的架構
的分布式架構:控制層面和數據處理層面并行處理,控制層面完成任務調度、路由計算、策略管理及其他服務,數據層面完成基于流的轉發、狀態檢測和訪問控制。控制層面和數據處理層面各自分工又密切聯系,解決萬兆安全的性能瓶頸難題。
優異的無阻塞交換網技術:采用了的Crossbar無阻塞交換網技術,引入了交換矩陣交換方式處理數據業務,真正實現整機安全業務的線速處理。
市場的安全防護功能
增強型狀態安全過濾:支持基礎、擴展和基于接口的狀態檢測包過濾技術;支持H3CASPF應用層報文過濾(Application Specific Packet Filter)協議,支持對每一個連接狀態信息的維護監測并動態地過濾數據包,支持對應用層協議的狀態監控。
抗攻擊防范能力:包括多種DoS/DDoS攻擊防范、ARP欺騙攻擊的防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、Tracert報文控制功能;靜態和動態黑名單功能;MAC和IP綁定功能;支持智能防范蠕蟲病毒技術。
應用層內容過濾:可以有效的識別網絡中各種P2P模式的應用,并且對這些應用采取限流的控制措施,有效保護網絡帶寬;支持郵件過濾,提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL和內容過濾。
多種安全認證服務:支持RADIUS和HWTACACS協議及域認證;支持基于PKI /CA體系的數字證書(X.509格式)認證功能;持用戶身份管理,不同身份的用戶擁有不同的命令執行權限;支持用戶視圖分級,不同級別的用戶賦予不同的管理配置權限。
IPv4/IPv6協議棧:支持完整的IPv4/IPv6協議棧,能夠為各種IPv4/IPv6應用提供支撐。隨著網絡安全問題日益突出,加強了IPv4/IPv6協議棧安全性,提高了網絡設備抵御攻擊的能力。
集中管理與審計:提供各種日志功能、流量統計和分析功能、各種事件監控和統計功能、郵件告警功能。
全面NAT應用支持:提供多對一、多對多、靜態網段、雙向轉換 、Easy IP和DNS映射等NAT應用方式;支持多種應用協議正確穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。
支持L2TP VPN、GRE VPN、IPSec VPN和動態VPN等多種VPN業務模式。
電信級設備高可靠性
支持雙機狀態熱備功能,支持Active/Active和Active/Passive兩種工作模式,實現負載分擔和業務備份
36年的平均時間(MTBF)
遠端鏈路狀態監測(L3 monitor)
設備關鍵部件均采用冗余設計
支持機箱內部環境溫度自動檢測,并可通過網管自動采集告警信息
雙電源冗余備份
智能 圖形化的管理
通過Web方式進行遠程配置管理。
通過H3C SecCenter網管軟件實現與網絡設備的統一管理。
系統規格
項目
屬性
接口
1個配置口(CON)
1個備份口(AUX)
1個專屬管理口(Management)
1個專屬熱備口(HA)
支持48個10/100/1000M以太網口或8個10G接口
插槽
4個業務插槽,可選的接口模塊包括:
12GE(8GE電口+4Combo)接口業務板
12GE(8SFP+4Combo)接口業務板
2*10G接口業務板
CF卡
主控插卡內置256MB ,外置1個擴展CF卡插槽,可擴展為1G
DDR RAM
主控插卡: 標配4G
業務插卡: 標配512M,可擴展為1G
內置VPN加密芯片
是
外型尺寸(H×W×D)
308mm×436mm×468mm
重量
27kg
電源模塊
輸入
交流主機:100-240V ;50/60Hz
直流主機:-48V--60V
輸出
電壓:12V
功率
650 W
平均時間(MTBF)
35年
工作環境溫度
0~45℃
環境相對濕度
10~95% 無冷凝
項目 | 屬性 | |
接口 | 1個配置口(CON) 1個備份口(AUX) 1個專屬管理口(Management) 1個專屬熱備口(HA) 支持48個10/100/1000M以太網口或8個10G接口 | |
插槽 | 4個業務插槽,可選的接口模塊包括: 12GE(8GE電口+4Combo)接口業務板 12GE(8SFP+4Combo)接口業務板 2*10G接口業務板 | |
CF卡 | 主控插卡內置256MB ,外置1個擴展CF卡插槽,可擴展為1G | |
DDR RAM | 主控插卡: 標配4G 業務插卡: 標配512M,可擴展為1G | |
內置VPN加密芯片 | 是 | |
外型尺寸(H×W×D) | 308mm×436mm×468mm | |
重量 | 27kg | |
電源模塊 | 輸入 | 交流主機:100-240V ;50/60Hz 直流主機:-48V--60V |
輸出 | 電壓:12V | |
功率 | 650 W | |
平均時間(MTBF) | 35年 | |
工作環境溫度 | 0~45℃ | |
環境相對濕度 | 10~95% 無冷凝 |
功能特性規格
屬性
說明
運行模式
路由模式
透明模式
混合模式
網絡安全性
AAA服務
RADIUS認證
HWTACACS認證
PKI /CA(X.509格式)認證
域認證
CHAP驗證
PAP驗證
防火墻
包過濾
基礎和擴展的訪問控制列表
基于接口的訪問控制列表
基于時間段的訪問控制列表
動態包過濾
ASPF應用層報文過濾
應用層協議:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)
傳輸層協議:TCP、UDP
抗攻擊特性
Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺騙攻擊防范
TCP報文標志位不合法攻擊防范
超大ICMP報文攻擊防范
地址/端口掃描的防范
DoS/DDoS攻擊防范
TCP Proxy 功能
ICMP重定向或不可達報文控制功能
Tracert報文控制功能
帶路由記錄選項IP報文控制功能
靜態和動態黑名單功能
MAC和IP綁定功能
透明防火墻
基于MAC的訪問控制列表
支持802.1q VLAN 透傳
郵件/網頁/應用層過濾
郵件過濾
SMTP郵件地址過濾
郵件標題過濾
郵件內容過濾
郵件附件過濾
網頁過濾
HTTP URL過濾
HTTP內容過濾
應用層過濾
Java Blocking
ActiveX Blocking
SQL注入攻擊防范
安全日志及統計
用戶行為流日志
NAT轉換日志
攻擊實時日志
黑名單日志
地址綁定日志
流量告警日志
流量統計和分析功能
全局/基于安全域連接數率監控
全局/基于安全域協議報文比例監控
安全事件統計功能
郵件實時告警功能
郵件定期信息發布功能
NAT
支持多個內部地址映射到同一個公網地址
支持多個內部地址映射到多個公網地址
支持內部地址到公網地址一一映射
支持源地址和目的地址同時轉換
支持外部網絡主機訪問內部服務器
支持內部地址直映射到接口公網IP地址
支持DNS映射功能
可配置支持地址轉換的有效時間
支持多種NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等
VPN
L2TP VPN
支持根據VPN用戶完整用戶名、用戶域名向LNS發起連接
支持為VPN用戶分配地址
支持進行LCP重協商和二次CHAP驗證
GRE VPN
IPSec/IKE
支持AH、ESP協議
支持手工或通過IKE自動建立安全聯盟
ESP支持DES、3DES、AES多種加密算法
支持MD5及SHA-1驗證算法
支持IKE主模式及野蠻模式
支持NAT穿越
支持DPD檢測
網絡互連
局域網協議
Ethernet_II
Ethernet_SNAP
802.1q VLAN
鏈路層協議
PPPoE
網絡協議
IP服務
ARP
域名解析
IP UNNUMBERED
DHCP中繼
DHCP服務器
DHCP客戶端
IP路由
靜態路由
RIP v1/2
OSPF
BGP
路由策略
策略路由
IPv6
IPv6安全
IPv6包過濾
RADIUS
IPv6基礎特性
支持Ipv6地址管理
支持ICMPv6協議
支持ND協議
支持PMTU
IPv6應用
DHCPv6 Client
DHCPv6 Relay
NTP6
Ping6
DNS6
Tracert6
Telnet6
IPv6路由
RIPng
OSPFv3
MP-BGP Ipv6 Unicast
MP-BGP Ipv6 Multicast
Ipv6靜態路由
IPv6策略路由
IPv6組播
MLDv1、MLDv2
PIM SM/DM
SSM
Ipv6 MC over Ipv4 Tunnels
組播靜態路由
BSR
過渡技術
NAT-PT
Ipv6 over Ipv4 GRE隧道
手工隧道
6to4隧道
Ipv4兼容Ipv6自動隧道
ISATAP隧道
負載均衡
調度算法:輪轉、加權輪轉、最小連接、加權最小連接、隨機、加權隨機、源地址散列、源地址端口散列、目的地址散列
健康性檢測算法:ICMP、TCP、HTTP、FTP
持續性算法:基于源IP、基于目的IP
高可靠性
雙機狀態熱備,Active/Active和Active/Passive兩種工作模式,支持負載分擔和業務備份
遠端鏈路狀態監測(L3 monitor)
關鍵部件冗余設計
支持VRRP
機箱溫度自動檢測
配置管理
命令行接口
通過Console口進行本地配置
通過Telnet或SSH進行本地或遠程配置
配置命令分級保護,確保未用戶無法侵入設備
提供全中文的提示和幫助信息
詳盡的調試信息,幫助診斷網絡故障
提供網絡測試工具,如Tracert、Ping、HWPing命令等,迅速診斷網絡是否正常
用Telnet命令直接登錄并管理其它設備
FTP Server/Client,可以使用FTP下載、上載配置文件和應用程序
支持TFTP上傳下載文件
支持日志功能
文件系統管理
User-interface配置,提供對登錄用戶多種方式的認證和功能。
支持標準網管 SNMPv3,并且兼容SNMP v2c、SNMP v1
支持NTP時間同步
支持Web方式進行遠程配置管理
支持H3C SecCenter系統進行設備管理
屬性 | 說明 | |
運行模式 | 路由模式 透明模式 混合模式 | |
網絡安全性 | AAA服務 | RADIUS認證 HWTACACS認證 PKI /CA(X.509格式)認證 域認證 CHAP驗證 PAP驗證 |
防火墻 | 包過濾 基礎和擴展的訪問控制列表 基于接口的訪問控制列表 基于時間段的訪問控制列表 動態包過濾 ASPF應用層報文過濾 應用層協議:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP) 傳輸層協議:TCP、UDP 抗攻擊特性 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺騙攻擊防范 TCP報文標志位不合法攻擊防范 超大ICMP報文攻擊防范 地址/端口掃描的防范 DoS/DDoS攻擊防范 TCP Proxy 功能 ICMP重定向或不可達報文控制功能 Tracert報文控制功能 帶路由記錄選項IP報文控制功能 靜態和動態黑名單功能 MAC和IP綁定功能 透明防火墻 基于MAC的訪問控制列表 支持802.1q VLAN 透傳 | |
郵件/網頁/應用層過濾 | 郵件過濾 SMTP郵件地址過濾 郵件標題過濾 郵件內容過濾 郵件附件過濾 網頁過濾 HTTP URL過濾 HTTP內容過濾 應用層過濾 Java Blocking ActiveX Blocking SQL注入攻擊防范 | |
安全日志及統計 | 用戶行為流日志 NAT轉換日志 攻擊實時日志 黑名單日志 地址綁定日志 流量告警日志 流量統計和分析功能 全局/基于安全域連接數率監控 全局/基于安全域協議報文比例監控 安全事件統計功能 郵件實時告警功能 郵件定期信息發布功能 | |
NAT | 支持多個內部地址映射到同一個公網地址 支持多個內部地址映射到多個公網地址 支持內部地址到公網地址一一映射 支持源地址和目的地址同時轉換 支持外部網絡主機訪問內部服務器 支持內部地址直映射到接口公網IP地址 支持DNS映射功能 可配置支持地址轉換的有效時間 支持多種NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 | |
VPN | L2TP VPN | 支持根據VPN用戶完整用戶名、用戶域名向LNS發起連接 支持為VPN用戶分配地址 支持進行LCP重協商和二次CHAP驗證 |
GRE VPN | ||
IPSec/IKE | 支持AH、ESP協議 支持手工或通過IKE自動建立安全聯盟 ESP支持DES、3DES、AES多種加密算法 支持MD5及SHA-1驗證算法 支持IKE主模式及野蠻模式 支持NAT穿越 支持DPD檢測 | |
網絡互連 | 局域網協議 | Ethernet_II Ethernet_SNAP 802.1q VLAN |
鏈路層協議 | PPPoE | |
網絡協議 | IP服務 | ARP 域名解析 IP UNNUMBERED DHCP中繼 DHCP服務器 DHCP客戶端 |
IP路由 | 靜態路由 RIP v1/2 OSPF BGP 路由策略 策略路由 | |
IPv6 | IPv6安全 | IPv6包過濾 RADIUS |
IPv6基礎特性 | 支持Ipv6地址管理 支持ICMPv6協議 支持ND協議 支持PMTU | |
IPv6應用 | DHCPv6 Client DHCPv6 Relay NTP6 Ping6 DNS6 Tracert6 Telnet6 | |
IPv6路由 | RIPng OSPFv3 MP-BGP Ipv6 Unicast MP-BGP Ipv6 Multicast Ipv6靜態路由 IPv6策略路由 | |
IPv6組播 | MLDv1、MLDv2 PIM SM/DM SSM Ipv6 MC over Ipv4 Tunnels 組播靜態路由 BSR | |
過渡技術 | NAT-PT Ipv6 over Ipv4 GRE隧道 手工隧道 6to4隧道 Ipv4兼容Ipv6自動隧道 ISATAP隧道 | |
負載均衡 | 調度算法:輪轉、加權輪轉、最小連接、加權最小連接、隨機、加權隨機、源地址散列、源地址端口散列、目的地址散列 健康性檢測算法:ICMP、TCP、HTTP、FTP 持續性算法:基于源IP、基于目的IP | |
高可靠性 | 雙機狀態熱備,Active/Active和Active/Passive兩種工作模式,支持負載分擔和業務備份 遠端鏈路狀態監測(L3 monitor) 關鍵部件冗余設計 支持VRRP 機箱溫度自動檢測 | |
配置管理 | 命令行接口 | 通過Console口進行本地配置 通過Telnet或SSH進行本地或遠程配置 配置命令分級保護,確保未用戶無法侵入設備 提供全中文的提示和幫助信息 詳盡的調試信息,幫助診斷網絡故障 提供網絡測試工具,如Tracert、Ping、HWPing命令等,迅速診斷網絡是否正常 用Telnet命令直接登錄并管理其它設備 FTP Server/Client,可以使用FTP下載、上載配置文件和應用程序 支持TFTP上傳下載文件 支持日志功能 文件系統管理 User-interface配置,提供對登錄用戶多種方式的認證和功能。 |
支持標準網管 SNMPv3,并且兼容SNMP v2c、SNMP v1 支持NTP時間同步 | ||
支持Web方式進行遠程配置管理 支持H3C SecCenter系統進行設備管理 |