A:H3C的安全产品无论是在功能、性能、稳定性、配套管理和维护上都是业内首屈一指的。H3C 防火墙/VPN产品功能全面,支持现有所以DDoS攻击防范、深度内容检测、多种VPN技术;产品采用多核电信级平台,并且率先通过国际严格的RoHS环保认证,使得H3C的安全产品的性能和可靠性都满足用户需求;支持多种管理模式(Web、iMC、BIMS等)。
A: 目前防火墙可以防范比较常见的攻击包括:
SYN Flood、检测到SYN Flood,自动启用TCP Proxy、UDP Flood、IP Spoofing、LAND攻击、 Smurf攻击、Fraggle攻击、Winnuke、 Ping of Death、Tear Drop、地址扫描、端口扫描、 IP Option控制、IP分片报文控制、TCP标记合法性检查、超大ICMP报文控制、ICMP重定向报文控制、ICMP不可达报文控制和TRACERT报文控制。
A: 防火墙上目前支持SMTP邮件地址过滤、SMTP邮件标题过滤和SMTP邮件内容过滤,可以支持实时邮件和定时邮件告警.
A: 防火墙中采用ASPF技术对报文采取智能动态过滤, 可以根据配置对流量进行实时过滤。
A: 防火墙的所有产品中都支持VPN特性, 这也是防火墙的趋势, 在一台设备上集成VPN接入功能, 对于硬件加密, F100-C、F100-S、F100-E、F1000-S和F1000-A内置了硬件加密芯片。
A: L3 Monitor可以检测一条端到端的路由,用来解决静态路由无法检测到远端接口的状况。在具体的应用环境中,一条静态路由的nexthop可能跨过一个或多个路由器/交换机,在动态路由协议中,可以由路由协议进行自动的路由刷新,但是在静态路由的情况下,如果路由的nexthop接口down,但是交换机/路由器屏蔽了物理端口的链路状态的转变,所以本机依然会认为这条路由有效,依然按照这条已经不通的路由转发报文,此时就会造成业务的异常。
L3 Monitor就可以解决这样的问题,当远端的nexthop目标接口为down时,L3 Monitor可以及时的发现接口的状态,从而将此静态路由标记为无效,如果此时还有其他的有效路由存在,则路由器会自动的从其他的有效路由路径转发报文。
这里举例如下:
一台路由器上存在下面两条静态路由:
Dest NetMask Nexthop Preference
192.168.1.0 255.255.255.0 10.1.1.1 60
192.168.1.0 255.255.255.0 10.1.1.2 70
模拟的组网示意图如下:
Route A的 10.1.1.3接口通过交换机分别和Router B,Router C相连,如果Router C的接口为down,由于Router A和Router C中间有一台交换机存在,Router A不知道第一条路由实际上已经无效,如果此时仍然按照优先级高的路由转发报文,则交换机会直接将报文丢弃。这种情况下,如果用L3 Monitor来检测这两条路由,当Router C的接口为down时,L3 Monitor会检测到第一条路由已经无效,此时Router A会将192.168.1.0/24网段的报文经第二条路由转发到Router B上,从而避免业务的异常中断。
A: SecPath系列产品中防火墙支持WEB管理, 支持GUI界面管理, 有三种工具包括: Web管理平台、VPN Manager和 BIMS. 其中VPN Manager和BIMS属于CAMS组件, 需要单独购买. Web 管理可以提供全面的图形化管理, VPN Manager提供IPSec VPN的相关图形化配置和管理, BIMS提供远程配置文件的图形化管理.
A: 安全集中控制体现在支持BIMS\VPN MANAGER\iMC等,支持流量监控、端口监控,拓扑发现等等功能。BIMS可实现配置自动下载和更新。
A:目前H3C所有的安全产品都集成了VPN和防火墙功能。独立VPN系列产品在安全特性上较弱,只具备1-4层的过滤能力,而防火墙系列产品则增强了很多安全方面的过滤功能,这些是VPN系列产品所不具备的。防火墙上VPN加密性能相对独立VPN网关要低一些。
A: 由于IPV4的地址资源非常有限,在很多具体的应用环境中,电信运营商分配给用户的IP地址,实际上是一个非公网地址,在电信运营商的出口处会用NAT设备将用户得到的非公网IP地址转换成一个公网IP地址,这在大部分的应用中对用户来说是透明的,但是对于一些基于不支持NAT的协议的应用来说,可能就无法正常使用了,如SIP, H323, AH和非Tunnel方式的ESP报文等,H3C公司的IPSec Nat Trasveral方案是通过将ISAKMP(IKE的协议载体), AH, ESP封装在UDP报文中,并固定端口号。如果报文经过了
PAT设备,会修改原始UDP报文的源端口号,因此双方设备会首先通过检测来判断双方的通讯之间是否经过了NAT设备并检测对方对NAT设备的支持能力,如果检测到有NAT设备存在,则启用UDP封装,当远端设备接收到经过NAT的ISAKMP报文时,通过UDP报文的源和目的端口将经过NAT的ISAKMP报文放到一个session中来处理;对于普通的经过ESP或者AH封装的数据报文,由于UDP对于NAT的天然优势,可以很方便的处理。
A:VPN系列产品支持AAA特性, 可以通过Radius和本地认证来对客户实现灵活全面的认证和统计. 支持对用户的身份验证, 流量统计等, 从而实现全面的监控.
A: SecPath全系列产品支持子接口,子接口的概念从交换机的VLAN概念中衍生。是通过在物理Ethernet接口上配置802.1Q特性,从而实现一个物理端口对应多个逻辑端口,可以给设备带来非常大的可扩展性。
子接口在应用上和实际的物理接口没有任何区别,可以在接口上实施IPSec策略,使能路由,QOS等。但是由于子接口是通过802.1Q在普通的Ethernet端口上扩展而来,如果希望子接口可以接收到ip数据,则从物理端口上接收的数据必须携带相应的VLAN ID,所以在实际的组网中,应该将SecPath 安全网关设备和三层交换机相连,子接口所属的物理接口所相连的交换机接口所配置的VLAN ID,应该和子接口上配置的VLAN ID相同。
A: SecPath系列产品支持标准的X509 V3的PKI体系的数字证书,可以在IKE的协商过程中引入数字证书来进行密钥协商以及身份验证。SecPath可以通过带内或者带外(PKCS#10或者PKCS#12)方式来引入数字证书,并且支持通过LDAP来动态获取CRL,保证数字证书的实时有效性,这里结合PKI证书服务器以及LDAP服务器做一个图示如下:
A: 在标准的RFC文档中说明了,当IPSec采用IKE主模式的Pre-Share-Key方式来协商SA时,如果有一端的IP地址不固定,则无法正确协商出SA,这是一个公认的缺陷。而且这种情况在移动VPN接入的应用中非常普遍。
SecPath系列安全网关支持IKE的Main和Aggressive两种方式,Aggressive方式可以支持动态ip地址建立IPSec隧道。
A: 支持如下认证方式:
1 普通的“用户名+密码”认证方式。管理员既可以根据需要通过集成LDAP、RADIUS服务器,实现对用户的企业级集中认证
2 “SecKey+PIN码”双因子认证方式。SecKey是H3C提供的基于USB接口身份认证令牌,可以方便的连接到兼容USB的终端设备上,实现终端设备的方便接入。
打开USB盘需要一个密码,启用后,对于SecKey里面的用户名,密码之类的内容进行验证。里面可以包含SecPoint的所有配置。
3数字证书认证方式。数字证书可以存储在用户个人计算机上,也可以存储在SecKey里面。系统通过提供硬件加速,实现用户的高速安全连接。
到CA服务器上得到各自的证书,然后相互验证。然后进入PKI协商的第二阶段,协商出SA后,通过非对称密钥(公钥和私钥。公钥传播给所有可信任的用户。然后公钥进行加密,对端通过私钥进行解密)
A: 支持,可以和第三方网络管理软件兼容;
A: SecPath 系列产品支持所有的IPSec标准,包括:
IPSec (RFCs 2401–2410)
IPSec Encapsulating Security Protocol (ESP) using DES or 3DES (RFC 2406)
IPSec authentication header using MD5 or SHA (RFCs 2403–2404)
Internet Key Exchange (IKE; RFCs 2407–2409)
AES加密算法有出口限制, 主要是对于密钥长度的要求,具体可以查看相关资料, 根据具体的国家和地区有所区别。
RSA非对称加密算法有出口限制, 主要是对于密钥长度的要求,具体可以查看相关资料,根据具体的国家和地区有所区别。
A: AES有128、192、256bit三种,加密强度和密钥长度直接相关,3DES目前是192bit的。AES算法因为技术比较先进,已经是最新RFC的IPSEC加密算法强制标准。
A: SSL VPN是一种先进的免客户端、细粒度控制的VPN技术,对产品技术、易用性和扩展性要求高。H3C在安全领域一直是高端、先进技术的代名词,无论是产品的稳定性、功能、性能方面都具有明显的优势。H3C的SSL VPN产品功能全面、性能价格比合理、产品形态灵活,可以为用户提供完善的SSL VPN接入解决方案。
A:带MIM插槽的防火墙和VPN产品都支持。
A:支持四种主流认证:本地、RADIUS、LDAP、AD,支持结合CA/RSA的双因子认证。
A:远程客户、移动客户端接入服务器的应用,可以使用SSL VPN。SSL VPN目前不支持site to site,即分支网关到总部网关的部署方式。配置SSL VPN的防火墙产品可以串行接入网络,也可以旁路接入网络。
A:SSL VPN比IPSec免客户端安装和VPN访问资源的细粒度控制。采用SSL VPN后,移动设备上不需要安装客户端就能直接访问;IPSec对所有流经的信息统一对待,不能进行进一步分析,SSL VPN可以进行应用控制,如文件共享、FTP目录管理等。
IPSec引用于Site to Site模式,适合于总部到分支之间的传输,性能比SSL VPN强。
A: 对病毒的防护不是单一产品能够解决的,H3C为用户提供的是一整套解决方案,从根本上解决病毒威胁。H3C的防病毒模块采用独立硬件结构,通过先进的检测技术,可以实现对未知病毒的防护,降低用户的面临的威胁;同时ASM病毒库每天都会进行及时更新,能够让用户在第一时间达到安全状态,防患于未然。
A:ASM是具有OAA架构的病毒防护模块,内核采用知名病毒厂家的流引擎。目前可以支持F1000-A、F1000-S、F100-A、F100-M四款。
A:随产品硬件提供1年的升级支持和3年的升级支持,1年后需要单独购买。
A:采用变种共性特征对比技术,是一种广谱病毒查杀,根据寻找变种病毒和已知病毒的相似度来识别变种,从而进行查杀。
A:ASM和网络版杀毒软件、IPS和防毒墙的区别,其中ASM和网络版杀毒软件、IPS可以共存,形成多重防护。参见下表:
对比项目 | 区别内容 |
ASM同杀毒软件区别 | 保护范围不一样: 1.杀毒被动杀毒,只有等待病毒感染才处理。 2.ASM同防火墙一起部署在网络中,对流经防火墙的流量进行病毒清洗,实现主动病毒防护。 |
ASM同IPS 区别 | 防范类型不一样: 1.IPS同ASM都可以防范木马、蠕虫等病毒。 2.ASM支持文件型病毒防范,IPS目前支持较弱。 |
ASM同防毒墙 区别 | 功能特点不一样: 1.友商防毒墙侧重病毒防护,具有简单防火墙功能。 2.ASM应用于防火墙,具有完毕的防火墙、VPN和路由功能。 |
A:H3C是国内唯一的同时具备专业网络产品和专业安全产品的厂家,而网络的流量监控又同时需要网络和安全技术,因此H3C的流量监控产品NSM是H3C多年网络、安全技术的结晶。NSM可以提供全面、及时的网络业务应用情况的监控,设备自带独立硬件平台、操作系统和存储介质,保障应用环境的高可靠性和高性能。
A:NSM是具有OAA架构的网络完全监控模块,目前可以支持F1000-A、F1000-S、F100-A、F100-M四款。NSM支持MIM插卡,高度1U,占用两个MIM插槽,和其他MIM插卡互斥。
A:NSM相对于Xlog是实时监控的,而且属于旁路监控,不影响防火墙的业务,也不占用业务带宽。不需要额外部署服务器。业务上NSM分析的是原始报文,可以识别部分7层协议,例如BT等。相对Xlog图表更为丰富、配置更加灵活。
A:NSM能够获得最全面的网络流量信息,可以接收防火墙的原始流量数据,也可以接收网络流数据(NetFlow、NetStream、sFlow)。还可利用NSM集成的nProbe软件把流量直接转换为NetFlow报文。
