的专业网络安全平台
基于业界的Comware V7平台:
丰富的网络和安全功能,能够满足企业分支及公有云中多租户环境的网络安全需求;
控制平面和数据平面分离,专门为虚拟环境优化的多核数据转发,更能充分利用计算资源;
模块化的体系架构,开放的网络平台,允许网络按需运行和控制,更容易实现NFV/SDN落地;
和物理网络设备采用统一的软件平台,提供相同的功能特性和一致的管理界面;
超轻量级部署
提供超轻量级部署体验:
适合在公有云中部署,实现零运输、零布线,加快业务的部署;
支持VMware ESXi、Linux KVM、H3C CAS等主流虚拟化平台,充分发挥虚拟化的优势,实现快速部署、批量部署、镜像备份、快速恢复,并且能够灵活迁移;
提供ISO、OVA、IPE等多种发布格式,适应不同虚拟化平台部署;
支持虚拟机管理平台、网管平台及本地等多种工具进行灵活部署;
业务弹性
提供业务弹性:
支持VMware ESXi、Linux KVM、H3C CAS等主流虚拟化平台,无缝适应用户的部署环境;
允许企业在虚拟化环境中搭建企业网络,可以按需动态地调配和管理网络资源及服务。例如,可以根据需要灵活调整网口数量和类型,而无需采购新硬件网卡;
通过动态调整虚拟机资源和License,即可实现软件功能的平滑升级、设备性能的按需提升,随时满足业务增长需求;
完善的安全保障
防火墙过滤
支持包过滤。借助报文中优先级、TOS、TCP或UDP端口等信息作为过滤参考,通过在接口输入或输出方向上使用标准或扩展访问控制规则,可以实现对数据包的过滤。同时,还可以按照时间段进行过滤;
支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议),并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过防火墙或者是被丢弃;
支持丰富的攻击防范技术。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针SYN Flood、UDP Flood、ICMP Flood等常见DDoS攻击的检测防御;
支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN等,可以针对客户需求通过拨号、租用线及VLAN或隧道等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN。结合防火墙、AAA、NAT、及多种QoS等技术,防火墙可以确保在开放的Internet上实现安全、可靠的专用私有网络;
支持安全区域管理。可基于接口、VLAN划分安全区域;
支持静态和动态黑名单;
支持丰富的路由协议。支持静态路由、策略路由,以及RIP、OSPF等动态路由协议;
> NAT应用
地址转换NAT(Network Address Translation)又称地址代理,将内部网络主机的IP地址和端口号替换为外部网络地址和端口号,有效控制内部网络和外部网络之间的访问,不仅节约了宝贵的IP地址资源,并且为内部主机提供“隐私”保护。
提供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同的地址转换服务,通过内部服务器可以向外提供FTP、Telnet和WWW等服务,实现公网和混合地址解决方案;
除提供一般NAT功能以外,还提供针对多种应用协议,如多媒体应用(VOIP、视频):H.323、RAS、SIP、SCCP、RTSP,VPN应用PPTP,常用的应用FTP、TFTP、DNS、NBT、ICMP、DNS、ILS的NAT ALG功能;
安全管理
提供各种日志功能,包括攻击实时日志、黑名单日志、会话日志、NAT日志功能,能够有效的记录网络情况,从而为分析网络状况,防范网络攻击提供依据;
通过H3C iMC实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务;
基于*的深度挖掘及分析技术,为用户提供集中化的日志管理功能,并对不同类型格式(Syslog、二进制流日志等)的日志进行归一化处理。同时,采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统,避免重要安全事件的丢失;
提供丰富的报表,主要包括基于攻击、应用的报表、基于网流的分析报表等;
支持报告定制,定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等;
安全认证
支持用户身份管理,不同身份的用户拥有不同的命令执行权限,可以防止低级别权限用户非法获取或修改配置信息等;
视图分级保护。由于不同身份的用户拥有的配置权限不同,低级别用户不能进入更高级的视图;
支持基于RADIUS(Remote Authentication Dial-In User Service)的AAA(Authentication,Authorization,Accounting)服务,可以与RADIUS服务器配合实施对接入用户的验证、和计费安全服务,防止非法访问;
支持基于PKI/X.509的证书认证功能;
路由协议OSPF、RIP2都具有MD5认证功能,确保所交换路由信息的可靠性;
丰富的VPN接入能力
L2TP VPN
L2TP为目前使用泛的VPDN (Virtual Private Dial Network)隧道协议。L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,支持L2TP多域。
GRE VPN
GRE是第三层隧道协议,在协议层之间采用了一种被称之为Tunnel(隧道)的技术,在一个Tunnel的两端分别对数据报进行封装及解封装。
IPSec VPN
IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。IPSec可以通过手工方式建立安全联盟,也可以通过IKE方式(Internet Key Exchange,因特网密钥交换协议)自动为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务。IPSec协议为对信息安全要求较高的用户提供了一个安全的VPN解决方案。通常情况下,与L2TP协议和GRE协议等相结合使用。
SSL VPN
首先,SSL协议是一种加密协议,可以很好地保证数据传输的性和完整性。其次,SSL协议还是一种工作在TCP协议层之上的协议。使用SSL进行通讯,不改变IP报文头和TCP报文头,因而SSL报文对NAT和防火墙来说都是透明的,SSL VPN的部署不会影响现有的网络。这样用户从任何地方上网,只要能接入Internet,就能使用SSL VPN。另外,SSL加密协议受到了目前决大多数软件平台的支持。常用的操作系统Windows、Linux,浏览器IE、Firefox等都支持SSL。SSL VPN以其简单易用的安全接入方式、丰富有效的权限管理,跨平台、免安装、免维护的客户端而成为远程接入市场上的新贵。
配合SDN控制器实现智能网络
配合SDN控制器,能够实现:
vFW基于用户配合VNF Manager实现一键部署及删除;
支持VxLAN 三层网关功能;
通过控制器实现服务链功能;
支持netconf、openflow流表等多种SDN协议;
属性 | 说明 | |
软件包 | H3C vFW1000软件、H3C vFW2000软件 支持ISO, OVA, ,QCOW2, IPE四种发布格式 | |
虚拟平台 | VMware ESXi Linux KVM H3C CAS | |
虚拟机 | 虚拟机资源最小要求: 1个vCPU (主频2.0 GHz以上) 1GB内存 8GB硬盘 至少两个虚拟网口 | |
虚拟网卡类型:E1000,VMXNET3,VirtIO,Intel 82599VF | ||
支持16个虚拟网口 | ||
License | 基于虚拟CPU数量和时间的控制(1vCPU、4vCPUs、8vCPUs / 1年、3年、) 基于物理CPU数量和控制(1CPU、2CPUs、4CPUs) 支持试用License | |
网络安全性 | AAA服务 | Portal认证 RADIUS认证 HWTACACS认证 PKI/CA(X509格式)认证 域认证 CHAP验证 PAP验证 |
防火墙 | 安全区域划分,不同安全域默认拒绝 攻击防范:可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood等多种恶意攻击 基础和扩展的访问控制列表 基于接口的访问控制列表 基于时间段的访问控制列表 动态包过滤 ASPF应用层报文过滤 静态和动态黑名单功能 MAC和IP绑定功能 基于MAC的访问控制列表 连接数限制 | |
NAT | 支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 支持外部网络主机访问内部服务器 支持内部地址直映射到接口公网IP地址 支持DNS映射功能 可配置支持地址转换的有效时间 支持多种NAT ALG,包括DNS、FTP、TFTP、PPTP、H.323、SIP、RSH、ILS、MSN、NBT等 | |
VPN | L2TP VPN | 支持根据VPN用户完整用户名、用户域名向LNS发起连接 支持为VPN用户分配地址 支持进行LCP重协商和二次CHAP验证 |
IPSec/IKE | 支持AH、ESP协议 支持手工或通过IKE自动建立安全联盟 ESP支持DES、3DES、AES多种加密算法 支持MD5及SHA-1验证算法 支持IKE主模式及野蛮模式 支持NAT穿越 支持DPD检测 | |
GRE VPN | ||
SSL VPN | 支持端口转发接入 支持网络扩展接入 支持WEB代理接入 支持无改写WEB代理接入 支持支持NETCONF 支持认证功能: 本地认证/Radius认证/LDAP认证/AD认证/证书认证 支持IRF/资源管理/动态/日志审计 支持个性化/虚拟化 浏览器支持: IE8及以上/Firefox 25及以上/Chrome 32及以上/Safari 7及以上 | |
网络互连 | 局域网协议 | 三层以太网接口/子接口 ARP VLAN Terminating |
链路层协议 | PPPoE Client | |
网络协议 | IP服务 | Forwarding/Fast Forwarding TCP, UDP, IP Option Ping, Trace DHCP Server, DHCP Relay, DHCP Client DNS Client, DNS Proxy, DDNS FTP Server, FTP Client, TFTP Client Telnet Server. Telnet Client NTP/SNTP |
IP路由 | 静态路由 RIP v1/2 OSPF 策略路由 | |
高可靠性 | 支持VRRP/VRRPv3 支持BFD | 高可靠性 |
配置管理 | 命令行接口 | 通过Console口进行本地配置 通过Telnet或SSH进行本地或远程配置 配置命令分级保护,确保未用户无法侵入设备 详尽的调试信息,帮助诊断网络故障 User-interface配置,提供对登录用户多种方式的认证和功能。 |
支持标准网管 SNMPv3,并且兼容SNMP v1和v2c 支持NETCONF, RMON, Syslog, NQA, sFlow, NetStream, EAA | ||
支持H3C iMC智能管理中心 | ||
IPv6 | IPV6业务 | TELNET/ICMP 域名解析 DHCP中继 DHCP客户端 IPv6 ND, IPv6 PMTU, IPv6 FIB, IPv6 ACL |
IPV6路由 | 静态路由 策略路由 RIPng OSPFv3 | |
IPV6安全 | IPV6包过滤 IPV6ASPF IPV6域间策略 IPV6攻击防范 | |
数据中心租户网关应用
在数据中心环境中,作为租户专用的综合业务网关,提供VPN隧道,为不同租户提供安全接入;同时,作为出口网关,防范各种来自外部的攻击,也可作为内网访问控制设备隔离不同安全等级的区域,实现对网络流量的安全防护;
租户网关应用典型组网
精简网络基础设施,直接利用服务器,便于租户自行维护;
业务弹性扩展,性能可动态调整,管理高效
支持分区域安全控制
支持NAT,支持多种ALG
通过报文检测并阻止非法入侵。
支持多种攻击防范技术。
支持黑名单过滤。
支持通过TCP代理实现Syn Flood防攻击。
支持流量日志及攻击告警日志。
企业分支综合网关
在企业分支中,vFW1000作为企业分支综合网关,部署在标准服务器中,负责接入Internet,为分支出口提供专业的安全防护;同时支持与企业数据中心建立VPN连接(包括IPsec VPN,L2TP,GRE),确保接入安全。
精简企业分支基础设置,易于管理;支持企业应用部署在同一硬件平台上,满足计算和网络设备融合的需求,
企业分支综合网关典型组网
vFW1000软件可以免费下载进行安装,需要购买License进行使用。
项目 | 描述 |
LIS-vFW1000-C1-Y1 | H3C SecPath vFW1000函(Comware V7,1vCPU,1年) |
LIS-vFW1000-C1-Y3 | H3C SecPath vFW1000函(Comware V7,1vCPU,3年) |
LIS-vFW1000-C1 | H3C SecPath vFW1000函(Comware V7,1vCPU,) |
LIS-vFW1000-C4-Y1 | H3C SecPath vFW1000函(Comware V7,4vCPU,1年) |
LIS-vFW1000-C4-Y3 | H3C SecPath vFW1000函(Comware V7,4vCPU,3年) |
LIS-vFW1000-C4 | H3C SecPath vFW1000函(Comware V7,4vCPU,) |
LIS-vFW1000-C8-Y1 | H3C SecPath vFW1000函(Comware V7,8vCPU,1年) |
LIS-vFW1000-C8-Y3 | H3C SecPath vFW1000函(Comware V7,8vCPU,3年) |
LIS-vFW1000-C8 | H3C SecPath vFW1000函(Comware V7,8vCPU,) |
vFW2000软件可以免费下载进行安装,需要购买License进行使用。
项目 | 描述 |
LIS-vFW2000-C1 | H3C SecPath vFW2000服务器函(Comware V7,1CPU,) |
LIS-vFW2000-C2 | H3C SecPath vFW2000服务器函(Comware V7,2CPUs,) |
LIS-vFW2000-C4 | H3C SecPath vFW2000服务器函(Comware V7,4CPUs,) |
