华为下一代防火墙

6-1华为Eudemon1000E-N 下一代防火墙华为Eudemon1000E-N 下一代防火墙Eudemon1000E-N 下一代防火墙随着互联网技术的不断发展，智能手机、iPad 等终端被更多地应用到办公中，移动应用程序、Web2.0、社交网络应用于生产生活的方方面面。

网络边界变得模糊，信息安全问题日益复杂。

传统的安全网关通常只能通过IP 和端口进行安全防护，难以完全应对层出不穷的应用威胁和Web 威胁。

Eudemon1000E-N 系列是华为公司为解决运营商、企业、政府、数据中心等机构的网络安全问题自主研发的下一代防火墙产品。

它基于业界领先的软、硬件体系架构，通过对应用、用户、威胁、时间、位置的全面感知，将网络环境清晰的映射为业务环境。

在应用识别的基础上提供精准的管控能力，融合了IPS 攻击防护、AV 防病毒、URL 过滤，Web 内容过滤，反垃圾邮件和邮件过滤等行业领先的专业安全技术，支持IPv6防护及过渡技术，为用户提供强大、可扩展、持续的安全能力。

在运营商、政府、金融、电力、石油、教育、工业制造等行业得到广泛应用。

下一代防火墙，地址才能“应用（Application ）、时间（Time ）、用户多个维度解析企业的业务流量，并结合各种维度进行、行为识别等技术手段，准确识别超过6000个网络应用。

• 用户：通过Radius 、LDAP 、AD 等8种用户识别手段，将流量中的IP 地址与现实世界中的用户信息联系起来。

基于用户对网络流量进行管控。

• 威胁：支持超过5000+特征的攻击检测和防御。

支持Web 攻击识别和防护，如跨站脚本攻击、SQL注入攻击等。

可以识别和防范SYN flood 、UDP flood 等10+种DDoS 攻击，识别500多万种病毒。

采用基于云的URL 分类过滤，预定义的URL 分类库已超过8500万，阻止访问恶意网站带来的威胁。

• 位置：与全球位置信息结合，识别流量及威胁发起的位置信息；使用流量地图和威胁地图快速发现异常，进而制定对应的防护策略。

产品概述企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。

移动APP 、Web2.0、社交网络让企业处于开放的网络环境，攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透，企业面临前所未有的安全风险，传统防火墙面对变革却无能为力。

华为Secospace USG6500系列下一代防火墙应需而生，面向下一代网络环境，基于“ACTUAL ”感知，实现安全管理自我优化，通过云技术识别未知威胁，高性能地为中小企业、大型企业的分支机构、小型数据中心提供以应用层威胁防护为核心的下一代网络安全。

华为Secospace USG6500系列下一代防火墙产品特点最精准的应用访问控制•全面创新的下一代环境感知和访问控制。

通过应用、内容、时间、用户、威胁和位置六个维度的组合，全局感知日益增多的应用层威胁，实现应用层安全防护。

•丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现，让用户全方位感知，安全运营。

•深度融合的下一代内容安全。

通过解析引擎合并，将安全能力与应用识别深度融合，防范借助应用进行的恶意代码植入、网络入侵、数据窃取等破坏行为。

最高的性能体验•专用软硬件平台架构，IAE 单次解析引擎。

智能感知应用信息后，全安全特性并行处理。

•内容检测硬件加速，提升应用层防护效率，保障全安全特性开启下的最佳性能。

最简单的安全管理•根据应用场景提供策略模板，实现策略快速部署。

•根据网络中的实际流量和应用的风险，遵循最小权限控制原则，自动生成策略优化建议。

•分析策略命中率，发现冗余、失效的策略，有效控制策略规模，简化管理。

最全面的未知威胁防护•遍布全球的安全中心，丰富的可疑样本来源。

在云端采用沙箱技术，在模拟环境中监控可疑样本的运行行为，高效发现未知威胁。

•发现未知威胁后自动提取威胁特征，并迅速将特征同步到设备侧，有效防范零日攻击。

•准确、完善的信誉体系，防范APT攻击。

USG6550/6570USG6510-sjjUSG6530产品规格。

大数据时代下，部署高性能多业务防产品概述大数据时代，网络流量几何级数增长，网络接入方式灵活多样，全联接已经成为常态，业务形态按需扩展，眼镜、手表、甚至是家庭电器，健康检测产品等终端都在智能化，在与人类的活动建立起数字的联接。

人们足不出户，就可以畅享移动办公带来的效率和便利。

但是，传统的安全结构却正在瓦解，联接技术要求更加敏捷和无处不在，同时又需要安全可靠和保护数据隐私，而保障安全可靠和数据隐私防护就要克服泛在化的安全漏洞、风险、防御持续恶意的入侵。

安全已经成为ICT世界最重要和迫切的问题。

因此，在云服务提供商、大型数据中心和大型企业园区网络边界，迫切需要更换老的防火墙为高性能多业务的下一代防火墙，任何有类似需求的企业用户都应该尽快评估当前的防火墙设备在功能和性能上是否遇到了瓶颈，未雨绸缪，防患于未然。

产品特点功能合一，一台设备顶多台⏹传统防护：电信级地址翻译能力及溯源方案，满足公安部监管需要，多出口公网加速，节省带宽资源⏹下一代防护：ACTUAL六维业务立体感知，SmartPolicy策略自动优化去重，零日攻击检测防御，全球URL恶意网址过滤，最新病毒检测防护等⏹云化环境支持：虚拟数据中心多租户运营，弹性定义分配虚拟资源，支持向SDN/NFV网络演进。

⏹V PN：硬件加解密引擎，支持MPLS/IPSec/GRE/ L2TP等多种加密方案，满足总部分支远程安全互联需求。

USG9520 USG9560 USG9580性能卓越，保护长期客户TCO⏹分布式硬件架构：扩展插卡设计，扩容方便，保护投资TCO，整机性能最高可达1.92Tbps⏹多CPU业务板：单槽位奢侈配置4个CPU，高密度节省机房空间并降低功耗，延长使用寿命，轻松面对带宽增长⏹高密接口板：支持GE、10GE、40GE、100GE等各种接口类型，单槽位密度可达48*GE或24*10GE稳定可靠，业务运行无中断软件冗余：支持主-主，主-备双机热备份功能，可针对会话业务、配置、VPN隧道进行备份；支持链路健康状态探测，可基于负载、权重、应用等的选路硬件冗余：支持双主控、端口汇聚、电源和风扇冗余等，硬件可靠性达99.999%板卡热插拔：支持接口板、业务板、主控板等板卡热插拔，可在线不中断业务升级注：性能数据是在理想环境下测试得出，实际情况会因现网情况不同而出现变化。

掌控下一代网络安全-Huawei Secospace USG6000 NGFW当前，在所有保证互联网连接安全的防火墙中，使用下一代防火墙（NGFW）的比例少于10%。

到2014年底，这个比例将会上升到35%，60%新购买的防火墙将是NGFW。

– Gartner，「Magic Quadrant for Enterprise Network Firewalls 2013」FW的发展历程1989 1994 1998NGFW 2004包过滤防火墙基于状态检测Checkpoint/Cisco 基于ASICNetScreenUTM统一威胁管理多核+分布式架构Fortinet2008Huawei/Juniper PaloaltoPC时代网络时代互联网时代Web2.0时代2009移动互联网时代基本访问控制引入会话机制专用芯片提升性能多功能叠加性能提升基于应用+用户+内容做管控Gartner 如何定义NGFW标准FW 功能IPS 一体化应用感知APP智能联动/分析 最低要求NGFW混淆产品NGFWUTM/多引擎叠加应用控制+IPSFW+ 有限应用识别网络型DLP大企业环境 只适合SMB场景基础功能场景功能相似，基础不同、集成度不同是不是Source:《Defining the Next-Generation Firewall 》—Greg Young ，12 October 2009当前NGFW 面临的挑战1管控是否精细2管理是否简单 3威胁是否可辨4性能是否足够全 新 挑战NGFW●BYOD 、云、社交化后，管控力度不足 ●75%攻击覆盖应用层●端口->应用：管理复杂度数量级提高●人员技能不足，参与比例过高，难保持●APT 攻击持续扩大和强化●50%以上的攻击是有组织的团队行为●全面防护能力成为安全网关刚性需求 ●处理性能出现瓶颈，再度沦为UTMBYODCloudSocial华为是如何定义NGFW 的1细粒度管控2智能管理3全面防护4高性能体验重 ●匹配 IT 的移动化、虚拟化、社交化●除了感知应用、用户和内容外，还应该感知位置、风险、设备等●提供新管控方式下的策略建议 ●提供安全风险的智能分析和处理建议●不仅仅识别应用，还要识别应用威胁 ●具备未知威胁和APT 的防御机制●基础性能 = 防火墙+应用识别●全威胁防护开启时，性能下降小于50%基于新 定 义NGFW下一代 网络安全NGFWACTUAL 环境感知 提供全新访问控制视角最细粒度的访问控制：ACTUAL 管控最精细的访问控制能力移动化：30%的企业使用移动办公社交化：50%的企业采用社交媒体云化：65%的数据中心虚拟化Web 化：90%的网络应用采用80端口攻击全球化1010001000 00011 1000111101 10101 11100 10100 1110100110A pp L ocationT ime A ttack C ontent U ser面对日益变化IT 环境 企业该如何应对？ 功能ACTUALHuawei√ √ √√ √ √ 6000+ ★★★ 8种认证★★★ 国家/地区海外领先厂家√√ √ √ √ √ 2000-5000 ★★★ 最多7种认证★★★ 国家 国内其它厂家√部分有 √ √ √ × 500-2000★最多6种认证★不支持6000多种应用识别，比海外厂家多20%以上，是国内厂家的3-5倍8500万多URL 过滤，除按类别分类外，还专门提供恶意URL 库基于位置的访问策略，可以支持地区级的识别控制数十种文件的内容过滤功能，并支持对伪装文件的识别最简单的管理配置：智能管理基于应用快速部署华为NGFW业界其它NGFW管理挑战几千+应用数量如何基于应用防护现实业务设备定义应用？多维、多级应用分类：• 应用类型、传输方式、应用分析三个维度描述应用，快速准确定位应用。

华为技术有限公司华为Eudemon1000E-N 下一代防火墙华为Eudemon1000E-N 下一代防火墙产品特点精准的应用访问控制•全面创新的下一代环境感知和访问控制。

通过应用、内容、时间、用户、威胁和位置6个维度的组合，全局感知日益增多的应用层威胁，实现应用层安全防护。

•丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现，让用户全方位感知，安全运营。

•安全能力与业务感知深度融合，防范借助应用进行的恶意代码植入、网络入侵等破坏行为。

简单的安全管理•根据应用场景提供策略模板，实现策略快速部署。

•根据网络中的实际流量和应用的风险，遵循最小权限控制原则，自动生成策略优化建议。

•分析策略命中率，发现冗余、失效的策略，有效控制策略规模，简化管理。

高性能全面威胁防护•功能全面，兼具防火墙、VPN 、入侵防御、防病毒、带宽管理、URL 过滤、Anti-DDoS 等全面的安全功能。

•专用软硬件平台架构，IAE 单次解析引擎。

智能感知应用信息后，各安全特性并行处理。

•内容检测硬件加速，提升应用层防护效率，保障安全特性开启下的最佳性能。

•联动沙箱，高效发现未知威胁，有效防范零日攻击。

产品概述Eudemon1000E-N 系列下一代防火墙是华为公司面向运营商、企业和下一代数据中心推出的新一代安全网关产品。

它集大容量交换与专业安全于一体，融合了访问控制、IPS 、AV 、URL 过滤、邮件过滤等行业领先的专业安全技术，可精细化管控超过6000种网络应用。

同时传承了Eudemon 产品族优异的防火墙、VPN 及路由特性，为用户打造更高速、更高效、更安全的网络。

Eudemon1000E-N6Eudemon1000E-N3/N5Eudemon1000E-N7/N7E Eudemon1000E-N 下一代防火墙产品规格* 在直流电源下，Eudemon1000E-N7E最多只能扩展不含X2G8GE在内的3块WSIC卡或扩展含X2G8GE在内的2块WSIC卡。

Huawei USG6620/6630 next-generation firewalls are designed for network egresses of medium-sized businesses or branch offices of large enterprises. The firewalls accurately identify more than 6,000 applications and implement fine-grained access control. Application-layer defense functions, such as Intrusion Prevention System (IPS) and antivirus, are used with application identification technologies to improve the threat prevention efficiency and accuracy, providing users with full-fledged network border protection capabilities. The firewalls use the industry-leading Smart Policy technology to automatically fine-tune and simplify existing security policies, reducing the overall operational costs and delivering continuous, simple, and effective next-generation network security.HighlightsThird-party proven security capability• Obtained Firewall, IPS, IPsec, and SSL VPN certifications from the ICSA Labs• Obtained the highest-level CC certificate (EAL4+), ranking among the highest security levels in the world Comprehensive and integrated protection• Multiple security functions, including firewall, VPN, intrusion prevention, and online behaviormanagement, for complete versatility• Accurately identify more than 6000 applications to deliver fine-grained access control and improve thequality of key services• Detection and prevention of unknown threats, such as zero-day attacks, using sandboxing and the reputation system*Flexible bandwidth management, improving Internet access experience•Differentiated user bandwidth and quota management for fair and prioritized bandwidth usage • Application-based bandwidth management to prioritize bandwidth for mission-critical applications • Modification of URL category priorityHUAWEI USG6620/6630 Next-Generation Firewalls---Best-in-Class Security for Medium-sized BusinessesVisualized management and operation• Deliver diversified reports to provide all-around visibility into service status, network environment, security posture, and user behavior• Provide a web UI that offers a variety of easy-to-use and visualized management and maintenance functions, with which you can easily view logs and reports, manage configurations, and diagnose faults.The quick wizard on the web UI helps you configure important features with ease• Support both NETCONF and RESTCONF northbound APIs, which enable you to centrally configure and maintain the firewalls using an upper-level controller to simplify O&MDeploymentBorder protection for medium-sized businesses• Block all unauthorized access attempts at enterprise network egresses.• Provide real-time 10-Gigabit-level application-layer threat prevention, even when IPS is enabled.• P erform data filtering and auditing on files transmitted through sources such as email and IM to monitor social network applications and prevent data leaks.• D eliver user- and application-specific bandwidth management to guarantee service quality for core users and of mission-critical services.• S upport online behavior management based on URL categories and applications to block access to malicious websites and websites irrelevant to work.Enterprise networkHardwareUSG6620/6630Interfaces1. 2 x USB Ports2. Console Port3. 1 x GE (RJ45) Management Port4. 8 x GE (RJ45) Ports5. 4 x GE (SFP) PortsTable 1. Wide Service Interface Cards (WSICs) for USG6600 SeriesSoftware Features1: I f no hard disk is inserted, you can view and export system and service logs. By inserting a hard disk, you can also view, export, customize, and subscribe to reports.Functions marked with * are supported only in USG V500R001 and later versions.Specifications *System Performance and Capacity1. P erformance is tested under ideal conditions based on RFC 2544 and RFC 3511. The actual result may vary with deployment environments.2. Antivirus, IPS, and SA performances are measured using 100 KB of HTTP files.3. Throughput is measured with the Enterprise Traffic Model.4. SSL inspection throughput is measured with IPS-enabled and HTTPS traffic using TLS v1.2 with AES256-SHA.5. SSL VPN throughput is measured using TLS v1.2 with AES128-SHA.6. USG6000 V100R001 supports only the RESTCONF interface and cannot interwork with sandbox or third-party tools.* SA indicates Service Awareness.* This content is applicable only to regions outside mainland China. Huawei reserves the right to interpret this content. Hardware Specifications1. WISC is not hot-swappable.2. the equipment is operating in an ambient temperature equal to +23°C and fan speed 50%CertificationsRegulatory, Safety, and EMC ComplianceOrdering GuideAbout This PublicationThis publication is for reference only and does not constitute any commitments or guarantees. All trademarks, pictures, logos, and brands mentioned in this document are the property of Huawei Technologies Co., Ltd. or a third party.For more information, visit /en/products/enterprise-networking/security.Copyright©2018 Huawei Technologies Co., Ltd. All rights reserved.。