H3C SecPath vFW虛擬防火墻-上海風潮電子有限公司

產品中心 PRODUCT

網絡資源

H3C SecPath vFW虛擬防火墻

來源:上海風潮電子有限公司發布時間: 2018-02-27 14:18 瀏覽:

H3C vFW產品有別于H3C公司以往的物理負載均衡設備，是一款運行在標準服務器虛擬機上的純軟件應用交付產品。

領先的專業網絡安全平臺

基于業界領先的Comware V7平臺，支持：

豐富的網絡和安全功能，能夠滿足企業分支及公有云多租戶環境中的網絡安全需求。

控制平面和數據平面分離，專門為虛擬環境優化的多核數據轉發，更能充分利用計算資源。

模塊化的體系架構，開放的網絡平臺，允許網絡按需運行和控制，更容易實現NFV/SDN落地。

和物理網絡設備采用統一的軟件平臺，提供相同的功能特性和一致的管理界面。

超輕量級部署

提供了超輕量級的部署體驗：

適合在公有云中部署，實現零運輸、零布線，加快業務的部署。

支持VMware ESXi、Linux KVM、H3C CAS等多個主流的虛擬平臺，充分發揮虛擬化的優勢，實現快速部署、批量部署、鏡像備份、快速恢復，并且能夠靈活遷移。

提供ISO鏡像、OVA模板、IPE等多種發布格式，適應各種環境下的部署。

支持虛擬機管理平臺、網管平臺及本地等多種工具進行靈活部署。

超強業務彈性

提供了超強的業務彈性：

支持VMware ESXi、Linux KVM、H3C CAS等多個主流的虛擬平臺，無縫適應用戶的部署環境。

允許企業在虛擬化的環境中搭建企業網絡，可以按需動態地調配和管理網絡資源及服務，比如，可以根據需要靈活調整網口數量和類型，而無需新購買硬件板卡。

通過動態調整虛擬機資源和License，即可實現軟件功能的平滑升級、設備性能的按需提升，隨時滿足業務增長需求。

完善的安全保障

防火墻過濾

支持包過濾。借助報文中優先級、TOS、UDP或TCP端口等信息作為過濾參考，通過在接口輸入或輸出方向上使用標準或擴展訪問控制規則，可以實現對數據包的過濾。同時，還可以按照時間段進行過濾。

支持應用層狀態包過濾（ASPF）功能。通過檢查應用層協議信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP協議的應用層協議），并監控基于連接的應用層協議狀態，動態的決定數據包是被允許通過防火墻或者是被丟棄。

支持豐富的攻擊防范技術。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法超大ICMP報文、地址掃描、端口掃描等攻擊防范，還包括針SYN Flood、UDP Flood、ICMP Flood等常見DDoS攻擊的檢測防御。

支持多種VPN業務，如L2TP VPN、IPSec VPN、GRE VPN等，可以針對客戶需求通過撥號、租用線及VLAN或隧道等方式接入遠端用戶，構建Internet、Intranet、Access等多種形式的VPN。結合防火墻、AAA、NAT、及多種QoS等技術，防火墻可以確保在開放的Internet上實現安全的、滿足可靠質量要求的私有網絡。

支持安全區域管理?？苫诮涌?、VLAN劃分安全區域。

支持靜態和動態黑名單。

支持豐富的路由協議。支持靜態路由、策略路由，以及RIP、OSPF等動態路由協議。

NAT應用

地址轉換NAT（Network Address Translation）又稱地址代理，將內部網絡主機的IP地址和端口號替換為外部網絡地址和端口號，有效控制內部網絡和外部網絡之間的訪問，不僅節約了寶貴的IP地址資源，而且為內部主機提供了“隱私”保護。

提供多對一、地址池、ACL控制等地址轉換方式，在一個接口上支持多個不同的地址轉換服務，通過內部服務器可以向外提供FTP、Telnet和WWW等服務，實現公網和私網混合地址解決方案。

除提供一般NAT功能以外，還提供針對多種應用協議，如多媒體應用（VOIP、視頻）：H323、RAS、SIP、SCCP、RTSP，VPN應用PPTP，常用的應用FTP、TFTP、DNS、NBT、ICMP、HWCC、DNS、ILS的NAT ALG功能。

安全管理

提供各種日志功能，包括攻擊實時日志、黑名單日志、會話日志、NAT日志功能，能夠有效的記錄網絡情況，從而為分析網絡狀況，防范網絡攻擊提供依據。

通過H3C iMC實現統一管理，集安全信息與事件收集、分析、響應等功能為一體，解決了網絡與安全設備相互孤立、網絡安全狀況不直觀、安全事件響應慢、網絡故障定位困難等問題，使IT及安全管理員脫離繁瑣的管理工作，極大提高工作效率，能夠集中精力關注核心業務。

基于先進的深度挖掘及分析技術，為用戶提供集中化的日志管理功能，并對不同類型格式（Syslog、二進制流日志等）的日志進行歸一化處理。同時，采用高聚合壓縮技術對海量事件進行存儲，并可通過自動壓縮、加密和保存日志文件到DAS、NAS或SAN等外部存儲系統，避免重要安全事件的丟失。

提供豐富的報表，主要包括基于攻擊、應用的報表、基于網流的分析報表等。

支持報告定制，定制內容包括數據的時間范圍、數據的來源設備、生成周期以及輸出類型等。

安全認證

支持用戶身份管理，不同身份的用戶擁有不同的命令執行權限，可以防止低權限用戶非法獲取或修改配置信息等。

視圖分級保護。由于不同身份的用戶擁有的配置權限不同，級別低的用戶不能進入更高級的視圖。

支持基于RADIUS（Remote Authentication Dial-In User Service）的AAA（Authentication，Authorization，Accounting）服務，可以與RADIUS服務器配合實施對接入用戶的驗證、授權和計費安全服務，防止非法訪問。

支持基于PKI/X.509的證書認證功能。

路由協議OSPF、RIP2都具有MD5認證功能，確保所交換路由信息的可靠性。

豐富的VPN接入能力

L2TP VPN

L2TP為目前使用最廣泛的VPDN （Virtual Private Dial Network）隧道協議。L2TP協議提供了對PPP鏈路層數據包的通道（Tunnel）傳輸支持，支持L2TP多域。

GRE VPN

GRE是第三層隧道協議，在協議層之間采用了一種被稱之為Tunnel（隧道）的技術，在一個Tunnel的兩端分別對數據報進行封裝及解封裝。

IPSec（IP Security）協議族是IETF制定的一系列協議，它為IP數據報提供了高質量的、可互操作的、基于密碼學的安全性。特定的通信方之間在IP層通過加密與數據源驗證等方式，來保證數據報在網絡上傳輸時的私有性、完整性、真實性和防重放。IPSec通過AH（Authentication Header，認證頭）和ESP（Encapsulating Security Payload，封裝安全載荷）這兩個安全協議來實現上述目標。IPSec可以通過手工方式建立安全聯盟，也可以通過IKE方式（Internet Key Exchange，因特網密鑰交換協議）自動為IPSec提供自動協商交換密鑰、建立和維護安全聯盟的服務。IPSec協議為對信息安全要求較高的用戶提供了一個安全的VPN解決方案。通常情況下，與L2TP協議和GRE協議等相結合使用。

SSL VPN

首先，SSL協議是一種加密協議，可以很好地保證數據傳輸的私密性和完整性。其次，SSL協議還是一種工作在TCP協議層之上的協議。使用SSL進行通訊，不改變IP報文頭和TCP報文頭，因而SSL報文對NAT和防火墻來說都是透明的，SSL VPN的部署不會影響現有的網絡。這樣用戶從任何地方上網，只要能接入Internet，就能使用SSL VPN。另外，SSL加密協議受到了目前決大多數軟件平臺的支持。常用的操作系統Windows、Linux，瀏覽器IE、Firefox等都支持SSL。SSL VPN以其簡單易用的安全接入方式、豐富有效的權限管理，跨平臺、免安裝、免維護的客戶端而成為遠程接入市場上的新貴。

配合SDN控制器實現智能網絡

配合SDN控制器，能夠實現：

vFW基于用戶配合VNF Manager實現一鍵部署及刪除。

支持VxLAN 三層網關功能。

通過控制器實現服務鏈功能。

支持netconf、openflow流表等多種SDN協議。

功能特性列表

vFW功能特性列表

屬性	說明
軟件包	H3C SecPath vFW1000軟件、H3C SecPath vFW2000軟件支持ISO, OVA, ,QCOW2, IPE四種發布格式
虛擬平臺	VMware ESXi Linux KVM H3C CAS
虛擬機	虛擬機資源最小要求： 1個vCPU (主頻2.0 GHz以上) 1GB內存 8GB硬盤至少兩個虛擬網口
	虛擬網卡類型：E1000，VMXNET3，VirtIO，Intel 82599VF
	最大支持16個虛擬網口
License	基于虛擬CPU數量和時間的控制（1vCPU、4vCPUs、8vCPUs/ 1年、3年、永久）基于物理CPU數量和控制（1CPU、2CPUs、4CPUs）支持試用License
網絡安全性	AAA服務	Portal認證 RADIUS認證 HWTACACS認證 PKI/CA（X509格式）認證域認證 CHAP驗證 PAP驗證
	防火墻	安全區域劃分，不同安全域默認拒絕攻擊防范：可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法超大ICMP報文、地址掃描、端口掃描、SYN Flood、UPD Flood、ICMP Flood等多種惡意攻擊基礎和擴展的訪問控制列表基于接口的訪問控制列表基于時間段的訪問控制列表動態包過濾 ASPF應用層報文過濾靜態和動態黑名單功能 MAC和IP綁定功能基于MAC的訪問控制列表連接數限制
	NAT	支持多個內部地址映射到同一個公網地址支持多個內部地址映射到多個公網地址支持內部地址到公網地址一一映射支持源地址和目的地址同時轉換支持外部網絡主機訪問內部服務器支持內部地址直映射到接口公網IP地址支持DNS映射功能可配置支持地址轉換的有效時間支持多種NAT ALG，包括DNS、FTP、TFTP、PPTP、H.323、SIP、RSH、ILS、MSN、NBT等
VPN	L2TP VPN	支持根據VPN用戶完整用戶名、用戶域名向指定LNS發起連接支持為VPN用戶分配地址支持進行LCP重協商和二次CHAP驗證
	IPSec/IKE	支持AH、ESP協議支持手工或通過IKE自動建立安全聯盟 ESP支持DES、3DES、AES多種加密算法支持MD5及SHA-1驗證算法支持IKE主模式及野蠻模式支持NAT穿越支持DPD檢測
	GRE VPN
	SSL VPN	支持端口轉發接入支持網絡擴展接入支持WEB代理接入支持無改寫WEB代理接入支持支持NetConf 支持認證功能: 本地認證/Radius認證/LDAP認證/AD認證/證書認證支持IRF/資源管理/動態授權/日志審計支持個性化/虛擬化瀏覽器支持: IE8及以上/FireFox 25及以上/Chrome 32及以上/Safari 7及以上
網絡互連	局域網協議	三層以太網接口/子接口 ARP VLAN Terminating
	鏈路層協議	PPPoE Client
網絡協議	IP服務	Forwarding/Fast Forwarding TCP, UDP, IP Option Ping, Trace DHCP Server, DHCP Relay, DHCP Client DNS Client, DNS Proxy, DDNS FTP Server, FTP Client, TFTP Client Telnet Server. Telnet Client NTP/SNTP
	IP路由	靜態路由 RIP v1/2 OSPF 策略路由
高可靠性	支持VRRP/VRRPv3 支持BFD	高可靠性
配置管理	命令行接口	通過Console口進行本地配置通過Telnet或SSH進行本地或遠程配置配置命令分級保護，確保未授權用戶無法侵入設備詳盡的調試信息，幫助診斷網絡故障 User-interface配置，提供對登錄用戶多種方式的認證和授權功能。
	支持標準網管 SNMPv3，并且兼容SNMP v1和v2c 支持NETCONF, RMON, Syslog, NQA, sFlow, NetStream, EAA
	支持H3C iMC智能管理中心
IPv6	IPV6業務	TELNET/ICMP 域名解析 DHCP中繼 DHCP客戶端 IPv6 ND, IPv6 PMTU, IPv6 FIB, IPv6 ACL
	IPV6路由	靜態路由策略路由 RIPng OSPFv3
	IPV6安全	IPV6包過濾 IPV6ASPF IPV6域間策略 IPV6攻擊防范

上一篇：H3C SecPath vLB虛擬負載均衡器

下一篇：沒有了