H3C SecPath F1005-GM&F1010-GM防火墙
产品彩页
随着网络技术的不断普及与发展,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击,同时,各种网络病毒的泛滥,也加剧了网络被攻击的危险。
H3C SecPath F1005-GM\F1010-GM是面向行业/分销市场的百兆防火墙VPN集成国密网关产品,硬件上基于多核多线程MIPS处理器架构。F1005-GM\F1010-GM为1U的独立盒式防火墙,采用13寸机箱,支持内置国密模块(国密算法),支持应用审计功能,产品不支持硬盘。
在安全功能方面,作为NGFW产品, F1005-GM\F1010-GM除支持安全控制、VPN、NAT、DOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPS、AV、应用控制、DLP、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、安全状态等多维度的策略控制功能。
产品依托于强大的H3C安全云,可以实现云端管理和安全事件分析,进一步增强了产品的安全能力。
产品特点
高性能的软硬件处理平台
● 采用了专用的64位多核高性能处理器和高速存储器,内置国密SM1硬件加密卡。
● 采用CPU+Switch架构,CPU进行安全业务处理,Switch实现多业务端口的扩展。
全面的网络安全防护能力
● 支持安全区域管理,可基于接口、VLAN、IP、VM名字划分安全域。
● 丰富的攻击防范技术。同时支持IPv4和IPv6。除提供普通的状态防火墙安全隔离技术外,针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法,地址欺骗攻击如IP spoofing,扫描攻击如IP地址攻击、端口攻击,异常流量攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。
丰富的NAT特性
● 源地址NAT:支持对不同的源选择不同的地址池;支持NAT端口复用特性从而有效节省公网地址;支持PAT/NO-PAT,支持采用接口地址作为转换后的公网地址;针对P2P应用支持Full-cone特性。
● 目的地址NAT:支持将公网地址+端口转换为私网地址+端口;支持忽略端口的目的地址转换;支持基于策略的目的NAT,从对符合一定策略的报文进行目的地址转换;支持将多个公网地址映射为同一个私网地址。
● 静态NAT:支持静态1对1 NAT;支持静态net-to-net NAT。
● NAT Fullcone技术完美支持NAT网络中的P2P穿越。
● NAT hairpin技术解决同一NAT之后的P2P终端通信的同时,减少对出口带宽浪费。
● 支持多种协议状态检测如FTP、DNS、TFTP、SQLNET、SIP、H.323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN等。
● 支持静态、动态NAT444技术,支持基于策略的多出口NAT特性。
● 支持高性能的NAT日志发送。
丰富的VPN应用
● CPU内置高性能加密引擎,确保计算复杂的加解密操作不会对CPU处理其他防火墙业务造成影响,同时保证了VPN的处理性能。
● 支持GRE VPN、L2TP VPN, IPsec VPN、DVPN、SSL VPN及多种VPN技术的组合应用。
● 支持IPv6 IPsec vpn、IPv6 GRE VPN。
● 支持多种VPN技术的组合使用IPsec Over GRE,L2TP over IPsec等。
完善的IPv6解决方案
● 支持IPv6静态路由、策略路由、OSPFv3、BGP4+、RIPng等动态路由。
● 支持IPv6状态防火墙。
● 支持IPv6协议状态检测包括DNS64、FTP、ICMPv6、SIP、RTSP、MGCP等。
● 支持IPv6地址对象及IPv6安全策略。
● 支持IPv6攻击防范,包括IPv6 DOS/DDOS攻击、扫描攻击等。
● 支持IPv6 IPsec VPN。
● 支持DS-LITE、AFT、NAT-PT及IPv6隧道等各种过渡技术。
● 支持IPv6管理、日志及审计。
电信级业务高可靠性
● 支持防火墙、NAT、攻击、VPN业务的热备。
● 故障隔离:软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计,保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复,不影响硬件的运行。
● 进程级GR:通过完善的进程级GR技术,保证异常进程可恢复,并且不影响系统业务。
全面的管理监控手段
● 支持通过Web-GUI、CLI、SSH等多种手段管理设备。
● 基于角色的功能授权机制,可以实现到功能、命令行、菜单级的权限控制。
● 统一的SSM管理平台,可以实现设备的配置管理、性能监控、日志审计。
● 丰富的MIB节点便于外部设备进行性能监控。
开放的系统接口
● 开放接口:传统的网络操作系统为封闭的系统,有专用的系统概念和处理流程,缺乏开放性。而Comware V7使用通用的Linux操作系统,回归了主流的软件实现方式。提供开放的标准编程接口,可供用户利用Comware V7提供的基础功能,实现自己的专用功能,目前主要基于Netconf接口。
● TCL脚本:Comware V7内嵌了TCL脚本执行功能,用户可以利用TCL脚本语言直接编写脚本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公开的编程接口等实现所需功能。
● EAA:可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时,满足用户一些个性化需求。
云端管理
● 云端运维:通过H3C绿洲云,可以实现对产品的远程监控和管理,实现持续的版本更新。
● 安全事件分析:通过H3C绿洲云,WiNet产品可以将安全事件上送并存储在云端,在云端即时掌控网络的安全态势,并能够进一步进行灵活强大的报表展示。
产品规格
项目 |
描述 |
|
F1005-GM |
F1010-GM |
接口 |
1个配置口(CON)
2个外置USB host接口
8个千兆以太电口(含1管理口)
内置国密模块 |
1个配置口(CON)
1个外置USB host接口
6个千兆以太电口(含1管理口)
2Combo
内置国密模块 |
扩展槽位 |
无 |
无 |
存储介质 |
无 |
1*480G M.2硬盘 |
电源 |
内置1AC |
内置1AC |
外型尺寸(W×D×H)
(单位:mm) |
330mm*230mm*44mm |
330mm*230mm*44mm |
环境温度 |
工作:0~45℃
非工作:-40~70℃ |
工作:0~45℃
非工作:-40~70℃ |
环境湿度 |
工作:10~80%,无冷凝
非工作:5~95%,无冷凝 |
工作:10~80%,无冷凝
非工作:5~95%,无冷凝 |
运行模式 |
路由模式、透明模式、混杂模式 |
路由模式、透明模式、混杂模式 |
AAA服务 |
Portal认证、RADIUS认证、HWTACACS认证、PKI /CA(X.509格式)认证、
域认证、CHAP验证、PAP验证 |
Portal认证、RADIUS认证、HWTACACS认证、PKI /CA(X.509格式)认证、
域认证、CHAP验证、PAP验证 |
防火墙 |
安全区域划分
可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多种恶意攻击
基础和扩展的访问控制列表
基于时间段的访问控制列表
基于用户、用用的访问控制列表
动态包过滤
ASPF应用层报文过滤
静态和动态黑名单功能
MAC和IP绑定功能
基于MAC的访问控制列表
支持802.1q VLAN 透传 |
安全区域划分
可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多种恶意攻击
基础和扩展的访问控制列表
基于时间段的访问控制列表
基于用户、用用的访问控制列表
动态包过滤
ASPF应用层报文过滤
静态和动态黑名单功能
MAC和IP绑定功能
基于MAC的访问控制列表
支持802.1q VLAN 透传 |
负载均衡 |
支持链路负载均衡功能 |
支持链路负载均衡功能 |
病毒防护 |
基于病毒特征进行检测
支持病毒库手动和自动升级
报文流处理模式
支持HTTP、FTP、SMTP、POP3协议
支持的病毒类型:Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等
支持病毒日志和报表 |
基于病毒特征进行检测
支持病毒库手动和自动升级
报文流处理模式
支持HTTP、FTP、SMTP、POP3协议
支持的病毒类型:Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等
支持病毒日志和报表 |
深度入侵防御 |
支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御
支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御
支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级)
支持攻击特征库的手动和自动升级(TFTP和HTTP)
支持对BT等P2P/IM识别和控制 |
支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御
支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御
支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级)
支持攻击特征库的手动和自动升级(TFTP和HTTP)
支持对BT等P2P/IM识别和控制 |
邮件/网页/
应用层过滤 |
邮件过滤
SMTP邮件地址过滤
邮件标题过滤
邮件内容过滤
邮件附件过滤
网页过滤
HTTP URL过滤
HTTP内容过滤
应用层过滤
Java Blocking
ActiveX Blocking
SQL注入攻击防范 |
邮件过滤
SMTP邮件地址过滤
邮件标题过滤
邮件内容过滤
邮件附件过滤
网页过滤
HTTP URL过滤
HTTP内容过滤
应用层过滤
Java Blocking
ActiveX Blocking
SQL注入攻击防范 |
行为和内容审计 |
可基于用户对访问内容进行审计、溯源 |
可基于用户对访问内容进行审计、溯源 |
数据防泄漏 |
对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、PPT、PDF、ZIP、RAR、EXE、DLL、AVI、MP4等,并对敏感内容进行过滤 |
对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、PPT、PDF、ZIP、RAR、EXE、DLL、AVI、MP4等,并对敏感内容进行过滤 |
URL过滤 |
支持对超过50种URL类别的预定义,支持URL规则黑白名单,并可以对访问URL的流量进行丢弃、重置、重定向、日志记录,列入黑名单等操作 |
支持对超过50种URL类别的预定义,支持URL规则黑白名单,并可以对访问URL的流量进行丢弃、重置、重定向、日志记录,列入黑名单等操作 |
应用识别与管控 |
可识别海量应用类型,访问控制精度到应用功能,例如:区分微信的登录、发送消息、接收消息,语音通话,图片等
应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率 |
可识别海量应用类型,访问控制精度到应用功能,例如:区分微信的登录、发送消息、接收消息,语音通话,图片等
应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率 |
NAT |
支持多个内部地址映射到同一个公网地址
支持多个内部地址映射到多个公网地址
支持内部地址到公网地址一一映射
支持源地址和目的地址同时转换
支持外部网络主机访问内部服务器
支持内部地址直映射到接口公网IP地址
支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 |
支持多个内部地址映射到同一个公网地址
支持多个内部地址映射到多个公网地址
支持内部地址到公网地址一一映射
支持源地址和目的地址同时转换
支持外部网络主机访问内部服务器
支持内部地址直映射到接口公网IP地址
支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 |
VPN |
L2TP VPN、IPSec VPN、GRE VPN、SSL VPN |
L2TP VPN、IPSec VPN、GRE VPN、SSL VPN |
路由特性 |
全面支持多种路由协议,如RIP、OSPF、RIPv2等; |
全面支持多种路由协议,如RIP、OSPF、RIPv2等; |
IPv6 |
基于IPv6的状态防火墙及攻击防范
IPv6协议:IPv6转发、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6 Client、DHCPv6 Relay等
IPv6路由:RIPng、OSPFv3、BGP4+、静态路由、策略路由、PIM-SM、PIM-DM等
IPv6安全:NAT-PT、IPv6 Tunnel、IPv6 Packet Filter、Radius、IPv6域间策略、IPv6连接数限制等 |
基于IPv6的状态防火墙及攻击防范
IPv6协议:IPv6转发、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6 Client、DHCPv6 Relay等
IPv6路由:RIPng、OSPFv3、BGP4+、静态路由、策略路由、PIM-SM、PIM-DM等
IPv6安全:NAT-PT、IPv6 Tunnel、IPv6 Packet Filter、Radius、IPv6域间策略、IPv6连接数限制等 |
高可靠性 |
支持IPSec VPN的IKE状态同步
支持VRRP |
支持IPSec VPN的IKE状态同步
支持VRRP |
易维护性 |
支持基于命令行的配置管理
支持Web方式进行远程配置管理
支持H3C SSM安全管理中心进行设备管理
支持标准网管 SNMPv3,并且兼容SNMP v1和v2
智能安全策略
支持通过iMC BIMS对设备进行远程配置管理(VPN策略统一下发) |
支持基于命令行的配置管理
支持Web方式进行远程配置管理
支持H3C SSM安全管理中心进行设备管理
支持标准网管 SNMPv3,并且兼容SNMP v1和v2
智能安全策略
支持通过iMC BIMS对设备进行远程配置管理(VPN策略统一下发) |
组网应用
SecPath F1005-GM\F1010-GM防火墙部署在Internet出口可对外提供访问的安全控制、VPN、NAT等业务,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。
图1-1 出口安全防护
VPN应用
SecPath F1005-GM\F1010-GM系列产品集成了丰富的VPN功能,包括IPsec VPN、SSL VPN、 L2TP VPN等,可以作为中小型企业的出口网关设备提供移动用户的SSL VPN接入,也可以作为广域网组网的分支或二三级中心设备提供site-to-site的IPsec VPN接入。
图1-2 VPN应用组网图
具有强大的处理能力
丰富路由协议,实现安全与网络融合
具有强大的VPN加密处理能力
全面深度安全防御阻止恶意攻击,同时能够实现邮件、网页、文件过滤
丰富路由协议,实现安全与网络融合