H3C SecPath vFW虚拟防火墙

H3C SecPath vFW产品(简称vFW)是一款功能强大的软件化安全产品,是H3C网络功能虚拟化系列产品的重要组件之一。

详情

H3C vFW产品有别于H3C公司以往的物理负载均衡设备,是一款运行在标准服务器虚拟机上的纯软件应用交付产品。

领先的专业网络安全平台

基于业界领先的Comware V7平台,支持:

*丰富的网络和安全功能,能够满足企业分支及公有云多租户环境中的网络安全需求。

*控制平面和数据平面分离,专门为虚拟环境优化的多核数据转发,更能充分利用计算资源。

*模块化的体系架构,开放的网络平台,允许网络按需运行和控制,更容易实现NFV/SDN落地。

*和物理网络设备采用统一的软件平台,提供相同的功能特性和一致的管理界面。

超轻量级部署

提供了超轻量级的部署体验:

*适合在公有云中部署,实现零运输、零布线,加快业务的部署。

*支持VMware ESXi、Linux KVM、H3C CAS等多个主流的虚拟平台,充分发挥虚拟化的优势,实现快速部署、批量部署、镜像备份、快速恢复,并且能够灵活迁移。

*提供ISO镜像、OVA模板、IPE等多种发布格式,适应各种环境下的部署。

*支持虚拟机管理平台、网管平台及本地等多种工具进行灵活部署。

超强业务弹性

提供了超强的业务弹性:

*支持VMware ESXi、Linux KVM、H3C CAS等多个主流的虚拟平台,无缝适应用户的部署环境。

*允许企业在虚拟化的环境中搭建企业网络,可以按需动态地调配和管理网络资源及服务,比如,可以根据需要灵活调整网口数量和类型,而无需新购买硬件板卡。

*通过动态调整虚拟机资源和License,即可实现软件功能的平滑升级、设备性能的按需提升,随时满足业务增长需求。

完善的安全保障

防火墙过滤

*支持包过滤。借助报文中优先级、TOS、UDP或TCP端口等信息作为过滤参考,通过在接口输入或输出方向上使用标准或扩展访问控制规则,可以实现对数据包的过滤。同时,还可以按照时间段进行过滤。

*支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议),并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过防火墙或者是被丢弃。

*支持丰富的攻击防范技术。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针SYN Flood、UDP Flood、ICMP Flood等常见DDoS攻击的检测防御。

*支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN等,可以针对客户需求通过拨号、租用线及VLAN或隧道等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN。结合防火墙、AAA、NAT、及多种QoS等技术,防火墙可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。

*支持安全区域管理。可基于接口、VLAN划分安全区域。

*支持静态和动态黑名单。

*支持丰富的路由协议。支持静态路由、策略路由,以及RIP、OSPF等动态路由协议。

NAT应用

地址转换NAT(Network Address Translation)又称地址代理,将内部网络主机的IP地址和端口号替换为外部网络地址和端口号,有效控制内部网络和外部网络之间的访问,不仅节约了宝贵的IP地址资源,而且为内部主机提供了“隐私”保护。

*提供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同的地址转换服务,通过内部服务器可以向外提供FTP、Telnet和WWW等服务,实现公网和私网混合地址解决方案。

*除提供一般NAT功能以外,还提供针对多种应用协议,如多媒体应用(VOIP、视频):H323、RAS、SIP、SCCP、RTSP,VPN应用PPTP,常用的应用FTP、TFTP、DNS、NBT、ICMP、HWCC、DNS、ILS的NAT ALG功能。

安全管理

*提供各种日志功能,包括攻击实时日志、黑名单日志、会话日志、NAT日志功能,能够有效的记录网络情况,从而为分析网络状况,防范网络攻击提供依据。

*通过H3C iMC实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。

*基于先进的深度挖掘及分析技术,为用户提供集中化的日志管理功能,并对不同类型格式(Syslog、二进制流日志等)的日志进行归一化处理。同时,采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统,避免重要安全事件的丢失。

*提供丰富的报表,主要包括基于攻击、应用的报表、基于网流的分析报表等。

*支持报告定制,定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。

安全认证

*支持用户身份管理,不同身份的用户拥有不同的命令执行权限,可以防止低权限用户非法获取或修改配置信息等。

*视图分级保护。由于不同身份的用户拥有的配置权限不同,级别低的用户不能进入更高级的视图。

*支持基于RADIUS(Remote Authentication Dial-In User Service)的AAA(Authentication,Authorization,Accounting)服务,可以与RADIUS服务器配合实施对接入用户的验证、授权和计费安全服务,防止非法访问。

*支持基于PKI/X.509的证书认证功能。

*路由协议OSPF、RIP2都具有MD5认证功能,确保所交换路由信息的可靠性。

丰富的VPN接入能力

L2TP VPN

L2TP为目前使用最广泛的VPDN (Virtual Private Dial Network)隧道协议。L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,支持L2TP多域。

GRE VPN

GRE是第三层隧道协议,在协议层之间采用了一种被称之为Tunnel(隧道)的技术,在一个Tunnel的两端分别对数据报进行封装及解封装。

IPSec VPN

IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。IPSec可以通过手工方式建立安全联盟,也可以通过IKE方式(Internet Key Exchange,因特网密钥交换协议)自动为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务。IPSec协议为对信息安全要求较高的用户提供了一个安全的VPN解决方案。通常情况下,与L2TP协议和GRE协议等相结合使用。

SSL VPN

首先,SSL协议是一种加密协议,可以很好地保证数据传输的私密性和完整性。其次,SSL协议还是一种工作在TCP协议层之上的协议。使用SSL进行通讯,不改变IP报文头和TCP报文头,因而SSL报文对NAT和防火墙来说都是透明的,SSL VPN的部署不会影响现有的网络。这样用户从任何地方上网,只要能接入Internet,就能使用SSL VPN。另外,SSL加密协议受到了目前决大多数软件平台的支持。常用的操作系统Windows、Linux,浏览器IE、Firefox等都支持SSL。SSL VPN以其简单易用的安全接入方式、丰富有效的权限管理,跨平台、免安装、免维护的客户端而成为远程接入市场上的新贵。

配合SDN控制器实现智能网络

配合SDN控制器,能够实现:

*vFW基于用户配合VNF Manager实现一键部署及删除。

*支持VxLAN 三层网关功能。

*通过控制器实现服务链功能。

*支持netconf、openflow流表等多种SDN协议。


H3C SecPath vFW虚拟防火墙
H3C SecPath vFW产品(简称vFW)是一款功能强大的软件化安全产品,是H3C网络功能虚拟化系列产品的重要组件之一。
长按识别二维码查看详情
长按图片保存/分享
询盘

咨询表单:

  • 请输入验证码

咨询产品:


你还没有添加任何产品!

首页      公司介绍      解决方案


技术服务      售后服务      资讯中心

福建展泽信息技术有限公司

地址:福州市鼓楼区五四路173号新华福广场B座11楼

邮编:350001

电话:0591-87828863 0591-87831613

传真:0591-87820200

图片展示

©2014-2018 福建展泽信息技术有限公司版权所有   ALL RIGHTS RESERVED  闽ICP6053031号-1 网站建设:思企互联