H3C SecPath SSL安全网关是H3C公司面向运营商、金融、政府、大型数据中心开发的业界优秀的SSL安全网关产品。
H3C SecPath SSL安全网关提供完善的负载均衡功能,具备SSL卸载、SSL加速、负载均衡、应用优化、应用安全等功能。
部署在数据中心,基于特定的负载均衡算法将客户端对数据中心服务的访问请求合理地分发到数据中心的各台服务器上,以保证数据中心的响应速度和业务连续性。
部署在多ISP链路的出口(如电信、联通等),为了提高链路利用率,通过对链路状态的检测,采用对应的调度算法将数据合理、动态地分发到不同链路上。
部署在多数据中心出口,为全球各地用户选择响应最优的数据中心,提升应用对不同地理位置、运营商用户的访问速度,实现多数据中心的双活与灾备。
H3C SecPath SSL安全网关开创性地实现了负载分担、安全与网络的深度融合,具有强大的路由、交换、负载均衡、SSL卸载、2~7层安全防护等功能。
H3C SecPath SSL安全网关具有强大的接口扩展能力,用户可以根据自己的需要灵活选择接口模块,保护用户投资,可以适应复杂的组网环境。
提高网络业务的应用访问速度
提高网络业务的业务连续性
提高网络业务的应用访问总容量
提高网络业务的安全性
提高网络业务出口的链路使用率
通过部署H3C SSL安全网关,可以满足行业合规要求,大大降低网络的采购成本和运维成本,同时增加了网络的灵活性和可扩展性。
H3C SecPath SSL安全网关采用先进的多核多线程硬件平台,能够并行处理健康检测、负载均衡调度以及安全、路由等功能,并利用快转技术,做到一次运算多次转发,实现了高性能的负载均衡及安全防护功能。
H3C SecPath SSL安全网关本身自带有丰富的接口以及扩展槽位,可适应用户针对现网部署设备硬件端口的所有要求。
H3C SecPath SSL安全网关支持丰富的健康检测算法,可从网络层、应用层全方位的探测、检查服务器及应用的运行状态。在进行健康检测时,采用NQA(Network Quality Analyzer,网络质量分析)技术,确保健康检测占用最小的系统资源开销,从而保证应用交付业务的性能。健康检测算法适用于4~7层服务器负载均衡。
H3C SecPath SSL安全网关支持出站、入站链路负载均衡,结合内置的全球ISP IP地址库进行出、入站流量的智能调度,实现基于不同运营商、链路健康度、链路带宽大小等多要素的链路负载均衡。最终达成内、外网访问用户整体访问体验的提升以及多链路带宽资源的互为备份与合理利用。
H3C SecPath SSL安全网关支持丰富的负载均衡调度算法,可根据具体的应用场景,采用不同的算法。支持的算法包括:轮询、加权轮询、最小连接、加权最小连接、随机、源地址HASH、目的地址HASH、源地址端口HASH等算法。以上负载均衡算法适用于4~7层服务器负载均衡,同时,对于7层服务器负载均衡还支持基于应用特征的分发,例如基于HTTP头域、内容等。
H3C SecPath SSL安全网关支持L4和L7的服务器负载均衡。
4层服务器负载均衡:基于TCP、UDP、IP的各种业务应用,依据报文的L4层特征(IP、端口)进行负载均衡。
7层服务器负载均衡:基于L7内容的负载均衡,通过对报文承载的内容进行深度解析,根据应用层的分析结果对报文进行处理或者分发。支持基于HTTP header、HTTP URL、HTTP cookie以及HTTP content的解析,并在此基础上,配置所需要的L7策略,对HTTP报文进行分发和会话的持续性保持。
H3C SecPath SSL安全网关支持SSL卸载功能,采用RSA、ECC、SM等算法,将访问内网服务器中的SSL加解密过程由SSL安全网关承担,H3C SecPath SSL安全网关与服务器之间可采用非加密或者弱加密的SSL进行通讯,较大的减小了服务器端对SSL处理的压力,从而将服务器的CPU处理能力释放出来。
H3C SecPath SSL安全网关支持TCP的连接复用功能,使用连接池技术,可以将前端大量的客户的HTTP请求复用到后端与服务器建立的少量的TCP长连接上,大大减小服务器的性能负载,减小与服务器之间新建TCP连接所带来的延时,并最大限度减少后端服务器的并发连接数,降低服务器的资源占用。
H3C SecPath SSL安全网关采用了全代理的模式, H3C SecPath SSL安全网关全面接管客户端和服务端的应用流量,支持任何层次的协议字段的解析和优化。
H3C SecPath SSL安全网关支持IP/TCP/HTTP等多个参数模板设置,通过对应用参数模板的设置,可以优化应用交付的功能,提升应用交付的性能。
IP参数模板,提供了Set IP ToS功能。通过设置IP ToS来对各种类型的传输协议优化处理,从而提高关键应用传输的性能。
TCP参数模板提供了设置发送和接收缓冲区的大小等选项。通过设置TCP缓冲区的大小来调节链路传输的质量,达到优化TCP数据传输的目的。
HTTP参数模板提供了rebalance per-request(每请求分发)、header modify per-transaction(每业务请求修改)、header maxparse-length(最大解析头长度)、secondary-cookie(secondary-cookie设置)、content maxparse-length(最大content解析长度)等选项或参数设置,根据用户需求,满足对HTTP应用交付的优化需求和性能提升。
H3C SecPath SSL安全网关具备全面的安全防护能力,支持对各种DoS/DDoS攻击、ARP欺骗攻击、超大ICMP报文攻击、地址/端口扫描等各种攻击的防范,是业界安全功能较为强大的SSL安全网关产品。
采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到企业用户,经历了多年的市场考验。
H3C SecPath SSL安全网关采用先进的多核多线程硬件平台,能够并行处理健康检测、负载均衡调度以及安全、路由等功能,并利用快转技术,做到一次运算多次转发,实现了高性能的负载均衡及安全防护功能。
H3C SecPath SSL安全网关本身自带有丰富的接口以及扩展槽位,可适应用户针对现网部署设备硬件端口的所有要求。
H3C SecPath SSL安全网关支持丰富的健康检测算法,可从网络层、应用层全方位的探测、检查服务器及应用的运行状态。在进行健康检测时,采用NQA(Network Quality Analyzer,网络质量分析)技术,确保健康检测占用最小的系统资源开销,从而保证应用交付业务的性能。健康检测算法适用于4~7层服务器负载均衡。
H3C SecPath SSL安全网关支持出站、入站链路负载均衡,结合内置的全球ISP IP地址库进行出、入站流量的智能调度,实现基于不同运营商、链路健康度、链路带宽大小等多要素的链路负载均衡。最终达成内、外网访问用户整体访问体验的提升以及多链路带宽资源的互为备份与合理利用。
H3C SecPath SSL安全网关支持丰富的负载均衡调度算法,可根据具体的应用场景,采用不同的算法。支持的算法包括:轮询、加权轮询、最小连接、加权最小连接、随机、源地址HASH、目的地址HASH、源地址端口HASH等算法。以上负载均衡算法适用于4~7层服务器负载均衡,同时,对于7层服务器负载均衡还支持基于应用特征的分发,例如基于HTTP头域、内容等。
H3C SecPath SSL安全网关支持L4和L7的服务器负载均衡。
4层服务器负载均衡:基于TCP、UDP、IP的各种业务应用,依据报文的L4层特征(IP、端口)进行负载均衡。
7层服务器负载均衡:基于L7内容的负载均衡,通过对报文承载的内容进行深度解析,根据应用层的分析结果对报文进行处理或者分发。支持基于HTTP header、HTTP URL、HTTP cookie以及HTTP content的解析,并在此基础上,配置所需要的L7策略,对HTTP报文进行分发和会话的持续性保持。
H3C SecPath SSL安全网关支持SSL卸载功能,采用RSA、ECC、SM等算法,将访问内网服务器中的SSL加解密过程由SSL安全网关承担,H3C SecPath SSL安全网关与服务器之间可采用非加密或者弱加密的SSL进行通讯,较大的减小了服务器端对SSL处理的压力,从而将服务器的CPU处理能力释放出来。
H3C SecPath SSL安全网关支持TCP的连接复用功能,使用连接池技术,可以将前端大量的客户的HTTP请求复用到后端与服务器建立的少量的TCP长连接上,大大减小服务器的性能负载,减小与服务器之间新建TCP连接所带来的延时,并最大限度减少后端服务器的并发连接数,降低服务器的资源占用。
H3C SecPath SSL安全网关采用了全代理的模式, H3C SecPath SSL安全网关全面接管客户端和服务端的应用流量,支持任何层次的协议字段的解析和优化。
H3C SecPath SSL安全网关支持IP/TCP/HTTP等多个参数模板设置,通过对应用参数模板的设置,可以优化应用交付的功能,提升应用交付的性能。
IP参数模板,提供了Set IP ToS功能。通过设置IP ToS来对各种类型的传输协议优化处理,从而提高关键应用传输的性能。
TCP参数模板提供了设置发送和接收缓冲区的大小等选项。通过设置TCP缓冲区的大小来调节链路传输的质量,达到优化TCP数据传输的目的。
HTTP参数模板提供了rebalance per-request(每请求分发)、header modify per-transaction(每业务请求修改)、header maxparse-length(最大解析头长度)、secondary-cookie(secondary-cookie设置)、content maxparse-length(最大content解析长度)等选项或参数设置,根据用户需求,满足对HTTP应用交付的优化需求和性能提升。
H3C SecPath SSL安全网关具备全面的安全防护能力,支持对各种DoS/DDoS攻击、ARP欺骗攻击、超大ICMP报文攻击、地址/端口扫描等各种攻击的防范,是业界安全功能较为强大的SSL安全网关产品。
采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到企业用户,经历了多年的市场考验。
属性 | M9000-AD6 |
主控板槽位数 | 2 |
业务板槽位数 | 2 |
接口板槽位数 | 2 |
冗余设计 | 主控、电源、风扇 |
尺寸(W X H X D) | 440mm×88.1mm×660mm |
重量(kg) | < 25.34kg |
总功耗(W) | <2600W |
环境温度 | 工 作:0~40℃ 非工作:-40~70℃ |
服务器负载均衡 调度算法 | 轮转 加权轮转 最小连接 加权最小连接 随机 加权随机 源地址HASH 目的地址HASH 源地址端口HASH UDP报文净荷HASH 本地优先级 HTTP内容 RTSP URL |
链路负载均衡 调度算法 | 轮转 加权轮转 最小连接 加权最小连接 随机 加权随机 源地址HASH 目的地址HASH 源地址端口HASH 就近性算法 加权带宽算法 最大带宽算法 本地优先级 |
服务器负载均衡会话保持方式 | 基于源地址 基于源端口 基于目的端口 基于源地址+源端口 基于目的地址+目的端口 基于源地址+源端口+目的地址+目的端口 基于HTTP Header 基于HTTP Cookie 基于HTTP URL 基于HTTP Content 基于SSLID信息 |
健康检测方式 | 支持Ping(ICMP)、TCP、HTTP、FTP、SSL、Radius、DNS等健康检测算法 |
虚服务/实服务组/实服务 | 支持虚服务 支持实服务组 支持实服务 |
HTTP 策略 | 支持的策略匹配元素: HTTP header HTTP cookie HTTP URL HTTP content HTTP method HTTP class : HTTP class的嵌套调用 generic-class: 使用generic class作为匹配条件 支持的动作: HTTP Header插入 HTTP Header重写 HTTP Header删除 SSL URL location重写 SSL Client policy设置 选择实服务组 |
generic策略 | 支持的策略匹配元素: 源IP generic-class : generic Class的嵌套调用 支持的动作: SSL Client policy设置 设置 IP ToS 选择实服务组 |
HTTP 参数模板 | 支持大小写敏感设置 支持HTTP header最大解析长度设置 支持HTTP content的最大解析长度设置 支持允许服务器的连接复用 支持设置每请求修改HTTP报文 支持设置每HTTP请求分发 支持设置secondary cookie的分隔符 支持设置secondary cookie起始位置标示字符 支持设置URL或cookie超出最大长度时的处理方式 |
TCP 参数模板 | 设置超出MSS的数据段的处理方式: 允许或者丢弃 设置发送和接收缓冲区的大小 |
IP 参数模板 | 支持设置经过设备的实服务器回应的IP报文的ToS字段 |
SSL卸载 | 支持SSL卸载功能: 采用RSA、ECC、SM等算法卸载基于SSL的流量 SSL Server:支持SSL Server的所有功能,包括证书管理,认证等 SSL Client: 支持SSL Client功能,与后台的服务器可以进行SSL加密传输 |
攻击防范 | 支持SYN Flood、UDP Flood、ICMP Flood、HTTP Get Flood等各种网络攻击行为的防御 |
网络协议 | 以太网协议、生成树、多生成树(MSTP)、快速生成树(RSTP)、QinQ、VLAN、静态路由、RIP v1/ v2、OSPF v2、BGP-4、IS-IS协议、IGMP、PIM等 |
支持IPv6 | 支持IPv6转发、业务处理 |
管理方式 | CLI(Telnet/SSH) 支持标准网管 SNMPV3,并且兼容SNMP V2C、SNMP V1 |
在企业园区网络中,为了实现对企业数据中心提供的服务的快速访问,需要采用应用交付功能来分担和优化企业数据中心的访问流量。在这种应用环境下,可以在数据中心部署H3C SecPath M9000-AD6,服务器群通过接入交换机连接到M9000-AD6上,服务器网关指向M9000-AD6,M9000-AD6采用NAT方式实现服务器负载均衡。具体组网如图所示。
如果企业园区网从两个运营商分别租用了两条物理链路(ISP1和ISP2),为了实现对内网用户访问外部网络的快速响应,选择最优的链路,可以在网络出口处的部署H3C SecPath M9000-AD6,采用就近性算法或带宽算法选择到达目的地址的最优链路。具体组网如图所示。
(1)主机选购一览表
模块 | 数量 | 备注 |
H3C SecPath M9000-AD6 SSL安全网关设备 | 1 | 必配 |
(2)板卡选购一览表
模块 | 数量 | 备注 |
H3C SecPath M9000-AD主控制引擎模块,A类 | 2 | 必配 |
H3C SecPath M9000-AD SecBlade V 应用交付引擎A模块(MP) | 1-2 | 必配 |
H3C SecPath M9000-AD SecBlade V 应用交付引擎B模块(MP) | ||
H3C SecPath M9000-AD SecBlade V 应用交付引擎C模块(MP) | ||
H3C SecPath M9000系列 4端口40G以太网光接口模块(QSFP+) | 1-2 | 必配 |
H3C SecPath M9000系列 16端口万兆以太网光接口模块(SFP+) | ||
H3C SecPath M9000系列 2端口40G以太网光接口(QSFP+)+8端口万兆以太网光接口模块(SFP+) |
(3)电源模块选购一览表
模块 | 数量 | 备注 |
650W 交流电源模块 | 1-4 | 必选,同类型电源最少可选1个电源,最多可选4个,根据设备供电情况选择电源模块 |
650W 直流电源模块 |
(4)风扇模块选购一览表
模块 | 数量 | 备注 |
H3C 风扇模块(电源侧进风,端口侧出风) | 1-2 | 必选,配置2个同类型的 |
H3C 风扇模块(端口侧进风,电源侧出风) |
& 说明:
“必配”表示所描述项目是设备正常运行的最小配置。
“选配”表示所描述项目是用户根据实际使用需要可选择配置。