【正文】 H3C SecBlade 混合插卡組網(wǎng) 安全產(chǎn)品組 巫繼雨 日期： 2022/2/7 密級： 杭州華三通信技術(shù)有限公司 1 SecBladeIPS/ACG插卡硬件外觀和軟件適配 SecBlade插卡基本概念和工作方式 SecBlade FW+IPS/ACG插卡混插方案 SecBlade FW+IPS+ACG插卡混插方案 常見問題 2 硬件外觀 接口 1個 Console接口 1個 CF卡接口，支持容量為 256M、 512M、 1G的 CF卡 2個 USB接口（預(yù)留） 2個 10/100/1000BASET電接口 2個千兆 Combo（光電復(fù)合）接口 后插板 10GE接口 CF卡 Console 2GE電口 2GE Combo 2GB DDR2內(nèi)存 CF卡 Console 注：灰色標(biāo)記部分為 S5800插卡數(shù)據(jù) 3 H3C業(yè)務(wù)插卡配套關(guān)系 插卡 產(chǎn)品 FW IPS LB ACG SSL VPN NetStream AFC SR88 ● SR66 ● S95E ● ● ● ● ● S95 ● ● ● ● ● ● S75E ● ● ● ● ● ● ● S58 ● ● ● ● 4 插卡類型 插卡式的 H3C SecBladeII FW系列單板類型： LSRM1FW2A1 適用于 H3C S9500E 防火墻業(yè)務(wù)板 LSBM1FW2A1 適用于 H3C S9500 防火墻業(yè)務(wù)板 LSQM1FWBSC0 適用于 H3C S7500E 防火墻業(yè)務(wù)板模塊 LSWM1FW10 適用于 H3C S5800 系列防火墻模塊 RTSPEFWMH3 適用于 H3C SR6600 千兆防火墻業(yè)務(wù)板模塊 IMFW 適用于 H3C SR8800防火墻業(yè)務(wù)處理板 插卡式的 H3C SecBlade LB系列單板類型： LSQM1LBSC0 適用于 H3C S7500E千兆負(fù)載均衡業(yè)務(wù)模塊 LSRM1LB1A1 適用于 H3C S9500E負(fù)載均衡業(yè)務(wù)板 LSBM1LB1A1 適用于 H3C S9500負(fù)載均衡業(yè)務(wù)板 LSWM1LB10 適用于 H3C S5800負(fù)載均衡業(yè)務(wù)板 5 插卡類型 續(xù) 1 插卡式的 H3C SecBlade IPS系列單板類型： LSWM1IPS10 適用于 H3C S5800/S5820X系列交換機； LSQ1IPSSC0 適用于 H3C S7500E系列以太網(wǎng)交換機； LSB1IPS1A0 適用于 H3C S9500系列以太網(wǎng)交換機； LSR1IPS1A1 適用于 H3C S9500E系列以太網(wǎng)交換機。 插卡式的 H3C SecBlade ACG系列單板類型： LSQ1ACGASC0 適用于 H3C S7500E系列以太網(wǎng)交換機； LSB1ACG1A0 適用于 H3C S9500系列以太網(wǎng)交換機； LSR1ACG1A1 適用于 H3C S9500E系列以太網(wǎng)交換機。 6 插卡類型 續(xù) 2 插卡式的 H3C SecBlade SSL VPN系列單板類型： LSQM1SSLSC0 適用于 H3C S7500ESSL VPN業(yè)務(wù)模塊 LSBM1SSL1A1 適用于 H3C S9500 SSL VPN業(yè)務(wù)板模塊 RTSPESSLH3 適用于 H3C SR6600 SSL VPN模塊 插卡式的 H3C SecBlade NetStream系列單板類型： LSQM1NSMSC0 適用于 H3C S7500E NetStream業(yè)務(wù)板 LSRM1NSM1A1 適用于 H3C S9500E NetStream業(yè)務(wù)板 LSWM1NSM10 適用于 H3C S5800系列 NetStream業(yè)務(wù)板 7 使用版本 產(chǎn)品配套項目 版本號（對外） 說明 主控板軟件 SecBladeIPSIMW110E2107 內(nèi)部版本 9011V200R001B01D105 升級后 BOOTWARE V108 CPLD 200 75E配套版本 S7500ECMW520F6307L03 95配套版本 S9500CMW310R1646EI 95E配套版本 S9500ECMW520B1136 SecCenter版本 SecCenter IPSM iMC iMC PLAT + P04 SecBlade插卡可以在部門 FTP相應(yīng)目錄 : /New_Internal_Versions(新內(nèi)部版本歸檔 )/02IP安全產(chǎn)品 /xxxx獲取的最新版本開局版本，每個插卡版本都會附帶版本配套表，里面會列出和母體配套的版本，請在實施時獲取。 8 SecBladeIPS/ACG插卡硬件外觀和軟件適配 SecBlade插卡基本概念和工作方式 SecBlade FW+IPS/ACG插卡混插方案 SecBlade FW+IPS+ACG插卡混插方案 常見問題 9 01 SecBladeII FW插卡 SecBladeII防火墻插卡是我司防火墻的旗艦級產(chǎn)品，其硬件上采用了多核技術(shù)，處理核心是目前處理能力最強大的嵌入式處理器之一 ——RMI的力作 XLR 732。高端防火墻的軟件，采用了我司最新的COMWARE V5平臺 (V5R2)，配合精心構(gòu)架的底層驅(qū)動，能夠充分地發(fā)揮多核的優(yōu)勢。 New 10 防火墻部署 — 透明模式 FTP Server FW Swtich板 Swtich板 1 4 6 7 10 12 FTP client 3 5 8 2 11 10GE 10GE access Vlan 100 Vlan 100 Vlan 101 VIF101 交換 處理 Access Vlan 200 入方向： 16:二層轉(zhuǎn)發(fā) 67:二層轉(zhuǎn)發(fā) 78:二層轉(zhuǎn)發(fā) 89:三層轉(zhuǎn)發(fā) 912:二層轉(zhuǎn)發(fā) 出方向： 129:二層轉(zhuǎn)發(fā) 98:三層轉(zhuǎn)發(fā) 87:二層轉(zhuǎn)發(fā) 76:二層轉(zhuǎn)發(fā) 61:二層轉(zhuǎn)發(fā) Vlan 1000 VIF 200 Vlan 200 9 Vlan 100 222方式 背板 11 防火墻部署 — 三層轉(zhuǎn)發(fā) FTP Server FW Swtich板 Swtich板 1 4 6 7 10 12 FTP client 3 5 8 2 11 10GE 10GE access Vlan 100 Vlan 100 Vlan 200 交換 處理 Access Vlan 200 入方向： 16:二層轉(zhuǎn)發(fā) 67:三層轉(zhuǎn)發(fā) 712:二層轉(zhuǎn)發(fā) 出方向： 127:二層轉(zhuǎn)發(fā) 76:三層轉(zhuǎn)發(fā) 61:二層轉(zhuǎn)發(fā) VIF 200 Vlan 200 9 VIF100 Vlan 100 232方式 背板 12 防火墻部署 — 三層轉(zhuǎn)發(fā) 2 FTP Server FW Swtich板 Swtich板 1 4 6 7 10 12 FTP client 3 5 8 2 11 10GE 10GE access Vlan 100 Vlan 100 Vlan 101 VIF101 交換 處理 Access Vlan 200 入方向： 16:二層轉(zhuǎn)發(fā) 67:三層轉(zhuǎn)發(fā) 78:二層轉(zhuǎn)發(fā) 89:三層轉(zhuǎn)發(fā) 912:二層轉(zhuǎn)發(fā) 出方向： 129:二層轉(zhuǎn)發(fā) 98:三層轉(zhuǎn)發(fā) 87:二層轉(zhuǎn)發(fā) 76:三層轉(zhuǎn)發(fā) 61：二層轉(zhuǎn)發(fā) Vlan 1000 VIF 200 Vlan 200 9 VIF101 VIF100 Vlan 100 也是 232方式 這是什么方式？ 背板 13 有沒有這種方式 FTP Server FW Swtich板 Swtich板 1 4 6 7 10 12 FTP client 3 5 8 2 11 10GE 10GE access Vlan 100 Vlan 100 Vlan 101 VIF101 交換 處理 Access Vlan 200 Vlan 1000 VIF 200 Vlan 200 9 VIF101 VIF100 Vlan 100 VIF100 答案：這個一般真沒有！ 14 02 SecBlade IPS插卡 包頭 內(nèi)部網(wǎng)絡(luò) IPS 防火墻 協(xié)議 數(shù)據(jù)內(nèi)容 Inter ? IPS（ Intrusion Prevention System，入侵防御系統(tǒng)），是一種基于應(yīng)用層、主動防御的產(chǎn)品，它以在線方式部署于網(wǎng)絡(luò)關(guān)鍵路徑，通過對數(shù)據(jù)報文的深度檢測，實時發(fā)現(xiàn)威脅并主動進(jìn)行處理。目前已成為應(yīng)用層安全防護的主流設(shè)備。 15 03 SecBlade ACG插卡 H3C SecPath ACG（ Application Control Gateway）是業(yè)界識別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對網(wǎng)絡(luò)中的 P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識別和控制；同時，根據(jù)對網(wǎng)絡(luò)流量、用戶行為進(jìn)行深入分析，可以幫助用戶全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，為開展各項業(yè)務(wù)提供數(shù)據(jù)支撐。 H3C ACG系列包括 SecPath ACG 2022M、 SecPath ACG8800S3和應(yīng)用于 H3C S75E/S95/S95E系列交換機的 SecBlade ACG模塊。 16 對用戶上網(wǎng)行為進(jìn)行深入分析，識別出相關(guān)應(yīng)用 采取阻斷、限流、干擾、過濾、警告等控制手段 通過采集相關(guān)訪問信息，實現(xiàn)事后行為審計 行為識別 行為控制 行為審計 ACG實現(xiàn)目標(biāo) 17 部署概念 (1) ? 安全區(qū)域和段 ? 安全區(qū)域是一個物理 /網(wǎng)絡(luò)上的概念（ 特定的物理端口 + VLAN ID） ? 段可以看作是 連接兩個安全區(qū)域 的一個透明網(wǎng)橋 ? 策略被應(yīng)用在特定的段上 。 段 + 策略 + 網(wǎng)絡(luò)配置 (IP地址、方向 ) 18 部署概念 (2) ? 特征、規(guī)則和策略 ? 特征定義了一組檢測因子來決定如何對當(dāng)前網(wǎng)絡(luò)中的流量進(jìn)行檢測 ? 規(guī)則的范疇比特征要廣。規(guī)則 = 特征 + 啟用狀態(tài) + 動作集 ? 策略是一個包含了多條規(guī)則的集合 ? 動作和動作集 19 ? 安全區(qū)域、段和策略的關(guān)系 WAN DMZ WWW INTERNAL Segment Zone A Policy Policy Policy PORT PORT Zone B 部署概念 (3) 20 SecBlade IPS/ACG插卡工作方式 SecBlade插卡與交換機背板相連，有兩種工作方式： Ether、 Hig方式。 SecBladeII FW、 SSL VPN、 LB都工作在Ether方式下，而 IPS和 ACG插卡則工作在 Hig方式下 , Ether方式下的插卡 ，可以通過 二、三層轉(zhuǎn)發(fā)接收報文。 Hig