智能制造網APP
智能制造網手機站
智能制造網小程序
智能制造網官微
智能制造網服務號
高性能的軟硬件處理平臺
采用控制、業務、數據相分離的全分布式架構,控制引擎、交換引擎、業務引擎及接口單元硬件分離,解耦合系統關鍵部件, 提高系統可靠性;獨立的硬件交換引擎,支撐高性能安全業務無阻塞處理及轉發。
獨立的高性能控制引擎,實現系統統一配置管理和安全集群。
安全業務引擎采用多核高性能處理器,保證大 容量策略表項的高速檢索。
內置模塊化軟件系統,支持多進程的調度,進程間運行空間隔離,單個進程的異常不會影響系統其他部分,提高系統可靠性; 支持權限管理功能,基于特性、命令行、系統資源、WEB 管理等級別定義用戶讀寫權限,提高系統安全性;支持熱補丁、ISSU,不中斷業務的情況下實現系統升級,提高系統易用性。
完善的安全保障
業界最完善的虛擬化解決方案
支持虛擬化,滿足云計算資源池需求。
支持多臺設備集群部署。
支持虛擬防火墻。
全面的網絡安全防護能力
集成入侵檢測與防御、病毒防護、帶寬管理和URL 過濾等功能,是業界綜合防護技術的入侵檢測/防御系統。通過深入到七 層的分析與檢測,實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網頁篡改等攻擊和惡意行為,實現對網絡應用、網絡基礎設施和網絡性能的全面保護。
豐富的攻擊防范技術。同時支持IPv4和IPv6。除提供普通的狀態防火墻安全隔離技術外,針對異常報文攻擊如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP報文標志位不合法,地址欺騙攻擊如IP spoofing,掃描攻擊如IP地址攻擊、端口攻擊,異常流量攻擊如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能夠提供有效防護。
全面、及時的特征庫。H3C專業安全團隊密切跟蹤安全組織和廠商發布的安全公告,經過分析、驗證所有這些威脅,生成保護操作系統、應用系統以及數據庫漏洞的特征庫。特征庫覆蓋全面,包含了主流操作系統、主流網絡設備、主流數據庫系統、主流應用軟件系統的全部漏洞特征,同時也包含了、蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、網絡釣魚、P2P、IM、網游等網絡攻擊或網絡濫用特征。
針對報文檢測結果提供了豐富的響應方式,包括源阻斷、丟棄、允許、限流、TCP Reset、捕獲原始報文、重定向、記錄日志、告警等。各響應方式可以相互組合,并且設備出廠內置了一些常用的動作組合,以方便客戶使用。
豐富的NAT特性
源地址NAT:支持對不同的源選擇不同的地址池;支持NAT端口復用特性從而有效節省公網地址;支持PAT/NO-PAT,支持采用接口地址作為轉換后的公網地址;針對P2P應用支持Full-cone特性。
目的地址NAT:支持將公網地址+端口轉換為地址+端口;支持忽略端口的目的地址轉換;支持基于策略的目的NAT,從對符合一定策略的報文進行目的地址轉換;支持將多個公網地址映射為同一個地址。
靜態NAT:支持靜態1對1 NAT;支持靜態net-to-net NAT。
NAT Fullcone技術支持NAT網絡中的P2P穿越。
NAT hairpin技術解決同一NAT之后的P2P終端通信的同時,減少對出口帶寬浪費。
支持多種協議狀態檢測如FTP、DNS、TFTP、SQLNET、SIP、H.323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN等。
支持靜態、動態NAT444技術,支持基于策略的多出口NAT特性。
支持高性能的NAT日志發送。
豐富的VPN應用
CPU內置高性能加密引擎,確保計算復雜的加解密操作不會對CPU處理其他防火墻業務造成影響,同時保證了VPN的處理性能。
支持GRE VPN、L2TP VPN, IPsec VPN、DVPN、SSL VPN及多種VPN技術的組合應用。
支持IPv6 IPsec vpn、IPv6 GRE VPN。
支持多種VPN技術的組合使用IPsec Over GRE,L2TP over IPsec等。
完善的IPv6解決方案
支持IPv6靜態路由、策略路由、OSPFv3、BGP4+、RIPng等動態路由。
支持IPv6狀態防火墻。
支持IPv6協議狀態檢測包括DNS64、FTP、ICMPv6、SIP、RTSP、MGCP等
支持IPv6地址對象及IPv6安全策略
支持IPv6攻擊防范,包括IPv6 DOS/DDOS攻擊、掃描攻擊等
支持IPv6 IPsec VPN
支持DS-LITE、AFT及IPv6隧道等各種過渡技術。
支持IPv6管理、日志及審計。
支持IPv6虛擬防火墻。
電信級業務高可靠性
支持防火墻、NAT、攻擊防范、VPN業務的熱備。
故障隔離:軟件模塊化技術使軟件的各個部分做到故障隔離。Comware V7的模塊化設計,保證一個進程的異常不會影響其他進程以及內核的正常運行。軟件的故障也可以通過自行恢復,不影響硬件的運行
進程級GR:通過完善的進程級GR技術,保證異常進程可恢復,并且不影響系統業務。
全面的管理監控手段
提供各種日志功能,包括攻擊實時日志、黑名單日志、會話日志、二進制格式日志、NAT日志功能,能夠有效的記錄網絡情況,從而為分析網絡狀況,防范網絡攻擊提供依據。
提供簡單易用的Web UI管理。
通過H3C iMC管理平臺實現統一管理,集安全信息與事件收集、分析、響應等功能為一體,解決了網絡與安全設備相互孤立、網絡安全狀況不直觀、安全事件響應慢、網絡故障定位困難等問題,使IT及安全管理員脫離繁瑣的管理工作,極大提高工作效率,能夠集中精力關注核心業務。
(1) 基于的深度挖掘及分析技術,采用主動收集、被動接收等方式,為用戶提供集中化的日志管理功能,并對不同類型格式(Syslog、二進制流日志等)的日志進行歸一化處理。同時,采用高聚合壓縮技術對海量事件進行存儲,并可通過自動壓縮、加密和保存日志文件到DAS、NAS或SAN等外部存儲系統,避免重要安全事件的丟失。
(2) 提供豐富的報表,主要包括基于應用的報表、基于網流的分析報表等。
(3) 支持以PDF、HTML、WORD和TXT等多種格式輸出。
(4) 可通過Web界面進行報告定制,定制內容包括數據的時間范圍、數據的來源設備、生成周期以及輸出類型等。
安全認證
支持用戶身份管理,不同身份的用戶擁有不同的命令執行權限,可以防止低權限用戶非法獲取或修改配置信息等。M9008-S設置了如下四種身份的用戶:訪問(Visit)級、監控(Monitor)級、配置(Config)級和管理(Manage)級用戶。
視圖分級保護。由于四種不同身份的用戶擁有的配置權限不同,級別低的用戶不能進入更高級的視圖。
在PPP線路上支持CHAP和PAP驗證協議。
支持基于RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)的AAA(Authentication,Authorization,Accounting,認證、、計費)服務,可以與RADIUS服務器配合實施對接入用戶的驗證、和計費安全服務,防止非法訪問。
支持基于PKI/X.509的證書認證功能。
路由協議OSPF、RIP2都具有MD5認證功能,確保所交換路由信息的可靠性。
開放的系統接口
開放接口:傳統的網絡操作系統為封閉的系統,有專用的系統概念和處理流程,缺乏開放性。而Comware V7使用通用的Linux操作系統,回歸了主流的軟件實現方式。提供開放的標準編程接口,可供用戶利用Comware V7提供的基礎功能,實現自己的專用功能,目前主要基于Netconf接口。
TCL腳本:Comware V7內嵌了TCL腳本執行功能,用戶可以利用TCL腳本語言直接編寫腳本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公開的編程接口等實現所需功能。
EAA:可以在系統發生變化時執行預定義動作。在提高系統可維護性的同時,滿足用戶一些個性化需求。
系統配置表
H3C SecPath M9008-S主機系統配置表
項目 | M9008-S |
主控槽位 | 2個 |
業務槽位 | 6個 |
外型尺寸 (W ×D ×H) | 機箱:436x420x575mm(13RU) |
整機功耗 | 2800W(Max) |
環境溫度 | 工作:0~40℃ 非工作:-40~70℃ |
環境濕度 | 工作:5~95%,無冷凝 非工作:5~95%,無冷凝 |
接口屬性表
配置口屬性
配置口屬性
屬性 | 描述 |
接頭 | RJ-45 |
接口標準 | RS-232 |
波特率 | 9600~115200bps 缺省9600bps |
支持服務 | 與字符終端相連 與本地PC的串口相連并在PC上運行終端仿真程序 命令行接口 |
線纜類型 | 普通異步串行口線纜 |
傳輸距離 | ≤15m |
千兆以太網電口屬性
千兆以太網電口屬性
屬性 | 描述 |
接口標準 | 1000BASE-T |
連接器 | RJ45 |
速率 | 10/100/1000Mbps |
工作方式 | 電口特性:支持10/100/1000M模式、支持MDI/MDIX功能 |
千兆以太網光口屬性
千兆以太網光口屬性
屬性 | 描述 |
接口標準 | 1000BASE-X |
連接器 | SFP |
速率 | 1000Mbps |
工作方式 | 光口特性: 只支持1000-SX/LX模式,出標準的SFP接口 |
萬兆以太網光口屬性
萬兆以太網光口屬性
屬性 | 描述 |
接口標準 | 10GBASE-R |
連接器 | SFP+ |
速率 | 10000Mbps |
工作方式 | 出標準的SFP+接口 |
功能特性列表
功能特性表
屬性 | 說明 | ||
運行模式 | 路由模式 透明模式 混合模式 | ||
網絡安全性 | DPI | 支持IPS 支持應用控制及應用帶寬管理 支持防病毒 支持URL過濾 支持應用識別 支持bypass | |
防范的網絡攻擊類型和網絡濫用類型 | 蠕蟲/病毒 木馬 后門 DoS/DDoS攻擊 探測/掃描 間諜軟件 網絡釣魚 利用漏洞的攻擊 SQL注入攻擊 緩沖區溢出攻擊 協議異常 IDS/IPS逃逸攻擊 P2P濫用 IM濫用 網游濫用 | ||
防火墻 | 基本ACL和高級ACL 基于安全區域的訪問控制 基于時間段的訪問控制 ASPF狀態防火墻 DOS/DDOS攻擊防范:包括SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood,DNS Flood、HTTP Flood 畸形包攻擊如:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、IP分片報文攻擊、分片報文攻擊、TCP報文標志位不合法攻擊、超大ICMP報文攻擊、ICMP重定向或不可達報文 掃描窺探攻擊防范:端口掃描、地址掃描、IP路由記錄選項報文、Tracert報文 靜態和動態黑名單功能 連接數限制 | ||
安全審計 | 攻擊實時日志 域間策略匹配日志 黑名單日志 連接數限制日志 會話日志 流量統計和分析功能 安全事件統計功能 | ||
網絡協議 | IP服務 | ARP 靜態ARP 動態ARP ARP代理 免費ARP DNS 本地靜態域名 DNS Client NTP NTP Client NTP Server | |
IP路由 | 靜態路由管理 策略路由 動態路由 RIP-1/RIP-2 OSPF 路由策略 | ||
高可靠性 | 支持集群部署 支持集群內1:1備份 支持選擇性開啟狀態熱備 支持靜態鏈路聚合、支持動態鏈路聚合、支持跨設備鏈路聚合 鏈路質量探測NQA 支持BFD 熱補丁 ISSU | ||
配置管理 | 命令行接口 | 通過Console口進行本地配置 通過Telnet或SSH進行本地或遠程配置 支持基于RBAC的細粒度權限控制,可以控制具體命令的權限 User-interface配置,提供對登錄用戶多種方式的認證和功能 | |
Web網管接口 | 支持通過Web方式進行配置 支持Web管理員的超時下線 支持Web用戶的登錄和鑒權 支持基于RBAC的細粒度權限控制,可以控制具體Web菜單的操作權限 | ||
支持標準網管SNMP | 支持SNMPV1、V2c和SNMPV3 | ||
IPv6 | IPv6業務 | Telnet/FTP/RADIUS 域名解析 | |
IPv6路由 | 靜態路由 策略路由 RIPng OSPFv3 | ||
IPv6安全 | IPv6 對象 IPv6安全策略 IPv6 狀態防火墻 IPv6攻擊防范 IPv6 ALG IPv6連接數限制 IPv6 URPF IPv6虛擬分片重組 IPv6虛擬IPS | ||
冗余設計 | 主控、交換網板、電源、風扇 | ||
