品牌
其他厂商性质
所在地
绿盟工业安全网关
面议
深信服FW-100-BN160防火墙
面议
深信服AF-2000-B2130下一代防火墙
面议
深信服AF-2000-B2132下一代防火墙
面议
深信服NGAF-1000-A300下一代防火墙
面议
深信服NGAF-1000-A400下一代防火墙
面议
深信服NGAF-1000-B400下一代防火墙
面议
深信服NGAF-1000-C600下一代防火墙
面议
深信服NGAF-1000-D440下一代防火墙
面议
深信服NGAF-1000-D600下一代防火墙
面议
深信服NGAF-1000-E420下一代防火墙
面议
深信服NGAF-1000-D420下一代防火墙
面议 
采用控制、业务、数据相分离的全分布式架构,控制引擎、交换引擎、业务引擎及接口单元硬件分离,解耦合系统关键部件, 提高系统可靠性;独立的硬件交换引擎,支撑高性能安全业务无阻塞处理及转发。
独立的高性能控制引擎,实现系统统一配置管理和安全集群。
安全业务引擎采用多核高性能处理器,保证大 容量策略表项的高速检索。
内置模块化软件系统,支持多进程的调度,进程间运行空间隔离,单个进程的异常不会影响系统其他部分,提高系统可靠性; 支持权限管理功能,基于特性、命令行、系统资源、WEB 管理等级别定义用户读写权限,提高系统安全性;支持热补丁、ISSU,不中断业务的情况下实现系统升级,提高系统易用性。
支持虚拟化,满足云计算资源池需求。
支持多台设备集群部署。
支持虚拟防火墙。
集成入侵检测与防御、病毒防护、带宽管理和URL 过滤等功能,是业界综合防护技术的入侵检测/防御系统。通过深入到七 层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。
丰富的攻击防范技术。同时支持IPv4和IPv6。除提供普通的状态防火墙安全隔离技术外,针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法,地址欺骗攻击如IP spoofing,扫描攻击如IP地址攻击、端口攻击,异常流量攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。
全面、及时的特征库。H3C专业安全团队密切跟踪安全组织和厂商发布的安全公告,经过分析、验证所有这些威胁,生成保护操作系统、应用系统以及数据库漏洞的特征库。特征库覆盖全面,包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征,同时也包含了、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征。
针对报文检测结果提供了丰富的响应方式,包括源阻断、丢弃、允许、限流、TCP Reset、捕获原始报文、重定向、记录日志、告警等。各响应方式可以相互组合,并且设备出厂内置了一些常用的动作组合,以方便客户使用。
源地址NAT:支持对不同的源选择不同的地址池;支持NAT端口复用特性从而有效节省公网地址;支持PAT/NO-PAT,支持采用接口地址作为转换后的公网地址;针对P2P应用支持Full-cone特性。
目的地址NAT:支持将公网地址+端口转换为地址+端口;支持忽略端口的目的地址转换;支持基于策略的目的NAT,从对符合一定策略的报文进行目的地址转换;支持将多个公网地址映射为同一个地址。
静态NAT:支持静态1对1 NAT;支持静态net-to-net NAT。
NAT Fullcone技术支持NAT网络中的P2P穿越。
NAT hairpin技术解决同一NAT之后的P2P终端通信的同时,减少对出口带宽浪费。
支持多种协议状态检测如FTP、DNS、TFTP、SQLNET、SIP、H.323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN等。
支持静态、动态NAT444技术,支持基于策略的多出口NAT特性。
支持高性能的NAT日志发送。
CPU内置高性能加密引擎,确保计算复杂的加解密操作不会对CPU处理其他防火墙业务造成影响,同时保证了VPN的处理性能。
支持GRE VPN、L2TP VPN, IPsec VPN、DVPN、SSL VPN及多种VPN技术的组合应用。
支持IPv6 IPsec vpn、IPv6 GRE VPN。
支持多种VPN技术的组合使用IPsec Over GRE,L2TP over IPsec等。
支持IPv6静态路由、策略路由、OSPFv3、BGP4+、RIPng等动态路由。
支持IPv6状态防火墙。
支持IPv6协议状态检测包括DNS64、FTP、ICMPv6、SIP、RTSP、MGCP等
支持IPv6地址对象及IPv6安全策略
支持IPv6攻击防范,包括IPv6 DOS/DDOS攻击、扫描攻击等
支持IPv6 IPsec VPN
支持DS-LITE、AFT及IPv6隧道等各种过渡技术。
支持IPv6管理、日志及审计。
支持IPv6虚拟防火墙。
支持防火墙、NAT、攻击防范、VPN业务的热备。
故障隔离:软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计,保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复,不影响硬件的运行
进程级GR:通过完善的进程级GR技术,保证异常进程可恢复,并且不影响系统业务。
提供各种日志功能,包括攻击实时日志、黑名单日志、会话日志、二进制格式日志、NAT日志功能,能够有效的记录网络情况,从而为分析网络状况,防范网络攻击提供依据。
提供简单易用的Web UI管理。
通过H3C iMC管理平台实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。
(1) 基于*的深度挖掘及分析技术,采用主动收集、被动接收等方式,为用户提供集中化的日志管理功能,并对不同类型格式(Syslog、二进制流日志等)的日志进行归一化处理。同时,采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统,避免重要安全事件的丢失。
(2) 提供丰富的报表,主要包括基于应用的报表、基于网流的分析报表等。
(3) 支持以PDF、HTML、WORD和TXT等多种格式输出。
(4) 可通过Web界面进行报告定制,定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。
支持用户身份管理,不同身份的用户拥有不同的命令执行权限,可以防止低权限用户非法获取或修改配置信息等。M9008-S设置了如下四种身份的用户:访问(Visit)级、监控(Monitor)级、配置(Config)级和管理(Manage)级用户。
视图分级保护。由于四种不同身份的用户拥有的配置权限不同,级别低的用户不能进入更高级的视图。
在PPP线路上支持CHAP和PAP验证协议。
支持基于RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)的AAA(Authentication,Authorization,Accounting,认证、、计费)服务,可以与RADIUS服务器配合实施对接入用户的验证、和计费安全服务,防止非法访问。
支持基于PKI/X.509的证书认证功能。
路由协议OSPF、RIP2都具有MD5认证功能,确保所交换路由信息的可靠性。
开放接口:传统的网络操作系统为封闭的系统,有专用的系统概念和处理流程,缺乏开放性。而Comware V7使用通用的Linux操作系统,回归了主流的软件实现方式。提供开放的标准编程接口,可供用户利用Comware V7提供的基础功能,实现自己的专用功能,目前主要基于Netconf接口。
TCL脚本:Comware V7内嵌了TCL脚本执行功能,用户可以利用TCL脚本语言直接编写脚本,利用Comware V7提供的命令行、SNMP Get、SET操作,以及Comware V7公开的编程接口等实现所需功能。
EAA:可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时,满足用户一些个性化需求。
H3C SecPath M9008-S主机系统配置表
项目 | M9008-S |
主控槽位 | 2个 |
业务槽位 | 6个 |
外型尺寸 (W ×D ×H) | 机箱:436x420x575mm(13RU) |
整机功耗 | 2800W(Max) |
环境温度 | 工作:0~40℃ 非工作:-40~70℃ |
环境湿度 | 工作:5~95%,无冷凝 非工作:5~95%,无冷凝 |
配置口属性
属性 | 描述 |
接头 | RJ-45 |
接口标准 | RS-232 |
波特率 | 9600~115200bps 缺省9600bps |
支持服务 | 与字符终端相连 与本地PC的串口相连并在PC上运行终端仿真程序 命令行接口 |
线缆类型 | 普通异步串行口线缆 |
传输距离 | ≤15m |
千兆以太网电口属性
属性 | 描述 |
接口标准 | 1000BASE-T |
连接器 | RJ45 |
速率 | 10/100/1000Mbps |
工作方式 | 电口特性:支持10/100/1000M模式、支持MDI/MDIX功能 |
千兆以太网光口属性
属性 | 描述 |
接口标准 | 1000BASE-X |
连接器 | SFP |
速率 | 1000Mbps |
工作方式 | 光口特性: 只支持1000-SX/LX模式,出标准的SFP接口 |
万兆以太网光口属性
属性 | 描述 |
接口标准 | 10GBASE-R |
连接器 | SFP+ |
速率 | 10000Mbps |
工作方式 | 出标准的SFP+接口 |
功能特性表
属性 | 说明 | ||
运行模式 | 路由模式 透明模式 混合模式 | ||
网络安全性 | DPI | 支持IPS 支持应用控制及应用带宽管理 支持防病毒 支持URL过滤 支持应用识别 支持bypass | |
防范的网络攻击类型和网络滥用类型 | 蠕虫/病毒 木马 后门 DoS/DDoS攻击 探测/扫描 间谍软件 网络钓鱼 利用漏洞的攻击 SQL注入攻击 缓冲区溢出攻击 协议异常 IDS/IPS逃逸攻击 P2P滥用 IM滥用 网游滥用 | ||
防火墙 | 基本ACL和高级ACL 基于安全区域的访问控制 基于时间段的访问控制 ASPF状态防火墙 DOS/DDOS攻击防范:包括SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood,DNS Flood、HTTP Flood 畸形包攻击如:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、IP分片报文攻击、分片报文攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、ICMP重定向或不可达报文 扫描窥探攻击防范:端口扫描、地址扫描、IP路由记录选项报文、Tracert报文 静态和动态黑名单功能 连接数限制 | ||
安全审计 | 攻击实时日志 域间策略匹配日志 黑名单日志 连接数限制日志 会话日志 流量统计和分析功能 安全事件统计功能 | ||
网络协议 | IP服务 | ARP 静态ARP 动态ARP ARP代理 免费ARP DNS 本地静态域名 DNS Client NTP NTP Client NTP Server | |
IP路由 | 静态路由管理 策略路由 动态路由 RIP-1/RIP-2 OSPF 路由策略 | ||
高可靠性 | 支持集群部署 支持集群内1:1备份 支持选择性开启状态热备 支持静态链路聚合、支持动态链路聚合、支持跨设备链路聚合 链路质量探测NQA 支持BFD 热补丁 ISSU | ||
配置管理 | 命令行接口 | 通过Console口进行本地配置 通过Telnet或SSH进行本地或远程配置 支持基于RBAC的细粒度权限控制,可以控制具体命令的权限 User-interface配置,提供对登录用户多种方式的认证和功能 | |
Web网管接口 | 支持通过Web方式进行配置 支持Web管理员的超时下线 支持Web用户的登录和鉴权 支持基于RBAC的细粒度权限控制,可以控制具体Web菜单的操作权限 | ||
支持标准网管SNMP | 支持SNMPV1、V2c和SNMPV3 | ||
IPv6 | IPv6业务 | Telnet/FTP/RADIUS 域名解析 | |
IPv6路由 | 静态路由 策略路由 RIPng OSPFv3 | ||
IPv6安全 | IPv6 对象 IPv6安全策略 IPv6 状态防火墙 IPv6攻击防范 IPv6 ALG IPv6连接数限制 IPv6 URPF IPv6虚拟分片重组 IPv6虚拟IPS | ||
冗余设计 | 主控、交换网板、电源、风扇 | ||
