Quidway SecPath 1800F防火墙

发布时间:2015-05-12 10:57:28

产品介绍

Quidway® SecPath 1800F防火墙是新一代基于网络处理器技术(NP)的硬件高速状态检测防火墙设备,可以作为大型企业的出口防火墙,也可以作为大型企业的内部骨干防火墙。支持外部攻击防范、内网安全、流量监控等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持多种日志,提供多种网络安全管理手段;支持AAANAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPNIPSec VPN等;支持RIP/OSPF/BGP/路由策略/路由迭代及策略路由。

Quidway® SecPath 1800F防火墙充分考虑网络应用对高可靠性的要求,融入了电信设备可靠性技术,设备关键部件如总线、电源、散热系统、BootRom等都采用冗余设计,采用互为冗余备份的双电源(11备份)模块,支持交、直流输入电源模块。业务接口卡及风扇、电源支持热插拔,充分满足网络维护、升级、优化的需求。支持双机状态热备,支持Active/Active方式实现负载分担和业务备份;提供机箱内部环境温度检测功能,并支持网管。

\

Quidway® SecPath 1800F

Quidway® SecPath 1800F系统说明表

项目

属性

接口

1个配置口(CON

1个备份口(AUX

210/100M以太网口

插槽

4MIM插槽, 最多可支持6GE,或者24FE

FLASH

32MB

SDRAM

缺省:256MB

最大:512MB

外型尺寸(W×H×D

436× 420×130

重量

18.7kg

436×44×420mm

 

输入

交流主机:100-240V 50/60Hz

直流主机:-48V-60V

输出

电压:12V

平均无故障间隔时间(MTBF

37.54

最大功率

105W

工作环境温度 0~40℃

环境相对湿度

1090%(不结露)

Quidway® SecPath 1800F功能特性列表

项目

说明

网络安全性

AAA服务

RADIUS

CHAP验证

PAP验证

域认证

结合RSA ACE/ServerSecurID实现双因素安全认证

防火墙

包过滤

基于接口的访问控制列表

基于时间段的访问控制列表

动态包过滤

防攻击特性

LandSmurfFraggleWinNukePing of DeathTear DropIP SpoofingSYN FloodICMP FloodUDP FloodARP欺骗攻击防范

TCP报文标志位不合法攻击防范

超大ICMP报文攻击防范

地址/端口扫描的防范

DoS/DDoS攻击防范

ICMP重定向或不可达报文控制功能

Tracert报文控制功能

带路由记录选项IP报文控制功能

静态和动态黑名单功能

MACIP绑定功能

工作模式

路由模式、透明模式、混合模式

安全管理

NAT日志

ASPF流日志

攻击防范日志

流量监控日志

黑名单日志

进制格式日志功能

流量统计和分析功能

全局/基于安全域连接数率监控

全局/基于安全域协议报文比例监控

安全事件统计功能

数据安全

支持终端访问安全

IPSec

IKE

NAT

支持局域网内用户使用地址池中的IP地址访问外部网络

支持将访问控制列表与地址池的关联

支持将访问控制列表与接口的关联

支持外部网络主机访问内部的服务器

可配置支持地址转换的有效时间

支持多种ALG

VPN

L2TP VPN

可以根据VPN用户完整用户名,用户域名和电话号码向指定LNS发起连接

可以为VPN用户分配地址

可以进行LCP重协商和二次CHAP验证

IPSec/IKE

支持AHESP协议

支持手工或通过IKE自动建立安全联盟

ESP支持DES3DES两种加密算法

支持MD5SHA-1验证算法

支持IKE主模式及野蛮模式

支持NAT穿越

网络协议

IP服务

ARP

DHCP中继

DHCP服务器

静态域名解析

IP路由

静态路由管理

动态路由协议

RIP

OSPF

BGP

路由策略

策略路由

路由迭代

网络可靠性

设备关键部件都采用冗余设计

支持接口模块热插拔

支持机箱内部环境温度检测功能,并可通过网管自动采集告警

支持双电源冗余备份

支持备份中心

提供双机状态热备,支持Active/Active方式实现负载分担和业务备份

配置管理

命令行接口

通过Console口进行本地配置

通过AUX口进行远程配置

通过TelnetSSH进行本地或远程配置

配置命令分级保护,确保未授权用户无法配置设备

提供全中文的提示和帮助信息

详尽的调试信息,帮助诊断网络故障

提供网络测试工具,如TracertPing命令等,迅速诊断网络是否正常

Telnet命令直接登录并管理其它网络设备

FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序

支持TFTP上传下载文件

支持日志功能

文件系统管理

User-interface配置,提供对登录用户多种方式的认证和授权功能。

 

支持标准网管 SNMPv3,并且兼容SNMP v2CSNMP v1

支持NTP时间同步

网络应用


大型数据中心防火墙部署:

SecPath 1800F防火墙可以部署在大型数据中心的前端,实现对所有访问数据中心服务器的网络流量进行控制,提供对数据中心服务器的有效保护,其基本部署模式如下图所示:

\

部署模式:

如上图所示,我们建议在两台核心交换机与两台数据中心交换机之间配置两台防火墙,两台防火墙与两台核心交换机以及两台数据中心交换机之间采取全冗余连接;

为了保证系统的可靠性,我们建议配置两台防火墙为双机热备方式,在实现安全控制的同时保证线路的可靠性,同时可以与动态路由策略组合,实现流量负载分担;

安全策略:

建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP地址或者用户能够访问数据中心服务器上指定的资源,以避免可能会对数据中心服务器的各种攻击、非授权访问以及病毒的传播,对数据中心的信息资产提供有效保护;

配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;

配置防火墙防Dos/DDos功能,对LandSmurfFragglePing of DeathTear DropSYN FloodICMP FloodUDP Flood等拒绝服务攻击进行防范,以实现对各种拒绝服务攻击的有效防范,保证网络带宽;

可选策略:

在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;

启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;

查看更多华为防火墙,查看其他品牌的防火墙,思科防火墙,华三H3C防火墙