高性能的軟硬件處理平臺
采用控制、業務、數據相分離的全分布式架構,控制引擎、交換引擎、業務引擎及接口單元硬件分離,解耦合系統關鍵部件,提高系統可靠性;獨立的硬件交換引擎,支撐高性能安全業務無阻塞處理及轉發
獨立的高性能控制引擎,實現系統統一配置管理和安全集群
安全業務引擎采用多核高性能處理器,單板卡高速處理安全業務性能業界;一塊硬件板卡上可同時提供L2~L7的全面安全防御,包括防火墻、NAT、LB、IPS、AV、ACG、VPN等;內置專業硬件TCAM,保證大容量策略表項的高速檢索
內置模塊化軟件系統,支持多進程的調度,進程間運行空間隔離,單個進程的異常不會影響系統其他部分,提高系統可靠性;支持權限管理功能,基于特性、命令行、系統資源、WEB管理等級別定義用戶讀寫權限,提高系統安全性;支持熱補丁、支持ISSU,不中斷業務的情況下實現系統升級,提高系統易用性
電信級設備高可靠性
采用H3C公司擁有自主知識產權的軟、硬件平臺。產品應用從大中型企業用戶到各大電信運營商,經歷了多年的市場考驗
支持狀態1:1熱備功能,支持Active/Active和Active/Passive兩種工作模式,實現負載分擔和業務備份
支持狀態N:N熱備功能,實現負載分擔和業務備份,大幅提高系統可靠性
支持SCF(安全集群系統),支持多框集群和異構集群,實現靈活管理和彈性擴展。
強大的安全防護功能
支持豐富的攻擊防范功能。包括:Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic 、Ping of Death、Tiny Fragment 、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法、超大ICMP報文、地址掃描、端口掃描等攻擊防范,還包括針對SYN Flood、UPD Flood、ICMP Flood、DNS Flood、CC等常見DDoS攻擊的檢測防御。
支持統一管理。主機+多業務引擎始終作為一個網元進行統一管理,無需對每塊插卡進行IP地址規劃,在節省用戶的IP地址的同時大量減少部署的復雜度,并且可以對設備實現全面的配置管理、性能監控和日志審計。
支持智能分流(IFF)。部署多業務插卡后,流量自動在多個業務板卡內負載分擔從而實現分布式處理。
支持安全集群框架(SCF)。全面突破機框的限制,在簡化管理和部署的基礎上同時實現了安全業務和安全性能的彈性擴展。支持異構集群,M9008-S和M9012-S相互之間可集群,集群系統更靈活和多樣化。
支持安全ONE平臺(SOP)。采用創新的基于容器的虛擬化技術實現了真正意義上的虛擬防火墻:
SOP之間實現了基于進程的真正相互隔離
SOP通過統一的OS內核可以對系統的靜態及動態的資源進行細粒度的劃分
SOP數量可以按照系統需求的變化動態調整
SOP能力可以根據用戶需求動態的進行調整
支持安全區域管理。可基于接口、VLAN劃分安全區域
支持包過濾。通過在安全區域間使用標準或擴展訪問控制規則,借助報文中UDP或TCP端口等信息實現對數據包的過濾,支持按照時間段進行過濾
支持應用層狀態包過濾(ASPF)功能。通過檢查應用層協議信息(如RAWIP/ICMP/ICMPV6/UDP-LITE/SCTP及其它基于TCP/UDP協議的應用層協議),并監控基于連接的應用層協議狀態,動態的決定數據包是被允許通過多業務安全網關或者是被丟棄
支持驗證、和計帳(AAA)服務。包括:基于RADIUS/HWTACACS+/ LDAP(AD)、CHAP、PAP等的認證
支持靜態和動態黑名單
支持靜態NAT、源地址NAT、目的地址NAT
支持靜態及動態運營商CGN NAT
支持Fullcone、Hairpin等P2P穿越技術
支持NAT ALG
支持VPN功能。包括:支持L2TP、手工/自動方式IPSec、GRE、MPLS VPN等
支持豐富的路由協議。支持IPv4、IPv6靜態路由、等價路由、策略路由,以及BGP、RIPv2、OSPF、ISIS等動態IPv4路由協議,支持BGP4+、OSPFv3、ISISV6等動態IPv6路由協議
支持組播技術。支持IGMP v1/v2/v3,PIM-SM、PIM-DM
支持安全日志。支持操作日志、域間策略匹配日志、攻擊防范日志;支持DS-LITE日志;支持NAT444日志,支持電信、聯通、移動格式;
支持流量監控統計、管理。
靈活可擴展的一體化深度安全
與基礎安全防護高度集成的一體化安全業務處理平臺。
全面的應用層流量識別與管理:通過H3C長期積累的狀態機檢測、流量交互檢測技術,能精確檢測Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(電騾)/eDonkey(電驢)、QQ、MSN、PPLive等P2P/IM/網絡游戲/炒股/網絡視頻/網絡多媒體等應用;支持P2P流量控制功能,通過對流量采用深度檢測的方法,即通過將網絡報文與P2P協議報文特征進行匹配,可以精確的識別P2P流量,以達到對P2P流量進行管理的目的,同時可提供不同的控制策略,實現靈活的P2P流量控制。
高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產權的FIRST(Full Inspection with Rigorous State Test,基于精確狀態的全面檢測)引擎。FIRST引擎集成了多項檢測技術,實現了基于精確狀態的全面檢測,具有的入侵檢測精度;同時,FIRST引擎采用了并行檢測技術,軟、硬件可靈活適配,大大提高了入侵檢測的效率。
實時的病毒防護:采用Kaspersky公司的流引擎查毒技術,從而迅速、準確查殺網絡流量中的病毒等惡意代碼。
迅捷的URL分類過濾:提供基礎的URL黑白名單過濾同時,可以配置URL分類過濾服務器在線查詢。
全面、及時的安全特征庫。通過多年經營與積累,H3C公司擁有業界的攻擊特征庫團隊,同時配備有專業的實驗室,緊跟網絡安全領域的動態,從而保證特征庫的及時準確更新。
業界的IPv6
支持IPv6基礎協議。支持TCP6,UDP6,RAWIP6,ICMPV6,PPPoEv6、DHCPV6 Server、DHCPv6 Client、DHCPV6 Relay、DNSv6、RADIUS6等協議;
支持IPv6路由協議。支持靜態路由、BGP4+OSPFv3ISISV6路由策略和策略路由;
支持IPv6 ASPF。
支持IPV6攻擊防范。
支持IPv6 Multicast。
支持IPv6各種過渡技術,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道、NAT444、DS-Lite等。
下一代多業務特性
集成鏈路負載均衡特性,通過鏈路狀態檢測、鏈路繁忙保護等技術,有效實現企業互聯網出口的多鏈路自動均衡和自動切換。
一體化集成SSL VPN特性,滿足移動辦公、員工出差的安全訪問需求,不僅可結合USB-Key、短信進行移動用戶的身份認證,還可與企業原有認證系統相結合、實現一體化的認證接入。
DLP基礎功能支持,支持郵件過濾,提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL和內容過濾;支持網絡傳輸協議的文件過濾;支持應用層過濾,提供Java/ActiveX Blocking和SQL注入攻擊防范。
專業的智能管理
支持標準網管 SNMPv3,并且兼容SNMP v1和v2
可通過命令行界面進行設備管理及安全業務配置,滿足專業管理和大批量配置需求
支持圖形化界面,提供簡單易用的Web管理
通過H3C iMC實現統一管理,集安全信息與事件收集、分析、響應等功能為一體,解決了網絡與安全設備相互孤立、網絡安全狀況不直觀、安全事件響應慢、網絡故障定位困難等問題,使IT及安全管理員脫離繁瑣的管理工作,能夠集中精力關注核心業務,極大提高工作效率
基于*的深度挖掘及分析技術,采用主動收集、被動接收等方式,為用戶提供集中化的日志管理功能,并對不同類型格式(Syslog、二進制流日志等)的日志進行歸一化處理。同時,采用高聚合壓縮技術對海量事件進行存儲,并可通過自動壓縮、加密和保存日志文件到DAS、NAS或SAN等外部存儲系統,避免重要安全事件的丟失
提供豐富的報表,主要包括基于應用的報表、基于網流的分析報表等
支持以PDF、HTML、WORD和TXT等多種格式輸出
可通過Web界面進行報告定制,定制內容包括數據的時間范圍、數據的來源設備、生成周期以及輸出類型等
安全認證
支持用戶身份管理,不同身份的用戶擁有不同的命令執行權限,可以防止低權限用戶非法獲取或修改配置信息等。M9008-S設置了如下四種身份的用戶:訪問(Visit)級、監控(Monitor)級、配置(Config)級和管理(Manage)級用戶。
視圖分級保護。由于四種不同身份的用戶擁有的配置權限不同,級別低的用戶不能進入更高級的視圖。
在PPP線路上支持CHAP和PAP驗證協議。
支持基于RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)的AAA(Authentication,Authorization,Accounting,認證、、計費)服務,可以與RADIUS服務器配合實施對接入用戶的驗證、和計費安全服務,防止非法訪問。
支持基于PKI/X.509的證書認證功能。
路由協議OSPF、RIP2都具有MD5認證功能,確保所交換路由信息的可靠性。
開放的系統接口
開放接口:傳統的網絡操作系統為封閉的系統,有專用的系統概念和處理流程,缺乏開放性。而Comware V7使用通用的Linux操作系統,回歸了主流的軟件實現方式。提供開放的標準編程接口,可供用戶利用Comware V7提供的基礎功能,實現自己的專用功能,目前主要基于Netconf接口。
TCL腳本:Comware V7內嵌了TCL腳本執行功能,用戶可以利用TCL腳本語言直接編寫腳本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公開的編程接口等實現所需功能。
EAA:可以在系統發生變化時執行預定義動作。在提高系統可維護性的同時,滿足用戶一些個性化需求。
屬性 | M9008-S | M9012-S |
主控板槽位數 | 2 | 2 |
業務板槽位數 | 6 | 10 |
冗余設計 | 主控、電源、風扇 | 主控、電源、風扇 |
外型尺寸(W ×D ×H) | 機箱:436*420*575mm(13RU) | 機箱:436*420*708mm (16RU) |
整機功耗 | 2800W(Max) | 5000W(Max) |
環境溫度 | 工作:0~45℃ 非工作:-40~70℃ | |
運行模式 | 路由模式 | |
AAA服務 | Portal認證、RADIUS認證、HWTACACS認證、PKI /CA(X.509格式)認證、 域認證、CHAP驗證、PAP驗證 | |
多業務安全網關 | 虛擬多業務安全網關 安全區域劃分 可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法超大ICMP報文、地址掃描、端口掃描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多種惡意攻擊 基礎和擴展的訪問控制列表 基于時間段的訪問控制列表 動態包過濾 ASPF應用層報文過濾 靜態和動態黑名單功能 MAC和IP綁定功能 基于MAC的訪問控制列表 支持802.1q VLAN 透傳 | |
病毒防護 | 基于病毒特征進行檢測 支持病毒庫手動和自動升級 報文流處理模式 支持HTTP、FTP、SMTP、POP3協議 支持的病毒類型:Backdoor、-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等 支持病毒日志和報表 | |
深度入侵防御 | 支持對攻擊、蠕蟲/病毒、木馬、惡意代碼、間諜軟件/廣告軟件、DoS/DDoS常等攻擊的防御 支持緩沖區溢出、SQL注入、IDS/IPS逃逸等攻擊的防御 支持攻擊特征庫的分類(根據攻擊類型、目標機系統進行分類)、分級(分高、中、低、提示四級) 支持攻擊特征庫的手動和自動升級(TFTP和HTTP) 支持對BT等P2P/IM識別和控制 | |
郵件/網頁/應用層過濾 | 郵件過濾 SMTP郵件地址過濾 郵件標題過濾 郵件內容過濾 郵件附件過濾 網頁過濾 HTTP URL過濾 HTTP內容過濾 應用層過濾 Java Blocking ActiveX Blocking SQL注入攻擊防范 | |
NAT | 支持多個內部地址映射到同一個公網地址 支持多個內部地址映射到多個公網地址 支持內部地址到公網地址一一映射 支持源地址和目的地址同時轉換 支持外部網絡主機訪問內部服務器 支持內部地址直映射到接口公網IP地址 支持DNS映射功能 可配置支持地址轉換的有效時間 支持多種NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 | |
VPN | L2TP VPN、IPSec VPN、GRE VPN、MPLS VPN、SSL VPN | |
IPv6 | IPV6狀態防火墻 IPV6域間策略 IPV6攻擊防范 IPV6連接數限制 IPv6協議: ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6 Client、DHCPv6 Relay等 IPv6路由:RIPng、OSPFv3、BGP4+、靜態路由、策略路由、PIM-SM、PIM-DM等 IPv6過渡技術:NAT-PT、IPv6 Tunnel、NAT64(DNS64)、DS-LITE等 | |
高可靠性 | 支持雙機狀態熱備(Active/Active和Active/Backup兩種工作模式) 支持集群統一配置管理 支持非對稱路徑 支持IPSec VPN的IKE狀態同步 支持VRRP 支持靜態及動態鏈路聚合 支持BFD 支持不間斷升級ISSU 支持熱補丁技術 | |
易維護性 | 支持基于命令行的配置管理 支持Web方式進行遠程配置管理 支持H3C iMC管理平臺進行設備管理 支持標準網管 SNMPv3,并且兼容SNMP v1和v2 | |
環保與認證 | 支持歐洲嚴格的RoHS環保認證 |
防火墻應用
SecPath M9000-S提供強大的過濾功能和優秀的管理能力,部署在內網出口,防范各種來自外部的攻擊,也可作為內網訪問控制設備隔離不同安全等級的區域。
防火墻應用組網圖
虛擬防火墻應用
SecPath M9000-S不但提供強大的防火墻/VPN功能,還可支持虛擬防火墻功能,一臺SecPath M9000-S可虛擬成多臺邏輯上的防火墻,每個虛擬防火墻有自己的策略且可進行獨立管理。
虛擬防火墻功能應用組網圖
主機選購一覽表
模塊 | 數量 | 備注 |
SecPath M9008-S主機 | 1 | 選配 |
SecPath M9012-S主機 | 1 | 選配 |
SecPathM9008-S主控交換模塊 | 1-2 | 必配 |
SecPathM9012-S主控交換模塊 | 1-2 | 必配 |
安全業務引擎選購一覽表
安全業務模塊 | 描述 | 備注 |
防火墻業務板 | 依據機箱線卡槽位數 | 可選 |
應用交付業務板 | 依據機箱線卡槽位數 | 可選 |
入侵防御業務板 | 依據機箱線卡槽位數 | 可選 |
接口單元選購一覽表
接口模塊 | 描述 | 備注 |
48端口千兆以太網電接口 | 48端口千兆以太網電接口 | 選配 |
48端口增強型千兆以太網光接口 | 48端口增強型千兆以太網光接口 | 選配 |
16端口千兆以太網光口(SFP,LC)+8端口千兆以太網Combo口+2端口萬兆以太網光接口 | 16端口千兆以太網光口(SFP,LC)+8端口千兆以太網Combo口+2端口萬兆以太網光接口 | 選配 |
4端口萬兆以太網光接口模塊 | 4端口萬兆以太網光接口模塊 | 選配 |
8端口萬兆以太網光接口模塊 | 8端口萬兆以太網光接口模塊 | 選配 |
32端口萬兆以太網光接口模塊 | 32端口萬兆以太網光接口模塊 | 選配 |
4端口40G以太網光接口板 | 4端口40G以太網光接口板 | 選配 |
2端口100G以太網光接口板 | 2端口100G以太網光接口板 | 選配 |
電源模塊選購一覽表
電源模塊 | 備注 |
交流電源模塊,1400W | 必選1個電源,最多可選2個,根據設備供電情況選擇電源模塊 |
直流電源模塊,1400W | 必選1個電源,最多可選2個,根據設備供電情況選擇電源模塊 |
交流電源模塊,2500W | 必選1個電源,最多可選2個,根據設備供電情況選擇電源模塊 |
直流電源模塊,2500W | 必選1個電源,最多可選2個,根據設備供電情況選擇電源模塊 |