随着网络技术的不断普及与发展,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击,同时,各种网络病毒的泛滥,也加剧了网络被攻击的危险。
H3C SecPath F5040及F5020是面向运营商及行业市场的高性能超万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为2U的独立盒式防火墙。提供12个千兆以太电口+12千兆以太光口+4个万兆以太口,并提供一个扩展槽位用于进行端口及业务扩充。双电源设计,支持交流或直流机型。
在安全功能方面,SecPath F5040及F5020为用户提供了全面的安全防范体系和远程安全接入能力,支持DoS/DDoS攻击防御、URL过滤、NAT、ALG、虚拟防火墙、ACL、安全域策略,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN等。
· SecPath F5040/F5020采用了专用的64位多核高性能处理器和高速存储器,可以提供超万兆以上的安全业务处理性能。
· SecPath F5040/F5020标配支持多达24个千兆以太口及4个万兆以太口,同时可以通过选配接口板将整机接口数量扩展到48个千兆以太口及10个万兆以太口。
· 支持验证、授权和计帐(AAA)服务。包括:基于RADIUS/HWTACACS+、CHAP、PAP等的认证,支持域认证
· 支持安全区域管理。可基于接口、VLAN划分安全区域
· 支持虚拟防火墙。可在一台防火墙上划分多个虚拟防火墙,每个虚拟防火墙有自己的策略,并且可以分别进行管理
· 支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议),并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过防火墙或者是被丢弃
· 支持IPv4/v6双协议栈及IPv6多种协议功能,包括:IPv6各种路由组播技术、IPv6 ACL、NAT-PT及IPv6 over IPv4、IPv4 over IPv6等各种IPv6隧道技术,支持DS-LITE、NAT64等IPV6过渡技术
· 支持URL过滤,可对指定的URL进行屏蔽
· 支持深度内容过滤功能,包括SMTP/POP3协议,FTP协议、Telnet协议
· 支持丰富的攻击防范功能。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描等攻击防范。还包括针对CC、DNS Query Flood、SYN Flood、UPD Flood、ICMP Flood、分片Flood等常见DDoS攻击的检测防御
· 支持ICMP重定向或不可达报文控制功能
· 支持Tracert报文控制功能
· 支持带路由记录选项IP报文控制功能
· 支持静态和动态黑名单
· 支持NAT和NAT多实例
· 支持丰富的ALG功能,包括FTP, HTTP, DNS, SMTP, RTSP, SIP, H.323, NBT,PPTP,TFTP and SQLNET等
· 支持VPN功能。包括:支持IPSec、支持IKE和PKI、支持GRE隧道、支持L2TP VPN。支持硬件VPN处理加速
· 支持丰富的路由协议。支持静态路由、策略路由,以及BGP、RIP、OSPF等动态路由协议
· 支持安全日志
· 支持流量监控统计、管理
· 支持全部WEB\Telnet\SSH等多种管理方式
· 支持双机热备,保证业务的高可靠性
图1 F5040 实物图
图2 F5020实物图
表1 H3C SecPath F5040/F5020防火墙属性
属性 | 描述 |
CF卡 | 标配256MB CF卡 |
SDRAM | F5040:32GB(4*DIMM)/F5020:16GB(2*DIMM) |
外形尺寸(W ×D×H) | 440mm×443.1mm× 88.1mm |
最大功耗 | 260W |
接口 | 1个配置口(CON) 1个外置USB host接口(硬件预留,软件不支持) 12个千兆以太电口 12个千兆以太光口 4个万兆以太口 |
扩展槽位 | 1个,支持NSQ1G24XS60接口板 |
表2 主控板指示灯说明
指示灯 | 面板丝印 | 状态 | 说明 |
主机状态指示灯 | 常灭 | 设备未上电或者故障 | |
绿色慢闪 | 设备正常工作 | ||
绿色快闪 | 正在加载软件 | ||
风扇状态指示灯 | 常灭 | 无电源输入或风扇不在位 | |
绿色常亮 | 风扇正常运行 | ||
接口板指示灯 | 常灭 | 接口板不在位或出现故障 | |
绿色常亮 | 接口板正常 | ||
电源模块指示灯 | 常灭 | 电源模块不在位或出现故障 | |
绿色常亮 | 电源模块供电正常 | ||
以太网电接口指示灯 | 10/100/1000BASE-T | 常灭 | 对应接口处于未连接状态 |
绿色常亮 | 接口已经建立连接 | ||
绿色闪烁 | 接口正在收发数据 | ||
以太网光接口指示灯 | 1000BASE-X | 常灭 | 光纤链路没有建立连接 |
绿色常亮 | 光纤链路已经建立1000Mbps的连接 | ||
绿色闪烁 | 光纤链路正在以1000Mbps的速率收发数据 | ||
10GBASE-R | 常灭 | 光纤链路没有建立连接 | |
绿色常亮 | 光纤链路已建立10Gbps的连接 | ||
绿色闪烁 | 光纤链路正在以10Gbps的速率收发数据 |
表3 业务板指示灯说明
指示灯 | 面板丝印 | 状态 | 说明 |
以太网电接口指示灯 | 10/100/1000BASE-T | 常灭 | 对应接口处于未连接状态 |
绿色常亮 | 接口已经建立连接 | ||
绿色闪烁 | 接口正在收发数据 | ||
以太网光接口指示灯 | 1000BASE-X | 常灭 | 光纤链路没有建立连接 |
绿色常亮 | 光纤链路已经建立1000Mbps的连接 | ||
绿色闪烁 | 光纤链路正在以1000Mbps的速率收发数据 | ||
10GBASE-R | 常灭 | 光纤链路没有建立连接 | |
绿色常亮 | 光纤链路已建立10Gbps的连接 | ||
绿色闪烁 | 光纤链路正在以10Gbps的速率收发数据 |
图3 交流电源指示灯
表4 交流电源指示灯
指示灯 | 状态 | 说明 | |
(绿色) | AC OK | 常灭 | 交流电源模块无输入或输入出现故障 |
常亮 | 交流电源模块输入正常 | ||
(绿色) | DC OK | 常灭 | 交流电源模块无输出或输出出现故障 |
常亮 | 交流电源模块输出正常 |
图4 直流电源指示灯
表5 直流电源指示灯
指示灯 | 状态 | 说明 | |
(绿色) | Input | 常灭 | 直流电源模块无输入或输入出现故障 |
常亮 | 直流电源模块输入正常 | ||
(绿色) | Output | 常灭 | 直流电源模块无输出或输出出现故障 |
常亮 | 直流电源模块输出正常 |
表6 运行环境
项目 | 描述 |
工作温度 | 0℃~40℃ |
工作环境湿度 | 工作:10~95%,无冷凝 非工作:5~95%,无冷凝 |
- UL 60950-1:2003
- CAN/CSA C22.2 No 60950-1-03
- IEC 60950-1:2001
- EN 60950-1/A11:2004
- AS/NZS 60950
- EN 60825-1
- EN 60825-2
- FDA 21 CFR Subchapter J
-EN 55022:2006+ A1:2007 ;Class A
- EN 55024:1998+ A1:2000 + A2:2003
- ETSI EN 300 386V1.5.1:2010
- EN 61000-3-2:2009
- EN 61000-3-3:2008
- FCC Part15:2009 ;Class A
- ICES-003:2004 ;Class A
- VCCI V-3:2010 ;Class A