HUAWEI USG6300防火墻
當(dāng)前,智能手機、iPad等終端已經(jīng)普及,移動應(yīng)用程序、Web2.0、社交網(wǎng)絡(luò)應(yīng)用于企業(yè)運營的方方面面。企業(yè)網(wǎng)絡(luò)邊界變得模糊,信息安全問題日益復(fù)雜。通過IP和端口進行訪問控制的傳統(tǒng)的防護墻無法應(yīng)對層出不窮的應(yīng)用層威脅。
華為USG6300系列下一代防火墻面向中小企業(yè),通過對應(yīng)用、用戶、內(nèi)容、威脅、時間、位置6個維度的全面感知,提供精細的業(yè)務(wù)訪問控制和加速。入侵防御(IPS)和防病毒(AV)等應(yīng)用層深度防御與應(yīng)用識別相結(jié)合,有效提高了威脅防御的效率和準(zhǔn)確性。具備全面的防護功能,一機多能,有效降低管理成本。精細的帶寬管理和QoS優(yōu)化能力有效降低企業(yè)的帶寬租用費,確保關(guān)鍵業(yè)務(wù)體驗。持續(xù)、簡單、高效地提供下一代網(wǎng)絡(luò)安全。
產(chǎn)品特性
精準(zhǔn)的訪問控制
傳統(tǒng)防火墻主要通過端口和IP進行訪問控制,下一代防火墻的核心功能依然是訪問控制。USG6000在控制的維度和精細程度上都有很大的提高:
● 一體化防護:從應(yīng)用、用戶、內(nèi)容、時間、威脅、位置6個維度進行一體化的管控和防御。內(nèi)容層的防御與應(yīng)用識別深度結(jié)合,一體化處理。例如: 識別出Oracle的流量,進而針對性地進行對應(yīng)的入侵防御,效率更高,誤報更少。
● 基于應(yīng)用: 運用多種技術(shù)手段,準(zhǔn)確識別包括移動應(yīng)用及Web應(yīng)用內(nèi)的6000+應(yīng)用協(xié)議及應(yīng)用的不同功能,繼而進行訪問控制和業(yè)務(wù)加速。例如:區(qū)分微信的語音和文字后采取不同的控制策略。
● 基于用戶:通過Radius、LDAP、AD等8種用戶識別手段集成已有用戶認證系統(tǒng)簡化管理。基于用戶進行訪問控制、QoS管理和深度防護。
● 基于位置:與全球位置信息結(jié)合,識別流量發(fā)起的位置信息;掌控應(yīng)用和攻擊發(fā)起的位置,第一時間發(fā)現(xiàn)網(wǎng)絡(luò)異常情況。根據(jù)位置信息可以實現(xiàn)對不同區(qū)域訪問流量的差異化控制。支持根據(jù)IP自定義位置。
全面的防護范圍
越來越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上,網(wǎng)絡(luò)攻擊和信息竊取形成巨大的產(chǎn)業(yè)鏈,這對下一代防火墻的防護范圍提出了更高要求。USG6000具備全面的防護功能:
● 一機多能:集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、上網(wǎng)行為管理等功能于一身,簡化部署,提高管理效率。
● 入侵防護(IPS):超過5000種漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護,如跨站腳本攻擊、SQL注入攻擊等;
● 防病毒(AV):高性能病毒引擎,可防護500萬種以上的病毒和木馬,病毒特征庫每日更新;
● 數(shù)據(jù)防泄漏:對傳輸?shù)奈募蛢?nèi)容進行識別過濾。可識別120+種常見文件類型,防止通過修改后綴名的病毒攻擊。能對Word、Excel、PPT、PDF、RAR等30+文件進行還原和內(nèi)容過濾,防止企業(yè)關(guān)鍵信息通過文件泄露。
● SSL解密:作為代理,可對SSL加密流量進行應(yīng)用層安全防護,如IPS、AV、數(shù)據(jù)防泄漏、URL過濾等。
● Anti-DDoS: 可以識別和防范SYN ?ood、UDP ?ood等10+種DDoS攻擊,識別500多萬種病毒。
● 上網(wǎng)行為管理:采用基于云的URL分類過濾,預(yù)定義的URL分類庫已超過8500萬,阻止員工訪問惡意網(wǎng)站帶來的威脅。并可對員工的發(fā)帖、FTP等上網(wǎng)行為進行控制。可對上網(wǎng)記錄進行審計。
● 安全互聯(lián):豐富的VPN特性,確保企業(yè)總部和分支間高可靠安全互聯(lián)。支持IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等;
● QoS管理:基于應(yīng)用靈活的管理流量帶寬的上限和下限,可基于應(yīng)用進行策略路由和QoS標(biāo)簽著色。支持對URL分類的QoS標(biāo)簽著色,例如:優(yōu)先轉(zhuǎn)發(fā)對財經(jīng)類網(wǎng)站的訪問。
● 負載均衡:支持服務(wù)器間的負載均衡。對多出口場景,可按照鏈路質(zhì)量、鏈路帶寬比例、鏈路權(quán)重基于應(yīng)用進行負載均衡。
● 虛擬化:支持多種安全業(yè)務(wù)的虛擬化,包括防火墻、入侵防御、反病毒、VPN等。不同用戶可在同一臺物理設(shè)備上進行隔離的個性化管理。
簡單的安全管理
下一代防火墻的防護范圍和控制精度比傳統(tǒng)防火墻大大增加,這對使用者的經(jīng)驗和技能提出了更高的要求。華為USG6000利用Smart Policy功能降低對使用者的要求,更好的進行防護。Smart Policy主要具備以下功能:
● 快速部署策略:內(nèi)置場景策略模板,不依賴使用者的經(jīng)驗也能快速地部署常用防護策略。例如:如果希望使用網(wǎng)絡(luò)存儲,管理員僅需基于“使用網(wǎng)盤”這個策略模板,就能建立一系列策略。在策略中,對網(wǎng)盤類應(yīng)用允許下載并進行病毒檢測,但禁止文件上傳。
● 智能優(yōu)化策略:根據(jù)內(nèi)置應(yīng)用風(fēng)險庫和網(wǎng)絡(luò)實際流量對已部署的安全策略進行評估和優(yōu)化,使其符合最小授權(quán)原則。在企業(yè)遺留大量端口防護策略,需要轉(zhuǎn)換為NGFW使用的應(yīng)用防護策略時尤其有用。
● 智能精簡策略:自動發(fā)現(xiàn)重復(fù)的和長期沒有使用的策略,精簡策略規(guī)模,簡化管理;
高效防護性能
UTM產(chǎn)品當(dāng)開啟應(yīng)用層防護時性能下降明顯,無法滿足當(dāng)前應(yīng)用層防護的性能要求。下一代防火墻要求在多重防護的情況下仍保持高性能。
USG6000系列下一代防火墻采用全新架構(gòu)的智能感知引擎(IAE, Intelligence Awareness Engine),采用了一次解析多業(yè)務(wù)并行處理的架構(gòu),確保多重防御下的高性能體驗。IAE使用了三大核心技術(shù):
● 一體化描述語言:應(yīng)用識別、IPS、AV采用統(tǒng)一的描述語言,一次性處理,一次性分析,減少重復(fù)的操作;
● 一體化處理架構(gòu):不同于UTM對各個安全功能串行處理,USG6000在完成統(tǒng)一解析后,各安全業(yè)務(wù)檢查是并行的,最后做統(tǒng)一處理。每個步驟一次性做好,確保多安全業(yè)務(wù)開啟情況下,對整體性能影響最小;
● 軟硬結(jié)合一體化:對有規(guī)律、大批量、高運算能力要求的報文處理,例如:報文加解密、特征匹配,采用專用多核平臺由專用的協(xié)處理器硬件處理。對小規(guī)模的運算,仍然用軟件處理。軟硬結(jié)合一體化的處理方式讓整體性能更高。
組網(wǎng)應(yīng)用
企業(yè)內(nèi)網(wǎng)邊界防護
● 在企業(yè)內(nèi)網(wǎng)部門和無線接入的匯聚網(wǎng)絡(luò)部署下一代防火墻。對PC用戶通過防火墻策略基于用戶信息進行訪問控制。
● 對移動用戶采用基于用戶+應(yīng)用的策略控制,實現(xiàn)精細權(quán)限管理,并記錄日志。
● 對郵件、IM、文件傳輸?shù)冗M行內(nèi)容過濾和審計,監(jiān)控社交類應(yīng)用,避免數(shù)據(jù)泄露。
互聯(lián)網(wǎng)出口防護
● 在互聯(lián)網(wǎng)出口部署下一代防火墻,在出口進行訪問控制,阻止一切非認證訪問。
● 啟用入侵防御功能,提供萬兆級應(yīng)用層威脅實時防護。
● 對郵件、IM、文件傳輸?shù)冗M行內(nèi)容過濾和審計,監(jiān)控社交類應(yīng)用,避免數(shù)據(jù)泄露。
● 基于用戶、應(yīng)用、時間進行QoS管理,優(yōu)先保障核心用戶和關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量。
● 通過URL分類和應(yīng)用阻斷進行上網(wǎng)行為管理。阻斷掛馬網(wǎng)站和工作無關(guān)網(wǎng)站,根據(jù)角色監(jiān)控員工可以訪問的網(wǎng)站和可以使用的網(wǎng)絡(luò)應(yīng)用。
云數(shù)據(jù)中心邊界防護
● 數(shù)據(jù)中心出口部署下一代防火墻,進行安全業(yè)務(wù)和系統(tǒng)資源的虛擬化特性,可為每個虛擬環(huán)境提供超乎尋常的安全體驗。
● 萬兆級入侵防御可有效阻斷各類黑客攻擊,并可根據(jù)不同的虛擬環(huán)境需求,提供差異化的防御特性,保障數(shù)據(jù)安全。
● 通過Anti-DDoS特性,對拒絕服務(wù)攻擊流量進行清洗,保障數(shù)據(jù)中心對外業(yè)務(wù)。
VPN遠程互聯(lián)
● 通過下一代防火墻的VPN接入,在互聯(lián)網(wǎng)上構(gòu)建一條可信、可控、可管的安全傳輸隧道。
● 在外人員和移動用戶可通過SSL VPN接入,提供Windows、IOS、Android、Blackberry,Symbian多種操作系統(tǒng)支持,提供泛終端的接入能力。
