选择区域语言: EN CN HK

H3C SecPath F100-E-G 防火墙Datasheet

 

Copyright © 2012杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf

 



概述

随着网络应用的深化,网络安全变得越来越重要。在传统安全威胁的基础上,病毒、蠕虫及应用层攻击层出不穷,使得企业防不胜防,一旦服务器感染病毒或被攻破,损失将是灾难性的。同时由于缺乏有效的监管,内网用户的P2P下载,在线视频占用企业有限的出口带宽,对正常的出口上网业务造成影响。

H3C SecPath F100系列防火墙基于高性能多核处理器,除具备防火墙、VPN功能外,同时集成了IPSAV及带宽管理等深度安全防御功能,能够为用户提供完美一体化解决方案。

硬件形态上,SecPath F100系列为1U设备,具备全千兆接口,同时通过扩展插槽提供高度可扩展性。

F100系列包括如下5款产品:H3C SecPath F100-C-GH3C SecPath F100-S-GH3C SecPath F100-M-GF100-A-GF100-E-G

主要特点

H3C SecPath F100系列防火墙通过在一台设备集成多种功能,实现单台设备多重防护的效果。

2.1  完善的安全保障

2.1.1  防火墙安全业务

·              支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如FTPDNSSIPRTSP及其它基于TCP/UDP协议的应用层协议),并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过防火墙或者是被丢弃。

·              支持丰富的攻击防范技术。包括:LandSmurfFragglePing of DeathTear DropIP SpoofingIP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN FloodUDP FloodICMP FloodDNS Flood等常见DDoS攻击的检测防御。

·              支持多种模式部署,路由模式、透明模式及混合模式。

·              基于安全域的安全策略管理,逻辑更清晰,策略部署更方便。

·              静态和动态黑名单功能,有效防止恶意用户。

·              丰富的路由协议,组网更方便。支持静态路由、策略路由,以及RIPOSPF等动态路由协议。

2.1.2  深度安全防护业务

·              实时的病毒防护:采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。

·              高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRSTFull Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率。

·              全面、及时的攻击特征库。攻击特征库是FIRST检测引擎进行攻击检测的依据。H3C公司多年的网络技术与安全技术积累,造就了资深的攻击特征库团队和安全服务团队,建有攻防实验室,最新的部署于全球的蜜罐系统,紧跟网络技术与安全技术的发展前沿和网络攻防的最新动态,定期更新并发布攻击特征库升级包,源源不断地为强大的检测引擎注入高质量的“燃油”。

·              全面的流量管理:支持P2P流量控制功能。通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制。

2.1.3  NAT应用

NATNetwork Address Translation,网络地址转换)又称地址代理,将内部网络主机的IP地址和端口号替换为外部网络地址和端口号,有效控制内部网络和外部网络之间的访问,不仅节约了宝贵的IP地址资源,而且为内部主机提供了“隐私”保护。

目前,H3C SecPath F100系列提供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同的地址转换服务,通过内部服务器可以向外提供FTPTelnetWWW等服务,实现公网和私网混合地址解决方案。SecPath F100系列防火墙在提供一般NAT功能以外,还提供针对多种应用协议,如多媒体应用(VOIP、视频):H323RASSIPSCCPRTSPVPN应用PPTP,常用的应用FTPTFTPDNSNBTICMPHWCCDNSILSNAT ALG功能。

2.1.4  安全管理

·              提供各种日志功能,包括系统操作日志、策略过滤日志、实时攻击日志、黑名单日志、连接数日志、会话日志、NAT日志功能,能够有效的记录网络情况,从而为分析网络状况,防范网络攻击提供依据。

·              提供简单易用的Web GUI管理。

·              通过TelnetSSH等方式进行管理

·              支持TR069远程零配置管理。

·              通过IMC IVM组件实现IPSec VPN部署。

·              通过SNMP提供丰富的系统状态信息。

·              通过H3C SecCenter安全管理中心实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。

2.2  丰富的VPN接入能力

2.2.1  L2TP VPN

支持LACLNS功能。支持通过本地或AAA服务器来验证L2TP用户。结合IPSec VPN实现用户名、密码验证基础上的安全加密功能。通过L2TP多域功能实现多个企业共享一台LNS设备。

2.2.2  GRE VPN

普通IPV4IPV6报文的封装与解封装。IPSec VPN借助GRE实现路由协议报文、组播报文的传输,极大地扩展了IPSec VPN的应用范围。GRE P2MP功能实现大量分支的自动接入功能。

2.2.3  IPSec VPN

IPSec VPN能够实现中心到中心或分支到中心的安全接入功能。

·              支持IPSecAHESP安全协议。

·              允许通过手工或者IKE方式来生成密钥。

·              支持重放、分片等攻击防范功能。

·              通过DPD有效检测对端存活状态,从而避免系统资源的浪费。

·              支持丰富的NAT穿越标准,实现和友商设备的无缝对接。

·              针对大量动态分支接入的情况,创造性地引入策略模板功能,极大简化部署复杂度。

2.2.4  SSL VPN

H3C公司紧密跟踪客户需求,结合SSL技术的特点,采用先进的软硬件平台,将SSL VPN功能无缝融合到SecPath F100系列产品中。其主要特点是:

·              系统部署容易。对WebEmail等应用,不需要安装额外的客户端软件。在需要支持全面的网络应用时,可以通过下载客户端来解决,但客户端并不需要进行配置。从而为用户提供了一种灵活方便的安全接入方式,极大地提高了用户的工作效率,同时也大大降低了部署VPN的复杂度。

·              高性能的SSL加速处理。SecPath F100系列产品采用CPU加密引擎,大幅提高了SSL连接的建立速度和吞吐量,很好地解决了SSL在用户接入性能上的瓶颈问题。

2.3  电信级高可靠性

·              采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户,经历了多年的市场考验。

·              支持双机状态热备功能,支持Active/ActiveActive/Passive两种工作模式,实现负载分担和业务备份

·              36年的平均无故障时间(MTBF

产品规格

3.1  产品实物图

图1 F100-C-G实物图

 

图2 F100-S-G实物图

 

图3 F100-M-G实物图

 

图4 F100-A-G实物图

 

图5 F100-E-G实物图

 

3.2  产品属性

表1 H3C SecPath F100-C-G_F100-S-G_F100-M-G_F100-A-G_F100-E-G产品属性

属性

F100-C-G

F100-S-G

F100-M-G

F100-A-G

F100-E-G

内存

512M

512M

1G

1G

1G

Flash

32M

32M

32M

32M

32M

CF

256M

256M

256M

256M

256M

额定输入电压

100 V AC240V AC50/60Hz

100 V AC240V AC50/60Hz

100 V AC240V AC50/60Hz

100 V AC240V AC50/60Hz

100 V AC240V AC50/60Hz

最大输入电流

1.5A

1.5A

1.6A

1.6A

1.6A

最大电源功率

54W

54W

100W

100W

100W

功耗范围

20W27W

20W27W

30W46W

30W46W

30W46W

单板尺寸(宽×高×深)

300mm×260mm×43.6mm

300mm×260mm×43.6mm

442mm×400mm×44.2mm

442mm×400mm×44.2mm

442mm×400mm×44.2mm

单板净重

2.22kg

2.22kg

5.5kg

5.5kg

5.9kg

接口连接器类型

RJ45

RJ45

RJ45

RJ45

RJ45

接口数量

5

5

6

6

6

接口传输速率

1000Mbps

1000Mbps

1000Mbps

1000Mbps

  1000Mbps

可选模块及线缆

2GE接口模块

2GE接口模块

NSQ1GT2UA0

NSQ1GP4U0

NSQ1GT2UA0

NSQ1GP4U0

NSQ1GT2UA0

NSQ1GP4U0

 

3.3  指示灯

说明

F100-C-GF100-S-GF100-M-GF100-A-GF100-E-G的指示灯表示的含义相同,本节以F100-E-G为例进行介绍。

 

图6 F100-E-G的指示灯

 

表2 指示灯说明

指示灯

状态

说明

ACT(黄色)

常灭

没有数据收发

闪烁

有数据收发

LINK(绿色)

常灭

链路没有连通

常亮

链路已经连通

常灭

设备未上电或者故障

绿色慢闪(1Hz)

设备正常运行

绿色快闪(8Hz)

正在加载软件或未开始工作

常灭

槽位无接口模块或者接口模块出现异常

绿色常亮

槽位有接口模块并运行正常

常灭

槽位无接口模块或者接口模块出现异常

绿色常亮

槽位有接口模块并运行正常

常灭

电源模块未供电或者故障

绿色常亮

电源模块供电正常

常灭

没有插入CF卡或者CF卡不可识别

绿色常亮

CF卡正常运行

绿色闪烁

系统正在访问CF卡,不可插拔

 

运行环境

表3 运行环境

项目

描述

工作环境温度

0℃~45

存储温度

-40℃~70

工作环境湿度

10%95%(非凝露)

存储湿度

5%95%(非凝露)

工作海拔高度

-60m3km

存储海拔高度

-60m4.5km

 

安全标准

- UL 60950-1:2003

- CAN/CSA C22.2 No 60950-1-03

- IEC 60950-1:2001

- EN 60950-1/A11:2004

- AS/NZS 60950

- EN 60825-1

- EN 60825-2

- FDA 21 CFR Subchapter J

EMC标准

-EN 550222006+ A1:2007 ;Class A

- EN 550241998+ A1:2000 + A2:2003

- ETSI EN 300 386V1.5.1:2010

- EN 61000-3-2:2009

- EN 61000-3-3:2008

- FCC Part15:2009 ;Class A

- ICES-003:2004 ;Class A

- VCCI V-3:2010 ;Class A