华为防火墙产品技术

华为安全网关产品系列
USG 5360 USG 5350 USG 5330 USG 5320 USG 3040 USG 3030 USG 50
大型企业/数据中心 大型企业 数据中心
中型企业 小型企业
大中型企业 全球权威的安全产 品测试机构
华为电信级硬件防火墙，从桌面型到千兆高端型设备， 华为电信级硬件防火墙，从桌面型到千兆高端型设备，以卓越的性能和先进的安 全体系架构为您的网络提供强大的安全保障！ 全体系架构为您的网络提供强大的安全保障！
网络B 网络
网络C 网络
Page 15
全面的DDOS攻击防范 攻击防范 全面的
服务器带宽保障
1、识别攻击 、 2、阻止攻击 、 3、提供最低保障带宽 、 僵尸网络 应用系统
在大攻击流量下仍 然可以保障应用系 统的正常访问带宽
机构网络 华为防火墙
攻击流量 正常网络用户 正常访问流量 僵尸网络
Page 16
HUAWEI TECHNOLOGIES CO., LTD.
Page 6
USG5000 产品介绍
3
领先的硬件设计
E2GE RUN SLOT1 E2GE SLOT2
Class 1 laser product
HUAWEI
Secoway U5000
主要特点: 主要特点:
USG5000前 USG5000前、后面板视图
USG5000共推出四款产品：USG5320、 USG5330、 USG5350、 USG5360。 USG5000共推出四款产品：USG5320、 USG5330、 USG5350、 USG5360。 共推出四款产品
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
所有GE接口均支持光电互斥，可实现双物理链路互备； 所有GE接口均支持光电互斥，可实现双物理链路互备； GE接口均支持光电互斥 两个扩展插槽，支持2GE、4FE两种接口板； 两个扩展插槽，支持2GE、4FE两种接口板； 2GE 两种接口板 自动温控风扇，转速、功耗自动调节； 自动温控风扇，转速、功耗自动调节； 支持交流、直流两种规格的电源； 支持交流、直流两种规格的电源； 支持关键部件故障报警； 支持关键部件故障报警； 支持双电源冗余； 支持双电源冗余； HUAWEI TECHNOLOGIES CO., LTD.
Page 4
华为安全网关产品介绍
USG50
பைடு நூலகம்
面向中小企业、办事机构、SOHO用户的百兆桌面级防火墙 面向中小企业、办事机构、SOHO用户的百兆桌面级防火墙
整机最大吞吐量： 整机最大吞吐量：100M 每秒新建连接数： 每秒新建连接数：2000 最大并发连接数： 万 最大并发连接数：10万 IPSEC加密能力：50M 加密能力： 加密能力 接口数量： 接口数量：1WAN口＋4LAN口 口 口
防火墙充分继承了华为高端路由器的高可靠设计优势， 防火墙充分继承了华为高端路由器的高可靠设计优势，将电信级运行环境和大型行 业环境的经验移植到安全产品。 业环境的经验移植到安全产品。
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 13
领先的平台架构——软件架构 领先的平台架构——软件架构 ——
USG3030/3040
整机最大吞吐量：1/1.5G 整机最大吞吐量： 每秒新建连接数： 万 每秒新建连接数：2万 最大并发连接数： 最大并发连接数：100万 万 IPSEC加密能力：400/600M 加密能力： 加密能力
面向大中型企业、机构， 面向大中型企业、机构，功能丰富的千兆级防火墙
接口数量：标配 个光电互斥 个光电互斥GE口 个扩展插槽， 接口数量：标配3/4个光电互斥 口，2个扩展插槽，最大可扩充到 个GE口 个扩展插槽 最大可扩充到7/8个 口
2005年 发布应用系统加固软件SIS,并成功 应用到BT项目; 发布华为终端管理系统Numen， 并成功在多个行业得到应用 发布华为安全综合管理系统SIMS 发布华为业务监控网关SIG
2006年 成立存储与网络安全产品 线，正式启动大规模进入 安全市场;
Page 2
汇报提纲
• 华为公司存储与安全产品线介绍 • 华为公司防火墙系列产品介绍 • 华为公司防火墙产品功能介绍 • 华为公司防火墙配置报价指导 • 华为公司安全解决方案介绍
4个GE光电互斥接口、1个Console口、2个USB口 个 光电互斥接口 光电互斥接口、 个 口 个 口
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 10
汇报提纲
• 华为公司存储与安全产品线介绍 • 华为公司防火墙系列产品介绍 • 华为公司防火墙产品功能介绍 • 华为公司防火墙配置报价指导 • 华为公司安全解决方案介绍
Page 5
USG5000 产品介绍
2
面向大中型企业以及运营网的新一代统一安全网关 32线程并行处理，性能强劲，整机最大吞吐率可达8G； 32线程并行处理，性能强劲，整机最大吞吐率可达8G； 线程并行处理 8G 高密度端口配置，最多可支持8个千兆网络接口； 高密度端口配置，最多可支持8个千兆网络接口； 超高每秒新建连接数， DDoS攻击能力强大； 超高每秒新建连接数，抗DDoS攻击能力强大； 攻击能力强大 支持端口捆绑，提高关键链路带宽； 支持端口捆绑，提高关键链路带宽； 支持GTP协议安全防护； 支持GTP协议安全防护； GTP协议安全防护
汇报提纲
• 华为公司防火墙系列产品介绍 • 华为公司防火墙产品功能介绍 • 华为公司防火墙配置报价指导 • 华为公司安全解决方案介绍
华为公司正式进入网络安全领域
2002年， 推出专业病毒 防护方案 2001年， 推出防火墙插卡
2000年 华为启动网络 安全产品的研发
在中国的深圳、北京、成都、杭州，美国硅谷和 深圳、北京、成都、杭州，
Page 7
关于光电互斥接口及接口板
两个物理接口在逻辑上实际为一个，使用光口时， 两个物理接口在逻辑上实际为一个，使用光口时， 电口无法使用，反之亦然， 电口无法使用，反之亦然，主要是为用户提供灵活 的接口选择类型；但是USG5000系列的 系列的combo口 的接口选择类型；但是 系列的 口 支持光电口互为备份功能，即同时插上光电口， 支持光电口互为备份功能，即同时插上光电口，光 口工作，光口因异常断开，电口自动启动工作。 口工作，光口因异常断开，电口自动启动工作。
4FE插卡 插卡
2GE插卡 插卡
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 8
产品简介及定位
USG5000系列多功能安全网关是华为公司推出的新一代多功能安全网关 USG5000系列多功能安全网关是华为公司推出的新一代多功能安全网关 产品，主要定位于后续UTM产品升级，并最终替换现有的E1000系列产品。 UTM产品升级 E1000系列产品 产品，主要定位于后续UTM产品升级，并最终替换现有的E1000系列产品。
Page 14
全面的DDOS攻击防范 攻击防范 全面的
攻击指纹识别
1、基准匹配 、 2、提取指纹 、 3、阻止攻击 、 网络A 网络
对不同访问流量进行 指纹记录， 指纹记录，发现未知 类型的DDos攻击 类型的 攻击
华为防火墙
机构网络
网络A：流量非正常， 网络 ：流量非正常，指纹记录 网络B： 网络 ：流量正常 网络C： 网络 ：流量正常
多核处 理器
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 12
电信级硬件架构
关键器件冗余设计： 关键器件冗余设计：
软件在线热补丁； 软件在线热补丁； 支持光口、电口互斥备份； 支持光口、电口互斥备份； 接口模块和风扇模块支持热插拔，可现场更换； 接口模块和风扇模块支持热插拔，可现场更换；
印度的班加罗尔设立了安全研发中心
建立了中国首个“网络及应用攻防实验室” 已经拥有350名专职安全技术人员，600名专职安全 产品开发人员，其中CISP、CISSP、CCIE、HCIE、 PMP以及电信业务专家等高端人才103人。 具有多种安全服务和集成资质的专业安全服务和集 成团队。
2003年， 基于NP的防火墙 华为100/200； 推出IPSec高速加密卡 发布华为i3SAFE 安全解决方案 2004年 基于NP的高端防火墙华为 500/1000; 承担粤港项目综合安全管理系统 研发工作 成立安全SDPT 参加BT安全项目支持 发布华为入侵检测系统NIP 通过BS7799国际认证年年年年
Page 9
产品规格
型号 整机最大吞吐率 每秒新建连接数 并发连接数（标准 最大 最大） 并发连接数（标准/最大） 最大ACL规则数 规则数 最大 最大虚拟防火墙个数 固定接口 扩展插槽数量 扩展插卡类型 外形尺寸(mm)宽 外形尺寸(mm)宽×深×高 (mm) 重量 输入电压 最大/ 最大/平均功率 平均无故障间隔时间 MTBF） （MTBF） 5G 60K 200/400万 万 50K 100 2个扩展插槽 4×FE（10/100M）模块、2×GE光电混合接口模块 （10/100M）模块、 GE光电混合接口模块 436×560× 436×560×44.2 10kg AC：100～ AC：100～240V DC： 48V～ DC：-48V～-60V 100/75W 37.54年 37.54年 USG 5320 6G 80K 200/400万 万 50K 100 USG 5330 7G 100K 400/600万 万 50K 100 USG 5350 8G 150K 400/600万 万 50K 100 USG 5360
采用华为自主知识产权的VRP系统 采用华为自主知识产权的VRP系统 VRP
› › › › 10年开发、商用积累，功能丰富并且结构稳定； 10年开发、商用积累，功能丰富并且结构稳定； 年开发 具备良好的网络特性，支持完善的网络通讯协议； 具备良好的网络特性，支持完善的网络通讯协议； 自有网络操作系统，避免通用系统的漏洞关联性； 自有网络操作系统，避免通用系统的漏洞关联性； 基于模块化设计，支持可扩展开发，可集成丰富的特性。 基于模块化设计，支持可扩展开发，可集成丰富的特性。
全面的DDOS攻击防范 攻击防范 全面的
多种攻击类型识别
1、SYN Flood 、 2、UDP Flood 、 3、ICMP Flood 、 4、DNS Flood 、 5、SMURF 、 6、CC 、 7、Land 、 8、Fraggle 、 9、WinNuke 、 10、ICMP重定向 、 重定向 11、… 、 正常网络用户
主要特点： 主要特点：
关键性能指标，每秒新建连接数业界第一，可以达到150000条 最大实测是24万 关键性能指标，每秒新建连接数业界第一，可以达到150000条；最大实测是24万。 150000 24 整机最大小包（64byt）吞吐率实测可达2G，是前一代产品的2 整机最大小包（64byt）吞吐率实测可达2G，是前一代产品的2倍； 实测可达2G 高密度端口配置，1U机箱，自带4 GE光电互斥接口，最多可支持8 GE光电互斥 高密度端口配置，1U机箱，自带4个GE光电互斥接口，最多可支持8个GE光电互斥 机箱 光电互斥接口 接口，业界唯一全千兆光电互斥接口防火墙； 接口，业界唯一全千兆光电互斥接口防火墙； 绿色防火墙，功耗性能比在业界处于领先位置； 绿色防火墙，功耗性能比在业界处于领先位置； 我司目前唯一的一款支持对GTP协议安全防护的防火墙。 我司目前唯一的一款支持对GTP协议安全防护的防火墙。 GTP协议安全防护的防火墙
领先的平台架构——硬件架构 领先的平台架构——硬件架构 ——
基于多核处理器的USG系列 基于多核处理器的USG系列 USG
› › › 多核协同处理， 多核协同处理，数据处理能力大幅提高 采用高度集成技术，内置多个工作处理模块， 采用高度集成技术，内置多个工作处理模块， 链式处理，大幅提升运算效率 链式处理， 具有很高的技术融通性， 具有很高的技术融通性，系统可方便的升级 和扩展