H3C安全产品及解决方案片区培训

2016年安全产品及解决方案培训10亿工程，100%增长“3+3战略”3个重点产品3个新增市场我们要干什么我们怎么干：泛云安全解决方案引领业界趋势3虚拟化DC整合云安全VCFC增强云安全DCNetwork（vxlanoverlay）安全资源池CoreWAN/InternetRouterLBVMVMVMVMVMVMVCFCopenstackrestAPINetConf或XMLBasedDBServerNGFW云平台vLBvFWvOAvWAFvDBAVTEPVTEPOpenFlowWeb安全监控网页防篡改人工部署自动化交付NGFWDDOS云平台基础安全SSLVPN堡垒机CLOUDOS融合扩展云安全VPC云网络控制器与安全业务编排控制器合一；服务链的安全业务单元支持NFV/NGFW两种形态控制器支持Neutron定义标准VPN、NAT、FW、LB安全业务；控制器扩展Api支持IPS、AV功能；H3C云平台自动化实现NGFW、LB、VPN、NAT云安全业务；云平台扩展支持vWAF、vOA、vDBA；云平台工单半自动化支持网页防篡改、WEB安全监控我们怎么干：安全服务产品——正面PK传统安全厂商4基础安全服务咨询服务漏洞检测基线核查渗透测试安全应急安全培训在线检测安全巡检架构评估风险评估ISO27001等级保护重点重点重点我们怎么干：补齐产品最后一块短板——WEBUI体验3个重点产品M9000及NGFWM9000NGFW盒式NGFW插卡LBACGM9000大杀器：SecbladeIV双FPGA逻辑引擎500G硬盘用于支持日志审计MIPS8核64位CPU64G内存支持+M9000又一竞争利器：泰尔实验室M9000测试报告1、配置多业务功能后，转发性能从小包到大包详尽测试数据2、实测III代FW卡SSL并发用户数达到360153、实测IV代FW卡大包吞吐量接近320G极值，64bytes小包吞吐80G，并发会话8000万4、可靠性测试，随意拔插各槽位的板卡，业务不中断5、4框集群、异构集群，SCF、SOP虚拟化测试华三安全移动集采再续辉煌9移动防火墙集采，4个标段全线中标移动NAT集采，中标最大份额独家同时入围移动NAT和移动防火墙集采高端款型M9000案例分享：延安大学校园网出口改造方案需求1：延安大学现有校园网随着用户数的不断加，老SR66的出口NAT性能已达到瓶颈，后续存在隐患。需求2：ACG流控板卡部署在2台核心交换机上，性能只有2G，基本已跑满。需求3：SSLVPN为第三方独立设备，使用多年，目前无论性能还是功能都存在问题。需求4：无链路负载均衡设备，导致不同出口流量无法有效分流。需求5：无入侵防御系统，无法对从入口的应用层威胁进行有效的防范。M9000案例分享：延安大学网络改造后拓扑改造后M9K功能：1.满足未来5年的高性能NAT转换；2.实现基于应用的流量控制；3.实现SSLVPN；4.实现基于ISP的LLB功能；5.实现DNS智能选路；6.实现IPS深度防护；3个重点产品M9000及NGFWM9000NGFW盒式NGFW插卡LBACG看两个例子—国外厂商安全产品的替代13F10X0&F50X0强大的多业务功能SSLVPNLicenseIPS防攻击LicenseACG应用LicenseAV防毒LicenseLB负载均衡LicenseSCF双机热备SOP虚拟防火墙版本状态：多项目开局功能状态：iNODE方式智能终端对接SCF、SOP可用版本状态：多项目开局功能状态：IPS覆盖V5域间策略引用SCF集群可用SOP虚拟化可用版本状态：多项目开局功能状态：应用流控应用访问控制报备开局SCF集群可用SOP虚拟化可用版本状态：多项目开局功能状态：AV覆盖V5域间策略应用SCF集群可用SOP虚拟化可用版本状态：LLB已开局功能状态：LLB免费支持SLB收费SCF集群可用SOP虚拟化可用版本状态：多项目已开局功能状态：冗余组方式主备方式二三层支持双主链路聚合正在优化性能6月各License双配版本状态：已开局功能状态：虚墙支持VRF6月开局数量研发评估上线支持HA备份占用SSM点数NGFW又添新杀器——低端新作NGFW新低端型号F1005、F1010性能覆盖：覆盖1G吞吐以下空间，替代U200-S/U200-M硬件能力：8GE+2Combo+2GEBypass+1硬盘（500G）+单电源场景覆盖：广域网分支，小型网络出口友商同档次：华为USG5510-SJJ深信服AF1320及以下天融信TG-41204/414068GE电口3GE/4GE/6GE，1路Bypass6GE无硬盘320G/32G无硬盘1G档次，秒杀其他厂商！NGFW案例分享：公安部内网数据中心双机16F50X0-1F50X0-2S10500-1IRFS10500-2Reth1SCF集群的给客户价值：1、从管理角度——解决了传统双机热备（HA）技术的多节点管理问题，两台设备集群后，仅一个网元节点，客户管理更便捷；2、从应用角度——突破传统HA了双活和主备概念，集群后的两台设备统一控制，接口扩展，性能翻倍，满足客户高性能需求；3、从维护角度——因为集群后双机统一控制，双机故障切换更迅捷。客户需求：替代天融信防火墙：解决其性能不足、切换慢问题，并优化双机组网3个重点产品M9000及NGFWM9000NGFW盒式NGFW插卡LBACGNGFW插卡必杀技18单槽位100G能力•华为安全插卡为10G/20G/40G档次分布，并且官网产品手册有说明•我司可通过官网及产品彩页说明单槽位100G实力，可屏蔽华为低端交换机安全插卡•适用于S5130HI/S5560EI/S5560HI/S5800EI•华为低端交换机无安全插卡，我司可通过该差异化屏蔽华为参与低端交换机•或通过低端交换机与其他设备统一品牌，来屏蔽华为参与整网建设100G性能要求•华为安全插卡为10G/20G/40G档次分布，并且官网产品手册有说明•通过引导100G性能要求，华为需要配置3块40G安全插卡才可满足要求，抬高其商务路由器安全插卡•适用于SR8800-X/SR8800-X-S•华为路由器无安全插卡，我司可通过该差异化屏蔽华为参与路由器•或通过路由器与其他设备统一品牌，来屏蔽华为参与全网25G性能要求•华为安全插卡为10G/20G/40G档次分布，并且官网产品手册有说明•我司结合泰尔实验室测试报告要求设备性能为25G，可抬高华为至40G档次，价格为我司1.4倍应用交付/流量分析插卡•适用于S7500E/S10500/S12500-X/SR8800-X/SR8800-X-S•华为只有下一代防火墙插卡和入侵防御插卡•我司可引导这两块差异化插卡来屏蔽华为•或通过与其他设备统一品牌，来屏蔽华为参与整网建设重点：在性能及关键指标引导提供“泰尔实验室测试报告”！19重点产品证书最新进展产品系列产品型号国内资质销售许可证检测报告ISCCC软件著作权EAL全产品适用M9000全系列√√√√√防火墙（V7）F50X0√√√√√F10X0√√√√√SecBlade插卡全系列√√√√√3个重点产品M9000及NGFWM9000NGFW盒式NGFW插卡LBACG最佳实践——农行负载均衡入围选型，H3C占据头名•前期交流测试经历细致产品交流前往华三研发测试，用户满意•入围选型工作用户请我司写入围参数，迫于压力保留F5，意图屏蔽其他友商国内厂商最认可H3C，仅H3C、深信服两家进入终极测试高端典配H3C独家满足，深信服只能参与低端22北京国税网上报税系统项目情况：为满足北京国税网上服务平台的发展需要，实现数十万纳税人的网上报税，通过部署十多台H3C应用交付设备实现网上服务平台的性能提升。项目亮点：在WEB服务器区通过实现高性能应用交付，大大减轻服务器处理负荷，提升了网上报税的处理速度。在一台交换机上通过部署LB/FW/IPS和SSL卸载模块，改变原来的串行结构，简化网络结构层次，减少故障节点，提高了报税系统的可靠性和可管理性。3个重点产品M9000及NGFWM9000NGFW盒式NGFW插卡LBACG杭州华三通信工作效率低现象：￭上班时间网络聊天、炒股、网游、看新闻、看小说等行为泛滥，办公室沦为免费的网吧；￭员工成为低头一族，刷微博、聊微信、逛论坛分析：￭用户上网权限缺乏管理；￭互联网/移动应用泛滥、复杂、更新快等加大管理的困难性；带宽被滥用现象：￭互联网总流量中P2P流量超过60%，夜间甚至达到90%；语音视频系统断断续续；访问主页、ERP等出现“该页无法显示”；￭员工抱怨网速慢；IT部门屡遭投诉，部门绩效受到影响；分析：￭P2P下载、流媒体等滥用带宽；带宽缺乏划分与分配措施；￭单纯扩容带宽，治标不治本；￭昂贵的带宽费用被浪费！网络违法现象：￭SexTracker报告显示：色情网站70％的访问量集中在上班时间；￭天涯、百度贴吧等已经成为网络造谣、人身攻击的重灾区；￭流行的自由门、无界浏览器等代理/翻墙软件，绕过公司管理；分析：￭上网授权缺失，用户肆意上网；￭Web2.0使每人都成信息发布者；￭缺乏日志记录，无法举证追踪；信息泄露现象：￭我国每年因网络泄密导致的经济损失高达上百亿；￭高层领导的邮件信息、公司研发代码等泄漏；￭公司经营决策、内幕消息等甚至被竞争对手提前知晓：分析：￭上网授权缺失，用户肆意上网，为通过网络泄密提供了通道；￭主动外发信息泄密，或被黑客远程控制而被动泄密并存；￭泄密后无据可查，漏洞难弥补，责任难追究，难以形成威慑；私接WIFI现象：￭员工为了一己之便，私接无线Wi-Fi设备，将内网共享出来，让自己的手机、平板电脑也能够上网分析：￭内网被公开，不法分子可趁机入侵，盗取资料、破坏网络；￭360、小米、小度等随身Wi-Fi工具价格便宜，使用简单，迅速普及；BYOD难管理现象：￭各种终端接入到网络中，PC、手机、平板等；￭无线网络覆盖整个企业，用户接入场景不再仅仅是有线办公区，还有会议室、接待区；分析：￭移动终端日渐普及，属个人设备，其安全性难以保障，；￭不同场景有不同的业务特性，一刀切的管理方式不能满足多样化的业务需求；目前互联网管理存在的几个问题为什么需要ACG？ACG的三类应用场景26VPN互联应用审计统一管理应用控制应用审计智能DNS专有应用审计专有应用控制机会点公安内网金融内网国税内网电力内网等所有互联网出口机会点金融网点普教城域网连锁酒店商贸连锁石油石化加油站火车站wifi无线城市ACG机会点举例：无线非经无线非经是无线非经营场所资质，不是82号令，此资质是：•公共场景的WiFi，将实现规范的准入制度管理，包括非经营性的诸如餐饮、酒店、商超等场景•公共场所无线上网安全管理系统无线上网接入要求规范2015年（试行）•国家已经开始逐步推广无线安全领域，某些新建无线和存量无线都要求•公安部统一标准，但各省市平台自建，后端以地市为单位，前端与后端对接，后端与省平台对接——定制化无线非经各个组件功能定义无线AP接入上网行为管理公安网监大数据采集数据库负责上网行为审计行为控制——ACG1000对接管理软件AC负责终端用户接入负责审计数据整理上报——ACGManager省公安网监市公安网监（软件商代建）无线后端无线前端无线非经29杭州华三通信技术有限公司