高性能的軟硬件處理平臺
● H3C SecPath F100/1000-X-HI系列防火墻采用了*的多核高性能處理器和高速存儲器。
全面的網絡安全防護能力
● 支持安全區域管理,可基于接口、VLAN、IP、VM名字劃分安全域。
● 豐富的攻擊防范技術。同時支持IPV4和IPV6。支持狀態防火墻安全隔離技術,針對異常報文攻擊如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP報文標志位不合法,地址欺騙攻擊如IP spoofing,掃描攻擊如IP地址攻擊、端口攻擊,異常流量攻擊如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能夠提供有效防護。
豐富的NAT特性
● 支持源地址、目的地址NAT。
● 靜態NAT:支持靜態1對1 NAT;支持靜態net-to-net NAT。
● NAT Fullcone技術支持NAT網絡中的P2P穿越
● NAT hairpin技術解決同一NAT之后的P2P終端通信的同時,減少對出口帶寬浪費。
● 支持多種協議狀態檢測如FTP、DNS、TFTP、SQLNET、SIP、H.323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN等。
● 支持靜態、動態NAT444技術,支持基于策略的多出口NAT特性。
● 支持高性能的NAT日志發送。
豐富的VPN應用
● CPU內置高性能加密引擎,確保計算復雜的加解密操作不會對CPU處理其他防火墻業務造成影響,同時保證了VPN的處理性能。
● 支持GRE VPN、L2TP VPN, IPSec VPN、DVPN、SS● VPN及多種VPN技術的組合應用。
● 支持IPV6 IPSec vpn、IPV6 GRE VPN。
● 支持多種VPN技術的組合使用IPSec Over GRE,L2TP over IPSec等。
完善的IPv6解決方案
● 支持IPV6靜態路由、策略路由、OSPFV3、BGP4+、RIPng等動態路由。
● 支持IPV6狀態防火墻。
● 支持IPV6協議狀態檢測包括DNS64、FTP、ICMPV6、SIP、RTSP、MGCP等
● 支持IPV6地址對象及IPV6安全策略
● 支持IPV6攻擊防范,包括IPV6 DOS/DDOS攻擊、掃描攻擊等
● 支持IPV6 IPSec VPN
● 支持DS-LITE、NAT64、IVI及IPV6隧道等各種過渡技術。
● 支持IPV6管理、日志及審計。
● 支持IPV6虛擬防火墻。
電信級高可靠性
● 支持防火墻、NAT、攻擊防護、VPN業務的熱備。
● 故障隔離:軟件模塊化技術使軟件的各個部分做到故障隔離。Comware V7的模塊化設計,保證一個進程的異常不會影響其他進程以及內核的正常運行。軟件的故障也可以通過自行恢復,不影響硬件的運行
● 進程級GR:通過完善的進程級GR技術,保證異常進程可恢復,并且不影響系統業務。
全面的管理監控手段
● 支持通過Web-GUI、CLI、SSH等多種手段管理設備。
● 基于角色的功能機制,可以實現到功能、命令行、菜單級的權限控制。
● 統一的SSM管理平臺,可以實現設備的配置管理、性能監控、日志審計。
● 豐富的MIB節點便于外部設備進行性能監控。
開放的系統接口
● 開放接口:傳統的網絡操作系統為封閉的系統,有專用的系統概念和處理流程,缺乏開放性。而Comware V7使用通用的Linux操作系統,回歸了主流的軟件實現方式。提供開放的標準編程接口,可供用戶利用Comware V7提供的基礎功能,實現自己的專用功能,目前主要基于Netconf接口。
● TCL腳本:Comware V7內嵌了TCL腳本執行功能,用戶可以利用TCL腳本語言直接編寫腳本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公開的編程接口等實現所需功能。
● EAA:可以在系統發生變化時執行預定義動作。在提高系統可維護性的同時,滿足用戶一些個性化需求。
項目 | F100-C-HI/F100-S-HI | F100-A-HI | F1000-C-HI | |
接口 | 8GE+2GE(bypass)+2Combo 1配置口(Con)+2USB口 | 16GE+8SFP 1配置口(Con)+2USB口 | 16GE+8SFP 1配置口(Con)+2USB口 | |
擴展槽位 | 無 | 1個擴展插槽,用于PFC接口模塊、光接口模塊、加密卡 | 2個擴展插槽,用于PFC接口模塊、光接口模塊、加密卡 | |
擴展板卡類型 | 無 | 4*GE PFC電口模塊、 4*GE光口模塊、 4*10GE光口模塊 | 4*GE PFC電口模塊、 4*GE光口模塊、 4*10GE光口模塊 | |
存儲介質 | 1個硬盤擴展插槽,支持擴展1塊SATA硬盤 | |||
環境溫度 | 工作:無硬盤0~45℃,帶硬盤5~40℃ 非工作:-40~70℃ | 工作:無硬盤0~45℃,帶硬盤5~40℃ 非工作:-30~70℃ | 工作:無硬盤0~45℃,帶硬盤5~40℃ 非工作:-30~70℃ | |
環境濕度 | 工作:10~95%,無冷凝 非工作:5~95%,無冷凝 | 工作:10~80% 非工作:5~95%,無冷凝 | 工作:10~80% 非工作:5~95%,無冷凝 | |
運行模式 | 路由模式、透明模式、混雜模式 | |||
功能特性表
屬性 | 說明 | ||
網絡安全性 | 驗證、和計帳(AAA)服務 | 本地認證 RADIUS認證,支持PAP和CHAP驗證方式 HWTACACS認證 AD/LDAP認證 PKI證書認證 | |
防火墻 | 基本ACL和高級ACL 基于安全區域的訪問控制 基于時間段的訪問控制 ASPF狀態防火墻 DOS/DDOS攻擊防范:包括SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood,DNS Flood、HTTP Flood 畸形包攻擊如:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、IP分片報文攻擊、分片報文攻擊、TCP報文標志位不合法攻擊、超大ICMP報文攻擊、ICMP重定向或不可達報文 掃描窺探攻擊防范:端口掃描、地址掃描、IP路由記錄選項報文、Tracert報文 IP Spoofing攻擊防范 靜態和動態黑名單功能 連接數限制 支持N:1 SCF集群技術 · 支持多臺設備集群 · 集群設備統一管理 · 集群設備業務分布式處理 支持1:N虛擬防火墻技術 · 容器化的虛擬化技術,虛擬防火墻特性與物理墻特性一致 · 虛擬防火墻獨立GUI/CLI管理 · 虛擬防火墻獨立配置文件 · 虛擬防火墻獨立日志主機及日志審計 · 虛擬防火墻資源分配:吞吐、并發、新建、策略 · 虛擬防火墻接口共享 · N:1:M虛擬化:先將多臺設備集群,然后再進行虛擬防火墻劃分 | ||
NAT | 源地址NAT · 支持根據策略轉換后的地址池; · 支持PAT、支持NO-PAT · 支持無限連接 · 支持IP持續性,保證同一源轉換后的地址不變 · 支持Easy IP 目的地址NAT · 支持地址+端口的一對一映射 · 支持多個公網地址轉換為同一個地址 · 支持基于策略的目的NAT 支持靜態NAT · 支持一對一靜態NAT · 支持net-to-net靜態NAT 支持NAT444 · 支持靜態NAT444 · 支持動態NAT444 支持Fullcone,解決P2P穿越問題 支持C/S方式、P2P方式的Hairpin技術 支持端口塊增量分配 支持DNS Mapping 支持多種ALG,包括FTP、DNS、TFTP、SQLNET、SIP、RTSP、H323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN | ||
DPI | 支持IPS 支持應用控制及應用帶寬管理 支持telnet、FTP、SMTP/POP3、HTTP內容過濾 | ||
VPN | L2TP VPN | 支持LNS 支持Auto-Initiated LAC L2TP支持VRF | |
GRE VPN | GRE Over IPV4 GRE Over IPV6 GRE 支持VRF GRE P2MP(規劃中) | ||
IPSec/IKE | 安全協議支持AH/ESP 支持傳輸和隧道模式 ESP支持DES、3DES和AES三種加密算法 支持MD5及SHA-1驗證算法 支持通過manual或IKE方式建立SA 支持防重放攻擊 支持IPSec策略模版 支持IPSec反向路由注入 支持IKEV1 支持IKE主模式及野蠻模式 支持通過預共享密鑰和證書方式驗證IKE Peer身份 支持DPD 支持IKE Keppalive 支持NAT穿越(野蠻模式和主模式) VRF aware:通過IKE peer對端信息確定所屬的VPN 支持IPSec雙機熱備(規劃中) 支持IKEV2(規劃中) | ||
網絡協議 | 局域網協議 | Ethernet_II 802.1Q | |
二層協議 | STP MSTP | ||
網絡協議 | IP服務 | ARP · 靜態ARP · 動態ARP · ARP代理 · 免費ARP DNS · 本地靜態域名 · DNS Client · DNS Proxy · DDNS動態域名服務 DHCP · DHCP中繼 · DHCP服務器 · DHCP客戶端 NTP · NTP Client · NTP Server | |
IP路由 | 靜態路由管理 策略路由 動態路由 · RIP-1/RIP-2 · OSPF · BGP · ISIS · 路由策略 組播 · IGMP · PM-SM · PM-DM | ||
高可靠性 | 支持集群部署(最多8臺) 支持集群內1:1備份 支持集群內N:N備份 支持選擇性開啟狀態熱備 VRRP/VRRP6V3 支持靜態鏈路聚合、支持動態鏈路聚合、支持跨設備鏈路聚合 鏈路質量探測NQA 支持BFD 熱補丁 | ||
配置管理 | 命令行接口 | 通過Console口進行本地配置 通過Telnet或SSH進行本地或遠程配置 支持基于RBAC的細粒度權限控制,可以控制具體命令的權限 User-interface配置,提供對登錄用戶多種方式的認證和功能 | |
WEB網管接口 | 支持通過WEB方式進行配置 支持WEB管理員的超時下線。 支持WEB用戶的登錄和鑒權 支持基于RBAC的細粒度權限控制,可以控制具體web菜單的操作權限 | ||
支持標準網管SNMP | 支持SNMPV1、V2c和SNMPV3 | ||
外部管理平臺集成 | 支持通過IMC SSM組件對設備進行狀態監控和安全策略、攻擊防范、NAT等安全配置管理 IMC SSM組件可以和桌面終端聯動、發現攻擊用戶后,自動使用戶下線 IMC SSM組件可對設備攻擊日志進行審計,對攻擊進行分類統計,可以統計攻擊源、攻擊對象 IMC SSM組件可以實現對設備會話信息統計,可以基于源、目的展示TopN會話信息 支持通過IMC BIMS對設備進行遠程配置管理 | ||
安全審計 | 攻擊實時日志 域間策略匹配日志 黑名單日志 連接數限制日志 會話日志 NAT日志 流量統計和分析功能 安全事件統計功能 | ||
IPV6 | IPV6業務 | TELNET/FTP/RADIUS 域名解析 DHCP Server DHCP中繼 DHCP客戶端 | |
IPV6路由 | 靜態路由 策略路由 RIPng OSPFv3 BGP4+ ISIS6 | ||
IPV6安全 | IPV6 對象 IPV6安全策略 IPV6 狀態防火墻 IPV6攻擊防范 IPV6 ALG IPV6連接數限制 IPV6 URPF IPV6虛擬分片重組 IPV6 IPSec VPN IPV6虛擬防火墻 | ||
IPV6過渡技術 | NAT-PT NAT64IVI DS-LITE隧道 ISATAP隧道 IPv6 Over IPv4 GRE隧道 | ||
防火墻應用
SecPath F100/1000-X-HI系列防火墻部署在廣域網出口及Internet出口提供對外訪問的安全控制及NAT,同時通過防火墻的攻擊防范及深度安全防御功能保護DMZ區的服務器。
圖1-1 出口安全防護
VPN應用
SecPath F100/F1000-X-HI系列集成了豐富的VPN功能,包括IPSec VPN、SSL VPN、 L2TP VPN等,可以作為中小型企業的出口網關設備提供移動用戶的SSL VPN接入,也可以作為廣域網組網的分支或二三級中心設備提供site-to-site的IPSec VPN接入。IPSEC業務和SSLVPN業務支持采用國密算法。
圖1-2 VPN應用組網圖
(1)主機選購一覽表
項目 | 數量 | 備注 |
SecPath F1000-C-HI | 1 | 必配 |
SecPath F100-A-HI | 1 | 必配 |
500GB SATA HDD 硬盤模塊 | 1 | 選配 |
PFC模塊 | 1 | 選配 |
4SFP接口卡 | 1 | 選配 |
4SFP+接口卡 | 1 | 選配 |
項目 | 數量 | 備注 |
SecPath F100-C-HI/F100-S-HI | 1 | 必配 |
500GB SATA HDD 硬盤模塊 | 1 | 選配 |
& 說明:
“必配”表示所描述項目是設備正常運行的最小配置。
“選配”表示所描述項目是用戶根據實際使用需要可選擇配置。
