Secoway USG5000 技术白皮书

华为Secoway USG5000防火墙
技术白皮书
华为技术有限公司
Huawei Technologies Co., Ltd.
目录
目录 ........................................................ 错误!未定义书签。

1 概述.................................................... 错误!未定义书签。

网络中存在的问题........................................ 错误!未定义书签。

防火墙产品介绍.......................................... 错误!未定义书签。

防火墙的定义............................................ 错误!未定义书签。

防火墙设备的使用指南 .................................... 错误!未定义书签。

2 防火墙设备的技术原则 .................................... 错误!未定义书签。

防火墙的可靠性设计...................................... 错误!未定义书签。

防火墙的性能模型........................................ 错误!未定义书签。

网络隔离................................................ 错误!未定义书签。

访问控制................................................ 错误!未定义书签。

IP访问控制列表....................................... 错误!未定义书签。

二层访问控制列表..................................... 错误!未定义书签。

基于流的状态检测技术 .................................... 错误!未定义书签。

业务支撑能力............................................ 错误!未定义书签。

地址转换能力............................................ 错误!未定义书签。

P2P流量检查和流量控制 ................................... 错误!未定义书签。

VPN功能................................................. 错误!未定义书签。

攻击防范能力............................................ 错误!未定义书签。

防火墙的组网适应能力 .................................... 错误!未定义书签。

防火墙管理系统.......................................... 错误!未定义书签。

防火墙的日志系统........................................ 错误!未定义书签。

3 USG5000防火墙的特点 ..................................... 错误!未定义书签。

高可靠的电信级防火墙 .................................... 错误!未定义书签。

系统可靠性........................................... 错误!未定义书签。

高可靠的硬件体系..................................... 错误!未定义书签。

健壮的软件体系....................................... 错误!未定义书签。

完善的链路备份技术................................... 错误!未定义书签。

完备的双机备份技术................................... 错误!未定义书签。

真正的状态热备份..................................... 错误!未定义书签。

性能卓越的防火墙........................................ 错误!未定义书签。

先进的多核处理系统................................... 错误!未定义书签。

优异的转发性能和业务处理能力......................... 错误!未定义书签。

优异的处理能力....................................... 错误!未定义书签。

灵活的安全区域管理...................................... 错误!未定义书签。

基于安全区域的隔离................................... 错误!未定义书签。

可管理的安全区域..................................... 错误!未定义书签。

基于安全区域的策略控制............................... 错误!未定义书签。

丰富的业务支撑....................................... 错误!未定义书签。

安全策略控制............................................ 错误!未定义书签。

灵活的规则设定....................................... 错误!未定义书签。

基于时间段的规则管理................................. 错误!未定义书签。

高速策略匹配......................................... 错误!未定义书签。

MAC地址和IP地址绑定.................................. 错误!未定义书签。

动态策略管理－黑名单技术............................. 错误!未定义书签。

基于状态检测的防火墙 .................................... 错误!未定义书签。

基于会话管理的核心技术............................... 错误!未定义书签。

深度检测............................................. 错误!未定义书签。

状态检测技术的优势................................... 错误!未定义书签。

P2P流量检测和流量控制 ................................... 错误!未定义书签。

多种IP VPN功能.......................................... 错误!未定义书签。

GTP安全防护............................................. 错误!未定义书签。

GTP协议.............................................. 错误!未定义书签。

GTP协议攻击.......................................... 错误!未定义书签。

GTP防护特性.......................................... 错误!未定义书签。

GTP防护组网模型...................................... 错误!未定义书签。

业务支撑能力............................................ 错误!未定义书签。

针对业务处理的难点................................... 错误!未定义书签。

对多通道协议支持完善的安全保护....................... 错误!未定义书签。

针对各种业务的数据流管理............................. 错误!未定义书签。

业务支持的完整性..................................... 错误!未定义书签。

支持完善的多媒体业务................................. 错误!未定义书签。

地址转换服务............................................ 错误!未定义书签。

优异的地址转换性能................................... 错误!未定义书签。

灵活的地址转换管理................................... 错误!未定义书签。

强大的内部服务器支持................................. 错误!未定义书签。

强大的业务支撑....................................... 错误!未定义书签。

无数目限制的PAT方式转换.............................. 错误!未定义书签。

支持多接口负载分担................................... 错误!未定义书签。

攻击防范能力............................................ 错误!未定义书签。

优秀的Dos防御能力的必要条件.......................... 错误!未定义书签。

丰富的Dos防御手段.................................... 错误!未定义书签。

高级的TCP代理防御体系................................ 错误!未定义书签。

扫描攻击防范......................................... 错误!未定义书签。

畸形报文防范......................................... 错误!未定义书签。

智能蠕虫病毒的防范...................................... 错误!未定义书签。

蠕虫病毒的原理....................................... 错误!未定义书签。

防范蠕虫病毒的基本方法............................... 错误!未定义书签。

智能防范蠕虫病毒的基本要求........................... 错误!未定义书签。

扫描防范功能......................................... 错误!未定义书签。

IDS联动组网............................................. 错误!未定义书签。

灵活的组网模型....................................... 错误!未定义书签。

高可靠的主动防御模型................................. 错误!未定义书签。

安全灵活的联动接口................................... 错误!未定义书签。

优秀的组网适应能力...................................... 错误!未定义书签。

支持丰富的接口类型................................... 错误!未定义书签。

高密度的端口支持..................................... 错误!未定义书签。

丰富的路由协议和路由管理............................. 错误!未定义书签。

多种工作模式......................................... 错误!未定义书签。

虚拟防火墙功能....................................... 错误!未定义书签。

多种认证手段......................................... 错误!未定义书签。

多ISP组网适应能力.................................... 错误!未定义书签。

完善的管理系统.......................................... 错误!未定义书签。

丰富的维护管理手段................................... 错误!未定义书签。

基于SNMP的终端系统管理............................... 错误!未定义书签。

WEB管理错误!未定义书签。

日志系统................................................ 错误!未定义书签。

日志服务器........................................... 错误!未定义书签。

两种日志输出方式..................................... 错误!未定义书签。

多种日志信息......................................... 错误!未定义书签。

4 典型组网................................................ 错误!未定义书签。

安全防范组网............................................ 错误!未定义书签。

地址转换组网............................................ 错误!未定义书签。

无线核心网安全防护...................................... 错误!未定义书签。

NGN安全防范组网......................................... 错误!未定义书签。

双机热备份组网.......................................... 错误!未定义书签。

多出口负载分担和备份组网 ................................ 错误!未定义书签。

1概述
1.1网络中存在的问题
网络为人们提供了极大的便利。

但由于构成Internet的TCP/IP协议本身缺乏安全性，网络安全成为必须面对的一个实际问题。

网络上存在着各种类型的攻击方式，例如：窃听报文——攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。

IP地址欺骗——攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。

源路由攻击——报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。

地址端口扫描—通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道主机的系统软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。

然后利用这些漏洞对主机进行攻击，使得主机整个DOWN掉或无法正常运行。

拒绝服务攻击（Deny of service）——攻击者的目的是阻止合法用户对资源的访问。

比如通过发送大量报文使得网络带宽资源被消耗。

由于拒绝式服务攻击，现在的方式越来越简单，已经成为网络上公害之一。

应用层攻击——有多种形式，包括探测应用软件的漏洞、“特洛依木马”等。

蠕虫病毒的传播——随着电子邮件、Internet的普及，蠕虫病毒的传播已经逐步成为了Internet上的最大的公害之一。

因为网络的普及，蠕虫病毒的传播速度非常之快，通过网络可以迅速的传播的世界的各个角落。

蠕虫病毒传播的时候会消耗大量的网络带宽，造成整个网络的繁忙以及各种网络设备的不堪负重。

另外，网络本身的可靠性与线路安全也是值得关注的问题。

随着网络应用的日益普及，尤其是在一些敏感场合（如电子商务）的应用，网络安全成为日益迫切的需求。

同时网络安全也是一个复杂的课题，网络安全包含了网络通信的各个层面，涉及到主机系统安全、线路安全、协议安全、通信安全等各个领域。

同时，安全就意味着“不开放”，而互联网的设计初衷就是造就一个开放的通信环境，因此网络安全技术还需
要在安全防范和网络开放之间找到一个平衡点。

针对每种层次，需要采用不同的安全技术和方式加强系统的保护。

例如：针对主机系统安全可以采用安装个人版PC防火墙、防病毒软件等主机专业软件来提高主机系统的安全性，同时需要针对操作系统的漏洞经常对操作系统打补丁及时解决操作系统的漏洞；针对线路安全可以考虑对重要的网络设备提供一个安全可靠的运行环境，防止网络设备被盗用，同时采用可靠、安全的通信线路等；针对协议安全可以多关注各种协议可能出现的漏洞，启用各种协议的安全防范措施，采用认证等方式保证协议运行的可靠，尽量避免使用安全性较差的通信协议等。

从上面的讨论可以看出，网络安全是一个综合性的学科，包括各种技术、管理方式、安全法规、人的安全意识等各个方面。

本文是集中讨论了防火墙设备的安全特性，防火墙主要是用在网络中集中解决安全问题的一个设备。

防火墙对解决安全问题具有一些很强的优势，是网络安全整体解决方案中非常重要的一个部件。

1.2防火墙产品介绍
随着Internet的日益普及，许多LAN（内部网络）已经直接可以接入Internet网络，这种开放式的网络同时带来了许多不安全的隐患。

在开放网络式的网络上，我们的周围存在着许多不能信任的计算机（包括在一个LAN之间），这些计算机对我们私有的一些敏感信息造成了很大的威胁。

传统的口令保护等已经不能安全的保护一些重要的信息，而安全技术就是为了解决这样一个问题，在开放式的网络环境中保护我们自己的私有数据的安全，同时还兼顾网络的开放性。

因此安全技术是随着网络的更新和发展不断进步的，是融合了多种学科和技术手段的一种综合性技术。

防火墙技术是安全技术中的一个具体体现。

这里讨论的硬件防火墙就是将各种安全技术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种高速接口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备我们称为硬件防火墙。

硬件防火墙可以独立于操作系统（HP-UNIX、SUN OS、AIX、NT等）、计算机设备（IBM6000、HP、PC）运行。

它用来集中解决网络安全问题，可以适合各种场合，同时能够提供高效率的“过滤”。

同时它应该可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，阻止一些非法的访问，保护自己的网络安全。

现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制
点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。

在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。

而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。

1.3防火墙的定义
简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。

防火墙应该具有如下一些基本特征：
经过防火墙保护的网络之间的通信必须都经过防火墙。

只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。

防火墙本身必须具有很强的抗攻击、渗透能力，同时防火墙本身应该具有很强的高可靠性。

防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。

硬件防火墙应该可以支持若干个网络接口，这些接口用来连接几个网络。

在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接对连接进行验证、过滤。

防火墙具有明确的网络隔离功能，通过防火墙可以将一个完全平等的网络分隔成若干个逻辑区域，各个逻辑区域之间的访问是不对等的。

通过防火墙的这种非常明确的网络隔离特性以及访问的不对等性可以保护特定网络，给企业内部网带来高可靠的安全保护。

因此，在重要的场合需要部署专业防火墙，以用来提供更可靠的安全保护。

通过防火墙可以主动隔断网络上的一些攻击行为。

1.4防火墙设备的使用指南
防火墙设备放在整个网络中的汇聚点，如果被保护网络的通信流量有可能会绕过防火墙，则防火墙设备不能对该网络起到安全防范的功能。

因此，在使用防火墙设备的时候，需要保证被防火墙保护的网络流量必须全部经过防火墙。

默认情况下，防火墙的规则一般是禁止所有的访问。

在防火墙设备接入到网络中之后，一定需要按照网络的实际需要配置各种安全策略。

防火墙策略的有效性、多样性、灵活性等是考察防火墙的一个重要指标，另外在复杂的网络环境有可能会使用非常多的规
则，需要考察防火墙本身规则的容量和在大规则下的转发性能等因素。

防火墙本身的安全性也是选择防火墙的一个重要标准。

防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台，安全的操作系统从软件方面保证了防火墙本身的安全可靠，专用的硬件平台保证防火墙可以经受长时间运行的考验。

防火墙设备属于一个基础网络设备，一定要保证防火墙可以长时间不间断运行，其硬件可靠性是非常关键的。

在防火墙实施之前，需要先根据网络的实际情况确定需要解决的问题，选择性能、功能均能满足的防火墙设备。

在性能和功能的平衡过程中，对性能指标一定要特别关注，因为在实际运行的过程中防火墙的性能是非常重要的，如果性能低下会造成网络的堵塞、故障频繁，这样的网络是没有安全性可谈。

性能指标体现了防火墙的可用性能，同时也体现了企业用户使用防火墙产品的代价，用户无法接受过高的代价。

如果防火墙对网络造成较大的延时，还会给用户造成较大的损失。

现在的主流防火墙设备都是基于状态检测的防火墙设备，这类防火墙设备对业务应用是敏感的。

涉及音频、视频等的一些多媒体业务，协议比较复杂，经常会因为对协议的状态处理不当造成加入防火墙之后会造成业务不通，或者是为了保证业务的畅通就需要打开很多不必要的端口，造成安全性非常低。

因此针对状态防火墙一定要考察防火墙设备对业务的适应性能力，避免引入了防火墙设备导致对正常业务造成影响。

防火墙应该具有和IDS等其他网络安全产品协同工作的能力，因为依靠防火墙设备进行完善、全面的“深层检测”从技术上是不可行的（深层检测主要指的针对特定的业务进行细致的划分，例如针对邮件的附件进行病毒检测，在上网的过程中扫描木马等攻击性程序等等），应用层的“深层检测”是一件非常复杂的工程，需要CPU具有非常强大的计算能力，依靠现在的硬件技术是不可能在防火墙这样的网络节点设备上提供很强大的“深层检测”技术。

因此，在防火墙上需要优先实现强大、高效、灵活的控制能力，而依靠IDS、病毒网关等特定专业设备针对不同的报文类型完成相应的深层检测，通过各种设备的协同工作提供完善、可靠、高性能的安全解决方案是更好的方法。

2防火墙设备的技术原则
2.1防火墙的可靠性设计
防火墙本身是一个重要的网络设备，而且其位置一般都是作为网络的出口。

防火墙的位置和功能决定了防火墙设备应该具有非常高的可靠性。

保证防火墙的高可靠性主要依靠如下几点技术来保证：
高可靠的硬件设计，硬件设计是任何网络设备可靠运行的基础。

网络设备不同于普通PC等个人、家用系统，网络设备必须要求可以24小时不间断正常工作，对其主板、CPU、风扇、板卡等各种硬件设备都是一个严格的考验。

为了可以保证防火墙设备可以长时间不间断工作，必须保证防火墙本身具有一个优秀的硬件结构体系。

双机备份技术。

由于防火墙设备位置的特殊性为了提供更可靠的运行保证，一般防火墙都应该提供双机备份技术。

双机备份是采用两台独立的、型号一致的防火墙设备共同工作，提供更可靠的工作环境。

完善的双机备份环境可以有两种工作模式：第一种是，两台设备中只有一台防火墙在工作，当发生意外故障的时候另外一台防火墙接替工作。

第二种是，两台设备都在工作，当一台发生意外故障的时候，另外一台自动接替所有的工作。

链路备份技术。

链路备份是为了防止因为物理链路故障而导致服务的终止，实现链路备份的具体技术可能有多样。

一般最终实现的具体形式是：提供两条链路同时提供服务，当链路都正常的时候可以选择两条链路一起工作起到负载均衡的作用，当某条链路坏的时候，流量全部自动切换到另外一条链路上。

实现链路备份，应该要求防火墙能提供各种路由协议、各种路由管理功能。

基于路由提供的链路备份技术可以非常好的使用在各种场合，通过多条链路的互相备份提供更可靠的服务。

热备份技术。

热备份指的是在发生故障产生设备切换或者是链路切换的时候完全不影响业务，这样的备份机制一般称为“热备份”。

而如果因为故障等产生的备份行为发生的时候业务会中断，这样的备份机制应该称为“冷备份”或者“温备份”。

在大部分介绍资料里面，热备份、温备份、冷备份的概念并没有严格的区分，许多厂商都是使用“热备份”概念来宣传的，但是从实际效果上看大部分备份机制并不是严格的热备份。

从热备份的机制上可以知道，如果动态信息越多则热备份的实现机制越复杂，防火墙设备需
要维护大量的规则信息、连接信息等，针对防火墙设备的热备份机制都会比较复杂，因此在考察防火墙的备份技术的时候，需要注意区分热备份和冷备份。

防火墙设备的可靠性设计反映出了防火墙在设计方面的一种综合考虑，必须明确的是防火墙设备是一台重要的网络设备，其可靠性要求设计要求比较高，在选择防火墙设备的时候需要综合考虑其可靠性方面的设计。

2.2防火墙的性能模型
前面已经提到防火墙的性能对于衡量一个防火墙设备来说非常重要，那么到底应该通过哪些指标来具体的衡量防火墙的性能呢？本小节主要讨论一下，衡量防火墙的性能的时候应该注意哪些方面。

业界现在衡量防火墙的性能的时候，主要使用吞吐量/最大并发连接数/延迟等指标。

吞吐量主要是指防火墙在大包的情况下，尽量转发能通过防火墙的总的流量，一般使用bps（比特每秒）为单位来衡量的，使用吞吐量作为衡量防火墙的性能指标非常片面，不能反映出防火墙的实际工作能力。

除了吞吐量/最大并发连接数/延迟之外，在衡量防火墙性能的时候还要考察下面几个指标：
1.小包转发能力
防火墙的吞吐量在业界一般都是使用1K～的大包衡量防火墙对报文的处理能力的。

因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能，防火墙的小包转发性能真实的反映了防火墙在实际环境下工作的转发性能指标。

2.规则数目对转发效率的影响
防火墙一般都是工作在大量的规则下，规则、业务的实施对转发性能有必然的影响，因此需要考察防火墙在大量规则下的转发效率，避免业务对防火墙性能影响太大，导致防火墙在实际环境下无法工作。

3.每秒建立连接速度
指的是每秒钟可以通过防火墙建立起来的完整TCP连接。

由于防火墙的连接是动态产生的是根据当前通信状态而动态建立的一个信息表。

每个会话在数据交换之前，在防火墙上都必须建立连接。

如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。

因此支持的指标越大，转发速率越高。

在受到攻击时，这个指标越大，抗攻击能力
越强。

这个指标越大，状态备份能力越强。

每秒新建连接速度是衡量防火墙功能能力的一个重要指标，该指标偏低的时候防火墙无法在实际的网络环境中体现优异的性能，尤其是遭受DOS攻击的时候，如果该指标偏低防火墙会停止工作。

以上是衡量防火墙性能的一些基本数据，在实际选择防火墙的时候也可以根据具体的组网要求衡量一些其他的指标。

由于防火墙本身是一个“处理复杂业务”的数据通信设备，涉及的性能指标比传统数据通信设备的多，在实际选择的时候一定要注意这一点，防火墙的性能指标同时反映了一台防火墙的综合指标，包括软件设计、硬件设计等各个方面，是选择防火墙设备的一个重要依据。

2.3网络隔离
防火墙的本质功能就是隔离网络，通过防火墙可以把普通区域、重点区域等各种逻辑网络进行隔离，避免了不安全因素的扩散。

在防火墙技术体系中，灵活的网络隔离特性是防火墙非常重要的一个特性，只有合理的划分了网络区域，安全策略也可以更有效的实施。

防火墙是否具有合理的网络隔离，可以根据以下一些情况考察：
整个防火墙的网络隔离体系是否具有清晰的逻辑结构，使得防火墙可以适应不同的场合。

例如，防火墙至少应该具有单独的DMZ区域。

网络区域应该可以和各种物理接口配合工作，并且不依赖于物理接口提供网络隔离的划分。

如果依靠物理接口进行网络隔离，很明显不能满足各种方案的灵活实施，网络隔离是一个逻辑上面的概念，必须可以灵活设定才能更好的满足业务的实施。

网络隔离的时候，是不是考虑了针对隧道、VPN、VLAN接口等各种虚拟接口的实施。

现在网络业务灵活多变，VPN、VLAN隔离是各种网络经常实施的一些业务，区域隔离必须考虑各种虚拟接口的实施以及和各种VPN、VLAN等业务的配合实施。

在整个体系当中，是否考虑防火墙本身的安全问题。

防火墙是一个网络隔离的控制点，因此防火墙本身的安全问题是一个非常重要的问题，如果防火墙本身得不到保证，整个网络的安全性就无法保证。

如何保证被防火墙分隔的网络中对防火墙本身的访问也必须是网络隔离中考虑的一个问题。

2.4访问控制
防火墙另外一个重要功能就是访问控制，在防火墙中主要涉及IP访问控制列表和二层。