[转帖]H3C 边界防护解决方案...

方案概述
网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边界。跨边界的攻击种类繁多、破坏力强，虽然采用了防火墙、防病毒、IDS等传统的安全防护手段，但是以下问题仍然困扰着用户：
²如何应对层出不穷的DDoS、病毒、蠕虫、页面篡改等攻击
²设备在不断增多，人员不断增加，如何解决安全的统一管理问题

H3C边界防护解决方案可彻底解决以上问题，是针对边界安全防护的最佳方案。方案由安全网关、入侵防御系统和安全管理平台组成。安全网关SecPath防火墙融合2-4层的包过滤、状态检测等技术，配合SecPath IPS 4-7层的入侵防御系统，实现全面的2-7层安全防护，有效地抵御了非法访问、DDoS、病毒、蠕虫、页面篡改等攻击；并通过安全管理平台对安全网关、入侵防御系统以及不同厂商设备进行统一安全管理。

典型组网

方案特点
l最全面的边界安全防护
H3C推出基于核心交换机的SecBlade防火墙/IPS模块和SecPath防火墙/IPS盒式设备，是业界唯一能同时提供万兆插卡和盒式设备的厂商，可根据用户的实际情况提供两种不同产品形态的解决办法。

SecPath/SecBlade防火墙产品集成了包过滤和状态检测技术，对不同信任级别的安全区域制定相应安全策略，防止非授权访问。SecPath盒式设备支持H3C OAA开放应用架构，可在设备上部署防病毒、网流分析等业务模块；SecPath/SecBlade IPS是业界唯一集成漏洞库、专业病毒库、协议库的IPS产品，特征库数量已达上万种，并保持不断更新，能精确实时地识别并防御蠕虫、病毒、木马、DDoS等网络攻击，细粒度地控制P2P/IM造成的带宽滥用。

通过对防火墙和IPS的有机结合和功能互补，为用户提供2-7层的全面安全防护，有效的抵御来自网络边界的各种安全风险。

l统一安全管理
不同厂商、不同种类的网络和安全设备之间缺乏信息交互，容易形成信息孤岛。SecCenter可对异构环境下的全网设备进行统一管理，支持上百家厂商的防火墙、IPS/IDS、路由器、交换机、防病毒系统、服务器等多种类型的产品，通过对海量信息的采集、分析、关联、汇聚和统一处理，实时输出分析报告，帮助管理员及时地对网络安全状况进行分析与决策。

l安全与网络的深度融合
基于H3C在网络及安全领域的深厚技术积累，用户可选择在核心交换机中增加万兆SecBlade防火墙/IPS模块，针对大型园区网、内部区域边界隔离等需求时，可提供完善的安全防护功能，并且无需部署独立的安全设备，简化网络结构，避免单点故障，便于用户管理，真正实现安全与网络的深度融合。

l高可靠性
通过设备的双机状态热备、L3 Monitor等先进技术，可实现双链路、双网关备份，在链路故障或设备故障的情况下，及时发现故障并快速自动切换，极大提高网络可靠性，保证用户业务的不间断运行。

l虚拟化安全服务
H3C SecPath防火墙和IPS产品均可提供虚拟化安全服务，通过划分多个虚拟系统来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少虚拟系统的方式十分灵活的解决后续网络扩展问题，简化了网络管理的复杂度，并有效降低用户安全建设的成本。

转自：http://www.yishang-h3c.com/wmkeyword_redirect.asp?kvid=700178&source=1&show=ignore