H3C SecPath vFWは、複数の主流なハイパーバイザ上で動作する強力なソフトウェアセキュリティ製品のセットです。最先端のH3C Comware 7オペレーティングシステムを実行し、仮想環境とネットワークを内部および外部からの脅威から監視および保護できます。それは仮想データセンターやクラウドコンピューティングネットワークに包括的なセキュリティ保護を提供し、企業がデータセンターやクラウドコンピューティングネットワークのための完全なセキュリティソリューションを構築するのに役立つことができます。
vFWは包括的なセキュリティ保護システムを提供し、安全なリモートアクセスを保証し、攻撃検出と防御、NAT、ALG、ACL、セキュリティゾーンポリシーを含む豊富なセキュリティ機能を提供して、ネットワークを可能な限りのセキュリティ脅威から保護します。アプリケーション固有のパケットフィルタ(ASPF)を使用して、接続プロセス、状態、および異常なコマンドを監視します。それは一連の高度な分析および管理手法を提供し、様々なログをサポートし、豊富なネットワーク管理および監視機能を提供して、ネットワーク管理者が高い効率でネットワークセキュリティを管理するのをサポートします。多様なVPN接続のセットアップをサポートしており、L2TP VPN、GRE VPN、IPsec VPNのようなさまざまなタイプのVPN接続をインターネットを介して安全なデータ伝送を確保するために行うことができます。
H3C SecPath vFW1000 は、標準サーバ上の仮想マシンで実行されます。すべての機能はライセンスによって制御されており、ユーザーは必要に応じて機能、特徴、および有効期間を選択する柔軟性があります。
業界トップのComware 7オペレーティングシステムを実行するvFWは、以下の利点を提供します。
リッチなネットワークとセキュリティ機能は、企業支店やパブリッククラウドのマルチテナント環境のさまざまなネットワークセキュリティ要件に応えます。
計算リソースを最大限に活用するために、コントロールプレーンとデータプレーンを分離し、仮想環境に特化したマルチコアデータ転送を行います。
モジュラーなアーキテクチャとオープンなネットワークプラットフォームにより、NFV/SDNの実装が容易になり、ネットワークを必要に応じて運用および制御することができます。
統合ソフトウェアプラットフォームを共有し、物理ネットワークデバイスと同じ機能と管理インターフェースを提供します。
サービスチェーン技術により、NFVリソースプールの動的な作成と自動化された展開が可能になり、物理トポロジーや他のテナントに影響を与えることなくテナントサービスの柔軟なオーケストレーションと変更が可能になります。
IRF技術をサポートし、2つのvFWを1つの分散論理デバイスに仮想化して共同運用、統一管理、中断のないメンテナンスを実現します。
サービス中断なしにアップグレードが可能なISSUをサポートしています。
NAT64、NAT444およびDS-Lite技術を使用して、IPv4からIPv6へのシームレスな移行をサポートします。
ライセンスサーバーライセンスをサポートします。統一されたライセンスサーバー上のライセンスのインストール、操作、および管理により、VNFの自動バッチ展開が可能になります。デバイスからライセンスを分離し、ライセンスのプール化と再利用を可能にする統一ライセンスにより、ライセンスのコストを削減することができます。このライセンス方法は非常に安全であり、効果的に海賊行為を防止し、ユーザーの合法的な権利と利益を保護することができます。
パブリッククラウドに展開することに適しており、輸送や配線が不要で迅速に展開できます。
複数の主要なスーパーバイザ(VMware ESXi、Linux KVM、H3C CASを含む)で操作可能で、仮想化の利点を十分に活かし、迅速な展開、一括展開、イメージのバックアップ、迅速なリカバリ、柔軟な移行が可能です。
ISO、OVA、IPE、およびQCOW2形式でのソフトウェアイメージを、さまざまな環境での展開に適応させることができます。
複数の展開ツールをサポートします。これには、VM管理プラットフォーム、ネットワーク管理プラットフォーム、ローカルプラットフォームなど、展開における完全な柔軟性が含まれます。
動的にH3C VNFマネージャからvFW1000を作成または削除することができます。
vFWは優れたサービスの耐障害性を提供します。
VMware ESXi、Linux KVM、およびH3C CASなどの複数の主要なスーパーバイザで動作可能であり、さまざまな展開環境に適応できます。
企業が仮想化された環境でエンタープライズネットワークを構築し、ネットワークリソースやサービスをダイナミックに必要に応じて割り当て、管理できるようにします。例えば、ネットワークインターフェースの数やタイプは必要に応じて柔軟に調整できるため、新しいハードウェアカードを購入する必要がなくなります。
仮想リソースとライセンスの動的な調整により、ソフトウェアのスムーズなアップグレードと、ビジネスの成長に応じたデバイスパフォーマンスの向上が可能です
パケットフィルタリング — パケットに含まれる優先度、ToS、UDPまたはTCPポート番号などの情報に基づいて、着信および送信パケットに標準または高度なACLを適用することができます。パケットフィルタリングが実行される時間範囲を設定することもできます。
ASPF—アプリケーションレイヤープロトコル情報と状態をチェックして、パケットを転送するか、ドロップするかを動的に判断します。ASPFはFTP、HTTP、SMTP、RTSP、およびその他のTCP / UDPベースのアプリケーション層プロトコルの検査をサポートしています。
攻撃と防御—ランド攻撃、スマーフ攻撃、フラグル攻撃、デスピング攻撃、ティアドロップ攻撃、IPスプーフィン攻撃、IPフラグメント攻撃、ARPスプーフィング攻撃、逆引きARPルックアップ攻撃、無効なTCPフラグ攻撃、大容量ICMPパケット攻撃、IP/ポートスキャン攻撃、SYNフラッド攻撃、UDPフラッド攻撃、DNSフラッド攻撃、ICMPフラッド攻撃を含む、さまざまな攻撃を検知して防止します。
VPN—複数のVPNサービス(L2TP VPN、IPsec VPN、GRE VPNなど)をサポートし、リモートアクセスを可能にします。
ダイヤルアップ、リースドライン、VLAN、またはトンネル、およびインターネット、イントラネット、アクセスVPNなどのさまざまな形式のVPNの設立に必要ないろいろなVPNを使います。ファイアウォール、AAA、NAT、およびさまざまなQoS技術と組み合わせることで、vFWはオープンなインターネット上で安全で信頼性の高いプライベートネットワークサービスを提供します。
セキュリティーゾーン—インターフェースおよびVLANに基づいてセキュリティーゾーンを設定できます。
ト—静的な拒否リストおよび動的な拒否リストをサポートします。
ルーティング—静的ルーティング、ポリシーベースのルーティング、RIPやOSPFなどのダイナミックルーティングプロトコルをサポートしています。
多対1、アドレスプール、ACL制御、および他のアドレス変換方式のメソッドを提供し、1つのインターフェースで複数の異なるアドレス変換方式サービスをサポートし、内部サーバーを通じてFTP、Telnet、およびWWWサービスを提供することで、ユーザーに対して完全なNATソリューションを提供します。
一般的なNAT機能に加えて、vFWはVoIPやビデオマルチメディアアプリケーション(H323、RAS、SIP、SCCP、RTSP)、PPTP VPNアプリケーション、FTP、TFTP、DNS、NBT、ICMP、HWCC、DNS、ILSなどの一般的なアプリケーションを含むさまざまなアプリケーションプロトコルのNAT ALGも提供できます。
vFWは、リアルタイムの攻撃ログ、拒否リストログ、セッションログ、およびNATログなど、ネットワーク状況を分析し、ネットワーク攻撃を防ぐための基盤となるさまざまなタイプのログを提供します。
vFWはH3C IMC管理システムからの管理をサポートしており、セキュリティ情報を収集し分析し、ネットワークとセキュリティの状態を直感的に把握することができます。これにより、管理の努力を省くことができ、管理効率を向上させることができます。
vFWはアクセスセキュリティを保証するために幅広い認証オプションを提供します。
ロールベースのアクセス制御—ユーザーの役割に基づいて権限を割り当てることで、低特権ユーザーが構成情報を取得または変更することを防ぐことができます。
階層ビュー保護—低レベルユーザーが高レベルビューに入ることを防止します。
リモート認証ダイヤルインユーザーサービス(RADIUS)—認証、認可、およびアクセスユーザーのためのアカウティング・セキュリティサービスを実装するためにRADIUSサーバーと連携して、不正アクセスを防ぎます。
PKI/X.509—証明書ベースの認証を提供します。
OSPFおよびRIP2におけるMD5認証—交換されるルーティング情報の正当性と整合性を確保します。
L2TP VPN—公共ネットワーク(たとえばインターネット)上でポイントツーポイントトンネルを設定し、トンネル上でカプセル化されたPPPフレーム(L2TPパケット)を送信します。L2TPは現在、最も広く使用されている仮想プライベートダイアルネットワーク(VPDN)トンネリングプロトコルです。vFWは複数のL2TPマルチドメインをサポートしています。
GRE VPN—ネットワーク(例:IPネットワーク)上の仮想ポイントツーポイントトンネルにプロトコル(IP、MPLS、EtherNetなど)をカプセル化します。パケットは1つのトンネルの終端でカプセル化され、他のトンネルの終端でカプセル解除されます。
IPsec VPN— IETF によって定義され、IP通信に対して相互運用性のある高品質な暗号化ベースのセキュリティを提供します。
IPsecは、ネットワーク上で送信されるデータグラムのプライバシー、整合性、真正性、およびアンチリプレイを確保するために、Authentication Header(AH)およびEncapsulating Security Payload(ESP)プロトコルを使用します。
IPsecによって、SAを自動的にインターネットキー交換(IKE)を介してまたは手動で確立することができます。
IPsecプロトコルは、情報セキュリティに高い要求を持つユーザーのための安全なVPNソリューションを提供します。
IPsec VPNは通常、L2TPプロトコルとGREプロトコルと組み合わせて使用されます。
アイテム | 仕様 |
ソフトウェアの イメージ | H3C SecPath vFW1000のソフトウェアイメージは、ISO、OVA、QCOW2、 またはIPE形式です。 |
ハイパーバイザー | VMware ESXi Linux KVM H3C CAS |
VMリソース | 1 vCPU(2.0 GHz以上のクロック速度以上)1 GB以上のメモリが必要です。 最低8 GBのドライブ 2から16のvNIC、vNICタイプ:E1000、VMXNET3、 VirtIO、およびIntel 82599VF |
イーサネット | レイヤー3のEthernetインターフェース/サブインターフェース、レイヤー2の EthernetインターフェースARP 802.1Q VLAN、VLAN終端 PPPoEクライアント |
IPルーティング | 静的ルーティング ダイナミックルーティング: RIPv1/v2、OSPFv2、BGP ルーティングポリシー |
IPサービス | 転送/高速転送 TCP、UDP、IPオプション、 IP番号なしPBR Ping, Tracert DHCPサーバー、DHCPリレー、DHCPクライアント DNSクライアント、DNSプロキシ、 DDNS、FTPサーバ、FTPクライアント、 TFTPクライアント Telnetサーバ、Telnetクライアント NTPv3/NTPv4/SNTPv3/SNTPv4 AFT SSHv1.5/2.0、SSL |
IPv6 | IPv6 ND、IPv6 PMTU、IPv6 FIB、IPv6 ACL IPv4マニュアルトンネリング、 自動IPv4互換IPv6トンネリング、 6to4トンネリング、 ISATAPトンネリング 静的ルーティング ダイナミックルーティング: RIPng、OSPFv3、 BGP4+のIPv6パケットフィルタリング IPv6 ASPF IPv6間ゾーンポリシーIPv6攻撃防御 |
AAA | ポータル認証、RADIUS認証、 HWTACACS認証 PKI/CA(X509形式)認証 ドメイン認証 CHAP認証 PAP認証 |
ファイアウォール | セキュリティゾーン、異なるセキュリティゾーンからのパケットはデフォルトで 拒否されます。 さまざまな悪意のある攻撃に対する防御、 ランド攻撃、スマーフ攻撃、フラグル攻撃、デスピング攻撃、 |
ファイアウォール | ティアドロップ攻撃、IPスプーフィング、IPフラグメント化、ARPスプーフィング、 逆ARPルックアップ、無効なTCPフラグ、大きなICMPパケット、 アドレス/ポートスキャン、 SYNフラッド、ICMPフラッド、UDPフラッド 基本的なおよび高度なACL 、インターフェースベースのACL、 時間範囲ベースのACL 動的パケットフィルタリング、ASPFアプリケーション層パケットフィルタリング 静的および動的ブラックリスト MAC-IPバインディング MACベースACL 接続制限 FIPS/CC モード | |
NAT | 多対一NATは、複数の内部アドレスを1つの公開アドレスにマッピングする機能です 対多のNATは、複数の内部アドレスを複数の公開アドレスにマッピングします。 一対一のNATは、1つの内部アドレスを1つの公開アドレスにマッピングします。 送信元アドレスと宛先アドレスの両方のNAT 外部ホストが内部サーバーにアクセス 内部アドレスからパブリックインターフェイスアドレスへのマッピング NAT対応のDNSサポート NATの有効期間を設定する NAT ALGの為のNAT ALG、DNS、FTP、TFTP、PPTP、H.323、SIP、RSH、ILS、MSN、NBT | |
VPN | L2TP VPN | LNSに完全なVPNユーザー名とユーザーが所属するISPドメイン名を使用して、トンネリング要求を開始します。 VPNユーザーへのIP割り当て CHAP認証によるユーザーの再認証とLCP再交渉 |
IPsec/IKE | AH, ESP 自動的にIKEを介してセキュリティ関連を設定するか、 手動で設定する Multiple ESP暗号化アルゴリズム、包括的なDES、3DES、AES。 MD5とSHA-1認証アルゴリズムIKEメインモードとアグレッシブモード NATトラバーサル DPD | |
GRE VPN | ||
QoS | ポート、MACアドレス、IPアドレス、IP優先順位、DSCP優先順位、TCP/UDPポート番号、 またはプロトコルタイプに基づくトラフィック分類 輻輳管理:FIFO、WFQ、CBQ 混雑回避:テールドロップ、WRED | |
DC | VXLAN、OpenFlow1.3 | |
高い可用性 | VRRP/VRRPv3 BFD Reth IRF | |
管理と保守 | ユーザーアクセス管理:コンソールポート、AUXポート、SSH、Telnet、FTP ローカル管理:CLI、自動設定、ファイルシステム ネットワーク管理:SNMPv1/v2c/v3、IMC、MIB、TR069、H3C IMCセキュリティ管理センター、NETCONF ネットワークの監視:SNMPv1/v2c/v3、RMON、Syslog、NQA、sFlow、トラック、 NetStream、EAA その他:Tcl, Python |
データセンター環境では、vFWはテナントゲートウェイとして使用でき、さまざまなテナントに対してVPNトンネルを介した安全なアクセスを提供し、あらゆる種類の外部攻撃を防ぐことができます。異なるセキュリティレベルのゾーンを分離し、ネットワークトラフィックのセキュリティ保護を提供するためのイントラネットアクセス制御装置としても使用できます。
vFWはテナントゲートウェイネットワーキングとして
データセンター環境でテナントゲートウェイとしては以下の利点を提供します。
サーバーに直接展開され、ネットワーク基盤簡素化し、テナントの保守を容易にする。
Elasticなサービススケーリング、動的なパフォーマンス調整、そして高効率な管理。
セキュリティコントロールはゾーンごとに行われます。
複数のアプリケーション用のNATおよびALG侵入検知と防止。
複数の攻撃防御技術。ディニリストフィルタリング。
TCPプロキシーによるSYN Flood攻撃の防止。
トラフィックログと攻撃警報ログ。
vFWは、エンタープライズの支店に展開され、包括的なゲートウェイサービスを提供することができます。
それは以下の利点を提供します。
標準のサーバに展開され、ネットワークインフラの簡素化および管理の容易化が図られています。
インターネットアクセスを提供し、エンタープライズのデータセンターとVPN接続(IPsec VPN、L2TP、GREを含む)を確立してアクセスセキュリティを確保する。
支店のための堅牢なセキュリティ保護を提供します。
同じハードウェアプラットフォームに展開され、コンピューティングとネットワーキングの収束を実現する企業向けアプリケーションと同じです。
vFWはエンタープライズブランチゲートウェイネットワーキングとしての役割を果たします。
アイテム | 説明 |
LIS-vFW1000-C1-Y1 | 新华三AIアシスタント |
LIS-vFW1000-C1-Y3 | H3C SecPath vFW1000 ライセンス(Comware V7、1 vCPU、3年間) |
LIS-vFW1000-C1 | H3Cセキュリティパス vFW1000 ライセンス(Comware V7、1 vCPU、永久) |
LIS-vFW1000-C4-Y1 | 新华三はAIアシスタントです |
LIS-vFW1000-C4-Y3 | H3C SecPath vFW1000 ライセンス(Comware V7、4 vCPUs、3年) |
LIS-vFW1000-C4 | H3C SecPath vFW1000 License(Comware V7、4 vCPUs、Permanent) |
LIS-vFW1000-C8-Y1 | H3C SecPath vFW1000 ライセンス(Comware V7、8 vCPUs、1 年間) |
LIS-vFW1000-C8-Y3 | H3C SecPath vFW1000 ライセンス(Comware V7、8 vCPUs、3年) |
LIS-vFW1000-C8 | H3C SecPath vFW1000 License(Comware V7、8 vCPUs、Permanent) |
SSL VPNを使用するには、ライセンスを購入する必要があります。
アイテム | 説明 |
LIS-NFV-SSL-25 | H3C NFV機能ライセンス(Comware V7、SSL VPN、25ユーザー) |
LIS-NFV-SSL-100 | H3C NFV 機能ライセンス(Comware V7、SSL VPN、100ユーザー) |
LIS-NFV-SSL-500 | H3C NFV特徴ライセンス(Comware V7、SSL VPN、500ユーザー) |
LIS-NFV-SSL-1000 | H3C NFV機能ライセンス(Comware V7、SSL VPN、1000ユーザー) |