H3C SecPath vFW虚拟防火墙-新华三集团-H3C

产品特点

H3C SecPath vFW产品有别于H3C公司以往的各系列物理防火墙，是一款运行在标准服务器虚拟机上的纯软件防火墙产品。它具有以下特点：

专业网络的安全平台

vFW基于业界专业的Comware平台开发，支持：

丰富的网络和安全功能，能够满足企业分支及公有云多租户环境中的网络的安全需求。

控制平面和数据平面分离，专门为虚拟环境优化的多核数据转发，更能充分利用计算资源。

模块化的体系架构、开放的网络平台，允许网络按需运行和控制，更容易实现NFV/SDN落地。

与物理网络设备采用统一的软件平台，提供相同的功能特性和一致的管理界面。

服务链技术，实现NFV资源池的动态创建和自动化部署。实现租户业务的灵活编排和修改，而不会影响物理拓扑和其他租户。

集群技术，它的核心思想是将多台设备以星型拓扑连接在一起，进行必要的配置后，虚拟化成一台设备，实现多台设备的协同工作、统一管理和不间断维护。

双机热备技术，实现安全业务配置和数据自动备份，支持ISSU业务不中断升级。

NAT64，NAT444，DS-Lite技术，实现IPv4无缝过度到IPv6

License Server技术，在License Server上集中安装，操作和管理统一，便于实现VNF自动化批量部署。授权和设备解耦，统一授权，能够池化复用，降低授权费用。安全性高，防盗版能力强，能有效保护用户合法权益。

超轻量级部署

vFW提供了超轻量级的部署体验：

适合在公有云中部署，实现零运输、零布线，加快业务的部署。

支持VMware ESXi、Linux KVM、H3C CAS等多个主流虚拟平台，充分发挥虚拟化的优势，实现快速部署、批量部署、镜像备份、快速恢复，并且能够灵活迁移。

提供ISO、OVA、IPE、QCOW2等多种发布格式，适应各种环境下的部署。

支持虚拟机管理平台、网管平台和本地等多种工具进行灵活部署。

支持H3C VNF Manager对vFW1000的动态创建和删除。

超强业务弹性

vFW提供了超强的业务弹性：

支持VMware ESXi、Linux KVM、H3C CAS等多个主流虚拟平台，无缝适应用户的部署环境。

允许企业在虚拟化的环境中搭建企业网络，可以按需动态地调配和管理网络资源及服务，比如，可以根据需要灵活调整网口数量和类型，而无需新购买硬件板卡。

通过动态调整虚拟机资源和License，即可实现软件功能的平滑升级、设备性能的按需提升，随时满足业务增长需求。

完善的安全保障

vFW提供了丰富的防火墙访问控制、攻击检测与防护功能：

支持智能安全策略：不仅可以实现基于IP/MAC地址、用户、应用、地区、域名等多维度的访问控制，还可以实现安全策略冗余分析、策略匹配优化建议、动态检测内网业务并自动生成安全策略。

支持丰富的攻击防范技术。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针SYN Flood、UDP Flood、ICMP Flood等常见DDoS攻击的检测防御。

入侵防御（IPS）：支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等。

防病毒（AV）：高性能病毒引擎，可防护600万种以上的病毒和木马，病毒特征库每日更新。

Web安全防护：不局限于常规的IPS/AV防护，针对内网服务器，提供细致化的web应用防护，对于服务器最为头疼的CC攻击，异常外联，SQL注入、HTTP慢速攻击、跨站脚本等常见攻击行为，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站进行有效防护。

未知威胁检测：单靠特征分析已不足以应对复杂的网络环境，面对典型的APT（Advanced Persistent Threat，高级持续性威胁）攻击沙箱技术是防御APT攻击最有效的方法之一，它用于构造隔离的威胁检测环境。vFW通过将网络流量送入沙箱进行隔离分析，由沙箱给出是否存在威胁的结论。检测到某流量为恶意流量，设备将对流量实施阻断等处理。

vFW提供了完善的NAT功能：

提供多对一、地址池、ACL控制等地址转换方式，在一个接口上支持多个不同的地址转换服务，通过内部服务器可以向外提供FTP、Telnet和WWW等服务，实现公网和私网混合地址解决方案。

除提供一般NAT功能以外，针对多种应用协议还提供了NAT ALG功能，如多媒体应用（VOIP、视频）：H323、RAS、SIP、SCCP、RTSP，VPN应用PPTP，常用的应用FTP、TFTP、DNS、NBT、ICMP、HWCC、DNS、ILS等。

vFW提供了丰富的安全管理功能：

提供各种日志功能，包括攻击实时日志、黑名单日志、会话日志、NAT日志功能，能够有效的记录网络情况，从而为分析网络状况，防范网络攻击提供依据。

提供应用分析中心和报表功能，主要包括基于应用的报表、基于网流的分析报表等。支持以PDF、HTML、WORD和TXT等多种格式输出。

通过H3C iMC实现统一管理，集安全信息与事件收集、分析、响应等功能为一体，解决了网络与安全设备相互孤立、网络的安全状况不直观、安全事件响应慢、网络故障定位困难等问题，使IT及安全管理员脱离繁琐的管理工作，极大提高工作效率，能够集中精力关注核心业务。

vFW提供了丰富的安全认证功能：

支持用户身份管理，不同身份的用户拥有不同的命令执行权限，可以防止低权限用户非法获取或修改配置信息等。

视图分级保护。由于不同身份的用户拥有的配置权限不同，级别低的用户不能进入更高级的视图。

支持基于RADIUS（Remote Authentication Dial-In User Service）的AAA（Authentication，Authorization，Accounting）服务，可以与RADIUS服务器配合实施对接入用户的验证、授权和计费安全服务，防止非法访问。

支持基于PKI/X.509的证书认证功能。

路由协议OSPF、RIP2都具有MD5认证功能，确保所交换路由信息的可靠性。

丰富的VPN接入能力

vFW支持多种VPN业务，如SSL VPN、L2TP VPN、IPsec VPN、GRE VPN等，可以针对客户需求通过拨号、租用线及VLAN或隧道等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。结合防火墙、AAA、NAT、及多种QoS等技术，防火墙可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。

SSL VPN：一体化集成SSL VPN（IPV4&IPV6）特性，满足移动办公、员工出差的安全访问需求，不仅可结合用户名+密码、USB-Key、短信进行移动用户的身份认证，还可与企业原有认证系统相结合、实现一体化的认证接入。

IPSec VPN：IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

L2TP VPN：L2TP为目前使用最广泛的VPDN （Virtual Private Dial Network）隧道协议。L2TP协议提供了对PPP链路层数据包的通道（Tunnel）传输支持，支持L2TP多域。

GRE VPN：GRE是第三层隧道协议，在协议层之间采用了一种被称之为Tunnel（隧道）的技术，在一个Tunnel的两端分别对数据报进行封装及解封装。

产品规格

属性	说明
软件包	H3C SecPath vFW1000，H3C SecPath vFW2000软件支持ISO, OVA, ,QCOW2, IPE发布格式
虚拟平台	VMware ESXi Linux KVM H3C CAS
虚拟机资源	至少1个vCPU（主频2.0GHz以上）至少1GB内存至少8GB硬盘至少2个虚拟网卡，最多16个虚拟网卡虚拟网卡类型：E1000，VMXNET3，VirtIO，Intel 82599VF
以太网	三层以太网接口/子接口，二层以太网接口 ARP 802.1Q VLAN, VLAN终结 PPPOE Client
IP路由	静态路由动态路由协议: RIPv1/v2, OSPFv2, BGP 路由策略
IP业务	Forwarding/Fast Forwarding TCP, UDP, IP Option, IP Unnumber PBR Ping, Trace DHCP Server, DHCP Relay, DHCP Client DNS Client, DNS Proxy, DDNS FTP Server, FTP Client, TFTP Client Telnet Server. Telnet Client NTPv3/NTPv4/SNTPv3/SNTPv4 AFT SSH v1.5/2.0, SSL
IPv6	Basic Functions: IPv6 ND, IPv6 PMTU, IPv6 FIB, IPv6 ACL IPv6 Tunnel: IPv6 over IPv4 manual tunnel, Automatic IPv4-compatible IPv6 tunnel, 6to4 tunnel, ISATAP tunnel Static Routing Dynamic Routing: RIPng, OSPFv3, BGP4+ IPv6包过滤 IPv6 ASPF IPv6域间策略 IPv6攻击防范
AAA服务	Portal认证 RADIUS认证 HWTACACS认证 PKI/CA（X509格式）认证域认证 CHAP验证 PAP验证
访问控制	安全区域划分，不同安全域默认拒绝攻击防范：可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood等多种恶意攻击基础和扩展的访问控制列表基于用户、协议、地区、域名的访问控制基于接口、时间段的访问控制基于时间段的访问控制基于IP/MAC地址的访问控制静态和动态黑名单功能 MAC和IP绑定功能连接数限制
入侵防御	支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS等常见的攻击防御支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御支持攻击特征库的分类（根据攻击类型、目标机系统进行分类）、分级（分高、中、低、提示四级）支持攻击特征库的手动和自动升级（TFTP和HTTP）支持对BT等P2P/IM识别和控制
防病毒	支持基于病毒特征、MD5值、云端进行检测和查杀支持病毒库手动和自动升级、离线和在线升级支持HTTP、FTP、SMTP、POP3等协议检测支持的病毒类型：勒索、钓鱼、后门、蠕虫等查杀支持病毒日志和报表
邮件/网页/应用层过滤	邮件过滤：包括SMTP邮件地址过滤、邮件标题过滤、邮件内容过滤、邮件附件过滤网页过滤：包括HTTP URL过滤、HTTP内容过滤应用层过滤：包括Java Blocking、ActiveX Blocking、SQL注入攻击防范
VPN	SSL VPN、IPsec VPN、GRE VPN、L2TP VPN
NAT	支持多个内部地址映射到同一个公网地址支持多个内部地址映射到多个公网地址支持内部地址到公网地址一一映射支持源地址和目的地址同时转换支持外部网络主机访问内部服务器支持内部地址直映射到接口公网IP地址支持DNS映射功能可配置支持地址转换的有效时间支持多种NAT ALG，包括DNS、FTP、TFTP、PPTP、H.323、SIP、RSH、ILS、MSN、NBT等
DC	VXLAN, Openflow1.3
可靠性	双机热备 BFD Reth
管理维护	支持基于命令行的配置管理支持Web方式进行远程配置管理支持Netconf API、Restful API进行设备管理支持标准网管 SNMPv3，并且兼容SNMP v1和v2

组网应用

数据中心租户网关应用

在数据中心环境中，作为租户专用的综合业务网关，提供VPN隧道，为不同租户提供安全接入；同时，作为出口网关，防范各种来自外部的攻击，也可作为内网访问控制设备隔离不同安全等级的区域，实现对网络流量的安全防护；

图1-1 租户网关应用典型组网

· 精简网络基础设施，直接利用服务器，便于租户自行维护

· 业务弹性扩展，性能可动态调整，管理高效

· 支持分区域安全控制

· 支持NAT，支持多种ALG

· 通过报文检测并阻止非法入侵

· 支持多种攻击防范技术

· 支持黑名单过滤

· 支持通过TCP代理实现Syn Flood防攻击

· 支持流量日志及攻击告警日志

企业分支综合网关

在企业分支中，vFW作为企业分支综合网关，部署在标准服务器中，负责接入Internet，为分支出口提供专业的安全防护；同时支持与企业数据中心建立VPN连接(包括IPsec VPN，L2TP，GRE),确保接入安全。

精简企业分支基础设置，易于管理；支持企业应用部署在同一硬件平台上，满足计算和网络设备融合的需求。

图1-2 企业分支综合网关典型组网

选配信息

vFW1000

vFW1000 Comware V7软件可以免费下载进行安装，需要购买License进行使用。

项目	描述	备注
LIS-vFW1000-C1-Y1	H3C SecPath vFW1000授权函(Comware V7,1vCPU,1年授权)	vFW基础软件的授权，必选其一
LIS-vFW1000-C1-Y3	H3C SecPath vFW1000授权函(Comware V7,1vCPU,3年授权)
LIS-vFW1000-C1	H3C SecPath vFW1000授权函(Comware V7,1vCPU,永久授权)
LIS-vFW1000-C4-Y1	H3C SecPath vFW1000授权函(Comware V7,4vCPU,1年授权)
LIS-vFW1000-C4-Y3	H3C SecPath vFW1000授权函(Comware V7,4vCPU,3年授权)
LIS-vFW1000-C4	H3C SecPath vFW1000授权函(Comware V7,4vCPU,永久授权)
LIS-vFW1000-C8-Y1	H3C SecPath vFW1000授权函(Comware V7,8vCPU,1年授权)
LIS-vFW1000-C8-Y3	H3C SecPath vFW1000授权函(Comware V7,8vCPU,3年授权)
LIS-vFW1000-C8	H3C SecPath vFW1000授权函(Comware V7,8vCPU,永久授权)
LIS-NFV-SSL-25	H3C NFV特性授权函(Comware V7,SSL VPN,25用户)	选配
LIS-NFV-SSL-100	H3C NFV特性授权函(Comware V7,SSL VPN,100用户)	选配
LIS-NFV-SSL-500	H3C NFV特性授权函(Comware V7,SSL VPN,500用户)	选配
LIS-NFV-SSL-1000	H3C NFV特性授权函(Comware V7,SSL VPN,1000用户)	选配
LIS-NFV-IPS-1Y	H3C NFV IPS特征库升级服务,1年	选配
LIS-NFV-IPS-3Y	H3C NFV IPS特征库升级服务,3年	选配
LIS-NFV-AV-1Y	H3C NFV AV防病毒安全License,1年	选配
LIS-NFV-AV-3Y	H3C NFV AV防病毒安全License,3年	选配
LIS-NFV-ACG-1Y	H3C NFV应用识别特征库升级服务,1年	选配
LIS-NFV-ACG-3Y	H3C NFV应用识别特征库升级服务,3年	选配
LIS-NFV-URL-1Y	H3C NFV URL特征库升级授权函,1年	选配
LIS-NFV-URL-3Y	H3C NFV URL特征库升级授权函,3年	选配
LIS-NFV-TI-1Y	H3C NFV安全威胁情报特征库升级授权函,1年	选配
LIS-NFV-TI-3Y	H3C NFV安全威胁情报特征库升级授权函,3年	选配
LIS-NFV-WAF-1Y	H3C NFV WAF特征库升级授权函,1年	选配
LIS-NFV-WAF-3Y	H3C NFV WAF特征库升级授权函,3年	选配

vFW1000 Comware V9软件可以免费下载进行安装，需要购买License进行使用。

项目	描述	备注
LIS-vFW1000-V9-C1-Y1	H3C SecPath vFW1000系统软件授权函(Comware V9,1vCPU,1年授权)	vFW基础软件的授权，必选其一
LIS-vFW1000-V9-C4-Y1	H3C SecPath vFW1000系统软件授权函(Comware V9,4vCPU,1年授权)
LIS-vFW1000-V9-C8-Y1	H3C SecPath vFW1000系统软件授权函(Comware V9,8vCPU,1年授权)
LIS-vFW1000-V9-C1	H3C SecPath vFW1000系统软件授权函(Comware V9,1vCPU,永久授权)
LIS-vFW1000-V9-C4	H3C SecPath vFW1000系统软件授权函(Comware V9,4vCPU,永久授权)
LIS-vFW1000-V9-C8	H3C SecPath vFW1000系统软件授权函(Comware V9,8vCPU,永久授权)
LIS-vFW1000-X-SSL-25	H3C vFW1000-X SSL VPN授权函,25用户	选配
LIS-vFW1000-X-SSL-100	H3C vFW1000-X SSL VPN授权函,100用户	选配
LIS-vFW1000-X-SSL-500	H3C vFW1000-X SSL VPN授权函,500用户	选配
LIS-vFW1000-X-SSL-1000	H3C vFW1000-X SSL VPN授权函,1000用户	选配
LIS-vFW1000-X-IPS-1Y	H3C vFW1000-X IPS(入侵防御系统)特征库升级授权函,1年	选配
LIS-vFW1000-X-IPS-3Y	H3C vFW1000-X IPS(入侵防御系统)特征库升级授权函,3年	选配
LIS-vFW1000-X-AV-1Y	H3C vFW1000-X AV(防病毒)特征库升级授权函,1年	选配
LIS-vFW1000-X-AV-3Y	H3C vFW1000-X AV(防病毒)特征库升级授权函,3年	选配
LIS-vFW1000-X-APP-1Y	H3C vFW1000-X APP(应用识别)特征库升级授权函,1年	选配
LIS-vFW1000-X-APP-3Y	H3C vFW1000-X APP(应用识别)特征库升级授权函,3年	选配
LIS-vFW1000-X-URL-1Y	H3C vFW1000-X URL特征库升级授权函,1年	选配
LIS-vFW1000-X-URL-3Y	H3C vFW1000-X URL特征库升级授权函,3年	选配
LIS-vFW1000-X-WAF-1Y	H3C vFW1000-X WAF特征库升级授权函,1年	选配
LIS-vFW1000-X-WAF-3Y	H3C vFW1000-X WAF特征库升级授权函,3年	选配
LIS-vFW1000-X-TI-1Y	H3C vFW1000-X TI(威胁情报)特征库升级授权函,1年	选配
LIS-vFW1000-X-TI-3Y	H3C vFW1000-X TI(威胁情报)特征库升级授权函,3年	选配

vFW2000

vFW2000 Comware V7软件可以免费下载进行安装，需要购买License进行使用。

项目	描述	备注
LIS-vFW2000-C1	H3C SecPath vFW2000服务器授权函(Comware V7,1CPU,永久授权)	vFW基础软件的授权，必选其一
LIS-vFW2000-C2	H3C SecPath vFW2000服务器授权函(Comware V7,2CPUs,永久授权)
LIS-vFW2000-C4	H3C SecPath vFW2000服务器授权函(Comware V7,4CPUs,永久授权)
LIS-vFW2000-AE	H3C SecPath vFW2000服务器授权函(Comware V7,Advanced Edition,永久授权)
LIS-vFW2000-SE	H3C SecPath vFW2000服务器授权函(Comware V7,Standard Edition,永久授权)
LIS-NFV-SSL-25	H3C NFV特性授权函(Comware V7,SSL VPN,25用户)	选配
LIS-NFV-SSL-100	H3C NFV特性授权函(Comware V7,SSL VPN,100用户)	选配
LIS-NFV-SSL-500	H3C NFV特性授权函(Comware V7,SSL VPN,500用户)	选配
LIS-NFV-SSL-1000	H3C NFV特性授权函(Comware V7,SSL VPN,1000用户)	选配
LIS-NFV-IPS-1Y	H3C NFV IPS特征库升级服务,1年	选配
LIS-NFV-IPS-3Y	H3C NFV IPS特征库升级服务,3年	选配
LIS-NFV-AV-1Y	H3C NFV AV防病毒安全License,1年	选配
LIS-NFV-AV-3Y	H3C NFV AV防病毒安全License,3年	选配
LIS-NFV-ACG-1Y	H3C NFV应用识别特征库升级服务,1年	选配
LIS-NFV-ACG-3Y	H3C NFV应用识别特征库升级服务,3年	选配
LIS-NFV-URL-1Y	H3C NFV URL特征库升级授权函,1年	选配
LIS-NFV-URL-3Y	H3C NFV URL特征库升级授权函,3年	选配
LIS-NFV-TI-1Y	H3C NFV安全威胁情报特征库升级授权函,1年	选配
LIS-NFV-TI-3Y	H3C NFV安全威胁情报特征库升级授权函,3年	选配
LIS-NFV-WAF-1Y	H3C NFV WAF特征库升级授权函,1年	选配
LIS-NFV-WAF-3Y	H3C NFV WAF特征库升级授权函,3年	选配