华为下一代防火墙
华为Eudemon1000E-N下一代防火墙 - Huawei - Building A ...
6-1华为Eudemon1000E-N 下一代防火墙华为Eudemon1000E-N 下一代防火墙Eudemon1000E-N 下一代防火墙随着互联网技术的不断发展,智能手机、iPad 等终端被更多地应用到办公中,移动应用程序、Web2.0、社交网络应用于生产生活的方方面面。
网络边界变得模糊,信息安全问题日益复杂。
传统的安全网关通常只能通过IP 和端口进行安全防护,难以完全应对层出不穷的应用威胁和Web 威胁。
Eudemon1000E-N 系列是华为公司为解决运营商、企业、政府、数据中心等机构的网络安全问题自主研发的下一代防火墙产品。
它基于业界领先的软、硬件体系架构,通过对应用、用户、威胁、时间、位置的全面感知,将网络环境清晰的映射为业务环境。
在应用识别的基础上提供精准的管控能力,融合了IPS 攻击防护、AV 防病毒、URL 过滤,Web 内容过滤,反垃圾邮件和邮件过滤等行业领先的专业安全技术,支持IPv6防护及过渡技术,为用户提供强大、可扩展、持续的安全能力。
在运营商、政府、金融、电力、石油、教育、工业制造等行业得到广泛应用。
下一代防火墙,地址才能“应用(Application )、时间(Time )、用户多个维度解析企业的业务流量,并结合各种维度进行、行为识别等技术手段,准确识别超过6000个网络应用。
• 用户:通过Radius 、LDAP 、AD 等8种用户识别手段,将流量中的IP 地址与现实世界中的用户信息联系起来。
基于用户对网络流量进行管控。
• 威胁:支持超过5000+特征的攻击检测和防御。
支持Web 攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。
可以识别和防范SYN flood 、UDP flood 等10+种DDoS 攻击,识别500多万种病毒。
采用基于云的URL 分类过滤,预定义的URL 分类库已超过8500万,阻止访问恶意网站带来的威胁。
• 位置:与全球位置信息结合,识别流量及威胁发起的位置信息;使用流量地图和威胁地图快速发现异常,进而制定对应的防护策略。
华为USG6500系列下一代防火墙产品简版彩页
产品概述企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。
移动APP 、Web2.0、社交网络让企业处于开放的网络环境,攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透,企业面临前所未有的安全风险,传统防火墙面对变革却无能为力。
华为Secospace USG6500系列下一代防火墙应需而生,面向下一代网络环境,基于“ACTUAL ”感知,实现安全管理自我优化,通过云技术识别未知威胁,高性能地为中小企业、大型企业的分支机构、小型数据中心提供以应用层威胁防护为核心的下一代网络安全。
华为Secospace USG6500系列下一代防火墙产品特点最精准的应用访问控制•全面创新的下一代环境感知和访问控制。
通过应用、内容、时间、用户、威胁和位置六个维度的组合,全局感知日益增多的应用层威胁,实现应用层安全防护。
•丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现,让用户全方位感知,安全运营。
•深度融合的下一代内容安全。
通过解析引擎合并,将安全能力与应用识别深度融合,防范借助应用进行的恶意代码植入、网络入侵、数据窃取等破坏行为。
最高的性能体验•专用软硬件平台架构,IAE 单次解析引擎。
智能感知应用信息后,全安全特性并行处理。
•内容检测硬件加速,提升应用层防护效率,保障全安全特性开启下的最佳性能。
最简单的安全管理•根据应用场景提供策略模板,实现策略快速部署。
•根据网络中的实际流量和应用的风险,遵循最小权限控制原则,自动生成策略优化建议。
•分析策略命中率,发现冗余、失效的策略,有效控制策略规模,简化管理。
最全面的未知威胁防护•遍布全球的安全中心,丰富的可疑样本来源。
在云端采用沙箱技术,在模拟环境中监控可疑样本的运行行为,高效发现未知威胁。
•发现未知威胁后自动提取威胁特征,并迅速将特征同步到设备侧,有效防范零日攻击。
•准确、完善的信誉体系,防范APT攻击。
USG6550/6570USG6510-sjjUSG6530产品规格。
华为USG6000下一代防火墙产品竞争分析(渠道版)
HUAWEI CONFIDENTIAL HUAWEI PARTNER USE ONLY—DO NOT DISTRIBUTE Part 1:Competitive Overview 竞争总览 Landscape Overview 市场概览 下一代防火墙(NGFW)是当前安全市场的热点。除拥有传统防火墙的所有功能外,NGFW 能够 基于应用进行访问控制,结合 IPS 进行一体化防御,并集成了更多的安全功能。NGFW 与 UTM(统一 安全管理)同为多功能安全网关设备,最显著的区别在于性能。通常, UTM 开启 IPS (入侵防御功能) 后性能下降到原有的 20%~30%,再开启 AV(防病毒)功能后性能下降到仅剩 10%。而下一代防火墙 在同时开启 IPS 和 AV 功能后,性能下降不超过 50%。 由于具备更多的功能和更强的性能,NGFW 成为企业购买前安全网关的首选。根据全球知名咨询 机构《2014 年 Gartner 企业防火墙魔力象限》报告,当前全球仅有 20%的企业在使用下一代防火墙, 到 2014 年底,这个比例会增加到 35%。2014 年企业购买的边界安全网关,有 70%都将是 NGFW。下 一代防火墙的市场即将步入爆发期。
Competitor 竞争对手 Key Feature 关键特性 Performance 性能 Price 价格 Scalability 扩展性 Security 安全性 Management 可管理性 竞争对手解读 Cisco:只有营销意义上的下一代防火墙产品,产品能力上依然是传统防火墙。随着国家对 安全国产化的重视,原有市场份额被逐渐蚕食。产品价格高。 Fortinet:产品能力与华为基本持平,但缺少国内的相关认证,价格高。 高 低 高 高 高 中 低 中 中 中 中 中 中 低 高 中 高 低 中 低 高 高 高 高 高 华为 天融信 深信服 Cisco Fortinet
华为USG6300系列下一代防火墙招标规格引导
★采用非X86多核架构,支持交流双电源
★接口要求
千兆电接口数≥8,千兆光口数≥4
扩展插槽≥2个,最大接口数≥26个千兆接口+4个万兆接口(提供设备满配照片)
支持硬件电口Bypass卡(提供Bypass卡配置截图),支持≥200G硬盘
性能要求
★吞吐量≥4Gbps,最大并发连接数≥400万,每秒新建连接数≥6万
防火墙产品连续两年进入Gartner企业防火墙四象限,提供证明材料
具有《TL9000》品质管理体系认证证书,提供证书复印件,以及在TL9000证书查询网站的链接与截图证明
国家信息安全漏洞库漏洞提交厂商(提供CNNVD官网链接和截图)
USG63
指标项
技术规格要求
配置要求
★千兆电口≥4;千兆Combo接口≥2;SSL VPN并发数≥100;IPSecVPN隧道≥2000;虚拟防火墙数量≥50;3年IPS,AV,URL过滤特性库升级授权(选配)
硬件架构
★采用非X86多核架构,支持交流双电源
★接口要求
千兆电接口数≥4,千兆Combo(光电互斥)接口≥2
扩展插槽≥2个,最大接口数≥20个千兆接口+4个万兆接口(提供设备满配照片)
支持硬件电口Bypass卡(提供Bypass卡配置截图),支持≥200G硬盘
性能要求
★吞吐量≥3Gbps,最大并发连接数≥300万,每秒新建连接数≥3万
防火墙产品连续两年进入Gartner企业防火墙四象限,提供证明材料
具有《TL9000》品质管理体系认证证书,提供证书复印件,以及在TL9000证书查询网站的链接与截图证明
国家信息安全漏洞库漏洞提交厂商(提供CNNVD官网链接和截图)
USG635
华为USG6000系列下一代防火墙
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
华为USG9500系列T级下一代防火墙简版彩页
大数据时代下,部署高性能多业务防产品概述大数据时代,网络流量几何级数增长,网络接入方式灵活多样,全联接已经成为常态,业务形态按需扩展,眼镜、手表、甚至是家庭电器,健康检测产品等终端都在智能化,在与人类的活动建立起数字的联接。
人们足不出户,就可以畅享移动办公带来的效率和便利。
但是,传统的安全结构却正在瓦解,联接技术要求更加敏捷和无处不在,同时又需要安全可靠和保护数据隐私,而保障安全可靠和数据隐私防护就要克服泛在化的安全漏洞、风险、防御持续恶意的入侵。
安全已经成为ICT世界最重要和迫切的问题。
因此,在云服务提供商、大型数据中心和大型企业园区网络边界,迫切需要更换老的防火墙为高性能多业务的下一代防火墙,任何有类似需求的企业用户都应该尽快评估当前的防火墙设备在功能和性能上是否遇到了瓶颈,未雨绸缪,防患于未然。
产品特点功能合一,一台设备顶多台⏹传统防护:电信级地址翻译能力及溯源方案,满足公安部监管需要,多出口公网加速,节省带宽资源⏹下一代防护:ACTUAL六维业务立体感知,SmartPolicy策略自动优化去重,零日攻击检测防御,全球URL恶意网址过滤,最新病毒检测防护等⏹云化环境支持:虚拟数据中心多租户运营,弹性定义分配虚拟资源,支持向SDN/NFV网络演进。
⏹V PN:硬件加解密引擎,支持MPLS/IPSec/GRE/ L2TP等多种加密方案,满足总部分支远程安全互联需求。
USG9520 USG9560 USG9580性能卓越,保护长期客户TCO⏹分布式硬件架构:扩展插卡设计,扩容方便,保护投资TCO,整机性能最高可达1.92Tbps⏹多CPU业务板:单槽位奢侈配置4个CPU,高密度节省机房空间并降低功耗,延长使用寿命,轻松面对带宽增长⏹高密接口板:支持GE、10GE、40GE、100GE等各种接口类型,单槽位密度可达48*GE或24*10GE稳定可靠,业务运行无中断软件冗余:支持主-主,主-备双机热备份功能,可针对会话业务、配置、VPN隧道进行备份;支持链路健康状态探测,可基于负载、权重、应用等的选路硬件冗余:支持双主控、端口汇聚、电源和风扇冗余等,硬件可靠性达99.999%板卡热插拔:支持接口板、业务板、主控板等板卡热插拔,可在线不中断业务升级注:性能数据是在理想环境下测试得出,实际情况会因现网情况不同而出现变化。
华为企业网络安全产品全家福
ASG2050
• 固定接口:2Combo • 扩展槽数:6 • 支持选配WIFI扩展卡 • 200用户
ASG2100
• 固定接口:4GE+2Combo • 扩展槽数:5 • 支持选配WIFI扩展卡 • 400用户
ASG2150
• 固定接口:4GE+2Combo • 扩展槽数:5 • 支持选配WIFI扩展卡 • 800用户
Web应用防火墙
WAF2000&5000系列产品
• 30余类Web攻击防护:SQL注入,跨站脚本 • 策略自学习建模及白名单防护技术 • 防护敏感信息泄露,防止恶意言论提交 • 支持多种盗链识别算法,防止盗链行为 • 静态网页篡改与预警 • 支持Web应用加速 • 站点自动监测,站点访问统计报表实时呈现
入侵检测防御系统
NIP2000D&5000D入侵检测系列产品
• 漏洞攻击,Web应用攻击,蠕虫木马恶意软件等的检测 • 漏洞特征检测技术及自学习流量 • 网络应用管控,识别1200+应用协议 • 2-7层DDOS攻击检测 • 针对性报警信息,30&入侵防御系列产品
• IPS漏洞攻击防护,Web应用防护,恶意软件控制 • 漏洞特征检测以及自学习业务流量,防御零误报 • 网络应用管控,识别1200+应用协议 • 2-7层DDOS攻击防护 • 针对性报警信息,30+安全报表
USG2110-F-W
• 标配接口:10*FE+WIFI • 桌面式 • 赠送64条VPN隧道
小型分支USG2000系列防火墙
USG2130
• 标配接口:9*FE • 1U机架式 • 扩展槽数:1 • 赠送64条VPN隧道
分支机构USG2200系列产品
华为USG6600系列下一代防火墙规格清单(渠道版)
USG6570 1200~1600 9Gbit/s 4,000,000 80,000 3Gbit/s 4,000 1,000 15,000 100 支持 支持 支持 支持 支持 支持 支持 支持 8GE+4SFP 2WSIC
WSIC: 2×10GE(SFP+)+8×GE(RJ45), 8×GE(RJ45), 8×GE(SFP), 4×GE(RJ45)BYPASS 1U 机架 442*421*43.6 10KG 选配 100~240V 170W 1U 机架 442*421*43.6 10KG 选配 100~240V 170W 1U 机架 442*421*43.6 10KG 选配 100~240V 170W 1U 机架 442*421*43.6 10KG 选配 100~240V 170W
USG6530 500~700 2Gbit/s 3,000,000 30,000 400Mbit/s 4,000 500 15,000 50 支持 支持 支持 支持 支持 支持 支持 支持 4GE+2Combo 2WSIC
USG6550 900~1100 5Gbit/s 4,000,000 70,000 3Gbit/s 4,000 1,000 15,000 100 支持 支持 支持 支持 支持 支持 支持 支持 8GE+4SFP 2WSIC
可视化多维度报表呈现,支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。 部署及可靠性 参考用户数*:仅供参考,根据实际网络环境的不同可能会有差异。
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身,全局配置视图和一体化策 略管理。 识别6000+应用,访问控制精度到应用功能,例如:区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率 。 病毒库每日更新,可迅速检出超过500万种病毒。 对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、PPT、PDF等,并对敏感内容进行过滤。 在识别业务应用的基础上,可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。管控方式包括:限制最大带宽或保障最小带宽、应用的 策略路由、修改应用转发优先级等。 URL分类库超过8500+万,可区分对不同类别网站的访问,并对访问行为进行管理,防范恶意网站对企业网络的侵害。可对特定类别网站的访问进行加 速,保障对高优先级网站的访问体验。 可基于用户的访问地址和内容进行审计、溯源。 支持服务器负载均衡和链路负载均衡,充分利用现有网络资源。 支持基于业务的策略路由,在多出口场景下可根据多种负载均衡算法(如带宽比例、链路健康状态等)进行智能选路。 支持丰富高可靠性的VPN特性,如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等; 可作为代理检测并防御隐藏在SSL加密流量中的威胁,包括入侵防御、防病毒、内容过滤、URL过滤等应用层防护。 支持DDoS攻击防护,防范SYN flood、UDP flood等10+种常见DDoS攻击。 支持多种用户认证方式,包括本地、RADIUS、Hwtacacs、SecureID、AD、CA、LDAP、EndPoint Security等。 支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。 预置常用防护场景模板,快速部署安全策略,降低学习成本。 自动评估安全策略存在的风险,智能给出优化建议。 支持策略冲突和冗余检测,发现冗余的和长期未使用策略,有效控制策略规模。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
产品概述
企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。
移动APP 、Web2.0、社交网络让企业处于开放的网络环境,攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透,企业面临前所未有的安全风险,传统防火墙面对变革却无能为力。
华为Secospace USG6300系列下一代防火墙应需而生,面向下一代网络环境,基于“ACTUAL ”感知,实现安全管理自我优化,通过云沙箱技术和信誉体系识别未知威胁,高性能地为中小企业、大型企业的分支机构、小型数据中心提供以应用层威胁防护为核心的下一代网络安全。
华为Secospace USG6300系列
下一代防火墙
产品特点
最精准的应用访问控制
•全面创新的下一代环境感知和访问控制。
通过应用、内容、时间、
用户、威胁和位置六个维度的组合,全局感知日益增多的应用层威胁,实现应用层安全防护。
•丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现,让用户全方位感知,安全运营。
•深度融合的下一代内容安全。
通过解析引擎合并,将安全能力与应用识别深度融合,防范借助应用进行的恶意代码植入、网络入侵、
数据窃取等破坏行为。
最高的性能体验
•专用软硬件平台架构,IAE 单次解析引擎。
智能感知应用信息后,
全安全特性并行处理。
•内容检测硬件加速,提升应用层防护效率,保障全安全特性开启下的最佳性能。
最简单的安全管理
•根据应用场景提供策略模板,实现策略快速部署。
•根据网络中的实际流量和应用的风险,遵循最小权限控制原则,自动生成策略优化建议。
•分析策略命中率,发现冗余、失效的策略,有效控制策略规模,简化管理。
最全面的未知威胁防护
•遍布全球的安全中心,丰富的可疑样本来源。
在云端采用沙箱技术,在模拟环境中监控可疑样本的运行行为,高效发现未知威胁。
•发现未知威胁后自动提取威胁特征,并迅速将特征同步到设备侧,有效防范零日攻击。
•准确、完善的信誉体系,防范APT
攻击。
USG6370/6380/6390
USG6310/6320
USG6330/6350/6360
华为Secospace USG6300系列下一代防火墙
产品规格。