H3C SecbladeII防火墙插卡培训.ppt

H3C_SecbladeII防火墙插卡培训H3C 防火墙插卡SecBladeII产品培训
日期：
掌握SecBladeII的功能特性
掌握SecBladeII的开局方法
课程目标
学****完本课程，您应该能够：
产品简介
防火墙基本概念
透明模式转发（二层转发）
路由模式转发（三层转发）
GE口的业务应用
案例应用
目录
10 Gbps 防火墙呑吐量
交换机级别延时
100W并发连接
每秒钟新建5W连接
2Gbps的IPSec加密性能
1Gbps的DDoS防护性能
支持H3C S75E/S95/S95E/S58交换机
支持H3C SR66/SR88路由器
H3C FW SecBladeII 性能参数
SecBlade II
1个配置口（CON）
2个千兆RJ45电口
2个千兆Combo口
10 Gbps 防火墙呑吐量
交换机级别延时
100W并发连接
每秒钟新建5W连接
2Gbps的IPSec加密性能
1Gbps的DDoS防护性能
支持H3C S75E/95交换机
支持H3C SR66/SR88路由器
10 Gbps 防火墙呑吐量
交换机级别延时
100W并发连接
每秒钟新建5W连接
2Gbps的IPSec加密性能
1Gbps的DDos防护性能
支持10GE接口/最大支持20个GE
H3C高端防火墙产品一览
SecPath F1000-E
SecBlade II
防火墙的几个重要概念
安全域
会话
域间策略
虚拟防火墙
安全域
防火墙与路由/交换设备的一个很重大的差异是：引入了“区域”(Zone)的概念。
一般地，防火墙至少有三个外部域和一个内部域，每个域都有自己的优先级。
默认地：优先级高的域可以向优先级低的域发起连接，反之不行！
SecBlade II 默认的安全域划分：
Trust 85 被保护的域，内网
Untrust 5 不被信任的域，外网
DMZ 50 军事停火区，服务器
Local 100 防火墙设备本身
MANAGERMENT 100 管理区域
会话
防火墙与路由/交换设备的，另一个很重大的差异是：
路由器是基于路由转发数据，而防火墙是基于会话表来转发数据。
防火墙的会话管理：主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息（即通用TCP协议和UDP协议）来对连接的状态进行跟踪，并对所有连接的状态信息进行统一维护和管理。
而在实际应用中，会话管理配合ASPF特性，可实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域，以便阻止恶意的入侵。
防火墙上产生会话：
某一个会话的建立过程
防火墙的基本工作流程
注1 ：防火墙缺省下，高级别区域的能访问低级别区域，低级别区域不能访问高级别区域。
思考：如果低级别中的PC
访问高级别中的PC
怎么办呢？