华为USG6000系列防火墙产品技术白皮书(总体)

华为FireHunter 沙箱技术白皮书目录1概述 (3)1.1APT 下一代威胁背景介绍 (3)1.2APT 下一代威胁发展趋势 (5)1.3用户现网现状分析 (6)2安全防护解决方案 (7)2.2文件检测技术原理 (8)2.3CC 检测技术原理 (10)2.4典型应用场景 (11)2.4.1旁路独立部署 (11)2.4.2与华为防火墙（简称FW）联合部署 (11)2.4.3与华为大数据安全产品CIS 联动部署 (12)2.4.4与FW、CIS 基础版联动部署 (13)3产品特性 (14)3.1全面的流量检测 (14)3.2支持主流应用和文档 (14)3.3模拟主流的操作系统和应用软件 (14)3.4分层的防御体系 (14)3.5提供准实时的处理能力 (14)3.6提供一流的针对APT 威胁的反躲避能力 (15)3.7强大的CC 检测能力 (16)4产品规格 (17)5硬件配置 (19)1 概述2010 年Google 遭受Aurora 下一代威胁攻击，导致大规模的Gmail 邮件泄漏，对Google品牌造成严重影响；2010 年伊朗核设施遭受Stuxnet 攻击，导致核设施核心部件-离心机受损严重，此次攻击造成后果不亚于一次定点轰炸；2011 年RSA 遭受针对SecureID 的下一代威胁攻击，导致大规模的SecureID 数据泄漏，严重影响使用SecureID 的客户安全，对公司的安全性质疑严重影响公司的公众形象；2013 年3 月韩国银行业遭受一次定向型APT 攻击，导致大面积的银行主机系统宕机，严重影响银行在客户心中的形象；2015 年12 月，乌克兰电网遭受恶意代码攻击，至少有三个电力区域被攻击，导致了超过一半的地区和部分伊万诺-弗兰克夫斯克地区断电数小时停电事故；2016 年2 月，孟加拉国中央银行在美国纽约联邦储备银行的账户，遭受黑客攻击，被盗走超过1 亿美金。

2017 年4 月，全球爆发wannacry 勒索软件攻击，校园网、企业网受害严重。

华为USG6000系列防⽕墙产品技术⽩⽪书（总体）华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。

保留⼀切权利。

⾮经本公司书⾯许可，任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本⽂档提及的其他所有商标或注册商标，由各⾃的所有⼈拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。

除⾮合同另有约定，华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。

由于产品版本升级或其他原因，本⽂档内容会不定期进⾏更新。

除⾮另有约定，本⽂档仅作为使⽤指导，本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。

华为技术有限公司地址：深圳市龙岗区坂⽥华为总部办公楼邮编：518129⽹址：/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱：ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话：4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词：NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要：本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等，并提供了防⽕墙选择过程的⼀些需要关注的技术问题。

华为USG防火墙基本配置USG防火墙基本配置学习目的掌握登陆USG防火墙的方法掌握修改防火墙设备名的方法掌握对防火墙的时间、时区进行修改的方法掌握修改防火墙登陆标语信息的方法掌握修改防火墙登陆密码的方法掌握查看、保存和删除防火墙配置的方法掌握在防火墙上配置vlan、地址接口、测试基本连通性的方法拓扑图学习任务步骤一.登陆缺省配置的防火墙并修改防火墙的名称防火墙和路由器一样，有一个Console接口。

使用console线缆将console接口和计算机的com口连接在一块。

使用windows操作系统自带的超级终端软件，即可连接到防火墙。

防火墙的缺省配置中，包括了用户名和密码。

其中用户名为admin、密码Admin@123，所以登录时需要输入用户名和密码信息，输入时注意区分大小写。

修改防火墙的名称的方法与修改路由器名称的方法一致。

另外需要注意的是，由于防火墙和路由器同样使用了VRP平台操作系统，所以在命令级别、命令帮助等，与路由器上相应操作相同。

<SRG>sys13:47:28 2014/07/04Enter system view, return user view withCtrl+Z.[SRG]sysname FW13:47:32 2014/07/04步骤二.修改防火墙的时间和时区信息默认情况下防火墙没有定义时区，系统保存的时间和实际时间可能不符。

使用时应该根据实际的情况定义时间和时区信息。

实验中我们将时区定义到东八区，并定义标准时间。

<FW>clock timezone 1 add 08:00:0013:50:57 2014/07/04<FW>dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00<FW>clock datetime 13:53:442014/07/0421:53:29 2014/07/03<FW>dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00步骤三。

HUAWEI USG6000V系列NFV防火墙技术白皮书之服务器负载均衡技术白皮书目录1背景和概述 (2)2全局服务器负载均衡（GSLB） (3)3本地服务器负载均衡（LSLB） (4)3.1使用目的MAC地址转换的服务器负载均衡（DR） (4)3.2使用网络地址转换实现的服务器负载均衡（L4 SLB） (5)3.3使用轻量代理和网络地址转换的服务器负载均衡（L4 lwProxy SLB） (7)3.4使用全量Socket 代理的服务器负载均衡（L7 Socket Proxy SLB） (9)3.4.1socket代理加业务会话关联保持 (9)3.4.2根据URL类型不同的分担，静态资源访问和动态计算访问分开多种服务器103.4.3SSL卸载 (10)3.4.4链路优化：压缩、协议优化、本地cache、多路复用 (11)3.5业务保持技术 (13)4华为USG系列防火墙支持的SLB功能列表 (14)1 背景和概述随着互联网的快速发展，用户访问量的快速增长，使得单一的服务器性能已经无法满足大量用户的访问，企业开始通过部署多台服务器来解决性能的问题，由此就产生了服务器负载均衡的相关技术方案。

在实际的服务器负载均衡应用中，由于需要均衡的业务种类以及实际服务器部署场景的不同（比如是否跨地域、跨ISP数据中心等），存在多种负载均衡的技术。

如下典型的组网方式如图所示：服务提供方为了支撑大批量的用户访问，以及跨不同地域、不同接入ISP的用户都能够获得高质量的业务访问体验，其已经在不同地域、不同ISP数据中心搭建了服务器，这样就带来一个需求，也就是客户的访问能够就近、优先选择同一个ISP数据中心的服务器，从而获得高质量的业务访问体验。

同时，基于单台服务器能够提供的业务访问并发是有限的，那么就自然想到使用多台服务器来形成一个“集群”，对外展现出一个业务访问服务器，以满足大量用户访问、而且可以根据业务访问量的上升可以动态的进行业务能力扩容的需要。

USG6000使用手册一、设备简介USG6000是一款功能强大的网络安全设备，适用于中小型企业及大型企业的分支机构。

它集成了防火墙、入侵检测与防御、内容过滤等多种功能，为用户提供全面的网络安全保障。

二、设备安装1.硬件连接：将USG6000设备接入网络，确保电源线连接稳定。

2.固件升级：根据设备提示，下载最新版本的固件并按照指导进行升级。

3.网络配置：配置USG6000设备的IP地址、子网掩码、默认网关等网络参数。

三、登录与系统配置1.通过浏览器输入设备的IP地址，进入登录界面。

2.选择相应的用户角色（如管理员、操作员等），输入用户名和密码进行登录。

3.在系统主界面，选择“系统配置”选项，开始进行设备配置。

四、功能应用1.防火墙配置：设置允许或拒绝特定IP地址、端口等数据包的规则。

2.入侵检测与防御：启用IDS/IPS功能，实时监控网络流量，发现并阻止恶意攻击。

3.内容过滤：根据用户需求，设置关键词过滤，屏蔽不良内容。

五、用户权限管理1.添加新用户：在管理界面创建新用户，分配相应的角色和权限。

2.权限设置：为不同用户角色设置不同的访问权限，确保设备的安全性。

六、设备维护与故障排除1.日志查看：检查设备的运行日志，了解设备的运行状态和潜在问题。

2.故障排除：根据故障现象，参考故障排除指南进行故障定位和修复。

3.软件更新：定期检查软件更新，下载并安装最新的补丁和升级包。

七、高级功能与操作1.多区域部署：支持在多个区域部署USG6000设备，实现更精细化的网络安全控制。

2.路由配置：配置路由表，实现数据包的转发和路由选择。

3.VPN配置：设置VPN服务器，实现远程用户的安全接入。

八、参考与支持1.用户手册：可访问USG6000官方网站下载用户手册，获取更详细的操作指南和技术文档。

2.在线支持：如有任何技术问题或疑问，可联系制造商的客户支持部门或访问其官方论坛获取帮助。

3.培训课程：参加制造商提供的培训课程，了解USG6000的高级功能和最佳实践应用。

华为USG6000系列防火墙共享上网及组网基本配置公司各楼层通过交换机汇聚到楼宇核心交换机，楼宇核心汇聚到总核心，然后通过USG6000安全策略访问外网路由器实现共享上网功能。

楼宇核心：划分楼层VLAN 配置网关上一跳路由<Huawei>sys[huawei]sysname hexinjiaohuan[hexinjiaohuan]vlan batch 10 20 30 40[hexinjiaohuan]int vlan 10[hexinjiaohuan-Vlanif10]ip address 192.168.10.254 24 [hexinjiaohuan]int vlan 20[hexinjiaohuan-Vlanif20]ip address 192.168.20.254 24 [hexinjiaohuan]int vlan 30[hexinjiaohuan-Vlanif30]ip address 192.168.30.254 24 [hexinjiaohuan]int vlan 40[hexinjiaohuan-Vlanif40]ip address 192.168.60.1 30 [hexinjiaohuan]int g0/0/3[hexinjiaohuan-GigabitEthernet0/0/3]port link-type access [hexinjiaohuan-GigabitEthernet0/0/3]port default vlan 10 [hexinjiaohuan]int g0/0/1[hexinjiaohuan-GigabitEthernet0/0/1]port link-type access [hexinjiaohuan-GigabitEthernet0/0/1]port default vlan 20 [hexinjiaohuan]int g0/0/4[hexinjiaohuan-GigabitEthernet0/0/4]port link-type access [hexinjiaohuan-GigabitEthernet0/0/4]port default vlan 30 [hexinjiaohuan]int g0/0/2[hexinjiaohuan-GigabitEthernet0/0/2]port link-type access [hexinjiaohuan-GigabitEthernet0/0/2]port default vlan 40 [hexinjiaohuan]ip route-static 0.0.0.0 0.0.0.0 192.168.60.2<hexinjiaohuan>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y总核心交换机：配置上下访问端口和上下访问路由<Huawei>sys[Huawei]sysname zonghexin[zonghexin]vlan batch 40 50[zonghexin]int vlan 40[zonghexin-Vlanif40]ip address 192.168.60.2 30 [zonghexin]int g0/0/2[zonghexin-GigabitEthernet0/0/2]port link-type access [zonghexin-GigabitEthernet0/0/2]port default vlan 40 [zonghexin]int vlan 50[zonghexin-Vlanif50]ip address 192.100.50.2 30 [zonghexin]int g0/0/1[zonghexin-GigabitEthernet0/0/1]port link-type access [zonghexin-GigabitEthernet0/0/1]port default vlan 50 [zonghexin]ip route-static 192.168.10.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 192.168.20.0 255.255.255.0 192.168.60.1[zonghexin]ip route-static 192.168.30.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 0.0.0.0 0.0.0.0 192.100.50.1<zonghexin>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y防火墙USG6000：配置访问策略允许内网所有PC访问外网（路由器）地址Username:adminPassword: （默认密码Admin@123）The password needs to be changed. Change now? [Y/N]: yPlease enter old password: （默认密码Admin@123）Please enter new password: 新密码Please confirm new password: 新密码确认[USG6000V1]int g1/0/1 //配置内网端口[USG6000V1-GigabitEthernet1/0/1]ip address 192.100.50.1 255.255.255.252 [USG6000V1-GigabitEthernet1/0/1]service-manage http permit[USG6000V1-GigabitEthernet1/0/1]service-manage https permit[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit[USG6000V1]int g1/0/0 //配置外网端口[USG6000V1-GigabitEthernet1/0/0]ip address 10.128.60.5 255.255.255.252 [USG6000V1]firewall zone trust //把端口加入到安全域[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1[USG6000V1]firewall zone untrust //把端口加入到非安全域[USG6000V1-zone-untrust]add interface GigabitEthernet1/0/0[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 10.128.60.6[USG6000V1]ip route-static 192.168.10.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.20.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.30.0 255.255.255.0 192.100.50.2[USG6000V1]security-policy //访问策略[USG6000V1-policy-security]rule name "trust to untrust"[USG6000V1-policy-security-rule-trust to untrust][USG6000V1-policy-security-rule-trust to untrust]source-zone trust[USG6000V1-policy-security-rule-trust to untrust]destination-zone untrust [USG6000V1-policy-security-rule-trust to untrust] action permit[USG6000V1-policy-security-rule-trust to untrust] rule name local[USG6000V1-policy-security-rule-local]source-zone local[USG6000V1-policy-security-rule-local]destination-zone trust[USG6000V1-policy-security-rule-local]action permit<USG6000V1>save路由器：[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip address 10.128.60.6 255.255.255.252 [Huawei]ip route-static 0.0.0.0 0.0.0.0 10.128.60.5<Huawei>savepc>ping 10.128.60.6Ping 10.128.60.6: 32 data bytes, Press Ctrl_C to breakFrom 10.128.60.6: bytes=32 seq=1 ttl=252 time=765 ms From 10.128.60.6: bytes=32 seq=2 ttl=252 time=141 ms From 10.128.60.6: bytes=32 seq=3 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=4 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=5 ttl=252 time=78 msPC机测试通过基本功能实现。

华为USG6000系列下一代防火墙详细性能参数表能，与Agile Controller配合可以实现微信认证。

应用安全●6000+应用协议识别、识别粒度细化到具体动作，自定义协议类型，可与阻断、限流、审计、统计等多种手段自由结合在线协议库升级。

注：USG6320可识别1600+应用。

●应用识别与病毒扫描结合，发现隐藏于应用中的病毒，木马和恶意软件，可检出超过500多万种病毒。

●应用识别与内容检测结合，发现应用中的文件类型和敏感信息，防范敏感信息泄露。

入侵防御●基于特征检测，支持超过3500漏洞特征的攻击检测和防御。

●基于协议检测，支持协议自识别，基于协议异常检测。

●支持自定义IPS签名。

APT防御与沙箱联动，对恶意文件进行检测和阻断。

Web安全●基于云的URL分类过滤，支持8500万URL库，80+分类。

●提供专业的安全URL分类，包括钓鱼网站库分类和恶意URL库分类。

●基于Web的防攻击支持，如跨站脚本攻击、SQL注入攻击。

●提供URL关键字过滤，和URL黑白名单。

邮件安全●实时反垃圾邮件功能，在线检测，防范钓鱼邮件。

●本地黑、白名单，远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量。

●支持对邮件附件进行病毒检查和安全性提醒。

数据安全●基于内容感知数据防泄露，对邮件，HTTP，FTP，IM、SNS等传输的文件和文本内容进行识别过滤。

●20+文件还原和内容过滤，如Word、Excel、PPT、PDF等），60+文件类型过滤。

安全虚拟化安全全特性虚拟化，转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化（带宽、会话等）。

网络安全●DDoS攻击防护，防范多种类型DDoS攻击，如SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP欺骗等。

●丰富的VPN特性，IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。

华为USG6000系列下一代防火墙详细性能参数表能，与Agile Controller配合可以实现微信认证。

应用安全●6000+应用协议识别、识别粒度细化到具体动作，自定义协议类型，可与阻断、限流、审计、统计等多种手段自由结合在线协议库升级。

注：USG6320可识别1600+应用。

●应用识别与病毒扫描结合，发现隐藏于应用中的病毒，木马和恶意软件，可检出超过500多万种病毒。

●应用识别与内容检测结合，发现应用中的文件类型和敏感信息，防范敏感信息泄露。

入侵防御●基于特征检测，支持超过3500漏洞特征的攻击检测和防御。

●基于协议检测，支持协议自识别，基于协议异常检测。

●支持自定义IPS签名。

APT防御与沙箱联动，对恶意文件进行检测和阻断。

Web安全●基于云的URL分类过滤，支持8500万URL库，80+分类。

●提供专业的安全URL分类，包括钓鱼网站库分类和恶意URL库分类。

●基于Web的防攻击支持，如跨站脚本攻击、SQL注入攻击。

●提供URL关键字过滤，和URL黑白名单。

邮件安全●实时反垃圾邮件功能，在线检测，防范钓鱼邮件。

●本地黑、白名单，远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量。

●支持对邮件附件进行病毒检查和安全性提醒。

数据安全●基于内容感知数据防泄露，对邮件，HTTP，FTP，IM、SNS等传输的文件和文本内容进行识别过滤。

●20+文件还原和内容过滤，如Word、Excel、PPT、PDF等），60+文件类型过滤。

安全虚拟化安全全特性虚拟化，转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化（带宽、会话等）。

网络安全●DDoS攻击防护，防范多种类型DDoS攻击，如SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP欺骗等。

●丰富的VPN特性，IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。

华为USG6000V产品⽩⽪书华为USG6000V虚拟综合业务⽹关随着云计算技术的⼴泛应⽤，IT与CT技术出现了快速融合的局⾯；公有云/私有云的部署，客户对业务快速上线，业务按需迁移，定制化防护等需求激增，传统的专有硬件业务⽹关慢慢⽆法适应云⽹络新架构的部署要求。

华为USG6000V(Universal Service Gateway)是基于NFV架构的软件化的虚拟综合业务⽹关，虚拟资源利⽤率⾼，资源虚拟化技术⽀持⼤量多租户共同使⽤，产品具备丰富的⽹关业务能⼒，如：vRouter，VPN，vFW，vLB，vIPS，vAV等，可根据对虚拟⽹关的业务需求，按需使⽤，灵活部署。

华为USG6000V系列虚拟综合业务⽹关⾯向云数据中⼼场景，通过产品的丰富特性为租户提供⼀站式的⽹关服务，产品的⾼效率与多租户的特性结合，简化了为⼤量租户提供⽹关的部署⼯作，同时降低了部署成本，兼容多种主流虚拟化平台，丰富的API接⼝，满⾜云数据中⼼业务快速部署及按需使⽤等业务诉求。

产品特性与优势丰富的⽹关特性云数据中⼼中租户的业务越来越丰富，这对租户的虚拟⽹关提出了更⾼要求。

USG6000V具备丰富的特性功能：⼀机多能：集传统防⽕墙、VPN、⼊侵防御、防病毒等功能于⼀⾝，简化部署，提⾼管理效率。

? ⼊侵防护（IPS）：超过5000种漏洞特征的攻击检测和防御。

⽀持Web攻击识别和防护，如跨站脚本攻击、SQL注⼊攻击等；防病毒（AV）：⾼性能病毒引擎，可防护500万种以上的病毒和⽊马，病毒特征库每⽇更新；? Anti-DDoS：可以识别和防范SYN ?ood、UDP ?ood等10+种DDoS攻击，识别500多万种病毒。

? 安全互联：丰富的VPN特性，确保企业总部和分⽀间⾼可靠安全互联。

⽀持IPSec VPN、L2TP VPN、MPLS VPN、GRE等；QoS管理：基于应⽤灵活的管理流量带宽的上限和下限，可基于应⽤进⾏策略路由和QoS标签着⾊。

华为USG6000V虚拟综合业务网关随着云计算技术的广泛应用，IT与CT技术出现了快速融合的局面；公有云/私有云的部署，客户对业务快速上线，业务按需迁移，定制化防护等需求激增，传统的专有硬件业务网关慢慢无法适应云网络新架构的部署要求。

华为USG6000V(Universal Service Gateway)是基于NFV架构的软件化的虚拟综合业务网关，虚拟资源利用率高，资源虚拟化技术支持大量多租户共同使用，产品具备丰富的网关业务能力，如：vRouter，VPN，vFW，vLB，vIPS，vAV等，可根据对虚拟网关的业务需求，按需使用，灵活部署。

华为USG6000V系列虚拟综合业务网关面向云数据中心场景，通过产品的丰富特性为租户提供一站式的网关服务，产品的高效率与多租户的特性结合，简化了为大量租户提供网关的部署工作，同时降低了部署成本，兼容多种主流虚拟化平台，丰富的API接口，满足云数据中心业务快速部署及按需使用等业务诉求。

产品特性与优势丰富的网关特性云数据中心中租户的业务越来越丰富，这对租户的虚拟网关提出了更高要求。

USG6000V具备丰富的特性功能：• 一机多能：集传统防火墙、VPN、入侵防御、防病毒等功能于一身，简化部署，提高管理效率。

• 入侵防护（IPS）：超过5000种漏洞特征的攻击检测和防御。

支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等；• 防病毒（AV）：高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新；• Anti-DDoS：可以识别和防范SYN flood、UDP flood等10+种DDoS攻击，识别500多万种病毒。

• 安全互联：丰富的VPN特性，确保企业总部和分支间高可靠安全互联。

支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等；• QoS管理：基于应用灵活的管理流量带宽的上限和下限，可基于应用进行策略路由和QoS标签着色。

支持对URL分类的QoS标签着色，例如：优先转发对财经类网站的访问。

usg6000安全策略配置（doc41页）.docx配置反病毒在企业网关设备上应用反病毒特性，保护内部网络用户和服务器免受病毒威胁。

组网需求某公司在网络边界处部署了NGFW作为安全网关。

内网用户需要通过Web服务器和POP3服务器下载文件和邮件，内网FTP服务器需要接收外网用户上传的文件。

公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络，保障内网用户和服务器的安全。

网络环境如图1所示。

其中，由于公司使用Netease邮箱作为工作邮箱，为了保证工作邮件的正常收发，需要放行Netease邮箱的所有邮件。

另外，内网用户在通过Web服务器下载某重要软件时失败，排查发现该软件因被NGFW判定为病毒而被阻断（病毒ID为8000），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放行该类病毒文件，以使用户可以成功下载该软件。

图1 配置反病毒组网图配置思路1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.配置两个反病毒配置文件，一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响应动作，并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外，另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。

3.配置安全策略，在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件，实现组网需求。

操作步骤1.配置接口IP地址和安全区域，完成网络基本参数配置。

a.选择“网络> 接口”。

b.单击GE1/0/1，按如下参数配置。

c.单击“确定”。

d.参考上述步骤按如下参数配置GE1/0/2接口。

e.参考上述步骤按如下参数配置GE1/0/3接口。

2.配置反病毒配置文件。

a.选择“对象> 安全配置文件> 反病毒”。

b.单击“新建”，按下图完成针对HTTP和POP3协议的配置。

c.单击“确定”。

d.参考上述步骤按如下参数完成针对FTP协议的配置。

华为技术有限公司华为USG6000V 虚拟综合业务网关产品概述随着云计算技术的广泛应用，IT 与CT 技术出现了快速融合的局面；公有云/私有云的部署，客户对业务快速上线，业务按需迁移，定制化防护等需求激增，传统的专有硬件业务网关往往无法适应云网络新架构的部署要求。

USG6000V 系列虚拟综合业务网关具备丰富的网关业务能力，如vFW ，vIPSec ，vLB ，vIPS ，vAV ，vURL 过滤等。

全部安全功能实现虚拟化，支持多租户共享虚拟资源，可根据租户需求灵活部署，满足安全合规要求。

产品特点一机多能，精准管控•一机多能，集传统防火墙、VPN 、路由、负载均衡、入侵防御、防病毒、URL 过滤等功能于一身，简化管理，提升资源利用率。

•通过应用、内容、时间、用户、威胁和位置六个维度的组合，感知日益增多的应用层威胁，实现精准防护。

•精细化带宽管理，可基于应用、网站分类，确保关键业务带宽并确保优先转发，提升用户体验。

按需弹性，业务部署灵活•租户按需订购业务，资源动态加载、回收，资源分配灵活、弹性。

•租户业务配置自助，自动化开通，减少90%手工配置工作量，实现业务分钟级上线。

•L2～L7层安全业务全部虚拟化，灵活编排，快速满足不同租户、不同场景下的需求。

•支持虚拟资源一虚多（vSYS ），租户资源基于vSYS 精细化分配，降低建网成本。

统一管理，运维可视化•物理/虚拟资源统一管理，安全策略统一配置，自动下发；自动感知业务变化，动态迁移。

•提供全网虚拟资源到物理资源的拓扑互视，实现网络故障的快速定位。

•提供基于租户的网络虚拟化管理视图，实现租户的网络拓扑、配额、流量、告警可视，满足合规要求。

建立生态，广泛被集成•兼容主流虚拟机平台VMware 、Linux KVM 、XEN 、Hyper-V 、华为FusionSphere ，支持裸金属主机安装。

•支持NETCONF 、RESTCONF 北向API 接口，通过SDN 控制器编程实现新业务快速上线。