智能制造網APP
智能制造網手機站
智能制造網小程序
智能制造網官微
智能制造網服務號
*的平臺架構
SecPath F1000-S-EI采用H3C電信級硬件平臺,通過多內核系統實現核心企業用戶對安全設備線性處理能力的需求。
市場的安全防護功能
增強型狀態安全過濾:支持虛擬防火墻技術,支持安全區域間默認訪問控制;支持基礎、擴展和基于接口的狀態檢測包過濾技術,支持按照時間段進行過濾;支持H3C*ASPF應用層報文過濾(Application Specific Packet Filter)協議,支持對每一個連接狀態信息的維護監測并動態地過濾數據包,支持對FTP、HTTP、SMTP、RTSP、H.323(包括Q.931,H.245, RTP/RTCP等)應用層協議的狀態監控,支持TCP/UDP應用的狀態監控。
抗攻擊防范能力:包括多種DoS/DDoS攻擊防范(CC、SYN flood、DNS Query Flood等)、ARP欺騙攻擊的防范、提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能;靜態和動態黑名單功能;MAC和IP綁定功能;支持智能防范蠕蟲病毒技術。
靈活可擴展的深度安全防護,與基礎安全防護高度集成的一體化安全業務處理平臺。
全面的應用層流量識別與管理:通過H3C長期積累的狀態機檢測、流量交互檢測技術,能精確檢測Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(電騾)/eDonkey(電驢)、QQ、MSN、PPLive等P2P/IM/網絡游戲/炒股/網絡視頻/網絡多媒體等應用;支持P2P流量控制功能,通過對流量采用深度檢測的方法,即通過將網絡報文與P2P協議報文特征進行匹配,可以精確的識別P2P流量,以達到對P2P流量進行管理的目的,同時可提供不同的控制策略,實現靈活的P2P流量控制。
高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產權的FIRST(Full Inspection with Rigorous State Test,基于精確狀態的全面檢測)引擎。FIRST引擎集成了多項檢測技術,實現了基于精確狀態的全面檢測,具有的入侵檢測精度;同時,FIRST引擎采用了并行檢測技術,軟、硬件可靈活適配,大大提高了入侵檢測的效率。
實時的病毒防護:采用Kaspersky公司的病毒庫,從而迅速、準確查殺網絡流量中的病毒等惡意代碼。
全面、及時的安全特征庫。通過多年經營與積累,H3C公司擁有業界的攻擊特征庫團隊,同時配備有專業的實驗室,緊跟網絡安全領域的動態,從而保證特征庫的及時準確更新。
應用層內容過濾:可以有效的識別和控制網絡中的各種P2P模式的應用,并且對這些應用采取限流的控制措施,有效保護網絡帶寬;能夠識別和控制IM協議,如QQ、MSN等;支持郵件過濾,提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL和內容過濾;支持應用層過濾,提供Java/ActiveX Blocking和SQL注入攻擊防范。
負載均衡功能:將特定的業務(網絡服務、網絡流量等)分擔給多個服務器或網絡設備,從而提高業務處理能力,保證業務的高可用。支持的調度算法:輪轉、加權輪轉、最小連接、加權最小連接、隨機、加權隨機、源地址散列。
多種安全認證服務:支持RADIUS和HWTACACS協議及域認證;支持基于PKI /CA體系的數字證書(X.509格式)認證功能;支持用戶身份管理,不同身份的用戶擁有不同的命令執行權限;支持用戶視圖分級,不同級別的用戶賦予不同的管理配置權限。
IPv4/IPv6協議棧:支持完整的IPv4/IPv6協議棧,能夠為各種IPv4/IPv6應用提供支撐。隨著網絡安全問題日益突出,加強了IPv4/IPv6協議棧安全性,提高了網絡設備抵御攻擊的能力。
集中管理與審計:提供各種日志功能、流量統計和分析功能、各種事件監控和統計功能、郵件告警功能。
全面NAT應用支持:提供多對一、多對多、靜態網段、雙向轉換 、Easy IP和DNS映射等NAT應用方式;支持多種應用協議正確穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能;支持無限NAT轉換。
支持GRE VPN、IPSec VPN、L2TP VPN及SSL VPN等多種VPN業務模式。
智能網絡集成
支持路由、透明及混合運行模式。
支持靜態路由協議、路由策略及策略路由。
支持RIP v1/2、OSPF、BGP動態路由協議。
支持基于802.1q VLAN。
DHCP Client/Server/Relay。
電信級設備高可靠性
支持雙機狀態熱備功能,支持Active/Active和Active/Passive兩種工作模式,實現負載分擔和業務備份。
36年的平均時間(MTBF)。
設備關鍵部件均采用冗余設計。
支持機箱內部環境溫度自動檢測,并可通過網管自動采集告警信息。
智能圖形化的管理
支持通過Web方式進行遠程配置管理。
支持通過H3C 網管軟件實現與網絡設備的統一管理。
支持通過H3C FW Manager系統對數量眾多、位置分散的設備提供智能和高效管理。
支持通過H3C VPN Manager系統對VPN進行動態和圖形化業務管理和狀態監控。
系統規格
項目 | 屬性 |
接口 | 1個配置口(CON) 6 GE電+4GE光口 |
CF | 標配256M CF卡 |
DDR SDRAM | 2GB |
外型尺寸:長×深×高 | 442mm×400mm×44.2mm |
重量 | 4.2Kg |
電源模塊 | 輸入額定電壓:100VAC~240VAC;47/63Hz |
輸入電流:1.5A | |
功率 | 38W |
平均時間(MTBF) | 36年 |
工作環境溫度 | 0~45℃ |
環境相對濕度 | 10~95%(不結露) |
功能特性規格
屬性 | 說明 | |
運行模式 | 路由模式 透明模式 混合模式 | |
網絡安全性 | AAA服務 | RADIUS認證 HWTACACS認證 PKI /CA(X.509格式)認證 域認證 CHAP驗證 PAP驗證 |
防火墻 | 包過濾 基礎和擴展的訪問控制列表 基于接口的訪問控制列表 基于時間段的訪問控制列表 基于面向對象的訪問控制列表 動態包過濾 ASPF應用層報文過濾 應用層協議:IM(QQ、MSN)FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP) 傳輸層協議:TCP、UDP 抗攻擊特性 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood ARP欺騙攻擊防范 ARP主動反向查詢 TCP報文標志位不合法攻擊防范 超大ICMP報文攻擊防范 地址/端口掃描的防范 DoS/DDoS攻擊防范 TCP Proxy 功能 ICMP重定向或不可達報文控制功能 Tracert報文控制功能 帶路由記錄選項IP報文控制功能 靜態和動態黑名單功能 MAC和IP綁定功能 透明防火墻 基于MAC的訪問控制列表 支持802.1q VLAN 透傳 | |
病毒防護 | 基于病毒特征進行檢測 支持病毒庫手動和自動升級 報文流處理模式 支持HTTP、FTP、SMTP、POP3協議 支持的病毒類型:Backdoor、-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等 支持病毒日志和報表 | |
入侵防御 | 支持對攻擊、蠕蟲/病毒、木馬、惡意代碼、間諜軟件/廣告軟件、DoS/DDoS常等攻擊的防御 支持緩沖區溢出、SQL注入、IDS/IPS逃逸等攻擊的防御 支持對BT等P2P/IM識別和控制 支持攻擊特征庫的分類(根據攻擊類型、目標機系統進行分類)、分級(分高、中、低、提示四級) 支持攻擊特征庫的手動和自動升級(TFTP和HTTP) | |
郵件/網頁/應用層過濾 | 郵件過濾 SMTP郵件地址過濾 郵件標題過濾 郵件內容過濾 郵件附件過濾 網頁過濾 HTTP URL過濾 HTTP內容過濾 應用層過濾 Java Blocking ActiveX Blocking SQL注入攻擊防范 | |
安全日志及統計 | 用戶行為流日志 NAT轉換日志 攻擊實時日志 黑名單日志 地址綁定日志 流量告警日志 流量統計和分析功能 全局/基于安全域連接數率監控 全局/基于安全域協議報文比例監控 安全事件統計功能 郵件實時告警功能 郵件定期信息發布功能 | |
NAT | 支持多個內部地址映射到同一個公網地址 支持多個內部地址映射到多個公網地址 支持內部地址到公網地址一一映射 支持源地址和目的地址同時轉換 支持外部網絡主機訪問內部服務器 支持內部地址直映射到接口公網IP地址 支持DNS映射功能 可配置支持地址轉換的有效時間 支持多種NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 | |
Load Balance | NAT方式的服務器負載均衡 直接路由(Direct Routing)方式的服務器負載均衡 防火墻負載均衡 調度算法支持: 輪轉 加權輪轉 最小連接 加權最小連接 隨機 加權隨機 源地址散列 | |
IPSec/IKE | 支持AH、ESP協議 支持手工或通過IKE自動建立安全聯盟 ESP支持DES、3DES、AES多種加密算法 支持MD5及SHA-1驗證算法 支持IKE主模式及野蠻模式 支持NAT穿越 支持DPD檢測 | |
L2TP VPN | 支持根據VPN用戶完整用戶名、用戶域名向LNS發起連接 支持為VPN用戶分配地址 支持進行LCP重協商和二次CHAP驗證 | |
GRE VPN | ||
SSL VPN | ||
網絡互連 | 局域網協議 | Ethernet_II Ethernet_SNAP 802.1q VLAN |
網絡協議 | IP服務 | ARP 域名解析 IP UNNUMBERED DHCP中繼 DHCP服務器 DHCP客戶端 |
IP路由 | 靜態路由 RIP v1/2 OSPF BGP 路由策略 策略路由 | |
IPv6 | IPv6安全 | IPv6包過濾 RADIUS |
IPv6基礎特性 | 支持Ipv6地址管理 支持ICMPv6協議 支持ND協議 支持PMTU | |
IPv6應用 | DHCPv6 Client DHCPv6 Relay NTP6 Ping6 DNS6 Tracert6 Telnet6 | |
IPv6路由 | RIPng OSPFv3 MP-BGP Ipv6 Unicast MP-BGP Ipv6 Multicast Ipv6靜態路由 IPv6策略路由 | |
IPv6組播 | MLDv1、MLDv2 PIM SM/DM SSM Ipv6 MC over Ipv4 Tunnels 組播靜態路由 BSR | |
過渡技術 | NAT-PT Ipv6 over Ipv4 GRE隧道 手工隧道 6to4隧道 Ipv4兼容Ipv6自動隧道 ISATAP隧道 | |
負載均衡 | 調度算法:輪轉、加權輪轉、最小連接、加權最小連接、隨機、加權隨機、源地址散列、源地址端口散列、目的地址散列 健康性檢測算法:ICMP、TCP、HTTP、FTP 持續性算法:基于源IP、基于目的IP | |
高可靠性 | 雙機狀態熱備,Active/Active和Active/Passive兩種工作模式,支持負載分擔和業務備份 關鍵部件冗余設計 支持VRRP 機箱溫度自動檢測 | |
服務質量保證(QoS) | 流量監管 | CAR |
配置管理 | 命令行接口 | 通過Console口進行本地配置 通過Telnet或SSH進行本地或遠程配置 配置命令分級保護,確保未用戶無法侵入設備 詳盡的調試信息,幫助診斷網絡故障 提供網絡測試工具,如Tracert、Ping命令等,迅速診斷網絡是否正常 用Telnet命令直接登錄并管理其它設備 FTP Server/Client,可以使用FTP下載、上載配置文件和應用程序 支持TFTP上傳下載文件 支持日志功能 文件系統管理 User-interface配置,提供對登錄用戶多種方式的認證和功能。 |
支持標準網管 SNMPv3,并且兼容SNMP v2c、SNMP v1 支持NTP時間同步 | ||
支持Web方式進行遠程配置管理 支持H3C UTM Manager系統進行設備管理 支持H3C VPN Manager系統進行VPN業務管理和監控 | ||
一、防火墻應用方案
SecPath F1000-S-EI 防火墻應用典型部署圖
靈活組網,可按需擴展
雙機狀態熱備技術,高可靠網絡設計
具有強大的處理能力
豐富路由協議,實現安全與網絡融合
阻止惡意攻擊,能夠實現郵件、網頁過濾
二、防火墻結合VPN應用方案
SecPath F1000-S-EI 防火墻結合VPN應用典型部署圖
支持動態/點對點/遠程訪問等VPN組網應用
支持用戶名/口令/SecKey/X.509格式數字證書認證
具有強大的VPN加密處理能力
雙機狀態熱備技術,高可靠網絡設計
基于用戶接入控制,對流量進行監控和過濾
豐富路由協議,實現安全與網絡融合
H3C BIMS系統對數量眾多、位置分散的設備提供智能和高效管理
H3C VPN Manager系統對VPN進行動態和圖形化的業務管理和狀態監控
主機選購一覽表
項目 | 數量 | 備注 |
F1000-S-EI主機(6GE電+4GE光/1slot) | 1 | 必配 |
& 說明:
“必配”表示所描述項目直接隨選購的主機提供,不需要用戶選擇購買。
“選配”表示所描述項目需要用戶選擇購買。
