深度解析华为为下一代防火墙
华为Eudemon1000E-N下一代防火墙 - Huawei - Building A ...
6-1华为Eudemon1000E-N 下一代防火墙华为Eudemon1000E-N 下一代防火墙Eudemon1000E-N 下一代防火墙随着互联网技术的不断发展,智能手机、iPad 等终端被更多地应用到办公中,移动应用程序、Web2.0、社交网络应用于生产生活的方方面面。
网络边界变得模糊,信息安全问题日益复杂。
传统的安全网关通常只能通过IP 和端口进行安全防护,难以完全应对层出不穷的应用威胁和Web 威胁。
Eudemon1000E-N 系列是华为公司为解决运营商、企业、政府、数据中心等机构的网络安全问题自主研发的下一代防火墙产品。
它基于业界领先的软、硬件体系架构,通过对应用、用户、威胁、时间、位置的全面感知,将网络环境清晰的映射为业务环境。
在应用识别的基础上提供精准的管控能力,融合了IPS 攻击防护、AV 防病毒、URL 过滤,Web 内容过滤,反垃圾邮件和邮件过滤等行业领先的专业安全技术,支持IPv6防护及过渡技术,为用户提供强大、可扩展、持续的安全能力。
在运营商、政府、金融、电力、石油、教育、工业制造等行业得到广泛应用。
下一代防火墙,地址才能“应用(Application )、时间(Time )、用户多个维度解析企业的业务流量,并结合各种维度进行、行为识别等技术手段,准确识别超过6000个网络应用。
• 用户:通过Radius 、LDAP 、AD 等8种用户识别手段,将流量中的IP 地址与现实世界中的用户信息联系起来。
基于用户对网络流量进行管控。
• 威胁:支持超过5000+特征的攻击检测和防御。
支持Web 攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。
可以识别和防范SYN flood 、UDP flood 等10+种DDoS 攻击,识别500多万种病毒。
采用基于云的URL 分类过滤,预定义的URL 分类库已超过8500万,阻止访问恶意网站带来的威胁。
• 位置:与全球位置信息结合,识别流量及威胁发起的位置信息;使用流量地图和威胁地图快速发现异常,进而制定对应的防护策略。
华为USG6500系列下一代防火墙产品简版彩页
产品概述企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。
移动APP 、Web2.0、社交网络让企业处于开放的网络环境,攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透,企业面临前所未有的安全风险,传统防火墙面对变革却无能为力。
华为Secospace USG6500系列下一代防火墙应需而生,面向下一代网络环境,基于“ACTUAL ”感知,实现安全管理自我优化,通过云技术识别未知威胁,高性能地为中小企业、大型企业的分支机构、小型数据中心提供以应用层威胁防护为核心的下一代网络安全。
华为Secospace USG6500系列下一代防火墙产品特点最精准的应用访问控制•全面创新的下一代环境感知和访问控制。
通过应用、内容、时间、用户、威胁和位置六个维度的组合,全局感知日益增多的应用层威胁,实现应用层安全防护。
•丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现,让用户全方位感知,安全运营。
•深度融合的下一代内容安全。
通过解析引擎合并,将安全能力与应用识别深度融合,防范借助应用进行的恶意代码植入、网络入侵、数据窃取等破坏行为。
最高的性能体验•专用软硬件平台架构,IAE 单次解析引擎。
智能感知应用信息后,全安全特性并行处理。
•内容检测硬件加速,提升应用层防护效率,保障全安全特性开启下的最佳性能。
最简单的安全管理•根据应用场景提供策略模板,实现策略快速部署。
•根据网络中的实际流量和应用的风险,遵循最小权限控制原则,自动生成策略优化建议。
•分析策略命中率,发现冗余、失效的策略,有效控制策略规模,简化管理。
最全面的未知威胁防护•遍布全球的安全中心,丰富的可疑样本来源。
在云端采用沙箱技术,在模拟环境中监控可疑样本的运行行为,高效发现未知威胁。
•发现未知威胁后自动提取威胁特征,并迅速将特征同步到设备侧,有效防范零日攻击。
•准确、完善的信誉体系,防范APT攻击。
USG6550/6570USG6510-sjjUSG6530产品规格。
下一代防火墙网络安全防范技术
2012.729下一代防火墙:网络安全防范技术分析林鸿福州职业技术学院 福建 350108摘要:面对日趋复杂的应用控制和安全威胁,传统的网络安全防御架构已显力不从心。
新一代的网关安全产品NGFW(下一代防火墙)是否能成为未来网络安全防范的新选择?下一代防火墙是什么样的安全产品,与传统安全产品有什么不同,可实现哪些安全功能并具有哪些技术特色,都值得我们加以讨论和分析。
关键词:下一代防火墙;NGFW ;网络安全;技术分析0 引言2011年岁未,网络上盛传许多网站、论坛数据库遭黑客攻击,密码、账号被盗的“泄露门”事件,频频搅动了国内互联网安全的神经。
截至2011年12月29日,国家互联网应急中心(CNCERT)通过公开渠道获得疑似泄露的数据库有26个,涉及账号、密码2.78亿条。
在这场中国互联网有史以来波及面最广、规模最大的泄密事件中,人们不禁拷问,企业的防火墙、IPS(入侵防御系统)、UTM(统一威胁管理)都怎么啦?也在深入思考,在面对当今热门的数据中心整合和互联、云计算、移动计算环境下更为分散和全方位的安全需求时,传统的网络安全架构体系,是否还能担当信息安全的防范重任,我们需要什么样的网络安全防范产品。
下一代防火墙(Next Generation Firewall,NGFW),这个近来在业界得到厂商热捧的新一代的网关安全产品,能否面对互联网的安全现状,在应用模式、业务流程、安全威胁不断变化的今天挑起大梁,迎接挑战?它是一个什么样的安全产品,与传统的安全产品有什么不同,硬件架构的设计做了什么改进,能实现什么样的安全功能,技术性能上有哪些特色,都值得我们加以关注和讨论。
1 什么是下一代防火墙 防火墙产品从上世纪九十年代使用至今,虽经系统架构和软件形态的多次改进和革新,但在应对和识别目前日趋复杂的混合性安全威胁时已显力不从心,应运而生的一款全新安全产品NGFW 是否会取代传统防火墙、IPS 、UTM ,成为未来网络安全防御的主流产品,它能否解决网络新环境下产生的新安全隐患,NGFW 究竟是一个什么样的产品? 关于NGFW ,业界普遍认同的定义来自市场分析咨询机构Gartner 于2009年10月发布的一份名为《Defining the Next-Generation Firewall 》的文章。
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列防⽕墙产品技术⽩⽪书(总体)华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。
保留⼀切权利。
⾮经本公司书⾯许可,任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本⽂档提及的其他所有商标或注册商标,由各⾃的所有⼈拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。
除⾮合同另有约定,华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。
由于产品版本升级或其他原因,本⽂档内容会不定期进⾏更新。
除⾮另有约定,本⽂档仅作为使⽤指导,本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。
华为技术有限公司地址:深圳市龙岗区坂⽥华为总部办公楼邮编:518129⽹址:/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱:ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话:4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词:NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等,并提供了防⽕墙选择过程的⼀些需要关注的技术问题。
华为USG6000下一代防火墙产品竞争分析(渠道版)
HUAWEI CONFIDENTIAL HUAWEI PARTNER USE ONLY—DO NOT DISTRIBUTE Part 1:Competitive Overview 竞争总览 Landscape Overview 市场概览 下一代防火墙(NGFW)是当前安全市场的热点。除拥有传统防火墙的所有功能外,NGFW 能够 基于应用进行访问控制,结合 IPS 进行一体化防御,并集成了更多的安全功能。NGFW 与 UTM(统一 安全管理)同为多功能安全网关设备,最显著的区别在于性能。通常, UTM 开启 IPS (入侵防御功能) 后性能下降到原有的 20%~30%,再开启 AV(防病毒)功能后性能下降到仅剩 10%。而下一代防火墙 在同时开启 IPS 和 AV 功能后,性能下降不超过 50%。 由于具备更多的功能和更强的性能,NGFW 成为企业购买前安全网关的首选。根据全球知名咨询 机构《2014 年 Gartner 企业防火墙魔力象限》报告,当前全球仅有 20%的企业在使用下一代防火墙, 到 2014 年底,这个比例会增加到 35%。2014 年企业购买的边界安全网关,有 70%都将是 NGFW。下 一代防火墙的市场即将步入爆发期。
Competitor 竞争对手 Key Feature 关键特性 Performance 性能 Price 价格 Scalability 扩展性 Security 安全性 Management 可管理性 竞争对手解读 Cisco:只有营销意义上的下一代防火墙产品,产品能力上依然是传统防火墙。随着国家对 安全国产化的重视,原有市场份额被逐渐蚕食。产品价格高。 Fortinet:产品能力与华为基本持平,但缺少国内的相关认证,价格高。 高 低 高 高 高 中 低 中 中 中 中 中 中 低 高 中 高 低 中 低 高 高 高 高 高 华为 天融信 深信服 Cisco Fortinet
华为USG6000系列下一代防火墙
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
下一代防火墙产品知识介绍
➢ 恶意代码发现 ➢ 蜜罐系统 ➢ 底层硬件威胁检查 ➢ 网络边界完整性检查
工控安全系列
➢ 工控防火墙 ➢ 工控入侵检测/工控业
务检测 ➢ 工控漏扫/工控安全运
维平台 ➢ 工控终端控制/工控无
线安全 ➢…
传统上,防火墙的安全能力包括:
• 基于IP五元组的访问控制策略 • 基于静态特征匹配的应用层安全防护 • 对网络行为和部分明文数据记录日志 • 策略配置和威胁处理依赖管理员技术能力 • 单纯防火墙形态可支撑数G的业务流量
➢ 终端管理 ➢ 终端防泄密 ➢ 景云网络防病毒 ➢ 移动设备管理 ➢ 数据安全(文档加密)
泰合系列
➢ 安全管理平台(SOC) ➢ 业务支撑平台(BSM) ➢ 综合日志审计(SA) ➢ 网络行为分析(NBA) ➢ 应用性能管理(APM) ➢ 4A平台 ➢ 弱口令核查系统 ➢ 漏洞管理平台
合众系列
➢ 视频安全交换系统 ➢ 光盘物理摆渡系统 ➢ 电子文档访问控制 ➢ 分布式数据库系统 ➢ 大数据基础平台 ➢ 数据集成系统 ➢ 请求服务系统 ➢ 集中监控管理系统
平面(安全业务处理) 动态分配不同平面的CPU资源,无分流瓶颈或业务瓶颈 开启全部安全特性,64字节小包吞吐量可达100G bps
T系列NGFW有效提升您的下一代安全能力
基础
高性能架构
基于第三代多核并行化架构, 提供高达160G的吞吐能力和 超万兆实网性能。
核心价值
安全控制能力
基于七元组、多维度的安全 控制能力,涵盖访问控制、 会话控制、行为控制和流量 控制
Internet
可疑文件发送至APT检测引擎
分析样本 提取特征
– T系列下一代防火墙支持与启明星辰天清APT形成安全解决方案,为客户提供面向0DAY/APT攻击的 纵深防护体系。
华为防火墙简介与配置
透明墙配置
防火墙连接
透明墙配置
透明墙配置
1、现网状态判定 2、防火墙连接 3、参数确认 4、地址配置 5、服务配置 6、安全策略配置
透明墙配置
参数确认
透明墙配置
参数确认
项目 说明与示例 参数示例: 接口号:GigabitEthernet 1/0/1 接口类型:trunk 允许通过的VLAN:1、100 安全区域:Untrust 安全I区地址:10.0.0.0/24 安全I区服务端口:TCP 8888 参数示例: 接口号:GigabitEthernet 1/0/2 接口类型:trunk 允许通过的VLAN:1、100 安全区域:Trust 安全I区地址:10.0.0.0/24 安全I区服务端口:UDP 6666
透明墙配置
防火墙连接
登录设备Web界面对管理员PC浏览器的要 求如下: Internet Explorer浏览器:6.0~9.0版本 Firefox浏览器(推荐):10.0及以上版本 Chrome浏览器:17.0及以上版本 1、将管理员PC网口与设备的MGMT接口 (GigabitEthernet 0/0/0)通过网线或者 二层交换机相连。 2、将管理员PC的网络连接的IP地址设置为 在192.168.0.2~192.168.0.254范围内的 IP地址。
防火墙的区域
防火墙的访问规则和策略(如ACL)不是应用在端口上,而是 在区域间之间,通过区域的优先级值来表示inbound或 outbound的方向。 安全级别高的区域向级别低的区域访问是出站方向 {inbound} 安全级别低的区域向级别高的区域访问是入站方向 {outbound} 防火墙的同一安全区域内的端口之间访问不需要安全策略检 查,不同安全区域的端口之间进行访问,需要有安全策略的检 查和控制管理
华为USG9500系列T级下一代防火墙简版彩页
大数据时代下,部署高性能多业务防产品概述大数据时代,网络流量几何级数增长,网络接入方式灵活多样,全联接已经成为常态,业务形态按需扩展,眼镜、手表、甚至是家庭电器,健康检测产品等终端都在智能化,在与人类的活动建立起数字的联接。
人们足不出户,就可以畅享移动办公带来的效率和便利。
但是,传统的安全结构却正在瓦解,联接技术要求更加敏捷和无处不在,同时又需要安全可靠和保护数据隐私,而保障安全可靠和数据隐私防护就要克服泛在化的安全漏洞、风险、防御持续恶意的入侵。
安全已经成为ICT世界最重要和迫切的问题。
因此,在云服务提供商、大型数据中心和大型企业园区网络边界,迫切需要更换老的防火墙为高性能多业务的下一代防火墙,任何有类似需求的企业用户都应该尽快评估当前的防火墙设备在功能和性能上是否遇到了瓶颈,未雨绸缪,防患于未然。
产品特点功能合一,一台设备顶多台⏹传统防护:电信级地址翻译能力及溯源方案,满足公安部监管需要,多出口公网加速,节省带宽资源⏹下一代防护:ACTUAL六维业务立体感知,SmartPolicy策略自动优化去重,零日攻击检测防御,全球URL恶意网址过滤,最新病毒检测防护等⏹云化环境支持:虚拟数据中心多租户运营,弹性定义分配虚拟资源,支持向SDN/NFV网络演进。
⏹V PN:硬件加解密引擎,支持MPLS/IPSec/GRE/ L2TP等多种加密方案,满足总部分支远程安全互联需求。
USG9520 USG9560 USG9580性能卓越,保护长期客户TCO⏹分布式硬件架构:扩展插卡设计,扩容方便,保护投资TCO,整机性能最高可达1.92Tbps⏹多CPU业务板:单槽位奢侈配置4个CPU,高密度节省机房空间并降低功耗,延长使用寿命,轻松面对带宽增长⏹高密接口板:支持GE、10GE、40GE、100GE等各种接口类型,单槽位密度可达48*GE或24*10GE稳定可靠,业务运行无中断软件冗余:支持主-主,主-备双机热备份功能,可针对会话业务、配置、VPN隧道进行备份;支持链路健康状态探测,可基于负载、权重、应用等的选路硬件冗余:支持双主控、端口汇聚、电源和风扇冗余等,硬件可靠性达99.999%板卡热插拔:支持接口板、业务板、主控板等板卡热插拔,可在线不中断业务升级注:性能数据是在理想环境下测试得出,实际情况会因现网情况不同而出现变化。
新一代防火墙关键技术与部署实践
新一代防火墙关键技术与部署实践一、新一代防火墙技术概述新一代防火墙,也称为下一代防火墙(Next-Generation Firewall,简称NGFW),是传统防火墙的进化版本,它不仅具备传统防火墙的包过滤、状态检测等基本功能,还集成了应用识别、入侵防御、沙箱、内容过滤等高级功能。
随着网络攻击手段的日益复杂和多样化,新一代防火墙成为了网络安全领域的重要防线。
1.1 新一代防火墙的核心特性新一代防火墙的核心特性体现在以下几个方面:- 高级威胁防护:能够识别并阻止复杂的网络攻击,如零日攻击、APT攻击等。
- 应用识别与控制:能够识别和控制应用程序流量,包括P2P、即时通讯、各种Web 2.0应用等。
- 用户身份识别:能够识别网络中用户的身份,并根据用户身份实施不同的安全策略。
- 内容过滤:能够对网络中传输的内容进行过滤,包括URL过滤、数据防泄漏等。
- 入侵防御系统(IPS):集成了入侵防御系统,能够检测并阻止各种网络攻击。
1.2 新一代防火墙的应用场景新一代防火墙的应用场景非常广泛,包括但不限于以下几个方面:- 企业网络边界:保护企业网络不受外部攻击,同时控制内部用户的上网行为。
- 数据中心:在数据中心内部部署,保护服务器和存储设备不受攻击。
- 服务提供商:为服务提供商的客户提供安全服务,如云防火墙服务。
- 远程访问:为远程工作的员工提供安全的网络访问。
二、新一代防火墙关键技术新一代防火墙的关键技术是其能够提供高级安全防护的基础。
2.1 高级威胁防护技术高级威胁防护技术包括沙箱技术、行为分析、机器学习等。
沙箱技术可以在隔离的环境中运行可疑文件,以检测其是否包含恶意行为。
行为分析技术能够分析网络流量的行为模式,识别异常行为。
机器学习技术则可以通过学习正常和异常的网络行为模式,提高威胁检测的准确性。
2.2 应用识别与控制技术应用识别与控制技术能够识别网络中的各种应用程序,并根据安全策略对它们进行控制。
华为USG6600系列下一代防火墙产品简版彩页_图文.
产品概述企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。
移动APP 、Web2.0、社交网络让企业处于开放的网络环境,攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透,企业面临前所未有的安全风险,传统防火墙面对变革却无能为力。
华为Secospace USG6600系列下一代防火墙应需而生,面向下一代网络环境,基于“ACTUAL ”感知,实现安全管理自我优化,通过云技术识别未知威胁,高性能地为大型企业、数据中心提供以应用层威胁防护为核心的下一代网络安全。
华为Secospace USG6600系列下一代防火墙产品特点最精准的应用访问控制•全面创新的下一代环境感知和访问控制。
通过应用、内容、时间、用户、威胁和位置六个维度的组合,全局感知日益增多的应用层威胁,实现应用层安全防护。
•丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现,让用户全方位感知,安全运营。
•深度融合的下一代内容安全。
通过解析引擎合并,将安全能力与应用识别深度融合,防范借助应用进行的恶意代码植入、网络入侵、数据窃取等破坏行为。
最高的性能体验•专用软硬件平台架构,IAE 单次解析引擎。
智能感知应用信息后,全安全特性并行处理。
•内容检测硬件加速,提升应用层防护效率,保障全安全特性开启下的万兆最佳性能。
最简单的安全管理•将6000+应用良好地分为5个大类33个小类,使用应用小类可快速实现基于应用的访问控制。
•根据网络中的实际流量和应用的风险,遵循最小权限控制原则,自动生成策略优化建议。
•分析策略命中率,发现冗余、失效的策略,有效控制策略规模,简化管理。
最全面的未知威胁防护•遍布全球的安全中心,丰富的可疑样本来源。
在云端采用沙箱技术,在模拟环境中监控可疑样本的运行行为,高效发现未知威胁。
•发现未知威胁后自动提取威胁特征,并迅速将特征同步到设备侧,有效防范零日攻击。
•准确、完善的信誉体系,防范APT 攻击。
HUAWEI SecoSpace USG6000系列下一代防火墙 规格清单
基于云的 URL 分类过滤,支持 8500 万 URL 库,130+分类 Web 安全 提供专业的安全 URL 分类,包括钓鱼网站库分类和恶意 URL 库分类 基于 Web 的防攻击支持,如跨站脚本攻击、SQL 注入攻击 提供 URL 关键字过滤,和 URL 黑白名单 实时反垃圾邮件功能,在线检测,防范钓鱼邮件 邮件安全 本地黑、白名单,远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量 支持对邮件附件进行病毒检查和安全性提醒 数据安全 安全虚拟化 网络安全 基于内容感知数据防泄露,对邮件,HTTP,FTP,IM、SNS 等传输的文件和文本内容进行识别过滤。 20+文件还原和内容过滤,如 Word、Excel、PPT、PDF 等),60+文件类型过滤 全安全特性虚拟化,转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化(带宽、会话等) DDoS 攻击防护,防范多种类型 DDoS 攻击,如 SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood 和 ARP 欺骗等 丰富的 VPN 特性,IPSec VPN、SSL VPN、 L2TP VPN、MPLS VPN、GRE 等 语音识别与防护,支持 SIP、H248 协议 路由特性 部署及可靠性 智能管理 整机规格 产品形态 尺寸(W×D×H)mm 尺寸(W×D×H)in. 满配重量 HDD 冗余电源 桌面 300*220*44.5 11.8*8.7*1.75 1.7KG 外置适配器 1U 442*421*43.6 17.4*16.6*1.7 10KG 选配、300GB、单硬盘、热插拔 选配 22KG 22KG 3U 442*415*130.5 17.4*16.3*5.1 22KG 24KG 标配无硬盘,可支持双硬盘(RAID1),300GB、热插拔 标配 IPv4:静态路由、RIP、OSPF、BGP、IS-IS; IPv6:RIPng、OSPFv3、BGP4+、IPv6 IS-IS、IPv6RD、ACL6 透明、路由、混合部署模式,支持主/主、主/备 HA 特性 SmartPolicy:自动流量分析,自动生成策略模板,可直接供管理员采纳 全局配置视图和一体化策略管理,配置可在一个页面中完成 可视化多维度报表呈现,支持用户、应用、内容、时间、流量、威胁、URL 等多维度呈现报表
HUAWEI Secospace USG6600系列下一代防火墙高层主打胶片
掌控下一代网络安全-Huawei Secospace USG6000 NGFW当前,在所有保证互联网连接安全的防火墙中,使用下一代防火墙(NGFW)的比例少于10%。
到2014年底,这个比例将会上升到35%,60%新购买的防火墙将是NGFW。
– Gartner,「Magic Quadrant for Enterprise Network Firewalls 2013」FW的发展历程1989 1994 1998NGFW 2004包过滤防火墙基于状态检测Checkpoint/Cisco 基于ASICNetScreenUTM统一威胁管理多核+分布式架构Fortinet2008Huawei/Juniper PaloaltoPC时代网络时代互联网时代Web2.0时代2009移动互联网时代基本访问控制引入会话机制专用芯片提升性能多功能叠加性能提升基于应用+用户+内容做管控Gartner 如何定义NGFW标准FW 功能IPS 一体化应用感知APP智能联动/分析 最低要求NGFW混淆产品NGFWUTM/多引擎叠加应用控制+IPSFW+ 有限应用识别网络型DLP大企业环境 只适合SMB场景基础功能场景功能相似,基础不同、集成度不同是不是Source:《Defining the Next-Generation Firewall 》—Greg Young ,12 October 2009当前NGFW 面临的挑战1管控是否精细2管理是否简单 3威胁是否可辨4性能是否足够全 新 挑战NGFW●BYOD 、云、社交化后,管控力度不足 ●75%攻击覆盖应用层●端口->应用:管理复杂度数量级提高●人员技能不足,参与比例过高,难保持●APT 攻击持续扩大和强化●50%以上的攻击是有组织的团队行为●全面防护能力成为安全网关刚性需求 ●处理性能出现瓶颈,再度沦为UTMBYODCloudSocial华为是如何定义NGFW 的1细粒度管控2智能管理3全面防护4高性能体验重 ●匹配 IT 的移动化、虚拟化、社交化●除了感知应用、用户和内容外,还应该感知位置、风险、设备等●提供新管控方式下的策略建议 ●提供安全风险的智能分析和处理建议●不仅仅识别应用,还要识别应用威胁 ●具备未知威胁和APT 的防御机制●基础性能 = 防火墙+应用识别●全威胁防护开启时,性能下降小于50%基于新 定 义NGFW下一代 网络安全NGFWACTUAL 环境感知 提供全新访问控制视角最细粒度的访问控制:ACTUAL 管控最精细的访问控制能力移动化:30%的企业使用移动办公社交化:50%的企业采用社交媒体云化:65%的数据中心虚拟化Web 化:90%的网络应用采用80端口攻击全球化1010001000 00011 1000111101 10101 11100 10100 1110100110A pp L ocationT ime A ttack C ontent U ser面对日益变化IT 环境 企业该如何应对? 功能ACTUALHuawei√ √ √√ √ √ 6000+ ★★★ 8种认证★★★ 国家/地区海外领先厂家√√ √ √ √ √ 2000-5000 ★★★ 最多7种认证★★★ 国家 国内其它厂家√部分有 √ √ √ × 500-2000★最多6种认证★不支持6000多种应用识别,比海外厂家多20%以上,是国内厂家的3-5倍8500万多URL 过滤,除按类别分类外,还专门提供恶意URL 库基于位置的访问策略,可以支持地区级的识别控制数十种文件的内容过滤功能,并支持对伪装文件的识别最简单的管理配置:智能管理基于应用快速部署华为NGFW业界其它NGFW管理挑战几千+应用数量如何基于应用防护现实业务设备定义应用?多维、多级应用分类:• 应用类型、传输方式、应用分析三个维度描述应用,快速准确定位应用。
华为USG6320下一代防火墙产品功能及应用性能验证测试报告
第 3 页 共 67 页
注:评测报告内容以“网界网”评测频道发布为准 /test
1.2 测试内容概述
本次测试在《网络世界》评测实验室采用 IXIA 公司应用性能测试仪表 IXIA BPS 对华为 USG6320 下一代防火墙产品的安全防护功能和性能进行验证, 我们 对其网络层及应用层的处理性能、安全策略可视化、网络及应用安全防功能进行 了测试。
2.2.1 测试环境软硬件配置 性能特性测试环境软硬件配置表
设备或软件名称 被测设备 测试仪表 控制台 描述 华为 USG6320下一代防火墙产品 IXIA BPS Dell OPTIPLEX 980 1 1 1 数量
2.2.2 测试拓扑:
防火墙网络及应用性能测试拓扑
第 6 页 共 67 页
注:评测报告内容以“网界网”评测频道发布为准 /test
第 4 页 共 67 页
注:评测报告内容以“网界网”评测频道发布为准 /test
2 功能及应用性能验证项目
2.1 项目简述
根据防火墙产品的应用特性及 GB/T18336-2001、GB/T20281-2006、RFC 2544 、 RFC 3511 等相关国内国际标准,特选择以下几种测试内容,对华为 USG6320 下一代防火墙产品的网络性能及功能进行了测试。 基本性能测试: 吞吐量 时延 IPSec 吞吐量 并发连接 新建连接
北京市海淀区上地信息路 3 号 华为大厦 Leonardo.chen@ 010-82882751
遵循标准
《网络世界》评测实验室产品功能及应用性能验证 测试标准 相关国内、国际功能及性能评测标准 《网络世界》评测实验室 《网络世界》评测实验室 华为 USG6320 下一代防火墙产品 2013/11 样品检测日 期 IXIA BPS 董培欣 日 期 2013.12 2013/11/18 至 2013/11/20
华为USG6620 6630下一代防火墙产品介绍说明书
Huawei USG6620/6630 next-generation firewalls are designed for network egresses of medium-sized businesses or branch offices of large enterprises. The firewalls accurately identify more than 6,000 applications and implement fine-grained access control. Application-layer defense functions, such as Intrusion Prevention System (IPS) and antivirus, are used with application identification technologies to improve the threat prevention efficiency and accuracy, providing users with full-fledged network border protection capabilities. The firewalls use the industry-leading Smart Policy technology to automatically fine-tune and simplify existing security policies, reducing the overall operational costs and delivering continuous, simple, and effective next-generation network security.HighlightsThird-party proven security capability• Obtained Firewall, IPS, IPsec, and SSL VPN certifications from the ICSA Labs• Obtained the highest-level CC certificate (EAL4+), ranking among the highest security levels in the world Comprehensive and integrated protection• Multiple security functions, including firewall, VPN, intrusion prevention, and online behaviormanagement, for complete versatility• Accurately identify more than 6000 applications to deliver fine-grained access control and improve thequality of key services• Detection and prevention of unknown threats, such as zero-day attacks, using sandboxing and the reputation system*Flexible bandwidth management, improving Internet access experience•Differentiated user bandwidth and quota management for fair and prioritized bandwidth usage • Application-based bandwidth management to prioritize bandwidth for mission-critical applications • Modification of URL category priorityHUAWEI USG6620/6630 Next-Generation Firewalls---Best-in-Class Security for Medium-sized BusinessesVisualized management and operation• Deliver diversified reports to provide all-around visibility into service status, network environment, security posture, and user behavior• Provide a web UI that offers a variety of easy-to-use and visualized management and maintenance functions, with which you can easily view logs and reports, manage configurations, and diagnose faults.The quick wizard on the web UI helps you configure important features with ease• Support both NETCONF and RESTCONF northbound APIs, which enable you to centrally configure and maintain the firewalls using an upper-level controller to simplify O&MDeploymentBorder protection for medium-sized businesses• Block all unauthorized access attempts at enterprise network egresses.• Provide real-time 10-Gigabit-level application-layer threat prevention, even when IPS is enabled.• P erform data filtering and auditing on files transmitted through sources such as email and IM to monitor social network applications and prevent data leaks.• D eliver user- and application-specific bandwidth management to guarantee service quality for core users and of mission-critical services.• S upport online behavior management based on URL categories and applications to block access to malicious websites and websites irrelevant to work.Enterprise networkHardwareUSG6620/6630Interfaces1. 2 x USB Ports2. Console Port3. 1 x GE (RJ45) Management Port4. 8 x GE (RJ45) Ports5. 4 x GE (SFP) PortsTable 1. Wide Service Interface Cards (WSICs) for USG6600 SeriesSoftware Features1: I f no hard disk is inserted, you can view and export system and service logs. By inserting a hard disk, you can also view, export, customize, and subscribe to reports.Functions marked with * are supported only in USG V500R001 and later versions.Specifications *System Performance and Capacity1. P erformance is tested under ideal conditions based on RFC 2544 and RFC 3511. The actual result may vary with deployment environments.2. Antivirus, IPS, and SA performances are measured using 100 KB of HTTP files.3. Throughput is measured with the Enterprise Traffic Model.4. SSL inspection throughput is measured with IPS-enabled and HTTPS traffic using TLS v1.2 with AES256-SHA.5. SSL VPN throughput is measured using TLS v1.2 with AES128-SHA.6. USG6000 V100R001 supports only the RESTCONF interface and cannot interwork with sandbox or third-party tools.* SA indicates Service Awareness.* This content is applicable only to regions outside mainland China. Huawei reserves the right to interpret this content. Hardware Specifications1. WISC is not hot-swappable.2. the equipment is operating in an ambient temperature equal to +23°C and fan speed 50%CertificationsRegulatory, Safety, and EMC ComplianceOrdering GuideAbout This PublicationThis publication is for reference only and does not constitute any commitments or guarantees. All trademarks, pictures, logos, and brands mentioned in this document are the property of Huawei Technologies Co., Ltd. or a third party.For more information, visit /en/products/enterprise-networking/security.Copyright©2018 Huawei Technologies Co., Ltd. All rights reserved.。
华为AI防火墙及应用场景介绍
华为AI防火墙及应用场景介绍
一、华为AI防火墙介绍
华为AI防火墙是一款由华为推出的智能防火墙解决方案,它是一款全新的基于人工智能的防火墙,采用华为自主研发的DeepCare AI引擎,可以实现自我学习、智能预测和自动化防护功能。
华为AI防火墙可以及时发现和响应复杂的网络攻击,有效地防止上网行为及安全风险,让企业安全网络。
华为AI防火墙采用具有自主知识产权的DeepCare AI引擎,它是一种基于深度机器学习技术的预测分析引擎,可以实现自我学习、智能预测和自动化防护功能。
它还可以根据实时安全威胁的活动特征,根据用户的上网行为及安全风险,对攻击行为进行分析判断,及时发现和响应复杂的网络攻击,有效地防止上网行为及安全风险。
华为AI防火墙还具备以下特性:一是具有高性能,能够在一定的环境中高效运行,特别是在大规模的网络环境中可以保持高性能;二是自动发现和响应,可以及时发现并响应可疑行为,有效保护网络安全;三是安全预警与防御,能够及时发现和响应安全威胁,并采取相应的预警和防御措施,有效提高网络安全防护效果;四是可视化管理,可视化管理界面,方便快捷。
华为下一代防火墙安全解决方案概述说明书
OverviewWith the continuous digitalization and cloudification of enterprise services, networks play an important role in enterprise operations, and must be protected. Network attackers use various methods, such as identity spoofing, website Trojan horses, and malware, to initiate network penetration and attacks, affecting the normal use of enterprise networks.Deploying firewalls on network borders is a common way to protect enterprise network security. However, firewalls can only analyze and block threats based on signatures. This method cannot effectively handle unknown threats and may deteriorate device performance. This single-point and passive method does not pre-empt or effectively defend against unknown threat attacks. Threats hidden in encrypted traffic in particular cannot be effectively identified without breaching user privacy.Huawei's next-generation firewalls provide the latest capabilities and work with other security devices to proactively defend against network threats, enhance border detection capabilities, effectively defend against advanced threats, and resolve performance deterioration problems. The network processing chip provides pattern matching and encryption/decryption service processing acceleration functions, which greatly improve the firewalls ability to process content security detection and IPSec services.Huawei USG6515E/USG6550E/USG6560E/USG6580E Next-Generation FirewallsProduct HighlightsComprehensive and integrated protection•Integrates the traditional firewall, VPN, intrusion prevention, antivirus, data leak prevention, bandwidth management, URL filtering, and online behavior management functions all in one device.•Interworks with the local or cloud sandbox to effectively detect unknown threats and prevent zero-day attacks.DeploymentCloud-based management•Firewalls proactively register with and quickly incorporated into the cloud management platform to implement quick device deployment without manual attendance.•Remote service configuration management, device monitoring, and fault management are used to implement cloud-based management of mass devices and simplify O&M.Enterprise border protection•Firewalls are deployed at the network border. The built-in traffic probe extracts packets of encrypted traffic and sends the packets to the CIS, a big data analysis platform. In this way, threats in encrypted traffic are monitored in real time. The deception function in enabled on the firewalls to proactively respond to malicious scanning behavior and associate with the CIS for behavior analysis to quickly detect and record malicious behavior, protecting enterprise against threats in real time.USG6515E/USG6550E/USG6560E/USG6580EHUAWEI TECHNOLOGIES CO., LTD.•Implements refined bandwidth management based on applications and websites, preferentially forwards key services, and ensures bandwidth for key services.More comprehensive defense•The built-in traffic probe of a firewall extracts traffic information and reports it to the CIS, a security big data analysis platform developed by Huawei. The CIS analyzes threats in the traffic, without decrypting the traffic or compromising the device performance. The threat identification rate is higher than 90%.•The deception system proactively responds to hacker scanning behavior and quickly detects and records malicious behavior, facilitating forensics and source tracing.High performance•Uses the network processing chip based on the ARM architecture, improving forwarding performance significantly.•Enables chip-level pattern matching and accelerates encryption/decryption, improving the performance for processing IPS, antivirus, and IPSec services.Specifications1. The performance is tested under ideal conditions based on RFC2544, 3511. The actual result may vary with deployment environments.2. Antivirus, IPS, and SA performances are measured using 100 KB HTTP files.3. Full protection throughput is measured with Firewall, SA, IPS, Antivirus and URL Filtering enabled. Antivirus, IPS and SA performances are measured using 100 KB HTTP files.4. SSL inspection throughput is measured with IPS enabled and HTTPS traffic using TLS v1.2 with AES128-GCM-SHA256.5. SSL VPN throughput is measured using TLS v1.2 with AES128-SHA.*SA: Service Awareness.About This PublicationThis publication is for reference only and does not constitute any commitments or guarantees. All trademarks, pictures, logos, and brands mentioned in this document are the property of Huawei Technologies Co., Ltd. or a third party.Copyright©2019 Huawei Technologies Co., Ltd. All rights reserved.System Performance and Capacity。