新華三防火墻  H3C SecPath F1000-AI-35-G  

人工智能特性

F1000-AI防火墻是集成了AI分析引擎的新一代防火墻，在有效應對傳統網絡安全威脅的基礎上還能夠：

 識別加密和新型應用，提供更加準確、精細和靈活的安全管控策略；

 識別惡意的加密流量，發現隱藏在正常加密流量中的惡意行為；

 識別異常、威脅和攻擊等安全風險，為應急響應提供決策和依據；

 與云端和態勢感知等平臺相結合，提供全方位的協同防御。

 具備策略優化分析能力，支持對配置的策略進行梳理，識別策略存在的問題；

F1000-AI防火墻是一個持續演進的產品，是AI綜合網絡安全解決方案中的關鍵部分，也是網絡安全主動防御體系中的必要環節，將朝著彈性架構、加密分析、AI賦能、協同防御的方向不斷推進。

電信級設備高可靠性

 采用H3C公司擁有自主知識產權的軟、硬件平臺。產品應用從電信運營商到中小企業用戶，經歷了多年的市場考驗。

 支持H3C SCF虛擬化技術，可將多臺設備虛擬化為一臺邏輯設備，對外呈現為一個網絡節點，資源統一管理，完成業務備份同時提高系統整體性能。

 虛擬化：支持虛擬防火墻的創建、啟動、關閉、刪除功能。

強大的安全防護功能

 支持IPv4/IPv6雙棧安全策略功能，支持基于五元組、安全域、時間段等多維度訪問控制。

 支持豐富的攻擊防范功能。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法、超大ICMP報文、地址掃描、端口掃描等攻擊防范，還包括針對SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常見DDoS攻擊的檢測防御。

 最新支持SOP 1:N完全虛擬化。可在H3C SecPath F1000-AI設備上劃分多個邏輯的虛擬防火墻，基于容器化的虛擬化技術使得虛擬系統與實際物理系統特性一致，并且可以基于虛擬系統進行吞吐、并發、新建、策略等性能分配。

 支持安全區域管理。可基于接口、VLAN劃分安全區域。

 支持包過濾。通過在安全區域間使用標準或擴展訪問控制規則，借助報文中UDP或TCP端口等信息實現對數據包的過濾。此外，還可以按照時間段進行過濾。

 支持應用識別，且可以基于應用、用戶的訪問控制，將應用與用戶作為安全策略的基本元素，并結合深度防御實現下一代的訪問控制功能。

 支持應用層狀態包過濾（ASPF）功能。通過檢查應用層協議信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP協議的應用層協議），并監控基于連接的應用層協議狀態，動態的決定數據包是被允許通過防火墻或者是被丟棄。

 支持驗證、授權和計帳（AAA）服務。包括：基于RADIUS/HWTACACS+、CHAP、PAP等的認證。

 支持靜態和動態黑名單。

 支持NAT和NAT多實例。

 支持VPN功能。包括：支持L2TP、IPSec/IKE、GRE、SSL等，并實現與智能終端對接。

 支持豐富的路由協議。支持靜態路由、策略路由，以及RIP、OSPF等動態路由協議。

 支持安全日志。

 支持流量監控統計、管理。

 國密算法：支持國密SM1/2/3/4算法。

靈活可擴展的一體化DPI深度安全

 與基礎安全防護高度集成的一體化安全業務處理平臺。

 全面的應用層流量識別與管理：通過H3C長期積累的狀態機檢測、流量交互檢測技術，能精確檢測Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、微信、微博、QQ、MSN、PPLive等P2P/IM/網絡游戲/炒股/網絡視頻/網絡多媒體等應用；支持P2P流量控制功能，通過對流量采用深度檢測的方法，即通過將網絡報文與P2P協議報文特征進行匹配，可以精確的識別P2P流量，以達到對P2P流量進行管理的目的，同時可提供不同的控制策略，實現靈活的P2P流量控制。

 高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產權的FIRST（Full Inspection with Rigorous State Test，基于精確狀態的全面檢測）引擎。FIRST引擎集成了多項檢測技術，實現了基于精確狀態的全面檢測，具有極高的入侵檢測精度；同時，FIRST引擎采用了并行檢測技術，軟、硬件可靈活適配，大大提高了入侵檢測的效率。

 實時的病毒防護：采用流引擎查毒技術，可迅速、準確查殺網絡流量中的病毒等惡意代碼。

 海量URL分類過濾：設備支持根據URL類別實現URL過濾，支持本地+云端方式，139個分類庫，超2000萬條URL規則。

 全面、及時的安全特征庫。通過多年經營與積累，H3C公司擁有業界資深的攻擊特征庫團隊，同時配備有專業的攻防實驗室，緊跟網絡安全領域的最新動態，從而保證特征庫的及時準確更新。

業界領先的IPv6

 支持IPv6狀態防火墻，真正意義上實現IPv6條件下的防火墻功能，同時完成IPv6的攻擊防范。

 支持IPv4/IPv6雙協議棧，并支持IPv6數據報文轉發、靜態路由、動態路由及組播路由等功能。

 支持IPv6各種過渡技術，包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道、NAT444、DS-Lite等。

 支持IPv6 ACL、Radius等安全技術。

下一代多業務特性

 集成鏈路負載均衡特性，通過鏈路狀態檢測、鏈路繁忙保護等技術，有效實現企業互聯網出口的多鏈路自動均衡和自動切換。

 一體化集成SSL VPN（IPV4&IPV6）特性，滿足移動辦公、員工出差的安全訪問需求，不僅可結合USB-Key、短信進行移動用戶的身份認證，還可與企業原有認證系統相結合、實現一體化的認證接入。

 數據防泄漏（DLP），支持郵件過濾，提供SMTP郵件地址、標題、附件和內容過濾；支持網頁過濾，提供HTTP URL和內容過濾；支持網絡傳輸協議的文件過濾；支持應用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。

 入侵防御（IPS），支持Web攻擊識別和防護，如跨站腳本攻擊、SQL注入攻擊等。支持基于對包括但不限于操作系統、網絡設備、辦公軟件、網頁服務等保護對象的入侵防御策略，支持基于對漏洞、惡意文件、信息收集類攻擊等的攻擊分類的防護策略，支持基于服務器、客戶端的防護策略，且缺省動作支持黑名單。

 防病毒（AV），高性能病毒引擎，可防護500萬種以上的病毒和木馬，病毒特征庫每日更新。支持基于文件協議、共享協議（NFS/SMB）的病毒功能。動作響應，可發現病毒發送的告警信息，支持用戶編輯告警內容。

 未知威脅防御，借助態勢感知平臺，NGFW可以快速發現攻擊、定位問題，確保一旦單點受到攻擊，全網實施策略升級及綜合預警、響應。

 深入的WEB安全防護 不局限于常規的IPS/AV防護，針對內網服務器，提供細致化的web應用防護，對于服務器最為頭疼的CC攻擊，異常外聯，SQL注入、HTTP慢速攻擊、跨站腳本等常見攻擊行為，對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網站進行有效防護。

 支持智能終端識別，終端識別是建立物聯網安全連接的重要前提，用于識別物聯網中的終端，。當終端流量流經設備時，H3C安全網關可以分析并提取出終端信息，例如終端的廠商、型號等，并支持在終端信息發生變更時向用戶發送日志，提示用戶。同時采用應用檢測方式和 IPID檢測方式對通過NAT技術或代理技術進行共享上網的行為進行識別和管理。

 資產掃描，支持資產發現功能，能夠掃描發現內網主機開放的端口，服務，發現風險，識別威脅。

 未知威脅檢測單靠特征分析已不足以應對復雜的網絡環境，面對典型的APT（Advanced Persistent Threat，高級持續性威脅）攻擊沙箱技術是防御APT攻擊最有效的方法之一，它用于構造隔離的威脅檢測環境。H3C 安全網關通過將網絡流量送入沙箱進行隔離分析，由沙箱給出是否存在威脅的結論。檢測到某流量為惡意流量，設備將對流量實施阻斷等處理。