H3C SecPath M9008-S多业务安全网关

高性能的软硬件处理平台

 采用控制、业务、数据相分离的全分布式架构，控制引擎、交换引擎、业务引擎及接口单元硬件分离，解耦合系统关键部件， 提高系统可靠性；独立的硬件交换引擎，支撑高性能安全业务无阻塞处理及转发。

 独立的高性能控制引擎，实现系统统一配置管理和安全集群。

 安全业务引擎采用最新多核高性能处理器，保证大 容量策略表项的高速检索。

 内置模块化软件系统，支持多进程的调度，进程间运行空间隔离，单个进程的异常不会影响系统其他部分，提高系统可靠性； 支持权限管理功能，基于特性、命令行、系统资源、WEB 管理等级别定义用户读写权限，提高系统安全性；支持热补丁、ISSU，不中断业务的情况下实现系统升级，提高系统易用性。

完善的安全保障

业界最完善的虚拟化解决方案

 支持虚拟化，满足云计算资源池需求。

 支持多台设备集群部署。

 支持虚拟防火墙。

全面的网络安全防护能力

 集成入侵检测与防御、病毒防护、带宽管理和URL 过滤等功能，是业界综合防护技术最领先的入侵检测/防御系统。通过深入到七 层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护。

 丰富的攻击防范技术。同时支持IPv4和IPv6。除提供普通的状态防火墙安全隔离技术外，针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法，地址欺骗攻击如IP spoofing，扫描攻击如IP地址攻击、端口攻击，异常流量攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。

 全面、及时的特征库。H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库。特征库覆盖全面，包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征，同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征。

 针对报文检测结果提供了丰富的响应方式，包括源阻断、丢弃、允许、限流、TCP Reset、捕获原始报文、重定向、记录日志、告警等。各响应方式可以相互组合，并且设备出厂内置了一些常用的动作组合，以方便客户使用。

丰富的NAT特性

 源地址NAT：支持对不同的源选择不同的地址池；支持NAT端口复用特性从而有效节省公网地址；支持PAT/NO-PAT，支持采用接口地址作为转换后的公网地址；针对P2P应用支持Full-cone特性。

 目的地址NAT：支持将公网地址+端口转换为私网地址+端口；支持忽略端口的目的地址转换；支持基于策略的目的NAT，从对符合一定策略的报文进行目的地址转换；支持将多个公网地址映射为同一个私网地址。

 静态NAT：支持静态1对1 NAT；支持静态net-to-net NAT。

 NAT Fullcone技术完美支持NAT网络中的P2P穿越。

 NAT hairpin技术解决同一NAT之后的P2P终端通信的同时，减少对出口带宽浪费。

 支持多种协议状态检测如FTP、DNS、TFTP、SQLNET、SIP、H.323、SCCP、RSH、MGCP、GTP、PPTP、QQ、MSN等。

 支持静态、动态NAT444技术，支持基于策略的多出口NAT特性。

 支持高性能的NAT日志发送。

丰富的VPN应用

 CPU内置高性能加密引擎，确保计算复杂的加解密操作不会对CPU处理其他防火墙业务造成影响，同时保证了VPN的处理性能。

 支持GRE VPN、L2TP VPN, IPsec VPN、DVPN、SSL VPN及多种VPN技术的组合应用。

 支持IPv6 IPsec vpn、IPv6 GRE VPN。

 支持多种VPN技术的组合使用IPsec Over GRE，L2TP over IPsec等。

完善的IPv6解决方案

 支持IPv6静态路由、策略路由、OSPFv3、BGP4+、RIPng等动态路由。

 支持IPv6状态防火墙。

 支持IPv6协议状态检测包括DNS64、FTP、ICMPv6、SIP、RTSP、MGCP等

 支持IPv6地址对象及IPv6安全策略

 支持IPv6攻击防范，包括IPv6 DOS/DDOS攻击、扫描攻击等

 支持IPv6 IPsec VPN

 支持DS-LITE、AFT及IPv6隧道等各种过渡技术。

 支持IPv6管理、日志及审计。

 支持IPv6虚拟防火墙。

电信级业务高可靠性

 支持防火墙、NAT、攻击防范、VPN业务的热备。

 故障隔离：软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计，保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复，不影响硬件的运行

 进程级GR：通过完善的进程级GR技术，保证异常进程可恢复，并且不影响系统业务。

全面的管理监控手段

 提供各种日志功能，包括攻击实时日志、黑名单日志、会话日志、二进制格式日志、NAT日志功能，能够有效的记录网络情况，从而为分析网络状况，防范网络攻击提供依据。

 提供简单易用的Web UI管理。

 通过H3C iMC管理平台实现统一管理，集安全信息与事件收集、分析、响应等功能为一体，解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题，使IT及安全管理员脱离繁琐的管理工作，极大提高工作效率，能够集中精力关注核心业务。

(1) 基于先进的深度挖掘及分析技术，采用主动收集、被动接收等方式，为用户提供集中化的日志管理功能，并对不同类型格式（Syslog、二进制流日志等）的日志进行归一化处理。同时，采用高聚合压缩技术对海量事件进行存储，并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统，避免重要安全事件的丢失。

(2) 提供丰富的报表，主要包括基于应用的报表、基于网流的分析报表等。

(3) 支持以PDF、HTML、WORD和TXT等多种格式输出。

(4) 可通过Web界面进行报告定制，定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。

安全认证

 支持用户身份管理，不同身份的用户拥有不同的命令执行权限，可以防止低权限用户非法获取或修改配置信息等。M9008-S设置了如下四种身份的用户：访问（Visit）级、监控（Monitor）级、配置（Config）级和管理（Manage）级用户。

 视图分级保护。由于四种不同身份的用户拥有的配置权限不同，级别低的用户不能进入更高级的视图。

 在PPP线路上支持CHAP和PAP验证协议。

 支持基于RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）的AAA（Authentication，Authorization，Accounting，认证、授权、计费）服务，可以与RADIUS服务器配合实施对接入用户的验证、授权和计费安全服务，防止非法访问。

 支持基于PKI/X.509的证书认证功能。

 路由协议OSPF、RIP2都具有MD5认证功能，确保所交换路由信息的可靠性。

开放的系统接口

 开放接口：传统的网络操作系统为封闭的系统，有专用的系统概念和处理流程，缺乏开放性。而Comware V7使用通用的Linux操作系统，回归了主流的软件实现方式。提供开放的标准编程接口，可供用户利用Comware V7提供的基础功能，实现自己的专用功能，目前主要基于Netconf接口。

 TCL脚本：Comware V7内嵌了TCL脚本执行功能，用户可以利用TCL脚本语言直接编写脚本，利用Comware V7提供的命令行、SNMP Get、SET操作，以及Comware V7公开的编程接口等实现所需功能。

 EAA：可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时，满足用户一些个性化需求。

系统配置表

H3C SecPath M9008-S主机系统配置表

接口属性表

配置口属性

配置口属性

千兆以太网电口属性

千兆以太网电口属性

千兆以太网光口属性

千兆以太网光口属性

万兆以太网光口属性

万兆以太网光口属性

功能特性列表

功能特性表