华为USG6000下一代防火墙产品竞争分析(渠道版)
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列下一代防火墙技术白皮书文档版本V1.1发布日期2014-03-12版权所有© 华为技术有限公司2014。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:客户服务邮箱:ask_FW_MKT@客户服务电话:4008229999目录1 概述 (1)1.1 网络威胁的变化及下一代防火墙产生 (1)1.2 下一代防火墙的定义 (1)1.3 防火墙设备的使用指南 (2)2 下一代防火墙设备的技术原则 (1)2.1 防火墙的可靠性设计 (1)2.2 防火墙的性能模型 (2)2.3 网络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于用户的管控能力 (4)2.7 基于应用的管控能力 (4)2.8 应用层的威胁防护 (4)2.9 业务支撑能力 (4)2.10 地址转换能力 (5)2.11 攻击防范能力 (5)2.12 防火墙的组网适应能力 (6)2.13 VPN业务 (6)2.14 防火墙管理系统 (6)2.15 防火墙的日志系统 (7)3 Secospace USG6000系列防火墙技术特点 (1)3.1 高可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防火墙技术 (16)3.8 业务支撑能力 (17)3.9 网络地址转换 (18)3.10 丰富的攻击防御的手段 (21)3.11 优秀的组网适应能力 (23)3.12 完善的VPN功能 (25)3.13 应用层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的日志报表系统 (31)4 典型组网 (1)4.1 攻击防范 (1)4.2 地址转换组网 (2)4.3 双机热备份应用 (2)4.4 IPSec保护的VPN应用 (3)4.5 SSL VPN应用 (5)华为USG6000系列下一代防火墙产品技术白皮书关键词:NGFW、华为USG6000、网络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本文详细介绍了下一代防火墙的技术特点、工作原理等,并提供了防火墙选择过程的一些需要关注的技术问题。
国内外主流防火墙厂商竞争分析
产品线介绍-UTM产品线
定位
千兆 高端
千兆 中端
百兆 高端 百兆 中端
桌面
天融信型号 黒:X86 红:多核 绿:NP 蓝:ASIC
TG-57K2
TG-562A
TG-5544
TG-440A
TG-330S
TG-3105
裸机 列表价
对应型号
108万 3016B
61.8万 54.8万
1000A FA2
800F
市场销量分析
至08年,销售收入达3.8亿人民币 防火墙与UTM产品的销售收入仍然是占总体75%以上。
40000 35000 30000 25000 20000 15000 10000
5000 0
2006
2007
2008
其他产品销售额 fw销售额 utm销售额
| Hillstone Confidential 7
银川33人
南京分公司 26人
昆明办事处 6人
海南办事处 2人
武汉分公司 16人
山东分公司 40人
天津办事处 7人
北京办事处 6人
行业人
军队军工 13
电信 5人
能源交通 6
金融制造 15
政府 11
中小企业 38人
| Hillstone Confidential 6
|
53H00ilBBlstone
USG-50
Confidential 3
华为华赛 H3C
总纲
天融信 联想网御
Fortinet
网御神州
Juniper Cisco
东软
启明星辰
绿盟
| Hillstone Confidential 4
华为USG6000系列下一代防火墙
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
华为USG6630E USG6650E USG6680E下一代防火墙产品介绍说明书
Huawei USG6630E/USG6650E/USG6680E Next-Generation FirewallsWith the continuous digitalization and cloudification of enterprise services, networks play an important rolein enterprise operations, and must be protected. Network attackers use various methods, such as identityspoofing, website Trojan horses, and malware, to initiate network penetration and attacks, affecting thenormal use of enterprise networks.Deploying firewalls on network borders is a common way to protect enterprise network security. However,firewalls can only analyze and block threats based on signatures. This method cannot effectively handleunknown threats and may deteriorate device performance. This single-point and passive method doesnot pre-empt or effectively defend against unknown threat attacks. Threats hidden in encrypted traffic inparticular cannot be effectively identified without breaching user privacy.Huawei's next-generation firewalls provide the latest capabilities and work with other security devicesto proactively defend against network threats, enhance border detection capabilities, effectively defendagainst advanced threats, and resolve performance deterioration problems. Network Processors providefirewall acceleration capability, which greatly improves the firewall throughput.Product AppearancesUSG6630E/USG6650E/USG6680EProduct HighlightsComprehensive and integrated protection• Integrates the traditional firewall, VPN, intrusion prevention, antivirus, data leak prevention, bandwidth management, URL filtering, and online behavior management functions all in one device.• Interworks with the local or cloud sandbox to effectively detect unknown threats and prevent zero-day attacks.• Implements refined bandwidth management based on applications and websites, preferentially forwards key services, and ensures bandwidth for key services.More comprehensive defense• The built-in traffic probe of a firewall extracts traffic information and reports it to the CIS, a security big data analysis platform developed by Huawei. The CIS analyzes threats in the traffic, without decrypting the traffic or compromising the device performance. The threat identification rate is higher than 90%.• The deception system proactively responds to hacker scanning behavior and quickly detects and records malicious behavior, facilitating forensics and source tracing.High performance• Uses the network processing chip based on the ARM architecture, improving forwarding performance significantly.• Enables chip-level pattern matching and accelerates encryption/decryption, improving the performance for processing IPS, antivirus, and IPSec services.• The throughput of a 1 U device can reach 80 Gbit/s.High port density• The device has multiple types of interfaces, such as 40G, 10G, and 1G interfaces. Services can be flexibly expanded without extra interface cards.DeploymentSmall Data center border protection• Firewalls are deployed at egresses of data centers, and functions and system resources can be virtualized.The firewall has multiple types of interfaces, such as 40G, 10G, and 1G interfaces. Services can be flexibly expanded without extra interface cards.• The 12-Gigabit intrusion prevention capability effectively blocks a variety of malicious attacks and delivers differentiated defense based on virtual environment requirements to guarantee data security.• VPN tunnels can be set up between firewalls and mobile workers and between firewalls and branch offices for secure and low-cost remote access and mobile working.Enterprise border protection• Firewalls are deployed at the network border. The built-in traffic probe extracts packets of encrypted trafficand sends the packets to the CIS, a big data analysis platform. In this way, threats in encrypted traffic are monitored in real time. Encrypted traffic does not need to be decrypted, protecting user privacy and preventing device performance deterioration.• The deception function in enabled on the firewalls to proactively respond to malicious scanning behaviorand associate with the CIS for behavior analysis to quickly detect and record malicious behavior, protecting enterprise against threats in real time.• The policy control, data filtering, and audit functions of the firewalls are used to monitor social networkapplications to prevent data breach and protect enterprise networks.Hardware1. HDD/SSD Slot2. 12 x GE (RJ45)3. 12 x 10GE (SFP+)4. 2 x 40GE (QSFP+)5. 1 x USB3.06. 1 x GE (RJ45) management port7. Console portUSG6630E/USG6650E1. HDD/SSD Slot2. 28 x10 GE (SFP+)3. 4 x 40GE (QSFP+)4. 2 x HA (SFP+)5. 1 x USB3.06. 1 x GE (RJ45) management port7. Console portUSG6680ESoftware FeaturesSpecificationsSystem Performance and Capacity1. P erformance is tested under ideal conditions based on RFC2544, 3511. The actual result may vary with deployment environments.2. Antivirus, IPS, and SA performances are measured using 100 KB HTTP files.3. F ull protection throughput is measured with Firewall, SA, IPS, Antivirus and URL Filtering enabled. Antivirus, IPS and SA performances are measured using 100 KB HTTP files.4. F ull protection throughput (Realworld) is measured with Firewall, SA, IPS, Antivirus and URL Filtering enabled, Enterprise Mix Traffic Model.5. SSL inspection throughput is measured with IPS-enabled and HTTPS traffic using TLS v1.2 with AES128-GCM-SHA256.6. SSL VPN throughput is measured using TLS v1.2 with AES128-SHA.*SA: Service Awareness.Note: All data in this document is based on USG V600R006.Hardware Specifications* Some 10G ports and 40G ports are mutually exclusive. The ports can be configured as follows: 4 x 40GE (QSFP+) + 20 x 10GE (SFP+) + 2 x 10GE (SFP+) HA + 1 x USB or 2 x 40GE (QSFP+) + 28 x 10GE (SFP+) + 2 x 10GE (SFP+) HA + 1 x USBCertificationsRegulatory, Safety, and EMC ComplianceOrdering GuideAbout This PublicationThis publication is for reference only and does not constitute any commitments or guarantees. All trademarks, pictures, logos, and brands mentioned in this document are the property of Huawei Technologies Co., Ltd. or a third party.For more information, visit /en/products/enterprise-networking/security.Copyright©2019 Huawei Technologies Co., Ltd. All rights reserved.。
华为防火墙方案竞争分析
vpn隧道数
机箱
1000E-U6/X5
USG6390
固定接口
4个GE combo/ 4GE +4GE Combo 2FIC扩: 最大8GE,4GE+8FE/ 最大12GE,8GE+8FE 2 8G/10G X X
8G
固定接口:8GE+4SFP 扩展槽:2 板卡:2*10GE+8GE
接口 USB
吞吐
8G
固定接口:8GE+4SFP 扩展槽:2 板卡:2*10GE+8GE
接口 USB
吞吐
3G wifi
8G
可选 可选
IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE VPN
新建
并发 整机vpn
150K 200万(可扩展至400万) 6G 20K 1U
10万
400万 5G 1U
X8080E 固定接口 接口 USB 24*GE,2*10GE,1 2*GE+1*10GE
E8160E
USG9320
USG9560
USG9580
192×GE、8×10G
96×GE、4×10GE
吞吐 3G
wifi VPN 新建 并发 整机vpn
80G
160G
160G
X
X
6万 400万 300M
8万 160万(可扩展至320万) 4G 20K
3万 120万 2G 2000 3U
机箱
1U
1U
USG6380
接口
固定接口:8GE+4SFP 扩展槽:2 板卡:2*10GE+8GE
1000E-U5/X3 固定接口: 4个GE combo/ 4GE +4GE Combo 2FIC扩: 最大8GE,4GE+8FE/ 最大12GE,8GE+8FE 6G X X
华为USG6650 6660 6670 6680下一代防火墙产品介绍说明书
Huawei USG6650/6660/6670/6680 next-generation firewalls are designed for small data centers and large or medium-sized enterprises. The firewalls provide full-fledged application identification and application-layer threat and attack defense capabilities, and deliver high performance even when multiple security functions are enabled. The firewalls also offer multiple interface card slots that support various interface cards, such as GE electrical/optical and 10 GE interface cards. These cards allow users to flexibly expand services and enable the firewalls to evolve with enterprise networks, making USG6650/6660/6670/6680 firewalls highly cost-effective and protecting customer investment.HighlightsComprehensive protection, third-party proven security capability• Integrate firewall, VPN, intrusion prevention, antivirus, data leak prevention, bandwidth management,and online behavior management functions all in one device• Obtained Firewall, IPS, IPsec, and SSL VPN certifications from the ICSA Labs• Obtained the highest-level CC certificate (EAL4+), ranking among the highest security levels in the world • The USG6650 earned the “Recommended” rating with 98.1 percent comprehensive security effectivenessand 99.95 percent CAWS (Live) Exploit Block Rate, leading the industry in terms of security capabilities Visualized and fine-grained management and control• Deliver diversified reports to provide all-around visibility into service status, network environment, securityposture, and user behavior• Identify application-layer threats from application, content, time, user, attack, and location dimensions •Accurately identify more than 6000 applications to deliver fine-grained access control and improve thequality of key servicesHUAWEI USG6650/6660/6670/6680 Next-Generation Firewalls---High-Performance Security for Small Data Centers and Large or Medium-sized EnterprisesHigh port density• Support various types of interface cards, such as GE electrical/optical and 10 GE interface cards, providing up to 78 interfaces, including 56 GE electrical, 8 SFP optical, and 14 10GE optical interfaces • Provide multiple high-density interface card slots, enabling users to flexibly expand the hardware and performance to suit service requirements• Support dual AC or DC hot-swappable power suppliesDeploymentData center border protection• Firewalls are deployed at egresses of data centers, and functions and system resources can be virtualized.• The 10-Gigabit intrusion prevention capability effectively blocks a variety of malicious attacks and delivers differentiated defense based on virtual environment requirements to guarantee data security.• VPN tunnels can be set up between firewalls and mobile workers and between firewalls and branch offices for secure and low-cost remote access and mobile working.Enterprise border protection• Block all unauthorized access attempts at enterprise network egresses.• Provide real-time 10-Gigabit-level application-layer threat prevention, even when IPS is enabled.• Perform data filtering and auditing on files transmitted through sources such as email and IM to monitor social network applications and prevent data leaks.• Deliver user- and application-specific bandwidth management to guarantee service quality for core users and of mission-critical services.• Support online behavior management based on URL categories and applications to block access to malicious websites and websites irrelevant to work.Enterprise networkHardwareInterfaces1. 8 x GE (RJ45) and 2 x 10 GE (SFP+) Ports2. 8 x GE (SFP) Ports3. 2 x USB Ports4. 1 x GE (RJ45) Management Port5. Console Port (RJ45)6. Console Port (Mini-USB)USG6650/6660-ACUSG6660-DCInterfaces1. 8 x GE (RJ45) and 2 x 10GE (SFP+) Ports2. 8 x GE (RJ45) and 2 x 10GE (SFP+) Ports3. 8 x GE (SFP) Ports4. 2 x USB Ports5. 1 x GE (RJ45) Management Port6. Console Port (RJ45)7. Console Port (Mini-USB)USG6670-ACUSG6670-DCInterfaces1. 8 x GE (RJ45) and 2 x 10GE (SFP+) Ports2. 8 x GE (RJ45) and 2 x 10GE (SFP+) Ports3. 8 x GE (SFP) Ports4. 2 x USB Ports5. 1 x GE (RJ45) Management Port6. Console Port (RJ45)7. Console Port (Mini-USB)USG6680-ACUSG6680-DCTable 1. Wide Service Interface Cards (WSICs) for USG6600 SeriesSoftware Features1: I f no hard disk is inserted, you can view and export system and service logs. By inserting a hard disk, you can also view, export, customize, and subscribe to reports.Functions marked with * are supported only in USG V500R001 and later versions.Specifications *System Performance and Capacity1. P erformance is tested under ideal conditions based on RFC 2544 and RFC 3511. The actual result may vary with deployment environments.2. Antivirus, IPS, and SA performances are measured using 100 KB of HTTP files.3. Throughput is measured with the Enterprise Traffic Model.4. SSL inspection throughput is measured with IPS-enabled and HTTPS traffic using TLS v1.2 with AES256-SHA.5. SSL VPN throughput is measured using TLS v1.2 with AES128-SHA.6. USG6000 V100R001 supports only the RESTCONF interface and cannot interwork with sandbox or third-party tools.* SA indicates Service Awareness.* This content is applicable only to regions outside mainland China. Huawei reserves the right to interpret this content. Hardware Specifications1. With DC power input, the USG6680 supports up to three WSICs without 2XG8GE or two WSICs with 2XG8GE.2. USG6680 (DC): 40 x GE (RJ45) + 4 × 10 GE (SFP+) + 8 × GE (SFP) or 32 x GE (SFP) + 4 x 10 GE (SFP+) + 16 x GE (RJ45).3. The 600 GB hard disk is supported only in USG V500R001 and later versions and is not supported in USG6680 DC model. *WISC is not hot-swappable.CertificationsRegulatory, Safety, and EMC ComplianceOrdering GuideAbout This PublicationThis publication is for reference only and does not constitute any commitments or guarantees. All trademarks, pictures, logos, and brands mentioned in this document are the property of Huawei Technologies Co., Ltd. or a third party.For more information, visit /en/products/enterprise-networking/security.Copyright©2018 Huawei Technologies Co., Ltd. All rights reserved.。
华为USG6600系列下一代防火墙产品简版彩页_图文.
产品概述企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。
移动APP 、Web2.0、社交网络让企业处于开放的网络环境,攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透,企业面临前所未有的安全风险,传统防火墙面对变革却无能为力。
华为Secospace USG6600系列下一代防火墙应需而生,面向下一代网络环境,基于“ACTUAL ”感知,实现安全管理自我优化,通过云技术识别未知威胁,高性能地为大型企业、数据中心提供以应用层威胁防护为核心的下一代网络安全。
华为Secospace USG6600系列下一代防火墙产品特点最精准的应用访问控制•全面创新的下一代环境感知和访问控制。
通过应用、内容、时间、用户、威胁和位置六个维度的组合,全局感知日益增多的应用层威胁,实现应用层安全防护。
•丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现,让用户全方位感知,安全运营。
•深度融合的下一代内容安全。
通过解析引擎合并,将安全能力与应用识别深度融合,防范借助应用进行的恶意代码植入、网络入侵、数据窃取等破坏行为。
最高的性能体验•专用软硬件平台架构,IAE 单次解析引擎。
智能感知应用信息后,全安全特性并行处理。
•内容检测硬件加速,提升应用层防护效率,保障全安全特性开启下的万兆最佳性能。
最简单的安全管理•将6000+应用良好地分为5个大类33个小类,使用应用小类可快速实现基于应用的访问控制。
•根据网络中的实际流量和应用的风险,遵循最小权限控制原则,自动生成策略优化建议。
•分析策略命中率,发现冗余、失效的策略,有效控制策略规模,简化管理。
最全面的未知威胁防护•遍布全球的安全中心,丰富的可疑样本来源。
在云端采用沙箱技术,在模拟环境中监控可疑样本的运行行为,高效发现未知威胁。
•发现未知威胁后自动提取威胁特征,并迅速将特征同步到设备侧,有效防范零日攻击。
•准确、完善的信誉体系,防范APT 攻击。
华为USG6600系列下一代防火墙规格清单(渠道版)
USG6570 1200~1600 9Gbit/s 4,000,000 80,000 3Gbit/s 4,000 1,000 15,000 100 支持 支持 支持 支持 支持 支持 支持 支持 8GE+4SFP 2WSIC
WSIC: 2×10GE(SFP+)+8×GE(RJ45), 8×GE(RJ45), 8×GE(SFP), 4×GE(RJ45)BYPASS 1U 机架 442*421*43.6 10KG 选配 100~240V 170W 1U 机架 442*421*43.6 10KG 选配 100~240V 170W 1U 机架 442*421*43.6 10KG 选配 100~240V 170W 1U 机架 442*421*43.6 10KG 选配 100~240V 170W
USG6530 500~700 2Gbit/s 3,000,000 30,000 400Mbit/s 4,000 500 15,000 50 支持 支持 支持 支持 支持 支持 支持 支持 4GE+2Combo 2WSIC
USG6550 900~1100 5Gbit/s 4,000,000 70,000 3Gbit/s 4,000 1,000 15,000 100 支持 支持 支持 支持 支持 支持 支持 支持 8GE+4SFP 2WSIC
可视化多维度报表呈现,支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。 部署及可靠性 参考用户数*:仅供参考,根据实际网络环境的不同可能会有差异。
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身,全局配置视图和一体化策 略管理。 识别6000+应用,访问控制精度到应用功能,例如:区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率 。 病毒库每日更新,可迅速检出超过500万种病毒。 对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、PPT、PDF等,并对敏感内容进行过滤。 在识别业务应用的基础上,可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。管控方式包括:限制最大带宽或保障最小带宽、应用的 策略路由、修改应用转发优先级等。 URL分类库超过8500+万,可区分对不同类别网站的访问,并对访问行为进行管理,防范恶意网站对企业网络的侵害。可对特定类别网站的访问进行加 速,保障对高优先级网站的访问体验。 可基于用户的访问地址和内容进行审计、溯源。 支持服务器负载均衡和链路负载均衡,充分利用现有网络资源。 支持基于业务的策略路由,在多出口场景下可根据多种负载均衡算法(如带宽比例、链路健康状态等)进行智能选路。 支持丰富高可靠性的VPN特性,如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等; 可作为代理检测并防御隐藏在SSL加密流量中的威胁,包括入侵防御、防病毒、内容过滤、URL过滤等应用层防护。 支持DDoS攻击防护,防范SYN flood、UDP flood等10+种常见DDoS攻击。 支持多种用户认证方式,包括本地、RADIUS、Hwtacacs、SecureID、AD、CA、LDAP、EndPoint Security等。 支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。 预置常用防护场景模板,快速部署安全策略,降低学习成本。 自动评估安全策略存在的风险,智能给出优化建议。 支持策略冲突和冗余检测,发现冗余的和长期未使用策略,有效控制策略规模。
HUAWEI SecoSpace USG6000系列下一代防火墙 规格清单
基于云的 URL 分类过滤,支持 8500 万 URL 库,130+分类 Web 安全 提供专业的安全 URL 分类,包括钓鱼网站库分类和恶意 URL 库分类 基于 Web 的防攻击支持,如跨站脚本攻击、SQL 注入攻击 提供 URL 关键字过滤,和 URL 黑白名单 实时反垃圾邮件功能,在线检测,防范钓鱼邮件 邮件安全 本地黑、白名单,远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量 支持对邮件附件进行病毒检查和安全性提醒 数据安全 安全虚拟化 网络安全 基于内容感知数据防泄露,对邮件,HTTP,FTP,IM、SNS 等传输的文件和文本内容进行识别过滤。 20+文件还原和内容过滤,如 Word、Excel、PPT、PDF 等),60+文件类型过滤 全安全特性虚拟化,转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化(带宽、会话等) DDoS 攻击防护,防范多种类型 DDoS 攻击,如 SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood 和 ARP 欺骗等 丰富的 VPN 特性,IPSec VPN、SSL VPN、 L2TP VPN、MPLS VPN、GRE 等 语音识别与防护,支持 SIP、H248 协议 路由特性 部署及可靠性 智能管理 整机规格 产品形态 尺寸(W×D×H)mm 尺寸(W×D×H)in. 满配重量 HDD 冗余电源 桌面 300*220*44.5 11.8*8.7*1.75 1.7KG 外置适配器 1U 442*421*43.6 17.4*16.6*1.7 10KG 选配、300GB、单硬盘、热插拔 选配 22KG 22KG 3U 442*415*130.5 17.4*16.3*5.1 22KG 24KG 标配无硬盘,可支持双硬盘(RAID1),300GB、热插拔 标配 IPv4:静态路由、RIP、OSPF、BGP、IS-IS; IPv6:RIPng、OSPFv3、BGP4+、IPv6 IS-IS、IPv6RD、ACL6 透明、路由、混合部署模式,支持主/主、主/备 HA 特性 SmartPolicy:自动流量分析,自动生成策略模板,可直接供管理员采纳 全局配置视图和一体化策略管理,配置可在一个页面中完成 可视化多维度报表呈现,支持用户、应用、内容、时间、流量、威胁、URL 等多维度呈现报表
华为USG6300E系列新一代防火墙规格清单(渠道版)
温度:-40℃~70℃ /湿度:5%~95%
100~240V -
35W
100~240V -
35W
100~240V -
104.5W
温度:0℃~45℃ / 温度:0℃~45℃ / 湿 温度:0℃~45℃ / 湿
湿度:5%~95% 度:5%~95%
度:5%~95%
防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身,全局配置视图和一体化策略管理。
可基于用户的访问地址和内容进行审计、溯源。 出口场景下可根据多种负载均衡算法(如带宽比例、链路健康状态等)进行智能选路。
支持丰富高可靠性的VPN特性,如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。
SL加密流量中的威胁,包括入侵防御、防病毒、内容过滤、URL过滤等应用层防护。 本地、RADIUS、Hwtacacs、AD、CA、LDAP、单点登录、MAC认证、免认证等。 云管理平台自动注册,云管理平台对防火墙进行统一的管理及运维。 火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。 置常用防护场景模板,快速部署安全策略,降低学习成本。
35W
100~240V -
35W
温度:0℃~45℃ / 湿 温度:0℃~45℃ / 湿
度:5%~95%
度:5%~95%
温度:-40℃~70℃ /湿度:5
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、本地URL过滤等多种功 能于一身,全局配置视图和一体化策略管理。
集传统防火墙、VPN、入侵防御、防病毒、数
USG6307E-AC(桌面型) USG6311E-AC(桌面型)
华为USG 系列防火墙性能参数表
华为USG6000系列下一代防火墙详细性能参数表能,与Agile Controller配合可以实现微信认证。
应用安全●6000+应用协议识别、识别粒度细化到具体动作,自定义协议类型,可与阻断、限流、审计、统计等多种手段自由结合在线协议库升级。
注:USG6320可识别1600+应用。
●应用识别与病毒扫描结合,发现隐藏于应用中的病毒,木马和恶意软件,可检出超过500多万种病毒。
●应用识别与内容检测结合,发现应用中的文件类型和敏感信息,防范敏感信息泄露。
入侵防御●基于特征检测,支持超过3500漏洞特征的攻击检测和防御。
●基于协议检测,支持协议自识别,基于协议异常检测。
●支持自定义IPS签名。
APT防御与沙箱联动,对恶意文件进行检测和阻断。
Web安全●基于云的URL分类过滤,支持8500万URL库,80+分类。
●提供专业的安全URL分类,包括钓鱼网站库分类和恶意URL库分类。
●基于Web的防攻击支持,如跨站脚本攻击、SQL注入攻击。
●提供URL关键字过滤,和URL黑白名单。
邮件安全●实时反垃圾邮件功能,在线检测,防范钓鱼邮件。
●本地黑、白名单,远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量。
●支持对邮件附件进行病毒检查和安全性提醒。
数据安全●基于内容感知数据防泄露,对邮件,HTTP,FTP,IM、SNS等传输的文件和文本内容进行识别过滤。
●20+文件还原和内容过滤,如Word、Excel、PPT、PDF等),60+文件类型过滤。
安全虚拟化安全全特性虚拟化,转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化(带宽、会话等)。
网络安全●DDoS攻击防护,防范多种类型DDoS攻击,如SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP欺骗等。
●丰富的VPN特性,IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。
华为USG6000系列下一代防火墙销售一指禅
最高的性能体验:万兆全威胁保护, 7层防护下体验4层防护性能
全威胁防御 性能
URL识别数
应用识别
最大可扩展 接口数量
13Gb
2倍
2倍于业界威胁防御性能
6Gb
8500万
2倍
4000万
4倍于业界URL 识别数量
6000+
3倍
2000+
3倍于业界DPI协议识别能力
3 64*GE+14*10GE
客户价值:
•入侵防御: 基于流的特征检测,3000+入侵防御特征库,接近0误报; •防病毒:应用识别与病毒扫描结合,可检出超过500多万种病毒。 • 防止数据泄露:对邮件,HTTP,FTP,IM、SNS等传输的文件和文本内容进 行识别过滤。 60+文件类型识别,20+文件内容还原及过滤。 • 恶意URL过滤:8500万+ URL分类库,URL过滤屏蔽 •DDoS攻击防护:防范多种类型DDoS攻击; •安全性能:万兆级全威胁防护性能,最大性能40Gbps; • 应用QoS优化:识别6000+应用,基于应用的带宽限制、最小带宽保障、策 略路由; • 未知威胁检测:基于云的沙箱检测技术,每日更新特征库 • 智能管理:自动生成最严格的安全策略,轻松调优。
葡萄牙教育部 克拉玛依市教育局 新疆维吾尔自治区教
育厅 四川师范大学 浙江省建德市教育局 ……
8
俄罗斯Public Healthcare 阿联酋Seha,MOH 新疆自治区卫生厅 新疆卫生应急系统 山西省心血管疾病医院 ……
多特蒙德体育场 京东商城 国美电器 深圳广电 广东电网 舞阳钢铁 淮南矿业 ……
华为USG6320下一代防火墙产品功能及应用性能验证测试报告
第 3 页 共 67 页
注:评测报告内容以“网界网”评测频道发布为准 /test
1.2 测试内容概述
本次测试在《网络世界》评测实验室采用 IXIA 公司应用性能测试仪表 IXIA BPS 对华为 USG6320 下一代防火墙产品的安全防护功能和性能进行验证, 我们 对其网络层及应用层的处理性能、安全策略可视化、网络及应用安全防功能进行 了测试。
2.2.1 测试环境软硬件配置 性能特性测试环境软硬件配置表
设备或软件名称 被测设备 测试仪表 控制台 描述 华为 USG6320下一代防火墙产品 IXIA BPS Dell OPTIPLEX 980 1 1 1 数量
2.2.2 测试拓扑:
防火墙网络及应用性能测试拓扑
第 6 页 共 67 页
注:评测报告内容以“网界网”评测频道发布为准 /test
第 4 页 共 67 页
注:评测报告内容以“网界网”评测频道发布为准 /test
2 功能及应用性能验证项目
2.1 项目简述
根据防火墙产品的应用特性及 GB/T18336-2001、GB/T20281-2006、RFC 2544 、 RFC 3511 等相关国内国际标准,特选择以下几种测试内容,对华为 USG6320 下一代防火墙产品的网络性能及功能进行了测试。 基本性能测试: 吞吐量 时延 IPSec 吞吐量 并发连接 新建连接
北京市海淀区上地信息路 3 号 华为大厦 Leonardo.chen@ 010-82882751
遵循标准
《网络世界》评测实验室产品功能及应用性能验证 测试标准 相关国内、国际功能及性能评测标准 《网络世界》评测实验室 《网络世界》评测实验室 华为 USG6320 下一代防火墙产品 2013/11 样品检测日 期 IXIA BPS 董培欣 日 期 2013.12 2013/11/18 至 2013/11/20
华为安全产品讲解
•网络防护+攻击预警+主机保护 +漏洞管理
应用安全防护
•WEB防攻击 •Email全面保护
下一代入侵防御系统NIP6300系列
应用场景:
园区网互联网出口 园区网业务区域入侵防御、检测 服务器前端安全防护
NIP6320
NIP6320
标配接口: GE+2Combo 1U 机架式 扩展槽:2WSIC 选配冗余电源 赠送1年知识库升级
USG6306, 800Mbps,1U,4GE+2Combo USG6308, 600Mbps,1U,4GE+2Combo
WSIC-2SFP+&8GE
扩展模块
WSIC-8GE
USG6320, 2Gbps,Desktop,8GE,
WSIC-8SFP
WSIC-4GE-BYPASS SAS-300GB
USG6306/USG6308明星产品推荐
路由特性
IPv4:静态路由、RIP、 OSPF、BGP、IS-IS; IPv6:RIPng、OSPFv3、 BGP4+、IPv6 IS-IS、IPv6RD、 ACL6
NIP6000&NIP6000D入侵防御系统
NIP6300/NIP6600/NIP6800系列共计13款设备 覆盖500M-60G IPS性能 接口最少8GE,最大扩展支持18*10GE
华为ASG产品全景图
SOHO&小分支
中小型企业
大型企业
低端百兆级 ASG2050/2100
标准百兆级 ASG2150/2200
低端千兆级 ASG2600
即将退市
标准千兆级 ASG2800
New ASG 新品即将上市
华为USG6600系列下一代防火墙规格清单(渠道版)
500
USG6670 20000~25000
35Gbit/s 10,000,000
400,000 18Gbit/s 15,000
5,000 40,000
500
USG6680 25000~30000
40Gbit/s 12,000,000
400,000 18Gbit/s 15,000
15,000 2,000 40,000 200
USG6650 10000~15000
20Gbit/s 8,000,000 300,000 15Gbit/s
15,000 5,000 40,000 500
USG6660 15000~20000
25Gbit/s 10,000,000
350,000 18Gbit/s 15,000
Model 参考用户数* 防火墙吞吐量 FW最大并发 FW每秒新建数 IPSec吞吐量 IPSec最大连接数 SSL VPN并发用户数 最大安全策略 虚拟防火墙 主要功能 入侵防御(IPS) 防病毒(AV) 数据防泄漏(DLP) 上网行为管理&审计 基于应用的QoS优化 负载均衡 智能策略管理 Anti-DDoS I/O 固定接口 可扩展槽位
盘)
盘)
湿度:10%~90%
湿度:10%~90%
温度:-40℃~70℃ /湿度:5%~95%
温度:-40℃~70℃ /湿度:5%~95%
温度:0~45℃ (不含硬盘)/5℃~40℃ (包含硬 盘) 湿度:10%~90%
温度:-40℃~70℃ /湿度:5%~95%
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身,全局配置视图和一 体化策略管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
HUAWEI CONFIDENTIAL HUAWEI PARTNER USE ONLY—DO NOT DISTRIBUTE Part 1:Competitive Overview 竞争总览 Landscape Overview 市场概览 下一代防火墙(NGFW)是当前安全市场的热点。除拥有传统防火墙的所有功能外,NGFW 能够 基于应用进行访问控制,结合 IPS 进行一体化防御,并集成了更多的安全功能。NGFW 与 UTM(统一 安全管理)同为多功能安全网关设备,最显著的区别在于性能。通常, UTM 开启 IPS (入侵防御功能) 后性能下降到原有的 20%~30%,再开启 AV(防病毒)功能后性能下降到仅剩 10%。而下一代防火墙 在同时开启 IPS 和 AV 功能后,性能下降不超过 50%。 由于具备更多的功能和更强的性能,NGFW 成为企业购买前安全网关的首选。根据全球知名咨询 机构《2014 年 Gartner 企业防火墙魔力象限》报告,当前全球仅有 20%的企业在使用下一代防火墙, 到 2014 年底,这个比例会增加到 35%。2014 年企业购买的边界安全网关,有 70%都将是 NGFW。下 一代防火墙的市场即将步入爆发期。
Competitor 竞争对手 Key Feature 关键特性 Performance 性能 Price 价格 Scalability 扩展性 Security 安全性 Management 可管理性 竞争对手解读 Cisco:只有营销意义上的下一代防火墙产品,产品能力上依然是传统防火墙。随着国家对 安全国产化的重视,原有市场份额被逐渐蚕食。产品价格高。 Fortinet:产品能力与华为基本持平,但缺少国内的相关认证,价格高。 高 低 高 高 高 中 低 中 中 中 中 中 中 低 高 中 高 低 中 低 高 高 高 高 高 华为 天融信 深信服 Cisco Fortinet
Third Party Valir
华为是最早进入 Gartner 企业防火墙魔术象限和 UTM 魔术象限的中国厂商。天融信和深信服均 未进入这两个象限。同时华为也是 Gartner 给出 SWOT 竞争力分析的唯一中国安全厂商。
IDC
在 2013 度 IDC 中国 IT 安全硬件市场分析报告中,华为防火墙+UTM 的市场份额达到 14.28%,排 名第一。
Part2:Main Competitor Detailed Analysis 主要友商详细分析 天融信 VS 华为 Executive Summary 友商概览 天融信是国内最早的传统防火墙厂商,产品系列主要聚焦在防火墙上。在政府及相关组织 的市场有较多部署。 以直销为主要商业模式, 常用低价冲击项目, 在商业市场影响力有限。 Competitive Overview and Positioning 竞争综述和定位 天融信在中国防火墙市场有较大份额,UTM+防火墙的市场份额为 13.95%,仅次于华为。在 国内客户尤其政府客户有较好的知名度。 Huawei Differentiators 华为差异化优势 天融信仅能识别有限的应用,远少于 USG6000 的应用识别能力。 仅有少量型号支持万兆接口,扩展性不强。大部分型号仅支持单电源,可靠性较差。 天融信主机的固定接口数较少,与华为 PK 通常需要配置接口卡。此外,天融信的防病 毒知识库为外部引入,在配置此类 License 的情况下商务偏高。 深信服 VS 华为 Executive Summary 友商概览
深信服是国内上网行为管理的领先厂商,在应用识别上有一定积累,但在 IPS 和 AV 等安全能力 上能力有所欠缺。 Competitive Overview and Positioning 竞争综述和定位 天融信在中国防火墙市场有较大份额,UTM+防火墙的市场份额为 13.95%,仅次于华为。在 国内客户尤其政府客户有较好的知名度。 Huawei Differentiators 华为差异化优势 深信服产品固定接口数少,且扩展困难,仅有少量型号支持万兆接口,扩展性不强。
Technologies 技术概览 USG6000 下一代防火墙兼具传统防火墙的功能和 IPS、 AV 等应用层攻击防御的功能。 与其他厂商相比, 华为与全球的领导厂商如 Palo Alto,Checkpoint 在整体上保持相同水平,并在业务感知能力和易用性 上有一定优势。全面领先国内的其他安全厂商。 访问控制能力:访问控制是防火墙的最主要功能。USG6000 能识别业界最多的 6000+应用,可以 从应用、用户、时间、威胁、内容、位置六个维度进行访问控制。 安全能力: 3500+漏洞签名的入侵检测, 可检出超过 500 万病毒; 支持 30+文件还原和过滤,120+ 文件真实类型识别;支持 8500+万 URL 分类库。在《网络世界》组织的下一代防火墙比较测试中 检测率排名第一。国内其他厂商大多只能做非加密流量的安全防护,USG6000 支持 https 加密流 量的 IPS、AV、URL 过滤等功能。 功能全面性:除传统防火墙功能外,还支持入侵防御、反病毒、数据防泄漏、URL 过滤、带宽管 理、上网行为管理、Anti-DDoS,以及全面的 VPN 功能。全部安全功能(防火墙、IPS、AV、VPN) 均支持虚拟化,是业界功能最全的下一代防火墙之一。 可管理性:独家支持 Smart Policy 功能,根据场景快速创建策略,并智能优化、精简现有安全策 略。 性能:同等防火墙吞吐量情况下,无论新建、并发连接数,还是开启 IPS 和 AV 后的性能,均高 于国内其他厂商。 接口丰富:在相同吞吐量的情况下,固定接口数量和最大接口数量高于业界其他厂商的产品。
大部分型号仅支持单电源,可靠性较差。 深信服产品的安全能力较差,对防病毒功能和数据防泄漏功能支持有限。 深信服不支持 Anti-DDoS 和 DSVPN 等功能。 同档次设备,深信服的各项性能指标均弱于华为。
启明星辰 VS 华为 Executive Summary 友商概览
启明星辰是传统的国内安全厂商, 业务收入的约 40%来自于防火墙, 主要客户来自于政府和国有 企业。在 2011 年收购了网域星云。 Competitive Overview and Positioning 竞争综述和定位 启明星辰和网域星宇的市场份额加起来排在天融信之后,在政府和国有企业有良好的客户 关系,但很少出现在私有企业和商业机构的短名单中。 Huawei Differentiators 华为差异化优势 Cisco VS 华为 Executive Summary 友商概览 Cisco 是全球最大的 IP 网络设备供应商,全球安全硬件市场份额第一。 Competitive Overview and Positioning 竞争综述和定位 Cisco 安全设备主要依赖于网络配套,通过其合作伙伴和渠道进行整体解决方案的销售。 Cisco 当前仍以 ASA 系列下一代防火墙为主,产品技术竞争力不强。 Huawei Differentiators 华为差异化优势 Cisco 除 ASA5585-X 系列外均不支持万兆接口,接口扩展能力弱。AC 冗余电源和独立 风扇无法并存,可靠性设计差。 IPS、CX 等业务需要独立硬件支持,整机无法同时使用所有安全功能。 同档次设备,Cisco 各项性能指标均弱于华为。 防火墙与 CX 模块为独立网元,无法用同一个软件进行管理,管理复杂。 Cisco 价格非常高。 启明星辰的 NGFW 仅能识别有限的应用,远少于 USG6000 的应用识别能力。 仅有少量型号支持万兆接口,扩展性不强。大部分型号仅支持单电源,可靠性较差。 启明星辰的 NGFW 产品无论是传统防火墙的能力还是下一代防火墙新增的各项能力均 与华为有较大差距。