第 1 章 设备描述1.1 H3C F100-E1.2 产品概述H3C SecPath 防火墙/VPN 是业界功能最全面、扩展性最好的防火墙/VPN 产品，集成防火墙、VPN 和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。H3C SecPath F100系列防火墙包括 SecPath F100-C/SecPath F100-C-EI/SecPath F100-S/SecPath F100-M/SecPath F100-A-SI/SecPath F100-A/SecPath F100-E 等七款产品，支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种 VPN 业务，如 L2TP VPN、GRE VPN 、IPSec VPN、动态 VPN 等；支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的 QoS 特性，提供流量监管、流量整形及多种队列调度策略。1.3 产品特点扩展性最强基于 H3C 先进的 OAA 开放应用架构，SecPath 防火墙能灵活扩展病毒防范、网络流量监控和 SSL VPN 等硬件业务模块，实现2-7层的全面安全。强大的攻击防范能力能防御 DoS/DDoS 攻击（如 CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood 等） 、ARP 欺骗攻击、TCP 报文标志位不合法攻击、Large ICMP 报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC 绑定、内容过滤等先进功能。增强型状态安全过滤支持基础、扩展和基于接口的状态检测包过滤技术；支持 H3C 特有 ASPF 应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。丰富的 VPN 特性集成 IPSec、L2TP、GRE 和 SSL 等多种成熟 VPN 接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。应用层内容过滤可以有效的识别网络中各种 P2P 模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供 SMTP 邮件地址、标题、附件和内容过滤；支持网页过滤，提供 HTTP URL 和内容过滤。全面 NAT 应用支持提供多对一、多对多、静态网段、双向转换 、Easy IP 和 DNS 映射等 NAT 应用方式；支持多种应用协议正确穿越 NAT，提供 DNS、FTP、H.323、NBT 等 NAT ALG 功能。全面的认证服务支持本地用户、RADIUS、TACACS 等认证方式，支持基于 PKI/CA 体系的数字证书（X.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。集中管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。1.4 产品规格属性 说明运行模式 路由模式透明模式混合模式AAA服务RADIUS认证HWTACACS认证PKI /CA（X.509 格式）认证域认证CHAP验证PAP验证网络安全性防火墙包过滤基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表动态包过滤ASPF应用层报文过滤应用层协议：FTP、HTTP、SMTP、RTSP、 H.323（Q.931，H.245， RTP/RTCP）传输层协议：TCP、UDP抗攻击特性Land、 Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范TCP报文标志位不合法攻击防范超大ICMP 报文攻击防范地址/端口扫描的防范DoS/DDoS攻击防范TCP Proxy 功能ICMP重定向或不可达报文控制功能Tracert报文控制功能带路由记录选项IP报文控制功能静态和动态黑名单功能MAC和 IP绑定功能透明防火墙基于MAC 的访问控制列表支持 802.1q VLAN 透传邮件/网页/应用层过滤邮件过滤SMTP邮件地址过滤邮件标题过滤邮件内容过滤邮件附件过滤网页过滤HTTP URL过滤HTTP内容过滤支持与外部服务器(第三方如SurfControl)进行集成联动提供URL网页过滤的解决方案，有效控制和管理用户的web 访问行为应用层过滤Java BlockingActiveX BlockingSQL注入攻击防范安全日志及统计用户行为流日志NAT转换日志攻击实时日志黑名单日志地址绑定日志流量告警日志流量统计和分析功能全局/基于安全域连接数率监控全局/基于安全域协议报文比例监控安全事件统计功能E-MAIL邮件实时告警功能E-MAIL邮件定时告警功能NAT支持多个内部地址映射到同一个公网地址支持多个内部地址映射到多个公网地址支持内部地址到公网地址一一映射支持源地址和目的地址同时转换支持外部网络主机访问内部服务器支持内部地址直映射到接口公网IP地址支持DNS 映射功能可配置支持地址转换的有效时间支持多种NAT ALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等L2TP VPN支持根据VPN用户完整用户名、用户域名向指定LNS发起连接支持为VPN用户分配地址支持进行LCP重协商和二次 CHAP验证GRE VPNVPNIPSec/IKE支持AH、ESP协议支持手工或通过IKE自动建立安全联盟ESP支持DES、3DES、AES多种加密算法支持MD5 及SHA-1 验证算法支持IKE主模式及野蛮模式支持NAT 穿越支持DPD检测DVPN支持UDP封装支持动态IP地址构建VPN支持加密保护（注册控制报文，会话控制报文，策略报文）支持多个DVPN域支持分支自动建立VPN隧道支持Server 对分支隧道的策略控制Server对 Client的AAA 身份认证Client对 Server的身份验证局域网协议Ethernet_IIEthernet_SNAP802.1q VLAN网络互连链路层协议 PPPoE网络协议 IP服务ARP域名解析IP UNNUMBEREDDHCP中继DHCP服务器DHCP客户端IP路由静态路由RIP v1/2OSPFBGP路由策略策略路由高可靠性双机状态热备,Active/Active和Active/Passive 两种工作模式 ,支持负载分担和业务备份远端链路状态监测（L3 monitor）关键部件冗余设计接口模块热插拔机箱温度自动检测流量监管 CAR拥塞管理 FIFO、PQ 、CQ、WFQ、CBWFQ、RTPQ服务质量保证（QoS）拥塞避免 WRED流量整形 GTS接口速率限制 LR命令行接口通过Console口进行本地配置通过Telnet 或SSH 进行本地或远程配置配置命令分级保护，确保未授权用户无法侵入设备提供全中文的提示和帮助信息详尽的调试信息，帮助诊断网络故障提供网络测试工具，如Tracert、Ping、HWPing命令等，迅速诊断网络是否正常用Telnet 命令直接登录并管理其它设备FTP Server/Client，可以使用FTP下载、上载配置文件和应用程序支持TFTP上传下载文件支持日志功能文件系统管理User-interface配置，提供对登录用户多种方式的认证和授权功能。支持标准网管 SNMPv3，并且兼容SNMP v2c、SNMP v1支持NTP时间同步配置管理支持Web方式进行远程配置管理支持H3C BIMS系统进行设备管理支持H3C VPN Manager系统进行VPN业务管理和监控