华为USG6000系列防火墙产品技术白皮书(总体)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为USG6000系列下一代防火墙技术白皮书
文档版本V1.1
发布日期2014-03-12
版权所有© 华为技术有限公司2014。保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:深圳市龙岗区坂田华为总部办公楼邮编:518129
网址:
客户服务邮箱:ask_FW_MKT@
客户服务电话:4008229999
目录
1 概述 (1)
1.1 网络威胁的变化及下一代防火墙产生 (1)
1.2 下一代防火墙的定义 (1)
1.3 防火墙设备的使用指南 (2)
2 下一代防火墙设备的技术原则 (1)
2.1 防火墙的可靠性设计 (1)
2.2 防火墙的性能模型 (2)
2.3 网络隔离 (3)
2.4 访问控制 (3)
2.5 基于流的状态检测技术 (3)
2.6 基于用户的管控能力 (4)
2.7 基于应用的管控能力 (4)
2.8 应用层的威胁防护 (4)
2.9 业务支撑能力 (4)
2.10 地址转换能力 (5)
2.11 攻击防范能力 (5)
2.12 防火墙的组网适应能力 (6)
2.13 VPN业务 (6)
2.14 防火墙管理系统 (6)
2.15 防火墙的日志系统 (7)
3 Secospace USG6000系列防火墙技术特点 (1)
3.1 高可靠性设计 (1)
3.2 灵活的安全区域管理 (6)
3.3 安全策略控制 (7)
3.4 基于流会话的状态检测技术 (9)
3.5 ACTUAL感知 (10)
3.6 智能策略 (16)
3.7 先进的虚拟防火墙技术 (16)
3.8 业务支撑能力 (17)
3.9 网络地址转换 (18)
3.10 丰富的攻击防御的手段 (21)
3.11 优秀的组网适应能力 (23)
3.12 完善的VPN功能 (25)
3.13 应用层安全 (28)
3.14 完善的维护管理系统 (31)
3.15 完善的日志报表系统 (31)
4 典型组网 (1)
4.1 攻击防范 (1)
4.2 地址转换组网 (2)
4.3 双机热备份应用 (2)
4.4 IPSec保护的VPN应用 (3)
4.5 SSL VPN应用 (5)
华为USG6000系列下一代防火墙产品
技术白皮书
关键词:NGFW、华为USG6000、网络安全、VPN、隧道技术、L2TP、IPSec、IKE
摘要:本文详细介绍了下一代防火墙的技术特点、工作原理等,并提供了防火墙选择过程的一些需要关注的技术问题。
1 概述
1.1 网络威胁的变化及下一代防火墙产生
随着网络的高速发展,应用的不断增多,Web2.0的普及,不断增长的带宽需求和新应
用架构(如Web2.0),正在改变协议的使用方式和数据的传输方式,越来越多的应用在少
量的端口上进行传输。新的威胁,如网络蠕虫、僵尸网络以及其他基于应用的攻击不断
产生,安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶
意执行程序上。
传统防火墙主要是基于端口和协议来识别应用,基于传输层的特征来进行攻击检测和防
护。面对越来越多的应用使用少量的端口,或者一些应用使用非标准端口,基于端口/
协议类的安全策略,将不再具有足够的防护能力。传统防火墙,也不具有防御基于应用
的威胁的能力,如网络蠕虫、僵尸网络传播的威胁。
不断变化的业务流程、企业部署的技术,以及威胁的发展,正推动对网络安全性的新需
求。新的安全需求,推动下一代防火墙的产生。
1.2 下一代防火墙的定义
Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机
控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的
方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。
NGFW至少具有以下属性:
●支持联机“bump-in-the-wire”配置,不中断网络运行。
●发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:
−标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、
VPN等等。
−集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和
面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例
如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,
在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方
案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。