9 H3C SecBlade 混合插卡组网培训

H3CSecBlade混合插卡组网安全产品组巫继雨日期：2010-6-22密级：杭州华三通信技术有限公司1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常见问题硬件外观CF卡Console2GE电口2GBDDR2内存卡接口，支持容量为256M、512M、1G的CF卡2个USB接口（预留）2个10/100/1000BASE-T电接口2个千兆Combo（光电复合）接口后插板10GE接口2GE电口2GECombo注：灰色标记部分为S5800插卡数据H3C业务插卡配套关系插卡产品FWIPSLBACGSSLVPNNetStreamAFCSR88●SR66●●●●●●S95●●●●●●S75E●●●●●●●S58●●●●插卡类型插卡式的H3CSecBladeIIFW系列单板类型：LSRM1FW2A1适用于H3CS7500E防火墙业务板LSBM1FW2A1适用于H3CS9500防火墙业务板LSQM1FWBSC0适用于H3CS7500E防火墙业务板模块LSWM1FW10适用于H3CS5800系列防火墙模块RT-SPE-FWM-H3适用于H3CSR6600千兆防火墙业务板模块系列单板类型：LSWM1IPS10适用于H3CS5800/S5820X系列交换机；LSQ1IPSSC0适用于H3CS7500E系列以太网交换机；LSB1IPS1A0适用于H3CS9500系列以太网交换机；LSR1IPS1A1适用于H3CS7500E系列以太网交换机。系列单板类型：LSQ1ACGASC0适用于H3CS7500E系列以太网交换机；LSB1ACG1A0适用于H3CS9500系列以太网交换机；LSR1ACG1A1适用于H3CS7500E系列以太网交换机。使用版本产品配套项目版本号（对外）说明主控板软件SecBladeIPS-IMW110-E2107内部版本9011V200R001B01D105升级后BOOTWAREV108获取的最新版本开局版本，每个插卡版本都会附带版本配套表，里面会列出和母体配套的版本，请在实施时获取。、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常见问题01SecBladeIIFW插卡SecBladeII防火墙插卡是我司防火墙的旗舰级产品，其硬件上采用了多核技术，处理核心是目前处理能力最强大的嵌入式处理器之一——RMI的力作XLR732。高端防火墙的软件，采用了我司最新的COMWAREV5平台(V5R2)，配合精心构架的底层驱动，能够充分地发挥多核的优势。防火墙部署—透明模式FWSwtich板1467FTPclient358210GE10GEaccessVlan100Vlan100Vlan101VIF1011.1.1.1交换处理1.1.1.2VLAN1000Vlan100背板XGE0/0.100XGE0/0.101入方向：1-6:二层转发6-7:二层转发7-8:二层转发8-9:三层转发9-12:二层转发出方向：12-9:二层转发9-8:三层转发8-7:二层转发7-6:二层转发6-1:二层转发VIF2002.2.2.1Vlan20092-2-2方式防火墙部署—三层转发FWSwtich板1467FTPclient358210GE10GEaccessVlan100Vlan100Vlan200交换处理1.1.1.2VIF2002.2.2.1VIF1001.1.1.1Vlan100背板入方向：1-6:二层转发6-7:三层转发7-12:二层转发出方向：12-7:二层转发7-6:三层转发61:二层转发2.2.2.1Vlan20092-3-2方式防火墙部署—三层转发2FWSwtich板1467内网1358210GE10GEaccessVlan100Vlan100Vlan201VIF201172.16.1.2/30交换处理1.1.1.2VIF201172.16.1.1/30VIF1001.1.1.1Vlan100背板入方向：1-6:二层转发6-7:三层转发7-8:二层转发8-9:三层转发9-12:二层转发出方向：12-9:二层转发9-8:三层转发8-7:二层转发7-6:三层转发6-1：二层转发VIF2002.2.2.1Vlan2009172.16.1.1/30也是2-3-2方式这是什么方式？有没有这种方式FWSwtich板1467FTPclient358210GE10GEaccessVlan100Vlan100Vlan101VIF101172.16.1.2/30交换处理1.1.1.2Vlan1000VIF101172.16.1.1/30VIF100172.16.0.1/30Vlan100VIF100172.16.0.2/30VIF1001.1.1.1答案：这个一般真没有！02SecBladeIPS插卡包头协议数据内容IPS（IntrusionPreventionSystem，入侵防御系统），是一种基于应用层、主动防御的产品，它以在线方式部署于网络关键路径，通过对数据报文的深度检测，实时发现威胁并主动进行处理。目前已成为应用层安全防护的主流设备。DATA（ApplicationControlGateway）是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户行为进行深入分析，可以帮助用户全面了解网络应用模型和流量趋势，为开展各项业务提供数据支撑。H3CACG系列包括SecPathACG2000-M、SecPathACG8800-S3和应用于H3CS75E/S95/S7500E系列交换机的SecBladeACG模块。行为识别行为控制行为审计ACG实现目标对用户上网行为进行深入分析，识别出相关应用采取阻断、限流、干扰、过滤、警告等控制手段通过采集相关访问信息，实现事后行为审计部署概念(1)安全区域和段安全区域是一个物理/网络上的概念（特定的物理端口+VLANID）段可以看作是连接两个安全区域的一个透明网桥策略被应用在特定的段上。段+策略+网络配置(IP地址、方向)部署概念(2)特征、规则和策略特征定义了一组检测因子来决定如何对当前网络中的流量进行检测规则的范畴比特征要广。规则=特征+启用状态+动作集策略是一个包含了多条规则的集合动作和动作集安全区域、段和策略的关系WANDMZ-部署概念(3)插卡工作方式SecBlade插卡与交换机背板相连，有两种工作方式：Ethernet、Hig方式。SecBladeIIFW、SSLVPN、LB都工作在Ethernet方式下，而IPS和ACG插卡则工作在Hig方式下,Ethernet方式下的插卡，可以通过二、三层转发接收报文。Hig方式下的插卡只能通过重定向转发接收报文。的插卡只能通过重定向转发接收报文。重定向报文的两种方法：OAA和重定向。其中，OAA是我司自主开发的开放应用框架协议，S75E/S7500E/S58上的插卡都采用OAA的方式和母体互联；而重定向是S95上板卡的工作方式，S95通过重定向的方式将报文送到IPS/ACG插卡处理。OAA基本流程图交换机重定向报文的方向性交换机只能对入方向的插卡交换机只能对入方向的报文进行重定向。入方向，是指报文相对与交换机背板而言。OAA配置举例：单块插卡OAA三层转发应用场景Internet防火墙//外网interfaceVLAN-interface2ipaddress172.16.160.250255.255.255.0//内网interfaceVLAN-interface1001……SecBladeIPSXGE3/0/1interfaceVLAN-interface1001ipaddress172.16.161.30255.255.255.224interfaceVLAN-interface1002ipaddress172.16.161.62255.255.255.224interfaceVLAN-interface1003ipaddress172.16.164.1255.255.255.001S7500E相关配置#配置主控板的mib风格为new（需要重启）mib-stylenew#配置交换机主控板的流量转发模式为enhanced（需要重启）switch-model2-enhanced#使能ACFPserver和ACSEIserver功能。使能ACFPserver和ACSEIserver功能。acfpserverenableacseiserverenable#配置内联接口所属VLANinterfaceVLAN-interface100ipaddress100.100.100.1255.255.255.0S7500E相关配置配置内联接口。假设IPS插卡位于S7500E的2号槽位，则交换机上对应内联口为Ten-GigabitEthernet2/0/1：interfaceTen-GigabitEthernet2/0/1p