硬件防火墙方案主要用途：硬件防火墙主要适用于大中型企业网络，通过专用的硬件防火墙提供快速、高效的数据包转发速率，并为企业网络提供高安全性同时需要多种介质的端口支持。

现状分析、目标自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。

根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。

由于公司网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。

所以，网络可能存在的安全威胁来自以下方面：（1）操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC；（2）防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验；（3）缺乏有效的手段监视、评估网络系统的安全性；（4）采用的TCP/IP协议族软件，本身缺乏安全性；（5）应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。

分析结论满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是网络系统安全的重要原则。

某公司网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是某公司网络的基本安全需求。

具体需求如下：（1）网络正常运行。

在受到攻击的情况下，能够保证网络系统继续运行。

（2）网络管理/网络部署的资料不被窃取。

（3）提供灵活而高效的内外通讯服务。

（4）访问控调，确保业务系统不被非法访问；（5）数据安全，保证数据库软硬件系统的整体安全性和可靠性；方案设计方案设计原则在设计新的安全方案时，我们要始终依照并贯彻下列原则：●技术上应达到相当的先进性，性能上应能适应现在日新月异发展的网络应用，从而使网络平台在较长时间内不落后；●产品应具有优异的开放性和升级扩展能力，并提供最佳的用户投资保护；●网络传输应具备高可高可靠性、安全性；●网络易于维护、易于管理；●系统主要设备均采用广泛应用且具有良好性能价格比的产品，尽量利用已有资源，既考虑节省投资，有保证产品的先进性和可用性。

本方案核心技术和产品介绍华为3COM Quidway® SecPath 1000F 防火墙华为3COM Quidway® SecPath 100F 防火墙Quidway® SecPath 1000F／Quidway® SecPath 100F防火墙是华为3Com公司开发的新一代专业防火墙设备,可以作为中小企业的出口防火墙设备，也可以作为大中型企业的内部防火墙设备。

支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能，能够有效地保证网络的安全；采用ASPF状态检测技术，可对连接过程和有害命令进行监测，并协同ACL完成动态包过滤；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、SSL VPN等等，可以构建Internet、Intranet、Access等多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。

Quidway® SecPath 1000F防火墙提供两个固定的10/100/1000M自适应GE口，支持光口和电口两种形式。

提供一个MIM 扩展槽位，支持多功能接口模块热插拔，目前可选的接口模块有1FE/2FE/1GE/2GE/HDC五种。

提供双电源冗余备份解决方案（AC+AC，DC+DC两种机型），提供机箱内部环境温度检测功能，并支持网管，可满足电信级产品的高可靠性要求。

吞吐量达1.5Gbps，支持并发连接数200万，每秒新建连接数3万。

Quidway®SecPath 100F防火墙提供4个固定的10/100M自适应FE口LAN 口和3个固定的10/100M自适应FE口WAN口。

提供一个MIM 扩展槽位，目前可选的接口模块有1FE/2FE/NDECII/HDC四种。

提供机箱内部环境温度检测功能，并支持网管，满足高可靠性要求。

吞吐量300M，并发连接数100万，每秒新建连接数1万。

即使部署在数据中心，SecPath系列硬件防火墙也能够应付自如，不会成为网络的瓶颈，对用户来说丝毫不会有性能的影响，从而为客户打造一个用户放心、管理舒心的安全网络。

Quidway® SecPath 1000F 防火墙外观Quidway®SecPath 100F 防火墙外观产品特点提供企业网络的安全保障和防护功能防火墙过滤防火墙提供如下过滤功能：支持包过滤技术。

借助报文中优先级、TOS、UDP或TCP端口等信息作为过滤参考，通过在接口输入或输出方向上使用标准或扩展访问控制规则，可以实现对数据包的过滤。

还可以按照时间段进行过滤。

支持应用层报文过滤ASPF（Application Specific Packet Filter），也称为状态防火墙。

它检查应用层协议信息（如FTP、HTTP、SMTP、RTSP等协议及其它基于TCP/UDP协议的应用层协议）并且监控基于连接的应用层协议状态，维护每一个连接的状态信息，并动态地决定数据包是否被允许通过防火墙或者被丢弃。

提供多种攻击防范技术，包括针对Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能、静态和动态黑名单功能、MAC和IP绑定功能。

支持智能防范蠕虫病毒技术。

支持透明防火墙。

支持邮件过滤，提供SMTP邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤。

支持网页过滤，提供HTTP URL过滤、HTTP内容过滤。

支持虚拟系统防火墙。

虚拟系统防火墙之间可以使用VLAN划分，也可以使用端口划分。

虚拟系统防火墙内部可以配置独立的防火墙规则，虚拟系统防火墙之间默认隔离，通过配置可以互通。

安全管理防火墙提供了强大的管理功能：提供各种日志功能，包括攻击实时日志、黑名单日志、地址绑定日志、流量告警日志、会话日志、进制格式日志、NAT日志功能，能够有效的纪录网络情况，从而为分析网络状况，防范网络攻击提供依据。

提供流量统计和分析功能，及时发现攻击和网络蠕虫病毒产生的异常流量。

用户可以使用防火墙预先定义的流量分析模型，也可以自己定义各种协议流量的比例，连接速率阈值等参数，形成适合当前网络的分析模型。

提供各种事件监控和统计功能，包括全局/基于安全域连接数率监控、全局/基于安全域协议报文比例监控、安全事件统计功能，可以针对各种攻击情况、异常情况提供有效的分析数据。

提供邮件告警，包括E-MAIL邮件实时告警功能、E-MAIL邮件定期信息发布功能。

邮件中有攻击日志和详细的网络流量分析结果，可以供管理员进行网络优化。

邮件发送可以使用两种方式，一种是实时发送，一旦检测到攻击行为，立即发送邮件到指定的邮件地址；另外一种是在指定的每日固定时间定期发送告警邮件。

NAT应用提供多对一、地址池、ACL控制等地址转换方式，在一个接口上支持多个不同的地址转换服务，通过内部服务器可以向外提供FTP、Telnet和WWW等服务，实现公网和私网混合地址解决方案。

支持多种应用协议，如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、ILS、PPTP、NBT的NAT ALG功能。

安全认证Quidway® SecPath 1000F提供了如下几方面的安全认证功能：提供基于PKI /X.509的证书认证功能。

支持RSA SecurID 认证。

实现了用户身份管理，不同身份的用户拥有不同的命令执行权限，可以防止低权限用户非法获取或修改配置信息等。

防火墙设置了如下三种身份的用户：Administrator用户、Operator用户和Guest用户。

支持域认证。

视图分级保护。

将用户分成4级，每级用户赋予不同的配置权限，级别低的用户不能进入更高级的视图。

在PPP线路上支持CHAP和PAP验证协议。

支持基于RADIUS（Remote Authentication Dial-In User Service）的AAA （Authentication, Authorization, Accounting）服务，可以与RADIUS服务器配合实施对接入用户的验证、授权和计费安全服务，防止非法访问。

路由协议OSPF、RIP2都具有MD5认证功能，确保所交换路由信息的可靠性。

支持丰富的VPN业务支持L2TP VPN、GRE VPN、IPSec VPN、MPLS VPN、SSL VPN、华为动态VPN等多种VPN业务。

华为动态VPN：动态VPN（DVPN）是华为公司的专利技术，提出了NBMA 类型的隧道机制，采用了Client和Server的方式解决了传统VPN的诸多缺陷，适合于通过骨干网将多个私网连成一个VPN。

支持硬件加速的IPSec技术高可靠性Quidway® SecPath 1000F满足了电信级设备对高可靠性的要求, Quidway® SecPath 100F满足了企业级设备对高可靠性的要求：支持接口模块热插拔支持机箱内部环境温度检测功能，并可通过网管自动采集告警。

支持双电源冗余备份支持备份中心支持VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）实现负载分担和设备备份QoS保证支持流分类、流量监管、流量整形及接口限速支持拥塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTP）支持拥塞避免（WRED）支持MPLS QoS支持MPLS流量工程（详见华为3COM Quidway® SecPath 100F 防火墙资料说明）（详见华为3COM Quidway® SecPath 1000F 防火墙资料说明）详细设计本方案中采用华为3COM Quidway® SecPath 1000F／SecPath 100F防火墙对整个网络的访问进行控制，防火墙配置位置在中心交换机与边界路由器之间，一端口通过与连接中心交换机，一端口连接边界路由器，另一端口连接服务器群。