Quidway SecPath 1800F防火墙是新一代基于网络处理器技术(NP)的硬件高速状态检测防火墙设备,可以作为大型企业的出口防火墙,也可以作为大型企业的内部骨干防火墙。支持外部攻击防范、内网安全、流量监控等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持多种日志,提供多种网络安全管理手段;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN等;支持RIP/OSPF/BGP/路由策略/路由迭代及策略路由。
Quidway SecPath 1800F防火墙充分考虑网络应用对高可靠性的要求,融入了电信设备可靠性技术,设备关键部件如总线、电源、散热系统、BootRom等都采用冗余设计,采用互为冗余备份的双电源(1+1备份)模块,支持交、直流输入电源模块。业务接口卡及风扇、电源支持热插拔,充分满足网络维护、升级、优化的需求。支持双机状态热备,支持Active/Active方式实现负载分担和业务备份;提供机箱内部环境温度检测功能,并支持网管。
Quidway SecPath 1800F
项目
属性
接口
1个配置口(CON)
1个备份口(AUX)
2个10/100M以太网口
插槽
4个MIM插槽, 最多可支持6GE,或者24FE
FLASH
32MB
SDRAM
缺省:256MB
最大:512MB
外型尺寸(W×H×D)
436× 420×130
重量
18.7kg
436×44×420mm
输入
交流主机:100-240V ;50/60Hz
直流主机:-48V--60V
输出
电压:12V
平均无故障间隔时间(MTBF)
37.54年
最大功率
105W
环境相对湿度
10~90%(不结露)
说明
网络安全性
AAA服务
RADIUS
CHAP验证
PAP验证
域认证
结合RSA ACE/Server和SecurID实现双因素安全认证
防火墙
包过滤
基于接口的访问控制列表
基于时间段的访问控制列表
动态包过滤
防攻击特性
Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范
TCP报文标志位不合法攻击防范
超大ICMP报文攻击防范
地址/端口扫描的防范
DoS/DDoS攻击防范
ICMP重定向或不可达报文控制功能
Tracert报文控制功能
带路由记录选项IP报文控制功能
静态和动态黑名单功能
MAC和IP绑定功能
工作模式
路由模式、透明模式、混合模式
安全管理
NAT日志
ASPF流日志
攻击防范日志
流量监控日志
黑名单日志
进制格式日志功能
流量统计和分析功能
全局/基于安全域连接数率监控
全局/基于安全域协议报文比例监控
安全事件统计功能
数据安全
支持终端访问安全
IPSec
IKE
NAT
支持局域网内用户使用地址池中的IP地址访问外部网络
支持将访问控制列表与地址池的关联
支持将访问控制列表与接口的关联
支持外部网络主机访问内部的服务器
可配置支持地址转换的有效时间
支持多种ALG
VPN
L2TP VPN
可以根据VPN用户完整用户名,用户域名和电话号码向指定LNS发起连接
可以为VPN用户分配地址
可以进行LCP重协商和二次CHAP验证
IPSec/IKE
支持AH、ESP协议
支持手工或通过IKE自动建立安全联盟
ESP支持DES、3DES两种加密算法
支持MD5及SHA-1验证算法
支持IKE主模式及野蛮模式
支持NAT穿越
网络协议
IP服务
ARP
DHCP中继
DHCP服务器
静态域名解析
IP路由
静态路由管理
动态路由协议
RIP
OSPF
BGP
路由策略
策略路由
路由迭代
网络可靠性
设备关键部件都采用冗余设计
支持接口模块热插拔
支持机箱内部环境温度检测功能,并可通过网管自动采集告警
支持双电源冗余备份
支持备份中心
提供双机状态热备,支持Active/Active方式实现负载分担和业务备份
配置管理
命令行接口
通过Console口进行本地配置
通过AUX口进行远程配置
通过Telnet或SSH进行本地或远程配置
配置命令分级保护,确保未授权用户无法配置设备
提供全中文的提示和帮助信息
详尽的调试信息,帮助诊断网络故障
提供网络测试工具,如Tracert、Ping命令等,迅速诊断网络是否正常
用Telnet命令直接登录并管理其它网络设备
FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序
支持TFTP上传下载文件
支持日志功能
文件系统管理
User-interface配置,提供对登录用户多种方式的认证和授权功能。
支持标准网管 SNMPv3,并且兼容SNMP v2C、SNMP v1
支持NTP时间同步
大型数据中心防火墙部署:
SecPath 1800F防火墙可以部署在大型数据中心的前端,实现对所有访问数据中心服务器的网络流量进行控制,提供对数据中心服务器的有效保护,其基本部署模式如下图所示:
部署模式:
如上图所示,我们建议在两台核心交换机与两台数据中心交换机之间配置两台防火墙,两台防火墙与两台核心交换机以及两台数据中心交换机之间采取全冗余连接;
为了保证系统的可靠性,我们建议配置两台防火墙为双机热备方式,在实现安全控制的同时保证线路的可靠性,同时可以与动态路由策略组合,实现流量负载分担;
安全策略:
建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP地址或者用户能够访问数据中心服务器上指定的资源,以避免可能会对数据中心服务器的各种攻击、非授权访问以及病毒的传播,对数据中心的信息资产提供有效保护;
配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;
配置防火墙防Dos/DDos功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范,以实现对各种拒绝服务攻击的有效防范,保证网络带宽;
可选策略:
在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;
启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;
