H3C SecPath F100-C-A3-W F100-C-A5-W F100-C-A6-WL是面向分销市场的百兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,采用13寸机箱。三款设备均支持WLAN功能,F100-C-A6-WL还内置4G Modem,可以通过4G接入互联网。
在安全功能方面,作为一款NGFW产品,除支持安全控制、VPN、NAT、DOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPS、AV、应用控制、DLP、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、安全状态等多维度的策略控制功能。
采用了专用的64位多核高性能处理器和高速存储器,可以提供1G以下的百兆安全业务处理性能。
采用CPU+Switch架构,CPU进行安全业务处理,Switch实现多业务端口的扩展。
超丰富的特征库。针对最流行的病毒检测,支持僵木蠕的查杀,兼顾性能和识别率,可防范病毒数量超1亿。识别6000+符合国情的高热门度应用,支持安全区域管理,可基于接口、VLAN、IP、VM名字划分安全域。
丰富的攻击防范技术。同时支持IPv4和IPv6。除提供普通的状态防火墙安全隔离技术外,针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法,地址欺骗攻击如IP spoofing,扫描攻击如IP地址攻击、端口攻击,异常流量攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。
CPU内置高性能加密引擎,确保计算复杂的加解密操作不会对CPU处理其他防火墙业务造成影响,同时保证了VPN的处理性能。
支持GRE VPN、L2TP VPN, IPsec VPN、DVPN、SSL VPN及多种VPN技术的组合应用。
支持IPv6 IPsec vpn、IPv6 GRE VPN。
支持多种VPN技术的组合使用IPsec Over GRE,L2TP over IPsec等。
支持通过Web-GUI、CLI、SSH等多种手段管理设备。
基于角色的功能授权机制,可以实现到功能、命令行、菜单级的权限控制。
统一的SSM管理平台,可以实现设备的配置管理、性能监控、日志审计。
丰富的MIB节点便于外部设备进行性能监控。
开放接口:传统的网络操作系统为封闭的系统,有专用的系统概念和处理流程,缺乏开放性。而Comware V7使用通用的Linux操作系统,回归了主流的软件实现方式。提供开放的标准编程接口,可供用户利用Comware V7提供的基础功能,实现自己的专用功能,目前主要基于Netconf接口。
TCL脚本:Comware V7内嵌了TCL脚本执行功能,用户可以利用TCL脚本语言直接编写脚本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公开的编程接口等实现所需功能。
EAA:可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时,满足用户一些个性化需求。
支持防火墙、NAT、攻击、VPN业务的热备。
故障隔离:软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计,保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复,不影响硬件的运行
进程级GR:通过完善的进程级GR技术,保证异常进程可恢复,并且不影响系统业务。
型号 | F100-C-A3-W、F100-C-A5-W | SecPath F100-C-A6-WL | |
接口 | 1个配置口(CON) 1个外置USB host接口 8个千兆以太电口 | 1个配置口(CON) 1个外置USB host接口 8个千兆以太电口 | |
WLAN | 支持 802.11ac、802.11n无线接入 | 支持 802.11ac、802.11n无线接入 | |
SIM卡插槽 | 无 | 支持TD-LTE、FDD-LTE制式 | |
扩展槽 | 无 | 无 | |
硬盘扩展槽 | 无 | 无 | |
(单位:mm) | 330*230*43.6 | 330*230*43.6 | |
环境温度 | 工作: 0~45℃, 非工作:-30~70℃ | 工作: 0~45℃, 非工作:-30~70℃ | |
环境湿度 | 工作:10~80%,无冷凝 非工作:5~95%,无冷凝 | 工作:10~80%,无冷凝 非工作:5~95%,无冷凝 | |
能 | 说明 | ||
网络安全性 | 验证、授权和计帐(AAA)服务 | 本地认证 RADIUS认证,支持PAP和CHAP验证方式 HWTACACS认证 AD/LDAP认证 PKI证书认证 | |
防火墙 | 基本ACL和高级ACL 基于安全区域的访问控制 基于时间段的访问控制 ASPF状态防火墙 DOS/DDOS攻击防范:包括SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood,DNS Flood、HTTP Flood 畸形包攻击如:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、IP分片报文攻击、分片报文攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、ICMP重定向或不可达报文 扫描窥探攻击防范:端口扫描、地址扫描、IP路由记录选项报文、Tracert报文 IP Spoofing攻击防范 静态和动态黑名单功能 连接数限制 支持N:1 SCF集群技术 支持多台设备集群 集群设备统一管理 集群设备业务分布式处理 支持1:N虚拟防火墙技术 容器化的虚拟化技术,虚拟防火墙特性与物理墙特性一致 虚拟防火墙独立GUI/CLI管理 虚拟防火墙独立配置文件 虚拟防火墙独立日志主机及日志审计 虚拟防火墙资源分配:吞吐、并发、新建、策略 虚拟防火墙接口共享 N:1:M虚拟化:先将多台设备集群,然后再进行虚拟防火墙划分 | ||
NAT | 源地址NAT 支持根据策略指定转换后的地址池 支持PAT、支持NO-PAT 支持无限连接 支持IP持续性,保证同一源转换后的地址不变 支持Easy IP 目的地址NAT 支持地址+端口的一对一映射 支持多个公网地址转换为同一个私网地址 支持基于策略的目的NAT 支持静态NAT 支持一对一静态NAT 支持net-to-net静态NAT 支持NAT444 支持静态NAT444 支持动态NAT444 支持Fullcone,解决P2P穿越问题 支持C/S方式、P2P方式的Hairpin技术 支持端口块增量分配 支持DNS Mapping 支持多种ALG,包括FTP、DNS、TFTP、SQLNET、SIP、RTSP、H323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN | ||
DPI | 支持IPS 支持应用控制及应用带宽管理 支持telnet、FTP、SMTP/POP3、HTTP内容过滤 | ||
VPN | L2TP VPN | 支持LNS 支持Auto-Initiated LAC L2TP支持VRF | |
GRE VPN | GRE Over IPv4 GRE Over IPv6 GRE 支持VRF | ||
IPsec/IKE | 安全协议支持AH/ESP 支持传输和隧道模式 ESP支持DES、3DES和AES三种加密算法 支持MD5及SHA-1验证算法 支持通过manual或IKE方式建立SA 支持防重放攻击 支持IPsec策略模版 支持IPsec反向路由注入 支持IKEV1 支持IKE主模式及野蛮模式 支持通过预共享密钥和证书方式验证IKE Peer身份 支持DPD 支持IKE Keppalive 支持NAT穿越(野蛮模式和主模式) VRF aware:通过IKE peer对端信息确定所属的VPN 支持IPsec双机热备 支持IKEv2 | ||
网络协议 | 局域网协议 | Ethernet_II 802.1Q | |
二层协议 | STP RTSP MSTP | ||
IP服务 | ARP 静态ARP 动态ARP ARP代理 免费ARP DNS 本地静态域名 DNS Client DNS Proxy DDNS动态域名服务 DHCP DHCP中继 DHCP服务器 DHCP客户端 NTP NTP Client NTP Server |
防火墙部署在Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。防火墙设备可以通过4G方式提入互联网。用户PC和手机可以通过WLAN方式接入防火墙设备。
VPN应用
防火墙集成了丰富的VPN功能,包括IPsec VPN、SSL VPN、 L2TP VPN等,可以作为中小型企业的出口网关设备提供移动用户的SSL VPN接入,也可以作为广域网组网的分支或二三级中心设备提供site-to-site的IPsec VPN接入。
VPN应用组网图
(1) 主机选购一览表
模块 | 数量 | 备注 |
SecPath F100-C-A3-W主机 | 1 | 必配 |
SecPath F100-C-A5-W主机 | 1 | 必配 |
SecPath F100-C-A6-WL主机 | 1 | 必配 |
& 说明:
“必配”表示所描述项目是设备正常运行的最小配置。
“选配”表示所描述项目是用户根据实际使用需要可选择配置。