华为USG6000系列下一代防火墙
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
USB
USB USB USB
--SmartPolicy智能策略管理
13
NGFW管理,你真的准备好了吗?
应用
Anti Spam
DDoS
IP
内容
VPN
Port
用户
IPS
协议
威胁
AV
传统防火墙(L4)
位置
URL
DLP
下一代防火墙(L7)
管控维度增加1倍
➢ 四层五元组管控七层应用威胁管控
管控粒度精细3-5倍
➢ 应用识别、 IPS 、URL等
安全能力与应用识别深度融合
6维控制:
• 应用识别基础上的入侵检测、防病毒 • 应用识别基础上的内容过滤 •用户不同、位置不同、时间不同,对应的访 问权限也不同 •对放行的高风险应用,进行更深入的安全防 护
6
应用识别业界第一
10+年积累 业界No.1
7
应用用于“访问控制”而不是“上网行为管理”
• ERP • CRM • Mail • Weibo
即使第一次使用NGFW,在2个页面内,3次点击鼠标即可完成快速部署。
16
策略智能优化
流量学习
10101101101 01 10101101100 001 101011001011011 101011001011011 1101011010111000 0001110100110110 1010110101110110 01101010101 0111 10101100101110100 010101010100011 000111011011010 10110110110101
11
面对变化的用户IP
8种认证方式:
•支持本地认证、Radius认证、LDAP认证、 AD域认证、SecureID认证、Policy Center 认证、HWTACACS认证等方式识别用户。
价值:
•应对移动化办公趋势 •基于用户的安全策略 •基于用户的带宽管理策略 •基于用户的上网行为管理
“位置”感知:我知道你在哪
不是IP和端口。
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
华为USG6000系列下一代防火墙
ICT&威胁的改变:推动了安全技术的变革
移动化
ICT
云计算
社交化
…
大数据
网
络
APT
威
移动威胁 Web威胁 僵尸网络
胁
蠕虫
木马
1
6X
+ WEB
+
威胁激增
手段多样&隐蔽
难以管控
防火墙:网络中必不可少的门卫
分支机构
终端安全
FW Internet
终端安全
2
企业网络
办公网
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
5
一体化策略:安全防护一体化
6000+应用识别
Application Content Time
30+文件内容识别 120+文件类型识
别
8种用户认证技术
全面环境感知 位置信息库
User Attack Location
3500+新威胁识别 500万恶意代码 8500万URL
NGFW安全策略:
五元组
应用 内容 时间 用户 威胁 位置 动作
你需要一名非常非常专业的安全管理员。 或者
下一代防火墙本身具备智能 的自动化管理能力
14
Smart Policy:你身边的安全咨询专家
策略优化
Smart Policy
对策略的生成、调整、消除,都能提供帮助。
15
Smart Policy实现快速部署上线
系统预置安全策略模板
系统预置应用类别和风险组
MSSP/OSSБайду номын сангаас
API
通过API,可编程管理NGFW
✓ 定义安全&认证策略 ✓ 用户动态上线 ✓ 定义地址对象&安全域 ✓ 获取NGFW系统信息 ✓ ……
NGFW管理不再仅依赖网管软件
RESTful架构风格,开放、易扩展
20
U盘开局:缩短部署时间,降低人员需求
传统部署方式 需要大量高技能工程师
创新U盘开局 插入预先配置的U盘,即可完成部署
数据中心
终端安全
IPS
FW
DMZ
FW IPS
SSL VPN 云数据中心
WAF SOC
FW Anti-
IPS
FW
DDoS
VFW
为什么需要NGFW
NGFW
最低 要求
APP
标准FW功能
应用感知
基础
IPS一体化
智能联动/分析
功能
大企业环境
场景
为什 么要
应用管不住:企业用社交网络办公越来越多,微博微信越发普及,需要针对应用和用户来做管理,而
最重要的是这一切都是自动进行的。
17
智能优化的管理方法
安全风险自动评估
安全风险降低
策略风险分解 安全策略自动调优
18
Smart Policy提供了策略精简的方法
冗余策略分析
策略命中分析
自动帮你找出系统中重复的策略、无用的策略,你可 以一键删除,也可以修改调整。
19
开放API接口:NGFW管理可编程
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
2
简 最 单的策略管理
智能联动
9
业务加速
多种技术保障最精确的检测
分片分段重组 协议去干扰 统计识别 启发式行为识别
多种分析技术 让加密应用无所遁形
10
PCREX 一体化规则
Signature Protocol Behavior
特征
+
行为
标准协议 加密协议
特征库升级
独家数据驱动语言 引擎免升级识别不中断
“用户”感知:我知道你是谁
USB USB USB
--SmartPolicy智能策略管理
13
NGFW管理,你真的准备好了吗?
应用
Anti Spam
DDoS
IP
内容
VPN
Port
用户
IPS
协议
威胁
AV
传统防火墙(L4)
位置
URL
DLP
下一代防火墙(L7)
管控维度增加1倍
➢ 四层五元组管控七层应用威胁管控
管控粒度精细3-5倍
➢ 应用识别、 IPS 、URL等
安全能力与应用识别深度融合
6维控制:
• 应用识别基础上的入侵检测、防病毒 • 应用识别基础上的内容过滤 •用户不同、位置不同、时间不同,对应的访 问权限也不同 •对放行的高风险应用,进行更深入的安全防 护
6
应用识别业界第一
10+年积累 业界No.1
7
应用用于“访问控制”而不是“上网行为管理”
• ERP • CRM • Mail • Weibo
即使第一次使用NGFW,在2个页面内,3次点击鼠标即可完成快速部署。
16
策略智能优化
流量学习
10101101101 01 10101101100 001 101011001011011 101011001011011 1101011010111000 0001110100110110 1010110101110110 01101010101 0111 10101100101110100 010101010100011 000111011011010 10110110110101
11
面对变化的用户IP
8种认证方式:
•支持本地认证、Radius认证、LDAP认证、 AD域认证、SecureID认证、Policy Center 认证、HWTACACS认证等方式识别用户。
价值:
•应对移动化办公趋势 •基于用户的安全策略 •基于用户的带宽管理策略 •基于用户的上网行为管理
“位置”感知:我知道你在哪
不是IP和端口。
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
华为USG6000系列下一代防火墙
ICT&威胁的改变:推动了安全技术的变革
移动化
ICT
云计算
社交化
…
大数据
网
络
APT
威
移动威胁 Web威胁 僵尸网络
胁
蠕虫
木马
1
6X
+ WEB
+
威胁激增
手段多样&隐蔽
难以管控
防火墙:网络中必不可少的门卫
分支机构
终端安全
FW Internet
终端安全
2
企业网络
办公网
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
5
一体化策略:安全防护一体化
6000+应用识别
Application Content Time
30+文件内容识别 120+文件类型识
别
8种用户认证技术
全面环境感知 位置信息库
User Attack Location
3500+新威胁识别 500万恶意代码 8500万URL
NGFW安全策略:
五元组
应用 内容 时间 用户 威胁 位置 动作
你需要一名非常非常专业的安全管理员。 或者
下一代防火墙本身具备智能 的自动化管理能力
14
Smart Policy:你身边的安全咨询专家
策略优化
Smart Policy
对策略的生成、调整、消除,都能提供帮助。
15
Smart Policy实现快速部署上线
系统预置安全策略模板
系统预置应用类别和风险组
MSSP/OSSБайду номын сангаас
API
通过API,可编程管理NGFW
✓ 定义安全&认证策略 ✓ 用户动态上线 ✓ 定义地址对象&安全域 ✓ 获取NGFW系统信息 ✓ ……
NGFW管理不再仅依赖网管软件
RESTful架构风格,开放、易扩展
20
U盘开局:缩短部署时间,降低人员需求
传统部署方式 需要大量高技能工程师
创新U盘开局 插入预先配置的U盘,即可完成部署
数据中心
终端安全
IPS
FW
DMZ
FW IPS
SSL VPN 云数据中心
WAF SOC
FW Anti-
IPS
FW
DDoS
VFW
为什么需要NGFW
NGFW
最低 要求
APP
标准FW功能
应用感知
基础
IPS一体化
智能联动/分析
功能
大企业环境
场景
为什 么要
应用管不住:企业用社交网络办公越来越多,微博微信越发普及,需要针对应用和用户来做管理,而
最重要的是这一切都是自动进行的。
17
智能优化的管理方法
安全风险自动评估
安全风险降低
策略风险分解 安全策略自动调优
18
Smart Policy提供了策略精简的方法
冗余策略分析
策略命中分析
自动帮你找出系统中重复的策略、无用的策略,你可 以一键删除,也可以修改调整。
19
开放API接口:NGFW管理可编程
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
2
简 最 单的策略管理
智能联动
9
业务加速
多种技术保障最精确的检测
分片分段重组 协议去干扰 统计识别 启发式行为识别
多种分析技术 让加密应用无所遁形
10
PCREX 一体化规则
Signature Protocol Behavior
特征
+
行为
标准协议 加密协议
特征库升级
独家数据驱动语言 引擎免升级识别不中断
“用户”感知:我知道你是谁