H3C IDC解决方案
数据中心是当前运营商和各大企业的IT建设重点。运营商、金融、电力、政府、能源、交通、教育、制造业、大型企业、网站和电子商务公司等正在进行或已经完成数据中心建设,通过数据中心的建设,实现对IT系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低IT建设的整体TCO。
H3C公司长期致力于IP技术与产品的研究、开发、生产、销售及服务。H3C不但拥有全线路由器和以太网交换机产品,还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。
H3C长期保持对数据中心领域的关注,持续投入力量于数据中心解决方案的研发,融合了IP网络安全、IP存储、软件管理系统、IP监控等产品的基于IToIP架构的数据中心解决方案,有效地解决了用户在数据中心建设中遇到的各种难题,已经在各行各业的数据中心建设中广泛应用。
前端两层
图 H3C IDC解决方案组网拓扑
前端三层
1
1 深度入侵防御IPS
(H3C Tipping Point,国际市场占有率40%以上):L4~L7的安全防护:DDoS、病毒、木马、网络钓鱼;能够对邮件和网页病毒和内容进行过滤;
H3C IPS优势:0、1、5、500、10000
0:无可靠性担忧
支持内置旁路、掉电旁路和状态保持冗余功能,全面的高可靠性 1:品牌全球第一
全球唯一NSS金奖、唯一ICSA千兆IPS认证、2005年IPS市场占有率第一(Infonetics) 5:业界性能最强的IPS
采用专有的基于ASIC、FPGA和NP的硬件平台实现深度应用检测和威胁抵御,保持与交换机同等的高吞吐量(最高5Gbps)和低延时(<150微妙) 500:已突破全球财富500强中的绝大多数
从企业出口到数据中心、从行业到运营商均大量部署H3C IPS。如微软、GE、沃尔玛、宝马、现代、丰田、Hitachi、eNom、AEC等。 10000:10000个过滤器并发处理
通过强大的处理能力,保证检测准确性。可防御DoS/DDoS、操作系统/应用漏洞、P2P/ IM、病毒、VoIP、间谍/广告软件、网络钓鱼等各种最新的安全威胁。
国内应用案例
政府 国家发改委 贵州省政府 公共事业 云南石油 电力 甘肃兰西热电 金融 中国建设银行 运营商 上海电信 网通集团 浙江移动 云天化股份 乌鲁木齐电力调度 云南省农总行 浙江兰溪电厂 重庆银监局 山东省国土资源厅 上海通用 2 H3C ASE
应用加速引擎,TCP、SSL加速/卸载,DDoS防护,服务器负载分担,可提高服务器性能10倍以上;
H3C SecPath ASE系列产品是采用全硬件架构(NP+FPGA)设计的,通过不同的内置硬件模块实现TCP优化、内容压缩、负载均衡、SSL加速等技术,达到应用加速的目的。使用ASE,可以为目前不堪重负的数据中心减轻过重的负载,同时ASE可以根据数据中心的具体需要,与其它产品配合形成一体化解决方案。SecPath ASE产品的一般应用场景如下图所示:
2
图 SecPath ASE应用场景
在上图中,ASE部署在服务器前端,为服务器截取、处理用户请求,并为服务器提供各种优化功能,大大提高服务器性能,缩短客户端响应时间,降低带宽占用。
采用ASE产品后,预期优化效果能够达到:
TCP卸载 服务器CPU节省 服务器内存节省 服务器处理能力提升 压缩 客户端响应时间提升 站点带宽节省 服务器CPU节省 SSL 服务器CPU节省 可达90% 可达66% 可达66% 可达90% 可达50% 可达80% 大于300% *上述数据基于ASE5000和Apache 2服务器系统
H3C SecPath ASE的卸载、加速与优化功能可以在众多应用HTTP协议的数据传输中予以应用,包括Web服务器、Cache服务器等。
3 智能管理中心iMC
智能管理中心;网络设备管理、用户和业务管理相融合。
以用户为本,灵活分配资源,迅速响应业务目标的变化是H3C iMC系统结构设计的出发点,从而保证了整个系统结构可以适应业务扩展、业务变更,进而满足业务流程再造的应用需求:
➢ 通过平台+组件化设计,平台框架实现了资源的统一管理和访问控制,不同业务独
立设计,形成可扩展的组件设计模式,提供业务扩展能力;
3
➢ 不同功能组件之间实现融合联动,功能组件不再独立支撑业务,而为客户提供更实
用的业务支撑;
➢ 按照客户所需进行组合装配,通过业务流程完成整个网络管理和运维;
➢ 基于SOA架构设计,实现资源访问层、业务逻辑层和应用表示层分层实现,每一
层可以对外提供接口,具备系统集成能力;
4 ASM防病毒模块
防病毒安全模块(ASM,Anti-Virus Security Module)可以对通过的流量进行在线的安全性检查,过滤信息中携带的病毒、蠕虫、木马、间谍软件,有效保护内部网络的安全。
EAD终端NSM模块SecPath防火墙H3C IPSSecPath防火墙中心交换机SecPath防火墙数据中心NSM模块分支机构SecPath防火墙EAD终端分支机构分支机构移动客户EAD终端 ASM模块采用高性能的硬件架构和独立的安全操作系统,工作时不影响设备性能。可
4
利用设备本身的网络联动能力,形成灵活的流量查杀策略,并与设备自身的安全特性相结合,为提供一体化的安全解决方案。
强大的查杀毒能力
ASM模块内集成了业内最优秀的杀毒引擎,支持HTTP、SMTP、POP3、FTP四种常用协议。ASM模块支持内部杀毒引擎的更新,一旦有效率更高的杀毒引擎发布,用户可以直接下载更新。
丰富的日志记录方式
ASM模块提供了强大的日志审计功能,并可提供详细的日志分析统计报告。ASM模块日志支持本地syslog、本地mysql、远程syslog、远程mysql多种记录方式。
灵活的配置、管理策略
ASM模块可以设置性能优先和准确性优先两种不同的查杀病毒策略,允许用户开启或关闭对不同格式的文件、压缩文件、加壳代码的查毒功能,可以根据用户实际情况添加、删除、修改病毒规则,或改变病毒规则的匹配顺序
一体化的安全保护
ASM模块透明的嵌入路由器中,在不影响原组网模式的情况下,与主设备配合完成查杀病毒的工作。
5 NSM网络流量分析模块
基于OAA开放架构,全面的流量分析、流量监控与分析,提升网络性能和带宽使用;
EAD终端NSM模块SecPath防火墙H3C IPSSecPath防火墙中心交换机SecPath防火墙数据中心NSM模块分支机构SecPath防火墙EAD终端分支机构分支机构移动客户EAD终端
H3C NSM(Network Security Monitor)网络安全监控模块是H3C公司开发的新一代专业安全产品。H3C NSM模块和H3C SecPath系列防火墙无缝融合,可以为用户提供网络流
5
量统计、流量监控、漏洞检测、性能优化等功能。通过NSM提供的图形化界面和直观全面的统计信息,管理人员可及时掌握网络状况,增强了网络的风险防范能力。
全面流量统计:NSM可对网络中的所有流量进行采集和分析,并能按照不同要求进行相关处理。
完善流量监控: NSM可以将网络中的各种信息展现给管理人员,以便于深入的数据分析,及时定位网络中的异常流量和故障点。还可对网络中的安全漏洞进行实时检测,发现和消除网络中的安全隐患。
清洗及优化: NSM通过网络流量分析,可以协助管理人员探知网络的不合理使用,对网络应用进行梳理,从而提升网络性能。
友好用户界面: NSM采用基于Web方式的用户界面,通过生动、灵活的图形和图表方式为用户直观展示网络状况。页面设置和操作充分考虑人性化,用户能按照自己的思维方式对网络数据进行一步一步的挖掘。
6 端点接入防御EAD
EAD(Endpoint Admission Defense、端点准入防御)是H3C推出的一种端点安全解决方案,该方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,可以依据接入用户终端的安全状态,强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。
“早发现,早隔离,早治疗”。 通过对接入用户的主动防御与监控,将网络中的不安全
因素提前消除;
主动防御:通过安全客户端、CAMS安全策略服务器、接入设备与防病毒软件的联动,
将不符合安全要求的“危险”终端限制在“隔离区” 内,主动适应安全变化;
集中管理:以统一的安全策略服务器进行用户安全接入的集中统一管理,适应智能易管
理的需要;
6
监控、警告、隔离三种模式,适用于不同企业的管理模式:监控、警告模式不影响员工
工作,通过行政手段进行处理;隔离模式通过技术手段强制接入用户遵守企业安全策略规范,省心省力,解决某些企业行政管理不起作用的无奈。
7 安全管理中心SecCenter
基于硬件的安全信息及事件管理(SIEM)系统,对重要的安全事件进行关联分析,快速发现真正的安全隐患,构建智能、高效的安全网络。
支持异构网络中多厂家安全设备
SecCenter A1000不仅能够支持H3C各种设备类型,同时可以支持业界主流安全产品,支持产品类型高达上百种,其中包括防火墙、IPS、IDS、路由器、交换机、交换机,VPN,路由器,防火墙,IDS/IPS,内容过滤系统,防病毒系统,防间谍软件系统,防垃圾邮件系统和Windows,Unix和Linux 主机等。管理设备数量高达近千台;
实时监控&事件关联
支持上百种监控方式 实时显示事件详情 实时监控安全资产信息 攻击、病毒、DDoS实时报警 相关信息实时整合 信息统计实时图表输出 完善综合的报告
SecCenter提供了跨越整个IT范围的关联报告,包含了客户所要求的各种报告,有近1000种清晰明了的报告模板,由此来帮助我们评估:网络入侵,协议使用,web使用,病毒,垃圾邮件,间谍软件,失败登录尝试,未授权访问,基于主机的活动以及资产管理CPU,内
7
存使用率,硬盘利用率等等,便于发现各种安全风险情况,使安全管理员在整个安全网络中更有预见力。
强大的日志管理
SecCenter A1000兼容主流厂商日志格式,并通过多种方式获取设备日志信息,包括主动收集、被动接收等;通过SecCenter A1000独特的高聚合压缩技术,在大数据量情况下(如每天几十GB)仍能够存储几个月甚至几年的日志信息;同时,它还能自动压缩,加密和保存日志文件到DAS,NAS或SAN等外部存储系统来满足大容量需求。
安全拓扑和可视化威胁
SecCenter A1000综合所有网络信息,产生整网安全拓扑视图,安全管理员能够通过一个界面直观的查看整个网络安全状态,查看与安全相关的事件,使网络威胁可视化。
灵活部署,平滑升级
为满足不同网络规模的需求,SecCenter系列产品能够采用独立安装以及分布式部署两种方式,并允许从独立部署方式到分布式部署平滑升级。
8 网络过滤
支持协议丰富:支持基于HTTP、SMTP、FTP、POP3协议的内容过滤,同时支持针对P2P、IM、MSN、QQ的深度协议分析和流量控制。
细致的内容过滤:能够针对HTTP进行URL过滤、网页内容过滤,针对SMTP协议支持发件人、收件人、主题、附件类型、附件名过滤,针对FTP协议支持命令字(例如允许Get不允许Put)、文件名过滤,对于POP3也能根据发件人、收件人、主题等进行过滤,针对P2P、IM、MSN、QQ等协议可以进行流量分析和控制。
邮件过滤:SMTP邮件地址过滤、邮件标题过滤、邮件内容过滤、邮件附件过滤 网页过滤:HTTP URL过滤、HTTP内容过滤
应用层过滤:Java Blocking、ActiveX Blocking和SQL注入攻击防范
9 SecBlade防火墙板卡
与网络深度融合:与S95/75E交换机紧密结合,简化网络结构,减轻管理难度,支持丰富的网络特性,如RIP/OSPF/BGP等动态路由;
超高性能:8Gbps防火墙吞吐量、2Gbps 3DES加密性能
专业安全特性:支持虚拟防火墙、MPLS VPN混插、防DDoS、P2P限流等功能;
集成VPN功能:支持IPSec VPN和GRE VPN,无须购买独立VPN模块即可支持VPN。
8
10 全交换网络设计
性能高、吞吐量大,可靠性高,扩展性好。 核心层:推荐H3C S9500高性能核心路由交换机:
性能卓越:背板交换容量可达1.44Tbps,三层包转发能力高达857Mpps 接口密度高:最大可支持576个千兆以太端口或48个万兆兆以太端口 业务类型丰富:支持分布式的IPv6和MPLS,各种路由协议
电信级高可靠:双机热备,用分布式体系结构,所有关键部件采用冗余设计 汇聚层:推荐H3C S7506E高性能交换机
强大的交换容量和端口密度,具有768G的交换容量和1.6Tbps的背板容量,可扩展
到480个千兆以太端口和24个万兆以太端口;
业务丰富,支持IPv6、MPLS PE和MCE,支持灵活的ACL, PoE、EPON, 灵活的QoS策略和带宽管理,可以用户需要和经济能力分配不同网络带宽,提高服
务质量和网络带宽利用率,增加IDC 营收;
部署灵活,可与防火墙、IPS等模块通过分布式或集中式结合,保护用户投资; 与SSL VPN和ASE模块组合,可提高服务器响应速度和业务处理能力10倍以上,
丰富增值业务内容和类型;
接入层
接入层采用H3C S5500EI三层万兆以太网交换机:
具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。 支持最多4个万兆扩展接口,可以满足用户今后5年的带宽需求; 支持IPv4/IPv6硬件双栈及线速转发; 出色的安全性,可靠性和多业务支持能力
强大而安全的管理性能:支持SNMP网管、CLI命令行,Web网管,支持SSH2.0
11 多个大型项目经验
➢ 建行总行数据中心和19个省级分行数据中心 ➢ 中国农业银行骨干网和35个一级分行 ➢ Sohu IDC ➢ 百度IDC ➢ 工行数据中心 ➢ 广东电信数据中心 ➢ 上海电信 ➢ 杭州移动 ➢ 河南网通数据中心
9
➢ 中国网通新疆数据中心 ➢ 厦门网通数据中心 ➢ 中国电信上海嘉定数据中心 ➢ 中国移动福建龙岩数据中心 ➢ 北京电信酒仙桥数据中心 ➢ 北京电信上地数据中心
12 完整的IP存储解决方案
✓ H3C IP存储将业界领先的数据管理和应用服务技术在IP标准架构之上进行有效整合 ✓ IP存储是运用IP技术作为整合IT基础架构的标准化手段,以存储虚拟化和资源化、数
据管理标准化为目标,是存储发展的大势所趋
10
因篇幅问题不能全部显示,请点此查看更多更全内容