• 文章搜索:
  • IP技术专栏

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    H3C SecPath M9000多业务安全网关软件系统简介

    文/沈博文

    上一期大家了解到了H3C安全旗舰产品——H3C SecPath M9000多业务安全网关的硬件架构,这一期接着为大家介绍H3C SecPath M9000的软件系统。H3C SecPath M9000的软件系统分为两部分:一部分为主控系统包,这部分软件涵盖了主控引擎、IO引擎的驱动及上层功能;另一部分为业务引擎系统包,这部分软件涵盖了业务引擎的驱动及上层功能。二者具备兼容性配套关系,可以单独进行软件升级。

    H3C SecPath M9000软件版本及特性构成

    H3C SecPath M9000结合当下云网融合的安全需求着重开发了以下特性:

    u SCF(安全集群框架):最多支持4框集群,集群后的多台设备在管理上对外呈现统一的管理地址、统一的配置文件;在组网上对上下行设备体现单一的互联节点;在业务上实现集群后业务在多引擎的分布式处理;相比传统的双机热备组网,简化了管理、避免了配置同步带来的配置不一致问题,同时节省了互联IP地址,同时集群后的系统具备更高的可靠性:状态信息的同步复用集群互联联通,走内部可靠性传输通道;统一的管理平面,使得主控切换,业务无感知无中断;多框业务引擎互为备份保证业务引擎故障后,该业务引擎的流量可以切换到其他业务引擎。

    u N:N热备份技术:传统单框多业务板卡的情况下,当一块业务板卡故障后,虽然该业务板卡的后续业务流量可以由其他业务板卡承接,但是当前业务流量会中断,无法做到业务零中断;而在HA组网中,传统的双机热备技术,在两台设备之间进行业务引擎的一一备份,任何一块业务引擎故障,都会进行整机切换,存在资源利用率低、切换次优的问题;N:N热备份技术通过在多业务引擎之间(多个业务引擎可以在一个框也可以在多个框)进行会话的分布式备份,可以实现业务引擎故障业务零中断。

    SOP(安全虚拟化技术):基于容器的虚拟化方案,通过唯一的OS内核对系统硬件资源进行管理,每个虚拟防火墙作为一个容器实例运行在同一个内核之上,容器之间运行空间独立,具备独立的控制平面、管理平面和数据平面,所以相比传统的基于VPN实例进行部分业务改造的虚拟防火墙技术,H3C的虚拟防火墙的功能与实体墙功能一致,是真正的虚拟化。在虚墙资源分配方面,除具备传统的接口、VLAN等逻辑资源外,基于统一的OS内核,可以细粒度的控制分配给每一个虚拟防火墙的CPU、内存、存储等硬件资源,值得一提的是分配虚墙的CPU资源是可保证的,不会被其他的虚墙抢占。对用户而言相当于具备了一台独立的物理墙。同时根据各虚墙业务需求能力的变化,root管理员还可以动态对分配给虚墙的资源进行在线调整。同时H3C特有的接口虚拟化技术为VPC应用场景量身定制,相比业界采用IPSec VRF aware技术更符合云服务提供商的业务开展模型。

    全面的IPV6技术支持:H3C新一代ComwareV7操作系统适应网络发展趋势,开发伊始,所有特性都是IPV4、IPV6同步考虑,所以SecPath M9000支持的所有IPV4特性同步支持IPV6,包括IPV6网络协议、路由协议、转发、IPV6安全控制、攻击防范、VPN、IPV6过渡技术等。

    除了以上四点特性,H3C SecPath M9000同时全面支持攻击防范、抗DDoS、访问控制、安全域划分、黑名单、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN、MPLS VPN等,满足多种高性能VPN接入的需求;支持业界最丰富的NAT特性,满足运营商的NAT需求;提供丰富的路由能力,支持静态路由、RIP/OSPF/BGP/ISIS路由策略及策略路由。这些丰富的特性结合SCF和SOP技术可以进一步提升性能和可扩展性,更好地满足新业务下的安全需求。

    【发布时间:2014-06-30】