HCSecbladeII防火墙插卡培训演示文稿

HCSecbladeII防火墙插卡培训演示文稿现在是1页\一共有42页\编辑于星期一HCSecbladeII防火墙插卡培训现在是2页\一共有42页\编辑于星期一掌握SecBladeII的功能特性掌握SecBladeII的开局方法课程目标学习完本课程，您应该能够：现在是3页\一共有42页\编辑于星期一产品简介防火墙基本概念透明模式转发（二层转发）路由模式转发（三层转发）GE口的业务应用案例应用目录现在是4页\一共有42页\编辑于星期一10Gbps

防火墙呑吐量

交换机级别延时

100W并发连接

每秒钟新建5W连接

2Gbps的IPSec加密性能

1Gbps的DDoS防护性能支持H3CS75E/S95/S95E/S58交换机支持H3CSR66/SR88路由器H3CFWSecBladeII性能参数SecBladeII1个配置口（CON）2个千兆RJ45电口2个千兆Combo口现在是5页\一共有42页\编辑于星期一10Gbps防火墙呑吐量

交换机级别延时

100W并发连接

每秒钟新建5W连接

2Gbps的IPSec加密性能

1Gbps的DDoS防护性能支持H3CS75E/95交换机支持H3CSR66/SR88路由器10Gbps防火墙呑吐量

交换机级别延时

100W并发连接

每秒钟新建5W连接

2Gbps的IPSec加密性能

1Gbps的DDos防护性能支持10GE接口/最大支持20个GE

H3C高端防火墙产品一览SecPathF1000-ESecBladeII现在是6页\一共有42页\编辑于星期一产品简介防火墙基本概念透明模式转发（二层转发）路由模式转发（三层转发）GE口的业务应用案例应用目录现在是7页\一共有42页\编辑于星期一防火墙的几个重要概念安全域会话域间策略虚拟防火墙现在是8页\一共有42页\编辑于星期一安全域防火墙与路由/交换设备的一个很重大的差异是：引入了“区域”(Zone)的概念。一般地，防火墙至少有三个外部域和一个内部域，每个域都有自己的优先级。默认地：优先级高的域可以向优先级低的域发起连接，反之不行！SecBladeII默认的安全域划分：Trust 85 被保护的域，内网Untrust 5 不被信任的域，外网DMZ50 军事停火区，服务器Local 100 防火墙设备本身MANAGERMENT100管理区域

现在是9页\一共有42页\编辑于星期一会话防火墙与路由/交换设备的，另一个很重大的差异是：路由器是基于路由转发数据，而防火墙是基于会话表来转发数据。防火墙的会话管理：主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息（即通用TCP协议和UDP协议）来对连接的状态进行跟踪，并对所有连接的状态信息进行统一维护和管理。而在实际应用中，会话管理配合ASPF特性，可实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域，以便阻止恶意的入侵。防火墙上产生会话：某一个会话的建立过程现在是10页\一共有42页\编辑于星期一防火墙的基本工作流程

注1：防火墙缺省下，高级别区域的能访问低级别区域，低级别区域不能访问高级别区域。

思考：如果低级别中的PC访问高级别中的PC怎么办呢？现在是11页\一共有42页\编辑于星期一域间策略基于接口的访问控制策略（中低端防火墙）1.配置高级访问控制列表如：aclnumber3995rule0permittcpsour0des390destination-porteqwwwrule1denytcpdestination400

2.策略应用到接口

interfaceEthernet0/0ipaddress0firewallpacket-filter3995outbound基于域间下发的访问控制策略（FWSecBladeII）1.将IP地址和域名简化为地址资源和地址组资源2.将源端口、目的端口以及协议号简化为服务资源和服务组资源（可选操作）3.通过引用地址组资源和服务组资源创建域间策略4.域间访问策略即可实现对网络访问的控制必须在SecBladeII的web界面配置“面向对象的ACL”现在是12页\一共有42页\编辑于星期一产品简介防火墙基本概念透明模式转发（二层转发）路由模式转发（三层转发）GE口的业务应用案例应用目录现在是13页\一共有42页\编辑于星期一透明模式组网-------跨vlan二层转发组网需求：实现对同一网段、但不同VLAN的主机之间的数据传输通过防火墙插卡来实现安全过滤。

现在是14页\一共有42页\编辑于星期一跨vlan二层转发工作流程：PC1报文进入交换机，交换机对报文加上VLAN102Tag标签，因为报文目的属于另一个VLAN103，不能直接查MAC地址表转发，因此报文由Trunk口发送至防火墙插卡。防火墙子接口ten-g0/0.102收到VLAN102的报文，发现其VLANtag与子接口号ten-g0/0.102相同，去掉报文中的Tag标签，加上防火墙VLAN的Tag标签VLAN1000，之后对报文进行相关处理（防火墙的各种安全功能）。防火墙插卡去掉报文中防火墙VLAN的Tag标签VLAN1000，加上出方向子接口ten-g0/0.103对应VLAN的Tag标签VLAN103（出方向子接口可以通过查MAC地址表确定）后把报文发送至交换机。交换机在对应的VLAN中转发报文。现在是15页\一共有42页\编辑于星期一portaccessvlan102portlink-modebridgeportaccessvlan1000跨vlan二层转发报文转发流程SWSecBladeFWXGE0/0.102XGE0/0.103TrunkTrunkTen-g2/0/1PC1PC2Vl102Vl103portlink-modebridgeportaccessvlan1000Vlan102Vlan1000Vlan102Vlan102portaccessvlan103现在是16页\一共有42页\编辑于星期一portaccessvlan102portlink-modebridgeportaccessvlan1000跨vlan二层转发报文转发流程SWSecBladeFWXGE0/0.102XGE0/0.103TrunkTrunkTen-g2/0/1PC1PC2Vl102Vl103portlink-modebridgeportaccessvlan1000Vlan1000Vlan103Vlan1000portaccessvlan103现在是17页\一共有42页\编辑于星期一portaccessvlan102portlink-modebridgeportaccessvlan1000跨vlan二层转发报文转发流程SWSecBladeFWXGE0/0.102XGE0/0.103TrunkTrunkTen-g2/0/1PC1PC2Vl102Vl103portlink-modebridgeportaccessvlan1000Vlan103Vlan103portaccessvlan103现在是18页\一共有42页\编辑于星期一跨vlan二层转发配置方法：流量在交换机上的入接口和出接口分别属于不同的VLAN。

interfaceGigabitEthernet2/1/12portaccessvlan102interfaceGigabitEthernet2/1/13portaccessvlan103交换机与防火墙插卡相连的链路两端的以太网口均配置为Trunk类型。

interfaceTen-GigabitEthernet6/1/1portlink-typetrunkporttrunkpermitvlan102to103防火墙插卡连接交换机的以太网口下配置多个子接口，每个子接口配置属于不同的VLAN，这些VLAN和交换机上的VLAN一一对应。

vlan102to103vlan1000interfaceTen-GigabitEthernet0/0portlink-modebridgeportlink-typetrunkporttrunkpermitvlan102to103interfaceTen-GigabitEthernet0/0.102portlink-modebridgeportaccessvlan1000interfaceTen-GigabitEthernet0/0.103portlink-modebridgeportaccessvlan1000现在是19页\一共有42页\编辑于星期一跨vlan二层转发配置方法：在防火墙插卡web配置界面将Ten-GigabitEthernet0/0.102口和Ten-GigabitEthernet0/0.103口加入相应的区域。

现在是20页\一共有42页\编辑于星期一跨vlan二层转发配置方法：在防火墙插卡web配置界面配置域间安全规则。

现在是21页\一共有42页\编辑于星期一产品简介防火墙基本概念透明模式转发（二层转发）路由模式转发（三层转发）GE口的业务应用案例应用目录现在是22页\一共有42页\编辑于星期一三层子接口转发组网需求：内部网络划分不同VLAN、不同的安全区域；载体交换机作为二层，要求各VLAN网关终结在防火墙插卡上来实现VLAN间的访问控制。现在是23页\一共有42页\编辑于星期一三层子接口转发工作流程：内网PC将网关指向SecbladeII上的三层子接口。带相应vlantag的报文经交换机的10GE口trunk发送到SecBladeII的相应子接口，终结VLAN。报文在SecBladeII各VLAN虚接口间进行路由转发时触发域间的面向对象ACL，从而实现安全过滤。现在是24页\一共有42页\编辑于星期一portaccessvlan102vlan-typedot1qvid102ipadd三层子接口报文转发流程SWSecBladeFWXGE0/0.102XGE0/0.103TrunkTrunkTen-g2/0/1PC1PC2Vl102Vl103vlan-typedot1qvid103ipaddVlan102portaccessvlan103Vlan102Vlan102现在是25页\一共有42页\编辑于星期一portaccessvlan102vlan-typedot1qvid102ipadd三层子接口报文转发流程SWSecBladeFWXGE0/0.102XGE0/0.103TrunkTrunkTen-g2/0/1PC1PC2Vl102Vl103vlan-typedot1qvid103ipaddportaccessvlan103Vlan103现在是26页\一共有42页\编辑于星期一三层子接口转发配置方法（交换机配置）：流量在交换机上的入接口和出接口分别属于不同的VLAN。

interfaceGigabitEthernet2/1/11portaccessvlan101interfaceGigabitEthernet2/1/12portaccessvlan102interfaceGigabitEthernet2/1/13portaccessvlan103交换机与防火墙插卡相连的链路两端的以太网口均配置为Trunk类型。

interfaceTen-GigabitEthernet6/1/1portlink-typetrunkporttrunkpermitvlan101to103现在是27页\一共有42页\编辑于星期一三层子接口转发配置方法（SecBladeII配置）：aclnumber3000 //用于PC1NAT访问Internetrule0permitipsource55rule5denyipinterfaceTen-GigabitEthernet0/0//10GE口工作在路由模式portlink-moderoute interfaceTen-GigabitEthernet0/0.101 //VLAN101的网关

vlan-typedot1qvid101 //接收vlan标签为101的报文

descriptiontoPC1ipaddressinterfaceTen-GigabitEthernet0/0.102 //VLAN102的网关

vlan-typedot1qvid102 //接收vlan标签为102的报文

descriptiontoPC2ipaddressinterfaceTen-GigabitEthernet0/0.103//VLAN103的网关

natoutbound3000 //配置NAT访问Internet

natserverprotocoltcpglobalwwwinsidewww //配置内部WWW服务器vlan-typedot1qvid103 //接收vlan标签为103的报文

descriptiontoInternetipaddressiproute-static//配置去往互联网的缺省路由现在是28页\一共有42页\编辑于星期一三层子接口转发配置方法（SecBladeII配置）：将接口Ten-GigabitEthernet0/0.101、Ten-GigabitEthernet0/0.102和Ten-GigabitEthernet0/0.103分别添加到Trust、DMZ和Untrust域。现在是29页\一共有42页\编辑于星期一三层子接口转发配置方法（SecBladeII配置）：配置面向对象ACL（允许Untrust访问DMZ区的Web服务器）现在是30页\一共有42页\编辑于星期一三层VLAN虚接口转发注：对于SecBladeII而言，三层虚接口的工作流程以及配置方法和三层子接口方式基本相同，在此不再赘述。现在是31页\一共有42页\编辑于星期一产品简介防火墙基本概念透明模式转发（二层转发）路由模式转发（三层转发）GE口的业务应用案例应用目录现在是32页\一共有42页\编辑于星期一GE口业务应用Inline转发普通防火墙应用Web管理双机热备（HA）接口现在是33页\一共有42页\编辑于星期一GE口业务应用Inline转发：实现对同一网段主机间的报文进行安全过滤，就是由数据链路层来完成不同VLAN间的通信。组网需求在已存在的两个互通的网络之间实现安全过滤，而又不改原有网络的结构及配置的情况下，可以考虑用inline转发，高端防火墙F1000e及SecbladeII插卡的外部管理口支持二层INLINE转发。现在是34页\一共有42页\编辑于星期一Inline转发配置方法用户通过配置直接指定从某接口入的报文从特定接口出，将两个二层的端口划为同一inline转发组即可实现报文透传。INLINE转发只支持二层物理接口，不支持逻辑接口，包括子接口；工作流程报文转发不再根据MAC表进行，而是根据用户已经配置好的一组配对接口进行转发，发送到设备的报文从其中一个接口进入后从另一个接口转发出去。现在是35页\一共有42页\编辑于星期一GE口业务应用普通防火墙应用SecbladeII插卡面板上的4个GE口也可以进行二三层的转发，可以设置为二层端口，进行二层转发或者配合interfacevlan接口进行路由，也可以设置为三层端口，进行三层转发。但对于SecbladeII插卡，不推荐这样组网。Web管理SecbladeII插卡配置命令主要是基于web界面配置，因此前面板上的4个GE口可以作为web管理接口。另外SecbladeII插卡在出厂时默认GE0/1口已经配置了管理IP：/24,并且加入了Managerment域。现在是36页\一共有42页\编辑于星期一GE口业务应用双机热备（HA）接口双机热备：简单来说，就是使用两块SecbladeII通过HA线相连，对会话信息进行主备同步；在其中某台设备故障后能将流量切换到备份设备上，由备份设备继续处理业务，从而保证了当前的业务不被中断。互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现。需要使用专有的备份链路口进行会话信息的备份，该备份链路口称为HA接口，不作数据转发，保障了备份的高可靠性及高性能。SecbladeII插卡只有面板上的4个GE口才能作为HA接口。现在是37页\一共有42页\编辑于星期一双机热备（HA）配置方法：采用插卡前面板上任意某一接口，加入到备份接口中，选择备份类型并使能，保存配置后重启插卡生效。现在是38页\一共有42页\编辑于星期一双机热备（HA）此时两块SecbladeII插卡的会话表会通过HA链路同步会话心跳线数据同步线CoreSwitchCrossLinkLoadBalancerFWSecBladeIIHAFWSecBladeII现在是39页\一共有42页\编辑于星期一产品简介防火墙基本概念透明模式转发（二层转发）路由模式转发（三层转发）GE口的业务应用案例应用目录现在是40页\一共有42页\编辑于星期一服务器群组核心路由器SR8875交换机75交换机核心热备路由器SR660820个大医院84个定点医院业务相关单位VPN拨入医