HCSecbladeII防火墻插卡培訓(xùn)演示文稿

HCSecbladeII防火墻插卡培訓(xùn)演示文稿目前一頁\總數(shù)四十二頁\編于十三點HCSecbladeII防火墻插卡培訓(xùn)目前二頁\總數(shù)四十二頁\編于十三點掌握SecBladeII的功能特性掌握SecBladeII的開局方法課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：目前三頁\總數(shù)四十二頁\編于十三點產(chǎn)品簡介防火墻基本概念透明模式轉(zhuǎn)發(fā)（二層轉(zhuǎn)發(fā)）路由模式轉(zhuǎn)發(fā)（三層轉(zhuǎn)發(fā)）GE口的業(yè)務(wù)應(yīng)用案例應(yīng)用目錄目前四頁\總數(shù)四十二頁\編于十三點10Gbps

防火墻呑吐量

交換機級別延時

100W并發(fā)連接

每秒鐘新建5W連接

2Gbps的IPSec加密性能

1Gbps的DDoS防護(hù)性能支持H3CS75E/S95/S95E/S58交換機支持H3CSR66/SR88路由器H3CFWSecBladeII性能參數(shù)SecBladeII1個配置口（CON）2個千兆RJ45電口2個千兆Combo口目前五頁\總數(shù)四十二頁\編于十三點10Gbps防火墻呑吐量

交換機級別延時

100W并發(fā)連接

每秒鐘新建5W連接

2Gbps的IPSec加密性能

1Gbps的DDoS防護(hù)性能支持H3CS75E/95交換機支持H3CSR66/SR88路由器10Gbps防火墻呑吐量

交換機級別延時

100W并發(fā)連接

每秒鐘新建5W連接

2Gbps的IPSec加密性能

1Gbps的DDos防護(hù)性能支持10GE接口/最大支持20個GEH3C高端防火墻產(chǎn)品一覽SecPathF1000-ESecBladeII目前六頁\總數(shù)四十二頁\編于十三點產(chǎn)品簡介防火墻基本概念透明模式轉(zhuǎn)發(fā)（二層轉(zhuǎn)發(fā)）路由模式轉(zhuǎn)發(fā)（三層轉(zhuǎn)發(fā)）GE口的業(yè)務(wù)應(yīng)用案例應(yīng)用目錄目前七頁\總數(shù)四十二頁\編于十三點防火墻的幾個重要概念安全域會話域間策略虛擬防火墻目前八頁\總數(shù)四十二頁\編于十三點安全域防火墻與路由/交換設(shè)備的一個很重大的差異是：引入了“區(qū)域”(Zone)的概念。一般地，防火墻至少有三個外部域和一個內(nèi)部域，每個域都有自己的優(yōu)先級。默認(rèn)地：優(yōu)先級高的域可以向優(yōu)先級低的域發(fā)起連接，反之不行！SecBladeII默認(rèn)的安全域劃分：Trust 85 被保護(hù)的域，內(nèi)網(wǎng)Untrust 5 不被信任的域，外網(wǎng)DMZ50 軍事?；饏^(qū)，服務(wù)器Local 100 防火墻設(shè)備本身MANAGERMENT100管理區(qū)域

目前九頁\總數(shù)四十二頁\編于十三點會話防火墻與路由/交換設(shè)備的，另一個很重大的差異是：路由器是基于路由轉(zhuǎn)發(fā)數(shù)據(jù)，而防火墻是基于會話表來轉(zhuǎn)發(fā)數(shù)據(jù)。防火墻的會話管理：主要基于傳輸層協(xié)議對報文進(jìn)行檢測。其實質(zhì)是通過檢測傳輸層協(xié)議信息（即通用TCP協(xié)議和UDP協(xié)議）來對連接的狀態(tài)進(jìn)行跟蹤，并對所有連接的狀態(tài)信息進(jìn)行統(tǒng)一維護(hù)和管理。而在實際應(yīng)用中，會話管理配合ASPF特性，可實現(xiàn)根據(jù)連接狀態(tài)信息動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻進(jìn)入內(nèi)部區(qū)域，以便阻止惡意的入侵。防火墻上產(chǎn)生會話：某一個會話的建立過程目前十頁\總數(shù)四十二頁\編于十三點防火墻的基本工作流程

注1：防火墻缺省下，高級別區(qū)域的能訪問低級別區(qū)域，低級別區(qū)域不能訪問高級別區(qū)域。

思考：如果低級別中的PC訪問高級別中的PC怎么辦呢？目前十一頁\總數(shù)四十二頁\編于十三點域間策略基于接口的訪問控制策略（中低端防火墻）1.配置高級訪問控制列表如：aclnumber3995rule0permittcpsour0des390destination-porteqwwwrule1denytcpdestination400

2.策略應(yīng)用到接口

interfaceEthernet0/0ipaddress0firewallpacket-filter3995outbound基于域間下發(fā)的訪問控制策略（FWSecBladeII）1.將IP地址和域名簡化為地址資源和地址組資源2.將源端口、目的端口以及協(xié)議號簡化為服務(wù)資源和服務(wù)組資源（可選操作）3.通過引用地址組資源和服務(wù)組資源創(chuàng)建域間策略4.域間訪問策略即可實現(xiàn)對網(wǎng)絡(luò)訪問的控制必須在SecBladeII的web界面配置“面向?qū)ο蟮腁CL”目前十二頁\總數(shù)四十二頁\編于十三點產(chǎn)品簡介防火墻基本概念透明模式轉(zhuǎn)發(fā)（二層轉(zhuǎn)發(fā)）路由模式轉(zhuǎn)發(fā)（三層轉(zhuǎn)發(fā)）GE口的業(yè)務(wù)應(yīng)用案例應(yīng)用目錄目前十三頁\總數(shù)四十二頁\編于十三點透明模式組網(wǎng)-------跨vlan二層轉(zhuǎn)發(fā)組網(wǎng)需求：實現(xiàn)對同一網(wǎng)段、但不同VLAN的主機之間的數(shù)據(jù)傳輸通過防火墻插卡來實現(xiàn)安全過濾。

目前十四頁\總數(shù)四十二頁\編于十三點跨vlan二層轉(zhuǎn)發(fā)工作流程：PC1報文進(jìn)入交換機，交換機對報文加上VLAN102Tag標(biāo)簽，因為報文目的屬于另一個VLAN103，不能直接查MAC地址表轉(zhuǎn)發(fā)，因此報文由Trunk口發(fā)送至防火墻插卡。防火墻子接口ten-g0/0.102收到VLAN102的報文，發(fā)現(xiàn)其VLANtag與子接口號ten-g0/0.102相同，去掉報文中的Tag標(biāo)簽，加上防火墻VLAN的Tag標(biāo)簽VLAN1000，之后對報文進(jìn)行相關(guān)處理（防火墻的各種安全功能）。防火墻插卡去掉報文中防火墻VLAN的Tag標(biāo)簽VLAN1000，加上出方向子接口ten-g0/0.103對應(yīng)VLAN的Tag標(biāo)簽VLAN103（出方向子接口可以通過查MAC地址表確定）后把報文發(fā)送至交換機。交換機在對應(yīng)的VLAN中轉(zhuǎn)發(fā)報文。目前十五頁\總數(shù)四十二頁\編于十三點portaccessvlan102portlink-modebridgeportaccessvlan1000跨vlan二層轉(zhuǎn)發(fā)報文轉(zhuǎn)發(fā)流程SWSecBladeFWXGE0/0.102XGE0/0.103TrunkTrunkTen-g2/0/1PC1PC2Vl102Vl103portlink-modebridgeportaccessvlan1000Vlan102Vlan1000Vlan102Vlan102portaccessvlan103目前十六頁\總數(shù)四十二頁\編于十三點portaccessvlan102portlink-modebridgeportaccessvlan1000跨vlan二層轉(zhuǎn)發(fā)報文轉(zhuǎn)發(fā)流程SWSecBladeFWXGE0/0.102XGE0/0.103TrunkTrunkTen-g2/0/1PC1PC2Vl102Vl103portlink-modebridgeportaccessvlan1000Vlan1000Vlan103Vlan1000portaccessvlan103目前十七頁\總數(shù)四十二頁\編于十三點portaccessvlan102portlink-modebridgeportaccessvlan1000跨vlan二層轉(zhuǎn)發(fā)報文轉(zhuǎn)發(fā)流程SWSecBladeFWXGE0/0.102XGE0/0.103TrunkTrunkTen-g2/0/1PC1PC2Vl102Vl103portlink-modebridgeportaccessvlan1000Vlan103Vlan103portaccessvlan103目前十八頁\總數(shù)四十二頁\編于十三點跨vlan二層轉(zhuǎn)發(fā)配置方法：流量在交換機上的入接口和出接口分別屬于不同的VLAN。

interfaceGigabitEthernet2/1/12portaccessvlan102interfaceGigabitEthernet2/1/13portaccessvlan103交換機與防火墻插卡相連的鏈路兩端的以太網(wǎng)口均配置為Trunk類型。

interfaceTen-GigabitEthernet6/1/1portlink-typetrunkporttrunkpermitvlan102to103防火墻插卡連接交換機的以太網(wǎng)口下配置多個子接口，每個子接口配置屬于不同的VLAN，這些VLAN和交換機上的VLAN一一對應(yīng)。

vlan102to103vlan1000interfaceTen-GigabitEthernet0/0portlink-modebridgeportlink-typetrunkporttrunkpermitvlan102to103interfaceTen-GigabitEthernet0/0.102portlink-modebridgeportaccessvlan1000interfaceTen-GigabitEthernet0/0.103portlink-modebridgeportaccessvlan1000目前十九頁\總數(shù)四十二頁\編于十三點跨vlan二層轉(zhuǎn)發(fā)配置方法：在防火墻插卡web配置界面將Ten-GigabitEthernet0/0.102口和Ten-GigabitEthernet0/0.103口加入相應(yīng)的區(qū)域。

目前二十頁\總數(shù)四十二頁\編于十三點跨vlan二層轉(zhuǎn)發(fā)配置方法：在防火墻插卡web配置界面配置域間安全規(guī)則。

目前二十一頁\總數(shù)四十二頁\編于十三點產(chǎn)品簡介防火墻基本概念透明模式轉(zhuǎn)發(fā)（二層轉(zhuǎn)發(fā)）路由模式轉(zhuǎn)發(fā)（三層轉(zhuǎn)發(fā)）GE口的業(yè)務(wù)應(yīng)用案例應(yīng)用目錄目前二十二頁\總數(shù)四十二頁\編于十三點三層子接口轉(zhuǎn)發(fā)組網(wǎng)需求：內(nèi)部網(wǎng)絡(luò)劃分不同VLAN、不同的安全區(qū)域；載體交換機作為二層，要求各VLAN網(wǎng)關(guān)終結(jié)在防火墻插卡上來實現(xiàn)VLAN間的訪問控制。目前二十三頁\總數(shù)四十二頁\編于十三點三層子接口轉(zhuǎn)發(fā)工作流程：內(nèi)網(wǎng)PC將網(wǎng)關(guān)指向SecbladeII上的三層子接口。帶相應(yīng)vlantag的報文經(jīng)交換機的10GE口trunk發(fā)送到SecBladeII的相應(yīng)子接口，終結(jié)VLAN。報文在SecBladeII各VLAN虛接口間進(jìn)行路由轉(zhuǎn)發(fā)時觸發(fā)域間的面向?qū)ο驛CL，從而實現(xiàn)安全過濾。目前二十四頁\總數(shù)四十二頁\編于十三點portaccessvlan102vlan-typedot1qvid102ipadd三層子接口報文轉(zhuǎn)發(fā)流程SWSecBladeFWXGE0/0.102XGE0/0.103TrunkTrunkTen-g2/0/1PC1PC2Vl102Vl103vlan-typedot1qvid103ipaddVlan102portaccessvlan103Vlan102Vlan102目前二十五頁\總數(shù)四十二頁\編于十三點portaccessvlan102vlan-typedot1qvid102ipadd三層子接口報文轉(zhuǎn)發(fā)流程SWSecBladeFWXGE0/0.102XGE0/0.103TrunkTrunkTen-g2/0/1PC1PC2Vl102Vl103vlan-typedot1qvid103ipaddportaccessvlan103Vlan103目前二十六頁\總數(shù)四十二頁\編于十三點三層子接口轉(zhuǎn)發(fā)配置方法（交換機配置）：流量在交換機上的入接口和出接口分別屬于不同的VLAN。

interfaceGigabitEthernet2/1/11portaccessvlan101interfaceGigabitEthernet2/1/12portaccessvlan102interfaceGigabitEthernet2/1/13portaccessvlan103交換機與防火墻插卡相連的鏈路兩端的以太網(wǎng)口均配置為Trunk類型。

interfaceTen-GigabitEthernet6/1/1portlink-typetrunkporttrunkpermitvlan101to103目前二十七頁\總數(shù)四十二頁\編于十三點三層子接口轉(zhuǎn)發(fā)配置方法（SecBladeII配置）：aclnumber3000 //用于PC1NAT訪問Internetrule0permitipsource55rule5denyipinterfaceTen-GigabitEthernet0/0//10GE口工作在路由模式portlink-moderoute interfaceTen-GigabitEthernet0/0.101 //VLAN101的網(wǎng)關(guān)

vlan-typedot1qvid101 //接收vlan標(biāo)簽為101的報文

descriptiontoPC1ipaddressinterfaceTen-GigabitEthernet0/0.102 //VLAN102的網(wǎng)關(guān)

vlan-typedot1qvid102 //接收vlan標(biāo)簽為102的報文

descriptiontoPC2ipaddressinterfaceTen-GigabitEthernet0/0.103//VLAN103的網(wǎng)關(guān)

natoutbound3000 //配置NAT訪問Internet

natserverprotocoltcpglobalwwwinsidewww //配置內(nèi)部WWW服務(wù)器vlan-typedot1qvid103 //接收vlan標(biāo)簽為103的報文

descriptiontoInternetipaddressiproute-static//配置去往互聯(lián)網(wǎng)的缺省路由目前二十八頁\總數(shù)四十二頁\編于十三點三層子接口轉(zhuǎn)發(fā)配置方法（SecBladeII配置）：將接口Ten-GigabitEthernet0/0.101、Ten-GigabitEthernet0/0.102和Ten-GigabitEthernet0/0.103分別添加到Trust、DMZ和Untrust域。目前二十九頁\總數(shù)四十二頁\編于十三點三層子接口轉(zhuǎn)發(fā)配置方法（SecBladeII配置）：配置面向?qū)ο驛CL（允許Untrust訪問DMZ區(qū)的Web服務(wù)器）目前三十頁\總數(shù)四十二頁\編于十三點三層VLAN虛接口轉(zhuǎn)發(fā)注：對于SecBladeII而言，三層虛接口的工作流程以及配置方法和三層子接口方式基本相同，在此不再贅述。目前三十一頁\總數(shù)四十二頁\編于十三點產(chǎn)品簡介防火墻基本概念透明模式轉(zhuǎn)發(fā)（二層轉(zhuǎn)發(fā)）路由模式轉(zhuǎn)發(fā)（三層轉(zhuǎn)發(fā)）GE口的業(yè)務(wù)應(yīng)用案例應(yīng)用目錄目前三十二頁\總數(shù)四十二頁\編于十三點GE口業(yè)務(wù)應(yīng)用Inline轉(zhuǎn)發(fā)普通防火墻應(yīng)用Web管理雙機熱備（HA）接口目前三十三頁\總數(shù)四十二頁\編于十三點GE口業(yè)務(wù)應(yīng)用Inline轉(zhuǎn)發(fā)：實現(xiàn)對同一網(wǎng)段主機間的報文進(jìn)行安全過濾，就是由數(shù)據(jù)鏈路層來完成不同VLAN間的通信。組網(wǎng)需求在已存在的兩個互通的網(wǎng)絡(luò)之間實現(xiàn)安全過濾，而又不改原有網(wǎng)絡(luò)的結(jié)構(gòu)及配置的情況下，可以考慮用inline轉(zhuǎn)發(fā)，高端防火墻F1000e及SecbladeII插卡的外部管理口支持二層INLINE轉(zhuǎn)發(fā)。目前三十四頁\總數(shù)四十二頁\編于十三點Inline轉(zhuǎn)發(fā)配置方法用戶通過配置直接指定從某接口入的報文從特定接口出，將兩個二層的端口劃為同一inline轉(zhuǎn)發(fā)組即可實現(xiàn)報文透傳。INLINE轉(zhuǎn)發(fā)只支持二層物理接口，不支持邏輯接口，包括子接口；工作流程報文轉(zhuǎn)發(fā)不再根據(jù)MAC表進(jìn)行，而是根據(jù)用戶已經(jīng)配置好的一組配對接口進(jìn)行轉(zhuǎn)發(fā)，發(fā)送到設(shè)備的報文從其中一個接口進(jìn)入后從另一個接口轉(zhuǎn)發(fā)出去。目前三十五頁\總數(shù)四十二頁\編于十三點GE口業(yè)務(wù)應(yīng)用普通防火墻應(yīng)用SecbladeII插卡面板上的4個GE口也可以進(jìn)行二三層的轉(zhuǎn)發(fā)，可以設(shè)置為二層端口，進(jìn)行二層轉(zhuǎn)發(fā)或者配合interfacevlan接口進(jìn)行路由，也可以設(shè)置為三層端口，進(jìn)行三層轉(zhuǎn)發(fā)。但對于SecbladeII插卡，不推薦這樣組網(wǎng)。Web管理SecbladeII插卡配置命令主要是基于web界面配置，因此前面板上的4個GE口可以作為web管理接口。另外SecbladeII插卡在出廠時默認(rèn)GE0/1口已經(jīng)配置了管理IP：/24,并且加入了Managerment域。目前三十六頁\總數(shù)四十二頁\編于十三點GE口業(yè)務(wù)應(yīng)用雙機熱備（HA）接口雙機熱備：簡單來說，就是使用兩塊SecbladeII通過HA線相連，對會話信息進(jìn)行主備同步；在其中某臺設(shè)備故障后能將流量切換到備份設(shè)備上，由備份設(shè)備繼續(xù)處理業(yè)務(wù)，從而保證了當(dāng)前的業(yè)務(wù)不被中斷?；閭浞莸膬膳_防火墻只負(fù)責(zé)會話信息備份，保證流量切換后會話連接不中斷。而流量的切換則依靠傳統(tǒng)備份技術(shù)（如VRRP、動態(tài)路由）來實現(xiàn)。需要使用專有的備份鏈路口進(jìn)行會話信息的備份，該備份鏈路口稱為HA接口，不作數(shù)據(jù)轉(zhuǎn)發(fā)，保障了備份的高可靠性及高性能。SecbladeII插卡只有面板上的4個GE口才能作為HA接口。目前三十七頁\總數(shù)四十二頁\編于十三點雙機熱備（HA）配置方法：采用插卡前面板上任意某一接口，加入到備份接口中，選擇備份類型并使能，保存配置后重啟插卡生效。目前三十八頁\總數(shù)四十二頁\編于十三點雙機熱備（HA）此時兩塊SecbladeII插卡的會話表會通過HA鏈路同步會話心跳線數(shù)據(jù)同步線CoreSwitchCrossLinkLoadBalancerFWSecBladeIIHAFWSecBladeII目前三十九頁\總數(shù)四十二頁\編于十三點產(chǎn)品簡介防火墻基本概念透明模式轉(zhuǎn)發(fā)（二層轉(zhuǎn)發(fā)）路由模式轉(zhuǎn)發(fā)（三層轉(zhuǎn)發(fā)）GE口的業(yè)務(wù)應(yīng)用案例應(yīng)用目錄目前四十頁\總數(shù)四十二頁\編于十三點服務(wù)器群組核心路由器SR8875交換機75交換機核心熱備路由器SR660820個大醫(yī)院84個定點醫(yī)院業(yè)務(wù)相關(guān)單位VPN撥入醫(yī)院、藥店、