品牌
其他厂商性质
所在地
H3C SecPath M9000系列是杭州华三通信技术有限公司(以下简称H3C公司)结合云计算、IPv6、大数据及高性能计算的发展趋势,针对云计算数据中心、运营商CGN、大型企业及园区网出口等市场推出的新一代高性能多业务安全网关。
H3C SecPath M9000系列全面支持攻击防范、抗DDoS、访问控制、安全域划分、黑名单、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN、SSL VPN、MPLS VPN等,满足多种高性能VPN接入的需求;支持业界的NAT特性,满足各大运营商的NAT需求;提供丰富的路由能力,支持静态路由、RIP/OSPF/BGP/ISIS路由策略及策略路由;全面支持IPv4/IPv6双协议栈。
H3C SecPath M9000系列多业务安全网关充分考虑网络应用对高可靠性的要求,采用的多核全分布式架构。主控引擎1+1冗余,提供整机统一配置管理,支持安全集群;业务引擎和接口单元支持混插,可以根据性能需求灵活进行选择;风扇模块冗余,风扇框支持风扇状态监控,风扇支持无级调速,可以根据环境温度、单板配置自动分组调速;电源模块M+N备份,交、直流电源模块支持热插拔,多电源模块负载分担,可灵活根据系统功耗配置模块数量,保证模块高效工作。设备所有单元均支持热插拔,充分满足网络维护、升级、优化的需求。
采用控制、业务、数据相分离的全分布式架构,控制引擎、交换引擎、业务引擎及接口单元硬件分离,解耦合系统关键部件,提高系统可靠性;独立的硬件交换引擎,支撑高性能安全业务无阻塞处理及转发
独立的高性能控制引擎,实现系统统一配置管理和安全集群
安全业务引擎采用多核高性能处理器,单板卡高速处理安全业务性能业界;一块硬件板卡上可同时提供L2~L7的全面安全防御,包括防火墙、NAT、LB、IPS、AV、ACG、VPN等;内置专业硬件TCAM,保证大容量策略表项的高速检索
内置模块化软件系统,支持多进程的调度,进程间运行空间隔离,单个进程的异常不会影响系统其他部分,提高系统可靠性;支持权限管理功能,基于特性、命令行、系统资源、WEB管理等级别定义用户读写权限,提高系统安全性;支持热补丁、支持ISSU,不中断业务的情况下实现系统升级,提高系统易用性
采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从大中型企业用户到各大电信运营商,经历了多年的市场考验
支持状态1:1热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份
支持状态N:N热备功能,实现负载分担和业务备份,大幅提高系统可靠性
支持SCF(安全集群系统),支持多框集群和异构集群,实现灵活管理和弹性扩展。
支持丰富的攻击防范功能。包括:Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic 、Ping of Death、Tiny Fragment 、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、CC等常见DDoS攻击的检测防御。
支持统一管理。主机+多业务引擎始终作为一个网元进行统一管理,无需对每块插卡进行IP地址规划,在节省用户的IP地址的同时大量减少部署的复杂度,并且可以对设备实现全面的配置管理、性能监控和日志审计。
支持智能分流(IFF)。部署多业务插卡后,流量自动在多个业务板卡内负载分担从而实现分布式处理。
支持安全集群框架(SCF)。全面突破机框的限制,在简化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展。支持异构集群,M9006、M9010和M9014相互之间可集群,集群系统更灵活和多样化。
支持安全ONE平台(SOP)。采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙:
SOP之间实现了基于进程的真正相互隔离
SOP通过统一的OS内核可以对系统的静态及动态的资源进行细粒度的划分
SOP数量可以按照系统需求的变化动态调整
SOP能力可以根据用户需求动态的进行调整
支持安全区域管理。可基于接口、VLAN划分安全区域
支持包过滤。通过在安全区域间使用标准或扩展访问控制规则,借助报文中UDP或TCP端口等信息实现对数据包的过滤,支持按照时间段进行过滤
支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如RAWIP/ICMP/ICMPV6/UDP-LITE/SCTP及其它基于TCP/UDP协议的应用层协议),并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过多业务安全网关或者是被丢弃
支持验证、和计帐(AAA)服务。包括:基于RADIUS/HWTACACS+/ LDAP(AD)、CHAP、PAP等的认证
支持静态和动态黑名单
支持静态NAT、源地址NAT、目的地址NAT
支持静态及动态运营商CGN NAT
支持Fullcone、Hairpin等P2P穿越技术
支持NAT ALG
支持VPN功能。包括:支持L2TP、手工/自动方式IPSec、GRE、MPLS VPN等
支持丰富的路由协议。支持IPv4、IPv6静态路由、等价路由、策略路由,以及BGP、RIPv2、OSPF、ISIS等动态IPv4路由协议,支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议
支持组播技术。支持IGMP v1/v2/v3,PIM-SM、PIM-DM
支持安全日志。支持操作日志、域间策略匹配日志、攻击防范日志;支持DS-LITE日志;支持NAT444日志,支持电信、联通、移动格式;
支持流量监控统计、管理。
与基础安全防护高度集成的一体化安全业务处理平台。
全面的应用层流量识别与管理:通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制。
高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率。
实时的病毒防护:采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。
迅捷的URL分类过滤:提供基础的URL黑白名单过滤同时,可以配置URL分类过滤服务器在线查询。
全面、及时的安全特征库。通过多年经营与积累,H3C公司拥有业界的攻击特征库团队,同时配备有专业的实验室,紧跟网络安全领域的动态,从而保证特征库的及时准确更新。
支持IPv6基础协议。支持TCP6,UDP6,RAWIP6,ICMPV6,PPPoEv6、DHCPV6 Server、DHCPv6 Client、DHCPV6 Relay、DNSv6、RADIUS6等协议;
支持IPv6路由协议。支持静态路由、BGP4+OSPFv3ISISV6路由策略和策略路由;
支持IPv6 ASPF。
支持IPV6攻击防范。
支持IPv6 Multicast。
支持IPv6各种过渡技术,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道、NAT444、DS-Lite等。
集成链路负载均衡特性,通过链路状态检测、链路繁忙保护等技术,有效实现企业互联网出口的多链路自动均衡和自动切换。
一体化集成SSL VPN特性,满足移动办公、员工出差的安全访问需求,不仅可结合USB-Key、短信进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入。
DLP基础功能支持,支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤;支持网络传输协议的文件过滤;支持应用层过滤,提供Java/ActiveX Blocking和SQL注入攻击防范。
支持标准网管 SNMPv3,并且兼容SNMP v1和v2
可通过命令行界面进行设备管理及安全业务配置,满足专业管理和大批量配置需求
支持图形化界面,提供简单易用的Web管理
通过H3C iMC实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,能够集中精力关注核心业务,极大提高工作效率
基于*的深度挖掘及分析技术,采用主动收集、被动接收等方式,为用户提供集中化的日志管理功能,并对不同类型格式(Syslog、二进制流日志等)的日志进行归一化处理。同时,采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统,避免重要安全事件的丢失
提供丰富的报表,主要包括基于应用的报表、基于网流的分析报表等
支持以PDF、HTML、WORD和TXT等多种格式输出
可通过Web界面进行报告定制,定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等
属性 | M9006 | M9010 | M9014 |
主控板槽位数 | 2 | 2 | 2 |
业务板槽位数 | 4 | 8(竖式插槽) | 12 |
交换网板槽位数 | 4 | 4 | 4 |
冗余设计 | 主控、交换网板、电源、风扇 | 主控、交换网板、电源、风扇 | 主控、交换网板、电源、风扇 |
环境温度 | 工作:0~45℃ 非工作:-40~70℃ | ||
运行模式 | 路由模式 | ||
AAA服务 | Portal认证、RADIUS认证、HWTACACS认证、PKI /CA(X.509格式)认证、 域认证、CHAP验证、PAP验证 | ||
多业务安全网关 | 虚拟多业务安全网关 安全区域划分 可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多种恶意攻击 基础和扩展的访问控制列表 基于时间段的访问控制列表 动态包过滤 ASPF应用层报文过滤 静态和动态黑名单功能 MAC和IP绑定功能 基于MAC的访问控制列表 支持802.1q VLAN 透传 | ||
病毒防护 | 基于病毒特征进行检测 支持病毒库手动和自动升级 报文流处理模式 支持HTTP、FTP、SMTP、POP3协议 支持的病毒类型:Backdoor、-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等 支持病毒日志和报表 | ||
深度入侵防御 | 支持对攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御 支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御 支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级) 支持攻击特征库的手动和自动升级(TFTP和HTTP) 支持对BT等P2P/IM识别和控制 | ||
邮件/网页/应用层过滤 | 邮件过滤 SMTP邮件地址过滤 邮件标题过滤 邮件内容过滤 邮件附件过滤 网页过滤 HTTP URL过滤 HTTP内容过滤 应用层过滤 Java Blocking ActiveX Blocking SQL注入攻击防范 | ||
NAT | 支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 支持外部网络主机访问内部服务器 支持内部地址直映射到接口公网IP地址 支持DNS映射功能 可配置支持地址转换的有效时间 支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 | ||
VPN | L2TP VPN、IPSec VPN、GRE VPN、MPLS VPN | ||
IPv6 | IPV6状态防火墙 IPV6域间策略 IPV6攻击防范 IPV6连接数限制 IPv6协议: ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6 Client、DHCPv6 Relay等 IPv6路由:RIPng、OSPFv3、BGP4+、静态路由、策略路由、PIM-SM、PIM-DM等 IPv6过渡技术:NAT-PT、IPv6 Tunnel、NAT64(DNS64)、DS-LITE等 | ||
高可靠性 | 支持双机状态热备(Active/Active和Active/Backup两种工作模式) 支持集群统一配置管理 支持非对称路径 支持IPSec VPN的IKE状态同步 支持VRRP 支持静态及动态链路聚合 支持BFD 支持不间断升级ISSU 支持热补丁技术 | ||
易维护性 | 支持基于命令行的配置管理 支持Web方式进行远程配置管理 支持H3C iMC管理平台进行设备管理 支持标准网管 SNMPv3,并且兼容SNMP v1和v2 | ||
环保与认证 | 支持欧洲严格的RoHS环保认证 | ||
H3C SecPath M9000与计算数据中心应用
双机状态热备技术,高可靠网络设计
强劲的业务处理能力
的VPN加密处理能力
优异的防攻击能力,有效防止单包、Flood等攻击
丰富路由协议,实现安全与网络融合
