安全产品培训和汇报(新).pptx

资源描述

《安全产品培训和汇报(新).pptx》由会员分享，可在线阅读，更多相关《安全产品培训和汇报(新).pptx（62页珍藏版）》请在三一文库上搜索。

1、重装上阵，扬帆远航 2013 华三安全目录 H3C安全大事纪 H3C安全就在您身边 2013年安全渠道政策及解读商业安全明星产品商业安全产品全线升级安全销售三板斧商业安全经典案例 3 国内第一款IPS 率先提出安全渗透网络的理念承建国内最大的VPN网络中石油业界第一款40G防火墙 F5000-A 工商银行高端IPS部署 20042005-2007201420122008 以IP技术为核心关注网络安全和应用安全提供网络安全融合解决方案 H3C安全产品大事纪 H3C安全产品线成立最早推出云安全解决方案全系列产品通过IPv6认证推出高达1.6T吞吐量的防火墙 100G性能

2、的入侵防御检测 200G性能的负载均衡器华三持续走在安全市场和技术的最前沿 H3C安全产品全家福网络层安全 F100-C系列F100-S-G F100-M-GF100-A-G V100-E F100-E-G U200-C系列 U200-SU200-MU200-A F1000-S系列 F1000-A系列F1000-E系列 F5000-A5 应用层安全负载均衡产品 Secblade LB T1000-S T5000-S3 T1000-C SecBlade IPS T200-M T200-A T200-S T1000-A ACG2000-MSecBlade ACG ACG8800-S3 安全管

3、理 EAD SecCenter _FW /IPS /UTM/ACG Manager SecBlade FW、SSL VPN F1000-C L1000-A 百兆产品千兆产品万兆产品流控产品百兆IPS千兆IPS 全国有超过245万的用户在使用EAD ，市场占有率第一 IPS销售额第一连续4年稳据国内第一品牌 IPS已连续四年入围运营商集采短名单，成为其核心供应商国内负载均衡第一品牌成功入选国家水资源监控能力建设项目集采高端防火墙成功应用在公安部身份证认证中心/全国移动 IMS骨干网防火墙系列产品已连续五年入围运营商集采短名单，成为其核心供应商 H3C安全产品

4、连续三年市场占有率、销售增长率均居国内第一 F5000-C/S U200-CA U200-CS U200-CM F1000-C F1000-S-EI F1000-S F1000-A-EI F1000-E-SI F1000-A T200-S New H3C 入侵防御产品 H3C 新一代多功能防火墙 H3C 千兆防火墙 H3C 百兆防火墙 Mini UTM Manager H3C分销安全产品族 T200-M New F100-C-GF100-S-GF100-M-G F100-A-G F100-E-G H3C 负载均衡 L1000-A New New 目录 H3C安全大事纪 H3C安全就在您身边

5、 2013年安全渠道政策及解读商业安全产品全线升级渠道政策全面升级安全销售三板斧商业安全经典案例 H3C安全就在您身边您每次浏览的新华社最新报道 2008年，H3C承建新华社全球10个分支节点（包括纽约、巴黎、伦敦等）的 VPN网络，利用新闻大厦的外网环境与各分社间建立VPN链路，作为国际网专网的备份，是中国规模最大的新闻机构VPN网络。新华社是中国唯一一家国家通讯社，也是中国最大的新闻信息采集和发布中心。关注重点： lVPN多点互联、设备可靠性且稳定。 l总部与分支设备统一管理 l防病毒，安全互联 H3C安全就在您身边您从移动手机上下载的每一首彩铃成都12530为中

6、国移动无线音乐产品创新基地，主要负责中国移动无线音乐内容的引入管理和制作分发。可谓 “成都发声，传播全世界”。四川移动12530音乐基地（数据中心）采用华三高端防火墙插卡，实现核心交换与防火墙一体化部署，100G平台安全防护，为中国流量最大的音乐基地提供高性能防护。关注重点: l100G安全防护 l网络与安全一体化 H3C安全就在您身边您在肯德基的每次点餐 2009年，H3C承建百胜餐饮（YUM）全国VPN网络，为肯德基开展全国“宅急送” 提供网络支撑，初期规模3000节点（后续5000节点），是规模最大的商业连锁机构VPN网络。全球最大的餐饮集团，旗下包括肯德基、必胜客

7、、必胜宅急送、塔可钟、东方既白餐厅等。关注重点： l设备可靠性、稳定性、管理性以及服务的覆盖度、规范性 H3C安全就在您身边您每次经历的身份证信息查询公安部“全国公民身份证号码查询服务中心” 负责建设、管理和运营 “全国公民身份信息系统”，为政府部门、社会各界及人民群众提供公民身份信息核查和统计分析服务。 H3C全系列安全产品服务于全国公民身份证号码查询服务中心，为13亿人口身份证信息保驾护航。 H3C安全就在您身边您在工商银行所做的每次网上交易 2008年奥运前期完成中国工商银行南、北数据中心网银安全保障，目前已连续多次规模采购高端IPS，精确全面阻断各种病毒、木马、蠕虫

8、等攻击。中国工商银行是中国最大的商业银行，世界五百强企业之一，中国最大网银系统。关注重点： l性能瓶颈问题、访问速度提升 l原IDS设备漏洞误报、海量日志难处理 l系统漏击、应用层攻击、DDoS攻击等 H3C安全产品在各行业广泛应用教育：近100所教育用户（包括十多所211、985类高校）清华大学、浙江大学、复旦大学、北京大学、中南大学、北航、中央党校政府：70的中央部委、9个金字号工程国干网，如国家电子政务外网、国家财政部、国家人保部、国家公安部、最高检察院/法院电力能源：国电信息中心、几十个省级电力调度/信息网、中石油全国加油站互联、中石化、国家交通部/海

9、事局、T3航站楼大企业：30%五百强企业，10强煤炭集团、淘宝网、央视国际、华润、伊利、中铝、太钢、重钢等、煤电、烟草、零售金融：中国工商银行/中国银行/人民银行/交通银行等高端应用，中国人寿/平安保险4000点VPN互联，农信联超过50%份额，为30家证券/ 基金等提供奥运保障运营商：FW、LB及IPS连续四年入围中国电信、中国移动集采选型；高端万兆FW连续四年年成为中国电信、中国移动集团核心供应商之一目录 H3C安全大事纪 H3C安全就在您身边 2013年安全渠道政策及解读商业安全明星产品商业安全产品全线升级安全销售三板斧商业安全经典案例 2013年安全渠

10、道激励政策要点 BU政策对象政策细则行业BU 一级代理商、行业金牌、行业银牌安全产品业绩计算规则：所有安全产品的销售额，予以2.5倍虚拟业绩核算，计入门槛与返点业绩基数；商业BU 商业金牌、商业银牌安全产品业绩计算规则：所有安全产品的销售额（不含分销），予以2.5倍虚拟业绩核算，计入门槛与返点业绩基数；区域区域金牌、区域银牌安全产品业绩计算规则：所有安全产品的销售额（不含分销），予以2.5倍虚拟业绩核算，计入门槛与返点业绩基数；激励覆盖的产品激励覆盖的行业专业认证工程师要求所有安全产品行业、商业细分不设定H3CS-SECURITY工程师要求要点解析：门槛是否可达 u

11、普适性政策，银牌级别代理商以上皆可公司资质业绩门槛u没有业绩门槛，安全销售全部2.5倍激励 u 没有行业门槛，覆盖所有行业及商业细分行业门槛要点解析：奖励是否丰厚奖励级别销售额12年系数12年奖励13年系数13年奖励无20万0%0万4.50%0.9万无50万0%0万4.50%2.25万级别一100万3.50%3.5万4.50%4.5万级别二200万4.50%9万4.50%9万级别三300万5.50%16.5万4.50%13.5万要点一：没有行业门槛的限制，安全销售额更容易提高；要点二：没有业绩门槛的限制，安全销售激励颗粒归仓； 13年系数说明：4.5%=2.5*1.8%（估

12、算平均系数：行业1.5%，商业2%）要点解析：更大战略价值基础销售额虚拟销售额基础销售额虚拟销售额基础销售额虚拟销售额 10万25万50万125万200万500万 20万50万100万250万300万750万以小博大的战略价值：安全销售额提升，不仅可以获得安全激励，而且通过虚拟业绩的计算，可以达到整体业绩门槛的额度，获的更多返点；目录 H3C安全大事纪 H3C安全就在您身边 2013年安全渠道政策及解读商业安全明星产品商业安全产品全线升级安全销售三板斧商业安全经典案例商业安全明星产品推荐U200-M 统一威胁管理UTM 推荐理由：简单易用的WEB界面，可通过UTM man

13、ager管理多核多线程安全架构，保障全部功能开启时性能不下降丰富的VPN特性支持流控/防病毒/入侵防御检测等支持TRO69协议，易大规模部署适用场景 U200-M 联通 WEB 部门一部门二部门N E-Mail FTP DMZ 远程办公适用场景： 1. 中小企业网络出口 2. 安全一体化，易管理，易操作 3. 企业领导外出远程办公，安全接入内网商业安全明星产品推荐F1000-S-AI 推荐理由：全新多核架构，性能2G。高密度12combo接口，适用场景丰富内置免费链路负载均衡功能，适合多运营商线路出口。内置免费SSL VPN，满足用户外出办公安全接入内网的

14、要求。可扩展入侵防御/防病毒等安全功能全面支持IPv6状态检测新一代电信级千兆防火墙适用场景： 1. 大企业多条广域网链路出口 2. 安全一体化防护，选配入侵防御检测和防病毒，实现出口全面防护 3. 双机热备，提高稳定性、可靠性适用场景 DMZ1 内网办公区 DMZ2 管理中心按此图部署至少需要8个千兆口商业安全明星产品推荐T200-S 入侵防御检测IPS 推荐理由：多核分布式检测引擎，适应大流量环境全千兆接口，自带双路防护支持PFC掉电保护，双机热备等高可靠技术内置三大特征库病毒库、漏洞库、应用特征库性价比高，百兆最优适用场景防火墙联通 WEB

15、部门一部门二部门N E-Mail FTP DMZ 远程办公 T200-S 适用场景： 1. 中小企业出口防护，防病毒，防攻击。 2. 服务器区应用层防护商业安全明星产品推荐防火墙插卡防火墙插卡（适用高端交换机）推荐理由： 10G性能，适合大流量核心场景，与盒式设备相比，性价比高。核心交换和插卡融为一体，简化组网架构。方案优势明显。利用核心交换机的现有端口，性能线性增加，充分利用现有投资适用场景防火墙插卡联通 WEB 部门一部门二部门N E-Mail FTP DMZ 适用场景： 1. 中小企业核心层部署，各部门安全隔离 2. 出口安全防护 3. DMZ服务

16、器区防护目录 H3C安全大事纪 H3C安全就在您身边 2013年安全渠道政策及解读商业安全明星产品商业安全产品全线升级安全销售三板斧商业安全经典案例 2013商业安全重磅出击新一代 F100防火墙全新 L1000-A 负载均衡 Title 商业S75E 专用FW 插卡 1. 性能大幅度提升 2. 高密千兆接口 3. 免费内置链路负载均衡、SSL VPN 4. 可扩展IPS/AV/AC功能 F100-C/S/M/A/E-G L1000-A FW Blade-Lite 1. 性能2G，120w并发 2. 高性价比，价格远低于HW&RJ板卡。 3. 满足商业中小项目竞争需求，控标神

17、器。全新产品 1. H3C专业负载均衡器 2. 支持链路负载均衡和服务器负载均衡 3. 默认支持12combo，可扩展万兆接口 4. 支持双机热备，可扩展双电源 5. 性能2G 2013商业安全重磅出击新一代F100防火墙 F100-M-G F100-C-G u6个千兆电口、一个配置口（CON） u2 MIM插槽，可扩展2端口千兆电口卡或4 端口千兆光口卡 nH3C新一代F100系列防火墙，共5款，硬件形态如下所示： F100-S-G F100-A-G F100-E-G u5个千兆电口、一个配置口（CON） u1MIM插槽，可扩展2端口千兆电口卡 400M 800M 1G 1.2G

18、 1.6G 新一代F100系列防火墙特点总揽 n超高防火墙性能：400M-1.6G nWEB操作更迅捷 n多核MIPS架构 n基于Comware V5 n全千兆接口 n更高的端口密度 n全命令行和全 WEB配置 n智能配置向导 n同时支持SNMP 、Tr069双网管 n更全面的出口安全防护 n免费内置SSL VPN功能架构性能管理功能 ISP2 应用场景1 中小企业Internet出口防护对外服务器区新一代F100系列防火墙 SSL VPN 数据流 ISP1 u防火墙、NAT、 VPN、链路负载均衡、带宽管理、漏洞防护、病毒防护等多种特性合一，实现Internet 出口全面

19、流量管理内部网络应用场景2 分支机构互联VPN Internet F100-C-G F100-C-G F100-E-G F100-C-G IPSec VPN数据流双机热备，IPSec隧道状态同步统一VPN管理平台分支“零”配置启动全网隧道状态监控出口深度安全防护关键指标对比 H3C Cisco F100-E-G F100-A- G F100-M-G F100-S- G F100-C- G ASA5515 -K9 ASA5512- K9 ASA5510 防火墙性能吞吐量1.6G1.2G1G800M400M1.2G1G300M 硬件指标固定接口6GE6GE6GE5GE5GE

20、6GE6GE5FE 扩展槽位数22211111（SSM） VPNIPsec VPN支持支持支持支持支持支持支持支持 IPS入侵防御检测支持支持支持支持支持支持支持支持流控流控支持支持支持支持支持不支持防病毒AV支持支持支持支持支持链路负载均衡 LLB支持不支持 SSL VPN 同时上线用户数免费支持免费支持免费支持免费支持免费支持自带2个，最大250个，需配置 License 与CISCO相比我们的优势 n同价位产品性能全面超越思科 n链路负载均衡、流控、防病毒功能是思科、Juniper空白； nVPN（IPSec、SSL VPN）功能免费赠送，实惠。关键指标对比 H3C

21、Juniper F100-E-G F100-A -G F100-M- G F100-S -G F100-C -G SRX240SRX220 SRX210 SRX110 SRX100 防火墙性能吞吐量1.6G1.2G1G800M400M1.5G950M750M700M650M 硬件指标固定接口6GE6GE6GE5GE5GE16GE8GE 2GE+6F E 8FE8FE 扩展槽位数22211无无无无无 VPNIPsec VPN支持支持支持支持支持支持支持支持支持支持 IPS入侵防御检测支持支持支持支持支持支持支持支持支持支持流控流控支持支持支持支持支持不支持防病毒AV支持支持支持支持支持

22、支持支持支持支持支持链路负载均衡 LLB支持不支持 SSL VPN 同时上线用户数支持支持支持支持支持未见说明与Juniper相比我们的优势 n同价位产品性能全面超越Juniper n链路负载均衡、流控功能是Juniper空白。VPN（IPSec、SSL VPN）功能免费赠送，实惠。 nJuniper SRX210以下以百兆为主，不如我司，且所有低端产品无扩展槽与华为相比我们的优势关键指标对比H3C华为/华赛 F100-E-G F100-A- G F100-M-GF100-S-G F100-C-G USG2210/2220/2230 /2250 防火墙性能吞吐量（大包）1.6G1.

23、2G1G800M400M 200M/300M/ 400M/600M 硬件指标固定接口6GE6GE6GE5GE5GE2光电复用扩展槽位数22211 2FIC4MIC （可扩展1GE、4GE接口卡） VPNIPsec VPN支持支持支持支持支持支持 IPS入侵防御检测支持支持支持支持支持支持流控流控支持支持支持支持支持支持防病毒AV支持支持支持支持支持支持链路负载均衡 LLB支持不支持 SSL VPN同时上线用户数支持支持支持支持支持100（收费） n同价位产品性能全面超越华为 n链路负载均衡是华为空白；我司VPN（IPSec SSL VPN）功能免费赠送，实惠。 n主机自带接口数少

24、是华为硬伤 2013商业安全重磅出击全新L1000负载均衡继承目前LB板卡所有软件特性盒式与插卡形成系列定位于各行业多出口链路场景及中小型数据中心场景 L1000-A 产品规格 F5 LTM 3600 Cisco ACE 4710 深信服 AD-4000 H3C L1000-A 吞吐量2G0.5/1/2/4G（ License不同） 1-2G4G（四层） 2G（七层）接口配置 8电+2*Combo4电6电+4光12Combo 扩展插槽数量无扩展槽位无扩展槽位无扩展槽位2个扩展槽支持扩展的单板类型 4GE光/2GE电 /2*10GE L1000负载均衡应用场景 Internet

25、多链路出口小型数据中心 ISP1 ISP2 ISP3 USER1USER5USER4USER3USER2USER6 L1000-A 服务器集群服务器集群 L1000-A 该设备可满足行业Internet多链路出口智能选路需求 L1000-A还可满足小型数据中心服务器负载均衡需求各场景均可双机部署提升可靠性适用场景小型园区网小型数据中心 2013商业安全重磅出击商业专用FW插卡竞争利器低价格提高HW&RJ商务性能吞吐量2G 并发120w 适用主机 S75E系列交换机如何使用好商业专用FW插卡适用项目类型：50万以下中小型项目适用产品：核心交换机为S75E系列交换机

26、竞争背景：对于中小项目来说，原有的10G防火墙板卡和华为、锐捷竞争起来价格优势并不是那么明显。并且，从用户需求角度来讲，10G吞吐量的防火墙不太适合流量较小的中小企业适用。所以，无论是从竞争角度出发还是从客户需求出发，都需要一款性能适中，价格相对较低的FW插卡。于是，在2013年，H3C推出全新商业专用FW插卡招标引导杀手锏： 1. 引导核心交换机支持FW插卡（迫使华为锐捷使用价格很高的FW插卡） 2. 引导防火墙插卡面板上支持4GE管理接口（华为和锐捷都不满足，可加分） 3. 引导防火墙实际支持IPSEC（HW支持IPSEC需要另外的板卡，RJ板卡不支持，可加分）选择安全插卡

27、的七种理由 n 性价比高：同等性能安全插卡相对于盒式设备，价格都只低不高。 n 可靠性强：基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交换。任何一块插卡出现故障，基于H3C专利技术，可以通过 Bypass方式使得流量自动绕过故障插卡，保证业务流正常处理和转发，不会出现单点故障。 n 扩容贴心：采用盒式设备串联部署，遭遇性能瓶颈时只能更换设备，而插卡弹性扩容，性能即可倍增。 n 防护简单：交换机的各种业务流量可以根据需求，采用VLAN、策略路由、静态路由等方式引入各种安全插卡，真正实现按需防护。 n 组网方便：交换机各种业务接口都能为插卡所用，可是实现安全业务无限扩展。 n 布

28、线轻松：网络安全一体化，一个机框解决所有需求，扫除一切蜘蛛网。 n 空间节省：一个机框融合多种安全功能，大大减少盒式设备的数量，机房空间也大大节省。目录 H3C安全大事纪 H3C安全就在您身边 2013年安全渠道政策及解读商业安全明星产品商业安全产品全线升级安全销售三板斧商业安全经典案例安全销售三板斧往哪些行业卖？学校、医院金融网点中小企业零售连锁门店酒店政府大楼 SoHo 各行各业都需要安全产品！安全销售三板斧往哪些场景卖？ VLAN 1 VLAN 2 VLAN X 内网办公区数据中心区核心业务非核心业务广域网接入区网络管理区对外接入区互联网接入区互联

29、网服务互联网连接局域网骨干局域网连接广域网连接 iNode终端图例外联服务区分支机构分支机构专线分支机构分支机构分支机构合作伙伴合作伙伴外联服务前置 SecPath 防火墙服务器负载均衡 WAAM广域网优化 SecPath IPS 负载均衡 SecPath IPS SecPath IPS SecPath 防火墙/VPN SecPath UTM SecPath ACGWAAM广域网优化 SecPath 防火墙/VPN SecPath UTM 安全管理中心 SecCenter SecBlade插卡实现安全隔离支持802.1x/portal认证的以太网设备 Sec

30、Path 防火墙/VPN SecPath UTM SecPath 防火墙/VPN SecPath UTM SecPath 防火墙 SecPath防火墙/VPN 服务器前端局域网部门边界 Internet出口广域网出口分支出口安全销售三板斧卖什么东西？防火墙IPSUTM 流控负载均衡特征码文件 P2P协议分析 BitTorrent 比特精灵 BitComet FlashBT MSN Yahoo Message eMule eDonkey Server 1Server 2 负载均衡 1 2 3 6 5 4 Server n 1 2 3 4 5 6 安全销售三板斧卖什么东西？ I

31、nternet Internet的开放性导致网络安全威胁无处不在拒绝服务攻击 ARP攻击泛滥未授权资源访问非法资源访问内部地址直接访问没有防火墙的 Internet千疮百孔安全销售三板斧卖什么东西？ Internet出口仅卖防火墙还不够！ IPS给您带来增值的机会 Web services Web enabled apps HTTP载荷中的病毒、木马、蠕虫等恶意代码 80端口服务器被攻破 http:/10.74.16.88/scripts/%c0%af. cmd.exe?/c+dir+c: 防火墙可被应用层的攻击穿透，而目前90以上的攻击是基于应用层的攻击。 Intrusion

32、 Prevention System主动入侵防御系统简单的讲：IPS是在应用层上进行威胁检测和抵御的“深度安全防护设备” 。防火墙就像普通的门，是粗筛子，IPS就像安检通道，是细筛子。深入的讲：防火墙是L3-L4的安全防御设备，IPS是L2L7层上进行防御，可以全面解决“传统防火墙IDS” 无法解决的新型网络威胁。防火墙是 IPS是安全销售三板斧卖什么东西？安全销售三板斧卖什么东西？访问访问频度较大的业务：频度较大的业务： Internet Internet、MailMail、DNSDNS 带宽占用较大的业务：迅雷、带宽占用较大的业务：迅雷、BTBT 、电驴、电驴、QQQQ、M

33、SNMSN 领导关注的业务：领导关注的业务：NetmeetingNetmeeting、 VoIPVoIP、OracleOracle、VPNVPN 内部员工因为各种IM即时通讯软件、网络在线游戏、P2P下载软件、在线视频、浏览工作无关网站导致企业网络资源滥用、Internet出口网络性能下降先到先得带宽资源严重失控安全销售三板斧卖什么东西？负载均衡分发技术高效、正确的分发流量至“健康”服务器持续性技术保证一定时间段内某一个用户会话交给同一服务器处理（网银、网购等业务要求）服务器健康检测技术剔除“坏” 服务器，保留“健康服务器池 ” Server 1 Server 2 负载均

34、衡 1 2 3 6 5 4 Server n 1 2 3 4 5 6 n服务器负载均衡三大核心技术 n负载均衡是什么？用途：服务器负载均衡和链路负载均衡实际上就是个智能交换机 ISP1ISP2 ISP3 outbound智能选路功能高效、正确的分发流量至“合适”的链路 Inbound智能DNS功能客户端访问网站时确保走最优链路链路保护机制每条ISP设置阈值，链路数据流达到阈值后，LB不再向该链路发送数据流。 n链路负载均衡三大核心技术 1 23 安全销售三板斧怎么去卖？ VLAN 1 VLAN 2 VLAN X 内网办公区部门一部门一部门一骨干网络内网办公区

35、，您有没有想过部署防火墙？有个问题：防火墙到底放在交换机前，还是交换机后？局域网部门边界怎么卖？安全销售三板斧怎么去卖？ ADSL/NA T Internet/广域网石化石油网点金融分支网点政府企业小型分支零售连锁门店百兆UTM 百兆UTM百兆UTM 百兆UTM 总部就像互联网出口安全防护一样，展开您的想象防火墙？OR 防火墙+IPS OR UTM 分支机构出口怎么卖？服务器组前端怎么卖安全？安安全全保保护护层层接入交换机接入交换机服务器组服务器组汇聚交换机汇聚交换机防火墙访问控制隔离 IPS WEB等深度入侵防护负载均衡智能流量调度安全销

36、售三板斧怎么去卖？如何挑选一款合适的安全产品关键指标解析吞吐量 n吞吐量是什么？网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。防火墙作为内外网之间的唯一数据通道，如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输效率带来负面影响。此指标的高低与CPU的类型有直接关系。 n吞吐量与带宽的关系业内吞吐量的标识一般是设备在一个方向的最大转发能力。而实际上业务交互是双向的。因此，在使用链路带宽来选择产品时，要注意：带宽*2=设备吞吐量举例：客户互联网出口100M 则至少选择吞吐量是200M的防火

37、墙 n吞吐量的大包与小包 CPU每条处理报文的数量是固定的，但是，处理大包和小包的数量是一致的。同样转发10000个大包（1500字节）和10000个小包（64字节）所计算出来的吞吐量差别巨大。国内安全厂商通常只公布大包吞吐量关键指标解析并发连接数 n由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个 TCP/UDP的访问，这个参数的大小直接影响到防火墙所能支持的最大信息点数。 n并发连接数的增大意味着对系统内存资源的消耗。内存越大，并发连接数越大。业内安全设备并发连接数一般远高于实际需求量。 n一个用户并不代表一个连接。

38、每个用户最多有可能发起上千个连接。关键指标解析新建连接数 n新建连接数：指每秒钟可以通过防火墙建立起来的完整 TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度慢 n在用户量较大的情况下容易造成防火墙处理能力急剧下降。通常新建连接数急剧上升是网络内部爆发蠕虫病毒的标志。 n防火墙新建连接表示接入用户的速度，并发连接表示总计接入的用户数量。关键指标解析用户数 n防火墙具体带机数是一个估算指标，因为不同用户的差异很大，因此，这里给一个估算方法，具体指标参见产品规格。 n通常原则：用户应用中耗费连接数最多的是Web页面，

39、一般按照打开一个Web页面需建立20个TCP连接计算，一个用户最多同时打开Web页面在20以内并发连接数如下：2020400，防火墙并发连接数/400防火墙最大带机数。 n举例：F1000-E并发200万，最大带机数200万/4005000用户。以上计算方法在应标中可以作为参考。其他选型参考因素 n 根据安全保护的要求来进行防火墙产品的选型 1、安全设备所处位置确定设备等级 2、应用类型及防护需求确定设备应具备功能 3、带宽确定设备等级 4、组网模式确定防火墙对网络功能（VRRP、OSPF等）的支持及接口 5、考虑冗余电源等关键部件冗余、双机备份 6、接口类型确定联线方式 7、扩

40、容需求确定设备可扩展性，如接口扩展、功能模块扩展 8、安全等级考虑是否需要异构说明： 1、本配置检查表需要根据“应用场景”、“参考条件”和“参考指标”三个选项确定产品类型和推荐型号； 2、除“应用场景”、“参考条件”和“参考指标”单元格为手工选择外，其他内容为自动生成，无需编辑； 3、所有推荐型号为建议型号，并非强制，可根据用户实际情况自行确定相关产品； 4、“产品类型“中如显示空白，则表明在当前应用场景下，可不配置此类产品； 5、安全插卡根据“产品类型”生成的相关类型建议进行配置即可，本检查表不做建议； 6、本配置检查表仅涉及行业安全产品，分销安全产品暂不涉及。安全产品配置武功秘籍配

41、置检查表目录 H3C安全大事纪 H3C安全就在您身边 2013年安全渠道政策及解读商业安全明星产品商业安全产品全线升级安全销售三板斧商业安全经典案例 H3C安全保障上海青浦区政务外网青浦电子政务平台从2002年8月开始动工建设。经过多年的建设目前已经建成了覆盖全区所有委办局机关和财政拨款事业单位的内部办公网络，区委区府已经停止简报和一周重要活动的纸质发送，完全利用网络进行传递。青浦区新一代电子政务网采用了H3C公司的高性能产品。4台S12508核心交换机组成了区政务外网的万兆核心层架构，满足了区政务高性能应用的需求。S9台S7506E和原有的C6509共同组建了电子

42、政务网的汇聚层，双归属连接确保了网络的高可靠性。每台S7506E配置IPS和ACG业务板卡，确保了骨干网络的安全性，MPLS VPN的部署，实现了用户应用流量的安全分离。 H3C安全助力杭二中信息化建设杭州第二中学，为历史文化名城杭州建立最早的现代中学。其前身为私立蕙兰中学和国立浙江大学附属中学。蕙兰中学创办于“戊戌变法”的志士仁人以鲜血推行近代化的翌年（1899），创办人为美国基督教北浸礼会差会传教士甘惠德（W.S.Sweet）；浙大附中创办于“七七事变”后的颠沛流亡之中（ 1940），创办人为著名科学家、教育家竺可桢教授。学校按照省一级重点中学标准，信息化建设已经达

43、到国际水准：基于VLAN的千兆以太网高密度的无线网络遍布校园的800个多媒体信息点所有教室配备的数字化多媒体终端组合具备完善多媒体设施的4个计算机学科室学校出口部署H3C千兆防火墙F1000和上网行为管理ACG2200，实现了对全校师生上网行为的监督和管理。 H3C安全实现远成集团稳定互联中国首批5A级“综合服务型物流企业” 随着远成集团的日益壮大，面向综合物流服务的业务转变，旧有网络系统已经不能满足多业务，多渠道，集团化的发展需要。H3C安全帮助远成在保留旧有投资的条件下，建设新的网络，融合数据安全解决方案，以满足集团化管理应用、综合物流服务应用，并支持总部和分公司、营

44、业网点之间的安全稳定的互联。远成集团创建于1988年，注册资金2.3 亿。经过20多年的发展，远成集团现已拥有直属一级分公司34家，二级分公司上百家，营业网点近600个，自有车辆近 2000台，可控车辆4000多台，员工人数近10000人，仓储面积近40多万平米。远成集团是是中国首批5A级“综合服务型物流企业”，并荣获“中国物流品牌价值百强企业奖”、“中国物流十大成长力企业奖”等荣誉。 H3C实现南京江宁区教育城域网安全加固 2012年9月5日，全国教育信息化工作电视电话会议隆重召开，这在教育历史上，第一次举办由教育部部长支持、召开“信息化” 专题的会议。会议中，中央领导

45、第一次明确提出了“三通两平台”概念，三通即“宽带网络校校通”、“优质资源班班通”、“网络学习空间人人通”，两平台即教育资源和管理两大公共服务平台。江宁区采用H3C高性能UTM部署在全区51所学校出口，在实现与区教育平台安全互联的同时，通过UTM可扩展的防病毒，防入侵的功能，对校园出口提供一体化的安全防护。并且能够对学校学生和老师上网行为进行记录，满足公安部82令对互联网行为审计的要求。 H3C提供绍兴区域医疗信息平台等保建设方案医疗信息资源平台是一个真正意义上整体设计、统一开发、功能完善、满足数字化医院需求的医疗信息资源平台，提供全面的临床信息系统和医院管理信息系统。为了保障公民信息安全，国家要求重点行业、重要单位加快等级保护建设，依据响应的法律法规对所使用的信息系统进行定级，并按照相应级别进行安全保护。绍兴区域医疗信息平台采用H3C等保建设方案，对其平台内各种系统进行安全加固，全面实现了等级保护规定的网络安全，为公民的医疗信息安全贡献了自己的一份力量！

展开阅读全文