H3C SecPath F1000-700-HI防火墙
H3C SecPath F1000-700-HI防火墙是新华三技术有限公司(以下简称H3C公司)面向中小企业的百兆、千兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为1U的独立盒式防火墙。支持应用审计功能,可以扩展硬盘。
在安全功能方面,作为NGFW产品,除支持安全控制、VPN、NAT、DOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPS、AV、应用控制、DLP、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、安全状态等多维度的策略控制功能。
在虚拟化和可靠性方面,基于H3C的ComwareV7平台,支持2台设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。
产品特点
高性能的软硬件处理平台
H3C SecPath 1000-7X0-HI系列防火墙采用了先进的多核高性能处理器和高速存储器。
全面的网络安全防护能力
支持安全区域管理,可基于接口、VLAN、IP、VM名字划分安全域。
丰富的攻击防范技术。同时支持IPV4和IPV6。支持状态防火墙安全隔离技术,针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法,地址欺骗攻击如IP spoofing,扫描攻击如IP地址攻击、端口攻击,异常流量攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。
丰富的NAT特性
支持源地址、目的地址NAT。
静态NAT:支持静态1对1 NAT;支持静态net-to-net NAT。
NAT Fullcone技术完美支持NAT网络中的P2P穿越
NAT hairpin技术解决同一NAT之后的P2P终端通信的同时,减少对出口带宽浪费。
支持多种协议状态检测如FTP、DNS、TFTP、SQLNET、SIP、H.323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN等。
支持静态、动态NAT444技术,支持基于策略的多出口NAT特性。
支持高性能的NAT日志发送。
丰富的VPN应用
CPU内置高性能加密引擎,确保计算复杂的加解密操作不会对CPU处理其他防火墙业务造成影响,同时保证了VPN的处理性能。
支持GRE VPN、L2TP VPN, IPSec VPN、DVPN、SSL VPN及多种VPN技术的组合应用。
支持IPV6 IPSec vpn、IPV6 GRE VPN。
支持多种VPN技术的组合使用IPSec Over GRE,L2TP over IPSec等。
完善的IPv6解决方案
支持IPV6静态路由、策略路由、OSPFV3、BGP4+、RIPng等动态路由。
支持IPV6状态防火墙。
支持IPV6协议状态检测包括DNS64、FTP、ICMPV6、SIP、RTSP、MGCP等
支持IPV6地址对象及IPV6安全策略
支持IPV6攻击防范,包括IPV6 DOS/DDOS攻击、扫描攻击等
支持IPV6 IPSec VPN
支持DS-LITE、NAT64、IVI及IPV6隧道等各种过渡技术。
支持IPV6管理、日志及审计。
支持IPV6虚拟防火墙。
电信级高可靠性
支持防火墙、NAT、攻击防护、VPN业务的热备。
故障隔离:软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计,保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复,不影响硬件的运行
进程级GR:通过完善的进程级GR技术,保证异常进程可恢复,并且不影响系统业务。
全面的管理监控手段
支持通过Web-GUI、CLI、SSH等多种手段管理设备。
基于角色的功能授权机制,可以实现到功能、命令行、菜单级的权限控制。
统一的SSM管理平台,可以实现设备的配置管理、性能监控、日志审计。
丰富的MIB节点便于外部设备进行性能监控。
开放的系统接口
开放接口:传统的网络操作系统为封闭的系统,有专用的系统概念和处理流程,缺乏开放性。而Comware V7使用通用的Linux操作系统,回归了主流的软件实现方式。提供开放的标准编程接口,可供用户利用Comware V7提供的基础功能,实现自己的专用功能,目前主要基于Netconf接口。
TCL脚本:Comware V7内嵌了TCL脚本执行功能,用户可以利用TCL脚本语言直接编写脚本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公开的编程接口等实现所需功能。
EAA:可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时,满足用户一些个性化需求。
产品规格
| 项目 | F1000-710-HI F1000-720-HI |
F1000-730-HI |
| 接口 | 8*GE+2Combo+2Bypass | 2MGMT+18GE+8Combo+4Bypass+2SFP+ |
| 扩展槽位 | 无 | 无 |
| USB | 2 | 2 |
| 扩展板卡类型 | 无 | 无 |
| 存储介质 | 480G SSD | 480G M.2 |
| 环境温度 | 工作:无硬盘0~45℃,带硬盘5~40℃ 非工作:-40~70℃ |
|
| 环境湿度 | 工作:10~80% 非工作:5~95%,无冷凝 |
|
| 运行模式 | 路由模式、透明模式、混杂模式 | |
| 项目 | F1000-740-HI | F1000-750-HI | F1000-770-HI |
| 接口 | 1MGMT+16GE+4Combo +6SFP+2SFP+ |
1MGMT+16GE+4Combo +6SFP+2SFP+ |
1MGMT+16GE+4Combo+4SFP+6SFP+ |
| 扩展槽位 | 2 | 2 | 2 |
| USB | 2 | 2 | 2 |
| 扩展板卡类型 | 4端口千兆电PFC接口卡 4端口千兆光接口卡 4端口万兆光接口卡 国密加密卡 |
4端口千兆电PFC接口卡 4端口千兆光接口卡 4端口万兆光接口卡 国密加密卡 |
4端口千兆电PFC接口卡 4端口千兆光接口卡 4端口万兆接口卡 6端口万兆光接口卡 国密加密卡 |
| 存储介质 | 480G SSD | 480G SSD | 480G SSD |
| 环境温度 | 工作:无硬盘0~45℃,带硬盘5~40℃ 非工作:-40~70℃ |
||
| 环境湿度 | 工作:10~80% 非工作:5~95%,无冷凝 |
||
| 运行模式 | 路由模式、透明模式、混杂模式 | ||
功能特性表
| 属性 | 说明 | ||
| 网络安全性 | 验证、授权和计帐(AAA)服务 | 本地认证 RADIUS认证,支持PAP和CHAP验证方式 HWTACACS认证 AD/LDAP认证 PKI证书认证 |
|
| 防火墙 | 基本ACL和高级ACL 基于安全区域的访问控制 基于时间段的访问控制 ASPF状态防火墙 DOS/DDOS攻击防范:包括SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood,DNS Flood、HTTP Flood 畸形包攻击如:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、IP分片报文攻击、分片报文攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、ICMP重定向或不可达报文 扫描窥探攻击防范:端口扫描、地址扫描、IP路由记录选项报文、Tracert报文 IP Spoofing攻击防范 静态和动态黑名单功能 连接数限制 支持N:1 SCF集群技术· 支持多台设备集群· 集群设备统一管理 · 集群设备业务分布式处理 支持1:N虚拟防火墙技术 · 容器化的虚拟化技术,虚拟防火墙特性与物理墙特性一致 · 虚拟防火墙独立GUI/CLI管理 · 虚拟防火墙独立配置文件 · 虚拟防火墙独立日志主机及日志审计 · 虚拟防火墙资源分配:吞吐、并发、新建、策略 · 虚拟防火墙接口共享 · N:1:M虚拟化:先将多台设备集群,然后再进行虚拟防火墙划分 |
||
| NAT | 源地址NAT· 支持根据策略指定转换后的地址池; · 支持PAT、支持NO-PAT · 支持无限连接 · 支持IP持续性,保证同一源转换后的地址不变 · 支持Easy IP 目的地址NAT · 支持地址+端口的一对一映射 · 支持多个公网地址转换为同一个私网地址 · 支持基于策略的目的NAT 支持静态NAT · 支持一对一静态NAT · 支持net-to-net静态NAT 支持NAT444 · 支持静态NAT444 · 支持动态NAT444 支持Fullcone,解决P2P穿越问题 支持C/S方式、P2P方式的Hairpin技术 支持端口块增量分配 支持DNS Mapping 支持多种ALG,包括FTP、DNS、TFTP、SQLNET、SIP、RTSP、H323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN |
||
| DPI | 支持IPS 支持应用控制及应用带宽管理 支持telnet、FTP、SMTP/POP3、HTTP内容过滤 |
||
| VPN | L2TP VPN | 支持LNS 支持Auto-Initiated LAC L2TP支持VRF |
|
| GRE VPN | GRE Over IPV4 GRE Over IPV6 GRE 支持VRF GRE P2MP(规划中) |
||
| IPSec/IKE | 安全协议支持AH/ESP 支持传输和隧道模式 ESP支持DES、3DES和AES三种加密算法 支持MD5及SHA-1验证算法 支持通过manual或IKE方式建立SA 支持防重放攻击 支持IPSec策略模版 支持IPSec反向路由注入 支持IKEV1 支持IKE主模式及野蛮模式 支持通过预共享密钥和证书方式验证IKE Peer身份 支持DPD 支持IKE Keppalive 支持NAT穿越(野蛮模式和主模式) VRF aware:通过IKE peer对端信息确定所属的VPN 支持IPSec双机热备(规划中) 支持IKEV2(规划中) |
||
| 网络协议 | 局域网协议 | Ethernet_II 802.1Q |
|
| 二层协议 | STP MSTP |
||
| 网络协议 | IP服务 | ARP· 静态ARP · 动态ARP · ARP代理 · 免费ARP DNS · 本地静态域名 · DNS Client · DNS Proxy · DDNS动态域名服务 DHCP · DHCP中继 · DHCP服务器 · DHCP客户端 NTP · NTP Client · NTP Server |
|
| IP路由 | 静态路由管理 策略路由 动态路由· RIP-1/RIP-2 · OSPF · BGP · ISIS · 路由策略 组播 · IGMP · PM-SM · PM-DM |
||
| 高可靠性 | 支持集群部署(最多2台) 支持集群内1:1备份 支持集群内N:N备份 支持选择性开启状态热备 VRRP/VRRP6V3 支持静态链路聚合、支持动态链路聚合、支持跨设备链路聚合 链路质量探测NQA 支持BFD 热补丁 |
||
| 配置管理 | 命令行接口 | 通过Console口进行本地配置 通过Telnet或SSH进行本地或远程配置 支持基于RBAC的细粒度权限控制,可以控制具体命令的权限 User-interface配置,提供对登录用户多种方式的认证和授权功能 |
|
| WEB网管接口 | 支持通过WEB方式进行配置 支持WEB管理员的超时下线。 支持WEB用户的登录和鉴权 支持基于RBAC的细粒度权限控制,可以控制具体web菜单的操作权限 |
||
| 支持标准网管SNMP | 支持SNMPV1、V2c和SNMPV3 | ||
| 外部管理平台集成 | 支持通过IMC SSM组件对设备进行状态监控和安全策略、攻击防范、NAT等安全配置管理 IMC SSM组件可以和桌面终端联动、发现攻击用户后,自动使用户下线 IMC SSM组件可对设备攻击日志进行审计,对攻击进行分类统计,可以统计攻击源、攻击对象 IMC SSM组件可以实现对设备会话信息统计,可以基于源、目的展示TopN会话信息 支持通过IMC BIMS对设备进行远程配置管理 |
||
| 安全审计 | 攻击实时日志 域间策略匹配日志 黑名单日志 连接数限制日志 会话日志 NAT日志 流量统计和分析功能 安全事件统计功能 |
||
| IPV6 | IPV6业务 | TELNET/FTP/RADIUS 域名解析 DHCP Server DHCP中继 DHCP客户端 |
|
| IPV6路由 | 静态路由 策略路由 RIPng OSPFv3 BGP4+ ISIS6 |
||
| IPV6安全 | IPV6 对象 IPV6安全策略 IPV6 状态防火墙 IPV6攻击防范 IPV6 ALG IPV6连接数限制 IPV6 URPF IPV6虚拟分片重组 IPV6 IPSec VPN IPV6虚拟防火墙 |
||
| IPV6过渡技术 | NAT-PT NAT64\IVI DS-LITE隧道 ISATAP隧道 IPv6 Over IPv4 GRE隧道 |
||
应用组网
防火墙应用
H3C SecPath F1000-700-HI系列防火墙部署在广域网出口及Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。
图1-1 出口安全防护
VPN应用
SecPath F1000-700-HI系列集成了丰富的VPN功能,包括IPSec VPN、SSL VPN、 L2TP VPN等,可以作为中小型企业的出口网关设备提供移动用户的SSL VPN接入,也可以作为广域网组网的分支或二三级中心设备提供site-to-site的IPSec VPN接入。IPSEC业务和SSLVPN业务支持采用国密算法。
图1-2 VPN应用组网图
选配信息
| 项目 | 数量 | 备注 |
| SecPath F1000-7X0-HI主机 | 1 | 必配 |
| 480G SSD硬盘 | 1 | 选配 |
| 480G M.2 | 1 | 选配 |
| 4端口千兆电PFC接口卡 | 1 | 选配 |
| 4端口千兆光接口卡 | 1 | 选配 |
| 6端口万兆光接口卡 | 1 | 选配 |
| 国密加密卡 | 1 | 选配 |
| 电源 | 1 | 必配(710/720/730自带电源,无需配置) |
& 说明:
“必配”表示所描述项目是设备正常运行的最小配置。
“选配”表示所描述项目是用户根据实际使用需要可选择配置。
北京九州云联——专业IT综合服务提供商【业务领域:计算机硬件、系统软件、系统集成、IT运维外包】
北京九州云联科技有限公司 新华三、华三、H3C 产品销售团队经过多年深耕与发展,至今已成功助力超过数千家中小企业的成长。一直以来,我们的几十位销售顾问和技术专家,坚持以倾听您的需求和愿望为工作核心,以丰富的方案经验、敏锐的行业洞察和过硬的IT技术,为您提供高匹配度的解决方案,帮您做出更明智的决定。
发表评论