Acceso
País / Región
H3C SecPath F5000 Series firewall es una nueva generación de cortafuegos de seguridad de alto rendimiento para redes empresariales a gran escala, proveedores de servicios y centros de datos.
La serie de firewall F50X0 cumple con los requisitos de Web 2.0 y admite las siguientes características de seguridad y de red:
Protección de seguridad y control de acceso basado en usuarios, aplicaciones, tiempo, cinco tuplas y seguridad de contenido. Las características típicas de protección de seguridad incluyen IPS, AV y DLP.
Incluye servicios VPN como IPsec VPN, SSL VPN, L2TP VPN, GRE VPN y ADVPN.
Capacidades de enrutamiento, incluyendo enrutamiento estático, RIP, OSPF, BGP, políticas de enrutamiento y enrutamiento basado en políticas de aplicaciones y URL.
IPv4 y IPv6, y protección de estado y prevención de ataques para IPv6.
La serie de firewalls usa una fuente de alimentación AC o DC, o dos fuentes de alimentación del mismo tipo para redundancia energética. Tiene una altura de 2U y ofrece capacidades de acceso a puertos GE y 10GE de alta densidad. Admite la conmutación por error de estado para cumplir con los requisitos de alta disponibilidad en redes de alto rendimiento. El F5030/60/80 y el F5030-D/60-D/80-D con dos MPUs proporcionan bandejas de ventilador reemplazables que admiten corredores de pasillo de frente a atrás para cumplir con los requisitos de los centros de datos.
Utilice los procesadores y cachés avanzados de 64 bits (MIPS) en la serie de firewalls.
Utiliza plataformas de hardware y software de alta disponibilidad propietarias de H3C que han sido probadas por operadores de telecomunicaciones y empresas de tamaño pequeño a mediano.
Soporta H3C SCF, que puede virtualizar múltiples dispositivos en uno para respaldo de servicios y mejora de rendimiento del sistema.
Protección de ataque: detecta y previene varios ataques, incluyendo Land, Smurf, Fraggle, ping of death, Tear Drop, IP spoofing, IP fragment, ARP spoofing, reverse ARP lookup, invalid TCP flag, large ICMP packet, IP/port scanning, y ataques DDoS comunes como SYN flood, UDP flood, DNS flood, e ICMP flood.
SOP 1: N virtualización—Utiliza la tecnología de virtualización basada en contenedores. Un firewall F50X0 se puede virtualizar en múltiples firewalls lógicos, que tienen las mismas funciones que el firewall físico. Cada firewall virtual puede tener su propia política de seguridad y puede ser administrado de manera independiente.
Zona de seguridad: te permite configurar zonas de seguridad basadas en interfaces y VLANs.
Filtrado de paquetes: aplica ACL estándar o avanzada entre zonas de seguridad para filtrar paquetes en base a información contenida en ellos, como números de puertos UDP y TCP. También puedes configurar rangos de tiempo durante los cuales se realizará el filtrado de paquetes.
ASPF: Determina de forma dinámica si reenviar o descartar un paquete mediante la verificación de su información y estado del protocolo de capa de aplicación. ASPF admite la inspección de FTP, HTTP, SMTP, RTSP y otros protocolos de capa de aplicación basados en TCP/UDP.
AAA—Soporta autenticación basada en RADIUS/HWTACACS+, CHAP, PAP y LDAP.
Lista negra—Admite lista negra estática y lista negra dinámica.
NAT y NAT con conciencia de VRF.
VPN: Compatible con L2TP, IPsec/IKE, GRE y VPN SSL. Permite a los dispositivos inteligentes conectarse a las VPN.
Enrutamiento—Soporta enrutamiento estático, RIP, OSPF, BGP, políticas de enrutamiento y enrutamiento basado en aplicaciones y URL.
Registros de seguridad—Soporta registros de operación, registros de coincidencia de políticas de zona, registros de protección contra ataques, registros DS-LITE y registros NAT444.
Monitoreo de tráfico, estadísticas y gestión.
Plataforma de procesamiento de servicios de seguridad integrados. El cortafuegos integra de manera muy estrecha las medidas básicas y avanzadas de protección de seguridad en una plataforma de seguridad.
Identificación y gestión del tráfico de la capa de aplicación.
Usa la tecnología de inspección de intercambio de tráfico y máquina de estado para detectar el tráfico de aplicaciones P2P, IM, juegos en red, de bolsa, de video en red y multimedia en red, como Thunder, Web Thunder, BitTorrent, eMule, eDonkey, WeChat, Weibo, QQ, MSN y PPLive.
Utiliza la tecnología de inspección profunda para identificar el tráfico P2P de manera precisa y proporciona múltiples políticas para controlar y gestionar el tráfico P2P de forma flexible.
Motor de inspección de intrusiones altamente preciso y efectivo. El firewall utiliza el motor de Inspección Completa con Riguroso Test de Estado (FIRST) propiedad de H3C y diversas tecnologías de inspección de intrusiones para implementar una inspección altamente precisa de las intrusiones basada en los estados de las aplicaciones. El motor FIRST también admite inspecciones concurrentes de software y hardware para mejorar la eficiencia de la inspección.
Protección en tiempo real contra virus. El firewall utiliza el motor de antivirus basado en transmisiones para prevenir, detectar y eliminar código malicioso del tráfico de red.
Filtrar masivamente por categoría de URL. El firewall admite el modo local + en la nube, 139 bibliotecas de categorías y más de 20 millones de reglas de URL.
Base de firmas de seguridad completa y actualizada. H3C cuenta con un equipo senior de base de datos de firmas y laboratorios profesionales de protección contra ataques, por lo que la base de datos de firmas siempre es precisa y está actualizada.
Estado del firewall IPv6.
Protege contra ataques IPv6.
Realiza el reenvío de datos IPv6, configura la ruta estática y dinámica de IPv6, y habilita la funcionalidad de multidifusión IPv6.
Tecnologías de transición IPv6, incluyendo NAT-PT, túnel GRE IPv6 sobre IPv4, túnel manual, túnel 6to4, túnel automático IPv6 compatible con IPv4, túnel ISATAP, NAT444 y DS-Lite.
IPv6 ACL y RADIUS.
Función de balanceo de carga de enlaces integrada. Esta función utiliza la inspección del estado del enlace y las tecnologías de detección de ocupación del enlace, y se aplica a una salida de red para equilibrar el tráfico entre los enlaces.
Función integrada de SSL VPN. Esta función puede utilizar USB-Key, mensajes SMS y el sistema de autenticación existente de la empresa para autenticar a los usuarios, proporcionando un acceso seguro de los usuarios móviles a la red de la empresa.
Prevención de fuga de datos (DLP). El firewall admite el filtrado de correo electrónico por dirección de correo SMTP, asunto, adjunto y contenido, filtrado de URL y contenido HTTP, filtrado de archivos FTP y filtrado de la capa de aplicación (incluyendo bloqueo de Java/ActiveX y prevención de ataques de inyección SQL).
Sistema de prevención de intrusiones (IPS). El firewall soporta la identificación y protección de ataques web, como los ataques de scripting entre sitios y los ataques de inyección SQL.
Antivirus (AV). El firewall utiliza un motor de virus de alto rendimiento que puede proteger contra más de 6 millones de virus y troyanos. La base de datos de firmas de virus se actualiza automáticamente todos los días.
Defensa de amenazas desconocidas. Cooperando con la plataforma de conciencia de situación, el cortafuegos puede detectar rápidamente los ataques y localizar problemas. Una vez que se ataca un solo punto, el cortafuegos puede generar advertencias de seguridad y realizar respuestas rápidas en toda la red.
Gestión inteligente y unificada de políticas de seguridad, detecta políticas duplicadas, optimiza las reglas de coincidencia de políticas, detecta y propone políticas de seguridad generadas dinámicamente en la red interna.
Compatibilidad con SNMPv1 y SNMPv2 en SNMPv3.
Configura y administra mediante CLI.
Gestión basada en web, con una GUI sencilla y amigable para el usuario.
La gestión unificada de seguridad proporcionada por el H3C SSM, que puede recopilar y analizar información de seguridad, y ofrecer una vista intuitiva de las condiciones de red y seguridad, ahorrando esfuerzos de gestión y mejorando la eficiencia de gestión.
Gestión centralizada de registros basada en tecnología avanzada de análisis e investigación de datos. Solicita y recibe información para generar registros, compila diferentes tipos de registros (como syslog y registros de flujo binario) en el mismo formato, comprime y almacena grandes cantidades de registros. Encripta y exporta los registros guardados a dispositivos de almacenamiento externos como DAS, NAS y SAN para evitar la pérdida de registros de seguridad importantes.
Genera informes abundantes, incluyendo informes basados en aplicaciones e informes de análisis basados en secuencias.
Exporta los informes en diferentes formatos, como PDF, HTML, word y txt.
Personaliza el informe a través de la interfaz web. Los contenidos personalizables incluyen el rango de tiempo, el dispositivo de origen de los datos, el período de generación y el formato de exportación.
Configura las cadenas de servicio usando el controlador de marco virtual convergente (VCFC). La cadena de servicio es una tecnología de reenvío utilizada para guiar el tráfico de red a través de nodos de servicio. Está basada en la tecnología de superposición y combina la teoría de gestión centralizada de la red definida por software (SDN).
La cadena de servicio implementa las siguientes funciones:
Desacopla la red lógica del tenant y la red física, y separa el plano de control del plano de reenvío.
Asigna y despliega recursos de servicio bajo demanda sin restricciones de topología física.
Crea y despliega de manera automática pools de recursos de virtualización de funciones de red (NFV).
Arreglo y modificación del servicio específico para el tenant sin afectar la topología física y otros tenants.
Artículo | Descripción | |
F5030/F5030-D | F5060/F5080 F5060-D/F5080-D | |
Puertos | 4 × Interfaces combo Gigabit 8 × Puertos de cobre Gigabit Ethernet 8 × 10 puertos de Ethernet Gigabit | 4 × Interfaces combo Gigabit : 8 × puertos de cobre Gigabit. 8 × Puertos de fibra Gigabit 8 × 10 puertos de Ethernet Gigabit |
Ranuras de expansión | 6/6/5 | 5/5/4/4 |
Almacena en medios | Incorporado 2 × 480GB unidades SSD (opcional) | |
Temperatura ambiente | Funcionamiento: 0°C a 45°C (32°F a 113°F) No opera a temperaturas inferiores a -40°C o superiores a +70°C (-40°F a +158°F) | |
Modo de operación | Ruta, transparente o híbrida. | |
AAA | Autenticación del portal. Autenticación RADIUS. Autenticación HWTACACS. Autenticación PKI/CA (formato X.509). Autenticación de dominio. Autenticación CHAP. Autenticación PAP. | |
Cortafuegos | Cortafuegos virtual. Zona de seguridad. Protección contra ataques maliciosos, como land, smurf, fraggle, ping of death, teardrop, IP spoofing, IP fragmentation, ARP spoofing, reverse ARP lookup, invalid TCP flag, large ICMP packet, address/port scanning, SYN flood, ICMP flood, UDP flood y DNS query flood. ACLs básicos y avanzados. Crea un ACL basado en el rango de tiempo. Basado en usuarios y aplicaciones, control de acceso. Filtrado dinámico de paquetes. Filtrado de paquetes en capa de aplicación ASPF. Función de lista negra estática y dinámica. Enlace MAC-IP. ACL basada en MAC. Transmitir VLAN 802.1Q de manera transparente. | |
Balanceo de carga | Enlace y balanceo de carga del servidor. Aplicación y selección de ruta inteligente basada en ISP. Monitoreo de salud a través de ICMP, UDP y TCP. Port-, HTTP- y SSL-based métodos fijos para implementar protección de ancho de banda ocupado y protección contra fallos. | |
Antivirus | Detección de virus basada en firmas. Actualización manual y automática para la base de datos de firmas. Procesamiento basado en flujo Detecta virus basados en HTTP, FTP, SMTP y POP3. Tipos de virus incluyen Backdoor, Email-Worm, IM-Worm, P2P-Worm, Trojan, AdWare y Virus. Registros e informes de virus. | |
Prevención profunda de intrusiones. | Prevención contra ataques como hacker, gusano/virus, troyano, código malicioso, spyware/adware, DoS/DDoS, desbordamiento de memoria, inyección SQL y eludir IDS/IPS. Categorías de firmas de ataque (basadas en tipos de ataque y sistemas objetivo) y niveles de severidad (incluidos alta, media, baja y notificación) Actualización manual y automática de la base de datos de firmas de ataque (TFTP y HTTP). Identifica y controla el tráfico P2P/IM. | |
Filtrar capa de correo electrónico/página web/aplicación | Filtra correos electrónicos. Filtra direcciones de correo electrónico SMTP. Filtrado de asunto/contenido/adjunto de correo electrónico Filtrado de páginas web URL HTTP / filtrado de contenido Bloquea Java Bloquea ActiveX Prevención de ataques de inyección SQL. | |
Auditoría de comportamiento y contenido. | Realiza una auditoría y seguimiento de contenido basado en usuarios. | |
Filtrado de archivos | Identificación de tipos de archivos como Word, Excel, PPT, PDF, ZIP, RAR, EXE, DLL, AVI y MP4, y filtrado de información sensible en los archivos. | |
Filtrado de URL | Más de 50 tipos de reglas de filtrado de URL basadas en firma, y descartando, reiniciando, redirigiendo, registrando y poniendo en lista negra los paquetes que coinciden con las reglas. | |
Identificación y control de aplicaciones. | Identifica varios tipos de aplicaciones y controla el acceso basado en funciones específicas de una aplicación. Combina la identificación de aplicaciones y la prevención de intrusiones, antivirus y filtrado de contenido, mejorando el rendimiento y la precisión de detección. | |
NAT | Mapea varias direcciones internas a una dirección pública: Many-to-one NAT. Many-to-many NAT, mapea múltiples direcciones internas a múltiples direcciones públicas. Mapea una dirección interna a una dirección pública con one-to-one NAT. NAT tanto de la dirección de origen como de la dirección de destino. Acceso de hosts externos a servidores internos. Mapea la dirección interna a la dirección de interfaz pública. Soporte NAT para DNS. Establece período efectivo para NAT. NAT ALGs para NAT ALG, incluyendo DNS, FTP, H.323, ILS, MSN, NBT, PPTP, y SIP. | |
VPN. | VPN L2TP. VPN IPsec. GRE VPN. SSL VPN. Algoritmo de encriptación de hardware SM1, algoritmos de encriptación SM2, SM3 y SM4. | |
Enrutamiento | Protocolos de enrutamiento como RIP, OSPF, BGP y IS-IS. | |
VXLAN | Servicio de cadena VXLAN. | |
IPv6 | Estado del firewall IPv6. Protege contra ataques IPv6. Reenvío IPv6. Protocolos IPv6 como ICMPv6, PMTU, Ping6, DNS6, TraceRT6, Telnet6, DHCPv6 Client, y DHCPv6 Relay. Enruta IPv6: RIPng, OSPFv3, BGP4+, enrutamiento estático, enrutamiento basado en políticas. IPv6 multicast: PIM-SM y PIM-DM. Técnicas de transición de IPv6: NAT-PT, túneles IPv6, NAT64 (DNS64) y DS-LITE. Seguridad IPv6: NAT-PT, túnel IPv6, filtro de paquetes IPv6, RADIUS, políticas de pares de zona IPv6, límite de conexiones IPv6. | |
Alta disponibilidad | Virtualización SCF 2:1. Activa/activo y conmutación por fallo de estado activo/pasivo. Sincroniza la configuración de dos firewalls. Sincroniza el estado IKE en la VPN IPsec. VRRP. Módulo de bypass incorporado. Bypass de host externo. | |
Gestiona la configuración. | Configuración de administración en la CLI. Gestiona de forma remota a través de la web. Gestiona dispositivos a través de H3C SSM. Compatibilidad con SNMPv2 y SNMPv1 en SNMPv3. Política de seguridad inteligente. |
Artículos | F5030/ F5030-D | F5060/ F5060-D | F5080/ F5080-D |
L4 de rendimiento de FW | 40Gbps | 50Gbps | 80Gbps |
Rendimiento del NGFW (DPI) | 20Gbps | 20Gbps | 22Gbps |
Rendimiento de NGFW (IPS + DPI) | 18Gbps | 20Gbps | 22Gbps |
Rendimiento del NGFW (IPS+AV+DPI) | 18Gbps | 20Gbps | 22Gbps |
Sesiones simultáneas | 16M | 40M | 80M |
Nuevas sesiones por segundo | 500k | 600k | 600k |
Número de usuarios concurrentes de SSL VPN | 30k/20k | 30k/20k | 30k/20k |
Rendimiento de VPN SSL | 2.8Gbps | 3.5Gbps | 4.6Gbps |
Túneles VPN IPSec | 20k/25k | 24k/25k | 50k/25k |
Rendimiento IPSec | 16Gbps | 16Gbps | 17Gbps |
Política de seguridad | 50k | 50k | 50k |
H3C SecPath F5000 series escenario de aplicación
SCF N:1 virtualización y diseño de red confiable
Potentes capacidades de procesamiento
Potentes capacidades de cifrado VPN
Excelentes capacidades de protección contra ataques.
Email, página web y filtrado de archivos
Protocolos de enrutamiento abundantes, implementando la integración de seguridad y red.
Artículo | Cantidad | Comentarios |
H3C SecPath F5030 | 1 | Requerido |
H3C SecPath F5030-D | 1 | Requerido |
H3C SecPath F5060 | 1 | Requerido |
H3C SecPath F5060-D | 1 | Requerido |
H3C SecPath F5080 | 1 | Requerido |
H3C SecPath F5080-D | 1 | Requerido |
Artículo | Descripción | Comentarios |
NSQM1GT8A | Módulo de interfaz de cobre de 8 puertos GE. | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) |
NSQM1GP8A | Módulo de interfaz de fibra GE de 8 puertos | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) |
NSQM1GT4PFCA | 4-puertos módulo de interfaz PFC | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) |
NSQM1TG8A | Módulo de transceptor de fibra SFP+ de 8 puertos | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) |
NSQM1QG2A | Módulo de transceptor de fibra QSFP+ de 2 puertos | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) |
NSQM1G4XS4 | Módulo transceptor de fibra SFP de 4 puertos y módulo transceptor de fibra SFP + de 4 puertos. | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) |
Artículo | Descripción | Comentarios |
Unitad SSD de 480GB | 480GB unidad | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) |
Artículo | Descripción | Comentarios |
LSWM1BFANSCB | Alimentación eléctrica | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) Dos bandejas de ventilador son necesarias, y deben ser del mismo modelo. |
LSWM1BFANSC | Lado del puerto | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) Dos bandejas de ventilador son necesarias, y deben ser del mismo modelo. |
Artículo | Descripción | Comentarios |
LSVM1AC650 | Fuente de alimentación de CA de 650 W | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) Mínimo una es requerida. Instala una fuente de alimentación AC o DC, o instala dos fuentes de alimentación AC o dos fuentes de alimentación DC para redundancia. |
LSVM1DC650 | 650W Suministro de energía de CC | Opcional para F5030/60/80 y F5030-D/60-D/80-D (con dos MPUs) Mínimo una es requerida. Instala una fuente de alimentación AC o DC, o instala dos fuentes de alimentación AC o dos fuentes de alimentación DC para redundancia. |