SecBlade防火墻插卡具有對業務的良好支持，作為NAT ALG或者ASPF過濾，都能夠滿足正常業務的運行。

         SecBlade防火墻插卡易于管理，讓管理員舒心。

         SecBlade利用虛擬防火墻技術實現為不同業務和用戶實現不同安全防護。

        虛擬防火墻是一個邏輯概念，可以在一個單一的硬件平臺上提供多個防火墻實體，即，將一臺防火墻設備在邏輯上劃分成多臺虛擬防火墻，每臺虛擬防火墻都可以被看成是一臺完全獨立的防火墻設備，可擁有獨立的管理員、安全策略、用戶認證數據庫等。每個虛擬防火墻能夠實現防火墻的大部分特性。每個虛擬防火墻之間相互獨立，一般情況下不允許相互通信。

         H3C SecPath/SecBlade虛擬防火墻具有如下技術特點：

         每個虛擬防火墻維護自己一組安全區域;

         每個虛擬防火墻維護自己的一組資源對象(地址/地址組，服務/服務組等)

         每個虛擬防火墻維護自己的包過濾策略

         每個虛擬防火墻維護自己的ASPF策略、NAT策略、ALG策略

         限制每個虛擬防火墻占用資源數：防火墻Session以及ASPF Session數目

         除此之外，在防火墻的日常維護工作中，主要的工作就是定義和維護大量的訪問控制策略，正是因為這樣的應用，用戶需要一種強大，直觀，簡便的管理工具來對防火墻設備進行管理，尤其是在增加了虛擬防火墻特性之后。H3C系列防火墻的面向對象配置管理技術充分考慮到管理員在一臺設備上管理多種配置的復雜性，提供了對地址資源、服務資源、網絡流量的形象化定義，讓用戶可以將網絡中的網段、主機和服務等各種資源抽象為更加直觀的、便于記憶和理解的對象。

         SecBlade防火墻模塊是將交換機的轉發和業務的處理有機融合在一起，使得交換機在高性能數據轉發的同時，能夠根據組網的特點處理安全業務。

         SecBlade 防火墻模塊可以對需要保護的區域進行策略定制，可以支持所有報文的安全檢測，同時SecBlade 防火墻模塊支持多安全區域的設置，支持Secure VLAN，對于需要防火墻隔離或保護的VLAN區域，用戶可以將Secure VLAN綁縛到其中的一個SecBlade 防火墻插卡上，這樣可以通過設置Secure VLAN來對交換機內網之間(不同VLAN之間)的訪問策略進行定制。

         此外，端口隔離也是內網訪問控制的一個有效手段，端口隔離是指交換機可以由硬件實現相同VLAN中的兩個端口互相隔離。隔離后這兩個端口在本設備內不能實現二、三層互通。當相同VLAN中的主機之間沒有互訪要求時，可以設置各自連接的端口為隔離端口。這樣可以更好的保證相同安全區域內主機之間的安全。即使非法用戶利用后門控制了其中一臺主機，也無法利用該主機作為跳板攻擊該安全區域內的其他主機。并且可以有效的隔離蠕蟲病毒的傳播，減小受感染主機可能造成的危害。

         3.2 部署防ARP攻擊解決方案

         當計算機連接正常，卻無法打開網頁;或者計算機網絡出現頻繁斷線，同時網速變得非常慢，這些都可能是網絡中存在ARP欺騙攻擊所表現出來的網絡現象。

         ARP欺騙攻擊不僅會造成聯網不穩定，引發用戶無法上網，或者企業斷網導致重大生產事故，而且利用ARP欺騙攻擊可進一步實施中間人攻擊，以此非法獲取到游戲、網銀、文件服務等系統的帳號和口令，對被攻擊者造成利益上的重大損失。因此ARP欺騙攻擊是一種非常惡劣的網絡攻擊行為。

         ARP攻擊已經對各行各業網絡造成了巨大威脅，但一直沒有得到有效的解決。連我們熟知的殺毒軟件、防火墻都擋不住ARP 欺騙攻擊。主要由于ARP欺騙攻擊的木馬程序，通常會偽裝成常用軟件的一部分被下載并被激活，或者作為網頁的一部分自動傳送到瀏覽者的電腦上并被激活，或者通過U盤、移動硬盤等方式進入網絡。由于木馬程序的形態特征都在不斷變化和升級，殺毒軟件常常會失去作用。

          H3C ARP攻擊防御解決方案通過對客戶端、接入交換機和網關三個控制點實施自上而下的“全面防御”，并且能夠根據不同的網絡環境和客戶需求進行“模塊定制”，為用戶提供多樣、靈活的ARP攻擊防御解決方案。

         H3C提供兩類ARP攻擊防御解決方案：監控方式，認證方式。監控方式主要適用于動態接入用戶居多的網絡環境，認證方式主要適用于認證方式接入的網絡環境;實際部署時，建議分析網絡的實際場景，選擇合適的攻擊防御解決方案。另外，結合H3C獨有的iMC智能管理中心，可以非常方便、直觀的配置網關綁定信息，查看網絡用戶和設備的安全狀況，不僅有效的保障了網絡的整體安全，更能快速發現網絡中不安全的主機和ARP攻擊源，并迅速做出反映。

          3.2.1 功能特點

         更靈活。提供監控模式和認證模式兩大類方案，認證方案支持IEEE 802.1X和Portal兩種認證模式，組網方式多樣、靈活。

        更徹底。多種方式組合能夠全面防御新建網絡ARP攻擊，切實保障網絡穩定和安全。

        保護投資。對接入交換機的依賴較小，可以較好的支持現有網絡的利舊，兼容大部分現有網絡場景，有效保護投資。

        適用性強。解決方案適應動態和靜態兩種地址分配方式，通過終端、接入交換機、網關多種模塊的組合，適用于各種復雜的組網環境。

         H3C ARP攻擊防御解決方案的推出，為教育、金融、政府、企業等客戶網絡徹底解決了ARP欺騙攻擊的問題，其“全面防御 模塊定制”的理念，能夠滿足新舊網絡的不同需要，讓ARP欺騙攻擊從此不再困擾!

          3.2.2 典型應用

          一、監控方式

          監控方式也即DHCP Snooping方式，適合大部分主機為動態分配IP地址的網絡場景。實現原理：接入層交換機監控用戶動態申請IP地址的全過程，記錄用戶的IP、MAC和端口信息，并且在接入交換機上做多元素綁定，從而在根本上阻斷非法ARP報文的傳播。

        另外，ARP泛洪攻擊會產生大量的ARP報文，消耗網絡帶寬資源和交換機CPU資源，造成網絡速度急劇降低。因此可以在接入交換機部署ARP報文限速，對每個端口單位時間內接收到的ARP報文數量進行限制，避免ARP泛洪攻擊，保護網絡資源。

          二、認證方式

         認證方式適合網絡中采用認證登陸的場景，通過H3C CAMS服務器、H3C iNode智能客戶端與接入交換機和網關的聯動，全方面的防御ARP攻擊。

         實現原理：認證方式是客戶端通過認證協議登陸網絡，認證服務器識別客戶端，并且將事先配置好的網關IP/MAC綁定信息下發給客戶端，實現了ARP報文在客戶端、接入交換機和網關的綁定，使得虛假的ARP報文在網絡里無立足之地，從根本上防止ARP病毒泛濫。

          H3C認證方式包括IEEE802.1X和Portal兩種方案，充分考慮了新建和利舊網絡的不同網絡場景，方案全面有效。

         4 統一安全管理及聯動

        隨著安全威脅日益嚴重，企業對網絡安全防御體系的投入和復雜度都在不斷增加，隨之而來的是大量針對安全管理的新挑戰：

         安全資源無法整合：安全設備眾多，缺少集中管理，設備間形成信息孤島，安全建設投資回報率低。

        海量信息：安全事件不斷涌現，很難抓住重點，巨大的工作量也不能帶來決策依據。

         安全威脅無法可視化：缺少技術平臺提供全網安全狀態，對攻擊事件快速定位排差，及時響應。

企業網絡缺乏安全專家來解決、分析問題：難以應對越來越多的安全要求規范，企業安全管理、