H3C SecPath VMSG VFW1000产品有别于H3C公司以往的各系列物理防火墙,是一款运行在标准服务器虚拟机上的纯软件防火墙产品。
领先的专业网络安全平台
基于业界领先的Comware V7平台,支持:
* 丰富的网络和安全功能,能够满足企业分支及公有云多租户环境中的网络安全需求。
* 控制平面和数据平面分离,专门为虚拟环境优化的多核数据转发,更能充分利用计算资源。
* 模块化的体系架构,开放的网络平台,允许网络按需运行和控制,更容易实现NFV/SDN落地。
* 和物理网络设备采用统一的软件平台,提供相同的功能特性和一致的管理界面。
超轻量级部署
提供了超轻量级的部署体验:
* 适合在公有云中部署,实现零运输、零布线,加快业务的部署。
* 支持VMware ESXi、Linux KVM、H3C CAS等多个主流的虚拟平台,充分发挥虚拟化的优势,实现快速部署、批量部署、镜像备份、快速恢复,并且能够灵活迁移。
* 提供ISO镜像、OVA模板、IPE等多种发布格式,适应各种环境下的部署。
* 支持虚拟机管理平台、网管平台及本地等多种工具进行灵活部署。
超强业务弹性
提供了超强的业务弹性:
* 支持VMware ESXi、Linux KVM、H3C CAS等多个主流的虚拟平台,无缝适应用户的部署环境。
* 允许企业在虚拟化的环境中搭建企业网络,可以按需动态地调配和管理网络资源及服务,比如,可以根据需要灵活调整网口数量和类型,而无需新购买硬件板卡。
* 通过动态调整虚拟机资源和License,即可实现软件功能的平滑升级、设备性能的按需提升,随时满足业务增长需求。
完善的安全保障
防火墙过滤
* 支持包过滤。借助报文中优先级、TOS、UDP或TCP端口等信息作为过滤参考,通过在接口输入或输出方向上使用标准或扩展访问控制规则,可以实现对数据包的过滤。同时,还可以按照时间段进行过滤。
* 支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议),并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过防火墙或者是被丢弃。
* 支持丰富的攻击防范技术。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针SYN Flood、UDP Flood、ICMP Flood等常见DDoS攻击的检测防御。
* 支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN等,可以针对客户需求通过拨号、租用线及VLAN或隧道等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN。结合防火墙、AAA、NAT、及多种QoS等技术,防火墙可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。
* 支持安全区域管理。可基于接口、VLAN划分安全区域。
* 支持静态和动态黑名单。
* 支持丰富的路由协议。支持静态路由、策略路由,以及RIP、OSPF等动态路由协议。
NAT应用
地址转换NAT(Network Address Translation)又称地址代理,将内部网络主机的IP地址和端口号替换为外部网络地址和端口号,有效控制内部网络和外部网络之间的访问,不仅节约了宝贵的IP地址资源,而且为内部主机提供了“隐私”保护。
提供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同的地址转换服务,通过内部服务器可以向外提供FTP、Telnet和WWW等服务,实现公网和私网混合地址解决方案。
除提供一般NAT功能以外,还提供针对多种应用协议,如多媒体应用(VOIP、视频):H323、RAS、SIP、SCCP、RTSP,VPN应用PPTP,常用的应用FTP、TFTP、DNS、NBT、ICMP、HWCC、DNS、ILS的NAT ALG功能。
安全管理
提供各种日志功能,包括攻击实时日志、黑名单日志、会话日志、NAT日志功能,能够有效的记录网络情况,从而为分析网络状况,防范网络攻击提供依据。
通过H3C iMC实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。
* 基于先进的深度挖掘及分析技术,为用户提供集中化的日志管理功能,并对不同类型格式(Syslog、二进制流日志等)的日志进行归一化处理。同时,采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统,避免重要安全事件的丢失。
* 提供丰富的报表,主要包括基于攻击、应用的报表、基于网流的分析报表等。
* 支持报告定制,定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。
安全认证
* 支持用户身份管理,不同身份的用户拥有不同的命令执行权限,可以防止低权限用户非法获取或修改配置信息等。
* 视图分级保护。由于不同身份的用户拥有的配置权限不同,级别低的用户不能进入更高级的视图。
* 支持基于RADIUS(Remote Authentication Dial-In User Service)的AAA(Authentication,Authorization,Accounting)服务,可以与RADIUS服务器配合实施对接入用户的验证、授权和计费安全服务,防止非法访问。
* 支持基于PKI/X.509的证书认证功能。
* 路由协议OSPF、RIP2都具有MD5认证功能,确保所交换路由信息的可靠性。
丰富的VPN接入能力
L2TP VPN
L2TP为目前使用最广泛的VPDN (Virtual Private Dial Network)隧道协议。L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,支持L2TP多域。
GRE VPN
GRE是第三层隧道协议,在协议层之间采用了一种被称之为Tunnel(隧道)的技术,在一个Tunnel的两端分别对数据报进行封装及解封装。
IPSec VPN
IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。IPSec可以通过手工方式建立安全联盟,也可以通过IKE方式(Internet Key Exchange,因特网密钥交换协议)自动为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务。IPSec协议为对信息安全要求较高的用户提供了一个安全的VPN解决方案。通常情况下,与L2TP协议和GRE协议等相结合使用。
