采用了专用的64位多核高性能处理器和高速存储器,可以提供100G以下的超万兆安全业务处理性能。
采用CPU+Switch架构,CPU进行安全业务处理,Switch实现多业务端口的扩展。
产品提供3个高速接口槽位,5个低速接口槽位,低速槽位只能插入千兆接口卡。高速和低速槽位不能混插,产品支持防混插设计。高速槽位优先使用1号和2号槽位。
采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户,经历了多年的市场考验。
支持H3C SCF虚拟化技术,可将多台设备虚拟化为一台逻辑设备,完成业务备份同时提高系统整体性能。
支持防火墙、NAT、攻击、VPN业务的热备。
故障隔离:软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计,保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复,不影响硬件的运行
进程级GR:通过完善的进程级GR技术,保证异常进程可恢复,并且不影响系统业务。
支持丰富的攻击防范功能。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。
支持SOP 1:N完全虚拟化。可在H3C SecPath F50X0系列模块上划分多个逻辑的虚拟防火墙,基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致,并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。
支持安全区域管理。可基于接口、VLAN划分安全区域。
支持包过滤。通过在安全区域间使用标准或扩展访问控制规则,借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外,还可以按照时间段进行过滤。
支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议),并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过防火墙或者是被丢弃。
支持验证、授权和计帐(AAA)服务。包括:基于RADIUS/HWTACACS+、CHAP、PAP、LDAP等的认证。
支持静态和动态黑名单。
支持NAT和NAT多实例。
支持VPN功能。包括:支持L2TP、IPSec/IKE、GRE、SSL等,并实现与智能终端对接。
支持丰富的路由协议。支持静态路由、策略路由,以及RIP、OSPF等动态路由协议。
支持安全日志。
支持流量监控统计、管理。
与基础安全防护高度集成的一体化安全业务处理平台。
全面的应用层流量识别与管理:通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、微信、微博、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制。
高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率。
实时的病毒防护:采用流引擎查毒技术,可迅速、准确查杀网络流量中的病毒等恶意代码。
全面、及时的安全特征库。通过多年经营与积累,H3C公司拥有业界资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新。
支持IPv6静态路由、策略路由、OSPFv3、BGP4+、RIPng等动态路由。
支持IPv6状态防火墙。
支持IPv6协议状态检测包括DNS64、FTP、ICMPv6、SIP、RTSP、MGCP等
支持IPv6地址对象及IPv6安全策略
支持IPv6攻击防范,包括IPv6 DOS/DDOS攻击、扫描攻击等
支持IPv6 IPsec VPN
支持DS-LITE、AFT及IPv6隧道等各种过渡技术。
支持IPv6管理、日志及审计。
支持IPv6虚拟防火墙。
支持智能安全策略:一体化安全策略、实现策略冗余检测、策略匹配优化建议、动态检测内网业务动态生成安全策略。
支持通过Web-GUI、CLI、SSH等多种手段管理设备。
基于角色的功能授权机制,可以实现到功能、命令行、菜单级的权限控制。
统一的SSM管理平台,可以实现设备的配置管理、性能监控、日志审计。
丰富的MIB节点便于外部设备进行性能监控。
开放接口:传统的网络操作系统为封闭的系统,有专用的系统概念和处理流程,缺乏开放性。而Comware V7使用通用的Linux操作系统,回归了主流的软件实现方式。提供开放的标准编程接口,可供用户利用Comware V7提供的基础功能,实现自己的专用功能,目前主要基于Netconf接口。
TCL脚本:Comware V7内嵌了TCL脚本执行功能,用户可以利用TCL脚本语言直接编写脚本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公开的编程接口等实现所需功能。
EAA:可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时,满足用户一些个性化需求。
项目 | 描述 | |
F5030-6GW | ||
接口 | 1个配置口(CON) 2个外置USB host接口 4个千兆以太Combo口 标配接口卡: 一个8端口千兆以太电口接口卡 一个8端口万兆光口接口卡 | |
扩展槽位 | 8个接口卡插槽 1~3号插槽可以插万兆和40G光口接口卡, 4~8号槽位可以插千兆光口和千兆电口接口卡 | |
存储介质 | 2个扩展插槽,支持扩展2块SSD硬盘,不支持热插拔 | |
环境温度 | 工作:无硬盘0~45℃,带硬盘5~40℃ 非工作:-30~70℃ | |
运行模式 | 路由模式、透明模式、混杂模式 | |
AAA服务 | Portal认证、RADIUS认证、HWTACACS认证、PKI /CA(X.509格式)认证、 域认证、CHAP验证、PAP验证 | |
防火墙 | 基本ACL和高级ACL 基于用户和应用安全策略 基于安全区域的访问控制 基于时间段的访问控制 ASPF状态防火墙 DOS/DDOS攻击防范:包括SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood,DNS Flood、HTTP Flood 畸形包攻击如:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、IP分片报文攻击、分片报文攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、ICMP重定向或不可达报文 扫描窥探攻击防范:端口扫描、地址扫描、IP路由记录选项报文、Tracert报文 IP Spoofing攻击防范 静态和动态黑名单功能 连接数限制 支持N:1 SCF集群技术 · 支持多台设备集群 · 集群设备统一管理 · 集群设备业务分布式处理 支持1:N虚拟防火墙技术 · 容器化的虚拟化技术,虚拟防火墙特性与物理墙特性一致 · 虚拟防火墙独立GUI/CLI管理 · 虚拟防火墙独立配置文件 · 虚拟防火墙独立日志主机及日志审计 · 虚拟防火墙资源分配:吞吐、并发、新建、策略 · 虚拟防火墙接口共享 N:1:M虚拟化:先将多台设备集群,然后再进行虚拟防火墙划分支持802.1q VLAN 透传 | |
负载均衡 | 支持链路及服务器负载均衡功能,支持基于应用、ISP等元素的智能选路,支持ICMP、UDP、TCP等协议的健康监测,支持基于地址端口、HTTP协议、SSL协议的持续性探测,实现带宽繁忙、故障保护。 | |
病毒防护 | 基于病毒特征进行检测 支持病毒库手动和自动升级 报文流处理模式 支持HTTP、FTP、SMTP、POP3协议 支持的病毒类型:Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等 支持病毒日志和报表 | |
深度入侵防御 | 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御 支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御 支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级) 支持攻击特征库的手动和自动升级(TFTP和HTTP) 支持对BT等P2P/IM识别和控制 | |
邮件/网页/ 应用层过滤 | 邮件过滤 SMTP邮件地址过滤 邮件标题过滤 邮件内容过滤 邮件附件过滤 网页过滤 HTTP URL过滤 HTTP内容过滤 应用层过滤 Java Blocking ActiveX Blocking SQL注入攻击防范 | |
安全审计 | 攻击实时日志 域间策略匹配日志 黑名单日志 连接数限制日志 会话日志 NAT日志 流量统计和分析功能 安全事件统计功能 | |
数据防泄漏 | 对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、PPT、PDF、ZIP、RAR、EXE、DLL、AVI、MP4等,并对敏感内容进行过滤。 | |
NAT | 源地址NAT 支持根据策略指定转换后的地址池 支持PAT、支持NO-PAT 支持无限连接 支持IP持续性,保证同一源转换后的地址不变 支持Easy IP 目的地址NAT 支持地址+端口的一对一映射 支持多个公网地址转换为同一个私网地址 支持基于策略的目的NAT 支持静态NAT 支持一对一静态NAT 支持net-to-net静态NAT 支持NAT444 支持静态NAT444 支持动态NAT444 支持Fullcone,解决P2P穿越问题 支持C/S方式、P2P方式的Hairpin技术 支持端口块增量分配 支持DNS Mapping 支持多种ALG,包括FTP、DNS、TFTP、SQLNET、SIP、RTSP、H323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN | |
VPN | L2TP VPN | 支持LNS 支持Auto-Initiated LAC L2TP支持VRF |
GRE VPN | GRE Over IPv4 GRE Over IPv6 GRE 支持VRF | |
IPsec/IKE | 安全协议支持AH/ESP 支持传输和隧道模式 ESP支持DES、3DES和AES三种加密算法 支持MD5及SHA-1验证算法 支持通过manual或IKE方式建立SA 支持防重放攻击 支持IPsec策略模版 支持IPsec反向路由注入 支持IKEV1 支持IKE主模式及野蛮模式 支持通过预共享密钥和证书方式验证IKE Peer身份 支持DPD 支持IKE Keppalive 支持NAT穿越(野蛮模式和主模式) VRF aware:通过IKE peer对端信息确定所属的VPN 支持IPsec双机热备 支持IKEv2 | |
路由特性 | 全面支持多种路由协议,如RIP、OSPF、BGP、IS-IS等; | |
IPv6 | IPv6业务 | TELNET/FTP/RADIUS 域名解析 DHCP Server DHCP中继 DHCP客户端 |
IPv6路由 | 静态路由 策略路由 RIPng OSPFv3 BGP4+ ISIS6 | |
IPv6安全 | IPv6 对象 IPv6安全策略 IPv6 状态防火墙 IPv6攻击防范 IPv6 ALG IPv6连接数限制 IPv6 URPF IPv6虚拟分片重组 IPv6 IPsec VPN IPv6虚拟防火墙 | |
IPv6过渡技术 | AFT DS-LITE隧道 ISATAP隧道 IPv6 Over IPv4 GRE隧道 | |
高可靠性 | 支持SCF 2:1虚拟化 支持双机状态热备(Active/Active和Active/Backup两种工作模式) 支持双机配置同步 支持IPSec VPN的IKE状态同步 支持VRRP | |
易维护性 | 支持基于命令行的配置管理 支持Web方式进行远程配置管理 支持H3C SSM安全管理中心进行设备管理 支持标准网管 SNMPv3,并且兼容SNMP v1和v2 智能安全策略 | |
