H3C SecBlade NGFW是新华三有限公司(以下简称H3C公司)结合当前安全与网络深入融合的技术趋势,为满足超万兆时代的以太网带宽需求而推出的新一代SecBlade多业务防火墙模块。随着网络应用的不断深化,网络安全变得越来越重要。将网络安全融入到网络应用和网络设备中,是目前和未来网络发展的必然趋势。
H3C SecBlade NGFW是一款超万兆高性能防火墙模块,可应用于H3C S5130、S5560、S5560X、S5590、S5800、S6520X、S6800、S6900、S7500E、S7500X、S7500X-G、S7600、S7600-X、S10500、S10500X、S12500-S、S12500-X、S12500G-AF、S12500X-AF、S12500F-AF交换机以及SR8800-X、CR16000-F路由器,为用户提供融合多业务的一体化网络安全解决方案。
H3C SecBlade NGFW支持多维一体化安全防护,可从用户、应用、时间、地区、五元组等多个维度,对流量展开IPS、AV、DLP等一体化安全访问控制,能够有效的保证网络的安全;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等,与智能终端对接实现移动办公;提供丰富的路由能力,支持RIP、OSPF、BGP、路由策略及基于应用与URL的策略路由;支持IPv4/IPv6双协议栈同时,可实现针对IPv6的状态防护和攻击防范。
H3C SecBlade NGFW模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
NGFW防火墙模块采用了专用的64位多核高性能处理器和高速存储器。
独立业务处理资源,在高速处理安全业务的同时,以太网交换机/路由器的原有业务处理不会受到任何影响。
NGFW防火墙模块基于H3C公司专业的OAA(Open Application Architecture,开放应用架构)开发,通过内部高速以太接口与路由交换主体相连,保证了与业务插卡间通畅的数据转发。
采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户,经历了多年的市场考验。
支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份。
支持跨设备的双机热备。
支持丰富的攻击防范功能。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。
最新支持SOP 1:N完全虚拟化。可在H3C SecBlade NGFW设备上划分多个逻辑的虚拟防火墙,基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致,并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。
支持安全区域管理。可基于接口、VLAN划分安全区域。
支持包过滤。通过在安全区域间使用标准或扩展访问控制规则,借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外,还可以按照时间段进行过滤。
支持基于应用、用户的一体化多维安全访问控制,将应用与用户作为安全策略的基本元素,并结合深度防御实现下一代的访问控制功能。
支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议),并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过防火墙或者是被丢弃。
支持验证、授权和计帐(AAA)服务。包括:基于RADIUS/HWTACACS+、CHAP、PAP等的认证。
支持静态和动态黑名单。
支持NAT和NAT多实例。
支持VPN功能。包括:支持L2TP、IPSec/IKE、GRE、SSL等,并实现与智能终端对接。
支持丰富的路由协议。支持静态路由、策略路由,以及RIP、OSPF等动态路由协议。
支持安全日志。
支持流量监控统计、管理。
与基础安全防护高度集成的一体化安全业务处理平台。
全面的应用层流量识别与管理:通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制。
高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率。
实时的病毒防护:采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。
迅捷的URL分类过滤:提供基础的URL黑白名单过滤同时,可以配置URL分类过滤服务器在线查询。
全面、及时的安全特征库。通过多年经营与积累,H3C公司拥有业界资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络的安全领域的最新动态,从而保证特征库的及时准确更新。
支持IPv6状态防火墙,真正意义上实现IPv6条件下的防火墙功能,同时完成IPv6的攻击防范。
支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能。
支持IPv6各种过渡技术,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道、NAT444、DS-Lite等。
支持IPv6 ACL、Radius等安全技术。
集成链路负载均衡特性,通过链路状态检测、链路繁忙保护等技术,有效实现企业互联网出口的多链路自动均衡和自动切换。
一体化集成SSL VPN特性,满足移动办公、员工出差的安全访问需求,不仅可结合USB-Key、短信进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入。
DLP基础功能支持,支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤;支持网络传输协议的文件过滤;支持应用层过滤,提供Java/ActiveX Blocking和SQL注入攻击防范。
支持智能安全策略:实现策略冗余检测、策略匹配优化建议、动态检测内网业务动态生成安全策略并推荐。
支持标准网管SNMPv3,并且兼容SNMP v1和v2。
提供图形化界面,简单易用的Web管理。
可通过命令行界面进行设备管理与防火墙功能配置,满足专业管理和大批量配置需求。
通过H3C SSM安全管理中心实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络的安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。
基于先进的深度挖掘及分析技术,采用主动收集、被动接收等方式,为用户提供集中化的日志管理功能,并对不同类型格式(Syslog、二进制流日志等)的日志进行归一化处理。同时,采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统,避免重要安全事件的丢失。
提供丰富的报表,主要包括基于应用的报表、基于网流的分析报表等,支持以PDF、HTML、WORD和TXT等多种格式输出。
可通过Web界面进行报告定制,定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。
属性 | H3C SecBlade NGFW |
应用于 | H3C S5130、S5560、S5560X、S5590、S5800、S6520X、S6800、S6900、S7500E、S7500X、S7500X-G、S7600、S7600-X、S10500、S10500X、S12500-S、S12500-X、S12500G-AF、S12500X-AF、S12500F-AF交换机以及SR8800-X、CR16000-F路由器 |
功耗范围 | 109~157W |
SDRAM配置 | 至少8G |
CF卡 | 标配4G |
接口 | 1个配置口(CON) 2个千兆光电Combo |
环境温度 | 工作:0~45℃ 非工作:-40~70℃ |
热插拔 | 支持 |
运行模式 | 路由模式、透明模式、混杂模式 |
AAA服务 | Portal认证、RADIUS认证、HWTACACS认证、PKI /CA(X.509格式)认证、域认证、CHAP验证、PAP验证 |
防火墙 | SOP虚拟防火墙技术,支持CPU、内存、存储等硬件资源划分的完全虚拟化 安全区域划分 可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多种恶意攻击 基础和扩展的访问控制列表 基于时间段的访问控制列表 基于用户、应用的访问控制列表 ASPF应用层报文过滤 静态和动态黑名单功能 MAC和IP绑定功能 基于MAC的访问控制列表 支持802.1q VLAN 透传 |
病毒防护 | 基于病毒特征进行检测 支持病毒库手动和自动升级 报文流处理模式 支持HTTP、FTP、SMTP、POP3协议 支持的病毒类型:Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等 支持病毒日志和报表 |
深度入侵防御 | 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS等常见的攻击防御 支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御 支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级) 支持攻击特征库的手动和自动升级(TFTP和HTTP) 支持对BT等P2P/IM识别和控制 |
邮件/网页/应用层过滤 | 邮件过滤:包括SMTP邮件地址过滤、邮件标题过滤、邮件内容过滤、邮件附件过滤 网页过滤:包括HTTP URL过滤、HTTP内容过滤 应用层过滤:包括Java Blocking、ActiveX Blocking、SQL注入攻击防范 |
NAT | 支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 支持外部网络主机访问内部服务器 支持内部地址直接映射到接口公网IP地址 支持DNS映射功能 可配置支持地址转换的有效时间 支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 |
VPN | L2TP VPN、IPSec VPN、GRE VPN、SSL VPN |
IPv6 | 基于IPv6的状态防火墙及攻击防范 IPv6协议:IPv6转发、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6 Client、DHCPv6 Relay等 IPv6路由:RIPng、OSPFv3、BGP4+、静态路由、策略路由、PIM-SM、PIM-DM等 IPv6安全:NAT-PT、IPv6 Tunnel、IPv6 Packet Filter、Radius、IPv6域间策略、IPv6连接数限制等 |
高可靠性 | 支持双机状态热备(Active/Active和Active/Backup两种工作模式) 支持双机配置同步 |
易维护性 | 支持基于命令行的配置管理 支持Web方式进行远程配置管理 支持H3C SSM安全管理中心进行设备管理 支持标准网管 SNMPv3,并且兼容SNMP v1和v2 支持智能安全策略 |
环保与认证 | 支持欧洲严格的RoHS环保认证 |
H3C SecBlade NGFW防火墙模块部署于网络核心/汇聚交换机上,对各网络区域进行高效的安全隔离与控制,实现网络和安全的一体化融合。H3C SecBlade NGFW模块可结合S75E/S10500系列交换机设备作为边界防护设备,防范各种外部攻击;也可作为内网访问控制设备,用以隔离不同安全等级的区域。
H3C SecBlade NGFW典型园区网应用示意图
H3C SecBlade NGFW模块提供强大的VPN功能,帮助企业分支用户安全的访问公司总部资源,也可以满足分支机构访问公司本部资源的需求。
H3C SecBlade NGFW VPN组网应用示意图
H3C SecBlade NGFW模块不仅能够提供高性能的防火墙功能,同时支持虚拟防火墙功能,一块H3C SecBlade NGFW模块可虚拟成多台逻辑上的防火墙,每个虚拟防火墙有自己的策略且可进行独立管理,充分满足云计算数据中心的多租户需求。
H3C SecBlade NGFW 云计算数据中心组网应用示意图
描述 | 数量范围 | 备注 |
防火墙业务模块-H3C SecBlade NGFW模块 | 1 | 必配 |
License授权函-H3C IPS特征库升级授权-1年 | 1 | 选配 |
License授权函-H3C IPS特征库升级授权-3年 | 1 | 选配 |
License授权函-H3C IPS防病毒安全授权-1年 | 1 | 选配 |
License授权函-H3C IPS防病毒安全授权-3年 | 1 | 选配 |
License授权函-H3C应用识别特征库升级授权-1年 | 1 | 选配 |
License授权函-H3C应用识别特征库升级授权-3年 | 1 | 选配 |
License授权函-H3C LB授权函 | 1 | 选配 |
License授权函-H3C SSL VPN 200个用户授权 | 1 | 选配 |
License授权函-H3C SSL VPN 500个用户授权 | 1 | 选配 |
License授权函-H3C SSL VPN 1000个用户授权 | 1 | 选配 |
License授权函-H3C SSL VPN 3000个用户授权 | 1 | 选配 |
License授权函-H3C URL特征库升级授权-1年 | 1 | 选配 |
License授权函-H3C URL特征库升级授权-3年 | 1 | 选配 |
License授权函-H3C WAF特征库升级授权-1年 | 1 | 选配 |
License授权函-H3C WAF特征库升级授权-3年 | 1 | 选配 |
License授权函-H3C安全威胁情报升级授权-1年 | 1 | 选配 |
License授权函-H3C安全威胁情报升级授权-3年 | 1 | 选配 |
“必配”表示所描述项目是设备正常运行的最小配置。
“选配”表示所描述项目是用户根据实际使用需要可选择配置。
新华三技术有限公司 杭州总部 杭州市滨江区长河路466号 邮编:310052 电话:0571-86760000 传真:0571-86760001 版本:20220930-V1.2 | 北京总部 北京市朝阳区广顺南大街8号院利星行中心1号楼 邮编:100102 电话:010-63108666 传真:010-63108777 | http://www.h3c.com 客户服务热线 400-810-0504 | |
Copyright ©2022 新华三技术有限公司 保留一切权利 免责声明:虽然H3C试图在本资料中提供准确的信息,但不保证资料的内容不含有技术性误差或印刷性错误,为此H3C对本资料中的不准确不承担任何责任。 H3C保留在没有通知或提示的情况下对本资料的内容进行修改的权利。 |