株洲兴隆新材料股份有限公司云桌面技术方案.doc

株洲兴隆新材料股份有限公司云桌面技术方案二零一六年九月一、 项目背景1. 项目概述作为一家高科技研发型企业，株洲兴隆新材料股份有限公司面临着巨大的信息安全挑战，对于终端的信息安全控制亟待加强；同时，随着研发中心规模的不断扩大，桌面管理、应用软件部署推广、用户远程接入、移动办公等问题和需求也在持续增加。因此，期望借助桌面虚拟化技术的引进，解决通过终端的信息泄露隐患问题，同时能支持研发中心的快速发展；大幅提升用户的桌面体验，满足办公和生产的需求，提高IT对于桌面的运维能力。计划对现有的用户桌面进行逐步改造，建立企业私有虚拟桌面云。要求可以保证敏感数据的安全、集中化管理用户的桌面环境，同时尽量保证用户的桌面使用习惯和使用体验。2. 项目建设意义为了在业务不断发展的过程中，不断提升IT的敏捷度，实现数据的集中管理，提高安全性，降低运营成本，兴隆新材料提出了通过建设统一的桌面虚拟化平台来逐步集中用户的桌面环境和应用访问，逐步从面对终端用户的分散的IT部署管理运维方式转化到集中的统一的用户环境管理和交付，实现数据从分散保存在终端用户PC上的存放模式转化到集中存储在数据中心的集中管控方式，在实现数据集中存储、安全管控的同时，实现终端用户环境标准化的管理，提升IT管理的效率。体现在如下的几个方面：· 研发文档的集中管控在株洲兴隆新材料股份有限公司中拥有大量的桌面PC用于研发人员的日常工作，传统的管理方式，很难从根本上完全保障设计文档和数据的安全以及设计生产环境的集中化交付。如何实现设计生产环境的集中管理，消除信息泄露的安全隐患，避免各种信息安全和管理的风险，涉及整体的安全，成为设计生产环境建设中的关键问题。· 用户环境的标准化传统的IT管理模式对终端用户环境的管理采用分散的管理模式，多数用户采用PC作为用户终端，PC上的桌面环境多采用Windows操作系统，但操作系统的配置、应用程序的部署配置、用户配置文件的管理、企业数据的访问管理很难做到统一、标准化。这种分散管理的模式给IT的支撑运维带来很大的难度，一方面需要分散的支持力度来处理用户端不断产生的问题，另一方面，需要在用户端采用更多的技术手段应对管理和安全的风险，另外，数据的安全保护也存在着巨大的风险，大量的企业内部数据分散在用户的终端上，数据的泄漏风险极难避免。因此，用户环境的标准化、办公和生产终端的标准化必然提到议事日程之上。通过统一的交付管理平台，实现用户环境的集中化管理，减少管理和防护面，简化用户终端的复杂度，实现数据的集中策略化管理，有助于提升IT系统的整体的安全性和稳定性。· 应用和桌面的安全便捷访问随着业务的不断扩展和IT系统的不断建设，用户需要在越来越多的场景中实现对业务和办公系统的访问和维护。一方面，需要解决访问的便捷性，无论用户处于较可靠的局域网环境，还是网络质量受限的广域网环境，甚至互联网访问环境都需要提供一致的安全的便捷的访问体验。受限于严格的应用访问安全策略和业务数据的敏感性，传统的方式很难实现既便捷又安全的访问，往往牺牲用户访问体验来降低安全风险。因此，如何在安全的前提下随时随地访问所需的应用和桌面环境成为办公和业务人员的共同目标，· 业务连续性和动态化管理监控统一桌面和应用管理平台的集中化建立，必然涉及到集中运算资源的管理和运维，在逐步上收用户环境交付的过程中，如何能可靠的支撑大量用户的访问需求，如何智能的适应用户环境需求的变化，如何满足审计合规的要求，如何动态管理和监控用户的访问体验，如何构建动态化的可调配的运算资源，势必成为平台集中交付用户环境成功的关键。一方面，平台的建设需要满足业务不断扩展和业务连续性的需求，能够便捷的动态化的进行运行与管理的扩展，保障系统的可靠性和稳定性；另一方面，需要积极应对各种应急事件，做到快速的快速的应急响应和自适应的调整，做到快速的用户环境提供和恢复，避免业务中断。此外，为了满足监管和合规的要求，平台需要提供相应的技术手段，实现审计避免风险。3. 项目建设目标项目建成后，应提供安全的桌面工作环境。技术上选择采用桌面虚拟化的方式，实现新的集中的桌面管理构架。通过桌面虚拟化的改造，项目可达到以下目标:桌面及应用全部运行在数据中心，保证研发文档等涉密数据的安全性；通过策略及其它技术手段，可以严格禁止数据下载或保存到本地的客户端设备。桌面集中托管于数据中心，在数据中心进行集中的部署、维护和管理；可以迅速地部署最新的操作系统和应用软件；降低维护桌面以及软件的费用；前端桌面使用瘦客户端，减少终端维护量，增强终端安全性；提供接近于本地应用的最终客户体验、并且最大限度保持原有的用户使用习惯；能良好兼容现有应用软件、并且对未来的可能的应用及安全构架有良好的兼容性；构架设计遵循开放、灵活的原则，以适应系统扩充以及日后的需求变更；提供尽可能灵活地部署方式，以适应不同类型用户的需求，如设计用户和普通办公用户，涉密终端和非涉密终端等；方案的可扩展性强，在未来业务规模增大时，可快速扩容部署，总体造价合理；未来可以从分支机构或任何节点远程访问集中托管的普通办公桌面。二、 H3Cloud云桌面解决方案1. 项目背景随着云计算相关技术的发展与成熟，云业务应用在高科技行业中越来越普及，云桌面是一种目前被广泛接受的云业务应用。使用虚拟化技术，一台服务器可同时满足数十人的办公需求，从而将学校内部办公环境从“分散的PC”变为“集中的办公数据中心”。这不仅可以减少学校对于办公硬件采购、维护等多方面的投入，还可以实现办公环境的集中化管理，大大提升了企业内部IT管理的效率。H3Cloud云桌面解决方案是为高科技行业内量身定做的稳定、易用的云桌面解决方案。与服务器虚拟化管理平台一体化的架构设计，使云桌面具有成熟、领先的虚拟化基础架构，保障了用户使用时的可靠性、稳定性；多种应需而生的管理设计，可以大大提高运维过程中的工作效率、简化IT环境复杂度。2. 方案简介1) 云桌面方案概述H3Cloud云桌面方案采用了目前业界主流的VDI虚拟桌面技术架构，以虚拟化技术为基础，使用高效的标准化远程连接协议，为用户统一提供稳定、高效、可管理的云桌面。通过CAS云计算管理平台，管理员可以实现对所有云桌面资源进行可视化的便捷管理，快速地批量部署云桌面满足大量用户的需求等操作。用户可以通过PC、瘦客户机等多种终端使用自己的云桌面，方便地完成日常办公、教学、管理等任务，还可通过自助服务平台灵活地申请新的云桌面资源。分层分组的体系架构，使得云桌面的部署更符合单位内部的组织架构。H3Cloud云桌面方案示意图：2) 云桌面方案部署H3C CAS云计算管理平台为云桌面管理设计了分层分级管理的组织架构。在同一个云资源池内，可以给不同部门分配不同的云桌面资源池，以便与各部门对云桌面的独立管理、维护。Ø 第一步：创建云桌面资源池Ø 第二步：指定云桌面资源池相关的资源Ø 第三步：配置云桌面资源池外设映射规则Ø 第四步：完成云桌面资源池部署3) 云桌面申请/审批H3Cloud云计算解决方案包含了一站式的云桌面交付服务，用户/管理员可直接在管理平台上申请/审批云桌面。统一的管理入口，使企业对云桌面的应用更加便捷。Ø 第一步：用户发起云桌面申请Ø 第二步：管理员审批云桌面申请3. 方案特点1) 高可靠的云桌面环境H3Cloud云桌面方案基于H3Cloud虚拟化环境，可以为用户提供HA、DRS等多重可靠性保障，有效保证云桌面的稳定性。2) 快速的部署方式H3Cloud云桌面方案简化了部署流程，可让管理员快速部署云桌面，满足用户需求，批量部署方式更能大大降低部署复杂度，提升管理效率。3) 优化的结构化管理H3Cloud云桌面方案可实现云桌面资源的分级分组管理，可根据单位组织架构进行自由调整，更符合用户的管理习惯。4) 便捷的交付手段H3Cloud云桌面方案提供了灵活的自助服务平台，通过标准化的流程，能快速、灵活地将云桌面交付给用户使用。5) 优异的融合特性H3Cloud云桌面方案不是孤立的解决方案，可与H3Cloud UIS、零存储等方案有效融合，提供更稳定、高效的基础架构，以及平滑扩容的优异特性。三、 产品选型1. 桌面虚拟化服务器桌面虚拟化服务器建议使用UIS-Cell-R390G2服务器。 H3C UIS统一基础架构系统是H3C面向IaaS（Infrastructure as a Service，基础架构即服务）推出的云计算整体解决方案，它将传统IT系统中网络、计算、存储以及统一管理进行有效的整合，带给用户集成度最高，性能最优以及业务部署时间最快的直观体验，在大规模数据中心基础架构部署过程中效率提升50%。H3C UIS包含有UIS Manager统一管理软件、UIS 8000刀箱、UIS B系列刀片式服务器、UIS R系列机架式服务器、UIS Cell云业务单元和UIS Pack云业务系统等组件。UIS Manager作为UIS统一基础架构系统中的核心组件，可以根据数据中心规模，灵活的部署于刀片式交换机或机架式交换机中。 H3C UIS R390 G2机架式服务器以高可靠性和易维护性为设计出发点，充分保护您的云业务运营和投资。这款多功能、机架优化的服务器可最大限度平衡效率和性能，并让管理变得简便有效。H3C UIS R390 G2服务器可为您带来： 更多的处理器内核、更大的内存容量和内部存储器容量； 采用先进的嵌入式智能阵列技术提高可管理性； 采用PCIe转接卡解决方案、Smart Socket指南和精巧的布线增强可维护性； 业内领先的iLO（Integrated Lights-Out）管理引擎提供嵌入式配置工具、主动健康监测和系统维护功能。 无论是企业级的数据中心，还是着眼于未来发展的中小型企业，H3C UIS R390 G2服务器都提供了多种配置选择与扩展，可有效地满足不断增长的服务器需求。高性能、高耐用性和更大的存储容量 内置Intel Xeon E5-2600v3处理器家族，包括英特尔快速通道互联技术、集成内存控制器、睿频加速技术、智能电源技术以及可信执行技术，提供更高的性能、更优的能效和更强的适应能力。 支持最新的DDR4内存，采用SmartMemory技术，创造更大的内存带宽、DIMM数量和停机时间更少的全新内存健康计划；新的内存插槽最大可支持1.5TB内存。 采用嵌入式智能阵列RAID控制器、可移动的闪存支持写高速缓存（FBWC），提供更高的写入速率和全面的数据保护。 支持Dynamic Smart技术：支持备盘预先激活、ADM、逻辑盘高级迁移、阵列修复、在线分割等功能； 高效的通用插槽电源（550W、800W、1400W白金版热插拔电源）与智能配电单元进行通信，以便于将冗余的电源接入到冗余的配电单元（PDU）中，电源转换效率94%。 采用全新的通用、免工具滑轨迅速进行安装。快速分离杆便于迅速地拆卸服务器。更高的应用、存储和I/O性能 支持RDIMM和LRDIMM两种内存，最高容量1.5TB，最高频率2133MHz。 全新的嵌入式智能阵列RAID控制器，加上SmartStorage技术的支持，包括PCIe 3.0、SmartDrive，以及FBWC写高速缓存（容量高达4GB），支持RAID0/1/5/10/50/6/60。 能够定制当前的服务器网络并满足将来的需求。带宽可在GE到10GE之间选择，并能在出现新技术时升级到20G和40G。支持局域网唤醒（WOL）功能，并提供了一个共享的iLO端口以便使用。直观、可配置的管理系统 电源线和以太网电缆与服务器连接的瞬间即开始工作。通过Agentless Management（运行于iLO 4芯片组上），无代理硬件监控和告警功能被内置于服务器中。 通过Active Health System提供24x7不间断健康监测服务，该系统能够记录100%的配置变动并通过H3C服务和支持加快对问题的分析。 支持被H3C UISM管理矩阵统一管理，该管理矩阵支持对下联的所有刀片式服务器、机架服务器、接入式交换机、虚拟机、机柜等进行统一管理，支持对以上物理设备和软件设备的故障检测定位、状态监控、资源利用率的统计，支持对服务器的远程KVM、批量装OS，支持装机流程的模拟、应用的一键部署等功能，支持管理软件的用户权限管理 服务器面板状态显示功能，对于服务器内部部件状态故障可以提供直观的查看 支持预装H3C CAS虚拟化管理平台卓越的服务器体验 自动能源优化（AEO）增强了服务器分析和响应服务器内3D海洋传感器所生成数据的能力，可帮助优化整个数据中心的工作负载。 精准控制服务器风扇，以实现直接制冷，并通过创新的温度传感器3D阵列降低不必要的风扇功率。 动态工作负载加速，为不断扩展的硬盘容量提供了更智能的数据保护能力，同时支持实时工作负载分析以调整和帮助优化存储性能。 便捷运维的特性SmartDrive支架、SmartSocket指南、“扣合式”导轨、扁平电缆设计和轻松的免工具访问可支持您预测需求，并帮助消除了所有可能导致客户可维修部件发生停机的常见问题。2. 应用/管理服务器应用/管理服务器建议使用UIS-Cell-R190服务器。 H3C UIS统一基础架构系统是H3C面向IaaS（Infrastructure as a Service，基础架构即服务）推出的云计算整体解决方案，它将传统IT系统中网络、计算、存储以及统一管理进行有效的整合，带给用户集成度最高，性能最优以及业务部署时间最快的直观体验，在大规模数据中心基础架构部署过程中效率提升50%。H3C UIS包含有UIS Manager统一管理软件、UIS 8000刀箱、UIS B系列刀片式服务器、UIS R系列机架式服务器、UIS Cell云业务单元和UIS Pack云业务系统等组件。UIS Manager作为UIS统一基础架构系统中的核心组件，可以根据数据中心规模，灵活的部署于刀片式交换机或机架式交换机中。 R100系列机架式服务器作为UIS解决方案中重要的一环，以高可靠性和易维护性等为设计出发点，可以充分保护企业云业务的运营和投资。这款多功能机架务器可最大限度地平衡效率和性能，让管理变得简便有效。H3C UIS R100系列服务器拥有可以简化IT基础设施管理的标准管理套件、支持最新的DDR4的内存、可灵活选配的硬盘盘控制器以及2个标准网卡端口（支持NCSI协议），可以提供最为理想的优化功能集，满足中小企业的日常业务需求。同时，H3C UIS R100系列服务器内置的虚拟化功能，可以让服务器和存储的利用率都得到提高，IT基础设施可以更低成本高效运行。 H3C UIS R100系列机架式服务器可为您带来： 最高性价比虚拟化承载平台：入门级产品的价格，企业级产品的性能。H3C R100服务器是H3C针对中小企业客户搭建云计算基础架构而量身打造的一系列产品，先进的硬件架构，有效保障了服务器主机的可靠性和可用性；同时，H3C团队针对主机同虚拟化的配置，进行了专业的软件设计、兼容测试、性能优化等大量工作，最大限度优化业务自动部署、动态迁移、资源弹性扩展等虚拟化性能，提供业界最具性价比的虚拟化承载平台。 丰富的云网融合特性：支持vXlan、SR-IOV、NCSI等丰富的网络特性，针对云计算应用场景下多租户以及安全等需求，为用户提供专享的虚拟网络环境，简化管理、保障业务安全性、增强体验感，提供业界最优的云网融合解决方案。 UIS整体解决方案：借助H3C UIS R100系列服务器，H3C UIS Manager可提供跨服务器、存储、网络以及虚拟化的全融合管理，简化部署安装，优化运维管理对于不断发展的中小型企业，H3C UIS R100系列服务器可以提供多种配置供选择和扩展，极高的性价比可以满足企业不断增长的服务器需求， 文件打印服务器 Mail服务器 WEB前端应用服务器 Cache服务器 VPN服务器 IT基础架构建设 SMB应用场景 高密应用场景 虚拟化应用场景高性能、高耐用性 内置Intel Haswell-EP E5-2600v3处理器，支持英特尔快速通道互联技术、集成内存控制器、睿频加速技术、智能电源技术以及可信执行技术，可将服务器性能提升70% 采用DDR4技术，创造更大的内存带宽、DIMM数量和停机时间更少的内存健康计划 采用智能阵列RAID控制器、可移动的闪存支持写高速缓存，提供更高的写入速率和全面的数据保护。 高效的通用插槽电源（550W、900W）与智能配电单元进行通信，以便于将冗余的电源接入到冗余的配电单元（PDU）中，可实现94%的能效。更高的应用、存储和I/O性能 支持全新的DDR4内存,单根最大支持32GB，最高频率2133MHz。 全新的智能阵列RAID控制器，支持Smart Storage技术以及高速缓存（容量最大可达4GB）。 支持vXlan特性，降低网络负荷、简化配置部署，针对云计算应用场景下多租户以及安全等需求提供业界最优的解决方案 支持SR-IOV特性，通过虚拟化技术，为用户提供独享的网络设备，简化管理、保障业务安全性、增强体验感 载网口支持NCSI协议，支持管理功能，实现虚拟介质、远程控制台、虚拟KVM功能、支持集成系统软件及驱动在主板上，无需启动光盘即可直接部署安装服务器直观、可配置的管理系统 电源线和以太网电缆与服务器连接的瞬间即开始工作。通过Agentless Management（运行于iLO 4芯片组上），无代理硬件监控和告警功能被内置于服务器中。 通过Active Health System提供24x7不间断健康监测服务，该系统能够记录100%的配置变动并通过H3C服务和支持加快对问题的分析。 服务器面板状态显示功能，对于服务器内部部件状态以及故障问题，可以提供更加直观的查看方式。 主板集成的iLO芯片内置的设备驱动，可实现服务器的无盘安装部署，同时设备驱动可实现在线升级。 板载网口支持NCSI协议，实现管理和业务网融合，简化布线。卓越的服务器体验 自动能源优化（AEO）增强了服务器分析和响应服务器内3D感器所生成数据的能力，可帮助优化整个数据中心的工作负载。 精准控制服务器风扇，以实现直接制冷，并通过创新的温度传感器3D阵列降低不必要的风扇功率。 动态工作负载加速，为不断扩展的硬盘容量提供了更智能的数据保护能力，同时支持实时工作负载分析以调整和帮助优化存储性能。 iLO芯片支持多人同时进行远程控制，以协同工作。3. 入侵防御系统建议使用H3C SecPath T1030入侵防御系统 H3C SecPath T1000系列产品是华三公司开发的业界领先的IPS产品。H3C SecPath T1030系列IPS产品部署在客户网络的关键路径上，通过对流经该关键路径上的网络数据流进行2到7层的深度分析，能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用，同时，H3C SecPath T1000系列产品还具有强大、实用的带宽管理和URL过滤功能。 在安全功能方面，SecPath T1000系列还一体化地集成了IPS、AVC、防病毒、应用控制、URL分类及自定义过滤等深度安全防御的功能，实现了基于用户、应用、时间、安全状态等多维度的策略控制功能。 在虚拟化和可靠性方面，基于H3C领先的ComwareV7平台，支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。高性能的软硬件处理平台 SecPath T100系列采用了专用的64位多核高性能处理器和高速存储器，SecPath T1000系列可以提供10G以下的千兆安全业务处理性能。 SecPath T1000系列采用CPU+Switch架构，CPU进行安全业务处理，Switch实现多业务端口的扩展。T1030标配16千兆电口及8千兆光口。业界最完善的虚拟化解决方案 支持N:1,1:N,N:1:M虚拟化，满足云计算资源池需求。 最多支持8台设备集群部署。 单台设备支持256个虚拟防火墙，集群扩展后支持2048虚拟防火墙。全面的网络安全防护能力 集成入侵防御与检测、病毒防护、带宽管理和URL 过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。通过深入到7 层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护。 丰富的攻击防范技术。同时支持IPv4和IPv6。除提供普通的状态防火墙安全隔离技术外，针对异常报文攻击如Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP报文标志位不合法，地址欺骗攻击如IP spoofing，扫描攻击如IP地址攻击、端口攻击，异常流量攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood、SYNACK Flood、SYN Flood、UDP Flood等均能够提供有效防护。全面、及时的攻击特征库 H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库。 特征库覆盖全面，包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征，同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征。 H3C通过了微软的MAPP (Microsoft Active Protections Program)认证，可以提前获得微软的漏洞信息。 攻击特征库通过了国际权威组织CVE（Common Vulnerabilities & Exposures，通用漏洞披露）的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。并关注国内特有的网络安全状况，及时对国内特有的攻击提供防御。 通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到IPS设备中，使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。丰富的响应方式 针对报文检测结果提供了丰富的响应方式，包括阻断、丢弃、允许、限流、TCP Reset、抓取原始报文、重定向、记录日志、告警等。 各响应方式可以相互组合，并且设备出厂内置了一些常用的动作组合，以方便客户使用。完善的IPv6解决方案 所有特性全面支持IPv6。 支持IPv6网络部署，支持IPv6管理、日志及审计。电信级业务高可靠性 支持状态1:1 热备功能，支持Active/Active 和Active/Passive 两种工作模式，实现负载分担和业务备份。 支持状态N:N 热备功能，实现负载分担和业务备份，大幅提高系统可靠性。 支持SCF（安全集群系统），支持多框集群和异构集群，实现灵活管理和弹性扩展。 故障隔离：软件模块化技术使软件的各个部分做到故障隔离。Comware V7的模块化设计，保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复，不影响硬件的运行全面的管理监控手段 支持通过Web-GUI、CLI、SSH等多种手段管理设备。 基于角色的功能授权机制，可以实现到功能、命令行、菜单级的权限控制。 统一的SSM管理平台，可以实现设备的配置管理、性能监控、日志审计。 丰富的MIB节点便于外部设备进行性能监控。开放的系统接口 开放接口：传统的网络操作系统为封闭的系统，有专用的系统概念和处理流程，缺乏开放性。而Comware V7使用通用的Linux操作系统，回归了主流的软件实现方式。提供开放的标准编程接口，可供用户利用Comware V7提供的基础功能，实现自己的专用功能，目前主要基于Netconf接口。 TCL脚本：Comware V7内嵌了TCL脚本执行功能，用户可以利用TCL脚本语言直接编写脚本，利用Comware V7提供的命令行、SNMP Get、SET操作，以及Comware V7公开的编程接口等实现所需功能。 EAA：可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时，满足用户一些个性化需求。4. 高性能防火墙建议使用H3C SecPath F1020 防火墙 H3C SecPath F10X0系列防火墙是杭州华三通信技术有限公司伴随Web2.0时代的到来并结合当前安全与网络深入融合的技术趋势，针对中小型企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙产品。 H3C SecPath F10X0系列防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4/IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。 H3C SecPath F10X0系列防火墙采用互为冗余备份的双电源（11备份），同时支持双机集群化部署的SCF技术，充分满足高性能网络的可靠性要求；同时F10X0产品在1U高的设备上可提供最大24个千兆接口、2个万兆的固定接口。高性能的软硬件处理平台 H3C SecPath F10X0采用了先进的最新64位多核高性能处理器和高速存储器。电信级设备高可靠性 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。 支持H3C SCF虚拟化技术，可将多台设备虚拟化为一台逻辑设备，对外呈现为一个网络节点，资源统一管理，完成业务备份同时提高系统整体性能。强大的安全防护功能 支持丰富的攻击防范功能。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。 最新支持SOP 1:N完全虚拟化。可在H3C SecPath F10X0设备上划分多个逻辑的虚拟防火墙，基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致，并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。 支持安全区域管理。可基于接口、VLAN划分安全区域。 支持包过滤。通过在安全区域间使用标准或扩展访问控制规则，借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外，还可以按照时间段进行过滤。 支持基于应用、用户的访问控制，将应用与用户作为安全策略的基本元素，并结合深度防御实现下一代的访问控制功能。 支持应用层状态包过滤（ASPF）功能。通过检查应用层协议信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议），并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃。 支持验证、授权和计帐（AAA）服务。包括：基于RADIUS/HWTACACS+、CHAP、PAP等的认证。 支持静态和动态黑名单。 支持NAT和NAT多实例。 支持VPN功能。包括：支持L2TP、IPSec/IKE、GRE、SSL等，并实现与智能终端对接。 支持丰富的路由协议。支持静态路由、策略路由，以及RIP、OSPF等动态路由协议。 支持安全日志。 支持流量监控统计、管理。灵活可扩展的一体化DPI深度安全 与基础安全防护高度集成的一体化安全业务处理平台。 全面的应用层流量识别与管理：通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用；支持P2P流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P协议报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制。 高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时，FIRST引擎采用了并行检测技术，软、硬件可灵活适配，大大提高了入侵检测的效率。 实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。 迅捷的URL分类过滤：提供基础的URL黑白名单过滤同时，可以配置URL分类过滤服务器在线查询。 全面、及时的安全特征库。通过多年经营与积累，H3C公司拥有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新。业界领先的IPv6 支持IPv6状态防火墙，真正意义上实现IPv6条件下的防火墙功能，同时完成IPv6的攻击防范。 支持IPv4/IPv6双协议栈，并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能。 支持IPv6各种过渡技术，包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道、NAT444、DS-Lite等。 支持IPv6 ACL、Radius等安全技术。下一代多业务特性 集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等技术，有效实现企业互联网出口的多链路自动均衡和自动切换。 一体化集成SSL VPN特性，满足移动办公、员工出差的安全访问需求，不仅可结合USB-Key、短信进行移动用户的身份认证，还可与企业原有认证系统相结合、实现一体化的认证接入。 DLP基础功能支持，支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤；支持网络传输协议的文件过滤；支持应用层过滤，提供Java/ActiveX Blocking和SQL注入攻击防范。专业的智能管理 支持智能安全策略：实现策略冗余检测、策略匹配优化建议、动态检测内网业务动态生成安全策略并推荐。 支持标准网管 SNMPv3，并且兼容SNMP v1和v2。 提供图形化界面，简单易用的Web管理。 可通过命令行界面进行设备管理与防火墙功能配置，满足专业管理和大批量配置需求。 通过H3C IMC SSM安全管理中心实现统一管理，集安全信息与事件收集、分析、响应等功能为一体，解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题，使IT及安全管理员脱离繁琐的管理工作，极大提高工作效率，能够集中精力关注核心业务。 基于先进的深度挖掘及分析技术，采用主动收集、被动接收等方式，为用户提供集中化的日志管理功能，并对不同类型格式（Syslog、二进制流日志等）的日志进行归一化处理。同时，采用高聚合压缩技术对海量事件进行存储，并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统，避免重要安全事件的丢失。 提供丰富的报表，主要包括基于应用的报表、基于网流的分析报表等。 支持以PDF、HTML、WORD和TXT等多种格式输出。 可通过Web界面进行报告定制，定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。