本节主要描述新的网络环境下出现的新的威胁形式和安全风险。

随着网络的发展，层出不穷的新应用虽然给人们的网络生活带来了更多的便利，但是同时也带来更多的安全风险：

• IP地址不等于使用者在新网络中，通过操纵僵尸主机借用合法IP地址发动网络攻击，或者伪造、仿冒源IP地址来进行网络欺骗和权限获取已经成为最简单的攻击手段。一个报文的源IP地址已经不能真正反映发送这个报文的网络使用者的身份。同时，由于远程办公、移动办公等新兴的办公形式的出现，同一使用者所使用的主机IP地址可能随时在发生变化，所以通过IP地址进行流量控制已经不能满足现代网络的需求。
• 端口和协议不等于应用传统网络业务总是运行在固定的端口之上。例如HTTP运行在80端口，FTP运行在20、21端口。然而在新网络中，越来越多的网络应用开始使用未经因特网地址分配组织（Internet Assigned Numbers Authority, IANA）明确分配的非知名端口，或者随机指定的端口（例如P2P协议）。这些应用因为难以受到控制，滥用带宽，往往造成网络的拥塞。同时，一些知名端口也被用于运行截然不同的业务。最为典型是随着网页技术的发展，越来越多不同风险级别的业务借用HTTP和HTTPS协议运行在80和443端口之上，例如WebMail、网页游戏、视频网站、网页聊天等等。
• 报文不等于内容单包检测机制只能对单个报文的安全性进行分析。这样无法防范在一次正常网络访问的过程中发生的病毒、木马等网络威胁。现在内网主机在访问Internet的过程中，很有可能无意中从外网引入蠕虫、木马及其他病毒，造成企业机密数据泄露，对企业经营造成巨大损失。所以企业的网络安全管理，有必要在控制流量的源和目的的基础上，再对流量传输的真实内容进行深入的识别和监控。

本节介绍USG6000如何应对新型的网络威胁。

为了解决新网络带来的新威胁，下一代防火墙产品应运而生。通常要求下一代防火墙产品具有以下特征：

• 使用签名和特征，而不是端口号和协议来对应用进行定义，以识别报文的真实属性和所携带的不安全因素。
• 集成SA（Service Awareness，业务感知）功能，并且使用专业的硬件系统来检测报文的真实应用和内容。
• 集成IPS功能，性能更高，威胁的识别和阻断结合得更加紧密。
• 丰富而完善的可视化管理、审计、报表功能，使得网络管理员可以掌握全面真实的网络状况，以帮助管理员更好地做出防护措施。

华为公司推出的下一代防火墙USG6000系列产品不仅完全满足上述特征，而且还具有以下明显优势：

• 安全特性在完全继承和发展传统安全功能的基础上，提供完整丰富的应用识别和应用层威胁、攻击的防护能力。
• 性能基于同一个智能感知引擎对报文内容进行集成化处理，一次检测提取的数据满足所有内容安全特性的处理需求，检测性能高。
• 控制维度用户+应用+内容+五元组（源/目的IP地址、源/目的端口、服务）。
• 检测粒度基于流的完整检测和实时监控，支持免缓存技术，仅用少量系统资源就可以实时检测分片报文和分组报文中的应用、入侵行为和病毒文件。可以有效提升整个网络访问过程中的安全性。
• 对云计算和数据中心的支持从路由转发、配置管理、安全业务三方面进行全面的虚拟化，为云计算和数据中心提供完善的安全防护能力。

通过部署USG6000，可以为企业运营带来如下显著收益：

• 良好地继承企业原有的员工管理体系（例如活动目录AD用户），基于用户进行流量的检测与管控。
• 通过高度集成、高性能的单台设备，解决最新的网络威胁，极大地节约了网络安全设备的购置、维护与管理成本。
• 高效的“一次检测”机制，在提高企业网络安全等级的同时，又不会对网络流量的正常传输带来明显的延迟或其他影响，保证了用户对网络的正常体验。
• 对应用、内容的可视化管理，可以显著提高企业的管理效率，帮助企业安全地开展更多的网络业务，为企业带来更多收益。

本节主要描述USG6000所提供的强大功能与卓越设计。