华三H3C F1005-GM防火墙 NS-SecPath F1005-GM(H3C SecPath F1005-GM防火墙设备,支持8个千兆电接口,2个USB接口,1个Console接口)

0

华三H3C F1005-GM防火墙 NS-SecPath F1005-GM(H3C SecPath F1005-GM防火墙设备,支持8个千兆电接口,2个USB接口,1个Console接口)

华三H3C F1005-GM防火墙 NS-SecPath F1005-GM(H3C SecPath F1005-GM防火墙设备,支持8个千兆电接口,2个USB接口,1个Console接口)

H3C SecPath F1005-GM&F1010-GM防火墙

产品彩页

随着网络技术的不断普及与发展,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击,同时,各种网络病毒的泛滥,也加剧了网络被攻击的危险。

H3C SecPath F1005-GM\F1010-GM是面向行业/分销市场的百兆防火墙VPN集成国密网关产品,硬件上基于多核多线程MIPS处理器架构。F1005-GM\F1010-GM为1U的独立盒式防火墙,采用13寸机箱,支持内置国密模块(国密算法),支持应用审计功能,产品不支持硬盘。

在安全功能方面,作为NGFW产品, F1005-GM\F1010-GM除支持安全控制、VPN、NAT、DOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPS、AV、应用控制、DLP、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、安全状态等多维度的策略控制功能。

产品依托于强大的H3C安全云,可以实现云端管理和安全事件分析,进一步增强了产品的安全能力。

产品特点

高性能的软硬件处理平台

●    采用了专用的64位多核高性能处理器和高速存储器,内置国密SM1硬件加密卡。

●    采用CPU+Switch架构,CPU进行安全业务处理,Switch实现多业务端口的扩展。

全面的网络安全防护能力

●    支持安全区域管理,可基于接口、VLAN、IP、VM名字划分安全域。

●    丰富的攻击防范技术。同时支持IPv4和IPv6。除提供普通的状态防火墙安全隔离技术外,针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法,地址欺骗攻击如IP spoofing,扫描攻击如IP地址攻击、端口攻击,异常流量攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。

丰富的NAT特性

●    源地址NAT:支持对不同的源选择不同的地址池;支持NAT端口复用特性从而有效节省公网地址;支持PAT/NO-PAT,支持采用接口地址作为转换后的公网地址;针对P2P应用支持Full-cone特性。

●    目的地址NAT:支持将公网地址+端口转换为私网地址+端口;支持忽略端口的目的地址转换;支持基于策略的目的NAT,从对符合一定策略的报文进行目的地址转换;支持将多个公网地址映射为同一个私网地址。

●    静态NAT:支持静态1对1 NAT;支持静态net-to-net NAT。

●    NAT Fullcone技术完美支持NAT网络中的P2P穿越。

●    NAT hairpin技术解决同一NAT之后的P2P终端通信的同时,减少对出口带宽浪费。

●    支持多种协议状态检测如FTP、DNS、TFTP、SQLNET、SIP、H.323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN等。

●    支持静态、动态NAT444技术,支持基于策略的多出口NAT特性。

●    支持高性能的NAT日志发送。

丰富的VPN应用

●    CPU内置高性能加密引擎,确保计算复杂的加解密操作不会对CPU处理其他防火墙业务造成影响,同时保证了VPN的处理性能。

●    支持GRE VPN、L2TP VPN, IPsec VPN、DVPN、SSL VPN及多种VPN技术的组合应用。

●    支持IPv6 IPsec vpn、IPv6 GRE VPN。

●    支持多种VPN技术的组合使用IPsec Over GRE,L2TP over IPsec等。

完善的IPv6解决方案

●    支持IPv6静态路由、策略路由、OSPFv3、BGP4+、RIPng等动态路由。

●    支持IPv6状态防火墙

●    支持IPv6协议状态检测包括DNS64、FTP、ICMPv6、SIP、RTSP、MGCP等。

●    支持IPv6地址对象及IPv6安全策略。

●    支持IPv6攻击防范,包括IPv6 DOS/DDOS攻击、扫描攻击等。

●    支持IPv6 IPsec VPN。

●    支持DS-LITE、AFT、NAT-PT及IPv6隧道等各种过渡技术。

●    支持IPv6管理、日志及审计。

电信级业务高可靠性

●    支持防火墙、NAT、攻击、VPN业务的热备。

●    故障隔离:软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计,保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复,不影响硬件的运行。

●    进程级GR:通过完善的进程级GR技术,保证异常进程可恢复,并且不影响系统业务。

全面的管理监控手段

●    支持通过Web-GUI、CLI、SSH等多种手段管理设备。

●    基于角色的功能授权机制,可以实现到功能、命令行、菜单级的权限控制。

●    统一的SSM管理平台,可以实现设备的配置管理、性能监控、日志审计。

●    丰富的MIB节点便于外部设备进行性能监控。

开放的系统接口

●    开放接口:传统的网络操作系统为封闭的系统,有专用的系统概念和处理流程,缺乏开放性。而Comware V7使用通用的Linux操作系统,回归了主流的软件实现方式。提供开放的标准编程接口,可供用户利用Comware V7提供的基础功能,实现自己的专用功能,目前主要基于Netconf接口。

●    TCL脚本:Comware V7内嵌了TCL脚本执行功能,用户可以利用TCL脚本语言直接编写脚本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公开的编程接口等实现所需功能。

●    EAA:可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时,满足用户一些个性化需求。

云端管理

●    云端运维:通过H3C绿洲云,可以实现对产品的远程监控和管理,实现持续的版本更新。

●    安全事件分析:通过H3C绿洲云,WiNet产品可以将安全事件上送并存储在云端,在云端即时掌控网络的安全态势,并能够进一步进行灵活强大的报表展示。

产品规格

项目 描述
F1005-GM F1010-GM
接口 1个配置口(CON)
2个外置USB host接口
8个千兆以太电口(含1管理口)
内置国密模块		 1个配置口(CON)
1个外置USB host接口
6个千兆以太电口(含1管理口)
2Combo
内置国密模块
扩展槽位
存储介质 1*480G M.2硬盘
电源 内置1AC 内置1AC
外型尺寸(W×D×H)
(单位:mm)		 330mm*230mm*44mm 330mm*230mm*44mm
环境温度 工作:0~45℃
非工作:-40~70℃		 工作:0~45℃
非工作:-40~70℃
环境湿度 工作:10~80%,无冷凝
非工作:5~95%,无冷凝		 工作:10~80%,无冷凝
非工作:5~95%,无冷凝
运行模式 路由模式、透明模式、混杂模式 路由模式、透明模式、混杂模式
AAA服务 Portal认证、RADIUS认证、HWTACACS认证、PKI /CA(X.509格式)认证、
域认证、CHAP验证、PAP验证		 Portal认证、RADIUS认证、HWTACACS认证、PKI /CA(X.509格式)认证、
域认证、CHAP验证、PAP验证
防火墙 安全区域划分
可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多种恶意攻击
基础和扩展的访问控制列表
基于时间段的访问控制列表
基于用户、用用的访问控制列表
动态包过滤
ASPF应用层报文过滤
静态和动态黑名单功能
MAC和IP绑定功能
基于MAC的访问控制列表
支持802.1q VLAN 透传		 安全区域划分
可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多种恶意攻击
基础和扩展的访问控制列表
基于时间段的访问控制列表
基于用户、用用的访问控制列表
动态包过滤
ASPF应用层报文过滤
静态和动态黑名单功能
MAC和IP绑定功能
基于MAC的访问控制列表
支持802.1q VLAN 透传
负载均衡 支持链路负载均衡功能 支持链路负载均衡功能
病毒防护 基于病毒特征进行检测
支持病毒库手动和自动升级
报文流处理模式
支持HTTP、FTP、SMTP、POP3协议
支持的病毒类型:Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等
支持病毒日志和报表		 基于病毒特征进行检测
支持病毒库手动和自动升级
报文流处理模式
支持HTTP、FTP、SMTP、POP3协议
支持的病毒类型:Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等
支持病毒日志和报表
深度入侵防御 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御
支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御
支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级)
支持攻击特征库的手动和自动升级(TFTP和HTTP)
支持对BT等P2P/IM识别和控制		 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御
支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御
支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级)
支持攻击特征库的手动和自动升级(TFTP和HTTP)
支持对BT等P2P/IM识别和控制
邮件/网页/
应用层过滤		 邮件过滤
SMTP邮件地址过滤
邮件标题过滤
邮件内容过滤
邮件附件过滤
网页过滤
HTTP URL过滤
HTTP内容过滤
应用层过滤
Java Blocking
ActiveX Blocking
SQL注入攻击防范		 邮件过滤
SMTP邮件地址过滤
邮件标题过滤
邮件内容过滤
邮件附件过滤
网页过滤
HTTP URL过滤
HTTP内容过滤
应用层过滤
Java Blocking
ActiveX Blocking
SQL注入攻击防范
行为和内容审计 可基于用户对访问内容进行审计、溯源 可基于用户对访问内容进行审计、溯源
数据防泄漏 对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、PPT、PDF、ZIP、RAR、EXE、DLL、AVI、MP4等,并对敏感内容进行过滤 对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、PPT、PDF、ZIP、RAR、EXE、DLL、AVI、MP4等,并对敏感内容进行过滤
URL过滤 支持对超过50种URL类别的预定义,支持URL规则黑白名单,并可以对访问URL的流量进行丢弃、重置、重定向、日志记录,列入黑名单等操作 支持对超过50种URL类别的预定义,支持URL规则黑白名单,并可以对访问URL的流量进行丢弃、重置、重定向、日志记录,列入黑名单等操作
应用识别与管控 可识别海量应用类型,访问控制精度到应用功能,例如:区分微信的登录、发送消息、接收消息,语音通话,图片等
应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率		 可识别海量应用类型,访问控制精度到应用功能,例如:区分微信的登录、发送消息、接收消息,语音通话,图片等
应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率
NAT 支持多个内部地址映射到同一个公网地址
支持多个内部地址映射到多个公网地址
支持内部地址到公网地址一一映射
支持源地址和目的地址同时转换
支持外部网络主机访问内部服务器
支持内部地址直映射到接口公网IP地址
支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等		 支持多个内部地址映射到同一个公网地址
支持多个内部地址映射到多个公网地址
支持内部地址到公网地址一一映射
支持源地址和目的地址同时转换
支持外部网络主机访问内部服务器
支持内部地址直映射到接口公网IP地址
支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等
VPN L2TP VPN、IPSec VPN、GRE VPN、SSL VPN L2TP VPN、IPSec VPN、GRE VPN、SSL VPN
路由特性 全面支持多种路由协议,如RIP、OSPF、RIPv2等; 全面支持多种路由协议,如RIP、OSPF、RIPv2等;
IPv6 基于IPv6的状态防火墙及攻击防范
IPv6协议:IPv6转发、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6 Client、DHCPv6 Relay等
IPv6路由:RIPng、OSPFv3、BGP4+、静态路由、策略路由、PIM-SM、PIM-DM等
IPv6安全:NAT-PT、IPv6 Tunnel、IPv6 Packet Filter、Radius、IPv6域间策略、IPv6连接数限制等		 基于IPv6的状态防火墙及攻击防范
IPv6协议:IPv6转发、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6 Client、DHCPv6 Relay等
IPv6路由:RIPng、OSPFv3、BGP4+、静态路由、策略路由、PIM-SM、PIM-DM等
IPv6安全:NAT-PT、IPv6 Tunnel、IPv6 Packet Filter、Radius、IPv6域间策略、IPv6连接数限制等
高可靠性 支持IPSec VPN的IKE状态同步
支持VRRP		 支持IPSec VPN的IKE状态同步
支持VRRP
易维护性 支持基于命令行的配置管理
支持Web方式进行远程配置管理
支持H3C SSM安全管理中心进行设备管理
支持标准网管 SNMPv3,并且兼容SNMP v1和v2
智能安全策略
支持通过iMC BIMS对设备进行远程配置管理(VPN策略统一下发)		 支持基于命令行的配置管理
支持Web方式进行远程配置管理
支持H3C SSM安全管理中心进行设备管理
支持标准网管 SNMPv3,并且兼容SNMP v1和v2
智能安全策略
支持通过iMC BIMS对设备进行远程配置管理(VPN策略统一下发)

组网应用

防火墙应用

SecPath F1005-GM\F1010-GM防火墙部署在Internet出口可对外提供访问的安全控制、VPN、NAT等业务,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器

图1-1 出口安全防护

VPN应用

SecPath F1005-GM\F1010-GM系列产品集成了丰富的VPN功能,包括IPsec VPN、SSL VPN、 L2TP VPN等,可以作为中小型企业的出口网关设备提供移动用户的SSL VPN接入,也可以作为广域网组网的分支或二三级中心设备提供site-to-site的IPsec VPN接入。

图1-2 VPN应用组网图

具有强大的处理能力

丰富路由协议,实现安全与网络融合

具有强大的VPN加密处理能力

全面深度安全防御阻止恶意攻击,同时能够实现邮件、网页、文件过滤

丰富路由协议,实现安全与网络融合