1、渠道培训资料渠道培训资料H3CH3C安全产品介绍安全产品介绍目录目录n 不断发展不断发展H3CH3C安全产品安全产品n H3CH3C安全渗透网络理念安全渗透网络理念n H3CH3C安全产品销售指导安全产品销售指导n H3CH3C安全产品典型案例安全产品典型案例2安全品牌以及市场占有率不断崛起n20062006年年IT168IT168第一季度防火墙品牌关注度报告,第一季度防火墙品牌关注度报告,H3CH3C排名上升到第二名排名上升到第二名n据据IDCIDC最新统计,最新统计,20062006年年H3C IPSH3C IPS产品排名第一,防火墙产品排名第一,防火墙/VPN/VPN排名第二排名第二3“
2、安全渗透网络”获2005年“中国计算机用户”英华奖“深度安全解决方案”获2005年“e制造”编辑选择奖EAD获CCID“20002005年中国最具价值网络安全解决方案”称号 EAD获2005年度”最佳电子金融解决方案”SecPath 1800F获得计算机世界评测实验室千兆防火墙横向测试唯一推荐产品奖 SecPath获计算机世界2006年度产品奖SecPath获2007年计算机世界编辑最佳选择奖H3C安全产品和解决方案屡获殊荣4H3C安全产品和解决方案屡获殊荣NSS Gold AwardnH3C IPS是第一个,同时也是至今唯一获得NSS金奖的IPS产品Best Security Solutio
3、n 2005nH3C IPS 获得“Winner in SC Global Awards“n超过1000个产品参加n信息安全世界级领导奖5H3C SecpathH3C Secpath防火墙防火墙H3C Secpath H3C Secpath VPNVPNH3CH3CIPSIPS H3CH3C 安全插卡安全插卡 F1800-AF1000-AF1000-SF100-EF100-CV1000-AV100-SH3C IPS50/X505/200E/600EH3C IPS1200E/2400EH3C IPS5000EH3C IPSSMSH3C IPSZPHASecBladeVPNSecBladeFWF1
4、00-AF100-SH3C H3C 安全管理系列安全管理系列NSM/ASMSrecCenter A1000 F1000-ESSL VPNSecBlade FW/VPNiNode安全客户端CAMS认证系统BIMSSrecPath ASE不断扩展的丰富的安全系列产品6覆盖多数行业的重大应用案例目录目录n 不断发展不断发展H3CH3C安全产品安全产品n H3CH3C安全渗透网络理念安全渗透网络理念n H3CH3C安全产品销售指导安全产品销售指导n H3CH3C安全产品典型案例安全产品典型案例专业安全能力的体现专业安全能力的体现8基于状态演进的H3C网络安全模型单机安全单机安全局部安全局部安全需求:需
5、求:远程接入远程接入入侵检测入侵检测安全融合安全融合安全协作安全协作需求:需求:容灾容备容灾容备深度抵御深度抵御安全审计安全审计流量分析流量分析需求:需求:权限管理权限管理病毒防护病毒防护数据备份数据备份深度安全深度安全需求:需求:风险管理风险管理企业内控企业内控统一规划统一规划统一管理统一管理统一安全统一安全ITIT产品化产品化ITIT系统化系统化ITIT集中化集中化ITIT集成化集成化9目录目录n 不断发展不断发展H3CH3C安全产品安全产品n H3CH3C安全渗透网络理念安全渗透网络理念n H3CH3C安全产品销售指导安全产品销售指导n H3CH3C安全产品典型案例安全产品典型案例1.H
6、3C SecPath FW/VPN2.H3C IPS10 可对网络设备和安全设备进行统一管理可对网络设备和安全设备进行统一管理 可管理近可管理近100100家厂家设备家厂家设备 不仅可管理安全产品,还可以管理网络产品、服务器不仅可管理安全产品,还可以管理网络产品、服务器 可输出可输出10001000多种报表多种报表 是内置了是内置了IDSIDS功能的深度检测防火墙功能的深度检测防火墙 业界性能最高业界性能最高IPSIPS 检测准、精、全,是唯一获检测准、精、全,是唯一获NSSNSS金奖的金奖的IPSIPS 共共8 8款产品,款产品,50M50M5G5G可部署于各种环境可部署于各种环境 是企业的
7、网络防盗门是企业的网络防盗门 据据IDCIDC统计,统计,20062006年度年度H3CH3C防火墙国内排名第二防火墙国内排名第二 共共8 8款产品,款产品,10M10M5G5G可部署于各种环境可部署于各种环境 丰富的安全模块丰富的安全模块H3C主要的网络安全产品SecPathSecPath防火墙防火墙/VPN/VPNH3C IPSH3C IPSSecCenterSecCenter安全管理中心安全管理中心11功能不断扩展,防火墙到底能干什么?n基本功能有:基本功能有:网络访问控制 防止网络攻击 路由、NAT 集成VPN功能 流量管理功能(P2P限流、URL过滤、QOS部署)身份认证功能n扩展功
8、能有:扩展功能有:网关防病毒 网络流量分析防火墙防火墙受保护区域受保护区域非受信区域非受信区域DoSDoS攻击攻击黑客黑客正常用户正常用户策略阻止策略阻止非法访问非法访问正常访问正常访问策略允许策略允许12怎么寻找机会点防火墙常见的部署位置财务财务办公办公业务业务SMTPPOP3WEB数据库数据库OA政务应用政务应用数据中心数据中心相关机构相关机构下级机构下级机构相关机构相关机构Internet边界局域网内部不同网段数据中心前端广域网互联边界分散服务器分散服务器任何重要的服务器前只要有网络,就需要防火墙只要有网络,就需要防火墙13项目竞争中,防火墙最关键的技术参数v防火墙端口支持能力:防火墙端
9、口支持能力:v指防火墙标配或者通过扩展槽,所能提供的最大的网络端口数,这是防火墙最基本的技术特征,也是项目中唯一能形成硬伤的技术参数;v防火墙整机吞吐量:防火墙整机吞吐量:v指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量防火墙对报文的处理能力;v最大并发连接数:最大并发连接数:v由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问;v每秒新建连接数:每秒新建连接数:v指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接,该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度;1
10、4VPN的基本概念是什么?nVPNVPN:虚拟专用网,通过组合数据封装和加密技术,实现私:虚拟专用网,通过组合数据封装和加密技术,实现私有数据通过公共网络平台进行安全传输,从而以经济、灵活有数据通过公共网络平台进行安全传输,从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接,或者的方式实现两个局域网络通过公共网络平台进行衔接,或者提供移动用户安全的通过公共网络平台接入内网。提供移动用户安全的通过公共网络平台接入内网。中心站点中心站点分支机构分支机构合作伙伴合作伙伴接入点接入点移动用户移动用户SOHOSOHO用户用户VPNVPN15VPN本质部署模式其实只有两种InternetInt
11、ernet端到端接入端到端接入移动用户接入移动用户接入VPNVPN的两种接入方式的两种接入方式VPNVPN网关网关VPNVPN网关网关远程主机远程主机局域网局域网局域网局域网1 1、端对端接入、端对端接入(Site-to-Site)(Site-to-Site):性能高、运行简单可靠、适于大型局域网的远程互联。2 2、移动用户接入、移动用户接入(Remote-Access)(Remote-Access):接入灵活,使用方便,成本低,适于远程主机直接接入系统网络。16VPN最常用的协议也只有两种选项选项SSL VPNSSL VPNIPSec VPNIPSec VPN单向身份验证双向身份验证双向身份
12、验证数字证书数字证书强加密强加密基于Web浏览器依靠执行端到端安全网络边缘到客户端从客户到资源端全程加密仅对从客户到VPN网关之间通道加密可访问性选用于任何时间、任何地点访问限制适用于已经定义好受控用户的访问费用低(无需任何附加客户端软件)高(需要管理客户端软件)即插即用安装通常需要长时间的配置无需任何附加的客户端软、硬件安装需要客户端软件或者硬件对用户非常友好,使用非常熟悉的Web浏览器对没有相应技术的用户比较困难无需终端用户的培训需要培训基于Web的应用文件共享E-mailC/S应用TCP/IP协议服务用户客户、合作伙伴用户、远程用户、供应商等更适用于企业内部使用可伸缩性容易配置和扩展在服
13、务器端容易实现自由伸缩,在客户端比较困难用户的易使用性支持的应用所有基于IP协议的服务身份验证加密全程安全性安装协议选择的原则:协议选择的原则:1 1、如果有端到端的互联的需求,只能选择、如果有端到端的互联的需求,只能选择IPSec VPNIPSec VPN;2 2、如果有移动用户接入的需求,优先选择、如果有移动用户接入的需求,优先选择SSL VPNSSL VPN,因为不需要客户端,因为不需要客户端,IPSec VPNIPSec VPN也可以,但是需要客户端,部署复杂;也可以,但是需要客户端,部署复杂;17项目竞争中,VPN最关键的技术参数v加密处理能力:加密处理能力:v指VPN设备进行背靠背
14、的连接时,能够以一定的加密算法对一定的包长数据的最大转发能力,业界默认一般都采用大包对这个指标进行衡量;v最大并发隧道数:最大并发隧道数:v指在确定的VPN协议前提下,VPN设备能够并发支持最多的虚拟隧道数量,这些隧道决定了VPN设备能够提供的连接的设备和移动用户的数量;18H3C SecPath系列防火墙/VPN产品ISP/大型数据中心大型数据中心大型分支大型分支/中型企业中型企业中型分支中型分支/小型企业小型企业SOHO/小型分支小型分支大大型企业总部型企业总部SecPath F1000-ASecPath F1000-SSecPath V100-SSecPath 100F-ASecPath
15、 F1800-ASecPath V1000-ASecPath F100-CSecPath F100-SSecPath F100-ESecBladeISecPath F100-M SecPath F1000-ESecBladeII19H3C SecPath系列防火墙产品规格特性/规格/说明F100-CF100-SF100-MF100-AF100-EF1000-SF1000-AF1800-A防火墙吞吐量并发连接数每秒新建连接数固定接口扩展插槽数量支持的单板类型说明:说明:1 1、为防止友商恶意引导,规格参数不可公开、为防止友商恶意引导,规格参数不可公开20H3C SecPath防火墙特性选型参考型
16、号型号性能性能并发连接数并发连接数并发用户数并发用户数F100-CF100-SF100-MF100-AF100-EF1000-SF1000-AF1800-A说明:说明:1 1、为防止友商恶意引导,规格参数不可公开、为防止友商恶意引导,规格参数不可公开21特性/规格F100-CF100-SF100-MF100-AF100-EF1000-SF1000-AF1800-AV1000-AV100-SIPSec加密性能IPSec隧道数SSL加密性能SSL并发连接数IPSec并发用户数建议SSL并发用户数建议SecPath VPN特性规格及选型参考说明:说明:1 1、为防止友商恶意引导,规格参数不可公开、为
17、防止友商恶意引导,规格参数不可公开22SecPath防病毒特性规格及选型参考特性/规格/说明F100-AF1000-SF1000-AASM吞吐量并发连接数每秒新建连接数每秒处理数病毒库建议并发用户数说明:说明:1 1、为防止友商恶意引导,规格参数不可公开、为防止友商恶意引导,规格参数不可公开235大技术卖点:A:Anti-Virus,基于OAA平台的病毒防护B:BT Limit,支持P2P等非关键业务的识别与限制C:Comware Inside,专业操作系统,全面网络融合D:内置了以DVPN为代表的丰富VPN特性,支持SSL/IPSec/GRE/MPLS/L2TP及专有的DVPN;E:Expe
18、rt,专业安全特性:虚拟防火墙、VPE、ASPF、基于状态的HA等;SecPath防火墙/VPN的5大卖点ABCDE24 H3CH3CCiscoCiscoJuniper Juniper 天融信天融信DoS/DDoS防范支持不足支持不足虚拟防火墙不支持不支持P2P限流不支持不支持VPN协议丰富的丰富的VPNVPN不支持不支持VPEVPE不支持不支持VPE/DVPNVPE/DVPN不支持不支持VPE/DVPN/GREVPE/DVPN/GRE国密办算法不支持不支持不支持不支持BGP高端路由不支持不支持BGPBGP网流监控通过选配通过选配NSMNSM插卡可以实现插卡可以实现不支持不支持不支持不支持不支
19、持不支持中文界面不支持不支持不支持不支持SecPath防火墙/VPN友商对比分析25具备屏蔽性优势的VPN解决方案总部分支机构分支机构DVPNDVPN域域EADIPSecIPSec远程远程接入接入移动用户合作伙伴SSL VPNSSL VPN方案优势:方案优势:n多种VPN接入方式 同时支持IPSec和SSL 支持DVPN专利部署 支持专利的VPE技术n维护和管理简便 BIMS海量节点智能管理 VPN Manager专业管理n综合集成安全特性 与专业防火墙集成 支持扩充防病毒特性 支持与EAD组合应用26稳定可靠成熟应用的防火墙方案SecPathSecPath防毒卡防毒卡SecPathSecPa
20、th 防火墙防火墙分支机构方案优点:方案优点:n与网络紧密融合的部署能力n稳定可靠的软件及硬件平台n综合集成的安全防护能力 ASPF扩展状态检测 P2P等深层安全控制 OAA扩展防病毒特性 OAA扩展流量分析特性n大量大规模成熟应用案例分支机构总部27SecPath防火墙/VPN典型案例政府政府公共事业公共事业企业企业金融金融国家交通部国家交通部 中船重工集团中船重工集团伊利集团伊利集团上海银联上海银联 国家工商总局国家工商总局中国烟草总公司中国烟草总公司中国红十字会中国红十字会农信联清算中心农信联清算中心 国家环保总局国家环保总局重庆电力重庆电力江西仁和药业集团江西仁和药业集团平安保险全国网
21、络平安保险全国网络国家人事部国家人事部北京环保局北京环保局物美集团安全平台物美集团安全平台中国人寿中国人寿劳动与社会保障部劳动与社会保障部太钢集团太钢集团 国政通网络项目国政通网络项目上海建行上海建行最高人民法院最高人民法院龙煤集团龙煤集团 百度网站内网安全百度网站内网安全华夏银行华夏银行国家天文台国家天文台大庆油田大庆油田希望铝业希望铝业云南建行云南建行山东电子政务外网山东电子政务外网中国矿业大学中国矿业大学 长江商业报社长江商业报社北京银监局北京银监局江苏地税江苏地税重庆大学安全实验室重庆大学安全实验室安徽电力建设工程公司安徽电力建设工程公司中国建银投资网络中国建银投资网络更多案例请查询安
22、全产品案例集28目录目录n 不断发展不断发展H3CH3C安全产品安全产品n H3CH3C安全渗透网络理念安全渗透网络理念n H3CH3C安全产品销售指导安全产品销售指导n H3CH3C安全产品典型案例安全产品典型案例1.H3C SecPath FW/VPN2.H3C IPS29IPS面向用户最简单的解释防火墙是IDS是IPS是什么是IPS?lIntrusion Prevention System 主动入侵防御系统l防火墙是L3-L4的安全防御设备,IPS是L7层上进行防御的“防火墙”IPS是“深度检测防火墙”,是“内置了IDS功能”的防火墙。防火墙智能解决20的安全威胁问题,而IPS可以解决8
23、0的安全问题30项目竞争中,IPS最关键的技术参数vIPSIPS的处理能力:的处理能力:v作为27层的网络安全设备,IPS的性能是一个非常关键参数,IPS的性能需要从吞吐量、并发连接数、延时等多个参数综合考评才有意义;vIPSIPS的防护准确度:的防护准确度:v作为一种在线部署、实时防护的安全设备,IPS攻击检测的准确度直接影响到IPS防护的能力,同时会对网络的可用性形成非常直接的影响;vIPSIPS防护的及时性:防护的及时性:vIPS的防护能力需要动态更新,才能保证对最新风险的安全防护能力,因此安全风险跟踪的及时性和权威性成为一个非常关键的因素;31如何寻找IPS机会点IPS典型的部署模式内
24、部服务器组电子商务服务器Internet分支分支分支分支总部总部区域服务器InternetIPS 部署在广域网边界:抵御来自分支机构攻击保护广域网线路带宽抑制内网恶意流量,如间谍软件、蠕虫病毒等等的泛滥和传播IPS 部署在数据中心:抵御来自内网攻击,保护核心服务器和核心数据提供虚拟软件补丁服务,保证服务器最大正常运行时间IPS 部署在外网Internet边界:保护防火墙、交换机网络基础设施对Internet出口带宽进行精细控制,防止带宽滥用抵御来自Internet的DDoS攻击和应用层攻击,保护电子商务服务器简言之:简言之:IPSIPS跟着防火墙走,补防火墙的漏跟着防火墙走,补防火墙的漏32T
25、ippingPointTippingPoint SMS SMSH3C IPS 50H3C IPS 5050 Mbps 1 Segment CopperH3C IPS 200H3C IPS 200200 Mbps 2 Segments CopperH3C IPS 200EH3C IPS 200E200 Mbps 2 Segments Copper600 Mbps 4 Segments Copper/FiberH3C IPS 600EH3C IPS 600EH3C IPS 1200EH3C IPS 1200E1.2 Gbps 4 Segments Copper/Fiber2.4 Gbps 4 Se
26、gments Copper/FiberH3C IPS 2400EH3C IPS 2400EH3C IPS 5000EH3C IPS 5000E5 Gbps 4 Segments Copper/FiberSecurity Management SystemH3C SMSH3C SMSIPS,Firewall,Bandwidth Mgmt,Content FilteringH3C IPS X505H3C IPS X505H3C IPS产品系列33H3C IPS产品系列规格项目项目/规格规格项目项目/规格规格H3C-50H3C-200EH3C-200H3C-600EH3C-1200EH3C-2400
27、E性能性能吞吐量整机最大吞吐量时延单个报文最大时延连接数整机最大并发连接数每秒连接数整机每秒最大连接数接口接口/扩展性扩展性电口10/100/1000自适应电以太网接口光口1000M光口(单模/多模)可保护网段两个接口保护一个网段说明:说明:1 1、为防止友商恶意引导,规格参数不可公开、为防止友商恶意引导,规格参数不可公开345 5大卖点:大卖点:n0 0:保证近似保证近似0 0的误报率的误报率n1 1:全球唯一全球唯一NSSNSS金奖、唯一金奖、唯一ICSAICSA千兆千兆IPSIPS认证的获得者认证的获得者n5 5:无可匹敌的硬件平台,最高吞吐量无可匹敌的硬件平台,最高吞吐量5Gbps5G
28、bpsn500500:已经突破全球财富已经突破全球财富500500强中的绝大多数强中的绝大多数n1000010000:1000010000个过滤器并发处理个过滤器并发处理H3C IPS的5大卖点35政府公共事业金融商业国家发改委国家发改委中石油中石油中国建设银行中国建设银行宅急送宅急送贵州省政府贵州省政府云天化股份云天化股份云南省农总行云南省农总行上海通用上海通用山东省国土资源厅山东省国土资源厅 中国交通建设集团中国交通建设集团重庆银监局重庆银监局江苏中外运江苏中外运江苏地税江苏地税贵州大学贵州大学苏州华夏银行苏州华夏银行上海第一人民医院上海第一人民医院天津市委组织部天津市委组织部中粮集团中粮
29、集团中银证券上海总部中银证券上海总部中国化工报中国化工报四川省交通厅四川省交通厅浙江兰溪电厂浙江兰溪电厂安邦保险安邦保险中国交通报中国交通报上海市财税局上海市财税局甘肃电力甘肃电力新疆银监局新疆银监局人事部信息中心人事部信息中心乌鲁木齐电力调度乌鲁木齐电力调度安徽建行骨干网安徽建行骨干网更多请查找案例集H3C IPS典型成功案例36目录目录n 不断发展不断发展H3CH3C安全产品安全产品n H3CH3C安全渗透网络理念安全渗透网络理念n H3CH3C安全产品销售指导安全产品销售指导n H3CH3C安全产品典型案例安全产品典型案例37H3C安全产品典型应用案例劳动部国干部署设备:部署设备:Sec
30、PathSecPath F1000 F10005 5SecPathSecPath F500 F5003232部业务专网接入区相关单位部属事业单位Cisco 6509DMZ区业务专网DMZ区FW1SecPath 500F32Internet省业务专网接入区省内部网部内部网业务专网DMZ区防火墙控制台PRISDHSecPath 1000F2SecPath 1000F1SecPath 1000F1SecPath 1000F38H3C安全产品典型应用案例交通部国干外网部级节点外网部级节点NE08ENE08ESDHSDHSecPath 1000SecPath 1000155M CPOS155M CPOS
31、2M E12M E1100M FE100M FEAR46AR46SecPath 100VSecPath 100V10M 10M 视频终端视频终端 视频电话视频电话 服务器服务器MCUMCUGKGK视频终端视频终端视频电话视频电话外网省级节点外网省级节点PCPC接入交换机接入交换机接入交换机接入交换机InternetInternet2M E12M E1AR46AR46SecPath 100VSecPath 100V视频终端视频终端视频电话视频电话外网省级节点外网省级节点PCPC部署设备:部署设备:SecPathSecPath F1000 F10002 2SecPathSecPath V100 V
32、39H3C安全产品典型应用案例最高法国干最高人民法院路由器省高院交换机交换机交换机交换机交换机专网路由器路由器路由器路由器省高院省高院省高院省高院20个节点SecPath 100FSecPath 100F部署设备:部署设备:SecPathSecPath 100F 100F40H3C安全产品典型应用案例环保总局国干国家环保总局国家环保总局NE40-8155McPOS核心交换机E1网管系统SecPath1800FAR4640核心交换机SecPath 100F视频终端省市环保局AR4640核心交换机SecPath 100F省市环保局AR4640核心交换机SecPath 100F省市环保局部署设备:部
33、署设备:SecPathSecPath 1800F 1800F2 2SecPathSecPath 100F 100F41H3C安全产品典型应用案例中国人寿国干2M2M.网管平台网管平台OA、财务、视频等服务器、财务、视频等服务器XX省公司节点省公司节点地州节点地州节点SecPath 1000F县级节点县级节点 100个个2M地市分支机构地市分支机构保险代办点保险代办点ADSL网络SecPath 100FSecPath 10FSecPath 10FSecPath 10F县级节点县级节点 100个个中国人寿全国中国人寿全国30个省级机构个省级机构完成下属分支网点完成下属分支网点VPN接入:接入:SecPathSecPath 1000F 1000F4040SecPathSecPath 100F 100F2020SecPathSecPath 10F 10F20002000杭州华三通信技术有限公司