人工智能特性

F1000-AI防火墻是集成了AI分析引擎的新一代防火墻，在有效應對傳統(tǒng)網(wǎng)絡(luò)安全威脅的基礎(chǔ)上還能夠：

識別加密和新型應用，提供更加準確、精細和靈活的安全管控策略；

識別惡意的加密流量，發(fā)現(xiàn)隱藏在正常加密流量中的惡意行為；

識別異常、威脅和攻擊等安全風險，為應急響應提供決策和依據(jù)；

與云端和態(tài)勢感知等平臺相結(jié)合，提供的協(xié)同防御。

F1000-AI防火墻是一個持續(xù)演進的產(chǎn)品，是AI綜合網(wǎng)絡(luò)安方案中的關(guān)鍵部分，也是網(wǎng)絡(luò)安全主動防御體系中的必要環(huán)節(jié)，將朝著彈性架構(gòu)、加密分析、AI賦能、協(xié)同防御的方向不斷推進。

電信級設(shè)備高可靠性

采用H3C公司擁有自主知識產(chǎn)權(quán)的軟、硬件平臺。產(chǎn)品應用從電信運營商到中小企業(yè)用戶，經(jīng)歷了多年的市場考驗。

支持H3C SCF虛擬化技術(shù)，可將多臺設(shè)備虛擬化為一臺邏輯設(shè)備，對外呈現(xiàn)為一個網(wǎng)絡(luò)節(jié)點，資源統(tǒng)一管理，完成業(yè)務(wù)備份同時提高系統(tǒng)整體性能。

強大的安全防護功能

支持豐富的攻擊防范功能。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法、超大ICMP報文、地址掃描、端口掃描等攻擊防范，還包括針對SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常見DDoS攻擊的檢測防御。

支持SOP 1:N虛擬化。可在H3C SecPath F1000-AI設(shè)備上劃分多個邏輯的虛擬防火墻，基于容器化的虛擬化技術(shù)使得虛擬系統(tǒng)與實際物理系統(tǒng)特性一致，并且可以基于虛擬系統(tǒng)進行吞吐、并發(fā)、新建、策略等性能分配。

支持安全區(qū)域管理。可基于接口、VLAN劃分安全區(qū)域。

支持包過濾。通過在安全區(qū)域間使用標準或擴展訪問控制規(guī)則，借助報文中UDP或TCP端口等信息實現(xiàn)對數(shù)據(jù)包的過濾。此外，還可以按照時間段進行過濾。

支持基于應用、用戶的訪問控制，將應用與用戶作為安全策略的基本元素，并結(jié)合深度防御實現(xiàn)下一代的訪問控制功能。

支持應用層狀態(tài)包過濾（ASPF）功能。通過檢查應用層協(xié)議信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP協(xié)議的應用層協(xié)議），并監(jiān)控基于連接的應用層協(xié)議狀態(tài)，動態(tài)的決定數(shù)據(jù)包是被允許通過防火墻或者是被丟棄。

支持驗證、和計帳（AAA）服務(wù)。包括：基于RADIUS/HWTACACS+、CHAP、PAP等的認證。

支持靜態(tài)和動態(tài)黑名單。

支持NAT和NAT多實例。

支持VPN功能。包括：支持L2TP、IPSec/IKE、GRE、SSL等，并實現(xiàn)與智能終端對接。

支持豐富的路由協(xié)議。支持靜態(tài)路由、策略路由，以及RIP、OSPF等動態(tài)路由協(xié)議。

支持安全日志。

支持流量監(jiān)控統(tǒng)計、管理。

靈活可擴展的一體化DPI深度安全

與基礎(chǔ)安全防護高度集成的一體化安全業(yè)務(wù)處理平臺。

全面的應用層流量識別與管理：通過H3C長期積累的狀態(tài)機檢測、流量交互檢測技術(shù)，能精確檢測Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、微信、微博、QQ、MSN、PPLive等P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應用；支持P2P流量控制功能，通過對流量采用深度檢測的方法，即通過將網(wǎng)絡(luò)報文與P2P協(xié)議報文特征進行匹配，可以精確的識別P2P流量，以達到對P2P流量進行管理的目的，同時可提供不同的控制策略，實現(xiàn)靈活的P2P流量控制。

高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產(chǎn)權(quán)的FIRST（Full Inspection with Rigorous State Test，基于精確狀態(tài)的全面檢測）引擎。FIRST引擎集成了多項檢測技術(shù)，實現(xiàn)了基于精確狀態(tài)的全面檢測，具有的入侵檢測精度；同時，F(xiàn)IRST引擎采用了并行檢測技術(shù)，軟、硬件可靈活適配，大大提高了入侵檢測的效率。

實時的病毒防護：采用流引擎查毒技術(shù)，可迅速、準確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼。

海量URL分類過濾：支持本地+云端方式，139個分類庫，超2000萬條URL規(guī)則。

全面、及時的安全特征庫。通過多年經(jīng)營與積累，H3C公司擁有業(yè)界的攻擊特征庫團隊，同時配備有專業(yè)的實驗室，緊跟網(wǎng)絡(luò)安全領(lǐng)域的動態(tài)，從而保證特征庫的及時準確更新。

業(yè)界的IPv6

支持IPv6狀態(tài)防火墻，真正意義上實現(xiàn)IPv6條件下的防火墻功能，同時完成IPv6的攻擊防范。

支持IPv4/IPv6雙協(xié)議棧，并支持IPv6數(shù)據(jù)報文轉(zhuǎn)發(fā)、靜態(tài)路由、動態(tài)路由及組播路由等功能。

支持IPv6各種過渡技術(shù)，包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道、NAT444、DS-Lite等。

支持IPv6 ACL、Radius等安全技術(shù)。

下一代多業(yè)務(wù)特性

集成鏈路負載均衡特性，通過鏈路狀態(tài)檢測、鏈路繁忙保護等技術(shù)，有效實現(xiàn)企業(yè)互聯(lián)網(wǎng)出口的多鏈路自動均衡和自動切換。

一體化集成SSL VPN（IPV4&IPV6）特性，滿足移動辦公、員工出差的安全訪問需求，不僅可結(jié)合USB-Key、短信進行移動用戶的身份認證，還可與企業(yè)原有認證系統(tǒng)相結(jié)合、實現(xiàn)一體化的認證接入。

數(shù)據(jù)防泄漏（DLP），支持郵件過濾，提供SMTP郵件地址、標題、附件和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTP URL和內(nèi)容過濾；支持網(wǎng)絡(luò)傳輸協(xié)議的文件過濾；支持應用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。

入侵防御（IPS），支持Web攻擊識別和防護，如跨站腳本攻擊、SQL注入攻擊等。

防病毒（AV），高性能病毒引擎，可防護500萬種以上的病毒和木馬，病毒特征庫每日更新。

未知威脅防御，借助態(tài)勢感知平臺，NGFW可以快速發(fā)現(xiàn)攻擊、定位問題，確保一旦單點受到攻擊，全網(wǎng)實施策略升級及綜合預警、響應。

深入的WEB安全防護 不局限于常規(guī)的IPS/AV防護，針對內(nèi)網(wǎng)服務(wù)器，提供細致化的web應用防護，對于服務(wù)器頭疼的C C攻擊，異常外聯(lián)，SQL注入、HTTP慢速攻擊、跨站腳本等常見攻擊行為，對來自Web應用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網(wǎng)站進行有效防護。

支持智能終端識別， 終端識別是建立物聯(lián)網(wǎng)安全連接的重要前提，用于識別物聯(lián)網(wǎng)中的終端，。當終端流量流經(jīng)設(shè)備時，H3C安全網(wǎng)關(guān)可以分析并提取出終端信息，例如終端的廠商、型號等，并支持在終端信息發(fā)生變更時向用戶發(fā)送日志，提示用戶。同時采用應用檢測方式和 IPID檢測方式對通過NAT技術(shù)或代理技術(shù)進行共享上網(wǎng)的行為進行識別和管理。

資產(chǎn)掃描，支持資產(chǎn)發(fā)現(xiàn)功能，能夠掃描發(fā)現(xiàn)內(nèi)網(wǎng)主機開放的端口，服務(wù)，發(fā)現(xiàn)風險，識別威脅

未知威脅檢測 單靠特征分析已不足以應對復雜的網(wǎng)絡(luò)環(huán)境，面對典型的APT（Advanced Persistent Threat，高級持續(xù)性威脅）攻擊沙箱技術(shù)是防御APT攻擊的方法之一，它用于構(gòu)造隔離的威脅檢測環(huán)境。H3C 安全網(wǎng)關(guān)通過將網(wǎng)絡(luò)流量送入沙箱進行隔離分析，由沙箱給出是否存在威脅的結(jié)論。檢測到某流量為惡意流量，設(shè)備將對流量實施阻斷等處理。

專業(yè)的智能管理

支持智能安全策略：實現(xiàn)策略冗余檢測、策略匹配優(yōu)化建議、動態(tài)檢測內(nèi)網(wǎng)業(yè)務(wù)動態(tài)生成安全策略并推薦。

支持標準網(wǎng)管 SNMPv3，并且兼容SNMP v1和v2。

提供圖形化界面，簡單易用的Web管理。

可通過命令行界面進行設(shè)備管理與防火墻功能配置，滿足專業(yè)管理和大批量配置需求。

通過H3C IMC SSM安全管理中心實現(xiàn)統(tǒng)一管理，集安全信息與事件收集、分析、響應等功能為一體，解決了網(wǎng)絡(luò)與安全設(shè)備相互孤立、網(wǎng)絡(luò)安全狀況不直觀、安全事件響應慢、網(wǎng)絡(luò)故障定位困難等問題，使IT及安全管理員脫離繁瑣的管理工作，極大提高工作效率，能夠集中精力關(guān)注核心業(yè)務(wù)。

基于*的深度挖掘及分析技術(shù)，采用主動收集、被動接收等方式，為用戶提供集中化的日志管理功能，并對不同類型格式（Syslog、二進制流日志等）的日志進行歸一化處理。同時，采用高聚合壓縮技術(shù)對海量事件進行存儲，并可通過自動壓縮、加密和保存日志文件到DAS、NAS或SAN等外部存儲系統(tǒng)，避免重要安全事件的丟失。

提供豐富的報表，主要包括基于應用的報表、基于網(wǎng)流的分析報表等。

支持以PDF、HTML、WORD和TXT等多種格式輸出。

可通過Web界面進行報告定制，定制內(nèi)容包括數(shù)據(jù)的時間范圍、數(shù)據(jù)的來源設(shè)備、生成周期以及輸出類型等。

ISSU（In-Service Software Upgrade，不中斷業(yè)務(wù)升級）是一種可靠性高的升級設(shè)備啟動軟件的方式。通過ISSU升級，能夠確保在升級過程中業(yè)務(wù)不中斷或者中斷時間較短。

將BLS、ATK、CFGLOG細分為五類日志，支持真分頁功能，增加清除功能，支持獨立模塊設(shè)置日志參數(shù)，分頁查詢和配置日志。

H3C SecPath F1000-AI系列組網(wǎng)應用示意圖

SCF 2:1虛擬化技術(shù)，高可靠網(wǎng)絡(luò)設(shè)計

具有強大的處理能力，支持GE、10GE組網(wǎng)

豐富路由協(xié)議，實現(xiàn)安全與網(wǎng)絡(luò)融合

具有強大的VPN加密處理能力

全面深度安全防御阻止惡意攻擊，同時能夠?qū)崿F(xiàn)郵件、網(wǎng)頁、文件過濾

豐富路由協(xié)議，實現(xiàn)安全與網(wǎng)絡(luò)融合

（1）主機選購一覽表

（2）接口模塊選購一覽表

（3）電源模塊選購一覽表

（4）硬盤選購一覽表

& 說明：

“必配"表示所描述項目是設(shè)備正常運行的最小配置。

“選配"表示所描述項目是用戶根據(jù)實際使用需要可選擇配置。

F1000-AI-10為內(nèi)置電源，不需要額外配置電源。