华为 USG6000V技术主打胶片 201607

华为USG6000V虚拟综合业务网关随着云计算技术的广泛应用，IT与CT技术出现了快速融合的局面；公有云/私有云的部署，客户对业务快速上线，业务按需迁移，定制化防护等需求激增，传统的专有硬件业务网关慢慢无法适应云网络新架构的部署要求。

华为USG6000V(Universal Service Gateway)是基于NFV架构的虚拟综合业务网关，虚拟资源利用率高，资源虚拟化技术支持大量多租户共同使用，产品具备丰富的网关业务能力，如vFW，vIPSec，vLB，vIPS，vAV，vURL过滤等，可根据对虚拟网关的业务需求，按需使用，灵活部署。

USG6000V系列虚拟综合业务网关兼容多种主流虚拟化平台，提供标准的API接口，可以与华为FusionSphere云平台、Agile Controller控制器以及开源的Openstack平台共同构成开放的SDN数据中心解决方案。

USG6000V可以与传统硬件设备统一被Agile Controller控制器进行管理，构建统一的智能化云安全平台，实现业务灵活定制，资源弹性扩缩，网络可视化管理，满足企业业务快速上线、变化频繁，运维简单、高效等诉求。

产品特性与优势一机多能，精准管控具备丰富的特性功能，能够为数据中心提供虚拟层防护，也可为租户灵活提供安全增值业务。

• 一机多能：集传统防火墙、VPN、入侵防御、防病毒等功能于一身，简化部署，提高管理效率。

• 入侵防护（IPS）：超过5000种漏洞特征的攻击检测和防御。

支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等。

• 防病毒（AV）：高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新。

• 上网行为管理：采用基于云的URL分类过滤，预定义的URL分类库已超过1.2亿，阻止员工访问恶意网站带来的威胁，满足合规要求。

并可对员工的发帖、FTP等上网行为进行控制。

可对上网记录进行审计。

• Anti-DDoS：可以识别和防范SYN flood、UDP flood等10+种DDoS攻击，识别500多万种病毒。

华为USG6000系列防⽕墙产品技术⽩⽪书（总体）华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。

保留⼀切权利。

⾮经本公司书⾯许可，任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本⽂档提及的其他所有商标或注册商标，由各⾃的所有⼈拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。

除⾮合同另有约定，华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。

由于产品版本升级或其他原因，本⽂档内容会不定期进⾏更新。

除⾮另有约定，本⽂档仅作为使⽤指导，本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。

华为技术有限公司地址：深圳市龙岗区坂⽥华为总部办公楼邮编：518129⽹址：/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱：ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话：4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词：NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要：本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等，并提供了防⽕墙选择过程的⼀些需要关注的技术问题。

华为技术有限公司华为USG6000V 虚拟综合业务网关产品概述随着云计算技术的广泛应用，IT 与CT 技术出现了快速融合的局面；公有云/私有云的部署，客户对业务快速上线，业务按需迁移，定制化防护等需求激增，传统的专有硬件业务网关往往无法适应云网络新架构的部署要求。

USG6000V 系列虚拟综合业务网关具备丰富的网关业务能力，如vFW ，vIPSec ，vLB ，vIPS ，vAV ，vURL 过滤等。

全部安全功能实现虚拟化，支持多租户共享虚拟资源，可根据租户需求灵活部署，满足安全合规要求。

产品特点一机多能，精准管控•一机多能，集传统防火墙、VPN 、路由、负载均衡、入侵防御、防病毒、URL 过滤等功能于一身，简化管理，提升资源利用率。

•通过应用、内容、时间、用户、威胁和位置六个维度的组合，感知日益增多的应用层威胁，实现精准防护。

•精细化带宽管理，可基于应用、网站分类，确保关键业务带宽并确保优先转发，提升用户体验。

按需弹性，业务部署灵活•租户按需订购业务，资源动态加载、回收，资源分配灵活、弹性。

•租户业务配置自助，自动化开通，减少90%手工配置工作量，实现业务分钟级上线。

•L2～L7层安全业务全部虚拟化，灵活编排，快速满足不同租户、不同场景下的需求。

•支持虚拟资源一虚多（vSYS ），租户资源基于vSYS 精细化分配，降低建网成本。

统一管理，运维可视化•物理/虚拟资源统一管理，安全策略统一配置，自动下发；自动感知业务变化，动态迁移。

•提供全网虚拟资源到物理资源的拓扑互视，实现网络故障的快速定位。

•提供基于租户的网络虚拟化管理视图，实现租户的网络拓扑、配额、流量、告警可视，满足合规要求。

建立生态，广泛被集成•兼容主流虚拟机平台VMware 、Linux KVM 、XEN 、Hyper-V 、华为FusionSphere ，支持裸金属主机安装。

•支持NETCONF 、RESTCONF 北向API 接口，通过SDN 控制器编程实现新业务快速上线。

华为USG6000V虚拟综合业务网关随着云计算技术的广泛应用，IT与CT技术出现了快速融合的局面；公有云/私有云的部署，客户对业务快速上线，业务按需迁移，定制化防护等需求激增，传统的专有硬件业务网关慢慢无法适应云网络新架构的部署要求。

华为USG6000V(Universal Service Gateway)是基于NFV架构的虚拟综合业务网关，虚拟资源利用率高，资源虚拟化技术支持大量多租户共同使用，产品具备丰富的网关业务能力，如vFW，vIPSec，vLB，vIPS，vAV，vURL过滤等，可根据对虚拟网关的业务需求，按需使用，灵活部署。

USG6000V系列虚拟综合业务网关兼容多种主流虚拟化平台，提供标准的API接口，可以与华为FusionSphere云平台、Agile Controller控制器以及开源的Openstack平台共同构成开放的SDN数据中心解决方案。

USG6000V可以与传统硬件设备统一被Agile Controller控制器进行管理，构建统一的智能化云安全平台，实现业务灵活定制，资源弹性扩缩，网络可视化管理，满足企业业务快速上线、变化频繁，运维简单、高效等诉求。

产品特性与优势管具备丰富的特性功能，能够为数据中心提供虚拟层防护，也可为租户灵活提供安全增值业务。

• 一机多能：集传统防火墙、VPN、入侵防御、防病毒等功能于一身，简化部署，提高管理效率。

• 入侵防护（IPS）：超过5000种漏洞特征的攻击检测和防御。

支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等。

• 防病毒（AV）：高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新。

• 上网行为管理：采用基于云的URL分类过滤，预定义的URL分类库已超过1.2亿，阻止员工访问恶意网站带来的威胁，满足合规要求。

并可对员工的发帖、FTP等上网行为进行控制。

可对上网记录进行审计。

• Anti-DDoS：可以识别和防范SYN flood、UDP flood等10+种DDoS攻击，识别500多万种病毒。

HUAWEI USG6000V系列NFV防火墙技术白皮书之服务器负载均衡技术白皮书目录1背景和概述 (2)2全局服务器负载均衡（GSLB） (3)3本地服务器负载均衡（LSLB） (4)3.1使用目的MAC地址转换的服务器负载均衡（DR） (4)3.2使用网络地址转换实现的服务器负载均衡（L4 SLB） (5)3.3使用轻量代理和网络地址转换的服务器负载均衡（L4 lwProxy SLB） (7)3.4使用全量Socket 代理的服务器负载均衡（L7 Socket Proxy SLB） (9)3.4.1socket代理加业务会话关联保持 (9)3.4.2根据URL类型不同的分担，静态资源访问和动态计算访问分开多种服务器103.4.3SSL卸载 (10)3.4.4链路优化：压缩、协议优化、本地cache、多路复用 (11)3.5业务保持技术 (13)4华为USG系列防火墙支持的SLB功能列表 (14)1 背景和概述随着互联网的快速发展，用户访问量的快速增长，使得单一的服务器性能已经无法满足大量用户的访问，企业开始通过部署多台服务器来解决性能的问题，由此就产生了服务器负载均衡的相关技术方案。

在实际的服务器负载均衡应用中，由于需要均衡的业务种类以及实际服务器部署场景的不同（比如是否跨地域、跨ISP数据中心等），存在多种负载均衡的技术。

如下典型的组网方式如图所示：服务提供方为了支撑大批量的用户访问，以及跨不同地域、不同接入ISP的用户都能够获得高质量的业务访问体验，其已经在不同地域、不同ISP数据中心搭建了服务器，这样就带来一个需求，也就是客户的访问能够就近、优先选择同一个ISP数据中心的服务器，从而获得高质量的业务访问体验。

同时，基于单台服务器能够提供的业务访问并发是有限的，那么就自然想到使用多台服务器来形成一个“集群”，对外展现出一个业务访问服务器，以满足大量用户访问、而且可以根据业务访问量的上升可以动态的进行业务能力扩容的需要。

USG6000使用手册一、设备简介USG6000是一款功能强大的网络安全设备，适用于中小型企业及大型企业的分支机构。

它集成了防火墙、入侵检测与防御、内容过滤等多种功能，为用户提供全面的网络安全保障。

二、设备安装1.硬件连接：将USG6000设备接入网络，确保电源线连接稳定。

2.固件升级：根据设备提示，下载最新版本的固件并按照指导进行升级。

3.网络配置：配置USG6000设备的IP地址、子网掩码、默认网关等网络参数。

三、登录与系统配置1.通过浏览器输入设备的IP地址，进入登录界面。

2.选择相应的用户角色（如管理员、操作员等），输入用户名和密码进行登录。

3.在系统主界面，选择“系统配置”选项，开始进行设备配置。

四、功能应用1.防火墙配置：设置允许或拒绝特定IP地址、端口等数据包的规则。

2.入侵检测与防御：启用IDS/IPS功能，实时监控网络流量，发现并阻止恶意攻击。

3.内容过滤：根据用户需求，设置关键词过滤，屏蔽不良内容。

五、用户权限管理1.添加新用户：在管理界面创建新用户，分配相应的角色和权限。

2.权限设置：为不同用户角色设置不同的访问权限，确保设备的安全性。

六、设备维护与故障排除1.日志查看：检查设备的运行日志，了解设备的运行状态和潜在问题。

2.故障排除：根据故障现象，参考故障排除指南进行故障定位和修复。

3.软件更新：定期检查软件更新，下载并安装最新的补丁和升级包。

七、高级功能与操作1.多区域部署：支持在多个区域部署USG6000设备，实现更精细化的网络安全控制。

2.路由配置：配置路由表，实现数据包的转发和路由选择。

3.VPN配置：设置VPN服务器，实现远程用户的安全接入。

八、参考与支持1.用户手册：可访问USG6000官方网站下载用户手册，获取更详细的操作指南和技术文档。

2.在线支持：如有任何技术问题或疑问，可联系制造商的客户支持部门或访问其官方论坛获取帮助。

3.培训课程：参加制造商提供的培训课程，了解USG6000的高级功能和最佳实践应用。

华为下一代防火墙USG6000的奇迹
佚名
【期刊名称】《网络运维与管理》
【年(卷),期】2014(000)019
【摘要】当今，网络信息安全问题一直困扰着企业的网管，安全策略的制定和调整，光靠某个人或某几个人已经很难做到完善。

华为公司针对当下企业网络遇到的各种困境，研发了华为下一代防火墙USG6000系列。

Gartner在2009年提出了下一代防火墙（NGFW）的慨念，五年中网络环境、IT环境的变化非常多，NGFW面临新的挑战，华为NGFW针对其做了相应的改进，做到了后来居上。

【总页数】1页(P52-52)
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.华为：首款数据中心交换机下一代防火墙插卡 [J], ;
2.华为CDMA手机成功开辟C网超长待机市场——华为耐用王的商业奇迹 [J],
3.梭子鱼Web 应用防火墙和下一代防火墙 [J],
4.下一代防火墙揭幕——我国基于网络处理器防火墙产品的研究与开发 [J], 罗光宣;丁宇征
5.深度解析华为为下一代防火墙 [J], 杨明;
因版权原因，仅展示原文概要，查看原文内容请购买。

华为USG6000V虚拟综合业务网关随着云计算技术的广泛应用，IT与CT技术出现了快速融合的局面；公有云/私有云的部署，客户对业务快速上线，业务按需迁移，定制化防护等需求激增，传统的专有硬件业务网关慢慢无法适应云网络新架构的部署要求。

华为USG6000V(Universal Service Gateway)是基于NFV架构的软件化的虚拟综合业务网关，虚拟资源利用率高，资源虚拟化技术支持大量多租户共同使用，产品具备丰富的网关业务能力，如：vRouter，VPN，vFW，vLB，vIPS，vAV等，可根据对虚拟网关的业务需求，按需使用，灵活部署。

华为USG6000V系列虚拟综合业务网关面向云数据中心场景，通过产品的丰富特性为租户提供一站式的网关服务，产品的高效率与多租户的特性结合，简化了为大量租户提供网关的部署工作，同时降低了部署成本，兼容多种主流虚拟化平台，丰富的API接口，满足云数据中心业务快速部署及按需使用等业务诉求。

产品特性与优势丰富的网关特性云数据中心中租户的业务越来越丰富，这对租户的虚拟网关提出了更高要求。

USG6000V具备丰富的特性功能：• 一机多能：集传统防火墙、VPN、入侵防御、防病毒等功能于一身，简化部署，提高管理效率。

• 入侵防护（IPS）：超过5000种漏洞特征的攻击检测和防御。

支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等；• 防病毒（AV）：高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新；• Anti-DDoS：可以识别和防范SYN flood、UDP flood等10+种DDoS攻击，识别500多万种病毒。

• 安全互联：丰富的VPN特性，确保企业总部和分支间高可靠安全互联。

支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等；• QoS管理：基于应用灵活的管理流量带宽的上限和下限，可基于应用进行策略路由和QoS标签着色。

支持对URL分类的QoS标签着色，例如：优先转发对财经类网站的访问。

华为USG6000V虚拟综合业务网关1随着云计算技术的发展与应用，传统数据中心向云数据中心转变，业务快速上线，业务按需迁移，定制化防护等客户需求激增，同时虚拟机攻击Hypervisor 、虚拟机之间的攻击和嗅探、虚拟化网络可用性损失等新的虚拟网络安全问题出现，传统的业务网关无法适应云网络的部署。

华为USG6000V 系列虚拟综合业务网关面向云数据中心及NFV 场景，提供全面软件化部署的虚拟网络安全防护。

通过软件定义安全来实现安全能力的快速部署。

丰富的下一代防火墙特性，为客户虚拟网络中提供了丰富的安全业务运营及防护。

精准的访问控制USG6000V 在控制的维度和精细程度上都有很大的提高： •一体化防护：从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。

内容层的防御与应用识别深度结合，一体化处理。

例如：识别出Oracle 的流量，进而针对性地进行对应的入侵防御，效率更高，误报更少。

•基于应用：运用多种技术手段，准确识别包括移动应用及Web 应用内的6000+应用协议及应用的不同功能，继而进行访问控制和业务加速。

例如：区分微信的语音和文字后采取不同的控制策略。

•基于用户：通过Radius 、LDAP 、AD 等8种用户识别手段集成已有用户认证系统简化管理。

基于用户进行访问控制、QoS 管理和深度防护。

•基于位置：与全球位置信息结合，识别流量发起的位置信息；掌控应用和攻击发起的位置，第一时间发现网络异常情况。

根据位置信息可以实现对不同区域访问流量的差异化控制。

支持根据IP 自定义位置。

全面特性支持云数据中心中租户的业务越来越丰富，这对租户的虚拟网关提出了更高要求。

USG6000V 具备丰富的特性功能： •一机多能：集传统防火墙、VPN 、入侵防御、防病毒等功能于一身，简化部署，提高管理效率。

•入侵防护（IPS ）：超过5000种漏洞特征的攻击检测和防御。

支持Web 攻击识别和防护，如跨站脚本攻击、SQL 注入攻击等；•防病毒（AV ）：高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新； •Anti-DDoS ：可以识别和防范SYN flood 、UDP flood 等10+种DDoS 攻击，识别500多万种病毒。