Copyright © 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
数据中心、云计算、运营商CGN等高端应用刺激了网络设备性能的又一次提升,同时也对安全产品的高端产品有了新的定义。从业界发展的趋势来看,高端防火墙产品越来越向着更高性能、更高密度(高集成度)、更高扩展性、更高可靠性的方向发展。更高性能除了传统的防火墙吞吐量指标外,随着Web2.0业务和移动智能终端的兴起,新建连接数和系统并发连接数这两项指标已经越来越受到安全厂家以及用户的关注。更高密度主要体现在单位空间下对外提供的处理性能,以及端口密度。更高的扩展性主要为了适应网络建设的需要,因为没有业务的开展是一步到位的,针对安全业务,能够根据用户的业务的现状定制性能、伴随用户的业务发展平滑升级(性能和端口)对高端产品来说更为重要。高可靠性主要解决的是传统防火墙靠双机热备带来的部署复杂问题,双机热备的方式只能解决两台设备之间互为备份的问题,但本质上,两台设备之间仍然相互独立,在新一代网络方案中,部署、管理和扩展方面的问题日益凸显。新一代安全产品应能够克服这方面的问题,实现多台设备的有机融合(业务层的IRF)。同时在公有云或虚拟私有云VPC应用中,云服务提供商将安全防护能力作为增值服务(免费或收费)提供给租户,要求防火墙具备完善的虚拟化防护能力。
为满足上述需求H3C推出了新一代高端全分布式多业务安全网关,重点适用于大型数据中心安全隔离防护、运营商CGN NAT及云计算多租户安全防护场景。M9000硬件上基于全分布式架构,包括了三种不同系统容量、业务槽位的产品型号,整机硬件均采用高可靠设计,支持电源、风扇等关键部件的冗余设计,并同时支持交流或直流机型。作为H3C新一代多业务安全网关,除具备防火墙功能外,同时可以兼容负载均衡、IPS等其他安全业务板卡,提供超高性能的同时,扩展安全防护维度。M9000系列产品包括M9006,M9010,M9014,三款产品均支持双主控,业务槽位分别为4、8、12,业务槽位可以插接口板或者安全业务插卡。根据端口和性能需要合理配置接口和业务板。所有业务板和接口板在三款主机都是通用的。
软件上基于新一代ComwareV7操作系统,除具备防火墙、VPN、防攻击、NAT等基本防火墙功能外,基于 Comwarev7基于容器的虚拟化技术实现了业界最完整的虚拟防火墙以适应云计算业务防护需求,在国家战略号召下,运营商网络正在逐步向IPV6过渡,政府、高校同样也在积极开展IPV6业务,在IPV6路由互通基本成熟后,IPV6安全问题日益突出。ComwareV7安全特性从开发伊始就是IPV4和IPV6同步支持。
H3C SecPath M9000多业务安全网关,为H3C“应需而安”安全理念的集中体现,具备架构和技术优势:支持多类型业务引擎,基于新的Comware V7操作系统实现了多类型业务引
擎的统一管理和智能引流;支持多业务引擎全业务分布式处理,各业务单板具备独立管理CPU实
现的布式管理、分布式监控,避免了单板增加引入的主控性能限制,这种管理、业务、监控的全分
布式架构突破了传统的集中式、半分布式设备的性能瓶颈,使得安全业务处理性能随着业务引擎数
目增加弹性扩展;同时结合SCF技术可以进一步提升性能;主控、接口、业务、交换相分离的硬件
架构使得系统具有更高的可靠性;配合高密接口用户在业务性能和接口密度拥有更灵活的选择性;
独立的交换引擎提供更大的交换容量和槽位带宽,在不更改机框的情况下,无缝兼容下一代更高性
能安全板卡,满足用户持续的的业务发展需求,保护用户投资。基于这些技术优势,H3C SecPath
M9000可以更好地满足新业务下安全需求。
· N:1虚拟化
安全设备实现IRF后,在可维护性、高可靠性和切换时间方面有了质的提升,可以做到各种情况下的毫秒级切换
· 1:N虚拟化
基于容器的虚拟化通过统一的OS内核对系统硬件资源进行管理。虚拟防火墙有自己独立的运行空间,容器内,运行的虚拟防火墙业务系统包括管理平面、控制平面、数据平面、具备完整的业务功能。容器之间的运行空间完全隔离。虚拟化后的系统和非虚拟化系统的功能完全一致。同时通过统一的OS内核可以对系统的静态及动态的资源进行细粒度的划分。H3C虚拟化是一种更加完整的虚拟化方案,能够更好地满足云时代的业务需求。
· 1:N:N虚拟化
在一个虚拟防火墙内部可以继续创建VPN多实例,满足租户内部的更精细化的路由隔离需求,从而实现进一步的虚拟化。
· N:M虚拟化
业务在发展,如何突破单个安全处理单元的虚拟化数量及虚拟化处理能力?全分布式架构下,业务能力随着业务板卡的数量增加线性上升。通过增加业务板卡可以在不增加单虚拟防火墙处理能力的基础上增加虚拟防火墙的数量,同时也可以把处理相同业务的多块业务板卡进行聚合后在进行虚拟防火墙的划分,此时在虚拟防火墙数量不变的基础上,增加了单虚拟防火墙的处理能力。
· 支持安全区域管理,可基于接口、VLAN划分安全域。
· 丰富的攻击防范技术,针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法,地址欺骗攻击如IP spoofing,扫描攻击如IP、地址攻击、端口攻击,异常流量攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。
· 源地址NAT。支持对不同的源选择不同的地址池;支持NAT端口复用特性从而有效节省公网地址;支持PAT/NO-PAT,支持采用接口地址作为转换后的公网地址;针对P2P应用支持Full-cone特性。
· 目的地址NAT。支持将公网地址+端口转换为私网地址+端口;支持忽略端口的目的地址转换;支持基于策略的目的NAT,从对符合一定策略的报文进行目的地址转换;支持将多个公网地址映射为同一个私网地址;
· 静态NAT。支持静态1对1NAT;支持静态net-to-net NAT。
· NAT hairpin技术解决同一NAT之后的P2P终端通信的同时,减少对出口带宽浪费。
· 支持多种协议状态检测如FTP、DNS、TFTP、SQLNET、SIP、H.323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN等。
· 支持静态、动态NAT444技术,支持基于策略的多出口NAT特性
· 支持高性能的NAT日志发送
· CPU内置高性能加密引擎,确保计算复杂的加解密操作不会对CPU处理其他防火墙业务造成影响,同时保证了VPN的处理性能。
· 全分布式的VPN处理,保证多VPN隧道能够由不同的业务处理单元负载均衡处理,在保证会话一致性的基础上保证性能。
· 支持GRE VPN、L2TP VPN, IPSec VPN、DVPN及多种VPN技术的组合应用。
· 支持IPV6 IPSec VPN功能
· 支持IPV6静态路由、策略路由、OSPFV3、BGP4+、RIPng等动态路由。
· 支持IPV6状态防火墙。
· 支持IPV6协议状态检测包括DNS64、FTP、ICMPV6、SIP、RTSP、MGCP等
· 支持IPV6地址对象及IPV6域间策略
· 支持IPV6攻击防范,包括IPV6 DOS/DDOS攻击、扫描攻击等
· 支持IPV6 IPSec VPN
· 支持DS-LITE、NAT64、IVI及IPV6隧道等各种过渡技术。
· 支持IPV6管理、日志及审计
· 支持IPV6虚拟防火墙
· 控制引擎、电源、风扇全冗余设计,交换网板3+1冗余备份。
· 支持多业务板卡负载均衡处理,多业务单板对外体现为一个业务处理组,组内负载均衡处理流量,某一单板故障,系统自动把流量迁移到其他单板。
· 支持多业务引擎之间的N:N会话备份技术。
· 支持防火墙、NAT、攻击、VPN业务的热备。
· 故障隔离:软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计,保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复,不影响硬件的运行
· 进程级GR:通过完善的进程级GR技术,保证异常进程可恢复,并且不影响系统业务
· 系统级高可用:仍然保留了主备板的倒换功能,同时通过控制平面分布式功能,减少了单板的主备倒换对整个系统的影响
· ISSU:Comware V7支持包括主控板、接口板在内的全面的ISSU功能。针对分布式多主控、分布式单主控、集中式、IRF等各种场景均支持ISSU。最新的增量升级及软重启技术,确保各种升级时的业务不中断。
· 支持通过Web-GUI、CLI、SSH等多种手段管理设备。
· 基于角色的功能授权机制,可以实现到功能、命令行、菜单级的权限控制。
· 统一的管理平台,可以实现设备的配置管理、全面的性能监控、日志审计。同时对外提供完整虚拟化配置、策略迁移接口。配合IMC终端防护实现全网攻击联动。
· 强大的VPN管理平台实现VPN业务的快速部署、VPN性能全面监控。
· 丰富的MIB节点便于外部设备进行性能监控。
· 开放接口:传统的网络操作系统为封闭的系统,有专用的系统概念和处理流程,缺乏开放性。而Comware V7使用通用的Linux操作系统,回归了主流的软件实现方式。提供开放的标准编程接口,可供用户利用Comware V7提供的基础功能,实现自己的专用功能。
· TCL脚本:Comware V7内嵌了TCL功能,用户可以利用TCL脚本语言直接编写脚本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公开的编程接口等实现所需功能。
· EAA:可以在系统发生变化时进行所需动作。在提高系统可维护性的同时,满足用户一些个性化需求。
开放架构:Comware V7模块化的结构确保可以运行各种应用程序。利用Comware V7开放的编程接口,用户可以编写第三方程序,在Comware V7系统上运行。更进一步的提高了系统的开放性。
图1 M9006 实物图
图2 M9010实物图
图3 M9014实物图
表1 H3C SecPath M9006防火墙属性
项目 | M9014 | M9010 | M9006 |
主控槽位 | 2个 | 2个 | 2个 |
交换网板槽位 | 4个 | 4个 | 4个 |
业务槽位 | 12个 | 8个 | 4个 |
外型尺寸 (W ×H ×D) | 440mm×797mm×660mm | 440mm×886mm×660mm | 440mm×353mm×660mm |
机箱净重 | <165kg | <145kg | <85kg |
具体参考安装手册。
表2 工作环境
项目 | 说明 |
H3C SecPath M9000 | |
工作环境温度 | 0℃~45℃ |
工作环境湿度 | 工作:10~95%,无冷凝 非工作:5~95%,无冷凝 |
- UL 60950-1:2003
- CAN/CSA C22.2 No 60950-1-03
- IEC 60950-1:2001
- EN 60950-1/A11:2004
- AS/NZS 60950
- EN 60825-1
- EN 60825-2
- FDA 21 CFR Subchapter J
-EN 55022:2006+ A1:2007 ;Class A
- EN 55024:1998+ A1:2000 + A2:2003
- ETSI EN 300 386V1.5.1:2010
- EN 61000-3-2:2009
- EN 61000-3-3:2008
- FCC Part15:2009 ;Class A
- ICES-003:2004 ;Class A
- VCCI V-3:2010 ;Class A