高性能的軟硬件處理平臺

采用控制、業務、數據相分離的全分布式架構，控制引擎、交換引擎、業務引擎及接口單元硬件分離，解耦合系統關鍵部件，提高系統可靠性；獨立的硬件交換引擎，支撐高性能安全業務無阻塞處理及轉發

獨立的高性能控制引擎，實現系統統一配置管理和安全集群

安全業務引擎采用多核高性能處理器，單板卡高速處理安全業務性能業界；一塊硬件板卡上可同時提供L2～L7的全面安全防御，包括防火墻、NAT、LB、IPS、AV、ACG、VPN等；內置專業硬件TCAM，保證大容量策略表項的高速檢索

內置模塊化軟件系統，支持多進程的調度，進程間運行空間隔離，單個進程的異常不會影響系統其他部分，提高系統可靠性；支持權限管理功能，基于特性、命令行、系統資源、WEB管理等級別定義用戶讀寫權限，提高系統安全性；支持熱補丁、支持ISSU，不中斷業務的情況下實現系統升級，提高系統易用性

電信級設備高可靠性

采用H3C公司擁有自主知識產權的軟、硬件平臺。產品應用從大中型企業用戶到各大電信運營商，經歷了多年的市場考驗

支持狀態1:1熱備功能，支持Active/Active和Active/Passive兩種工作模式，實現負載分擔和業務備份

支持狀態N:N熱備功能，實現負載分擔和業務備份，大幅提高系統可靠性

支持SCF（安全集群系統），支持多框集群和異構集群，實現靈活管理和彈性擴展。

強大的安全防護功能

支持豐富的攻擊防范功能。包括：Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic 、Ping of Death、Tiny Fragment 、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法、超大ICMP報文、地址掃描、端口掃描等攻擊防范，還包括針對SYN Flood、UPD Flood、ICMP Flood、DNS Flood、CC等常見DDoS攻擊的檢測防御。

支持統一管理。主機+多業務引擎始終作為一個網元進行統一管理，無需對每塊插卡進行IP地址規劃，在節省用戶的IP地址的同時大量減少部署的復雜度，并且可以對設備實現全面的配置管理、性能監控和日志審計。

支持智能分流（IFF）。部署多業務插卡后，流量自動在多個業務板卡內負載分擔從而實現分布式處理。

支持安全集群框架（SCF）。全面突破機框的限制，在簡化管理和部署的基礎上同時實現了安全業務和安全性能的彈性擴展。支持異構集群，M9008-S和M9012-S相互之間可集群，集群系統更靈活和多樣化。

支持安全ONE平臺（SOP）。采用創新的基于容器的虛擬化技術實現了真正意義上的虛擬防火墻：

SOP之間實現了基于進程的真正相互隔離

SOP通過統一的OS內核可以對系統的靜態及動態的資源進行細粒度的劃分

SOP數量可以按照系統需求的變化動態調整

SOP能力可以根據用戶需求動態的進行調整

支持安全區域管理。可基于接口、VLAN劃分安全區域

支持包過濾。通過在安全區域間使用標準或擴展訪問控制規則，借助報文中UDP或TCP端口等信息實現對數據包的過濾，支持按照時間段進行過濾

支持應用層狀態包過濾（ASPF）功能。通過檢查應用層協議信息（如RAWIP/ICMP/ICMPV6/UDP-LITE/SCTP及其它基于TCP/UDP協議的應用層協議），并監控基于連接的應用層協議狀態，動態的決定數據包是被允許通過多業務安全網關或者是被丟棄

支持驗證、和計帳（AAA）服務。包括：基于RADIUS/HWTACACS+/ LDAP(AD)、CHAP、PAP等的認證

支持靜態和動態黑名單

支持靜態NAT、源地址NAT、目的地址NAT

支持靜態及動態運營商CGN NAT

支持Fullcone、Hairpin等P2P穿越技術

支持NAT ALG

支持VPN功能。包括：支持L2TP、手工/自動方式IPSec、GRE、MPLS VPN等

支持豐富的路由協議。支持IPv4、IPv6靜態路由、等價路由、策略路由，以及BGP、RIPv2、OSPF、ISIS等動態IPv4路由協議，支持BGP4+、OSPFv3、ISISV6等動態IPv6路由協議

支持組播技術。支持IGMP v1/v2/v3，PIM-SM、PIM-DM

支持安全日志。支持操作日志、域間策略匹配日志、攻擊防范日志；支持DS-LITE日志；支持NAT444日志，支持電信、聯通、移動格式；

支持流量監控統計、管理。

靈活可擴展的一體化深度安全

與基礎安全防護高度集成的一體化安全業務處理平臺。

全面的應用層流量識別與管理：通過H3C長期積累的狀態機檢測、流量交互檢測技術，能精確檢測Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、PPLive等P2P/IM/網絡游戲/炒股/網絡視頻/網絡多媒體等應用；支持P2P流量控制功能，通過對流量采用深度檢測的方法，即通過將網絡報文與P2P協議報文特征進行匹配，可以精確的識別P2P流量，以達到對P2P流量進行管理的目的，同時可提供不同的控制策略，實現靈活的P2P流量控制。

高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產權的FIRST（Full Inspection with Rigorous State Test，基于精確狀態的全面檢測）引擎。FIRST引擎集成了多項檢測技術，實現了基于精確狀態的全面檢測，具有的入侵檢測精度；同時，FIRST引擎采用了并行檢測技術，軟、硬件可靈活適配，大大提高了入侵檢測的效率。

實時的病毒防護：采用Kaspersky公司的流引擎查毒技術，從而迅速、準確查殺網絡流量中的病毒等惡意代碼。

迅捷的URL分類過濾：提供基礎的URL黑白名單過濾同時，可以配置URL分類過濾服務器在線查詢。

全面、及時的安全特征庫。通過多年經營與積累，H3C公司擁有業界的攻擊特征庫團隊，同時配備有專業的實驗室，緊跟網絡安全領域的動態，從而保證特征庫的及時準確更新。

業界的IPv6

支持IPv6基礎協議。支持TCP6,UDP6，RAWIP6，ICMPV6，PPPoEv6、DHCPV6 Server、DHCPv6 Client、DHCPV6 Relay、DNSv6、RADIUS6等協議；

支持IPv6路由協議。支持靜態路由、BGP4+OSPFv3ISISV6路由策略和策略路由；

支持IPv6 ASPF。

支持IPV6攻擊防范。

支持IPv6 Multicast。

支持IPv6各種過渡技術，包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道、NAT444、DS-Lite等。

下一代多業務特性

集成鏈路負載均衡特性，通過鏈路狀態檢測、鏈路繁忙保護等技術，有效實現企業互聯網出口的多鏈路自動均衡和自動切換。

一體化集成SSL VPN特性，滿足移動辦公、員工出差的安全訪問需求，不僅可結合USB-Key、短信進行移動用戶的身份認證，還可與企業原有認證系統相結合、實現一體化的認證接入。

DLP基礎功能支持，支持郵件過濾，提供SMTP郵件地址、標題、附件和內容過濾；支持網頁過濾，提供HTTP URL和內容過濾；支持網絡傳輸協議的文件過濾；支持應用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。

專業的智能管理

支持標準網管 SNMPv3，并且兼容SNMP v1和v2

可通過命令行界面進行設備管理及安全業務配置，滿足專業管理和大批量配置需求

支持圖形化界面，提供簡單易用的Web管理

通過H3C iMC實現統一管理，集安全信息與事件收集、分析、響應等功能為一體，解決了網絡與安全設備相互孤立、網絡安全狀況不直觀、安全事件響應慢、網絡故障定位困難等問題，使IT及安全管理員脫離繁瑣的管理工作，能夠集中精力關注核心業務，極大提高工作效率

基于*的深度挖掘及分析技術，采用主動收集、被動接收等方式，為用戶提供集中化的日志管理功能，并對不同類型格式（Syslog、二進制流日志等）的日志進行歸一化處理。同時，采用高聚合壓縮技術對海量事件進行存儲，并可通過自動壓縮、加密和保存日志文件到DAS、NAS或SAN等外部存儲系統，避免重要安全事件的丟失

提供豐富的報表，主要包括基于應用的報表、基于網流的分析報表等

支持以PDF、HTML、WORD和TXT等多種格式輸出

可通過Web界面進行報告定制，定制內容包括數據的時間范圍、數據的來源設備、生成周期以及輸出類型等

安全認證

支持用戶身份管理，不同身份的用戶擁有不同的命令執行權限，可以防止低權限用戶非法獲取或修改配置信息等。M9008-S設置了如下四種身份的用戶：訪問（Visit）級、監控（Monitor）級、配置（Config）級和管理（Manage）級用戶。

視圖分級保護。由于四種不同身份的用戶擁有的配置權限不同，級別低的用戶不能進入更高級的視圖。

在PPP線路上支持CHAP和PAP驗證協議。

支持基于RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）的AAA（Authentication，Authorization，Accounting，認證、、計費）服務，可以與RADIUS服務器配合實施對接入用戶的驗證、和計費安全服務，防止非法訪問。

支持基于PKI/X.509的證書認證功能。

路由協議OSPF、RIP2都具有MD5認證功能，確保所交換路由信息的可靠性。

開放的系統接口

開放接口：傳統的網絡操作系統為封閉的系統，有專用的系統概念和處理流程，缺乏開放性。而Comware V7使用通用的Linux操作系統，回歸了主流的軟件實現方式。提供開放的標準編程接口，可供用戶利用Comware V7提供的基礎功能，實現自己的專用功能，目前主要基于Netconf接口。

TCL腳本：Comware V7內嵌了TCL腳本執行功能，用戶可以利用TCL腳本語言直接編寫腳本，利用Comware V7提供的命令行、SNMP Get、SET操作，以及Comware V7公開的編程接口等實現所需功能。

EAA：可以在系統發生變化時執行預定義動作。在提高系統可維護性的同時，滿足用戶一些個性化需求。

防火墻應用

SecPath M9000-S提供強大的過濾功能和優秀的管理能力，部署在內網出口，防范各種來自外部的攻擊，也可作為內網訪問控制設備隔離不同安全等級的區域。

防火墻應用組網圖

虛擬防火墻應用

SecPath M9000-S不但提供強大的防火墻/VPN功能，還可支持虛擬防火墻功能，一臺SecPath M9000-S可虛擬成多臺邏輯上的防火墻，每個虛擬防火墻有自己的策略且可進行獨立管理。

虛擬防火墻功能應用組網圖

主機選購一覽表

安全業務引擎選購一覽表

接口單元選購一覽表

電源模塊選購一覽表