当前位置:首页 >> 信息与通信 >>

华为USG6000系列下一代防火墙技术主打胶片


华为USG6000系列下一代防火墙 技术主打胶片

ICT&威胁的改变:推动了安全技术的变革

移动化

云计算

社交化

大数据

ICT



网 络 威 胁

6X
APT

僵尸网络 Web威胁 移动威胁

WEB

+

+
手段多样&隐蔽 难以管控

蠕虫

木马

威胁激增

1

防火墙:网络中必不可少的门卫
分支机构

企业网络 办公网 IPS 数据中心

FW
终端安全

终端安全

FW

DMZ
WAF

FW

IPS

Internet
SSL VPN

SOC

云数据中心

终端安全

FW

AntiDDoS

IPS

FW

VFW

2

下一代防火墙正成为市场主打
安全网关产品70%首选NGFW
4% 4% 传统防火墙 22% 传统防火墙+IPS

物理边界模糊化 逻辑边界难定义 网络应用多样化 威胁传播多途径 攻击离散复杂化 全球感知难同步 攻击已知变未知 潜在威胁难预测
环境的复杂化、应用 的多样化和威胁的不 断进化推动下一代防 火墙的需求。

UTM
70% 下一代防火墙

Source:HENC2013 用户问卷调查

目前只有不到20%的企业在网络出口部署了下一代防火墙(NGFWs),到2014年底,这个 数字将上升到35%,同时有70%的企业在新的边界安全防护采购中会选择下一代防火墙。
Source: Gartner 15 April 2014《Magic Quadrant for Enterprise Network Firewalls》

3

为什么需要NGFW
NGFW
最低 要求
标准FW功能

APP
应用感知 IPS一体化 智能联动/分析 大企业环境

基础

功能

场景

为什 么要

应用管不住:企业用社交网络办公越来越多,微博微信越发普及,需要针对应用和用户来做管理,而
不是IP和端口。

NGFW

攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力

性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈

4

NGFW需要不断优化

升 级

管控能力

管理优化

防护范围

处理性能

定 义
基本FW功能

APP
应用感知

IPS一体化

大企业环境

5

目录
1
USG6000产品亮点 USG6000 硬件介绍
USG6000 竞争分析 USG6000 应用场景介绍

2
3 4

5

荣誉&成功故事

6

1



-- 6维管控,应用识别“多、细、准、快”

精准的访问控制

7

“管控能力”的升级

管控能力

管理优化

防护范围

处理性能

8

为什么要基于“应用”做访问控制?

端口 VS.
传统FW(基于端口、IP)

应用

NGFW(基于应用、用户、内容)

现实世界中,应用可能使用任意端口,传统FW无法根据端口识别和控制应用。 NGFW的进步在于更精细的访问控制,最佳使用原则:

基于应用 + 白名单控制 + 最小授权
9

应用识别业界第一

应用识别
10

业界No.1

覆盖最全面,管控最精细

Games

Huawei
友商CP 友商C 友商P 友商F

ALL P2P GAME ALL P2P GAME

450 422 321 183 1181 75 62 1600 120 56

6000 Half-life Freenet

Games

WeChat
语音/文本

LINE
语音/文本

RapidShare
上传/下载

Great Wisdom
浏览/交易

?
5000

? ? ? ? ?

? ? ? ? ?

? ? ? ?

仅应用

仅应用

仅应用

仅应用

ALL P2P GAME ALL P2P GAME
ALL P2P GAME

仅应用

仅应用

仅应用

仅应用

仅应用

仅应用

仅应用

仅应用

3133 214 148
11

语音/文本

语音/文本

上传/下载

不支持

应用用于“访问控制”而不是“上网行为管理”
? ERP ? CRM ? Mail ? Weibo

白名单模式
80

VS

需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。

? Emule ? Games

黑名单模式
80

仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
12

多种技术保障最精确的检测

分片分段重组

PCREX 一体化规则
特征
Protocol Behavior

Signature

协议去干扰
统计识别 启发式行为识别

+

行为

标准协议

加密协议

特征库升级

多种分析技术 让加密应用无所遁形
13

独家数据驱动语言 引擎免升级识别不中断

PCREX- 可编程的“应用”描述语言
传统的应用识别规则 华为 PCREX 规则

华为 PCREX
? ? ? ? ? ? ? 正则表达式 变量定义 内置函数 逻辑计算 条件分支 关联能力 等等 …

硬编码

规则 需要软件包更新

规则

Only

!





只需规则更新

(?Fdeclare_array(<thunder_tmp_arr>, 4)) (?Fdeclare_var(@int@, <thunder_tmp_int>, 0)) 数据驱动开发模型 (?Fdeclare_var(@byte@, <thunder_tmp_byte>, 0)) (?Fdeclare_var(@byte@, <thunder_tmp_byte1>, 0)) (?Fdeclare_var(@byte@, <thunder_tmp_byte2>, 0)) (?Fif(( %FLOW_PAYLOAD_LENGTH% <= 340 && %FLOW_PAYLOAD_LENGTH% >= 145) || (%FLOW_PAYLOAD_LENGTH% <= 135 && %FLOW_PAYLOAD_LENGTH% >= 70) || (%FLOW_PAYLOAD_LENGTH% <= 38 && %FLOW_PAYLOAD_LENGTH% >= 18)); Fset_array_value(<thunder_tmp_arr>, 0, 0); Fset_array_value(<thunder_tmp_arr>, 1, 1); Fset_array_value(<thunder_tmp_arr>, 2, 0); Fset_array_value(<thunder_tmp_arr>, 3, 0); Fget_array_value_multi(<thunder_tmp_arr>, 0, 4, <thunder_tmp_int>); Fmemcpy(<thunder_Buff>, 0, %FLOW_PAYLOAD%, 0, 13); Fif(<thunder_tmp_int> == 256); Fget_array_value_multi(<thunder_Buff>, 0, 4, <thunder_uiEntryLen>); Felse(); Fget_array_value(<thunder_Buff>, 0, <thunder_tmp_byte>);

迅雷特征描述片段 非常复杂

14

防混淆防加密

先尝试 UDP 再尝试 TCP 80 (伪 HTTP) 最后尝试 TCP 443 (伪 HTTPS)

先尝试 UDP (Port: 19302) 再尝试 TCP 80 (HTTP) 最后尝试 TCP 443 (HTTPS)

先用明文 再用加密 (RC4/DH/SHA) 最后是加密 + 混淆 (随机填充))

加密和混淆技术被普遍使用
混淆技 术
应用 Skype VBuzzer uTorrent

动态端口 TCP/UDP 转换 隧道 加密 混淆

ü ü ü ü
15

ü ü ü ü

ü ü

基于应用、内容、时间的管控
NGFW
00011101 10101010 11100100 10101101 11101101 10101001 00101011 10101100
User Attack Location Time 什么时候 是谁
?

网络环境?业务环境
Application Content 用什么应用 什么内容
应用感知: ? ? ? 基于应用的统计分析和访问控制 基于应用的带宽管理,保障关键业务服务质量 上网行为管理,提升员工效率 识别真正的文件类型,对文件内容进行检查, 防止数据泄露(DLP); 对危险的文件类型进行深度防护(AV); 基于时间的应用统计分析 发现异常行为,为安全防护提供依据。例如下 班时间频繁问核心区数据。 时间感知 ? ?

内容感知 ?

有什么攻击 在哪

01010100
00111110

网络环境

ACTUAL感知体系

16

基于用户、攻击、未知的管控
NGFW
00011101 10101010 11100100 10101101 11101101
Time User Attack Location 什么时候 是谁 有什么攻击 在哪

网络环境?业务环境
Application
Content 用什么应用 什么内容
用户感知: ? ? ? 基于用户的应用统计分析; 基于用户的威胁统计分析; 基于用户的访问控制、上网行为管理、流量 控制; 攻击感知: ? ? ? ? 威胁统计分析,为安全防护提供依据; 流量地图:基于位置的应用统计分析 攻击地图:基于位置的威胁统计分析 基于位置的访问控制 位置感知:

10101001
00101011

10101100
01010100 00111110

网络环境

ACTUAL感知体系

17

“用户”感知:我知道你是谁
面对变化的用户IP
8种认证方式:
?支持本地认证、Radius认证、LDAP认证、

AD域认证、SecureID认证、TSM认证、 HWTACACS认证等方式识别用户。

价值:
?应对移动化办公趋势 ?基于用户的安全策略 ?基于用户的带宽管理策略 ?基于用户的上网行为管理

18

“位置”感知:我知道你在哪
IP?位置
识别粒度:
中国:地市级别 美国:州级别 ? 其他:国家级别 ? 支持根据地址段自定义位置
? ?

应用场景:
流量地图:基于位置的流量统计分析报表 ? 威胁地图:基于位置的威胁统计分析报表 ? 位置策略:位置不同,访问权限不同
?

举例:
? 在公司总部可以访问的数据,在分公司不允

许访问

19

一体化策略:安全防护一体化
安全能力与应用识别深度融合
Application

6000+应用识别

Content Time User Attack

6维控制:
30+文件内容识别 120+文件类型识

? ?

应用识别基础上的入侵检测、防病毒 应用识别基础上的内容过滤

?用户不同、位置不同、时间不同,对应的访

8种用户认证技术

问权限也不同
?对放行的高风险应用,进行更深入的安全防

全面环境感知 位置信息库

Location

3500+新威胁识别 500万恶意代码 8500万URL



NGFW安全策略:
五元组 应用 内容 时间 用户 威胁 位置 动作

20

2



简单的策略管理

--SmartPolicy智能策略管理

21

管控能力

管理优化

防护范围

处理性能

22

NGFW管理,你真的准备好了吗?
Anti Spam

应用

DDoS

? 管控维度增加1倍
? 四层五元组管控?七层应用威胁管控

IP Port 协议
位置

内容 用户

VPN

? 管控粒度精细3-5倍
? 应用识别、 IPS 、URL等

IPS

威胁
URL DLP

AV

你需要一名非常非常专业的安全管理员。 或者 下一代防火墙本身具备智能 的自动化管理能力

传统防火墙(L4)

下一代防火墙(L7)
23

Smart Policy:你身边的安全咨询专家

?

策略优化

Smart Policy

对策略的生成、调整、消除,都能提供帮助。
24

? Smart Policy实现快速部署上线
系统预置安全策略模板 系统预置应用类别和风险组

即使第一次使用NGFW,在2个页面内,3次点击鼠标即可完成快速部署。
25

?策略智能优化
流量学习
10101101101 01 10101101100 001 10101100101 1011 101011001011011 1101011010111000 0001110100110110 1010110101110110 01101010101 0111 10101100101110100 010101010100011 1010 00011101101 10110110110 101

业务感知

智能分析
URL IPS

优化建议

AV DLP

Policy A:******** Policy B: **** ****** Policy C:********* Policy D:********** Policy E: ***** ****

策略下发

基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。

最重要的是这一切都是自动进行的。
26

智能优化的管理方法
安全风险自动评估
策略风险分解

安全策略自动调优

安全风险降低

27

? Smart Policy提供了策略精简的方法
冗余策略分析 策略命中分析

自动帮你找出系统中重复的策略、无用的策略,你可

以一键删除,也可以修改调整。

28

3



——功能最全的NGFW,基于云沙箱和 信誉防范未知威胁

全面的安全防护

29

管控能力

管理优化

防护范围

处理性能

30

全面的威胁防护
11101 10100 11100 10101 11101 10001 00011

最新报告

FW
DLP AV

IPS VPN 功能匹配度高达95% (20/21),领先大
Check Point Fortinet Huawei Palo Alto Sonic Wall McAfee Cisco WatchGuard F5

带宽管理

10100
01000

DDoS
上网行为管理

多数厂商。

00110

集成了企业需要的各种防护功能。一机在手,安全我有。

31

DLP:识破伪装,防止泄密
XXXXXX价格XXXX… XX身份证:XXXXXXXX信用卡:XXXX XXXXXXXXX设计方案XXXXXX

能识别常见文件的真实类型并对内容过滤检查。即使藏在压缩文件 中,或更改扩展名也逃不过NGFW的火眼金睛。
32

业界领先的Anti-DDoS能力
V I S A
业界最多的 DDoS防护数量

华为
100+ 逐包检测
支持IPv4/IPv6 DDoS防护

Others
30+ 采样检测
仅支持IPv4 DDoS防护

“V-ISA” reputation mechanism to defense DDoS
V:支持Virtual化定制,支持虚机保护 I :基于IP信誉机制的僵尸网络防御

独家“V-ISA”信誉机制 全面防护DDoS攻击

业界最细的 DDoS检测粒度 面向未来的 DDoS防护技术

S:基于会话(Session)信誉的慢速攻击防御 A:基于行为信誉的应用(App.)攻击防御

33

Anti-DDOS流量自学习

34

传统的IPSec VPN工作模式

?

Spoke-Hub-Spoke网络模型的问题:
? ?

Spoke与Hub之间建立VPN隧道,Spoke之间的通信需要通过Hub节点中转,需要进行两次加解封装操作。 在网络中新增Spoke节点时,Hub节点需要新增对应的配置信息,增加维护成本。

35

DSVPN工作模式

?

Spoke-Spoke网络模型的优势:
?

Spoke与Hub之间建立VPN隧道,Spoke之间按需动态建立VPN隧道,Spoke之间的通信在动态建立的
VPN隧道内传输,无需通过Hub中转。 采用点到多点的GRE(Multipoint GRE)技术,在网络中新增Spoke节点时,由Spoke节点主动向Hub节 点注册,无需修改Hub节点的配置。

?

36

虚拟化全业务防护:一台设备当多台用
云数据中心边界安全
虚拟系统边界防护:
ü

最大支持1000个虚拟系统的边界防护

ü
ü

应用识别、入侵防御、防病毒、URL过滤等
安全防护虚拟化

C B A
?Session: XX ?Bandwidth: XX ?Security: A ?Policy Num: X ?Session: XX ?Bandwidth: XX ?Security: B ?Policy Num: X ?Session: XX ?Bandwidth: XX ?Security: C ?Policy Num: X

ü资源虚拟化

租户独享体验:
ü不同租户个性化安全管理
ü

不同租户个性化QoS管理

37

最全面的沙箱种类

Sandbox

Windows

WEB

Mobile

Huawei CheckPoint CISCO Palo Alto 最全面的沙箱种类 有效抵御APT
38

FireEye

ü ü ü ü ü

? ? ?

ü

ü

? ? ? ?

ü

独家支持手机沙箱,快速识别手机恶意威胁

基于云沙箱技术抵御未知威胁
沙箱模拟运行系统

特征提取

云端特征库
应用特征库 URL分类库 IPS特征库 AV特征库

信誉计算 PE安全沙箱 手机安全沙箱 Web安全沙箱
? ?

云端信誉库
IP信誉 Web信誉 文件信誉 邮件信誉

300+名安全研究人员 研发中心分布:中国深 圳、北京、成都、杭州

? ? ? ?

<1天的样本分析和协议识别时间 知识库实时升级 智能动态的信誉查询服务 <24小时安全事件应急响应

应用识别
本地特征库

策略重查
应用特征库

IP处理

协议解码

字段处理
IPS特征库

文件处理
AV特征库

RBL

URL分类库

信誉库过滤,提高处 理性能
39

快速发现未知威 胁

防范APT攻击

安全能力:设备品质的关键
安全产品品质:威胁防御能力
设备硬件 设备软件

安全基础能力 安 全 知 识 安 全 信 誉
40

应用识别特征库 IPS签名库 病毒特征库

URL分类库

垃圾邮件列表

文件信誉 Web信誉

IP信誉 邮件信誉

华为NGFW:自主知识产权的安全能力
厂商 芯片 安全知识库 DPI 自研 自研 IPS 自研 自研 AV 自研 Kaspersky URL 自研 反垃圾邮件 自研 安全信誉库 自研信誉库 (IP/文件/web/邮件) 无

华为 天融信 深信服 网御星云 HillStone H3C 绿盟 迪普

自研
自研 自研 自研 自研 自研

自研
自研 自研 自研 自研 自研 Kaspersky Kaspersky 趋势科技 Kaspersky

Commtouch
Commtouch Commtouch Commtouch Commtouch


无 无 无 无 无

国内主流安全厂商中,华为安全技术的自研程度最高; 华为在国内的厂商中独家将安全信誉体系用于安全设备,信誉库同样是自研的。

41

4



快速的性能体验

--IAE一体化识别引擎

42

管控能力

管理优化

防护范围

处理性能

43

最佳的防护性能:软硬兼施,全万兆防护
20G档FW横向对比
华为
统一应用定 义和威胁描 述 入侵
MTDL

VPN
统一 安全检查
IPS

12G

4G

2.5G

8G

6G

统一模式匹配
数据 不规则的

无 数 据 不 支 持 无 不 支 持

无 数 据

木 马 渗透

统 一 威 胁 描 述

统 一 威 胁 检 测

统 一 模 式 匹 配

识 别 与 解 析

AV URL

处理 响应

软件

全威胁
结果

10G

规则的
硬件

10G

6G

3.1G

0.4G

4G

行业现状
分散的定义
入侵

VS
串行检查
IPS

IPS

12G

不详

8G

6G

1.5G

5G

通过软件匹配
数据
处理 响应
软件

应用 识别

20G

20G

12G

无 数 据

无 数 据

3G

10G

三位一体化 助推NGFW高性能体验

木 马 渗透

识 别 与 解 析

AV URL

结果

FW

20G

20G

15G

20G

20G

20G

20G

安全特性全开启的情况下 是否还能保持高性能

单次解析引擎提升软件性能 高速的应硬件平台和架构支撑
44

? 最高的应用层处理性能(相同FW性能条件下) ? IPS性能和全威胁防御性能均达到业界顶尖水平

IAE 引擎简介

Web 安全 入侵防御 应用识别

URL 分类

DLP 识别 文件安全

Intelligent Awareness Engine
病毒库 入侵特征库 Web 攻击库 DLP 库

反病毒

应用特征库

URL 库

45

全新的一体化结构
一体化安全扫描

一般内容

DLP 检查 入侵检测

IAE

基础 防火墙
NIC

路由 和 交换

应用 识别

一 体 化 协议 解码 URL

URL 检查 Web 安全检查 DLP 检查 入侵检测

一 体 化 响应 处理

文件识别 文件流 病毒检查 DLP 检查 入侵检测

一体化 威胁、应用描述语言

一体化 模式匹配和摘要

一体化 解压和还原

46

软硬结合的算法
安全扫描 应用 识别 协议 解码 响应 处理

DLP 检查 入侵检测

调 用

调 用

调 用

调 用

小块、单次匹配请求

软件匹配算法

同步返回

大块,流匹配请求

硬件匹配

异步返回

一体化模式匹配

47

基于流的文件处理
传统文件处理机制
文件接收 文件接收 病毒扫描 DLP 扫描 文件发送

时间轴

华为 NGFW 基于流的文件处理机制

病毒扫描 DLP 扫描 文件发送

t2 t1
一体化安全扫描

应用 识别

协议 应用 解码

片段

文件识别
片 段

片段 片 段

文件解码

片段

安全扫描

片段

响应 处理

解压/还原

48

USG6000产品和优势介绍
Module
USG6320 USG6620/30 USG6330/50/60
WSIC-2SFP+&8GE

WSIC-8GE

WSIC-8SFP

WSIC-4GE-BYPASS

精 准 管 控

业界最多、最细 的应用感知

Half-life

Freenet

Games

微信
语音/文本 仅应用

LINE
语音/文本 仅应用

RapidShare 大智慧
上传/下载 仅应用 浏览/交易 仅应用

Huawei 友商CP 友商C 友商P

? ? ? ?

? ? ? ?

? ? ? ?

USG6370/80/90

USG6650/60/70/80
SAS-300GB 仅应用 仅应用 仅应用 仅应用

仅应用

仅应用

仅应用

仅应用

?

快速部署:根据使用场景预 置策略模板 智能优化:流量学习,推荐 策略调整建议



?

业界最全沙箱技术:支持文件、Web、手机沙箱

简 单 管 理

?

+
沙箱

?
? ? ?

云端沙箱运行可以流量,快速发现零日威胁
全面信誉体系(文件、Web、IP、邮件):有效防 范APT攻击,并提升性能 集成FW、IPS、AV、DLP、VPN、AntiDDoS等全 面功能,高性价比地提供安全防护方案 最高20G全威胁处理性能,全威胁开启下性能损耗 少于50%。

3. 策略精简

?

策略精简:发现冗余和长期

不使用的策略
信誉

+

高 性 能 全 面 防 护

49

目录
1
USG6000产品亮点 USG6000 硬件介绍
USG6000 竞争分析 USG6000 应用场景介绍

2
3 4

50

华为NGFW产品家族 2014 性能提升
高性能T级NGFW

2013
13 款型号

大规模应用

2014 全面融合
NGFW 安全插板

1G-40G 20G

FW+APP 应用层性能 全威胁防御性能

CE12800
S7700/9700/S12700 USG9000 系列 USG6000 系列
51

USG6000硬件主机介绍——6300/6500系列(千兆产品)
USG6320/ 6510-sjj
形态
桌面(可用于 机架) 8GE 8GE 无 无 单电源 60W

USG6330/6350/63 60/6530
1U
4GE+2Combo 20GE+2SFP+4*10G 2个 单硬盘300G 标配单电源(双电源 选配,可热插拔) 170W

USG6370/6380/639 0/6550/6570
1U
8GE+4SFP 24GE+4SFP+4*10G 2个 单硬盘300G 标配单电源(双电源 选配,可热插拔) 170W

USG6320/USG 6510-sjj

USG6310

固定接口 最大接口数量 槽位数 硬盘 电源

USG6330/6350/6360/USG6530
最大功耗

扩展模块
USG6370/6380/6390/USG6550/USG6570
WSIC-2SFP+&8GE WSIC-8GE WSIC-4GE-BYPASS

WSIC-8SFP

SAS-300GB

52

USG6000硬件主机介绍——6600系列(万兆产品)
USG6620/ USG6630
形态
固定接口

USG6650/ USG6660
3U
8GE+8SFP+2*10G E 56GE+8SFP+14*1 0G

USG6670
3U
16GE+8SFP+4*10 GE 56GE+8SFP+14*1 0G

USG6680
3U
16GE+8SFP+4*10GE 32GE+8SFP+8*10G

3U
8GE+4SFP 24GE+4SFP+4*10 G

USG6620/USG6630

最大接口数量

槽位数
硬盘 电源 最大功耗

2
选配2*300G (RAID1) 标配双电源 350W

6
选配2*300G (RAID1) 标配双电源 350W

5
选配2*300G (RAID1) 标配双电源 350W

2
选配2*300G (RAID1) 标配双电源 350W

USG6650/USG6660

扩展模块
WSIC-2SFP+&8GE WSIC-8GE WSIC-4GE-BYPASS

USG6670/USG6680
53

WSIC-8SFP

SAS-300GB

NGFW交换机插卡介绍

交换机型号
S7700系列
S9700系列 S12700系列

产品
S7703
S9703 S12708

S7706
S9706 S12712

S7712
S9712

NGFW/IPS插板

54

NGFW产品硬件概览

性能最高的小盒子 产品;

全系支持硬盘 全系支持双电源 全系支持万兆口 全系支持Bypass卡

全系支持硬盘和Bypass 卡
可扩展槽位数最多,接 口密度最大:
56GE+8SFP+14*10G

国内首家下一代防火 墙插卡 软件功能最全的 NGFW插卡

可通过长挂耳上机 架

USG6650以上标配万 兆口

55

目录
1
USG6000产品亮点 USG6000 硬件介绍
USG6000 竞争分析 USG6000 应用场景介绍

2
3 4

5

荣誉&成功故事

56

USG6000竞争分析
通用打法:
?

国外品牌:
ü ü

国内政府行业或涉密行业不能进入,扩展性差,VPN不支持国密算法; 引导更多的接口和安全License,促使其抬高商务;

?

国内品牌:
ü
ü

营销层面包装出的NGFW,实际还是UTM,开启安全功能后的实际性能差,应用识别数量有限;
不支持DSVPN功能、智能策略优化功能。

HW

天融信
? 应用识别的数量和精细程度20倍于 友商(6000/300),基于位置的访 问控制

深信服/网康
? 安全能力积累深厚,远超友商 ? 应用识别的数量和精细度4倍于友商 (6000/1800),基于位置的访问控制 ? 专业多核硬件平台,可靠性高,开启IPS 等安全后的实际性能高 ? DLP功能强,支持真实文件类型的过滤 和内容过滤; ? 安全积累少:原上网行为管理厂商,安 全能力积累很少,安全功能靠合作,安 全功能的商务高 ? 硬件能力差:采用工控机,性能通常不 高,且可靠性低,低端型号不支持双电 源冗余。 ? DLP能力差:只支持HTTP类型的文件过 滤,不能识别office文件真实类型 ? 不支持SSL VPN和DSVPN

Cisco(ASA系列)
? 应用识别的数量和精细程度5倍于 友商(6000/1200) ? 同档次产品性能更高(新建、并 发、VPN吞吐、IPS吞吐等) ? 支持基于应用的带宽策略和策略 路由 ? 万兆接口能力和最大扩展能力强 ? 安全能力缺失:5585-X系列, IPS/CX特性以单板形态提供,槽 位互斥,无法共同支持,不支持 网关侧AV ? 不支持基于应用的带宽管理和策 略路由 ? 除5585-X系列,均不支持万兆。 不支持硬件bypass

H3C
? 应用识别的数量和精细程度7倍 于友商(6000/800) ? 真实性能高,尤其开启IPS后 ? 安全功能全:支持IPS、AV、 DLP、反垃圾邮件; ? 支持MPLS VPN和SSL VPN ? 真实性能差:真实网络环境无法 达到宣传的性能指标。 ? 日薄西山:H3C安全领域投入持 续减少,长期无新品推出,产品 持续性成疑 ? 数通能力差:不支持VPN热备, 和IKE V2

竞争优势

? DLP功能强,支持真实文件类型的过 滤和内容过滤; ? 桌面型之外,全系列支持万兆接口, 最大接口能力远超天融信 ? 应用层防护能力差:仅识别300+的 应用,不能满足NGFW对应用访问 控制的要求。 ? 真实性能差:真实网络环境性能低, 尤其是开启IPS功能后,引导实测 ? 接口能力差:只有TG6xxxx系列才 支持万兆扩展,扩展接口后商务高

打击点

57

目录
1
USG6000产品亮点 USG6000 硬件介绍
USG6000 竞争分析 USG6000 应用场景介绍

2
3 4

5

荣誉&成功故事

58

NGFW主要销售场景:下一代园区
1 3
接入网络边界 互联网出口

1 3

互联网边界防护

接入网访问权限管控

5

数据中心边界

5

数据中心边界防护

4

核心网络边界

4 2

核心网访问流量安全管控

2

广域网出口

广域网纵向安全互联

全威胁防御,全业务管控,网络与安全最佳融合!
59

园区中NGFW部署示意
分支/合作伙伴 出差员工

WAN(专网) 互联网接入区 广 域 网 接 入 区

DMZ区

路由器

管理区

办公区

核心交换机

数据中心

办公区

办公区

AP 60

互联网边界防护
挑战:
?利用Web、应用漏洞进行入侵; ?僵尸、木马、病毒、恶意代码入侵 ?网络钓鱼(邮件、网页),APT攻击 ?拒绝服务攻击(DDoS) ?带宽被滥用,关键业务QoS无法保障;

NGFW

客户价值:
?入侵防御: 基于流的特征检测3500+入侵防御特征库,接近0误报;
?防病毒:应用识别与病毒扫描结合,可检出超过500多万种病毒。 ? 防止数据泄露:对邮件,HTTP,FTP,IM、SNS等传输的文件和文本内容 进行识别过滤。 120+文件类型识别,30+文件内容还原及过滤。 ? 恶意URL过滤:8500万+ URL分类库,URL过滤屏蔽 ?DDoS攻击防护:防范多种类型DDoS攻击; ?安全性能:万兆级全威胁防护性能,最大性能40Gbps; ? 应用QoS优化:识别6000+应用,基于应用的带宽限制、最小带宽保障、 策略路由; ? 未知威胁检测:基于云的沙箱检测技术,每日更新特征库 ? 智能管理:自动生成最严格的安全策略,轻松调优。

园区内网
61

子网/分支安全互联
总部局域网

挑战:
? 传输中,业务数据泄露 ? 内部用户的入侵行为 ? 内部病毒扩散 ? 内部人员的非法访问 ? 资源滥用,挤占业务带宽

广 域 网 接 入 区 WAN(专网)
IPSec VPN

客户价值:
? VPN:支持IPSec和SSL VPN,IPSec双机热备,业务0中断;支持国密卡 (屏蔽海外厂商),支持DSVPN技术

?入侵防御,防病毒, 防止数据泄露
? 应用QoS优化:识别6000+应用,基于应用的带宽限制、最小带宽保障、

分 支 机 构
局域网

策略路由; ? 未知威胁检测:基于云的沙箱检测技术,每日更新特征库

局域网

局域网

62

接入网访问安全管控
外部资源 (互联 网)
认证前域

挑战:
合作资源 (外联 区) 内部资源 (业务区) 园区 核心交换机
? 内部员工非法访问 ? 应用滥用

TSM 服务器

AD 服务器

客户价值:
? 基于应用的访问控制 ? 基于应用的QoS优化 ? 防止数据泄露 ? 内部的入侵防御、防病毒

身份账号同步

USG6680

V-NGFW

亮点:
? One net方案中:(外部存在认证体系是)配合TSM、交 换机,同步用户信息 ? 应用识别:6000+应用识别,识别主流企业网应用,应用 快速自定义 ? 性能:万兆级全威胁防护性能

AP

办公终端

公共终端
63

移动终端

核心网访问安全管控—从内到外
互联网/广域网 业务区(数据中心)

挑战:
?内部的数据泄露 ? 病毒、木马、蠕虫在内部传播 ? 带宽滥用

管理区

客户价值:
? 基于应用的访问控制
园区 核心交换机

? 基于应用的QoS优化

? 防止数据泄露
? 内部的入侵防御、防病毒

亮点:
AP ? 应用识别:6000+应用识别,识别主流企业网应用,应用 快速自定义 ? 性能:万兆级全威胁防护性能

接入终端

64

数据中心边界防护
终端接入区 广域接入区 互联网接入区

挑战:
?利用应用漏洞进行入侵; ?僵尸、木马、病毒、恶意代码入侵 ?APT攻击、 数据泄露

?拒绝服务攻击(DDoS)
? 多租户,有独立安全管理的需要。

园区 核心交换机 数据中心

客户价值:
?入侵防御,防病毒, 防止数据泄露,DDoS攻击防护 ? 安全性能:万兆级全威胁防护性能,最高40Gpbs性能; ? 虚拟化:最大1000个虚拟FW,全业务虚拟化;

USG6680

? 未知威胁检测:基于云的沙箱检测技术,每日更新特征库;
? 智能管理:自动生成最严格的安全策略,轻松调优。

V-NGFW

V-NGFW

亮点:
? 智能管理:安全策略轻松调优,自动生成最严格的安全策略。 ? 应用识别:6000+应用识别,内置应用风险库。 ? 性能:万兆级全威胁防护性能 ? 虚拟化:最大1000个虚拟FW,全业务虚拟化

普通业务

重要业务

核心业务
65

目录
1
USG6000产品亮点 USG6000 硬件介绍
USG6000 竞争分析 USG6000 应用场景介绍

2
3

4
5

荣誉&成功故事

66

江湖地位,有口皆碑
2013中国硬件安全市场领导地位
华为安全
防火墙市场 37.7% 2013中国FW/UTM市场排名第一

市场份额

市场排名

14.28% 39.24% 13.95% 13.33%

FW系列

14.9%

TOP3

UTM硬件市场 25.1%

华为安全

市场份额

市场排名

UTM 系列

12.3%

TOP3
华为

6.85%
天融信
?

12.35%

防火墙及VPN硬件
?

UTM
?

网御星云

H3C

思科

其他

首个进入Gartner FW MQ的中国厂商
MQ for FW 2014

首个进入Gartner FW MQ的中国厂商
MQ for UTM 2013

给予SWOT分析的唯一中国厂商
安全 SWOT

Source: Gartner MQ for Enterprise Nerwork Firewalls

67

Source: Gartner MQ for unified_Threat_Management

媒体评价,载誉前行
【比特网】 2013年度 CIO信赖优秀产品奖 【网络世界】 2013年度下一代防火墙 创新产品奖 【计算机世界】 2013年度 创新产品奖 【IT168】 2013年度 技术卓越奖

68

横向测评,一马当先
网络世界横评,综合第一
并发连接第一 每秒新建第一

No.1

最新报告,华为明显领先Cisco

性能第一
要点:
ü 网络隔离网关是“零 信任”网络的安全核 心 ü 21项评判标准中满足 其中的20项,处于领 先地位

吞吐量第一

威胁检出率第一
99%
181/183

HUAWEI

Fortinet

WatchGuard

98%
180/183

88%
161/183

Huawei

Fortinet
69

WatchGuard

Check Point Fortinet Huawei Palo Alto Sonic Wall McAfee Cisco WatchGuard F5

广东智能电网办公信息化安全

安全方案
?

首先采用USG6650下一代防火墙产品,部署在在互联网出口边界和综
合信息网的边界位置,提供10G全威胁防护,并针对互联网出口提供 强大的NAT地址转换功能。同时全网设备通过统一管理中心实现调度 管理和报表展现,为广东电网构建了一套简洁高效的安全防护体系。

客户价值
?
?

?

基于特征+基于沙箱的全威胁防御手段,保障广东电网办公业务顺畅。 全威胁特性开启后性能下降小于50%,高性能防护、高品质用户体验, 支撑大业务流量。 基于流量学习的自动策略管理,CTO降低30%以上

70

深圳广电下一代广播电视网信息安全平台

安全方案
?

数台USG6000系列下一代防火墙为深圳广电全网融合安全信息基础架 构及信息安全等级保护工程提供全面的安全能力支撑。在不同业务系 统边界实现精细的访问控制。

客户价值
?

华为NGFW精细的访问控制能力和智能化管理,有效支撑了深圳广电全 网安全防护项目的顺利开展。高性能的应用层性能也很好的满足了广电 当前业务及未来网络发展的性能需求。

71

葡萄牙教育部
葡萄牙教育部政府公共事务平台建设,高性能、高可靠 和全面安全性建设需求,可靠承载全国范围内用户的实 时在线访问和公共事务查询。
客户挑战
? 20G承载能力,承载实时业务,必须保障业务延续和可靠性。

? 攻击频繁,手段多样,缺乏有效地防御手段。

解决方案
? 业务边界部署USG6680,提供20G双向业务防护,并保证业务连续性 ? 开启全业务防护,防范DDoS攻击和应用层攻击,同时借助华为云端 沙箱,实时防范各类未知威胁。

72

多特蒙德体育场
多特蒙德体育场是德国最大,世界第九大的专业体育 场,最大容量80645人。为了提高球忠诚度性并拓展新 商机,决定在主场100%覆盖无线网络。
客户挑战
? 数据中心受到网络攻击,无法保证在线博彩、视频回放等关键业务稳 定运行;球迷利用球场网络访问非法网站,带来法律风险; ? 比赛期间,使用有限的租用带宽为8万名球迷带来满意的上网体验。

解决方案
? 业务边界部署USG6650,数据中心部署USG6680。开启全业务防护 防范DDoS攻击和应用层攻击。 ? 用USG6000的流量管理功能限制P2P类应用流量,为关键业务流量保 障最小带宽。与TSM联动识别用户,为VIP、普通球迷提供差异化的 上网体验。

73

Huawei NGFW

掌控下一代网络安全

最精准 管控能力

最简单 管理配置

最全面 威胁防护

最高速 性能体验

74


相关文章:
华为USG6000系列下一代防火墙产品Mapping表
华为USG6000系列下一代防火墙产品Mapping表_信息与通信_工程科技_专业资料。USG6000系列下一代防火墙产品Mapping表 防火墙吞 吐量 2G(桌面) 1G 2G 3G 4G/5G 6G ...
华为USG6300系列下一代防火墙招标规格引导
华为USG6300系列下一代防火墙招标规格引导_计算机硬件及网络_IT/计算机_专业资料。华为USG6300系列下一代防火墙招标规格引导其中打★项为必须满足项 USG6320 指标项 ...
华为USG6000 telnet ssh配制方法
华为USG6000 telnet ssh配制方法_计算机硬件及网络_IT/计算机_专业资料。在命令行下关闭或开启 telnet 或 ssh 功能配置如下: <USG6600-1>sy [USG6600-1]aaa ...
华为USG6650防火墙升级步骤
华为USG6650防火墙升级步骤_计算机硬件及网络_IT/...usg5320 文件:HUAWEI USG6000 系列 V100R001C10SPH...
安全技术动态(2013年8月)
安全技术动态(2013年8月)_IT/计算机_专业资料。安全...华为Secospace USG6000系列下一代防火墙产品以“ACTUAL...这位安全人员建 议Note 2用户移除主屏上可能触发...
华为NC渠道数通产品交流试卷 (参考答案)
均支持分区供电技术 NE20E系列产品均主控引擎支持2种模式,一种为1:1,一种为1...共 6 页 28 华为下一代防火墙USG6600支持“ACTUAL” 6维管控视角和6000+ 应用...
华为USG2000防火墙恢复出厂设置密码
华为USG2000 防火墙恢复出厂设置密码通过 console 口联接设备到台式电脑或笔记本电脑上具体设置如下: 通过 Console 口进行本地登录简介通过交换机 Console 口进行本地...
更多相关标签:
华为usg下一代防火墙 | ensp防火墙usg6000v | 华为防火墙usg6000 | 天清汉马usg防火墙 | usg防火墙 | 华为usg防火墙vpn配置 | 启明星辰usg防火墙 | 华为usg防火墙nat配置 |