【正文】 H3C SecBlade 混合插卡組網(wǎng) 安全產(chǎn)品組 巫繼雨 日期： 2022/2/7 密級(jí)： 杭州華三通信技術(shù)有限公司 1 SecBladeIPS/ACG插卡硬件外觀(guān)和軟件適配 SecBlade插卡基本概念和工作方式 SecBlade FW+IPS/ACG插卡混插方案 SecBlade FW+IPS+ACG插卡混插方案 常見(jiàn)問(wèn)題 2 硬件外觀(guān) 接口 1個(gè) Console接口 1個(gè) CF卡接口，支持容量為 256M、 512M、 1G的 CF卡 2個(gè) USB接口（預(yù)留） 2個(gè) 10/100/1000BASET電接口 2個(gè)千兆 Combo（光電復(fù)合）接口 后插板 10GE接口 CF卡 Console 2GE電口 2GE Combo 2GB DDR2內(nèi)存 CF卡 Console 注：灰色標(biāo)記部分為 S5800插卡數(shù)據(jù) 3 H3C業(yè)務(wù)插卡配套關(guān)系 插卡 產(chǎn)品 FW IPS LB ACG SSL VPN NetStream AFC SR88 ● SR66 ● S95E ● ● ● ● ● S95 ● ● ● ● ● ● S75E ● ● ● ● ● ● ● S58 ● ● ● ● 4 插卡類(lèi)型 插卡式的 H3C SecBladeII FW系列單板類(lèi)型： LSRM1FW2A1 適用于 H3C S9500E 防火墻業(yè)務(wù)板 LSBM1FW2A1 適用于 H3C S9500 防火墻業(yè)務(wù)板 LSQM1FWBSC0 適用于 H3C S7500E 防火墻業(yè)務(wù)板模塊 LSWM1FW10 適用于 H3C S5800 系列防火墻模塊 RTSPEFWMH3 適用于 H3C SR6600 千兆防火墻業(yè)務(wù)板模塊 IMFW 適用于 H3C SR8800防火墻業(yè)務(wù)處理板 插卡式的 H3C SecBlade LB系列單板類(lèi)型： LSQM1LBSC0 適用于 H3C S7500E千兆負(fù)載均衡業(yè)務(wù)模塊 LSRM1LB1A1 適用于 H3C S9500E負(fù)載均衡業(yè)務(wù)板 LSBM1LB1A1 適用于 H3C S9500負(fù)載均衡業(yè)務(wù)板 LSWM1LB10 適用于 H3C S5800負(fù)載均衡業(yè)務(wù)板 5 插卡類(lèi)型 續(xù) 1 插卡式的 H3C SecBlade IPS系列單板類(lèi)型： LSWM1IPS10 適用于 H3C S5800/S5820X系列交換機(jī)； LSQ1IPSSC0 適用于 H3C S7500E系列以太網(wǎng)交換機(jī)； LSB1IPS1A0 適用于 H3C S9500系列以太網(wǎng)交換機(jī)； LSR1IPS1A1 適用于 H3C S9500E系列以太網(wǎng)交換機(jī)。 插卡式的 H3C SecBlade ACG系列單板類(lèi)型： LSQ1ACGASC0 適用于 H3C S7500E系列以太網(wǎng)交換機(jī)； LSB1ACG1A0 適用于 H3C S9500系列以太網(wǎng)交換機(jī)； LSR1ACG1A1 適用于 H3C S9500E系列以太網(wǎng)交換機(jī)。 6 插卡類(lèi)型 續(xù) 2 插卡式的 H3C SecBlade SSL VPN系列單板類(lèi)型： LSQM1SSLSC0 適用于 H3C S7500ESSL VPN業(yè)務(wù)模塊 LSBM1SSL1A1 適用于 H3C S9500 SSL VPN業(yè)務(wù)板模塊 RTSPESSLH3 適用于 H3C SR6600 SSL VPN模塊 插卡式的 H3C SecBlade NetStream系列單板類(lèi)型： LSQM1NSMSC0 適用于 H3C S7500E NetStream業(yè)務(wù)板 LSRM1NSM1A1 適用于 H3C S9500E NetStream業(yè)務(wù)板 LSWM1NSM10 適用于 H3C S5800系列 NetStream業(yè)務(wù)板 7 使用版本 產(chǎn)品配套項(xiàng)目 版本號(hào)（對(duì)外） 說(shuō)明 主控板軟件 SecBladeIPSIMW110E2107 內(nèi)部版本 9011V200R001B01D105 升級(jí)后 BOOTWARE V108 CPLD 200 75E配套版本 S7500ECMW520F6307L03 95配套版本 S9500CMW310R1646EI 95E配套版本 S9500ECMW520B1136 SecCenter版本 SecCenter IPSM iMC iMC PLAT + P04 SecBlade插卡可以在部門(mén) FTP相應(yīng)目錄 : /New_Internal_Versions(新內(nèi)部版本歸檔 )/02IP安全產(chǎn)品 /xxxx獲取的最新版本開(kāi)局版本，每個(gè)插卡版本都會(huì)附帶版本配套表，里面會(huì)列出和母體配套的版本，請(qǐng)?jiān)趯?shí)施時(shí)獲取。 8 SecBladeIPS/ACG插卡硬件外觀(guān)和軟件適配 SecBlade插卡基本概念和工作方式 SecBlade FW+IPS/ACG插卡混插方案 SecBlade FW+IPS+ACG插卡混插方案 常見(jiàn)問(wèn)題 9 01 SecBladeII FW插卡 SecBladeII防火墻插卡是我司防火墻的旗艦級(jí)產(chǎn)品，其硬件上采用了多核技術(shù)，處理核心是目前處理能力最強(qiáng)大的嵌入式處理器之一 ——RMI的力作 XLR 732。高端防火墻的軟件，采用了我司最新的COMWARE V5平臺(tái) (V5R2)，配合精心構(gòu)架的底層驅(qū)動(dòng)，能夠充分地發(fā)揮多核的優(yōu)勢(shì)。 New 10 防火墻部署 — 透明模式 FTP Server FW Swtich板 Swtich板 1 4 6 7 10 12 FTP client 3 5 8 2 11 10GE 10GE access Vlan 100 Vlan 100 Vlan 101 VIF101 交換 處理 Access Vlan 200 入方向： 16:二層轉(zhuǎn)發(fā) 67:二層轉(zhuǎn)發(fā) 78:二層轉(zhuǎn)發(fā) 89:三層轉(zhuǎn)發(fā) 912:二層轉(zhuǎn)發(fā) 出方向： 129:二層轉(zhuǎn)發(fā) 98:三層轉(zhuǎn)發(fā) 87:二層轉(zhuǎn)發(fā) 76:二層轉(zhuǎn)發(fā) 61:二層轉(zhuǎn)發(fā) Vlan 1000 VIF 200 Vlan 200 9 Vlan 100 222方式 背板 11 防火墻部署 — 三層轉(zhuǎn)發(fā) FTP Server FW Swtich板 Swtich板 1 4 6 7 10 12 FTP client 3 5 8 2 11 10GE 10GE access Vlan 100 Vlan 100 Vlan 200 交換 處理 Access Vlan 200 入方向： 16:二層轉(zhuǎn)發(fā) 67:三層轉(zhuǎn)發(fā) 712:二層轉(zhuǎn)發(fā) 出方向： 127:二層轉(zhuǎn)發(fā) 76:三層轉(zhuǎn)發(fā) 61:二層轉(zhuǎn)發(fā) VIF 200 Vlan 200 9 VIF100 Vlan 100 232方式 背板 12 防火墻部署 — 三層轉(zhuǎn)發(fā) 2 FTP Server FW Swtich板 Swtich板 1 4 6 7 10 12 FTP client 3 5 8 2 11 10GE 10GE access Vlan 100 Vlan 100 Vlan 101 VIF101 交換 處理 Access Vlan 200 入方向： 16:二層轉(zhuǎn)發(fā) 67:三層轉(zhuǎn)發(fā) 78:二層轉(zhuǎn)發(fā) 89:三層轉(zhuǎn)發(fā) 912:二層轉(zhuǎn)發(fā) 出方向： 129:二層轉(zhuǎn)發(fā) 98:三層轉(zhuǎn)發(fā) 87:二層轉(zhuǎn)發(fā) 76:三層轉(zhuǎn)發(fā) 61：二層轉(zhuǎn)發(fā) Vlan 1000 VIF 200 Vlan 200 9 VIF101 VIF100 Vlan 100 也是 232方式 這是什么方式？ 背板 13 有沒(méi)有這種方式 FTP Server FW Swtich板 Swtich板 1 4 6 7 10 12 FTP client 3 5 8 2 11 10GE 10GE access Vlan 100 Vlan 100 Vlan 101 VIF101 交換 處理 Access Vlan 200 Vlan 1000 VIF 200 Vlan 200 9 VIF101 VIF100 Vlan 100 VIF100 答案：這個(gè)一般真沒(méi)有！ 14 02 SecBlade IPS插卡 包頭 內(nèi)部網(wǎng)絡(luò) IPS 防火墻 協(xié)議 數(shù)據(jù)內(nèi)容 Inter ? IPS（ Intrusion Prevention System，入侵防御系統(tǒng)），是一種基于應(yīng)用層、主動(dòng)防御的產(chǎn)品，它以在線(xiàn)方式部署于網(wǎng)絡(luò)關(guān)鍵路徑，通過(guò)對(duì)數(shù)據(jù)報(bào)文的深度檢測(cè)，實(shí)時(shí)發(fā)現(xiàn)威脅并主動(dòng)進(jìn)行處理。目前已成為應(yīng)用層安全防護(hù)的主流設(shè)備。 15 03 SecBlade ACG插卡 H3C SecPath ACG（ Application Control Gateway）是業(yè)界識(shí)別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對(duì)網(wǎng)絡(luò)中的 P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪(fǎng)問(wèn)等行為進(jìn)行精細(xì)化識(shí)別和控制；同時(shí)，根據(jù)對(duì)網(wǎng)絡(luò)流量、用戶(hù)行為進(jìn)行深入分析，可以幫助用戶(hù)全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢(shì)，為開(kāi)展各項(xiàng)業(yè)務(wù)提供數(shù)據(jù)支撐。 H3C ACG系列包括 SecPath ACG 2022M、 SecPath ACG8800S3和應(yīng)用于 H3C S75E/S95/S95E系列交換機(jī)的 SecBlade ACG模塊。 16 對(duì)用戶(hù)上網(wǎng)行為進(jìn)行深入分析，識(shí)別出相關(guān)應(yīng)用 采取阻斷、限流、干擾、過(guò)濾、警告等控制手段 通過(guò)采集相關(guān)訪(fǎng)問(wèn)信息，實(shí)現(xiàn)事后行為審計(jì) 行為識(shí)別 行為控制 行為審計(jì) ACG實(shí)現(xiàn)目標(biāo) 17 部署概念 (1) ? 安全區(qū)域和段 ? 安全區(qū)域是一個(gè)物理 /網(wǎng)絡(luò)上的概念（ 特定的物理端口 + VLAN ID） ? 段可以看作是 連接兩個(gè)安全區(qū)域 的一個(gè)透明網(wǎng)橋 ? 策略被應(yīng)用在特定的段上 。 段 + 策略 + 網(wǎng)絡(luò)配置 (IP地址、方向 ) 18 部署概念 (2) ? 特征、規(guī)則和策略 ? 特征定義了一組檢測(cè)因子來(lái)決定如何對(duì)當(dāng)前網(wǎng)絡(luò)中的流量進(jìn)行檢測(cè) ? 規(guī)則的范疇比特征要廣。規(guī)則 = 特征 + 啟用狀態(tài) + 動(dòng)作集 ? 策略是一個(gè)包含了多條規(guī)則的集合 ? 動(dòng)作和動(dòng)作集 19 ? 安全區(qū)域、段和策略的關(guān)系 WAN DMZ WWW INTERNAL Segment Zone A Policy Policy Policy PORT PORT Zone B 部署概念 (3) 20 SecBlade IPS/ACG插卡工作方式 SecBlade插卡與交換機(jī)背板相連，有兩種工作方式： Ether、 Hig方式。 SecBladeII FW、 SSL VPN、 LB都工作在Ether方式下，而 IPS和 ACG插卡則工作在 Hig方式下 , Ether方式下的插卡 ，可以通過(guò) 二、三層轉(zhuǎn)發(fā)接收?qǐng)?bào)文。 Hig