高性能的軟硬件處理平臺(tái)

 采用控制、業(yè)務(wù)、數(shù)據(jù)相分離的全分布式架構(gòu)，控制引擎、交換引擎、業(yè)務(wù)引擎及接口單元硬件分離，解耦合系統(tǒng)關(guān)鍵部件， 提高系統(tǒng)可靠性；獨(dú)立的硬件交換引擎，支撐高性能安全業(yè)務(wù)無(wú)阻塞處理及轉(zhuǎn)發(fā)。

 獨(dú)立的高性能控制引擎，實(shí)現(xiàn)系統(tǒng)統(tǒng)一配置管理和安全集群。

 安全業(yè)務(wù)引擎采用多核高性能處理器，保證大 容量策略表項(xiàng)的高速檢索。

 內(nèi)置模塊化軟件系統(tǒng)，支持多進(jìn)程的調(diào)度，進(jìn)程間運(yùn)行空間隔離，單個(gè)進(jìn)程的異常不會(huì)影響系統(tǒng)其他部分，提高系統(tǒng)可靠性； 支持權(quán)限管理功能，基于特性、命令行、系統(tǒng)資源、WEB 管理等級(jí)別定義用戶讀寫權(quán)限，提高系統(tǒng)安全性；支持熱補(bǔ)丁、ISSU，不中斷業(yè)務(wù)的情況下實(shí)現(xiàn)系統(tǒng)升級(jí)，提高系統(tǒng)易用性。

完善的安全保障

業(yè)界最完善的虛擬化解決方案

 支持虛擬化，滿足云計(jì)算資源池需求。

 支持多臺(tái)設(shè)備集群部署。

 支持虛擬防火墻。

全面的網(wǎng)絡(luò)安全防護(hù)能力

 集成入侵檢測(cè)與防御、病毒防護(hù)、帶寬管理和URL 過(guò)濾等功能，是業(yè)界綜合防護(hù)技術(shù)的入侵檢測(cè)/防御系統(tǒng)。通過(guò)深入到七 層的分析與檢測(cè)，實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲(chóng)、木馬、間諜軟件、網(wǎng)頁(yè)篡改等攻擊和惡意行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護(hù)。

 豐富的攻擊防范技術(shù)。同時(shí)支持IPv4和IPv6。除提供普通的狀態(tài)防火墻安全隔離技術(shù)外，針對(duì)異常報(bào)文攻擊如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP報(bào)文標(biāo)志位不合法，地址欺騙攻擊如IP spoofing，掃描攻擊如IP地址攻擊、端口攻擊，異常流量攻擊如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能夠提供有效防護(hù)。

 全面、及時(shí)的特征庫(kù)。H3C專業(yè)安全團(tuán)隊(duì)密切跟蹤安全組織和廠商發(fā)布的安全公告，經(jīng)過(guò)分析、驗(yàn)證所有這些威脅，生成保護(hù)操作系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫(kù)漏洞的特征庫(kù)。特征庫(kù)覆蓋全面，包含了主流操作系統(tǒng)、主流網(wǎng)絡(luò)設(shè)備、主流數(shù)據(jù)庫(kù)系統(tǒng)、主流應(yīng)用軟件系統(tǒng)的全部漏洞特征，同時(shí)也包含了、蠕蟲(chóng)、病毒、木馬、DoS/DDoS、掃描、間諜軟件、網(wǎng)絡(luò)釣魚(yú)、P2P、IM、網(wǎng)游等網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用特征。

 針對(duì)報(bào)文檢測(cè)結(jié)果提供了豐富的響應(yīng)方式，包括源阻斷、丟棄、允許、限流、TCP Reset、捕獲原始報(bào)文、重定向、記錄日志、告警等。各響應(yīng)方式可以相互組合，并且設(shè)備出廠內(nèi)置了一些常用的動(dòng)作組合，以方便客戶使用。

豐富的NAT特性

 源地址NAT：支持對(duì)不同的源選擇不同的地址池；支持NAT端口復(fù)用特性從而有效節(jié)省公網(wǎng)地址；支持PAT/NO-PAT，支持采用接口地址作為轉(zhuǎn)換后的公網(wǎng)地址；針對(duì)P2P應(yīng)用支持Full-cone特性。

 目的地址NAT：支持將公網(wǎng)地址+端口轉(zhuǎn)換為地址+端口；支持忽略端口的目的地址轉(zhuǎn)換；支持基于策略的目的NAT，從對(duì)符合一定策略的報(bào)文進(jìn)行目的地址轉(zhuǎn)換；支持將多個(gè)公網(wǎng)地址映射為同一個(gè)地址。

 靜態(tài)NAT：支持靜態(tài)1對(duì)1 NAT；支持靜態(tài)net-to-net NAT。

 NAT Fullcone技術(shù)支持NAT網(wǎng)絡(luò)中的P2P穿越。

 NAT hairpin技術(shù)解決同一NAT之后的P2P終端通信的同時(shí)，減少對(duì)出口帶寬浪費(fèi)。

 支持多種協(xié)議狀態(tài)檢測(cè)如FTP、DNS、TFTP、SQLNET、SIP、H.323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN等。

 支持靜態(tài)、動(dòng)態(tài)NAT444技術(shù)，支持基于策略的多出口NAT特性。

 支持高性能的NAT日志發(fā)送。

豐富的VPN應(yīng)用

 CPU內(nèi)置高性能加密引擎，確保計(jì)算復(fù)雜的加解密操作不會(huì)對(duì)CPU處理其他防火墻業(yè)務(wù)造成影響，同時(shí)保證了VPN的處理性能。

 支持GRE VPN、L2TP VPN, IPsec VPN、DVPN、SSL VPN及多種VPN技術(shù)的組合應(yīng)用。

 支持IPv6 IPsec vpn、IPv6 GRE VPN。

 支持多種VPN技術(shù)的組合使用IPsec Over GRE，L2TP over IPsec等。

完善的IPv6解決方案

 支持IPv6靜態(tài)路由、策略路由、OSPFv3、BGP4+、RIPng等動(dòng)態(tài)路由。

 支持IPv6狀態(tài)防火墻。

 支持IPv6協(xié)議狀態(tài)檢測(cè)包括DNS64、FTP、ICMPv6、SIP、RTSP、MGCP等

 支持IPv6地址對(duì)象及IPv6安全策略

 支持IPv6攻擊防范，包括IPv6 DOS/DDOS攻擊、掃描攻擊等

 支持IPv6 IPsec VPN

 支持DS-LITE、AFT及IPv6隧道等各種過(guò)渡技術(shù)。

 支持IPv6管理、日志及審計(jì)。

 支持IPv6虛擬防火墻。

電信級(jí)業(yè)務(wù)高可靠性

 支持防火墻、NAT、攻擊防范、VPN業(yè)務(wù)的熱備。

 故障隔離：軟件模塊化技術(shù)使軟件的各個(gè)部分做到故障隔離。Comware V7的模塊化設(shè)計(jì)，保證一個(gè)進(jìn)程的異常不會(huì)影響其他進(jìn)程以及內(nèi)核的正常運(yùn)行。軟件的故障也可以通過(guò)自行恢復(fù)，不影響硬件的運(yùn)行

 進(jìn)程級(jí)GR：通過(guò)完善的進(jìn)程級(jí)GR技術(shù)，保證異常進(jìn)程可恢復(fù)，并且不影響系統(tǒng)業(yè)務(wù)。

全面的管理監(jiān)控手段

 提供各種日志功能，包括攻擊實(shí)時(shí)日志、黑名單日志、會(huì)話日志、二進(jìn)制格式日志、NAT日志功能，能夠有效的記錄網(wǎng)絡(luò)情況，從而為分析網(wǎng)絡(luò)狀況，防范網(wǎng)絡(luò)攻擊提供依據(jù)。

 提供簡(jiǎn)單易用的Web UI管理。

 通過(guò)H3C iMC管理平臺(tái)實(shí)現(xiàn)統(tǒng)一管理，集安全信息與事件收集、分析、響應(yīng)等功能為一體，解決了網(wǎng)絡(luò)與安全設(shè)備相互孤立、網(wǎng)絡(luò)安全狀況不直觀、安全事件響應(yīng)慢、網(wǎng)絡(luò)故障定位困難等問(wèn)題，使IT及安全管理員脫離繁瑣的管理工作，極大提高工作效率，能夠集中精力關(guān)注核心業(yè)務(wù)。

(1) 基于*的深度挖掘及分析技術(shù)，采用主動(dòng)收集、被動(dòng)接收等方式，為用戶提供集中化的日志管理功能，并對(duì)不同類型格式（Syslog、二進(jìn)制流日志等）的日志進(jìn)行歸一化處理。同時(shí)，采用高聚合壓縮技術(shù)對(duì)海量事件進(jìn)行存儲(chǔ)，并可通過(guò)自動(dòng)壓縮、加密和保存日志文件到DAS、NAS或SAN等外部存儲(chǔ)系統(tǒng)，避免重要安全事件的丟失。

(2) 提供豐富的報(bào)表，主要包括基于應(yīng)用的報(bào)表、基于網(wǎng)流的分析報(bào)表等。

(3) 支持以PDF、HTML、WORD和TXT等多種格式輸出。

(4) 可通過(guò)Web界面進(jìn)行報(bào)告定制，定制內(nèi)容包括數(shù)據(jù)的時(shí)間范圍、數(shù)據(jù)的來(lái)源設(shè)備、生成周期以及輸出類型等。

安全認(rèn)證

 支持用戶身份管理，不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，可以防止低權(quán)限用戶非法獲取或修改配置信息等。M9008-S設(shè)置了如下四種身份的用戶：訪問(wèn)（Visit）級(jí)、監(jiān)控（Monitor）級(jí)、配置（Config）級(jí)和管理（Manage）級(jí)用戶。

 視圖分級(jí)保護(hù)。由于四種不同身份的用戶擁有的配置權(quán)限不同，級(jí)別低的用戶不能進(jìn)入更高級(jí)的視圖。

 在PPP線路上支持CHAP和PAP驗(yàn)證協(xié)議。

 支持基于RADIUS（Remote Authentication Dial-In User Service，遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)）的AAA（Authentication，Authorization，Accounting，認(rèn)證、、計(jì)費(fèi)）服務(wù)，可以與RADIUS服務(wù)器配合實(shí)施對(duì)接入用戶的驗(yàn)證、和計(jì)費(fèi)安全服務(wù)，防止非法訪問(wèn)。

 支持基于PKI/X.509的證書(shū)認(rèn)證功能。

 路由協(xié)議OSPF、RIP2都具有MD5認(rèn)證功能，確保所交換路由信息的可靠性。

開(kāi)放的系統(tǒng)接口

 開(kāi)放接口：傳統(tǒng)的網(wǎng)絡(luò)操作系統(tǒng)為封閉的系統(tǒng)，有專用的系統(tǒng)概念和處理流程，缺乏開(kāi)放性。而Comware V7使用通用的Linux操作系統(tǒng)，回歸了主流的軟件實(shí)現(xiàn)方式。提供開(kāi)放的標(biāo)準(zhǔn)編程接口，可供用戶利用Comware V7提供的基礎(chǔ)功能，實(shí)現(xiàn)自己的專用功能，目前主要基于Netconf接口。

 TCL腳本：Comware V7內(nèi)嵌了TCL腳本執(zhí)行功能，用戶可以利用TCL腳本語(yǔ)言直接編寫腳本，利用Comware V7提供的命令行、SNMP Get、SET操作，以及Comware V7公開(kāi)的編程接口等實(shí)現(xiàn)所需功能。

 EAA：可以在系統(tǒng)發(fā)生變化時(shí)執(zhí)行預(yù)定義動(dòng)作。在提高系統(tǒng)可維護(hù)性的同時(shí)，滿足用戶一些個(gè)性化需求。

系統(tǒng)配置表

H3C SecPath M9008-S主機(jī)系統(tǒng)配置表

接口屬性表

配置口屬性

配置口屬性

千兆以太網(wǎng)電口屬性

千兆以太網(wǎng)電口屬性

千兆以太網(wǎng)光口屬性

千兆以太網(wǎng)光口屬性

萬(wàn)兆以太網(wǎng)光口屬性

萬(wàn)兆以太網(wǎng)光口屬性

功能特性列表

功能特性表