的專業網絡安全平臺
基于業界的Comware V7平臺:
豐富的網絡和安全功能,能夠滿足企業分支及公有云中多租戶環境的網絡安全需求;
控制平面和數據平面分離,專門為虛擬環境優化的多核數據轉發,更能充分利用計算資源;
模塊化的體系架構,開放的網絡平臺,允許網絡按需運行和控制,更容易實現NFV/SDN落地;
和物理網絡設備采用統一的軟件平臺,提供相同的功能特性和一致的管理界面;
超輕量級部署
提供超輕量級部署體驗:
適合在公有云中部署,實現零運輸、零布線,加快業務的部署;
支持VMware ESXi、Linux KVM、H3C CAS等主流虛擬化平臺,充分發揮虛擬化的優勢,實現快速部署、批量部署、鏡像備份、快速恢復,并且能夠靈活遷移;
提供ISO、OVA、IPE等多種發布格式,適應不同虛擬化平臺部署;
支持虛擬機管理平臺、網管平臺及本地等多種工具進行靈活部署;
業務彈性
提供業務彈性:
支持VMware ESXi、Linux KVM、H3C CAS等主流虛擬化平臺,無縫適應用戶的部署環境;
允許企業在虛擬化環境中搭建企業網絡,可以按需動態地調配和管理網絡資源及服務。例如,可以根據需要靈活調整網口數量和類型,而無需采購新硬件網卡;
通過動態調整虛擬機資源和License,即可實現軟件功能的平滑升級、設備性能的按需提升,隨時滿足業務增長需求;
完善的安全保障
防火墻過濾
支持包過濾。借助報文中優先級、TOS、TCP或UDP端口等信息作為過濾參考,通過在接口輸入或輸出方向上使用標準或擴展訪問控制規則,可以實現對數據包的過濾。同時,還可以按照時間段進行過濾;
支持應用層狀態包過濾(ASPF)功能。通過檢查應用層協議信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP協議的應用層協議),并監控基于連接的應用層協議狀態,動態的決定數據包是被允許通過防火墻或者是被丟棄;
支持豐富的攻擊防范技術。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法、超大ICMP報文、地址掃描、端口掃描等攻擊防范,還包括針SYN Flood、UDP Flood、ICMP Flood等常見DDoS攻擊的檢測防御;
支持多種VPN業務,如L2TP VPN、IPSec VPN、GRE VPN等,可以針對客戶需求通過撥號、租用線及VLAN或隧道等方式接入遠端用戶,構建Internet、Intranet、Access等多種形式的VPN。結合防火墻、AAA、NAT、及多種QoS等技術,防火墻可以確保在開放的Internet上實現安全、可靠的專用私有網絡;
支持安全區域管理。可基于接口、VLAN劃分安全區域;
支持靜態和動態黑名單;
支持豐富的路由協議。支持靜態路由、策略路由,以及RIP、OSPF等動態路由協議;
> NAT應用
地址轉換NAT(Network Address Translation)又稱地址代理,將內部網絡主機的IP地址和端口號替換為外部網絡地址和端口號,有效控制內部網絡和外部網絡之間的訪問,不僅節約了寶貴的IP地址資源,并且為內部主機提供“隱私”保護。
提供多對一、地址池、ACL控制等地址轉換方式,在一個接口上支持多個不同的地址轉換服務,通過內部服務器可以向外提供FTP、Telnet和WWW等服務,實現公網和混合地址解決方案;
除提供一般NAT功能以外,還提供針對多種應用協議,如多媒體應用(VOIP、視頻):H.323、RAS、SIP、SCCP、RTSP,VPN應用PPTP,常用的應用FTP、TFTP、DNS、NBT、ICMP、DNS、ILS的NAT ALG功能;
安全管理
提供各種日志功能,包括攻擊實時日志、黑名單日志、會話日志、NAT日志功能,能夠有效的記錄網絡情況,從而為分析網絡狀況,防范網絡攻擊提供依據;
通過H3C iMC實現統一管理,集安全信息與事件收集、分析、響應等功能為一體,解決網絡與安全設備相互孤立、網絡安全狀況不直觀、安全事件響應慢、網絡故障定位困難等問題,使IT及安全管理員脫離繁瑣的管理工作,極大提高工作效率,能夠集中精力關注核心業務;
基于*的深度挖掘及分析技術,為用戶提供集中化的日志管理功能,并對不同類型格式(Syslog、二進制流日志等)的日志進行歸一化處理。同時,采用高聚合壓縮技術對海量事件進行存儲,并可通過自動壓縮、加密和保存日志文件到DAS、NAS或SAN等外部存儲系統,避免重要安全事件的丟失;
提供豐富的報表,主要包括基于攻擊、應用的報表、基于網流的分析報表等;
支持報告定制,定制內容包括數據的時間范圍、數據的來源設備、生成周期以及輸出類型等;
安全認證
支持用戶身份管理,不同身份的用戶擁有不同的命令執行權限,可以防止低級別權限用戶非法獲取或修改配置信息等;
視圖分級保護。由于不同身份的用戶擁有的配置權限不同,低級別用戶不能進入更高級的視圖;
支持基于RADIUS(Remote Authentication Dial-In User Service)的AAA(Authentication,Authorization,Accounting)服務,可以與RADIUS服務器配合實施對接入用戶的驗證、和計費安全服務,防止非法訪問;
支持基于PKI/X.509的證書認證功能;
路由協議OSPF、RIP2都具有MD5認證功能,確保所交換路由信息的可靠性;
豐富的VPN接入能力
L2TP VPN
L2TP為目前使用泛的VPDN (Virtual Private Dial Network)隧道協議。L2TP協議提供了對PPP鏈路層數據包的通道(Tunnel)傳輸支持,支持L2TP多域。
GRE VPN
GRE是第三層隧道協議,在協議層之間采用了一種被稱之為Tunnel(隧道)的技術,在一個Tunnel的兩端分別對數據報進行封裝及解封裝。
IPSec VPN
IPSec(IP Security)協議族是IETF制定的一系列協議,它為IP數據報提供了高質量的、可互操作的、基于密碼學的安全性。特定的通信方之間在IP層通過加密與數據源驗證等方式,來保證數據報在網絡上傳輸時的私有性、完整性、真實性和防重放。IPSec通過AH(Authentication Header,認證頭)和ESP(Encapsulating Security Payload,封裝安全載荷)這兩個安全協議來實現上述目標。IPSec可以通過手工方式建立安全聯盟,也可以通過IKE方式(Internet Key Exchange,因特網密鑰交換協議)自動為IPSec提供自動協商交換密鑰、建立和維護安全聯盟的服務。IPSec協議為對信息安全要求較高的用戶提供了一個安全的VPN解決方案。通常情況下,與L2TP協議和GRE協議等相結合使用。
SSL VPN
首先,SSL協議是一種加密協議,可以很好地保證數據傳輸的性和完整性。其次,SSL協議還是一種工作在TCP協議層之上的協議。使用SSL進行通訊,不改變IP報文頭和TCP報文頭,因而SSL報文對NAT和防火墻來說都是透明的,SSL VPN的部署不會影響現有的網絡。這樣用戶從任何地方上網,只要能接入Internet,就能使用SSL VPN。另外,SSL加密協議受到了目前決大多數軟件平臺的支持。常用的操作系統Windows、Linux,瀏覽器IE、Firefox等都支持SSL。SSL VPN以其簡單易用的安全接入方式、豐富有效的權限管理,跨平臺、免安裝、免維護的客戶端而成為遠程接入市場上的新貴。
配合SDN控制器實現智能網絡
配合SDN控制器,能夠實現:
vFW基于用戶配合VNF Manager實現一鍵部署及刪除;
支持VxLAN 三層網關功能;
通過控制器實現服務鏈功能;
支持netconf、openflow流表等多種SDN協議;
屬性 | 說明 | |
軟件包 | H3C vFW1000軟件、H3C vFW2000軟件 支持ISO, OVA, ,QCOW2, IPE四種發布格式 | |
虛擬平臺 | VMware ESXi Linux KVM H3C CAS | |
虛擬機 | 虛擬機資源最小要求: 1個vCPU (主頻2.0 GHz以上) 1GB內存 8GB硬盤 至少兩個虛擬網口 | |
虛擬網卡類型:E1000,VMXNET3,VirtIO,Intel 82599VF | ||
支持16個虛擬網口 | ||
License | 基于虛擬CPU數量和時間的控制(1vCPU、4vCPUs、8vCPUs / 1年、3年、) 基于物理CPU數量和控制(1CPU、2CPUs、4CPUs) 支持試用License | |
網絡安全性 | AAA服務 | Portal認證 RADIUS認證 HWTACACS認證 PKI/CA(X509格式)認證 域認證 CHAP驗證 PAP驗證 |
防火墻 | 安全區域劃分,不同安全域默認拒絕 攻擊防范:可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法超大ICMP報文、地址掃描、端口掃描、SYN Flood、UPD Flood、ICMP Flood等多種惡意攻擊 基礎和擴展的訪問控制列表 基于接口的訪問控制列表 基于時間段的訪問控制列表 動態包過濾 ASPF應用層報文過濾 靜態和動態黑名單功能 MAC和IP綁定功能 基于MAC的訪問控制列表 連接數限制 | |
NAT | 支持多個內部地址映射到同一個公網地址 支持多個內部地址映射到多個公網地址 支持內部地址到公網地址一一映射 支持源地址和目的地址同時轉換 支持外部網絡主機訪問內部服務器 支持內部地址直映射到接口公網IP地址 支持DNS映射功能 可配置支持地址轉換的有效時間 支持多種NAT ALG,包括DNS、FTP、TFTP、PPTP、H.323、SIP、RSH、ILS、MSN、NBT等 | |
VPN | L2TP VPN | 支持根據VPN用戶完整用戶名、用戶域名向LNS發起連接 支持為VPN用戶分配地址 支持進行LCP重協商和二次CHAP驗證 |
IPSec/IKE | 支持AH、ESP協議 支持手工或通過IKE自動建立安全聯盟 ESP支持DES、3DES、AES多種加密算法 支持MD5及SHA-1驗證算法 支持IKE主模式及野蠻模式 支持NAT穿越 支持DPD檢測 | |
GRE VPN | ||
SSL VPN | 支持端口轉發接入 支持網絡擴展接入 支持WEB代理接入 支持無改寫WEB代理接入 支持支持NETCONF 支持認證功能: 本地認證/Radius認證/LDAP認證/AD認證/證書認證 支持IRF/資源管理/動態/日志審計 支持個性化/虛擬化 瀏覽器支持: IE8及以上/Firefox 25及以上/Chrome 32及以上/Safari 7及以上 | |
網絡互連 | 局域網協議 | 三層以太網接口/子接口 ARP VLAN Terminating |
鏈路層協議 | PPPoE Client | |
網絡協議 | IP服務 | Forwarding/Fast Forwarding TCP, UDP, IP Option Ping, Trace DHCP Server, DHCP Relay, DHCP Client DNS Client, DNS Proxy, DDNS FTP Server, FTP Client, TFTP Client Telnet Server. Telnet Client NTP/SNTP |
IP路由 | 靜態路由 RIP v1/2 OSPF 策略路由 | |
高可靠性 | 支持VRRP/VRRPv3 支持BFD | 高可靠性 |
配置管理 | 命令行接口 | 通過Console口進行本地配置 通過Telnet或SSH進行本地或遠程配置 配置命令分級保護,確保未用戶無法侵入設備 詳盡的調試信息,幫助診斷網絡故障 User-interface配置,提供對登錄用戶多種方式的認證和功能。 |
支持標準網管 SNMPv3,并且兼容SNMP v1和v2c 支持NETCONF, RMON, Syslog, NQA, sFlow, NetStream, EAA | ||
支持H3C iMC智能管理中心 | ||
IPv6 | IPV6業務 | TELNET/ICMP 域名解析 DHCP中繼 DHCP客戶端 IPv6 ND, IPv6 PMTU, IPv6 FIB, IPv6 ACL |
IPV6路由 | 靜態路由 策略路由 RIPng OSPFv3 | |
IPV6安全 | IPV6包過濾 IPV6ASPF IPV6域間策略 IPV6攻擊防范 | |
數據中心租戶網關應用
在數據中心環境中,作為租戶專用的綜合業務網關,提供VPN隧道,為不同租戶提供安全接入;同時,作為出口網關,防范各種來自外部的攻擊,也可作為內網訪問控制設備隔離不同安全等級的區域,實現對網絡流量的安全防護;
租戶網關應用典型組網
精簡網絡基礎設施,直接利用服務器,便于租戶自行維護;
業務彈性擴展,性能可動態調整,管理高效
支持分區域安全控制
支持NAT,支持多種ALG
通過報文檢測并阻止非法入侵。
支持多種攻擊防范技術。
支持黑名單過濾。
支持通過TCP代理實現Syn Flood防攻擊。
支持流量日志及攻擊告警日志。
企業分支綜合網關
在企業分支中,vFW1000作為企業分支綜合網關,部署在標準服務器中,負責接入Internet,為分支出口提供專業的安全防護;同時支持與企業數據中心建立VPN連接(包括IPsec VPN,L2TP,GRE),確保接入安全。
精簡企業分支基礎設置,易于管理;支持企業應用部署在同一硬件平臺上,滿足計算和網絡設備融合的需求,
企業分支綜合網關典型組網
vFW1000軟件可以免費下載進行安裝,需要購買License進行使用。
項目 | 描述 |
LIS-vFW1000-C1-Y1 | H3C SecPath vFW1000函(Comware V7,1vCPU,1年) |
LIS-vFW1000-C1-Y3 | H3C SecPath vFW1000函(Comware V7,1vCPU,3年) |
LIS-vFW1000-C1 | H3C SecPath vFW1000函(Comware V7,1vCPU,) |
LIS-vFW1000-C4-Y1 | H3C SecPath vFW1000函(Comware V7,4vCPU,1年) |
LIS-vFW1000-C4-Y3 | H3C SecPath vFW1000函(Comware V7,4vCPU,3年) |
LIS-vFW1000-C4 | H3C SecPath vFW1000函(Comware V7,4vCPU,) |
LIS-vFW1000-C8-Y1 | H3C SecPath vFW1000函(Comware V7,8vCPU,1年) |
LIS-vFW1000-C8-Y3 | H3C SecPath vFW1000函(Comware V7,8vCPU,3年) |
LIS-vFW1000-C8 | H3C SecPath vFW1000函(Comware V7,8vCPU,) |
vFW2000軟件可以免費下載進行安裝,需要購買License進行使用。
項目 | 描述 |
LIS-vFW2000-C1 | H3C SecPath vFW2000服務器函(Comware V7,1CPU,) |
LIS-vFW2000-C2 | H3C SecPath vFW2000服務器函(Comware V7,2CPUs,) |
LIS-vFW2000-C4 | H3C SecPath vFW2000服務器函(Comware V7,4CPUs,) |
