Описание продукта
Комбинируя выделенный многоядерный процессор и распределенную аппаратуру и принимая «развитый сетевой протокол + многоядерность + распределенная архитектура», E8000E осуществляет прорыв, преодолевая узкий участок в производительности — ЦП. E8000E предлагает лучшие в отрасли возможности обслуживания и возможности расширения функциональности. Кроме того, технология полного резервирования применяется ко всем компонентам. E8000E предоставляет разнообразные технические гарантии, включая двойной модуль интерфейса к сети, двухпроцессорный модуль сервисного обслуживания, двойной микропроцессорный блок управления, двойной источник питания и балансирование нагрузки. Все это обеспечивает надежность центрального маршрутизатора, что, в свою очередь, гарантирует непрерывность обслуживания в высокоскоростной сети.
E8000E использует технологию динамической распределенной параллельной обработки. Служебный трафик распределенно передается на высокой скорости множественным выделенным системным процессорам (СП). Кроме того, СП поддерживают конфигурацию по требованию, которая полностью разрешает конфликт между производительностью обслуживания и возможностями передачи данных в строго возрастающей высокопроизводительной сети. Такая распределенная технология использует интеллектуальное высокоскоростное разделение трафика для передачи данных. Все потоки данных равномерно распределены по обслуживающим модулям, чтобы избежать узких участков в производительности. При этом производительность обслуживания возрастает с пропускной способностью линии в соответствии с обслуживающими модулями, по существу поддерживая долгосрочное развитие сетей.
E8000E поддерживает множественные ЛП, и пользовать может выполнять гибкую конфигурацию ЛП, как требуется. Кроме того, ЛП и СП используют один и тот же тип разъема. Таким образом, различные комбинации ЛП и СП могут реализовываться для различных интерфейсов и требований производительности, предоставляя пользователям заказные решения обеспечения безопасности. E8000E имеет максимальную пропускную способность интерфейса 320 Гбит/с и предоставляет 30 интерфейсов 10GE и 360 интерфейсов GE. E8000E также поддерживает различные интерфейсы точек продажи и перекрестное связывание интерфейсов, что удовлетворяет требованиям большой пропускной способности интерфейса и интенсивному использованию интерфейса. Кроме того, это также удовлетворяет требованиям подключения к сети в сложных ситуациях, например, в мегаполисных сетях (МВС) операторов связи, больших корпораций и центров данных.
Серия E8000E включает 2 модели, а именно,E8080E и E8160E. E8160E представляет наивысшую в отрасли защиту безопасности и масштабируемость. Он поддерживает 16 гнезд расширения. Максимальная производительность брандмауэра достигает 160 Гбит/с, производительность системы предотвращения вторжений — 64 Гбит/с; число новых соединений в секунду — 4М, и поддерживается 64М одновременных соединений, производительность ВЧС —96 Гбит/с. E8080E имеет ту же архитектуру программного обеспечения и аппаратуры, что и E8160E. Однако E8080E поддерживает только 8 гнезд расширения, и его полная производительность составляет только половину производительности E8160E.
СП, сердце E8000E, обрабатывает все процессы обслуживания. Для реализации гибкого конфигурирования, была выбрана конструкция в виде комбинации плат. Каждый СП содержит 2 части, то есть, материнскую плату и плату расширения, которая может быть развернута либо независимо, либо отдельно. Материнская плата обеспечивает производительность брандмауэра 10Г, а материнская плата и плата расширения дают производительность брандмауэра 20Г. СП имеет многоядерное и мультипроцессорное оборудование и реализует сервисные функции с помощью модулей программного обеспечения. Механизм обнаружения тактового импульса реализован между СП и ЛП. Кроме того, СП поддерживает взаимное резервирование. Когда СП выходит из строя, весь его трафик немедленно распределяется между другими СП, предотвращая прерывание обслуживания.
ЛП, часть E8000E, несет ответственность за внешнее соединение и передачу данных. ЛП включает высокоскоростной сетевой процессор для обеспечения гибкости. Некоторые функции брандмауэра могут реализовываться на ЛП, что значительно снижает нагрузку на СП. Сетевой процессор предоставляет специальную обрабатывающую конструкцию для каждого типа пакетов, например, выделенный сопроцессор для поиска аппаратной таблицы, и конструкцию для выполнения побитовых операций, обеспечивающий уникальные преимущества для обработки маленьких пакетов. Таким образом, E8000E может реализовать почти высокоскоростную производительность при обработке смешанного трафика в сети. Благодаря межсетевому обмену между ЛП и СП, E8000E обеспечивает высокую производительность для обслуживания, а также разумную масштабируемость.
Характеристика продукта
Развитый сетевой протокол + многоядерность + распределенная архитектура — устранение традиционных узких участков в производительности.
E8000E использует архитектуру независимых модулей управления, модулей интерфейса и обслуживающих моделей. Базирующийся на двойном сетевом протоколе, модуль интерфейса обеспечивает высокоскоростную передачу интерфейсного трафика. Базирующийся на многоядерности и многопотоковой архитектуре, обслуживающий модуль обеспечивает высокоскоростную параллельную обработку множества функций, таких как Трансляция сетевых адресов, Фильтрация пакета, зависящая от приложения, Борьба против атак распределенного отказа в обслуживании и ВЧС. E8000E использует механизм распределенной параллельной обработки, который значительно улучшает производительность продукта. Таким образом, пользователи могут расширить возможности с малыми инвестициями на предварительной стадии. Высокая производительность брандмауэра — гарантирование «ключевых служб» пользователя. Три основных показателя E8000E, пропускная способность, число соединений, установленных за секунду и максимальное число параллельных соединений, находятся на ведущих ролях. Пропускная способность одного обрабатывающего модуля E8000E — 20 Гбит, число соединений, установленных за секунду — 500 000, и максимальное число параллельных соединений — 8 000 000. Кроме того, E8000E имеет максимум 8 обрабатывающих модулей, и его полная производительность достигает 160 Г, число соединений, устанавливаемых за секунду — 4 000 000, максимальное число параллельных соединений — 64 000 000, и число виртуальных брандмауэров —1024. Высокая пропускная способность и расширяемость E8000E может удовлетворять требованиям профессиональных пользователей к высокой пропускной способности.
Стабильный и надежный шлюз обеспечения безопасности — гарантия соответствия служб пользователей
Безопасность сети — важный пункт в деятельности корпорации. E8000E поддерживает избыточные компоненты, такие как интерфейс, вентилятор, источник питания, подключение в горячем режиме, двойное обрабатывающее устройство, главный/дублер, главный/главный и высокая надежность. Различные обслуживающие платы E8000E поддерживают балансирование нагрузки и взаимное горячее резервирование, поэтому аномалии одной платы не будут влиять на целую систему. Между тем, вместе с параллельно соединенными устройствами, обслуживание не будет прерываться, даже если на устройстве происходят сбои или отключение питания. Среднее время между отказами E8000E составляет 500 000 часов, и время обработки отказа меньше, чем 0,1 секунды. Эти факторы обеспечивают последовательное и стабильное обслуживание.
Оптимальная пропускная способность ВЧС — адаптация к требованиям шифрованной передачи объемного обслуживающего трафика
С увеличением числа сетевых приложений, требуется все больше и больше функций, которые необходимо безопасно передавать в сети общего пользования. Впоследствии, появятся службы, требующие шлюза 100 Гигабит доступа к большой ВЧС, такие как мобильный безопасный доступ, передача СМС и передача электронной почты. E8000E предоставляет максимум 96 Гбит/с пропускной способности для шифрования и дешифрования и поддерживает 320 000 параллельных туннелей ВЧС, которые имеют в настоящий момент наибольшую пропускную способность в шлюзе доступа к ВЧС. E8000E также поддерживает протокол IKEv2 и улучшает аутентификацию пользователя, аутентификацию пакета и прохождение NAT. Таким образом, E8000E устраняет спрятанные опасности атаки man-in-the-middle и атаки распределенного отказа в обслуживании и поддерживает протоколы беспроводной аутентификации, такие как EAP-SIM и EAP-AKA, что эффективно обеспечивает безопасность беспроводной сети.
Характеристики реальной системы предотвращения вторжений — защита от внешних угроз и стимуляция безопасности сети
Основные технологии системы предотвращения вторжений воплощены в пропускной способности подсистемы поиска, эффективности идентификации сигнатур и пропускной способности интегрированной обработки. Принимая подсистему обнаружения вторжений и сформированную базу данных сигнатур, E8000E компании Huawei защищает от различных угроз, включая уязвимость системы, несанкционированную автоматическую разгрузку, программное обеспечение имитации соединения, шпионящее и рекламирующее ПО, неправильные протоколы, аномалии равноправных соединений. Одна сигнатура, связанная с уязвимостью, защищает от тысяч атак. Снабженная глобально развернутой системой ловушек для хакеров, E8000E может захватить характеристики последней атаки, "червя" или "троянского коня", таким образом, предоставляя возможность проактивной защиты. Кроме того, практическая ценность системы предотвращения вторжений значительно повышается. E8000E использует технологии автономной внутренней работы и «одна плата, одна функция); чтобы убедиться, что необходимый служебный трафик направлен выделенному СП. Таким образом, улучшаются возможности обработки служебной информации, более того, обработка трафика не влияет на базовые службы брандмауэра, обеспечивая непрерывность обслуживания.
Технические характеристики изделия
Модели
|
E8080E
|
Функциональные характеристики
|
Производительность брандмауэра (макс.)
|
80 Гбит/с
|
Производительность брандмауэра (IMIX)
|
80 Гбит/с
|
Производительность брандмауэра (HTTP)
|
78 Гбит/с
|
Пакетов брандмауэра в секунду (64 байт)
|
30 Мпакетов/с
|
Производительность протокола IPsec ВЧС (3DES)
|
48 Гбит/с
|
Производительность протокола IPsec ВЧС (AES)
|
48 Гбит/с
|
Максимальная производительность системы предотвращения вторжений
|
32 Гбит/с
|
Число новых соединений в секунду
|
2M
|
Максимальное число параллельных соединений
|
32M
|
Максимальное число политик безопасности
|
128K
|
Максимальное число поддерживаемых пользователей
|
Не ограничено
|
Подключаемость
|
Доступные слоты
|
8 (СП + ЛП)
|
Слоты основного управления
|
2
|
Характеристики СП
|
Материнская плата: 2 ЦП + 8 Гб памяти
Плата расширения: 2 ЦП + 8 Гб памяти
|
Интерфейсы
|
ETH:24xGE / 2x10GE / 1x10G+12xGE
POS:OC192
|
Основные характеристики брандмауэра
|
Рабочий режим
|
Прозрачный / Маршрутизация / Гибридный
|
Протокол ASPF
|
Да
|
Контроль доступа
|
Да
|
Определения правильности состояния
|
Да
|
Черный список / белый список
|
Да
|
Виртуальный шлюз безопасности
|
Да
|
Зоны безопасности
|
Да
|
Определение уровня приложения
|
Да
|
Защита от атаки распределенного отказа в обслуживании
|
Двусторонняя защита
|
Да
|
Флад SYN
|
Да
|
Флад SYN-ACK
|
Да
|
Флад FIN/RST
|
Да
|
Флад UDP
|
Да
|
Флад запроса DNS
|
Да
|
Флад HTTP
|
Да
|
Флад ICMP
|
Да
|
Система предотвращения вторжений
|
Сигнатуры протокола с сопровождением состояния
|
Да
|
Простое конфигурирование системы предотвращения вторжений
|
Да
|
Механизмы обнаружения атаки
|
Неправильный протокол / Неправильный трафик / Сопоставление шаблонов
|
Механизмы реакции на атаку
|
Сбросить соединение / Закрыть соединение / Фиксировать в журнале / Послать электронное сообщение
|
Защиты от "червей"
|
Да
|
Проактивная защита от атаки
|
Да
|
Защита от "троянского коня"
|
Да
|
Рекламное ПО /Защита от клавиатурного шпиона
|
Да
|
Обнаружение веб-атаки и атаки на инструментарий
|
Да
|
Защита от атаки Web 2.0
|
Да
|
Предотвращение атаки Drive-by-download
|
Да
|
Защита ботнета
|
Да
|
Защита против распространения атаки из зараженных систем
|
Да
|
Защита от прослушивания трафика
|
Да
|
Защита против атак распределенного отказа в обслуживании на прикладном уровне
|
Да
|
Защита от составных атак
|
Да
|
База данных сигнатур уязвимости
|
Да
|
Многоуровневые сжатые файлы
|
Да
|
Независимое обнаружение функции принятия решения
|
Да
|
Сигнатуры традиционных атак
|
Да
|
Редактирование атаки (диапазон порта)
|
Да
|
Сигнатуры потоков
|
Да
|
Защита от перегрузки
|
Да
|
Приблизительное число защищенных атак
|
8000+
|
Преобразование сетевых адресов NAT
|
NAT/PAT пунктов назначения
|
Да
|
NAT пунктов назначения в пределах подсети IP входного интерфейса
|
Да
|
Адреса пунктов назначения к одному единственному адресу (М:1)
|
Да
|
Адреса пунктов назначения к другому диапазону адресов (М:М)
|
Да
|
Не производить переадресацию портов и адресов (PAT)
|
Да
|
PAT
|
Да
|
NAT пунктов отправления – постоянство IP адресов
|
Да
|
Группирования пула пунктов отправления
|
Да
|
IP пунктов отправления за пределами подсети интерфейса
|
Да
|
Сервер NAT
|
Да
|
Двусторонняя NAT
|
Да
|
Шлюз прикладного уровня NAT
|
Да
|
Неограниченное расширение адресов
|
Да
|
NAT пунктов назначения, зависящая от политики
|
Да
|
Протокол IPSec ВЧС
|
Туннели протокола IPsec ВЧС
|
320K
|
Шифрование DES/3DES /AES
|
Да
|
Аутентификация MD-5 и SHA-1
|
Да
|
Ручной ключ, инфраструктура открытых ключей (X.509), протокол IKEv2
|
Да
|
Совершенная секретность передачи (группы Диффи и Хеллмана)
|
1, 2, 5
|
Предотвращение атаки взлома защиты путем замещения оригинала
|
Да
|
ВЧС удаленного доступа
|
Да
|
Сертификация протокола EAP
|
Да
|
Избыточные шлюзы ВЧС
|
Да
|
Высокая доступность
|
Активный/пассивный активный/активный
|
Да
|
Синхронизация конфигурации
|
Да
|
Синхронизация сеанса для брандмауэра и протокола IPsec ВЧС
|
Да
|
Обнаружение неисправности устройства
|
Да
|
Обнаружение отказа звена
|
Да
|
Двойной контроль
|
Да
|
Аутентификация пользователя и контроль доступа
|
Встроенная (внутренняя) база данных
|
Да
|
RПротокол RADIUS accounting
|
Да
|
Аутентификация на базе веб-интерфейса
|
Да
|
Инфраструктура открытых ключей (PKI)
|
Запросы сертификатов PKI (PKCS 10)
|
Да
|
Полномочия сертификата
|
Да
|
Самозаверяющий сертификат
|
Да
|
Маршрутизация
|
Маршруты протокола BGP
|
200K
|
Одноуровневые узлы протокола BGP
|
1000
|
Экземпляры протокола BGP
|
1000
|
Маршруты протокола OSPF
|
200K
|
Экземпляры протокола OSPF
|
1000
|
Размер таблицы протокола маршрутной информации RIP v2
|
200K
|
Экземпляры протокола RIP v1/v2
|
1000
|
Динамическая маршрутизация
|
Да
|
Статическая маршрутизация
|
Да
|
Маршрутизация на основе пунктов отправления
|
Да
|
Маршрутизация на основе политики
|
Да
|
Экземпляры маршрутизация на основе политики
|
1024
|
База сопроводительной информации FIB
|
Да
|
Повторение маршрутизации
|
Да
|
Протокол IPv6
|
Фильтрация состояния
|
Да
|
Протокол OSPFv3
|
Да
|
Протокол BGP4+
|
Да
|
Протокол ISIS6
|
Да
|
Стандартный список управления доступом протокола IPv6
|
Да
|
Расширенный список управления доступом протокола IPv6
|
Да
|
Статистика интерфейса протокола IPv6
|
Да
|
Трансляция сетевых адресов/трансляция протокола NAT/PT(от 4 к 6,от 6 к 4,)
|
Да
|
Нахождение соседей в протоколе IPv6
|
Да
|
Виртуализация
|
Максимальное число зон безопасности
|
Корневой брандмауэр: 32
Виртуальный брандмауэр: 8
|
Максимальное число виртуальных брандмауэров
|
1024
|
Максимальное число поддерживаемых ВЛВС на интерфейс
|
4094
|
Управление
|
Веб-интерфейс пользователя (HTTP и HTTPS)
|
Да
|
Интерфейс уровня вызовов CLI (консоль)
|
Да
|
Интерфейс уровня вызовов CLI (Telnet)
|
Да
|
Интерфейс уровня вызовов CLI (протокол SSH)
|
Да
|
Управление сетью U2000/VSM
|
Да
|
Администратор на основе иерархии уровней
|
Да
|
Обновление программного обеспечения
|
Да
|
Откат конфигурации
|
Да
|
Регистрация и мониторинг
|
Структурированный системный журнал
|
Да
|
Протокол SNMP (v2)
|
Да
|
Двоичный журнал
|
Да
|
Трассировка
|
Да
|
Сервер регистрации (eLog)
|
Да
|
Размеры и питание
|
Размеры (Ш х Т х В)
|
442×669×886
|
Вес
|
100 кг
|
Питание переменного тока
|
Переменный ток 180~275В 50/60Гц
|
Питание постоянного тока
|
Постоянный ток: -48~-60В
|
Максимальная передаваемая мощность
|
3000 Вт
|
Рабочая температура
|
0~45℃
|
Влажность
|
0~95%
|
Сертификация
|
Сертификаты безопасности
|
Да
|
Электромагнитная совместимость
|
Да
|
Размыкатели сети
|
Да
|
Правила ограничения содержания вредных материалов
|
Да
|
Федеральная комиссия связи США (FCC)
|
Да
|
Токсичность материалов (MET)
|
Да
|
Период сертификации
|
Да
|
Японский добровольный контрольный совет по помехам (VCCI)
|
Да
|
|
|
Информация для заказа
Позиция
|
Описание
|
Основное оборудование
|
E8080E-AC-BASE
|
Шасси E8080E, включая MPU, SFU, источник питания переменного тока, ОЗУ и флеш-карту
|
E8080E-DC-BASE
|
Шасси E8080E, включая MPU, SFU, источник питания переменного тока, ОЗУ и флеш-карту
|
E8160E-AC-BASE
|
Шасси E8160E, включая MPU, SFU, источник питания переменного тока, ОЗУ и флеш-карту
|
E8160E-DC-BASE
|
Шасси E8160E, включая MPU, SFU, источник питания переменного тока, ОЗУ и флеш-карту
|
Компоненты E8000E
|
E8080E-MPU
|
Основное обрабатывающее устройство E8080E
|
E8160E-MPU
|
Основное обрабатывающее устройство E8160E
|
E8080E-SFU
|
Коммутирующая матрица коммутатора E8080E
|
E8160E-SFU
|
Коммутирующая матрица коммутатора E8160E
|
E8000E-SPU-FW-10G
|
Служебное обрабатывающее устройство E8000E с производительностью брандмауэра 10 Гб
|
E8000E-SPU-FW-20G
|
Служебное обрабатывающее устройство E8000E с производительностью брандмауэра 20 Гб
|
E8000E-SPU-FW-10Gto20G
|
Служебное обрабатывающее устройство E8000E, повышение производительности с 10 Гбит до 20 Гбит
|
E8000E-SPU-IPS-8G
|
Служебное обрабатывающее устройство E8000E с производительностью системы предотвращения вторжений 8 Гбит
|
E8000E-LPU-BASE
|
Материнская плата LPU E8000E поддерживает 2 платы расширения
|
E8000E-LPU-XGE-XFP
|
Плата расширения LPU E8000E, 1 порт 10Ge, без передатчика
|
E8000E-LPU-12GE-SFP
|
Плата расширения LPU E8000E, 12 портов GE с оптическим интерфейсом, без передатчика
|
E8000E-LPU-12GE-RJ45
|
Плата расширения LPU E8000E, 12 портов GE с электрическим интерфейсом
|
E8000E-LPU-OC192-XFP
|
Плата расширения LPU E8000E, 1 порт OC192, без передатчика
|
|
|