华为USG6600下一代防火墙优势及产品定位特点

华为(HUAWEI)USG6680下一代防火墙 硬件千兆防火墙4×10GE+16GE+8SFP

1  产品定位与特点

通过阅读本部分内容,您可以了解NGFW的定位和特点。

1.1  新网络带来的新威胁

本节主要描述新的网络环境下出现的新的威胁形式和安全风险。

随着网络的发展,层出不穷的新应用虽然给人们的网络生活带来了更多的便利,但是同时也带来更多的安全风险:

  • IP地址不等于使用者在新网络中,通过操纵僵尸主机借用合法IP地址发动网络攻击,或者伪造、仿冒源IP地址来进行网络欺骗和权限获取已经成为最简单的攻击手段。一个报文的源IP地址已经不能真正反映发送这个报文的网络使用者的身份。同时,由于远程办公、移动办公等新兴的办公形式的出现,同一使用者所使用的主机IP地址可能随时在发生变化,所以通过IP地址进行流量控制已经不能满足现代网络的需求。
  • 端口和协议不等于应用传统网络业务总是运行在固定的端口之上。例如HTTP运行在80端口,FTP运行在20、21端口。然而在新网络中,越来越多的网络应用开始使用未经因特网地址分配组织(Internet Assigned Numbers Authority, IANA)明确分配的非知名端口,或者随机指定的端口(例如P2P协议)。这些应用因为难以受到控制,滥用带宽,往往造成网络的拥塞。同时,一些知名端口也被用于运行截然不同的业务。最为典型是随着网页技术的发展,越来越多不同风险级别的业务借用HTTP和HTTPS协议运行在80和443端口之上,例如WebMail、网页游戏、视频网站、网页聊天等等。
  • 报文不等于内容单包检测机制只能对单个报文的安全性进行分析。这样无法防范在一次正常网络访问的过程中发生的病毒、木马等网络威胁。现在内网主机在访问Internet的过程中,很有可能无意中从外网引入蠕虫、木马及其他病毒,造成企业机密数据泄露,对企业经营造成巨大损失。所以企业的网络安全管理,有必要在控制流量的源和目的的基础上,再对流量传输的真实内容进行深入的识别和监控。

1.2  USG6000优势

本节介绍USG6000如何应对新型的网络威胁。

为了解决新网络带来的新威胁,下一代防火墙产品应运而生。通常要求下一代防火墙产品具有以下特征:

  • 使用签名和特征,而不是端口号和协议来对应用进行定义,以识别报文的真实属性和所携带的不安全因素。
  • 集成SA(Service Awareness,业务感知)功能,并且使用专业的硬件系统来检测报文的真实应用和内容。
  • 集成IPS功能,性能更高,威胁的识别和阻断结合得更加紧密。
  • 丰富而完善的可视化管理、审计、报表功能,使得网络管理员可以掌握全面真实的网络状况,以帮助管理员更好地做出防护措施。

华为公司推出的下一代防火墙USG6000系列产品不仅完全满足上述特征,而且还具有以下明显优势:

  • 安全特性在完全继承和发展传统安全功能的基础上,提供完整丰富的应用识别和应用层威胁、攻击的防护能力。
  • 性能基于同一个智能感知引擎对报文内容进行集成化处理,一次检测提取的数据满足所有内容安全特性的处理需求,检测性能高。
  • 控制维度用户+应用+内容+五元组(源/目的IP地址、源/目的端口、服务)。
  • 检测粒度基于流的完整检测和实时监控,支持免缓存技术,仅用少量系统资源就可以实时检测分片报文和分组报文中的应用、入侵行为和病毒文件。可以有效提升整个网络访问过程中的安全性。
  • 云计算和数据中心的支持从路由转发、配置管理、安全业务三方面进行全面的虚拟化,为云计算和数据中心提供完善的安全防护能力。

通过部署USG6000,可以为企业运营带来如下显著收益:

  • 良好地继承企业原有的员工管理体系(例如活动目录AD用户),基于用户进行流量的检测与管控。
  • 通过高度集成、高性能的单台设备,解决最新的网络威胁,极大地节约了网络安全设备的购置、维护与管理成本。
  • 高效的“一次检测”机制,在提高企业网络安全等级的同时,又不会对网络流量的正常传输带来明显的延迟或其他影响,保证了用户对网络的正常体验。
  • 对应用、内容的可视化管理,可以显著提高企业的管理效率,帮助企业安全地开展更多的网络业务,为企业带来更多收益。

1.3  USG6000产品特点

本节主要描述USG6000所提供的强大功能与卓越设计。

稳定高效的万兆多核全新硬件平台

  • USG6000采用了全新设计的万兆多核硬件平台,性能优异。
  • 提供多个高密度扩展接口卡槽位,支持丰富接口卡类型,实现海量业务处理。
  • 关键部件冗余配置,成熟的链路转换机制,支持内置电Bypass插卡,为用户提供超长时间无故障的硬件保障,打造永久的办公环境。

专业内容安全防御技术

  • 一体化检测机制。USG6000使用先进的一体化检测机制保证高效的业务感知。通过预先搭载的特征库和强大的智能感知引擎,USG6000可以识别出常见应用程序,并且支持识别多通道应用程序。
  • SSL解密功能。NGFW可以解密SSL流量,并对解密后的流量做内容安全检测。
  • 反病毒功能。USG6000利用专业的智能感知引擎和不断更新的病毒特征库实现对病毒文件的检测和处理。
  • 入侵防御功能。支持对数千种常见的入侵行为、蠕虫、木马、僵尸网络进行检测和防护。
  • URL过滤功能。支持根据HTTP和HTTPS协议中的URL地址对连接进行阻断。支持本地添加URL和URL分类、或者向远程URL查询服务器实时查询最新的URL所属分类。
  • 内容过滤功能。支持根据文件内容或协议内容中出现的关键字,对常见的文件传输协议和邮件协议进行过滤。
  • 文件过滤功能。支持根据文件类型,对常见的文件传输协议和邮件协议传输的文件进行的过滤。
  • 应用行为控制。支持根据应用进行连接控制,以禁止部分应用的使用。支持对常见的HTTP和FTP应用行为进行控制,例如通过HTTP/FTP进行文件上传下载、HTTP的POST、浏览网页等操作以及HTTP代理行为。
  • 邮件过滤功能。支持与RBL(Real-time Blacklist)服务器联动阻断垃圾邮件。支持根据邮件的收/发件人地址、标题、正文、附件文件名/内容/大小等信息对邮件进行过滤。

安全、路由、VPN多业务集成

  • 强大的内容安全防护能力。USG6000可以对应用传输的内容进行分析,检测出其中携带的入侵行为、病毒、文件、URL地址、机密信息等。管理员通过制定集成多种安全业务的安全策略,可以基于流量进行一体化配置,管理效率可得到显著提升。
  • 完善的传统防火墙安全功能。USG6000完整继承了传统防火墙所拥有的网络层安全功能,可以轻松应对网络层发生的攻击或威胁。
  • 全面的路由交换协议支持。USG6000可以适用于多种网络环境,替代原有的路由器防火墙产品,或者透明植入原有的网络当中。
  • 多样的VPN接入方式。USG6000可以通过IPSec、L2TP、GRE、SSL VPN、DSVPN等多种VPN接入方式,在Internet上安全连接企业总部、分支结构、合作伙伴、出差员工,为企业提供低成本的虚拟局域网解决方案
  • 各种业务紧密集成,相互协作,为企业构建端到端的安全网络环境。

基于应用和用户的精细化管理

  • 支持在本地进行用户的创建管理和组织结构维护。支持对通过VPN、PPPoE拨号等方式接入的用户进行集中管理。
  • 支持与AD、RADIUS、HWTACACS、LDAP、SecurID、TSM等常见用户服务器进行联动,进行用户信息的导入和代理认证。
  • 支持对用户推送Web界面进行认证,或者与AD服务器联动实时同步在线用户信息。
  • 支持单点登录,不提高安全风险的前提下,简化管理员配置和用户登录方法。
  • 支持对认证后的用户部署安全策略,实现基于用户和应用流量管理。

可视化管理与丰富的日志报表

  • 全新设计的Web界面可以帮助网络管理员方便快捷地对设备进行配置、管理、维护、调试与故障诊断。
  • 支持Web、CLI(Console、Telnet、SSH)、网管(SNMP)等多种管理方式。
  • 支持流量日志、威胁日志、URL日志、内容日志、邮件过滤日志、操作日志、系统日志、用户活动日志、策略命中日志等多种日志类型供管理员查看,帮助管理员掌握网络事件。
  • 支持流量报表、威胁报表、应用报表、URL报表、用户报表等多种报表格式供管理员查看,帮助管理员统计分析网络流量状况以及展示安全防护效果。

电信级的可靠性保证方案

  • 通过华为在电信设备领域的多年经验,USG6000提供了多种电信级的可靠性保证技术,从硬件、软件、链路三个层次保证了设备的稳定可靠运行。支持的技术包括:双机热备、故障检测、电源备份和硬件Bypass等。
  • 通过多种可靠性技术,可以在设备故障时及时调整流量传输方向,保证流量正常传输。

灵活的扩展能力

  • USG6000提供了多个扩展接口卡槽位。管理员可以根据业务的发展灵活扩展设备的硬件转发能力与设备性能。
  • 智能感知引擎、应用特征库、病毒特征库、威胁签名库、垃圾邮件查询服务器、URL分类库等内容安全能力的核心组件都可以通过升级或实时在线查询等方式得到持续不断的更新,使得USG6000可以持续应对最新的安全风险。
  • 通过虚拟系统功能,可以将一台物理设备划分为多台逻辑上完全隔离,相互独立的虚拟设备,实现系统级的扩展,满足设备租赁和云计算场景。