Описание продукта

Комбинируя выделенный многоядерный процессор и распределенную аппаратуру и принимая «развитый сетевой протокол + многоядерность + распределенная архитектура», E8000E осуществляет прорыв, преодолевая узкий участок в производительности — ЦП. E8000E предлагает лучшие в отрасли возможности обслуживания и возможности расширения функциональности. Кроме того, технология полного резервирования применяется ко всем компонентам. E8000E предоставляет разнообразные технические гарантии, включая двойной модуль интерфейса к сети, двухпроцессорный модуль сервисного обслуживания, двойной микропроцессорный блок управления, двойной источник питания и балансирование нагрузки. Все это обеспечивает надежность центрального маршрутизатора, что, в свою очередь, гарантирует непрерывность обслуживания в высокоскоростной сети.

E8000E использует технологию динамической распределенной параллельной обработки. Служебный трафик распределенно передается на высокой скорости множественным выделенным системным процессорам (СП). Кроме того, СП поддерживают конфигурацию по требованию, которая полностью разрешает конфликт между производительностью обслуживания и возможностями передачи данных в строго возрастающей высокопроизводительной сети. Такая распределенная технология использует интеллектуальное высокоскоростное разделение трафика для передачи данных. Все потоки данных равномерно распределены по обслуживающим модулям, чтобы избежать узких участков в производительности. При этом производительность обслуживания возрастает с пропускной способностью линии в соответствии с обслуживающими модулями, по существу поддерживая долгосрочное развитие сетей.

E8000E поддерживает множественные ЛП, и пользовать может выполнять гибкую конфигурацию ЛП, как требуется. Кроме того, ЛП и СП используют один и тот же тип разъема. Таким образом, различные комбинации ЛП и СП могут реализовываться для различных интерфейсов и требований производительности, предоставляя пользователям заказные решения обеспечения безопасности. E8000E имеет максимальную пропускную способность интерфейса 320 Гбит/с и предоставляет 30 интерфейсов 10GE и 360 интерфейсов GE. E8000E также поддерживает различные интерфейсы точек продажи и перекрестное связывание интерфейсов, что удовлетворяет требованиям большой пропускной способности интерфейса и интенсивному использованию интерфейса. Кроме того, это также удовлетворяет требованиям подключения к сети в сложных ситуациях, например, в мегаполисных сетях (МВС) операторов связи, больших корпораций и центров данных.

Серия E8000E включает 2 модели, а именно,E8080E и E8160E. E8160E представляет наивысшую в отрасли защиту безопасности и масштабируемость. Он поддерживает 16 гнезд расширения. Максимальная производительность брандмауэра достигает 160 Гбит/с, производительность системы предотвращения вторжений — 64 Гбит/с; число новых соединений в секунду — 4М, и поддерживается 64М одновременных соединений, производительность ВЧС —96 Гбит/с. E8080E имеет ту же архитектуру программного обеспечения и аппаратуры, что и E8160E. Однако E8080E поддерживает только 8 гнезд расширения, и его полная производительность составляет только половину производительности E8160E.

СП, сердце E8000E, обрабатывает все процессы обслуживания. Для реализации гибкого конфигурирования, была выбрана конструкция в виде комбинации плат. Каждый СП содержит 2 части, то есть, материнскую плату и плату расширения, которая может быть развернута либо независимо, либо отдельно. Материнская плата обеспечивает производительность брандмауэра 10Г, а материнская плата и плата расширения дают производительность брандмауэра 20Г. СП имеет многоядерное и мультипроцессорное оборудование и реализует сервисные функции с помощью модулей программного обеспечения. Механизм обнаружения тактового импульса реализован между СП и ЛП. Кроме того, СП поддерживает взаимное резервирование. Когда СП выходит из строя, весь его трафик немедленно распределяется между другими СП, предотвращая прерывание обслуживания.

ЛП, часть E8000E, несет ответственность за внешнее соединение и передачу данных. ЛП включает высокоскоростной сетевой процессор для обеспечения гибкости. Некоторые функции брандмауэра могут реализовываться на ЛП, что значительно снижает нагрузку на СП. Сетевой процессор предоставляет специальную обрабатывающую конструкцию для каждого типа пакетов, например, выделенный сопроцессор для поиска аппаратной таблицы, и конструкцию для выполнения побитовых операций, обеспечивающий уникальные преимущества для обработки маленьких пакетов. Таким образом, E8000E может реализовать почти высокоскоростную производительность при обработке смешанного трафика в сети. Благодаря межсетевому обмену между ЛП и СП, E8000E обеспечивает высокую производительность для обслуживания, а также разумную масштабируемость.

Характеристика продукта

Развитый сетевой протокол + многоядерность + распределенная архитектура — устранение традиционных узких участков в производительности.


E8000E использует архитектуру независимых модулей управления, модулей интерфейса и обслуживающих моделей. Базирующийся на двойном сетевом протоколе, модуль интерфейса обеспечивает высокоскоростную передачу интерфейсного трафика. Базирующийся на многоядерности и многопотоковой архитектуре, обслуживающий модуль обеспечивает высокоскоростную параллельную обработку множества функций, таких как Трансляция сетевых адресов, Фильтрация пакета, зависящая от приложения, Борьба против атак распределенного отказа в обслуживании и ВЧС. E8000E использует механизм распределенной параллельной обработки, который значительно улучшает производительность продукта. Таким образом, пользователи могут расширить возможности с малыми инвестициями на предварительной стадии.
Высокая производительность брандмауэра — гарантирование «ключевых служб» пользователя.
Три основных показателя E8000E, пропускная способность, число соединений, установленных за секунду и максимальное число параллельных соединений, находятся на ведущих ролях. Пропускная способность одного обрабатывающего модуля E8000E — 20 Гбит, число соединений, установленных за секунду — 500 000, и максимальное число параллельных соединений — 8 000 000. Кроме того, E8000E имеет максимум 8 обрабатывающих модулей, и его полная производительность достигает 160 Г, число соединений, устанавливаемых за секунду — 4 000 000, максимальное число параллельных соединений — 64 000 000, и число виртуальных брандмауэров —1024. Высокая пропускная способность и расширяемость E8000E может удовлетворять требованиям профессиональных пользователей к высокой пропускной способности.

Стабильный и надежный шлюз обеспечения безопасности — гарантия соответствия служб пользователей

Безопасность сети — важный пункт в деятельности корпорации. E8000E поддерживает избыточные компоненты, такие как интерфейс, вентилятор, источник питания, подключение в горячем режиме, двойное обрабатывающее устройство, главный/дублер, главный/главный и высокая надежность. Различные обслуживающие платы E8000E поддерживают балансирование нагрузки и взаимное горячее резервирование, поэтому аномалии одной платы не будут влиять на целую систему. Между тем, вместе с параллельно соединенными устройствами, обслуживание не будет прерываться, даже если на устройстве происходят сбои или отключение питания. Среднее время между отказами E8000E составляет 500 000 часов, и время обработки отказа меньше, чем 0,1 секунды. Эти факторы обеспечивают последовательное и стабильное обслуживание.

Оптимальная пропускная способность ВЧС — адаптация к требованиям шифрованной передачи объемного обслуживающего трафика

С увеличением числа сетевых приложений, требуется все больше и больше функций, которые необходимо безопасно передавать в сети общего пользования. Впоследствии, появятся службы, требующие шлюза 100 Гигабит доступа к большой ВЧС, такие как мобильный безопасный доступ, передача СМС и передача электронной почты. E8000E предоставляет максимум 96 Гбит/с пропускной способности для шифрования и дешифрования и поддерживает 320 000 параллельных туннелей ВЧС, которые имеют в настоящий момент наибольшую пропускную способность в шлюзе доступа к ВЧС. E8000E также поддерживает протокол IKEv2 и улучшает аутентификацию пользователя, аутентификацию пакета и прохождение NAT. Таким образом, E8000E устраняет спрятанные опасности атаки man-in-the-middle и атаки распределенного отказа в обслуживании и поддерживает протоколы беспроводной аутентификации, такие как EAP-SIM и EAP-AKA, что эффективно обеспечивает безопасность беспроводной сети.

Характеристики реальной системы предотвращения вторжений — защита от внешних угроз и стимуляция безопасности сети

Основные технологии системы предотвращения вторжений воплощены в пропускной способности подсистемы поиска, эффективности идентификации сигнатур и пропускной способности интегрированной обработки. Принимая подсистему обнаружения вторжений и сформированную базу данных сигнатур, E8000E компании Huawei защищает от различных угроз, включая уязвимость системы, несанкционированную автоматическую разгрузку, программное обеспечение имитации соединения, шпионящее и рекламирующее ПО, неправильные протоколы, аномалии равноправных соединений. Одна сигнатура, связанная с уязвимостью, защищает от тысяч атак. Снабженная глобально развернутой системой ловушек для хакеров, E8000E может захватить характеристики последней атаки, "червя" или "троянского коня", таким образом, предоставляя возможность проактивной защиты. Кроме того, практическая ценность системы предотвращения вторжений значительно повышается. E8000E использует технологии автономной внутренней работы и «одна плата, одна функция); чтобы убедиться, что необходимый служебный трафик направлен выделенному СП. Таким образом, улучшаются возможности обработки служебной информации, более того, обработка трафика не влияет на базовые службы брандмауэра, обеспечивая непрерывность обслуживания.


Технические характеристики изделия

Модели	E8080E
Функциональные характеристики
Производительность брандмауэра (макс.)	80 Гбит/с
Производительность брандмауэра (IMIX)	80 Гбит/с
Производительность брандмауэра (HTTP)	78 Гбит/с
Пакетов брандмауэра в секунду (64 байт)	30 Мпакетов/с
Производительность протокола IPsec ВЧС (3DES)	48 Гбит/с
Производительность протокола IPsec ВЧС (AES)	48 Гбит/с
Максимальная производительность системы предотвращения вторжений	32 Гбит/с
Число новых соединений в секунду	2M
Максимальное число параллельных соединений	32M
Максимальное число политик безопасности	128K
Максимальное число поддерживаемых пользователей	Не ограничено
Подключаемость
Доступные слоты	8 (СП + ЛП)
Слоты основного управления	2
Характеристики СП	Материнская плата: 2 ЦП + 8 Гб памяти Плата расширения: 2 ЦП + 8 Гб памяти
Интерфейсы	ETH:24xGE / 2x10GE / 1x10G+12xGE POS:OC192
Основные характеристики брандмауэра
Рабочий режим	Прозрачный / Маршрутизация / Гибридный
Протокол ASPF	Да
Контроль доступа	Да
Определения правильности состояния	Да
Черный список / белый список	Да
Виртуальный шлюз безопасности	Да
Зоны безопасности	Да
Определение уровня приложения	Да
Защита от атаки распределенного отказа в обслуживании
Двусторонняя защита	Да
Флад SYN	Да
Флад SYN-ACK	Да
Флад FIN/RST	Да
Флад UDP	Да
Флад запроса DNS	Да
Флад HTTP	Да
Флад ICMP	Да
Система предотвращения вторжений
Сигнатуры протокола с сопровождением состояния	Да
Простое конфигурирование системы предотвращения вторжений	Да
Механизмы обнаружения атаки	Неправильный протокол / Неправильный трафик / Сопоставление шаблонов
Механизмы реакции на атаку	Сбросить соединение / Закрыть соединение / Фиксировать в журнале / Послать электронное сообщение
Защиты от "червей"	Да
Проактивная защита от атаки	Да
Защита от "троянского коня"	Да
Рекламное ПО /Защита от клавиатурного шпиона	Да
Обнаружение веб-атаки и атаки на инструментарий	Да
Защита от атаки Web 2.0	Да
Предотвращение атаки Drive-by-download	Да
Защита ботнета	Да
Защита против распространения атаки из зараженных систем	Да
Защита от прослушивания трафика	Да
Защита против атак распределенного отказа в обслуживании на прикладном уровне	Да
Защита от составных атак	Да
База данных сигнатур уязвимости	Да
Многоуровневые сжатые файлы	Да
Независимое обнаружение функции принятия решения	Да
Сигнатуры традиционных атак	Да
Редактирование атаки (диапазон порта)	Да
Сигнатуры потоков	Да
Защита от перегрузки	Да
Приблизительное число защищенных атак	8000+
Преобразование сетевых адресов NAT
NAT/PAT пунктов назначения	Да
NAT пунктов назначения в пределах подсети IP входного интерфейса	Да
Адреса пунктов назначения к одному единственному адресу (М:1)	Да
Адреса пунктов назначения к другому диапазону адресов (М:М)	Да
Не производить переадресацию портов и адресов (PAT)	Да
PAT	Да
NAT пунктов отправления – постоянство IP адресов	Да
Группирования пула пунктов отправления	Да
IP пунктов отправления за пределами подсети интерфейса	Да
Сервер NAT	Да
Двусторонняя NAT	Да
Шлюз прикладного уровня NAT	Да
Неограниченное расширение адресов	Да
NAT пунктов назначения, зависящая от политики	Да
Протокол IPSec ВЧС
Туннели протокола IPsec ВЧС	320K
Шифрование DES/3DES /AES	Да
Аутентификация MD-5 и SHA-1	Да
Ручной ключ, инфраструктура открытых ключей (X.509), протокол IKEv2	Да
Совершенная секретность передачи (группы Диффи и Хеллмана)	1, 2, 5
Предотвращение атаки взлома защиты путем замещения оригинала	Да
ВЧС удаленного доступа	Да
Сертификация протокола EAP	Да
Избыточные шлюзы ВЧС	Да
Высокая доступность
Активный/пассивный активный/активный	Да
Синхронизация конфигурации	Да
Синхронизация сеанса для брандмауэра и протокола IPsec ВЧС	Да
Обнаружение неисправности устройства	Да
Обнаружение отказа звена	Да
Двойной контроль	Да
Аутентификация пользователя и контроль доступа
Встроенная (внутренняя) база данных	Да
RПротокол RADIUS accounting	Да
Аутентификация на базе веб-интерфейса	Да
Инфраструктура открытых ключей (PKI)
Запросы сертификатов PKI (PKCS 10)	Да
Полномочия сертификата	Да
Самозаверяющий сертификат	Да
Маршрутизация
Маршруты протокола BGP	200K
Одноуровневые узлы протокола BGP	1000
Экземпляры протокола BGP	1000
Маршруты протокола OSPF	200K
Экземпляры протокола OSPF	1000
Размер таблицы протокола маршрутной информации RIP v2	200K
Экземпляры протокола RIP v1/v2	1000
Динамическая маршрутизация	Да
Статическая маршрутизация	Да
Маршрутизация на основе пунктов отправления	Да
Маршрутизация на основе политики	Да
Экземпляры маршрутизация на основе политики	1024
База сопроводительной информации FIB	Да
Повторение маршрутизации	Да
Протокол IPv6
Фильтрация состояния	Да
Протокол OSPFv3	Да
Протокол BGP4+	Да
Протокол ISIS6	Да
Стандартный список управления доступом протокола IPv6	Да
Расширенный список управления доступом протокола IPv6	Да
Статистика интерфейса протокола IPv6	Да
Трансляция сетевых адресов/трансляция протокола NAT/PT(от 4 к 6,от 6 к 4,)	Да
Нахождение соседей в протоколе IPv6	Да
Виртуализация
Максимальное число зон безопасности	Корневой брандмауэр: 32 Виртуальный брандмауэр: 8
Максимальное число виртуальных брандмауэров	1024
Максимальное число поддерживаемых ВЛВС на интерфейс	4094
Управление
Веб-интерфейс пользователя (HTTP и HTTPS)	Да
Интерфейс уровня вызовов CLI (консоль)	Да
Интерфейс уровня вызовов CLI (Telnet)	Да
Интерфейс уровня вызовов CLI (протокол SSH)	Да
Управление сетью U2000/VSM	Да
Администратор на основе иерархии уровней	Да
Обновление программного обеспечения	Да
Откат конфигурации	Да
Регистрация и мониторинг
Структурированный системный журнал	Да
Протокол SNMP (v2)	Да
Двоичный журнал	Да
Трассировка	Да
Сервер регистрации (eLog)	Да
Размеры и питание
Размеры (Ш х Т х В)	442×669×886
Вес	100 кг
Питание переменного тока	Переменный ток 180~275В 50/60Гц
Питание постоянного тока	Постоянный ток: -48~-60В
Максимальная передаваемая мощность	3000 Вт
Рабочая температура	0~45℃
Влажность	0~95%
Сертификация
Сертификаты безопасности	Да
Электромагнитная совместимость	Да
Размыкатели сети	Да
Правила ограничения содержания вредных материалов	Да
Федеральная комиссия связи США (FCC)	Да
Токсичность материалов (MET)	Да
Период сертификации	Да
Японский добровольный контрольный совет по помехам (VCCI)	Да

Позиция	Описание
Основное оборудование
E8080E-AC-BASE	Шасси E8080E, включая MPU, SFU, источник питания переменного тока, ОЗУ и флеш-карту
E8080E-DC-BASE	Шасси E8080E, включая MPU, SFU, источник питания переменного тока, ОЗУ и флеш-карту
E8160E-AC-BASE	Шасси E8160E, включая MPU, SFU, источник питания переменного тока, ОЗУ и флеш-карту
E8160E-DC-BASE	Шасси E8160E, включая MPU, SFU, источник питания переменного тока, ОЗУ и флеш-карту
Компоненты E8000E
E8080E-MPU	Основное обрабатывающее устройство E8080E
E8160E-MPU	Основное обрабатывающее устройство E8160E
E8080E-SFU	Коммутирующая матрица коммутатора E8080E
E8160E-SFU	Коммутирующая матрица коммутатора E8160E
E8000E-SPU-FW-10G	Служебное обрабатывающее устройство E8000E с производительностью брандмауэра 10 Гб
E8000E-SPU-FW-20G	Служебное обрабатывающее устройство E8000E с производительностью брандмауэра 20 Гб
E8000E-SPU-FW-10Gto20G	Служебное обрабатывающее устройство E8000E, повышение производительности с 10 Гбит до 20 Гбит
E8000E-SPU-IPS-8G	Служебное обрабатывающее устройство E8000E с производительностью системы предотвращения вторжений 8 Гбит
E8000E-LPU-BASE	Материнская плата LPU E8000E поддерживает 2 платы расширения
E8000E-LPU-XGE-XFP	Плата расширения LPU E8000E, 1 порт 10Ge, без передатчика
E8000E-LPU-12GE-SFP	Плата расширения LPU E8000E, 12 портов GE с оптическим интерфейсом, без передатчика
E8000E-LPU-12GE-RJ45	Плата расширения LPU E8000E, 12 портов GE с электрическим интерфейсом
E8000E-LPU-OC192-XFP	Плата расширения LPU E8000E, 1 порт OC192, без передатчика