防火墙产品介绍

华为防火墙的使用手册第一章：产品概述1.1 产品介绍本手册是为了帮助用户更好地使用华为防火墙（以下简称“防火墙”）而编写的。

防火墙是一种能够有效防范网络攻击和保护网络安全的设备，具有强大的安全防护功能和丰富的网络管理功能。

1.2 产品特点防火墙具有以下主要特点：- 能够进行安全审计和监控网络流量，实时检测和阻断潜在的威胁；- 具有灵活的策略配置和管理功能，可以根据实际需求进行定制化设置；- 支持多种安全协议和加密算法，确保网络数据的安全传输；- 具备高性能处理能力和可靠的硬件设施，能够满足大规模企业网络的安全需求。

第二章：硬件配置与安装2.1 硬件配置在使用防火墙之前，首先需要了解防火墙的硬件配置参数。

包括防火墙型号、CPU、内存、接口类型和数量等信息。

用户可以根据网络规模和安全需求选择适合的防火墙型号。

2.2 安装用户在安装防火墙时需要注意以下几点：- 将防火墙设备固定在防火墙机架上，并连接电源线；- 将防火墙设备与网络设备相连，包括连接入口路由器、交换机等；- 安全接入外部网络，并配置相关网络参数。

第三章：软件配置与管理3.1 系统初始化用户在首次接入防火墙时，需要进行系统初始化配置，包括设置管理员账号、密码、管理IP等信息。

确保只有授权的人员可以管理和操作防火墙。

3.2 策略配置配置防火墙的安全策略是非常重要的一项工作。

用户可以根据实际情况制定入站、出站、NAT、VPN等各类安全策略，以确保网络安全。

3.3 安全管理防火墙还具有安全管理功能，包括安全审计、日志记录、攻击防护等功能。

用户可以通过安全管理功能监控网络流量、分析安全事件并采取相应措施。

第四章：故障排除与维护4.1 系统状态监控防火墙设备可通过监控系统状态来查看硬件运行状况、网络流量情况等，及时发现故障并进行处理。

4.2 故障排除当防火墙出现故障时，用户可以通过系统日志、告警信息等来分析故障原因，并进行相应的处理和维护。

4.3 定期维护为了保持防火墙设备的稳定运行，用户需要对设备进行定期的维护工作，包括固件升级、系统优化、安全漏洞补丁安装等。

产品介绍深信服AF深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。

在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。

同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

产品功能列表项目具体功能部署方式支持路由，透明，旁路，虚拟网线，混合部署模式；实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等设备资实时监控源信息；提供安全事件信息，包括最近安全事件、服务器安全事件、终端安全事件等，事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等；提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理；网络适应性支持ARP代理、静态ARP绑定，配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP客户端；支持SNMP v1，v2，v3，支持SNMP Trap；支持静态路由、RIP v1/2、OSPF、策略路由；支持链路探测，端口聚合，接口联动；包过滤与状态检测提供静态的包过滤和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP；NAT地址转换支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；可配置支持地址转换的有效时间；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等抗攻击特性支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能；支持CC攻击防护；IPSEC VPN 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法；支持各种NAT网络环境下的VPN组网；支持第三方标准IPSec VPN进行对接；*总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略；SSL VPN 支持SSL VPN；应用访问控制策略支持对1000种以上应用、2500种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定；APT检测内置超过60万的病毒，木马，间谍软件等恶意软件特征库，并且在不断的持续更新特征内容；支持通过安全云实现虚拟沙盒动态检测技术。

信息安全产品整理汇总一、防火墙产品1. 产品名称：天融信防火墙主要功能：防御网络攻击、访问控制、入侵防御适用场景：企业内网、数据中心、云计算环境2. 产品名称：华为USG防火墙主要功能：网络层防护、应用层防护、VPN加密适用场景：中小企业、分支机构、远程办公3. 产品名称：深信服防火墙主要功能：防DDoS攻击、上网行为管理、威胁情报适用场景：教育、医疗、政府等行业二、入侵检测与防御系统（IDS/IPS）1. 产品名称：绿盟科技入侵检测系统主要功能：实时监控网络流量、发现并报警异常行为适用场景：大型企业、运营商、金融行业2. 产品名称：启明星辰入侵防御系统主要功能：阻断恶意攻击、保护关键业务系统适用场景：政府、能源、交通等行业3. 产品名称：安恒信息入侵检测与防御系统主要功能：流量分析、威胁检测、防御策略部署适用场景：互联网企业、园区网、数据中心三、加密与证书管理产品1. 产品名称：数字证书认证中心（CFCA）主要功能：数字证书发放、证书管理、加密解密适用场景：电子政务、电子商务、企业内部认证2. 产品名称：沃通SSL证书主要功能：网站加密、身份验证、数据传输安全适用场景：各类网站、移动应用、API接口3. 产品名称：吉大正元加密机主要功能：硬件加密、密钥管理、安全认证适用场景：银行、证券、保险等行业四、安全运维与管理平台1. 产品名称：奇安信安全运维平台主要功能：资产管理、漏洞扫描、日志分析适用场景：企业安全管理部门、运维团队2. 产品名称：腾讯安全管家主要功能：安全防护、病毒查杀、数据保护适用场景：个人用户、家庭网络、企业办公3. 产品名称：360企业安全卫士主要功能：终端防护、网络安全、安全态势感知适用场景：企业级用户、政府机关、教育机构本汇总文档旨在为您提供一个信息安全产品的大致了解，具体产品功能及适用场景可能因版本更新而有所变化，请以实际产品为准。

在选购信息安全产品时，请结合自身需求和预算，选择合适的产品。

Huawei USG6305/6310S/6320 next-generation firewalls are desktop-mounted security gateways designed for small businesses, branch offices, and chain stores. The firewalls integrate multiple security capabilities, such as intrusion prevention and antivirus, and support multiple routing protocols for both IPv4 and IPv6. They provide wired and wireless access and are best suited for networks with up to 100 users. The firewalls in this series are small, light, and cost-effective, reduce management costs, and ensure secure and efficient access for users.HighlightsComprehensive protection• Multiple security functions, including firewall, VPN, intrusion prevention, and online behavior management,for complete versatility• Refined bandwidth management based on application and website category to prioritize bandwidth formission-critical services• Access to a URL category database of over 120 million URLs, used to prevent access to malicious andillegitimate websites and allow/block access to whitelisted/blacklisted websites Simple management, fast deployment• Zero-configuration deployment using USB disks to improve deployment efficiency• Web-based configuration and centralized management through the eSight network management system Flexible bandwidth management, improving Internet access experience•Differentiated user bandwidth and quota management for fair and prioritized bandwidth usage • Application-based bandwidth management to prioritize bandwidth for mission-critical applications • Modification of URL category priorityHUAWEI USG6305/6310S/6320 Next-Generation Firewalls---Best-in-Class Access Security for Small Businesses55Interfaces 1. USB Port2. Micro-SD Card Slot3. Console Port4. 4 x GE (RJ45) Ports5. 2 x Wi-Fi Antenna Jacks Interfaces 1. USB Port2. Micro-SD Card Slot3. Console Port4. 8 x GE (RJ45) Ports5. 2 x Wi-Fi Antenna JacksUSG6305-WUSG6310S-WHardwareInterfaces 1. USB Port2. Micro-SD Card Slot3. Console Port4. 4 x GE (RJ45) Ports Interfaces 1. USB Port2. Micro-SD Card Slot3. Console Port4. 8 x GE (RJ45) PortsUSG6305USG6310SDeploymentComprehensive and integrated protection for small businesses• NGFWs are deployed on egresses to provide GE and Wi-Fi interfaces in the downlink, GE interfaces in the uplink,and 3G/4G LTE backup uplinks. 4G LTE backup VPN tunnels or two LTE uplinks can be created for redundancy.• NGFWs can be deployed with the Agile Controller to form a branch access security solution that providesunified authentication of wired and wireless users and portal customization. Centralized service management eases the difficulty of managing branch offices while still allowing for platform customization for branches to perform targeted marketing.• Refined bandwidth management based on application and website category can prioritize bandwidth formission-critical services.Targeted marketing• Push of ads and questionnaires for marketing• Customization of the authentication portal page to provide marketing information or apps that arespecific to local business officesInterfaces 1. USB Port 2. SIM Card Slot3. Micro-SD Card Slot4. Console Port5. 8 x GE (RJ45) Ports6. 2 x Wi-Fi Antenna Jacks7. 2 x LTE Antenna JacksInterfaces 1. USB Port 2. Console Port3. 8 x GE (RJ45) PortsUSG6310S-WL-OVSUSG6320Software Features1: T he USG6305 and USG6310S series support log storage in SD cards. If no SD card is inserted, you can view and export system and service logs. By inserting an SD card, you can also view, export, customize, and subscribe to reports. The USG6320 supports the query and export of system and service logs but does not support report query, export, customization, or subscription.Functions marked with * are supported only in USG V500R001 and later versions.Specifications *System Performance and Capacity1. P erformance is tested under ideal conditions based on RFC 2544 and RFC 3511. The actual result may vary with deployment environments.2. Antivirus, IPS, and SA performances are measured using 100 KB of HTTP files.3. Throughput is measured with the Enterprise Traffic Model.4. SSL inspection throughput is measured with IPS-enabled and HTTPS traffic using TLS v1.2 with AES256-SHA.5. SSL VPN throughput is measured using TLS v1.2 with AES128-SHA.6. USG6000 V100R001 supports only the RESTCONF interface and cannot interwork with third-party tools.* SA indicates Service Awareness.* This content is applicable only to regions outside mainland China. Huawei reserves the right to interpret this content. Hardware Specifications1. T he following bands are supported: FDD BAND 1, 2, 3, 4, 5, 7, 8, and 20 CertificationsRegulatory, Safety, and EMC ComplianceOrdering GuideFunction LicenseAbout This PublicationThis publication is for reference only and does not constitute any commitments or guarantees. All trademarks, pictures, logos, and brands mentioned in this document are the property of Huawei Technologies Co., Ltd. or a third party.For more information, visit /en/products/enterprise-networking/security.Copyright©2018 Huawei Technologies Co., Ltd. All rights reserved.。

网康NF-3000-25产品简介网康下一代防火墙（NGFW）产品是一款可以全面应对应用层威胁的高性能防火墙。

通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供用效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

NF-3000-25防火墙适用于中大型企业的客户网络环境。

产品对比相比传统防火墙网康一代防火墙除了拥有传统防火墙的所有防护功能外，还可识别网络流量中的应用和用户信息，实现用户和应用级别的访问控制；能够识别不同应用所包含的内容信息中的威胁和风险，防御应用层威胁；能够识别和控制移动应用，防止BYOD设备带来的风险；能够通过主动防御技术识别未知威胁，让用户对网络威胁构成一览无余。

相比UTM产品网康下一代防火墙全面解决应用端口跳变引起的威胁逃逸，支持对未知威胁的感知并进行主动防御，支持对移动应用的识别和控制，采用高性能处理引擎的一体化安全策略架构，在所有防护功能开启的前提下仍然能够保证设备的高性能运转。

功能价值全方位应用层洞察与控制企业内使用的应用已经不再是简单的“黑”与“白”的区分，“灰色”应用大量存在。

只有全方位和多维度的应用层洞察能力，才能保证企业对黑色应用和灰色应用的有效控制。

深度的应用洞察能力网康NGFW采用深度识别技术，有效解决了传统防火墙和IPS设备无法识别的逃逸手段，例如端口跳变、代理、隧道技术和SSL加密等，使客户有能力对各种应用进行识别、检测和控制。

全面的用户识别手段网康NGFW产品能够支持通过多种认证系统（MS AD域、Radius、LDAP等）进行用户认证和多种应用系统（POP3、SMTP、Kerberos）的用户识别，同时提供完善的用户组织管理和导入功能。

一体化应用层威胁防护网康NGFW产品通过对应用的洞察能力，保证对采用“动态端口”、“隧道”、“代理”、和“SSL加密”等技术手段的应用的可见性，防止威胁逃逸，并通过基于应用的全方位集成安全检测手段（入侵防御、防病毒、URL过过滤等）来防御威胁。