f1800-a.pdf

Copyright©2006 杭州华为三康技术有限公司 保留一切权利 免责声明：虽然华为三康试图在本资料中提供准确的信息，但不保证本资料的内容不含有技术性误差或印刷性错误，为此华为三康对本资料中信息的准确性不承担任何责任华为三康保留在没有任何通知或提示的情况下对本资料的内容进行修改的权利 SecPath F1800-A 防火墙 S e c Pa t h 系列产品是华为3 C o m 公司为中小、大型企业以及运营 商用户设计的专业网络安全产品，通过将强大安全抵御功 能、专业V PN服务和智能网络特性无缝集成在一个硬件 平台上，不但能为用户提供广泛和深入的安全防护 和安全连接功能，同时可以降低与安全相关的 总体拥有成本以及部署的复杂程度，是网络 安全解决方案的理想选择 S e c Pa t h 系列产品作为华为3 C o m 公司 S PN（安全渗透网络）解决方案的重 要组成部分，已经成为华为3 C o m 公司IT o IP核心理念中的IP自适应 安全网络的坚实基础 S e c Pa t h F18 0 0 - A 防火墙产品 市场领先的安全防护功能 ● 增强型状态安全过滤：采用NP技术，实现高性能、低时 延的硬件监测和过滤；支持基础、扩展和基于接口的状 态检测包过滤技术，支持按照时间段进行过滤；支持特 有A S PF应用层报文过滤（A p p l i c a t i o n S p e c i f i c Pa c k e t Fi l t e r ）协议，支持对每一个连接状态信息的维护监测并 动态地过滤数据包，支持HTTP、FTP、R TS P、H. 323（包 括T. 120、Q . 931、R A S 、H. 245等）以及通用的TC P、 U DP应用进行状态监控。

● 虚拟防火墙技术：每个虚拟防火墙具有私有的区域、域 间、A C L规则组和NA T地址池，并且能够将绑定接口加 入私有区域；安全策略能够为虚拟防火墙提供地址绑定、 黑名单、地址转换、包过滤、统计、攻击防范、A S PF 和NA T A LG 等私有的安全服务 ● 抗攻击防范能力：包括多种Do S /DDo S 攻击防范、TC P报 文标志位不合法攻击防范、超大IC M P报文攻击防范、 地址/端口扫描的防范、IC M P重定向或不可达报文控制 功能、Tr a c e r t 报文控制功能、带路由记录选项IP报文控 制功能；静态和动态黑名单功能；M A C 和IP绑定功能； 支持智能防范蠕虫病毒技术 ● 深度内容检测：可以有效的识别网络中的BT、Ed o n k e y 、 Em u l e 等各种P2P模式的应用，并且对这些应用采取阻断、 限 流 的 控 制 措 施 ， 有 效 保 护 网 络 带 宽 ； 提 供 Ja v a /A c t i v e X Bl o c k i n g ，支持FTP协议深度检测，支持 FTP命令字过滤 ● 多种安全认证服务：支持R A DI U S 和HW TA C A C S 协议及域 认证；在PPP线路上支持C HA P和PA P验证协议；支持用 户身份管理，不同身份的用户拥有不同的命令执行权限； 支持用户视图分级，不同级别的用户赋予不同的管理配 置权限。

产品概述 产品特点 S e c Pa t h F18 00- A 是华为3C o m 公司开发的新一代基于网络处 理器（NP）技术的硬件高速状态检测防火墙设备，具有强 大的数据处理能力、丰富的安全特性和Do S /DDo S 防护等功 能，为大型企业及运营商提供高性能、扩展性好的安全服务； 通过虚拟防火墙（Vi r t u a l - f i r e w a l l , Vf w ）技术可以在S e c Pa t h F18 00- A 上创建多个虚拟防火墙，每个虚拟防火墙具有独立 的接口、路由、安全策略等资源，可以简化企业网络安全 部署的复杂度和降低总体拥有成本 S e c Pa t h F18 00- A 防火墙支持外部攻击防范、内网安全、流量 监 控 等 功 能 ， 能 够 有 效 地 保 证 网 络 的 安 全 ； 采 用 A S PF(A p p l i c a t i o n S p e c i f i c Pa c k e t Fi l t e r )应用状态检测技术，可 对连接状态过程和异常命令进行检测；提供多种智能分析和 管理手段，支持多种日志，提供多种网络安全管理手段；支 持多种VPN业务，如L2TP VPN、I PS e c VPN；支持R I P/OS PF/ BG P/路由策略/路由迭代及策略路由。

S e c Pa t h F18 00- A 防火墙充分考虑网络应用对高可靠性的要 求，融入了电信设备可靠性技术，设备关键部件如总线、 电源、散热系统、Bo o t R o m 等都采用冗余设计；采用互为冗 余备份的双电源（1＋1备份）模块，支持交、直流输入电 源模块；业务接口卡及风扇、电源支持热插拔，充分满足 网络维护、升级、优化的需求支持双机状态热备，支持 A c t i v e /A c t i v e 和A c t i v e /Pa s s i v e 两种工作模式提供机箱内 部环境温度检测功能，并支持网管 订购信息 （1）主机选购一览表 项目数量备注 主机1 必配，组成包括机箱外壳、背板、风扇框 以及安装在风扇框内的风扇、防火墙处理 板、网络处理器板 直流/交流电源1/2标配1个，可选配冗余电源，作1＋1备份 HI C 接口模块3选配 FI C 接口模块1选配 （2）HI C 接口模块选购一览表 接口模块描述备注 2FE2端口快速以太网电接口模块－ 4FE4端口快速以太网电接口模块－ 8 FE8 端口快速以太网电接口模块－ 1G E- S FP线速G E以太网光接口模块(S FP)须另配S FP光/电模块 2G E- S FP高速2端口千兆以太网光接口模块(S FP)须另配S FP光/电模块 （3）FI C 接口模块选购一览表 接口模块描述备注 I PS e c 加密模块I P安全加密处理模块－ 产品规格 ● 集中管理与审计：提供各种日志功能、流量统计和分析 功能、各种事件监控和统计功能、邮件告警功能。

● 全面NA T应用支持：提供多对一、多对多、静态网段、 Ea s y IP等NA T应用方式；支持多种应用协议正确穿越 N A T，提供FTP、H. 32 3、RA S 、HW C C 、S I P、I C M P、DN S 、 I LS 、PPTP、NBT等NA T A LG 功能 智能网络集成及Q o S 保证 ● 支持服务器负载均衡 ● 支持路由、透明及混合运行模式 ● 支持静态路由协议 ● 支持RI P v 1/2、OS PF、BG P动态路由协议 ● 支持路由策略及策略路由 ● 支持基于8 02. 1q VLAN ● 支持DHC P中继 电信级设备高可靠性 ● 36年的平均无故障时间(M TBF) ● 设备关键部件均采用冗余设计 ● 支持接口模块热插拔 ●支持机箱内部环境温度自动检测，并可通过网管自动采 集告警信息 ● 双电源冗余备份 ● 支持热补丁技术，系统无需重启即可增加新功能 ●支持双机状态热备功能，支持Ac t i v e / Ac t i v e 和 A c t i v e /Pa s s i v e 两种工作模式，实现负载分担和业务备份 系统规格 项目属性 接口 1个配置口（C ON） 1个备份口（A U X ） 2个10/100M 以太网口（网络管理用接口） 插槽 3个HI C 插槽,1个FI C 插槽，可选的接口模块包括2FE/4FE/8 FE/1G E- S FP/2G E- S FP/I PS e c 加密模 块，最多可支持6G E或者24FE FLA S H32M B S DRA M 256M B 最大512M B 外型尺寸（H×W ×D）130×436×420m m 重量18 . 7k g 电源模块 输入 交流主机：100~240V；50/60Hz 直流主机：- 48 V~- 60V 输出电压：12V 最大功率105W 平均无故障时间(M TBF)36年 工作环境温度0~40℃ 环境相对湿度10~90% （不结露） 一、防火墙应用方案 ● 灵活组网，可按需扩展 ● 双机状态热备技术，高可靠网络设计 ● 支持服务器负载均衡 ● 具有强大的处理能力 ● 丰富路由协议，实现安全与网络融合 ● 支持P2P流量检测和应用层过滤 功能特性规格 属性说明 运行模式 路由模式 透明模式 混合模式 RA DI U S 认证 HW TA C A C S 认证 域认证 C HA P验证 PA P验证 包过滤 基础和扩展的访问控制列表 基于接口的访问控制列表 基于时间段的访问控制列表 动态包过滤 A S PF应用层报文过滤 应用层协议：FTP、HTTP、S M TP、RTS P、H. 323（Q. 931，H. 245，RTP/RTC P） 传输层协议：TC P、U DP 抗攻击特性 La n d 、S m u r f 、Fr a g g l e 、W i n Nu k e 、Pi n g o f Dea t h 、Te a r Dr o p 、I P S p o o f i n g、S Y N Fl o o d 、I C M P Fl o o d 、U DP Fl o o d 、 TC P报文标志位不合法攻击防范 超大I C M P报文攻击防范 地址/端口扫描的防范 Do S /DDo S 攻击防范 I C M P重定向或不可达报文控制功能 Tr a c e r t 报文控制功能 带路由记录选项I P报文控制功能 静态和动态黑名单功能 M A C 和I P绑定功能 透明防火墙 基于M A C 的访问控制列表 支持8 02. 1q VLAN透传 虚拟防火墙 独立接口及路由 独立安全服务 P2P限流 支持识别多种P2P软件 支持禁止P2P业务 支持限制P2P总带宽 支持限制部分用户的P2P带宽 业务 支持禁止业务 Ja v a Bl o ck i n g 、A c t i v e X 过滤 FTP协议深度检测（命令字过滤） 用户行为流日志 NA T转换日志 攻击实时日志 黑名单日志 地址绑定日志 流量告警日志 流量统计和分析功能 全局/基于安全域连接数率监控 全局/基于安全域协议报文比例监控 安全事件统计功能 支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 支持外部网络主机访问内部服务器 支持内部地址直映射到接口公网I P地址 可配置支持地址转换的有效时间 支持多种NA T A LG ，包括FTP、DNS 、NBT、I C M P、RTS P、H. 323（RA S 、Q. 931、 H. 245等）、S I P、M G C P、M S N、等 支持根据VPN用户完整用户名、用户域名向指定LNS 发起连接 支持为VPN用户分配地址 支持进行LC P重协商和二次C HA P验证 支持A H、ES P协议 支持手工或通过I K E自动建立安全联盟 ES P支持DES 、3DES 两种加密算法 支持M D5及S HA - 1验证算法 支持I K E主模式及野蛮模式 支持NA T穿越 Et h e r n e t _I I Et h e r n e t _S NA P 8 02. 1q VLAN 链路层协议PPPo E A RP DHC P Rel a y DHC P服务器 静态域名解析 服务器负载均衡 静态路由 RI P v 1/2 OS PF BG P 路由策略 策略路由 提供双机状态热备，支持A c t i v e /A c t i v e 和A c t i v e /Pa s s i v e 两种工作模式实现负载分担和业务备份 支持热补丁技术，系统无需重启即可增加新功能。