)的安全防护体系急需二次加固,以满足业务系统安全防护的最新要求。 H3C在电力调度网有着丰富的安全实践经验,承建了全国近70%的省电力调度网安全防 护项目。在湖南电力调度项目中,在湖南省调度通信网的每个地方各部署两台千兆IPS, 共14个地区电业局及3个直属电厂,一共34台千兆IPS产品,是目前国内最大的千兆IPS网 络。自2008年系统运行以来,H3C IPS运行稳定可靠,无任何故障,有效阻断了病毒、蠕 虫及恶意程序在调度网的扩散及传播,有力地保证了整网的安全性,主动加强了整网的安 全防御能力。

高 端 应 用

64

FOUR

Customer References

客户名单

客户名单

客户名单
政府行业 国家电子政务外网 国家人保部 国家环保总局 国家科技部 国家海洋局 山东省政务外网 海南电子政务网 新疆电子政务网 深圳南山电子政务网 青岛市政府 江苏省地税 浙江省国税 武汉市地税 山东省财政局 浙江省社保 云南省金宝 南京市社保 陕西省环保局 山东省国土 吉林省审计厅 辽宁金质一期 吉林省质监局 广东省质监局 山西省公安厅 武汉市公安局 金融系统 中国人民银行 国家开发银行 中国农业银行上海分行 中国农业银行新疆分行 中国建设银行云南分行 中国银行新疆分行 天津滨海农村商业银行 北京农村商业银行 华夏人寿 新疆人寿 青海人寿 中银保险 中国工商银行 交通银行 中国农业银行贵州分行 中国农业银行云南分行 中国建设银行上海分行 呼和浩特市商业银行 日照市商业银行 中国人寿保险 平泰人寿 辽宁人寿 山西人寿 安诚财险 中国银行 中国工商银行安徽分行 中国农业银行江西分行 中国建设银行广西分行 华夏银行苏州分行 淄博市商业银行 乐山市商业银行 深圳平安保险 合众人寿 陕西人寿 湖南人寿 深圳万和证券 中国农业银行 中国工商银行河南分行 中国农业银行青海分行 中国建设银行山西分行 华夏银行宁波分行 烟台市商业银行 中共中央办公厅 国家税务总局 国家检察院 国家建设部 国家档案局 山西省政务外网 河北省政务外网 成都市政府南迁 广州市电子政务网 无锡市民中心 湖南省地税 江西省国税 甘肃省财政厅 天津市财政局 广西省社保 桂林市社保 西安市社保 福建省环保局 安徽省国土 贵州省审计厅 江西质检二级网 四川省质监局 黑龙江省质监局 云南省公安厅 贵阳市公安局 国家发改委 中国公安部 最高人民法院 国家工商总局 国家地震局 浙江省政务外网 云南省电子政务 青岛市政务网 马鞍山市电子政务网 西安市政府北迁 宁夏省地税 济南市地税 武汉市财政局 青岛市财政局 内蒙古社保 大连市金保 安徽省环保局 江苏省环保局 四川省国土 西安审计厅 青海省质监局 河南省检验检疫局 广东省公安厅 天津市公安局 云南省卫生厅 国家财政部 国家交通部 国家司法部 国家专利局 江西省政务外网 辽宁省政务外网 吉林省政务大厅 淄博市电子政务网 福州市政府 贵州省地税 黑龙江省地税 烟台市国税 深圳市财政 长沙市财政局 青海省金保一期 成都市社保 广西省环保局 北京市环保局 海南国土 长沙审计厅 湖南省质监局 山东省检验检疫局 江西省公安厅 呼和浩特市公安局 ......

客 户 名 单

哈尔滨市商业银行 中国人保集团 信泰人寿 云南人寿 安邦保险 深圳江南证券

66

财富证券 山西证券 中海基金 广西省农信联 宁夏市农信联 陕西银监局 江苏银监局 新疆银监局 山东邮政 ...... 大企业 国家科技图书文献中心 华润集团 伊利集团 旺旺集团 万达集团 北车集团 深圳顺丰速运 巴士在线 黑龙江省烟草 云南省中烟 石家庄白沙卷烟厂 武钢集团 重钢集团 辽宁教育电视台 湖北日报 中国红十字会 中国人民解放军四六三医院 北京京卫药业 北京医院 教育交通 国家图书馆 复旦大学 北京交通学校 中央民族大学

上海海通证券 山东证券 农信联清算中心 江西省农信联 山东省农信联 福建银监局 广东银监局 邮政管理局 江西邮政

中银证券 国海证券 湖南省农信联 重庆农信联 安徽省农信联 山西银监局 北京银监局 河北邮政 云南邮政

南京证券 益民基金 山东省农信联 浙江省农信联 四川银监局 湖北银监局 重庆银监局 福建邮政 贵州邮政

央视国际网 上海盛大网络 蒙牛乳业集团 云天化股份公司 西单商场 北汽福田 深圳艾默生 海螺水泥 红云红河集团 福建省烟草 贵州省卷烟厂 日钢集团 石家庄电视台 中国日报社 河北日报报业集团 无锡市人民医院 广州市第一人民医院 中南大学湘雅附二医院 ......

淘宝网 苏宁电器 步步高集团 湘煤集团 吉林森工集团 丰田汽车 金德铝塑管 内蒙古烟草 云天化集团 甘肃省烟草 中国铝业公司 太钢集团 江苏电视台 广州日报 河南出版集团 辽宁中医药大学附属医院 荆州第一人民医院 上海市第八人民医院

百胜餐饮集团 国美电器 西门子 三一重工集团 烟台张裕 奇瑞徽银汽车 大连爱丽思 湖北省烟草 珠江烟草城 湖南省烟草 宝钢集团 安钢集团 郑州人民广播电台 成都商报 浙大中控 北京中医药大学 苏州市立医院 成都康弘制药

清华大学 厦门大学 北京工业大学 中国人民公安大学 南京大学 西安交通大学 重庆大学 湖南大学 贵州大学 浙江财经学院

北京大学 南开大学 北京邮电大学 中国矿业大学 南京理工大学 西安电子科技大学 黑龙江大学 中南大学 沈阳工业大学 浙江省委党校

浙江大学 北京航天航空大学 北京体育大学 内蒙古大学 南京航天航空大学 西南财经大学 哈尔滨工业大学 长沙理工大学 中国海洋大学 深圳大学城

客 户 名 单

大连理工大学 南京教育中心 四川大学外语学院 哈尔滨工程大学 贵阳市教育城域网 浙江师范大学

67

客户名单
上海海洋大学 北京市丰台区教育城域网 贵阳市教育城域网 中国交通部 首都机场 成都地铁AFC 辽宁省交通厅 天津市航运服务中心 四川省运管局 能源电力 国家电网公司信息中心 华中电网 安徽电力 广东电网 山西电力 乌鲁木齐电力 内蒙电力 内蒙北方发电集团 中国石油 华南石油销售公司 四川石油管理局 吐哈石油勘探开发指挥部 郑媒集团 阜新矿业集团 新疆煤炭安全监察网 运营商 中国电信集团 广东移动 贵州移动 乌鲁木齐移动 四川移动 广东电信 湖北电信 甘肃电信 兰州电信 河南电信 联通集团 歌华有线 中国移动集团 北京移动 广西移动 河北移动 天津移动 杭州电信 广西电信 桂林电信 江西电信 乌鲁木齐电信 深圳天威视讯 ...... 上海移动 湖南移动 陕西移动 甘肃移动 江西移动 上海电信 江苏电信 南宁电信 南昌电信 东莞电信 江苏广电 浙江移动 江苏移动 山西移动 南宁移动 海南移动 北京电信 吉林电信 陕西电信 南方电网 浙江电力 福建电力 新疆电力 贵州电力 陕西电力 大唐发电集团 浙江省能源集团 中国石化 河北石油销售公司 吐哈油田 延长油田 霍州煤电 潞安矿业集团 黑龙江省煤矿安全监察局 东北电网 黑龙江电力 湖南电力 重庆电力 云南电力 河北电力 华能发电集团 东北电力设计院 广州石化 大连石油销售公司 大庆油田 山西焦煤集团 焦作煤业集团 龙煤集团 ...... 华北电网 天津电力 湖北电力 山东电力 河南电力 甘肃电力 中国电力投资集团 ...... 山东师范大学 北京市宣武区教育城域网 包头市教育城域网 福建海事局 新疆机场 北京地铁10号线 山西省公路局 黑龙江省运输管理局 ...... 福建农林大学 北京市燕山教育城域网 ...... 中央党校 北京市延庆教育城域网

浙江海事局 深圳机场 云南交通厅 广州铁路公安局 黑龙江省农垦交通

T3航站楼 昆明机场 新疆交通厅 长江航运管理局 重庆市交通信息中心

南方石化 中石化普光气田 吉林油田 西山煤电集团 汾西矿业集团 同煤集团

客 户 名 单

湖南电信 中山电信 上海东方有线

68

FIVE

Honors & Awards

荣誉及奖项

荣誉及奖项

荣 誉 奖 项

70

400-810-0504 800-810-0504
杭州华三通信技术有限公司
杭州基地

客户服务热线

杭州市高新技术产业开发区之江科技 工业园六和路310号 邮编:310053 电话:0571-86760000 传真:0571-86760001
北京分部

北京市宣武门外大街10号庄胜广场中 央办公楼南翼16层 邮编:100052 电话:010-63108666 传真:010-63108777

http://www.h3c.com.cn

Copyright ?2010杭州华三通信技术有限公司 保留一切权利
免责声明:虽然H3C试图在本资料中提供准确的信息,但不保证资料的内容不含有技术性误差或印刷性错误,为此H3C对本资料中信息的不准确性不承担任何责任。H3C保留在没有任何通知或提示的情况下对本资料的内容进行修改的权利。

GE-102730-20101108-BR-LR-V1.0


赞助商链接
相关文章:
更多相关标签: