SecBlade防火墙模块是H3C根据企业或园区网络的发展,为H3C S9500 系列路由交换机进行设计开发的插卡模块。它将交换机的转发和业务的处理有机融合在一起,实现交换机在高性能数据转发的同时,能够根据组网的特点处理安全业务,实现安全防护和监控。
SecBlade防火墙模块是有机地将交换机的vlan交换技术和安全网络技术融合在一起实现的安全业务插卡。它不仅保留了交换机线速高容量转发的特点,还可以根据用户对于安全防护的考虑,将secureVlan技术融入到vlan技术中。它可以实现对内网,DMZ多个区域的保护,可以用于边界保护中,也可以用于内网的vlan跨区域保护。
SecBlade防火墙模块支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
产品特点
l 提供企业网络的安全保障和防护功能
u 防火墙安全过滤能力:支持状态检测包过滤技术,还可以按照时间段进行过滤;支持H3C专有ASPF应用层报文过滤(Application Specific Packet Filter)协议;
u 提供多种攻击防范技术:包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能、静态和动态黑名单功能、MAC和IP绑定功能,支持智能防范蠕虫病毒技术。
u 支持细粒度内容过滤能力:支持邮件过滤、SMTP邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤、HTTP URL过滤、HTTP内容过滤;
u 支持多种安全认证:提供基于PKI /X.509的证书认证功能;支持RSA SecurID动态口令认证;在PPP线路上支持CHAP和PAP验证协议;支持USB Key方式存储数字证书、配置信息以及用户名密码;支持用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限;支持与Radius服务器配合,实现对接入用户的验证、授权和计费;另外,OSPF、RIP2具有MD5认证功能,确保所交换路由信息的可靠性。
u 强大灵活的管理功能:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。
u 全面的NAT应用支持:提供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同的地址转换服务,通过内部服务器可以向外提供FTP、Telnet和WWW等服务,实现公网和私网混合地址解决方案。支持多种应用协议,如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、ILS、PPTP、NBT的NAT ALG功能。
l 高可靠性:
u 支持VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)实现设备备份。
l 全面细粒度的QoS保证:
u 支持流分类、流量监管、流量整形及接口限速;支持拥塞管理(FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ);支持拥塞避免(WRED);
产品规格
SecBlade 防火墙模块系统说明表
|
项目
|
属性
|
|
FLASH
|
16MB
|
|
SDRAM
|
1024MB
|
|
最大功率
|
80W
|
|
工作环境温度
|
0~45℃
|
|
环境相对湿度
|
10~90%(不结露)
|
|
模块适用的机型
|
S8505/S8508/S8512
|
|
自带接口
|
l 1个Console口,支持本单板的本地配置管理
l 1个AUX口,支持本单板的远程拨号配置管理
l 3个10M/100M以太网电接口,其中只有3号接口可作为升级/管理用以太网口
l 8个1000M SFP光接口
|
SecBlade防火墙模块功能特性列表
|
属性
|
说明
|
|
网络安全性
|
验证、授权和计帐(AAA)服务
|
RADIUS
HWTACACS
CHAP验证
PAP验证
域认证
|
|
防火墙
|
包过滤
基于接口的访问控制列表
基于时间段的访问控制列表
ASPF状态防火墙
防攻击特性
Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范
ARP主动反向查询
TCP报文标志位不合法攻击防范
超大ICMP报文攻击防范
地址/端口扫描的防范
DoS/DDoS攻击防范
ICMP重定向或不可达报文控制功能
Tracert报文控制功能
带路由记录选项IP报文控制功能
静态和动态黑名单功能
MAC和IP绑定功能
蠕虫病毒防范
透明防火墙
反向路由检查功能
|
|
邮件/网页过滤
|
邮件过滤
SMTP邮件地址过滤
SMTP邮件标题过滤
SMTP邮件内容过滤
网页过滤
HTTP URL过滤
HTTP内容过滤
|
|
安全管理
|
攻击实时日志
黑名单日志
地址绑定日志
流量告警日志
会话日志
二进制格式日志功能
流量统计和分析功能
全局/基于安全域连接速率监控
全局/基于安全域协议报文比例监控
安全事件统计功能
E-Mail邮件实时告警功能
E-Mail邮件定期信息发布功能
|
|
NAT
|
支持地址池方式的地址变换
支持使用ACL控制地址转换
支持Easy IP
支持NAT Server
可配置支持地址转换的有效时间
支持多种ALG,包括FTP,H323,DNS,SIP等
|
|
VPN
|
L2TP VPN
|
可以根据VPN用户完整用户名和用户域名向指定LNS发起连接
可以为VPN用户分配地址
可以进行LCP重协商和二次CHAP验证
|
|
GRE VPN
|
采用Tunnel(隧道)的技术,在一个Tunnel的两端分别对数据报进行封装及解封装。
|
|
网络互连
|
局域网协议
|
Ethernet_II
Ethernet_SNAP
VLAN
|
|
链路层协议
|
PPP
PPPoE
|
|
网络协议
|
IP服务
|
ARP
静态域名解析
IP地址借用
DHCP中继
DHCP服务器
DHCP客户端
|
|
IP路由
|
静态路由管理
RIP-1/RIP-2
OSPF
BGP
路由策略
策略路由
|
|
网络可靠性
|
支持VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)实现设备备份。
|
|
服务质量保证(QoS)
|
流量监管
|
Traffic Policing
|
|
拥塞管理
|
FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ
|
|
拥塞避免
|
WRED
|
|
流量整形
|
GTS
|
|
接口速率限制
|
LR、CAR
|
|
配置管理
|
命令行接口
|
通过Console口进行本地配置
通过AUX口进行远程配置
通过Telnet或SSH进行本地或远程配置
配置命令分级保护,确保未授权用户无法配置设备
提供全中文的提示和帮助信息
详尽的调试信息,帮助诊断网络故障
提供网络测试工具,如Tracert、Ping命令等,迅速诊断网络是否正常
用Telnet命令直接登录并管理其它网络设备
FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序
支持TFTP上传下载文件
支持日志功能
文件系统管理
User-interface配置,提供对登录用户多种方式的认证和授权功能。
|
|
WEB图形界面
|
|
支持标准网管SNMPV3,并且兼容SNMP V2C、SNMP V1
支持NTP时间同步
|
选配信息
|
项目
|
数量
|
备注
|
|
主机(交流主机/直流主机)
|
1
|
-
|
|
电源线
|
2
|
为必配电缆。
|
|
保护地线
|
1
|
为必配电缆。
|
|
配置电缆
|
1
|
为必配电缆。
|
|
SecBlade FW模块
|
1
|
为选配
|
|
SFP光模块
|
1/8
|
为选配
|
可选用的SFP模块类型及其属性见下表。
|
SFP模块名称
|
中心波长
|
接口连接器类型
|
接口光纤规格
|
光纤最大传输距离
|
|
1000BASE-SX-SFP
|
850nm
|
LC
|
50/125µm多模光纤
|
550m
|
|
62.5/125µm多模光纤
|
275m
|
|
1000BASE-LX-SFP
|
1310nm
|
9/125µm单模光纤
|
10km
|
|
1000BASE-LH-SFP
|
40km
|
|
1000BASE-ZX-LR-SFP
|
1550nm
|
|
1000BASE-ZX-VR-SFP
|
70km
|
|
1000BASE-ZX-UR-SFP
|
100km
|
收藏
推荐
评论(0条)