H3C SecPath vFW-E-Cloud虚拟防火墙(简称vFW)是一款功能强大的NFV软件化安全产品,基于专业的H3C Comware平台开发。vFW产品支持多种虚拟化平台,能够监控和保护虚拟环境的安全,以避免虚拟化环境与外部网络遭受内外部威胁的侵害,从而为虚拟化数据中心和云计算网络带来全面的安全防护,帮助企业构建完善的数据中心和云计算网络安全解决方案。
在安全功能方面,vFW为用户提供了全面的安全防范体系和远程安全接入能力,支持智能安全策略,可以基于用户、应用、地区、域名等各种维度进行访问控制,能够有效的保证网络的安全;支持一体化深度内容检测引擎,本地强大特征库+云端联动,可实现对入侵、病毒等行为检测和防御;提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如SSL VPN、IPsec VPN、L2TP VPN、GRE VPN等。
H3C SecPath vFW-E-Cloud运行在标准服务器虚拟机中,根据不同License,可以提供相应的性能和功能,满足用户的网络安全需求,系统结构如下图。
H3C SecPath vFW产品有别于H3C公司以往的各系列物理防火墙,是一款运行在标准服务器虚拟机上的纯软件防火墙产品。它具有以下特点:
vFW基于业界领先的Comware平台开发,支持:
丰富的网络和安全功能,能够满足企业分支及公有云多租户环境中的网络安全需求。
控制平面和数据平面分离,专门为虚拟环境优化的多核数据转发,更能充分利用计算资源。
模块化的体系架构、开放的网络平台,允许网络按需运行和控制,更容易实现NFV/SDN落地。
与物理网络设备采用统一的软件平台,提供相同的功能特性和一致的管理界面。
服务链技术,实现NFV资源池的动态创建和自动化部署。实现租户业务的灵活编排和修改,而不会影响物理拓扑和其他租户。
集群技术,它的核心思想是将多台设备以星型拓扑连接在一起,进行必要的配置后,虚拟化成一台设备,实现多台设备的协同工作、统一管理和不间断维护。
双机热备技术,实现安全业务配置和数据自动备份,支持ISSU业务不中断升级。
NAT64,NAT444,DS-Lite技术,实现IPv4无缝过度到IPv6
License Server技术,在License Server上集中安装,操作和管理统一,便于实现VNF自动化批量部署。授权和设备解耦,统一授权,能够池化复用,降低授权费用。安全性高,防盗版能力强,能有效保护用户合法权益。
vFW提供了超轻量级的部署体验:
适合在公有云中部署,实现零运输、零布线,加快业务的部署。
支持VMware ESXi、Linux KVM、H3C CAS等多个主流虚拟平台,充分发挥虚拟化的优势,实现快速部署、批量部署、镜像备份、快速恢复,并且能够灵活迁移。
提供ISO、OVA、IPE、QCOW2等多种发布格式,适应各种环境下的部署。
支持虚拟机管理平台、网管平台和本地等多种工具进行灵活部署。
支持H3C VNF Manager对vFW的动态创建和删除。
vFW提供了超强的业务弹性:
支持VMware ESXi、Linux KVM、H3C CAS等多个主流虚拟平台,无缝适应用户的部署环境。
允许企业在虚拟化的环境中搭建企业网络,可以按需动态地调配和管理网络资源及服务,比如,可以根据需要灵活调整网口数量和类型,而无需新购买硬件板卡。
通过动态调整虚拟机资源和License,即可实现软件功能的平滑升级、设备性能的按需提升,随时满足业务增长需求。
vFW提供了丰富的防火墙访问控制、攻击检测与防护功能:
支持智能安全策略:不仅可以实现基于IP/MAC地址、用户、应用、地区、域名等多维度的访问控制,还可以实现安全策略冗余分析、策略匹配优化建议、动态检测内网业务并自动生成安全策略。
支持丰富的攻击防范技术。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针SYN Flood、UDP Flood、ICMP Flood等常见DDoS攻击的检测防御。
入侵防御(IPS):支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。
防病毒(AV):高性能病毒引擎,可防护600万种以上的病毒和木马,病毒特征库每日更新。
Web安全防护:不局限于常规的IPS/AV防护,针对内网服务器,提供细致化的web应用防护,对于服务器最为头疼的CC攻击,异常外联,SQL注入、HTTP慢速攻击、跨站脚本等常见攻击行为,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站进行有效防护。
未知威胁检测:单靠特征分析已不足以应对复杂的网络环境,面对典型的APT(Advanced Persistent Threat,高级持续性威胁)攻击沙箱技术是防御APT攻击最有效的方法之一,它用于构造隔离的威胁检测环境。vFW通过将网络流量送入沙箱进行隔离分析,由沙箱给出是否存在威胁的结论。检测到某流量为恶意流量,设备将对流量实施阻断等处理。
vFW提供了完善的NAT功能:
提供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同的地址转换服务,通过内部服务器可以向外提供FTP、Telnet和WWW等服务,实现公网和私网混合地址解决方案。
除提供一般NAT功能以外,针对多种应用协议还提供了NAT ALG功能,如多媒体应用(VOIP、视频):H323、RAS、SIP、SCCP、RTSP,VPN应用PPTP,常用的应用FTP、TFTP、DNS、NBT、ICMP、HWCC、DNS、ILS等。
vFW提供了丰富的安全管理功能:
提供各种日志功能,包括攻击实时日志、黑名单日志、会话日志、NAT日志功能,能够有效的记录网络情况,从而为分析网络状况,防范网络攻击提供依据。
提供应用分析中心和报表功能,主要包括基于应用的报表、基于网流的分析报表等。支持以PDF、HTML、WORD和TXT等多种格式输出。
通过H3C iMC实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。
vFW提供了丰富的安全认证功能:
支持用户身份管理,不同身份的用户拥有不同的命令执行权限,可以防止低权限用户非法获取或修改配置信息等。
视图分级保护。由于不同身份的用户拥有的配置权限不同,级别低的用户不能进入更高级的视图。
支持基于RADIUS(Remote Authentication Dial-In User Service)的AAA(Authentication,Authorization,Accounting)服务,可以与RADIUS服务器配合实施对接入用户的验证、授权和计费安全服务,防止非法访问。
支持基于PKI/X.509的证书认证功能。
路由协议OSPF、RIP2都具有MD5认证功能,确保所交换路由信息的可靠性。
vFW支持多种VPN业务,如SSL VPN、L2TP VPN、IPsec VPN、GRE VPN等,可以针对客户需求通过拨号、租用线及VLAN或隧道等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN。结合防火墙、AAA、NAT、及多种QoS等技术,防火墙可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。
SSL VPN:一体化集成SSL VPN(IPV4&IPV6)特性,满足移动办公、员工出差的安全访问需求,不仅可结合用户名+密码、USB-Key、短信进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入。
IPSec VPN:IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
L2TP VPN:L2TP为目前使用最广泛的VPDN (Virtual Private Dial Network)隧道协议。L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,支持L2TP多域。
GRE VPN:GRE是第三层隧道协议,在协议层之间采用了一种被称之为Tunnel(隧道)的技术,在一个Tunnel的两端分别对数据报进行封装及解封装。
属性 | 说明 |
软件包 | H3C SecPath vFW-E-Cloud 支持ISO, OVA, ,QCOW2, IPE发布格式 |
虚拟平台 | VMware ESXi Linux KVM H3C CAS |
虚拟机资源 | 至少1个vCPU(主频2.0GHz以上) 至少1GB内存 至少8GB硬盘 至少2个虚拟网卡,最多16个虚拟网卡 虚拟网卡类型:E1000,VMXNET3,VirtIO,Intel 82599VF |
以太网 | 三层以太网接口/子接口,二层以太网接口 ARP 802.1Q VLAN, VLAN终结 PPPOE Client |
IP路由 | 静态路由 动态路由协议: RIPv1/v2, OSPFv2, BGP 路由策略 |
IP业务 | Forwarding/Fast Forwarding TCP, UDP, IP Option, IP Unnumber PBR Ping, Trace DHCP Server, DHCP Relay, DHCP Client DNS Client, DNS Proxy, DDNS FTP Server, FTP Client, TFTP Client Telnet Server. Telnet Client NTPv3/NTPv4/SNTPv3/SNTPv4 AFT SSH v1.5/2.0, SSL |
IPv6 | Basic Functions: IPv6 ND, IPv6 PMTU, IPv6 FIB, IPv6 ACL IPv6 Tunnel: IPv6 over IPv4 manual tunnel, Automatic IPv4-compatible IPv6 tunnel, 6to4 tunnel, ISATAP tunnel Static Routing Dynamic Routing: RIPng, OSPFv3, BGP4+ IPv6包过滤 IPv6 ASPF IPv6域间策略 IPv6攻击防范 |
AAA服务 | Portal认证 RADIUS认证 HWTACACS认证 PKI/CA(X509格式)认证 域认证 CHAP验证 PAP验证 |
访问控制 | 安全区域划分,不同安全域默认拒绝 攻击防范:可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood等多种恶意攻击 基础和扩展的访问控制列表 基于用户、协议、地区、域名的访问控制 基于接口、时间段的访问控制 基于时间段的访问控制 基于IP/MAC地址的访问控制 静态和动态黑名单功能 MAC和IP绑定功能 连接数限制 |
入侵防御 | 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS等常见的攻击防御 支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御 支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级) 支持攻击特征库的手动和自动升级(TFTP和HTTP) 支持对BT等P2P/IM识别和控制 |
防病毒 | 支持基于病毒特征、MD5值、云端进行检测和查杀 支持病毒库手动和自动升级、离线和在线升级 支持HTTP、FTP、SMTP、POP3等协议检测 支持的病毒类型:勒索、钓鱼、后门、蠕虫等查杀 支持病毒日志和报表 |
邮件/网页/应用层过滤 | 邮件过滤:包括SMTP邮件地址过滤、邮件标题过滤、邮件内容过滤、邮件附件过滤 网页过滤:包括HTTP URL过滤、HTTP内容过滤 应用层过滤:包括Java Blocking、ActiveX Blocking、SQL注入攻击防范 |
VPN | SSL VPN、IPsec VPN、GRE VPN、L2TP VPN |
NAT | 支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 支持外部网络主机访问内部服务器 支持内部地址直映射到接口公网IP地址 支持DNS映射功能 可配置支持地址转换的有效时间 支持多种NAT ALG,包括DNS、FTP、TFTP、PPTP、H.323、SIP、RSH、ILS、MSN、NBT等 |
DC | VXLAN, Openflow1.3 |
可靠性 | 双机热备 BFD Reth |
管理维护 | 支持基于命令行的配置管理 支持Web方式进行远程配置管理 支持Netconf API、Restful API进行设备管理 支持标准网管 SNMPv3,并且兼容SNMP v1和v2 |
在数据中心环境中,作为租户专用的综合业务网关,提供VPN隧道,为不同租户提供安全接入;同时,作为出口网关,防范各种来自外部的攻击,也可作为内网访问控制设备隔离不同安全等级的区域,实现对网络流量的安全防护;
图1-1 租户网关应用典型组网
精简网络基础设施,直接利用服务器,便于租户自行维护
业务弹性扩展,性能可动态调整,管理高效
支持分区域安全控制
支持NAT,支持多种ALG
通过报文检测并阻止非法入侵
支持多种攻击防范技术
支持黑名单过滤
支持通过TCP代理实现Syn Flood防攻击
支持流量日志及攻击告警日志
在企业分支中,vFW作为企业分支综合网关,部署在标准服务器中,负责接入Internet,为分支出口提供专业的安全防护;同时支持与企业数据中心建立VPN连接(包括IPsec VPN,L2TP,GRE),确保接入安全。
精简企业分支基础设置,易于管理;支持企业应用部署在同一硬件平台上,满足计算和网络设备融合的需求。
图1-2 企业分支综合网关典型组网
vFW-E-Cloud软件可以免费下载进行安装,需要购买并安装License后使用。
项目 | 描述 | 备注 |
LIS-vFW-E-Cloud-100-1Y | H3C SecPath vFW-E-Cloud 防火墙 一年订阅授权函(100Mbps) | vFW基础软件的授权,必配其一 |
LIS-vFW-E-Cloud-300-1Y | H3C SecPath vFW-E-Cloud防火墙 一年订阅授权函(300Mbps) | |
LIS-vFW-E-Cloud-500-1Y | H3C SecPath vFW-E-Cloud防火墙 一年订阅授权函(500Mbps) | |
LIS-vFW-E-Cloud-1000-1Y | H3C SecPath vFW-E-Cloud防火墙 一年订阅授权函(1Gbps) | |
LIS-vFW-E-Cloud-3000-1Y | H3C SecPath vFW-E-Cloud防火墙 一年订阅授权函(3Gbps) | |
LIS-vFW-E-Cloud-5000-1Y | H3C SecPath vFW-E-Cloud防火墙 一年订阅授权函(5Gbps) | |
LIS-vFW-E-Cloud-100-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(100Mbps) | |
LIS-vFW-E-Cloud-300-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(300Mbps) | |
LIS-vFW-E-Cloud-500-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(500Mbps) | |
LIS-vFW-E-Cloud-1000-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(1Gbps) | |
LIS-vFW-E-Cloud-3000-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(3Gbps) | |
LIS-vFW-E-Cloud-5000-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(5Gbps) | |
LIS-vFW-E-Cloud-UL-1Y | H3C SecPath vFW-E-Cloud防火墙 永久订阅产品一年特征库更新服务授权函 | 选配 当基础软件为永久授权时需要选择 |
“必配”表示所描述项目是设备正常运行的最小配置。
“选配”表示所描述项目是用户根据实际使用需要可选择配置。