H3CSecBlade混合插卡组网安全产品组巫继雨日期:2019/9/15密级:杭州华三通信技术有限公司、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常见问题卡接口,支持容量为256M、512M、1G的CF卡2个USB接口(预留)2个10/100/1000BASE-T电接口2个千兆Combo(光电复合)接口后插板10GE接口CF卡Console2GE电口2GECombo2GBDDR2内存CF卡Console注:灰色标记部分为S5800插卡数据●SR66●S95E●●●●●S95●●●●●●S75E●●●●●●●S58●●●●系列单板类型:LSRM1FW2A1适用于H3CS9500E防火墙业务板LSBM1FW2A1适用于H3CS9500防火墙业务板LSQM1FWBSC0适用于H3CS7500E防火墙业务板模块LSWM1FW10适用于H3CS5800系列防火墙模块RT-SPE-FWM-H3适用于H3CSR6600千兆防火墙业务板模块IM-FW适用于H3CSR8800防火墙业务处理板插卡式的H3CSecBladeLB系列单板类型:LSQM1LBSC0适用于H3CS7500E-千兆负载均衡业务模块LSRM1LB1A1适用于H3CS9500E-负载均衡业务板LSBM1LB1A1适用于H3CS9500-负载均衡业务板LSWM1LB10适用于H3CS5800负载均衡业务板系列单板类型:LSWM1IPS10适用于H3CS5800/S5820X系列交换机;LSQ1IPSSC0适用于H3CS7500E系列以太网交换机;LSB1IPS1A0适用于H3CS9500系列以太网交换机;LSR1IPS1A1适用于H3CS9500E系列以太网交换机。插卡式的H3CSecBladeACG系列单板类型:LSQ1ACGASC0适用于H3CS7500E系列以太网交换机;LSB1ACG1A0适用于H3CS9500系列以太网交换机;LSR1ACG1A1适用于H3CS9500E系列以太网交换机。系列单板类型:LSQM1SSLSC0适用于H3CS7500E-SSLVPN业务模块LSBM1SSL1A1适用于H3CS9500SSLVPN业务板模块RT-SPE-SSL-H3适用于H3CSR6600SSLVPN模块插卡式的H3CSecBladeNetStream系列单板类型:LSQM1NSMSC0适用于H3CS7500ENetStream业务板LSRM1NSM1A1适用于H3CS9500ENetStream业务板LSWM1NSM10适用于H3CS5800系列NetStream业务板使用版本产品配套项目版本号(对外)说明主控板软件SecBladeIPS-IMW110-E2107内部版本9011V200R001B01D105升级后BOOTWAREV108CPLD20075E配套版本S7500E-CMW520-F6307L0395配套版本S9500-CMW310-R1646-EI95E配套版本S9500E-CMW520-B1136SecCenter版本SecCenterIPSMV2.10-B0022iMCiMCPLAT3.20-R2602+P04SecBlade插卡可以在部门FTP相应目录:/New_Internal_Versions(新内部版本归档)/02-IP安全产品/xxxx获取的最新版本开局版本,每个插卡版本都会附带版本配套表,里面会列出和母体配套的版本,请在实施时获取。、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常见问题防火墙插卡是我司防火墙的旗舰级产品,其硬件上采用了多核技术,处理核心是目前处理能力最强大的嵌入式处理器之一——RMI的力作XLR732。高端防火墙的软件,采用了我司最新的COMWAREV5平台(V5R2),配合精心构架的底层驱动,能够充分地发挥多核的优势。Ne防火墙部署—透明模式FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccessVlan100Vlan100Vlan101VIF1011.1.1.1交换处理AccessVlan2001.1.1.22.2.2.2入方向:1-6:二层转发6-7:二层转发7-8:二层转发8-9:三层转发9-12:二层转发出方向:12-9:二层转发9-8:三层转发8-7:二层转发7-6:二层转发6-1:二层转发Vlan1000VIF2002.2.2.1Vlan2009Vlan1002-2-2方式背板防火墙部署—三层转发FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccessVlan100Vlan100Vlan200交换处理AccessVlan2001.1.1.22.2.2.2入方向:1-6:二层转发6-7:三层转发7-12:二层转发出方向:12-7:二层转发7-6:三层转发61:二层转发VIF2002.2.2.1Vlan2009VIF1001.1.1.1Vlan1002-3-2方式背板防火墙部署—三层转发2FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccessVlan100Vlan100Vlan101VIF101172.16.1.2/30交换处理AccessVlan2001.1.1.22.2.2.2入方向:1-6:二层转发6-7:三层转发7-8:二层转发8-9:三层转发9-12:二层转发出方向:12-9:二层转发9-8:三层转发8-7:二层转发7-6:三层转发6-1:二层转发Vlan1000VIF2002.2.2.1Vlan2009VIF101172.16.1.1/30VIF1001.1.1.1Vlan100也是2-3-2方式这是什么方式?背板交换处理AccessVlan2001.1.1.22.2.2.2Vlan1000VIF2002.2.2.1Vlan2009VIF101172.16.1.1/30VIF100172.16.0.1/30Vlan100VIF100172.16.0.2/30答案:这个一般真没有!IPS(IntrusionPreventionSystem,入侵防御系统),是一种基于应用层、主动防御的产品,它以在线方式部署于网络关键路径,通过对数据报文的深度检测,实时发现威胁并主动进行处理。目前已成为应用层安全防护的主流设备。(ApplicationControlGateway)是业界识别最全面、控制手段最丰富的高性能应用控制网关,能对网络中的P2P/IM带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、用户行为进行深入分析,可以帮助用户全面了解网络应用模型和流量趋势,为开展各项业务提供数据支撑。H3CACG系列包括SecPathACG2000-M、SecPathACG8800-S3和应用于H3CS75E/S95/S95E系列交换机的SecBladeACG模块。对用户上网行为进行深入分析,识别出相关应用采取阻断、限流、干扰、过滤、警告等控制手段通过采集相关访问信息,实现事后行为审计行为识别行为控制行为审计ACG实现目标部署概念(1)安全区域和段安全区域是一个物理/网络上的概念(特定的物理端口+VLANID)段可以看作是连接两个安全区域的一个透明网桥策略被应用在特定的段上。段+策略+网络配置(IP地址、方向)部署概念(2)特征、规则和策略特征定义了一组检测因子来决定如何对当前网络中的流量进行检测规则的范畴比特征要广。规则=特征+启用状态+动作集策略是一个包含了多条规则的集合动作和动作集安全区域、段和策略的关系WANDMZ-部署概念(3)插卡工作方式SecBlade插卡与交换机背板相连,有两种工作方式:Ethernet、Hig方式。SecBladeIIFW、SSLVPN、LB都工作在Ethernet方式下,而IPS和ACG插卡则工作在Hig方式下,Ethernet方式下的插卡,可以通过二、三层转发接收报文。Hig方式下的插卡只能通过重定向转发接收报文。重定向报文的两种方法:OAA和重定向。其中,OAA是我司自主开发的开放应用框架协议,S75E/S95E/S58都采用OAA的方式和母体互联;而重定向是S95上板卡的工作方式,S95通过重定向的方式将报文送到IPS/ACG插卡处理。的接口报文转发出接口红色线条为报文重流插卡交换机重定向报文的方向性交换机只能对入方向的报文进行重定向。入方向,是指报文相对与交换机背板而言。配置举例:单块插卡OAA三层转发应用场景Internet防火墙VLAN2S9500EVLAN1001内网1内网2内网nVLAN1002VLAN100n……SecBladeIPSXGE3/0/1interfaceVLAN-interface2ipaddress172.16.160.250255.255.255.0interfaceVLAN-interface1001ipaddress172.16.161.30255.255.255.224interfaceVLAN-interface1002ipaddress172.16.161.62255.255.255.224interfaceVLAN-interface1003ipaddress172.16.164.1255.255.255.0相关配置#配置主控板的mib风格为new(需要重启)mib-stylenew#使能ACFPserver和A