- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
H3C SecPath vFW-E-Cloud虚拟防火墙(简称vFW)是一款功能强大的NFV软件化安全产品,基于专业的H3C Comware平台开发。vFW产品支持多种虚拟化平台,能够监控和保护虚拟环境的安全,以避免虚拟化环境与外部网络遭受内外部威胁的侵害,从而为虚拟化数据中心和云计算网络带来全面的安全防护,帮助企业构建完善的数据中心和云计算网络安全解决方案。
在安全功能方面,vFW为用户提供了全面的安全防范体系和远程安全接入能力,支持智能安全策略,可以基于用户、应用、地区、域名等各种维度进行访问控制,能够有效的保证网络的安全;支持一体化深度内容检测引擎,本地强大特征库+云端联动,可实现对入侵、病毒等行为检测和防御;提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如SSL VPN、IPsec VPN、L2TP VPN、GRE VPN等。
H3C SecPath vFW-E-Cloud运行在标准服务器虚拟机中,根据不同License,可以提供相应的性能和功能,满足用户的网络安全需求,系统结构如下图。
H3C SecPath vFW产品有别于H3C公司以往的各系列物理防火墙,是一款运行在标准服务器虚拟机上的纯软件防火墙产品。它具有以下特点:
vFW基于业界领先的Comware平台开发,支持:
丰富的网络和安全功能,能够满足企业分支及公有云多租户环境中的网络安全需求。
控制平面和数据平面分离,专门为虚拟环境优化的多核数据转发,更能充分利用计算资源。
模块化的体系架构、开放的网络平台,允许网络按需运行和控制,更容易实现NFV/SDN落地。
与物理网络设备采用统一的软件平台,提供相同的功能特性和一致的管理界面。
服务链技术,实现NFV资源池的动态创建和自动化部署。实现租户业务的灵活编排和修改,而不会影响物理拓扑和其他租户。
集群技术,它的核心思想是将多台设备以星型拓扑连接在一起,进行必要的配置后,虚拟化成一台设备,实现多台设备的协同工作、统一管理和不间断维护。
双机热备技术,实现安全业务配置和数据自动备份,支持ISSU业务不中断升级。
NAT64,NAT444,DS-Lite技术,实现IPv4无缝过度到IPv6
License Server技术,在License Server上集中安装,操作和管理统一,便于实现VNF自动化批量部署。授权和设备解耦,统一授权,能够池化复用,降低授权费用。安全性高,防盗版能力强,能有效保护用户合法权益。
vFW提供了超轻量级的部署体验:
适合在公有云中部署,实现零运输、零布线,加快业务的部署。
支持VMware ESXi、Linux KVM、H3C CAS等多个主流虚拟平台,充分发挥虚拟化的优势,实现快速部署、批量部署、镜像备份、快速恢复,并且能够灵活迁移。
提供ISO、OVA、IPE、QCOW2等多种发布格式,适应各种环境下的部署。
支持虚拟机管理平台、网管平台和本地等多种工具进行灵活部署。
支持H3C VNF Manager对vFW的动态创建和删除。
vFW提供了超强的业务弹性:
支持VMware ESXi、Linux KVM、H3C CAS等多个主流虚拟平台,无缝适应用户的部署环境。
允许企业在虚拟化的环境中搭建企业网络,可以按需动态地调配和管理网络资源及服务,比如,可以根据需要灵活调整网口数量和类型,而无需新购买硬件板卡。
通过动态调整虚拟机资源和License,即可实现软件功能的平滑升级、设备性能的按需提升,随时满足业务增长需求。
vFW提供了丰富的防火墙访问控制、攻击检测与防护功能:
支持智能安全策略:不仅可以实现基于IP/MAC地址、用户、应用、地区、域名等多维度的访问控制,还可以实现安全策略冗余分析、策略匹配优化建议、动态检测内网业务并自动生成安全策略。
支持丰富的攻击防范技术。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针SYN Flood、UDP Flood、ICMP Flood等常见DDoS攻击的检测防御。
入侵防御(IPS):支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。
防病毒(AV):高性能病毒引擎,可防护600万种以上的病毒和木马,病毒特征库每日更新。
Web安全防护:不局限于常规的IPS/AV防护,针对内网服务器,提供细致化的web应用防护,对于服务器最为头疼的CC攻击,异常外联,SQL注入、HTTP慢速攻击、跨站脚本等常见攻击行为,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站进行有效防护。
未知威胁检测:单靠特征分析已不足以应对复杂的网络环境,面对典型的APT(Advanced Persistent Threat,高级持续性威胁)攻击沙箱技术是防御APT攻击最有效的方法之一,它用于构造隔离的威胁检测环境。vFW通过将网络流量送入沙箱进行隔离分析,由沙箱给出是否存在威胁的结论。检测到某流量为恶意流量,设备将对流量实施阻断等处理。
vFW提供了完善的NAT功能:
提供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同的地址转换服务,通过内部服务器可以向外提供FTP、Telnet和WWW等服务,实现公网和私网混合地址解决方案。
除提供一般NAT功能以外,针对多种应用协议还提供了NAT ALG功能,如多媒体应用(VOIP、视频):H323、RAS、SIP、SCCP、RTSP,VPN应用PPTP,常用的应用FTP、TFTP、DNS、NBT、ICMP、HWCC、DNS、ILS等。
vFW提供了丰富的安全管理功能:
提供各种日志功能,包括攻击实时日志、黑名单日志、会话日志、NAT日志功能,能够有效的记录网络情况,从而为分析网络状况,防范网络攻击提供依据。
提供应用分析中心和报表功能,主要包括基于应用的报表、基于网流的分析报表等。支持以PDF、HTML、WORD和TXT等多种格式输出。
通过H3C iMC实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。
vFW提供了丰富的安全认证功能:
支持用户身份管理,不同身份的用户拥有不同的命令执行权限,可以防止低权限用户非法获取或修改配置信息等。
视图分级保护。由于不同身份的用户拥有的配置权限不同,级别低的用户不能进入更高级的视图。
支持基于RADIUS(Remote Authentication Dial-In User Service)的AAA(Authentication,Authorization,Accounting)服务,可以与RADIUS服务器配合实施对接入用户的验证、授权和计费安全服务,防止非法访问。
支持基于PKI/X.509的证书认证功能。
路由协议OSPF、RIP2都具有MD5认证功能,确保所交换路由信息的可靠性。
vFW支持多种VPN业务,如SSL VPN、L2TP VPN、IPsec VPN、GRE VPN等,可以针对客户需求通过拨号、租用线及VLAN或隧道等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN。结合防火墙、AAA、NAT、及多种QoS等技术,防火墙可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。
SSL VPN:一体化集成SSL VPN(IPV4&IPV6)特性,满足移动办公、员工出差的安全访问需求,不仅可结合用户名+密码、USB-Key、短信进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入。
IPSec VPN:IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
L2TP VPN:L2TP为目前使用最广泛的VPDN (Virtual Private Dial Network)隧道协议。L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,支持L2TP多域。
GRE VPN:GRE是第三层隧道协议,在协议层之间采用了一种被称之为Tunnel(隧道)的技术,在一个Tunnel的两端分别对数据报进行封装及解封装。
属性 | 说明 |
软件包 |
|
虚拟平台 |
|
虚拟机资源 |
|
以太网 |
|
IP路由 |
|
IP业务 |
|
IPv6 |
|
AAA服务 |
|
访问控制 |
|
入侵防御 |
|
防病毒 |
|
邮件/网页/应用层过滤 |
|
VPN | SSL VPN、IPsec VPN、GRE VPN、L2TP VPN |
NAT |
|
DC |
|
可靠性 |
|
管理维护 |
|
在数据中心环境中,作为租户专用的综合业务网关,提供VPN隧道,为不同租户提供安全接入;同时,作为出口网关,防范各种来自外部的攻击,也可作为内网访问控制设备隔离不同安全等级的区域,实现对网络流量的安全防护;
图1-1 租户网关应用典型组网
精简网络基础设施,直接利用服务器,便于租户自行维护
业务弹性扩展,性能可动态调整,管理高效
支持分区域安全控制
支持NAT,支持多种ALG
通过报文检测并阻止非法入侵
支持多种攻击防范技术
支持黑名单过滤
支持通过TCP代理实现Syn Flood防攻击
支持流量日志及攻击告警日志
在企业分支中,vFW作为企业分支综合网关,部署在标准服务器中,负责接入Internet,为分支出口提供专业的安全防护;同时支持与企业数据中心建立VPN连接(包括IPsec VPN,L2TP,GRE),确保接入安全。
精简企业分支基础设置,易于管理;支持企业应用部署在同一硬件平台上,满足计算和网络设备融合的需求。
图1-2 企业分支综合网关典型组网
vFW-E-Cloud软件可以免费下载进行安装,需要购买并安装License后使用。
项目 | 描述 | 备注 |
LIS-vFW-E-Cloud-100-1Y | H3C SecPath vFW-E-Cloud 防火墙 一年订阅授权函(100Mbps) | vFW基础软件的授权,必配其一 |
LIS-vFW-E-Cloud-300-1Y | H3C SecPath vFW-E-Cloud防火墙 一年订阅授权函(300Mbps) | |
LIS-vFW-E-Cloud-500-1Y | H3C SecPath vFW-E-Cloud防火墙 一年订阅授权函(500Mbps) | |
LIS-vFW-E-Cloud-1000-1Y | H3C SecPath vFW-E-Cloud防火墙 一年订阅授权函(1Gbps) | |
LIS-vFW-E-Cloud-3000-1Y | H3C SecPath vFW-E-Cloud防火墙 一年订阅授权函(3Gbps) | |
LIS-vFW-E-Cloud-5000-1Y | H3C SecPath vFW-E-Cloud防火墙 一年订阅授权函(5Gbps) | |
LIS-vFW-E-Cloud-100-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(100Mbps) | |
LIS-vFW-E-Cloud-300-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(300Mbps) | |
LIS-vFW-E-Cloud-500-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(500Mbps) | |
LIS-vFW-E-Cloud-1000-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(1Gbps) | |
LIS-vFW-E-Cloud-3000-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(3Gbps) | |
LIS-vFW-E-Cloud-5000-UL | H3C SecPath vFW-E-Cloud防火墙 永久订阅授权函(5Gbps) | |
LIS-vFW-E-Cloud-UL-1Y | H3C SecPath vFW-E-Cloud防火墙 永久订阅产品一年特征库更新服务授权函 | 选配 当基础软件为永久授权时需要选择 |
“必配”表示所描述项目是设备正常运行的最小配置。
“选配”表示所描述项目是用户根据实际使用需要可选择配置。
H3C SecPath vFW-E-Cloud
文档中心
软件下载
售前咨询
售后咨询
人工在线咨询
