新華三防火墻 H3C SecPath F1000-AI-35-G
人工智能特性
F1000-AI防火墻是集成了AI分析引擎的新一代防火墻��,在有效應(yīng)對(duì)傳統(tǒng)網(wǎng)絡(luò)安全威脅的基礎(chǔ)上還能夠:
識(shí)別加密和新型應(yīng)用���,提供更加準(zhǔn)確�����、精細(xì)和靈活的安全管控策略��;
識(shí)別惡意的加密流量���,發(fā)現(xiàn)隱藏在正常加密流量中的惡意行為;
識(shí)別異常��、威脅和攻擊等安全風(fēng)險(xiǎn)�,為應(yīng)急響應(yīng)提供決策和依據(jù);
與云端和態(tài)勢(shì)感知等平臺(tái)相結(jié)合�,提供全方位的協(xié)同防御���。
具備策略優(yōu)化分析能力,支持對(duì)配置的策略進(jìn)行梳理���,識(shí)別策略存在的問題����;
F1000-AI防火墻是一個(gè)持續(xù)演進(jìn)的產(chǎn)品���,是AI綜合網(wǎng)絡(luò)安全解決方案中的關(guān)鍵部分���,也是網(wǎng)絡(luò)安全主動(dòng)防御體系中的必要環(huán)節(jié),將朝著彈性架構(gòu)�����、加密分析����、AI賦能、協(xié)同防御的方向不斷推進(jìn)�。
電信級(jí)設(shè)備高可靠性
采用H3C公司擁有自主知識(shí)產(chǎn)權(quán)的軟、硬件平臺(tái)�。產(chǎn)品應(yīng)用從電信運(yùn)營(yíng)商到中小企業(yè)用戶��,經(jīng)歷了多年的市場(chǎng)考驗(yàn)��。
支持H3C SCF虛擬化技術(shù)���,可將多臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備,對(duì)外呈現(xiàn)為一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)�����,資源統(tǒng)一管理��,完成業(yè)務(wù)備份同時(shí)提高系統(tǒng)整體性能�����。
虛擬化:支持虛擬防火墻的創(chuàng)建���、啟動(dòng)、關(guān)閉���、刪除功能�。
強(qiáng)大的安全防護(hù)功能
支持IPv4/IPv6雙棧安全策略功能�,支持基于五元組��、安全域��、時(shí)間段等多維度訪問控制���。
支持豐富的攻擊防范功能。包括:Land����、Smurf、Fraggle����、Ping of Death、Tear Drop����、IP Spoofing、IP分片報(bào)文����、ARP欺騙、ARP主動(dòng)反向查詢�、TCP報(bào)文標(biāo)志位不合法、超大ICMP報(bào)文�����、地址掃描、端口掃描等攻擊防范���,還包括針對(duì)SYN Flood��、UPD Flood�、ICMP Flood��、DNS Flood等常見DDoS攻擊的檢測(cè)防御�����。
最新支持SOP 1:N完全虛擬化����?����?稍贖3C SecPath F1000-AI設(shè)備上劃分多個(gè)邏輯的虛擬防火墻����,基于容器化的虛擬化技術(shù)使得虛擬系統(tǒng)與實(shí)際物理系統(tǒng)特性一致��,并且可以基于虛擬系統(tǒng)進(jìn)行吞吐�����、并發(fā)�����、新建���、策略等性能分配。
支持安全區(qū)域管理�����?���?苫诮涌凇LAN劃分安全區(qū)域�。
支持包過濾。通過在安全區(qū)域間使用標(biāo)準(zhǔn)或擴(kuò)展訪問控制規(guī)則�����,借助報(bào)文中UDP或TCP端口等信息實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過濾。此外����,還可以按照時(shí)間段進(jìn)行過濾。
支持應(yīng)用識(shí)別��,且可以基于應(yīng)用�、用戶的訪問控制,將應(yīng)用與用戶作為安全策略的基本元素�,并結(jié)合深度防御實(shí)現(xiàn)下一代的訪問控制功能。
支持應(yīng)用層狀態(tài)包過濾(ASPF)功能��。通過檢查應(yīng)用層協(xié)議信息(如FTP����、HTTP�����、SMTP����、RTSP及其它基于TCP/UDP協(xié)議的應(yīng)用層協(xié)議),并監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài),動(dòng)態(tài)的決定數(shù)據(jù)包是被允許通過防火墻或者是被丟棄��。
支持驗(yàn)證�����、授權(quán)和計(jì)帳(AAA)服務(wù)��。包括:基于RADIUS/HWTACACS+����、CHAP、PAP等的認(rèn)證���。
支持靜態(tài)和動(dòng)態(tài)黑名單�。
支持NAT和NAT多實(shí)例����。
支持VPN功能。包括:支持L2TP��、IPSec/IKE�����、GRE、SSL等��,并實(shí)現(xiàn)與智能終端對(duì)接��。
支持豐富的路由協(xié)議���。支持靜態(tài)路由����、策略路由���,以及RIP�����、OSPF等動(dòng)態(tài)路由協(xié)議��。
支持安全日志�����。
支持流量監(jiān)控統(tǒng)計(jì)、管理���。
國(guó)密算法:支持國(guó)密SM1/2/3/4算法��。
靈活可擴(kuò)展的一體化DPI深度安全
與基礎(chǔ)安全防護(hù)高度集成的一體化安全業(yè)務(wù)處理平臺(tái)����。
全面的應(yīng)用層流量識(shí)別與管理:通過H3C長(zhǎng)期積累的狀態(tài)機(jī)檢測(cè)、流量交互檢測(cè)技術(shù)�,能精確檢測(cè)Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent��、eMule(電騾)/eDonkey(電驢)���、微信�、微博�����、QQ����、MSN、PPLive等P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應(yīng)用��;支持P2P流量控制功能���,通過對(duì)流量采用深度檢測(cè)的方法����,即通過將網(wǎng)絡(luò)報(bào)文與P2P協(xié)議報(bào)文特征進(jìn)行匹配,可以精確的識(shí)別P2P流量�����,以達(dá)到對(duì)P2P流量進(jìn)行管理的目的�,同時(shí)可提供不同的控制策略,實(shí)現(xiàn)靈活的P2P流量控制�����。
高精度����、高效率的入侵檢測(cè)引擎。采用H3C公司自主知識(shí)產(chǎn)權(quán)的FIRST(Full Inspection with Rigorous State Test�,基于精確狀態(tài)的全面檢測(cè))引擎。FIRST引擎集成了多項(xiàng)檢測(cè)技術(shù)�����,實(shí)現(xiàn)了基于精確狀態(tài)的全面檢測(cè)�����,具有極高的入侵檢測(cè)精度����;同時(shí),F(xiàn)IRST引擎采用了并行檢測(cè)技術(shù)����,軟、硬件可靈活適配�����,大大提高了入侵檢測(cè)的效率��。
實(shí)時(shí)的病毒防護(hù):采用流引擎查毒技術(shù)�����,可迅速����、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼。
海量URL分類過濾:設(shè)備支持根據(jù)URL類別實(shí)現(xiàn)URL過濾���,支持本地+云端方式�����,139個(gè)分類庫(kù)�����,超2000萬(wàn)條URL規(guī)則�����。
全面���、及時(shí)的安全特征庫(kù)�。通過多年經(jīng)營(yíng)與積累��,H3C公司擁有業(yè)界資深的攻擊特征庫(kù)團(tuán)隊(duì)��,同時(shí)配備有專業(yè)的攻防實(shí)驗(yàn)室��,緊跟網(wǎng)絡(luò)安全領(lǐng)域的最新動(dòng)態(tài)�,從而保證特征庫(kù)的及時(shí)準(zhǔn)確更新。
業(yè)界領(lǐng)先的IPv6
支持IPv6狀態(tài)防火墻���,真正意義上實(shí)現(xiàn)IPv6條件下的防火墻功能����,同時(shí)完成IPv6的攻擊防范��。
支持IPv4/IPv6雙協(xié)議棧�����,并支持IPv6數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)��、靜態(tài)路由��、動(dòng)態(tài)路由及組播路由等功能�����。
支持IPv6各種過渡技術(shù)��,包括NAT-PT���、IPv6 Over IPv4 GRE隧道�、手工隧道���、6to4隧道����、IPv4兼容IPv6自動(dòng)隧道、ISATAP隧道�����、NAT444���、DS-Lite等�。
支持IPv6 ACL���、Radius等安全技術(shù)�����。
下一代多業(yè)務(wù)特性
集成鏈路負(fù)載均衡特性���,通過鏈路狀態(tài)檢測(cè)、鏈路繁忙保護(hù)等技術(shù)����,有效實(shí)現(xiàn)企業(yè)互聯(lián)網(wǎng)出口的多鏈路自動(dòng)均衡和自動(dòng)切換����。
一體化集成SSL VPN(IPV4&IPV6)特性���,滿足移動(dòng)辦公����、員工出差的安全訪問需求�,不僅可結(jié)合USB-Key����、短信進(jìn)行移動(dòng)用戶的身份認(rèn)證,還可與企業(yè)原有認(rèn)證系統(tǒng)相結(jié)合����、實(shí)現(xiàn)一體化的認(rèn)證接入。
數(shù)據(jù)防泄漏(DLP)�����,支持郵件過濾����,提供SMTP郵件地址�����、標(biāo)題����、附件和內(nèi)容過濾����;支持網(wǎng)頁(yè)過濾,提供HTTP URL和內(nèi)容過濾�;支持網(wǎng)絡(luò)傳輸協(xié)議的文件過濾;支持應(yīng)用層過濾��,提供Java/ActiveX Blocking和SQL注入攻擊防范�����。
入侵防御(IPS)����,支持Web攻擊識(shí)別和防護(hù),如跨站腳本攻擊�、SQL注入攻擊等���。支持基于對(duì)包括但不限于操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備�����、辦公軟件�����、網(wǎng)頁(yè)服務(wù)等保護(hù)對(duì)象的入侵防御策略����,支持基于對(duì)漏洞、惡意文件�����、信息收集類攻擊等的攻擊分類的防護(hù)策略��,支持基于服務(wù)器�、客戶端的防護(hù)策略�,且缺省動(dòng)作支持黑名單。
防病毒(AV)����,高性能病毒引擎��,可防護(hù)500萬(wàn)種以上的病毒和木馬���,病毒特征庫(kù)每日更新。支持基于文件協(xié)議����、共享協(xié)議(NFS/SMB)的病毒功能。動(dòng)作響應(yīng)���,可發(fā)現(xiàn)病毒發(fā)送的告警信息��,支持用戶編輯告警內(nèi)容��。
未知威脅防御���,借助態(tài)勢(shì)感知平臺(tái),NGFW可以快速發(fā)現(xiàn)攻擊����、定位問題,確保一旦單點(diǎn)受到攻擊����,全網(wǎng)實(shí)施策略升級(jí)及綜合預(yù)警���、響應(yīng)。
深入的WEB安全防護(hù) 不局限于常規(guī)的IPS/AV防護(hù)��,針對(duì)內(nèi)網(wǎng)服務(wù)器���,提供細(xì)致化的web應(yīng)用防護(hù)�����,對(duì)于服務(wù)器最為頭疼的CC攻擊��,異常外聯(lián)�,SQL注入����、HTTP慢速攻擊��、跨站腳本等常見攻擊行為�����,對(duì)來(lái)自Web應(yīng)用程序客戶端的各類請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證,確保其安全性與合法性�����,對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷�����,從而對(duì)各類網(wǎng)站進(jìn)行有效防護(hù)���。
支持智能終端識(shí)別�,終端識(shí)別是建立物聯(lián)網(wǎng)安全連接的重要前提�,用于識(shí)別物聯(lián)網(wǎng)中的終端,��。當(dāng)終端流量流經(jīng)設(shè)備時(shí)���,H3C安全網(wǎng)關(guān)可以分析并提取出終端信息�,例如終端的廠商��、型號(hào)等��,并支持在終端信息發(fā)生變更時(shí)向用戶發(fā)送日志���,提示用戶���。同時(shí)采用應(yīng)用檢測(cè)方式和 IPID檢測(cè)方式對(duì)通過NAT技術(shù)或代理技術(shù)進(jìn)行共享上網(wǎng)的行為進(jìn)行識(shí)別和管理���。
資產(chǎn)掃描,支持資產(chǎn)發(fā)現(xiàn)功能�,能夠掃描發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)開放的端口,服務(wù)���,發(fā)現(xiàn)風(fēng)險(xiǎn)���,識(shí)別威脅。
未知威脅檢測(cè)單靠特征分析已不足以應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境���,面對(duì)典型的APT(Advanced Persistent Threat��,高級(jí)持續(xù)性威脅)攻擊沙箱技術(shù)是防御APT攻擊最有效的方法之一����,它用于構(gòu)造隔離的威脅檢測(cè)環(huán)境��。H3C 安全網(wǎng)關(guān)通過將網(wǎng)絡(luò)流量送入沙箱進(jìn)行隔離分析���,由沙箱給出是否存在威脅的結(jié)論��。檢測(cè)到某流量為惡意流量��,設(shè)備將對(duì)流量實(shí)施阻斷等處理��。
