H3C SecPath vFW虚拟防火墙

的专业网络安全平台

基于业界的Comware V7平台：

丰富的网络和安全功能，能够满足企业分支及公有云中多租户环境的网络安全需求；

控制平面和数据平面分离，专门为虚拟环境优化的多核数据转发，更能充分利用计算资源；

模块化的体系架构，开放的网络平台，允许网络按需运行和控制，更容易实现NFV/SDN落地；

和物理网络设备采用统一的软件平台，提供相同的功能特性和一致的管理界面；

超轻量级部署

提供超轻量级部署体验：

适合在公有云中部署，实现零运输、零布线，加快业务的部署；

支持VMware ESXi、Linux KVM、H3C CAS等主流虚拟化平台，充分发挥虚拟化的优势，实现快速部署、批量部署、镜像备份、快速恢复，并且能够灵活迁移；

提供ISO、OVA、IPE等多种发布格式，适应不同虚拟化平台部署；

支持虚拟机管理平台、网管平台及本地等多种工具进行灵活部署；

业务弹性

提供业务弹性：

支持VMware ESXi、Linux KVM、H3C CAS等主流虚拟化平台，无缝适应用户的部署环境；

允许企业在虚拟化环境中搭建企业网络，可以按需动态地调配和管理网络资源及服务。例如，可以根据需要灵活调整网口数量和类型，而无需采购新硬件网卡；

通过动态调整虚拟机资源和License，即可实现软件功能的平滑升级、设备性能的按需提升，随时满足业务增长需求；

完善的安全保障

防火墙过滤

支持包过滤。借助报文中优先级、TOS、TCP或UDP端口等信息作为过滤参考，通过在接口输入或输出方向上使用标准或扩展访问控制规则，可以实现对数据包的过滤。同时，还可以按照时间段进行过滤；

支持应用层状态包过滤（ASPF）功能。通过检查应用层协议信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议），并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃；

支持丰富的攻击防范技术。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针SYN Flood、UDP Flood、ICMP Flood等常见DDoS攻击的检测防御；

支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN等，可以针对客户需求通过拨号、租用线及VLAN或隧道等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。结合防火墙、AAA、NAT、及多种QoS等技术，防火墙可以确保在开放的Internet上实现安全、可靠的专用私有网络；

支持安全区域管理。可基于接口、VLAN划分安全区域；

支持静态和动态黑名单；

支持丰富的路由协议。支持静态路由、策略路由，以及RIP、OSPF等动态路由协议；

> NAT应用

地址转换NAT（Network Address Translation）又称地址代理，将内部网络主机的IP地址和端口号替换为外部网络地址和端口号，有效控制内部网络和外部网络之间的访问，不仅节约了宝贵的IP地址资源，并且为内部主机提供“隐私”保护。

提供多对一、地址池、ACL控制等地址转换方式，在一个接口上支持多个不同的地址转换服务，通过内部服务器可以向外提供FTP、Telnet和WWW等服务，实现公网和混合地址解决方案；

除提供一般NAT功能以外，还提供针对多种应用协议，如多媒体应用（VOIP、视频）：H.323、RAS、SIP、SCCP、RTSP，VPN应用PPTP，常用的应用FTP、TFTP、DNS、NBT、ICMP、DNS、ILS的NAT ALG功能；

安全管理

提供各种日志功能，包括攻击实时日志、黑名单日志、会话日志、NAT日志功能，能够有效的记录网络情况，从而为分析网络状况，防范网络攻击提供依据；

通过H3C iMC实现统一管理，集安全信息与事件收集、分析、响应等功能为一体，解决网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题，使IT及安全管理员脱离繁琐的管理工作，极大提高工作效率，能够集中精力关注核心业务；

基于*的深度挖掘及分析技术，为用户提供集中化的日志管理功能，并对不同类型格式（Syslog、二进制流日志等）的日志进行归一化处理。同时，采用高聚合压缩技术对海量事件进行存储，并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统，避免重要安全事件的丢失；

提供丰富的报表，主要包括基于攻击、应用的报表、基于网流的分析报表等；

支持报告定制，定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等；

安全认证

支持用户身份管理，不同身份的用户拥有不同的命令执行权限，可以防止低级别权限用户非法获取或修改配置信息等；

视图分级保护。由于不同身份的用户拥有的配置权限不同，低级别用户不能进入更高级的视图；

支持基于RADIUS（Remote Authentication Dial-In User Service）的AAA（Authentication，Authorization，Accounting）服务，可以与RADIUS服务器配合实施对接入用户的验证、和计费安全服务，防止非法访问；

支持基于PKI/X.509的证书认证功能；

路由协议OSPF、RIP2都具有MD5认证功能，确保所交换路由信息的可靠性；

丰富的VPN接入能力

L2TP VPN

L2TP为目前使用泛的VPDN （Virtual Private Dial Network）隧道协议。L2TP协议提供了对PPP链路层数据包的通道（Tunnel）传输支持，支持L2TP多域。

GRE VPN

GRE是第三层隧道协议，在协议层之间采用了一种被称之为Tunnel（隧道）的技术，在一个Tunnel的两端分别对数据报进行封装及解封装。

IPSec VPN

IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IPSec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标。IPSec可以通过手工方式建立安全联盟，也可以通过IKE方式（Internet Key Exchange，因特网密钥交换协议）自动为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务。IPSec协议为对信息安全要求较高的用户提供了一个安全的VPN解决方案。通常情况下，与L2TP协议和GRE协议等相结合使用。

SSL VPN

首先，SSL协议是一种加密协议，可以很好地保证数据传输的性和完整性。其次，SSL协议还是一种工作在TCP协议层之上的协议。使用SSL进行通讯，不改变IP报文头和TCP报文头，因而SSL报文对NAT和防火墙来说都是透明的，SSL VPN的部署不会影响现有的网络。这样用户从任何地方上网，只要能接入Internet，就能使用SSL VPN。另外，SSL加密协议受到了目前决大多数软件平台的支持。常用的操作系统Windows、Linux，浏览器IE、Firefox等都支持SSL。SSL VPN以其简单易用的安全接入方式、丰富有效的权限管理，跨平台、免安装、免维护的客户端而成为远程接入市场上的新贵。

配合SDN控制器实现智能网络

配合SDN控制器，能够实现：

vFW基于用户配合VNF Manager实现一键部署及删除；

支持VxLAN 三层网关功能；

通过控制器实现服务链功能；

支持netconf、openflow流表等多种SDN协议；

vFW1000软件可以免费下载进行安装，需要购买License进行使用。

vFW2000软件可以免费下载进行安装，需要购买License进行使用。