H3C SecPath F1000-AI防火牆
时间:2022-11-28点击:1275次
隨著網路技術的不斷普及與發展,網絡攻擊行為出現得越來越頻繁。 通過各種攻擊軟件,只要具有一般電腦常識的初學者也能完成對網絡的攻擊,同時,各種網絡病毒的氾濫,也加劇了網絡被攻擊的危險。
H3C SecPath F1000-AI系列防火牆面向行業市場的高性能多千兆和超萬兆防火牆VPN集成閘道產品,硬體上基於多核處理器架構,為1U的獨立盒式防火牆。 該系列防火牆產品提供豐富的介面擴展能力。 同時作為NGFW產品,豐富的稽核功能是必不可少的,所以產品系列可以擴展大容量硬碟,同時新增硬碟後還可以有效支持Web緩衝等應用加速功能。
在安全功能方面,F1000-AI系列作為NGFW產品,除支持安全控制、VPN、NAT、DOS/DDOS防禦等防火牆安全功能外,還一體化地集成了IPS、AV、應用控制、DLP、URL分類及自定義過濾等深度安全防禦的功能,實現了基於用戶、應用、時間、地理位置、安全狀態等多維度的策略控制功能。
產品系列集成了AI計算能力,針對未知威脅和APT攻擊提供有力的防護。 同時,基於AI科技,簡化產品的運維體驗。
在虛擬化和可靠性方面,基於H3C專業的Comware V7平臺,支持多設備集羣及1:N虛擬化。 更好地適應云計算的要求的彈性擴展能力。
人工智慧特性
F1000-AI防火牆是集成了AI分析引擎的新一代防火牆,在有效應對傳統網絡的安全威脅的基礎上還能够:
識別加密和新型應用,提供更加準確、精細和靈活的安全管控策略。
識別惡意的加密流量,發現隱藏在正常加密流量中的惡意行為。
識別异常、威脅和攻擊等安全風險,為應急回應提供決策和依據。
與雲端和態勢感知等平臺相結合,提供全方位的協同防禦。
F1000-AI防火牆是一個持續演進的產品,是AI綜合網絡的安全解决方案中的關鍵部分,也是網絡的安全主動防禦體系中的必要環節,將朝著彈性架構、加密分析、AI賦能、協同防禦的方向不斷推進。
電信級設備高可靠性
採用H3C公司擁有自主知識產權的軟、硬體平臺。 產品應用從電信運營商到中小企業用戶,經歷了多年的市場考驗。
支持H3C SCF虛擬化技術,可將多臺設備虛擬化為一臺邏輯設備,對外呈現為一個網絡節點,資源統一管理,完成業務備份同時提高系統整體效能。
虛擬化:支持虛擬防火牆的創建、啟動、關閉、删除功能。
强大的安全防護功能
支持豐富的攻擊防範功能。 包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向査詢、TCP報文標誌比特不合法、超大ICMP報文、地址掃描、埠掃描等攻擊防範,還包括針對SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常見DDoS攻擊的檢測防禦。
最新支持SOP 1:N完全虛擬化。 可在H3C SecPath F1000-AI設備上劃分多個邏輯的虛擬防火牆,基於容器化的虛擬化技術使得虛擬系統與實際物理系統特性一致,並且可以基於虛擬系統進行吞吐、併發、新建、策略等效能分配。
支持安全區域管理。 可基於介面、VLAN劃分安全區域。
支持包過濾。 通過在安全區域間使用標準或擴展存取控制規則,借助報文中UDP或TCP埠等資訊實現對數据包的過濾。 此外,還可以按照時間段進行過濾。
支持應用識別,且可以基於應用、用戶的存取控制,將應用與用戶作為安全性原則的基本元素,並結合深度防禦實現下一代的存取控制功能。
支持應用層狀態包過濾(ASPF)功能。 通過檢查應用層協定資訊(如FTP、HTTP、SMTP、RTSP及其它基於TCP/UDP協定的應用層協定),並監控基於連接的應用層協定狀態,動態的决定數据包是被允許通過防火牆或者是被丟棄。
支持驗證、授權和計帳(AAA)服務。 包括:基於RADIUS/HWTACACS+、CHAP、PAP等的認證。
支持靜態和動態黑名單。
支持NAT和NAT多實例。
支持VPN功能。 包括:支持L2TP、IPSec/IKE、GRE、SSL等,並實現與智慧終端對接。
支持豐富的路由式通訊協定。 支持靜態路由、策略路由,以及RIP、OSPF等動態路由式通訊協定。
支持安全性記錄檔。
支持流量監控統計、管理。
國密算灋:支持國密SM1/2/3/4算灋。
靈活可擴展的一體化DPI深度安全
與基礎安全防護高度集成的一體化安全業務處理平臺。
全面的應用層流量識別與管理:通過H3C長期積累的狀態機檢測、流量互動檢測科技,能精確檢測Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(電騾)/eDonkey(電驢)、微信、微博、QQ、MSN、PPLive等P2P/IM/網路遊戲/炒股/網路視頻/網絡多媒體等應用; 支持P2P流量控制功能,通過對流量採用深度檢測的方法,即通過將網絡報文與P2P協定報文特徵進行匹配,可以精確的識別P2P流量,以達到對P2P流量進行管理的目的,同時可提供不同的控制策略,實現靈活的P2P流量控制。
高精度、高效率的入侵偵測引擎。 採用H3C公司自主知識產權的FIRST(Full Inspection with Rigorous State Test,基於精確狀態的全面檢測)引擎。 FIRST引擎集成了多項檢測科技,實現了基於精確狀態的全面檢測,具有極高的入侵偵測精度; 同時,FIRST引擎採用了並行檢測科技,軟、硬體可靈活適配,大大提高了入侵偵測的效率。
實时的病毒防護:採用流引擎查毒科技,可迅速、準確查殺網路流量中的病毒等惡意程式碼。
海量URL分類過濾:設備支持根據URL類別實現URL過濾,支持本地+雲端管道,139個分類庫,超2000萬條URL規則。
全面、及時的安全特徵庫。 通過多年經營與積累,H3C公司擁有業界資深的攻擊特徵庫團隊,同時配備有專業的攻防實驗室,緊跟網絡的安全領域的最新動態,從而保證特徵庫的及時準確更新。
業界專業的IPv6
支持IPv6狀態防火牆,真正意義上實現IPv6條件下的防火牆功能,同時完成IPv6的攻擊防範。
支持IPv4/IPv6雙協議棧,並支持IPv6數據報文轉發、靜態路由、動態路由及組播路由等功能。
支持IPv6各種過渡科技,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4相容IPv6自動隧道、ISATAP隧道、NAT444、DS-Lite等。
支持IPv6 ACL、Radius等安全技術。
下一代多業務特性
集成連結負載均衡特性,通過連結狀態檢測、連結繁忙保護等科技,有效實現企業互聯網出口的多連結自動均衡和自動切換。
一體化集成SSL VPN(IPV4&IPV6)特性,滿足移動辦公、員工出差的安全訪問需求,不僅可結合USB-Key、簡訊進行移動用戶的身份認證,還可與企業原有認證系統相結合、實現一體化的認證接入。
數據防洩漏(DLP),支持郵件過濾,提供SMTP郵寄地址、標題、附件和內容過濾; 支持網頁過濾,提供HTTP URL和內容過濾; 支持網絡傳輸協定的檔案過濾; 支持應用層過濾,提供Java/ActiveX Blocking和SQL注入攻擊防範。
入侵防禦(IPS),支持Web攻擊識別和防護,如跨站腳本攻擊、SQL注入攻擊等。 支持基於對包括但不限於作業系統、網路設備、辦公軟體、網頁服務等保護對象的入侵防禦策略,支持基於對漏洞、惡意檔案、資訊收集類攻擊等的攻擊分類的防護策略,支持基於服務器、客戶端的防護策略,且預設動作支持黑名單。
防病毒(AV),高性能病毒引擎,可防護500萬種以上的病毒和木馬,病毒特徵庫每日更新。 支持基於檔案協定、共亯協定(NFS/SMB)的病毒功能。 動作響應,可發現病毒發送的告警資訊,支持用戶編輯告警內容。
未知威脅防禦,借助態勢感知平臺,NGFW可以快速發現攻擊、定位問題,確保一旦單點受到攻擊,全網實施策略陞級及綜合預警、響應。
深入的WEB安全防護不局限於常規的IPS/AV防護,針對內網服務器,提供細緻化的web應用防護,對於服務器最為頭疼的CC攻擊,异常外聯,SQL注入、HTTP慢速攻擊、跨站腳本等常見攻擊行為,對來自Web應用程序用戶端的各類請求進行內容檢測和驗證,確保其安全性與合法性,對非法的請求予以實时阻斷, 從而對各類網站進行有效防護。
支持智慧終端識別,終端識別是建立物聯網安全連接的重要前提,用於識別物聯網中的終端,。 當終端流量流經設備時,H3C安全閘道可以分析並選取出終端資訊,例如終端的廠商、型號等,並支持在終端資訊發生變更時向用戶發送日誌,提示用戶。 同時採用應用檢測管道和IPID檢測管道對通過NAT科技或代理科技進行共亯上網的行為進行識別和管理。
資產掃描,支持資產發現功能,能够掃描發現內網主機開放的埠,服務,發現風險,識別威脅。
未知威脅檢測單靠特徵分析已不足以應對複雜的網路環境,面對典型的APT(Advanced Persistent Threat,高級持續性威脅)攻擊沙箱科技是防禦APT攻擊最有效的方法之一,它用於構造隔離的威脅檢測環境。 H3C安全閘道通過將網路流量送入沙箱進行隔離分析,由沙箱給出是否存在威脅的結論。 檢測到某流量為惡意流量,設備將對流量實施阻斷等處理。
專業的智慧管理
支持智慧安全性原則:支持策略風險調优,支持安全性原則優化分析,支持策略數冗餘及命中分析,支持基於應用風險的自動批量和手動逐條策略調优,可根據流量、應用、風險類型等細粒度展示,並給出總體安全評分,便於用戶更好的管理安全性原則,動態檢測內網業務動態生成安全性原則並推薦。
支持標準網管SNMPv3,並且相容SNMP v1和v2。
提供圖形化介面,簡單易用的Web管理。
可通過命令列介面進行設備管理與防火牆功能配寘,滿足專業管理和大批量配寘需求。
通過H3C IMC SSM安全管理中心實現統一管理,集安全資訊與事件收集、分析、響應等功能為一體,解决了網絡與安全設備相互孤立、網絡的安全狀況不直觀、安全事件響應慢、網路故障定位困難等問題,使IT及安全管理員脫離繁瑣的管理工作,極大提高工作效率,能够集中精力關注覈心業務。
基於先進的深度挖掘及分析科技,採用主動收集、被動接收等管道,為用戶提供集中化的日誌管理功能,並對不同類型格式(Syslog、二進位流日誌等)的日誌進行歸一化處理。 同時,採用高聚合壓縮科技對海量事件進行存儲,並可通過自動壓縮、加密和保存日誌檔到DAS、NAS或SAN等外部存儲系統,避免重要安全事件的遺失。
提供豐富的報表,主要包括基於應用的報表、基於網流的分析報表等。
支持以PDF、HTML、WORD和TXT等多種格式輸出。
可通過Web介面進行報告定制,定制內容包括數據的時間範圍、數據的來源設備、生成週期以及輸出類型等。
ISSU(In-Service Software Upgrade,不中斷業務陞級)是一種可靠性高的陞級設備啟動軟件的管道。 通過ISSU陞級,能够確保在陞級過程中業務不中斷或者中斷時間較短。
將BLS、ATK、CFGLOG細分為五類日誌,支持真分頁功能,新增清除功能,支持獨立模塊設定日誌參數,分頁査詢和配寘日誌。