Quidway SecPath 1000F防火墙
概 述
  QuidwaySecPath 1000F防火墙是华为3Com公司面向大型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAANAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPNIPSec VPNGRE VPN、华为动态VPN等等,可以构建InternetIntranetRemote Access等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。

1.提供企业网络的安全保障和防护功能

  防火墙安全过滤能力:支持状态检测包过滤技术,还可以按照时间段进行过滤;支持华为3Com专有ASPF应用层报文过滤(Application Specific Packet Filter)协议;

  提供多种攻击防范技术:包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能、静态和动态黑名单功能、MACIP绑定功能,支持智能防范蠕虫病毒技术。

  支持细粒度内容过滤能力:支持邮件过滤、SMTP邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤、HTTP URL过滤、HTTP内容过滤;

  支持多种安全认证:提供基于PKI /X.509的证书认证功能;支持RSA SecurID动态口令认证;在PPP线路上支持CHAPPAP验证协议;支持USB Key方式存储数字证书、配置信息以及用户名密码;支持用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限;支持与Radius服务器配合,实现对接入用户的验证、授权和计费;另外,OSPFRIP2具有MD5认证功能,确保所交换路由信息的可靠性。

  支持虚拟系统防火墙:虚拟系统防火墙之间可以使用VLAN划分,也可以使用端口划分,虚拟系统防火墙内部可以配置独立的防火墙规则,虚拟系统防火墙之间默认隔离,通过配置可以互通。

  强大灵活的管理功能:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。

  全面的NAT应用支持:提供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同的地址转换服务,通过内部服务器可以向外提供FTPTelnetWWW等服务,实现公网和私网混合地址解决方案。支持多种应用协议,如FTPH323RASHWCCSIPICMPDNSILSPPTPNBTNAT ALG功能。

2.支持丰富的VPN业务特性:

  支持L2TP VPNGRE VPNIPSec VPNVPN多实例、华为动态VPN等多种VPN业务模式;利用华为专利——VPNDVPN)技术,实现穿越NAT网关、动态IP地址灵活构建VPN网络;

  支持通过QuidView VPN Manager组件进行统一网管和统一的VPN隧道监控;

3.采用电信级设备保证高可靠性:

  设备关键部件均采用冗余设计;支持接口模块热插拔;支持机箱内部环境温度自动检测,并可通过网管自动采集告警信息;双电源冗余备份;支持双机热备,支持Active/Active方式实现负载分担和业务备份;

4.全面细粒度的QoS保证

  支持流分类、流量监管、流量整形及接口限速;支持拥塞管理(FIFOPQCQWFQCBWFQRTPQ);支持拥塞避免(WRED);支持MPLS QoS支持MPLS流量工程;

Quidway® SecPath 1000F系统说明表

项目

属性

接口

1个配置口(CON

1个备份口(AUX

210/100/1000M以太网口

插槽

1MIM插槽, 可选的接口模块有1FE/2FE/4FE/1GE/2GE/HDC六种

FLASH

16MB

SDRAM

缺省:512MB

最大:1GB

外型尺寸(W×D×H

436mm x420mm x44mm

重量

5kg

电源模块

输入

交流主机:100-240V 50/60Hz

直流主机:-48V-60V

输出

电压:12V

最大功率

100W

工作环境温度

040

环境相对湿度

1090%(不结露)

Quidway® SecPath 1000F功能特性列表

属性

说明

网络安全性

验证、授权和计帐(AAA)服务

RADIUS

CHAP验证

PAP验证

域认证

结合RSA ACE/ServerSecurID实现双因素安全认证

防火墙

包过滤

基于接口的访问控制列表

基于时间段的访问控制列表

动态包过滤

防攻击特性

LandSmurfFraggleWinNukePing of DeathTear DropIP SpoofingSYN FloodICMP FloodUDP FloodARP欺骗攻击防范

ARP主动反向查询

TCP报文标志位不合法攻击防范

超大ICMP报文攻击防范

地址/端口扫描的防范

DoS/DDoS攻击防范

ICMP重定向或不可达报文控制功能

Tracert报文控制功能

带路由记录选项IP报文控制功能

静态和动态黑名单功能

MACIP绑定功能

透明防火墙

邮件/网页过滤

邮件过滤

SMTP邮件地址过滤

SMTP邮件标题过滤

SMTP邮件内容过滤

网页过滤

HTTP URL过滤

HTTP内容过滤

安全管理

攻击实时日志

黑名单日志

地址绑定日志

流量告警日志

会话日志

进制格式日志功能

流量统计和分析功能

全局/基于安全域连接数率监控

全局/基于安全域协议报文比例监控

安全事件统计功能

E-MAIL邮件实时告警功能

E-MAIL邮件定期信息发布功能

数据安全

支持终端访问安全

IPSec

IKE

NAT

支持局域网内用户使用地址池中的IP地址访问外部网络

支持将访问控制列表与地址池的关联

支持将访问控制列表与接口的关联

支持外部网络主机访问内部的服务器

可配置支持地址转换的有效时间

支持多种ALG

支持NAT多实例

VPN

L2TP VPN

可以根据VPN用户完整用户名,用户域名和电话号码向指定LNS发起连接

可以为VPN用户分配地址

可以进行LCP重协商和二次CHAP验证

支持L2TP多实例

IPSec/IKE

支持AHESP协议

支持手工或通过IKE自动建立安全联盟

ESP支持DES3DES两种加密算法

支持MD5SHA-1验证算法

支持IKE主模式及野蛮模式

支持NAT穿越

GRE VPN

MPLS L2VPN

支持多种链路层协议,包括VLANEthernetPPPPPPoE等。

三种实现方式:

CCC方式MPLS L2VPN

Martini方式MPLS L2VPN

Kompella方式MPLS L2VPN

MPLS/BGP VPN

支持VPN-IPv4地址族,允许不同VPN和公网的地址重叠

支持CE通过静态路由、RIPOSPFMP-EBGP等方式与PE进行路由交换

支持通过MP-BGP协议穿越公网发布VPN的路由消息

支持通过MPLS LSPGRE 两种隧道转发VPN报文

支持多角色主机

支持分层MPLS/BGP VPN

支持Multi-VPN-Instance CE

DVPN

支持自动建立隧道技术

提供GRE UDP两种隧道

支持登录认证及节点间的加密认证

支持依赖动态IP地址构建VPN

同一个节点可以属于不同的VPN

支持多个VPN

支持NAT穿越

DVPN隧道可以承载IPSec加密