H3C SecPath F10x0 防火牆

H3C SecPath F10X0係列防火牆是杭州華三通信技術有限公司(以下簡稱H3C公司)伴隨Web2.0時代的到來並結合當前安全與網絡深入融合的技術趨勢,針對中小型企業、園區網互聯網出口以及廣域網分支市場推出的下一代高性能防火牆產品。 H3C SecPath F10X0係列防火牆支持多維一體化安全防護,可從用戶、應用、時間、五元組等多個維度,對流量展開IPS、AV、DLP等一體化安全訪問控製,能夠有效的保證網絡的安全;支持多種VPN業務,如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等,與智能終端對接實現移動辦公;提供豐富的路由能力,支持RIP/OSPF/BGP/路由策略及基於應用與URL的策略路由;支持IPv4/IPv6雙協議棧同時,可實現針對IPV6的狀態防護和攻擊防範。 H3C SecPath F10X0係列防火牆采用互為冗餘備份的雙電源(1+1備份),同時支持雙機集群化部署的SCF技術,充分滿足高性能網絡的可靠性要求;同時F10X0產品在1U高的設備上可提供最大24個千兆接口、2個萬兆的固定接口。

高性能的軟硬件處理平台

* H3C SecPath F10X0采用了先進的最新64位多核高性能處理器和高速存儲器。

電信級設備高可靠性

* 采用H3C公司擁有自主知識產權的軟、硬件平台。產品應用從電信運營商到中小企業用戶,經曆了多年的市場考驗。

* 支持H3C SCF虛擬化技術,可將多台設備虛擬化為一台邏輯設備,對外呈現為一個網絡節點,資源統一管理,完成業務備份同時提高係統整體性能。

強大的安全防護功能

*  支持豐富的攻擊防範功能。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP  Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標誌位不合法、超大ICMP報文、地址掃描、端口掃描等攻擊防範,還包括針對SYN  Flood、UPD Flood、ICMP Flood、DNS Flood等常見DDoS攻擊的檢測防禦。

* 最新支持SOP 1:N完全虛擬化。可在H3C SecPath F10X0設備上劃分多個邏輯的虛擬防火牆,基於容器化的虛擬化技術使得虛擬係統與實際物理係統特性一致,並且可以基於虛擬係統進行吞吐、並發、新建、策略等性能分配。

* 支持安全區域管理。可基於接口、VLAN劃分安全區域。

* 支持包過濾。通過在安全區域間使用標準或擴展訪問控製規則,借助報文中UDP或TCP端口等信息實現對數據包的過濾。此外,還可以按照時間段進行過濾。

* 支持基於應用、用戶的訪問控製,將應用與用戶作為安全策略的基本元素,並結合深度防禦實現下一代的訪問控製功能。

* 支持應用層狀態包過濾(ASPF)功能。通過檢查應用層協議信息(如FTP、HTTP、SMTP、RTSP及其它基於TCP/UDP協議的應用層協議),並監控基於連接的應用層協議狀態,動態的決定數據包是被允許通過防火牆或者是被丟棄。

* 支持驗證、授權和計帳(AAA)服務。包括:基於RADIUS/HWTACACS+、CHAP、PAP等的認證。

* 支持靜態和動態黑名單。

* 支持NAT和NAT多實例。

* 支持VPN功能。包括:支持L2TP、IPSec/IKE、GRE、SSL等,並實現與智能終端對接。

* 支持豐富的路由協議。支持靜態路由、策略路由,以及RIP、OSPF等動態路由協議。

* 支持安全日誌。

* 支持流量監控統計、管理。

靈活可擴展的一體化DPI深度安全

* 與基礎安全防護高度集成的一體化安全業務處理平台。

*  全麵的應用層流量識別與管理:通過H3C長期積累的狀態機檢測、流量交互檢測技術,能精確檢測Thunder/Web  Thunder(迅雷/Web迅雷)、BitTorrent、eMule(電騾)/eDonkey(電驢)、QQ、MSN、PPLive等P2P/IM/網絡遊戲/炒股/網絡視頻/網絡多媒體等應用;支持P2P流量控製功能,通過對流量采用深度檢測的方法,即通過將網絡報文與P2P協議報文特征進行匹配,可以精確的識別P2P流量,以達到對P2P流量進行管理的目的,同時可提供不同的控製策略,實現靈活的P2P流量控製。

* 高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產權的FIRST(Full  Inspection with Rigorous State  Test,基於精確狀態的全麵檢測)引擎。FIRST引擎集成了多項檢測技術,實現了基於精確狀態的全麵檢測,具有極高的入侵檢測精度;同時,FIRST引擎采用了並行檢測技術,軟、硬件可靈活適配,大大提高了入侵檢測的效率。

* 實時的病毒防護:采用Kaspersky公司的流引擎查毒技術,從而迅速、準確查殺網絡流量中的病毒等惡意代碼

* 迅捷的URL分類過濾:提供基礎的URL黑白名單過濾同時,可以配置URL分類過濾服務器在線查詢。

* 全麵、及時的安全特征庫。通過多年經營與積累,H3C公司擁有業界資深的攻擊特征庫團隊,同時配備有專業的攻防實驗室,緊跟網絡安全領域的最新動態,從而保證特征庫的及時準確更新。

業界領先的IPv6

* 支持IPv6狀態防火牆,真正意義上實現IPv6條件下的防火牆功能,同時完成IPv6的攻擊防範。

* 支持IPv4/IPv6雙協議棧,並支持IPv6數據報文轉發、靜態路由、動態路由及組播路由等功能。

* 支持IPv6各種過渡技術,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道、NAT444、DS-Lite等。

* 支持IPv6 ACL、Radius等安全技術。

下一代多業務特性

* 集成鏈路負載均衡特性,通過鏈路狀態檢測、鏈路繁忙保護等技術,有效實現企業互聯網出口的多鏈路自動均衡和自動切換。

* 一體化集成SSL VPN特性,滿足移動辦公、員工出差的安全訪問需求,不僅可結合USB-Key、短信進行移動用戶的身份認證,還可與企業原有認證係統相結合、實現一體化的認證接入。

* DLP基礎功能支持,支持郵件過濾,提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL和內容過濾;支持網絡傳輸協議的文件過濾;支持應用層過濾,提供Java/ActiveX Blocking和SQL注入攻擊防範。

專業的智能管理

* 支持智能安全策略:實現策略冗餘檢測、策略匹配優化建議、動態檢測內網業務動態生成安全策略並推薦。

* 支持標準網管 SNMPv3,並且兼容SNMP v1和v2。

* 提供圖形化界麵,簡單易用的Web管理。

* 可通過命令行界麵進行設備管理與防火牆功能配置,滿足專業管理和大批量配置需求。

*  通過H3C IMC  SSM安全管理中心實現統一管理,集安全信息與事件收集、分析、響應等功能為一體,解決了網絡與安全設備相互孤立、網絡安全狀況不直觀、安全事件響應慢、網絡故障定位困難等問題,使IT及安全管理員脫離繁瑣的管理工作,極大提高工作效率,能夠集中精力關注核心業務。

*   基於先進的深度挖掘及分析技術,采用主動收集、被動接收等方式,為用戶提供集中化的日誌管理功能,並對不同類型格式(Syslog、二進製流日誌等)的日誌進行歸一化處理。同時,采用高聚合壓縮技術對海量事件進行存儲,並可通過自動壓縮、加密和保存日誌文件到DAS、NAS或SAN等外部存儲係統,避免重要安全事件的丟失。

* 提供豐富的報表,主要包括基於應用的報表、基於網流的分析報表等。

* 支持以PDF、HTML、WORD和TXT等多種格式輸出。

* 可通過Web界麵進行報告定製,定製內容包括數據的時間範圍、數據的來源設備、生成周期以及輸出類型等。



項目

F1005/F1010

F1020/F1030/F1050/F1060

F1070/F1080

接口

1個配置口(CON)

主機自帶8千兆電+2千兆Combo+2千兆電Bypass

1個配置口(CON)

主機自帶8個千兆光口+16個千兆電口

1個配置口(CON)

主機自帶8個千兆光口+16個千兆電口+2個萬兆光口

擴展槽位

NA

2(F1020一個擴展槽)

擴展板卡類型

NA

4千兆PFC接口模塊、4千兆光接口模塊、4*10GE光接口模塊

存儲介質

1*500G/1T硬盤

2*500G/1T硬盤

環境溫度

工作:0~45℃

非工作:-40~70℃

運行模式

路由模式、透明模式、混雜模式

AAA服務

Portal認證、RADIUS認證、HWTACACS認證、PKI /CA(X.509格式)認證、

域認證、CHAP驗證、PAP驗證

防火牆

SOP虛擬防火牆技術,支持CPU、內存、存儲等硬件資源劃分的完全虛擬化

安全區域劃分

可以防禦Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標誌位不合法超大ICMP報文、地址掃描、端口掃描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多種惡意攻擊

基礎和擴展的訪問控製列表

基於時間段的訪問控製列表

基於用戶、應用的訪問控製列表

ASPF應用層報文過濾

靜態和動態黑名單功能

MAC和IP綁定功能

基於MAC的訪問控製列表

支持802.1q VLAN 透傳

病毒防護

基於病毒特征進行檢測

支持病毒庫手動和自動升級

報文流處理模式

支持HTTP、FTP、SMTP、POP3協議

支持的病毒類型:Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等

支持病毒日誌和報表

深度入侵防禦

支持對黑客攻擊、蠕蟲/病毒、木馬、惡意代碼、間諜軟件/廣告軟件、DoS/DDoS等常見的攻擊防禦

支持緩衝區溢出、SQL注入、IDS/IPS逃逸等攻擊的防禦

支持攻擊特征庫的分類(根據攻擊類型、目標機係統進行分類)、分級(分高、中、低、提示四級)

支持攻擊特征庫的手動和自動升級(TFTP和HTTP)

支持對BT等P2P/IM識別和控製

郵件/網頁/應用層過濾

郵件過濾

SMTP郵件地址過濾

郵件標題過濾

郵件內容過濾

郵件附件過濾

網頁過濾

HTTP URL過濾

HTTP內容過濾

應用層過濾

Java Blocking

ActiveX Blocking

SQL注入攻擊防範

NAT

支持多個內部地址映射到同一個公網地址

支持多個內部地址映射到多個公網地址

支持內部地址到公網地址一一映射

支持源地址和目的地址同時轉換

支持外部網絡主機訪問內部服務器

支持內部地址直接映射到接口公網IP地址

支持DNS映射功能

可配置支持地址轉換的有效時間

支持多種NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等

VPN

L2TP VPN、IPSec VPN、GRE VPN、SSL VPN

IPv6

基於IPv6的狀態防火牆及攻擊防範

IPv6協議:IPv6轉發、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6 Client、DHCPv6 Relay等

IPv6路由:RIPng、OSPFv3、BGP4+、靜態路由、策略路由、PIM-SM、PIM-DM等

IPv6安全:NAT-PT、IPv6 Tunnel、IPv6 Packet Filter、Radius、IPv6域間策略、IPv6連接數限製等

高可靠性

支持SCF 2:1虛擬化

支持雙機狀態熱備(Active/Active和Active/Backup兩種工作模式)

支持雙機配置同步

支持IPSec VPN的IKE狀態同步

支持VRRP

易維護性

支持基於命令行的配置管理

支持Web方式進行遠程配置管理

支持H3C SSM安全管理中心進行設備管理

支持標準網管 SNMPv3,並且兼容SNMP v1和v2

智能安全策略

環保與認證

支持歐洲嚴格的RoHS環保認證


H3C SecPath F10X0 係列組網應用示意圖

* SCF 2:1 虛擬化技術,高可靠網絡設計

* 具有強大的處理能力,支持 GE、10GE 組網

* 豐富路由協議,實現安全與網絡融合

* 具有強大的 VPN 加密處理能力

* 全麵深度安全防禦阻止惡意攻擊,同時能夠實現郵件、網頁、文件過濾

* 豐富路由協議,實現安全與網絡融合


(1)主機選購一覽表

項目

數量

備注

SecPath F10X0主機

1

必配

插卡

1-2

選配

F1070/F1080需配置電源

2

必配1個

(2)接口模塊選購一覽表

接口模塊

描述

備注

4GE PFC電口模塊

4端口千兆PFC接口模塊

選配

4GE光口模塊

4端口千兆光接口模塊

選配

4*10GE光口模塊

4端口萬兆光接口模塊

選配

(3)硬盤選購一覽表

硬盤

描述

備注

硬盤模塊

500G/1T硬盤單元

選配

(4)F1070/F1080電源模塊選購一覽表

電源模塊

備注

交流電源模塊

選配

直流電源模塊

選配

& 說明:

“必配”表示所描述項目是設備正常運行的最小配置。

“選配”表示所描述項目是用戶根據實際使用需要可選擇配置。


相關手冊