USG6600下一代防火墻

當(dāng)前，智能手機(jī)、iPad等終端已經(jīng)普及，移動(dòng)應(yīng)用程序、Web2.0、社交網(wǎng)絡(luò)應(yīng)用于企業(yè)運(yùn)營(yíng)的方方面面。企業(yè)網(wǎng)絡(luò)邊界變得模糊，信息安全問題日益復(fù)雜。通過IP和端口進(jìn)行訪問控制的傳統(tǒng)的防護(hù)墻無法應(yīng)對(duì)層出不窮的應(yīng)用層威脅。

華為USG6600系列下一代防火墻面向大中企業(yè)和數(shù)據(jù)中心，通過對(duì)應(yīng)用、用戶、內(nèi)容、威脅、時(shí)間、位置6個(gè)維度的全面感知，提供精細(xì)的業(yè)務(wù)訪問控制和加速。入侵防御（IPS）和防病毒（AV）等應(yīng)用層深度防御與應(yīng)用識(shí)別相結(jié)合，有效提高了威脅防御的效率和準(zhǔn)確性。同時(shí)，采用業(yè)界的Smart Policy技術(shù)，智能地優(yōu)化和精簡(jiǎn)已部署安全策略。降低了下一代防火墻的整體運(yùn)營(yíng)成本，持續(xù)、簡(jiǎn)單、高效地提供下一代網(wǎng)絡(luò)安全。

產(chǎn)品外觀

    USG6600 下一代防火墻

產(chǎn)品特性

精準(zhǔn)的訪問控制

傳統(tǒng)防火墻主要通過端口和IP進(jìn)行訪問控制，下一代防火墻的核心功能依然是訪問控制。USG6000在控制的維度和精細(xì)程度上都有很大的提高：

• 一體化防護(hù)：

• 
  

• 從應(yīng)用、用戶、內(nèi)容、時(shí)間、威脅、位置6個(gè)維度進(jìn)行一體化的管控和防御。內(nèi)容層的防御與應(yīng)用識(shí)別深度結(jié)合，一體化處理。例如： 識(shí)別出Oracle的流量，進(jìn)而針對(duì)性地進(jìn)行對(duì)應(yīng)的入侵防御，效率更高，誤報(bào)更少。

• 基于應(yīng)用：

• 
  

• 運(yùn)用多種技術(shù)手段，準(zhǔn)確識(shí)別包括移動(dòng)應(yīng)用及Web應(yīng)用內(nèi)的6000+應(yīng)用協(xié)議及應(yīng)用的不同功能，繼而進(jìn)行訪問控制和業(yè)務(wù)加速。例如：區(qū)分微信的語(yǔ)音和文字后采取不同的控制策略。

• 基于用戶：

• 
  

• 通過Radius、LDAP、AD等8種用戶識(shí)別手段集成已有用戶認(rèn)證系統(tǒng)簡(jiǎn)化管理?；谟脩暨M(jìn)行訪問控制、QoS管理和深度防護(hù)。

• 基于位置：

• 
  

• 與位置信息結(jié)合，識(shí)別流量發(fā)起的位置信息；掌控應(yīng)用和攻擊發(fā)起的位置，時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)異常情況。根據(jù)位置信息可以實(shí)現(xiàn)對(duì)不同區(qū)域訪問流量的差異化控制。支持根據(jù)IP自定義位置

全面的防護(hù)范圍

越來越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上，網(wǎng)絡(luò)攻擊和信息竊取形成巨大的產(chǎn)業(yè)鏈，這對(duì)下一代防火墻的防護(hù)范圍提出了更高要求。USG6000具備全面的防護(hù)功能：

• 一機(jī)多能：

• 
  

• 集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、上網(wǎng)行為管理等功能于一身，簡(jiǎn)化部署，提高管理效率。

• 入侵防護(hù)（IPS）：

• 
  

• 超過3500+漏洞特征的攻擊檢測(cè)和防御。支持Web攻擊識(shí)別和防護(hù)，如跨站腳本攻擊、SQL注入攻擊等；

• 防病毒（AV）：

• 
  

• 高性能病毒引擎，可防護(hù)500萬種以上的病毒和木馬，病毒特征庫(kù)每日更新；

• 數(shù)據(jù)防泄漏：

• 
  

• 對(duì)傳輸?shù)奈募蛢?nèi)容進(jìn)行識(shí)別過濾?？勺R(shí)別120+種常見文件類型，防止通過修改后綴名的病毒攻擊。能對(duì)Word、Excel、PPT、PDF、RAR等30+文件進(jìn)行還原和內(nèi)容過濾，防止企業(yè)關(guān)鍵信息通過文件泄露。

• SSL解密：

• 
  

• 作為代理，可對(duì)SSL加密流量進(jìn)行應(yīng)用層安全防護(hù)，如IPS、AV、數(shù)據(jù)防泄漏、URL過濾等。

• Anti-DDoS：

• 
  

• 可以識(shí)別和防范SYN flood、UDP flood等10+種DDoS攻擊，識(shí)別500多萬種病毒。

• 上網(wǎng)行為管理：

• 
  

• 采用基于云的URL分類過濾，預(yù)定義的URL分類庫(kù)已超過8500萬，阻止員工訪問惡意網(wǎng)站帶來的威脅。并可對(duì)員工的發(fā)帖、FTP等上網(wǎng)行為進(jìn)行控制?？蓪?duì)上網(wǎng)記錄進(jìn)行審計(jì)。

• 安全互聯(lián)：

• 
  

• 豐富的VPN特性，確保企業(yè)總部和分支間高可靠安全互聯(lián)。支持IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等；

• QoS管理：

• 
  

• 基于應(yīng)用靈活的管理流量帶寬的上限和下限，可基于應(yīng)用進(jìn)行策略路由和QoS標(biāo)簽著色。支持對(duì)URL分類的QoS標(biāo)簽著色，例如：優(yōu)先轉(zhuǎn)發(fā)對(duì)財(cái)經(jīng)類網(wǎng)站的訪問。

• 負(fù)載均衡：

• 
  

• 支持服務(wù)器間的負(fù)載均衡。對(duì)多出口場(chǎng)景，可按照鏈路質(zhì)量、鏈路帶寬比例、鏈路權(quán)重基于應(yīng)用進(jìn)行負(fù)載均衡。

• 虛擬化：

• 
  

• 支持多種安全業(yè)務(wù)的虛擬化，包括防火墻、入侵防御、反病毒、VPN等。不同用戶可在同一臺(tái)物理設(shè)備上進(jìn)行隔離的個(gè)性化管理。

簡(jiǎn)單的安全管理

下一代防火墻的防護(hù)范圍和控制精度比傳統(tǒng)防火墻大大增加，這對(duì)使用者的經(jīng)驗(yàn)和技能提出了更高的要求。華為USG6000利用Smart Policy功能降低對(duì)使用者的要求，更好的進(jìn)行防護(hù)。Smart Policy主要具備以下功能：

• 快速部署策略：

• 
  

• 內(nèi)置場(chǎng)景策略模板，不依賴使用者的經(jīng)驗(yàn)也能快速地部署常用防護(hù)策略。例如：如果希望使用網(wǎng)絡(luò)存儲(chǔ)，管理員僅需基于“使用網(wǎng)盤"這個(gè)策略模板，就能建立一系列策略。在策略中，對(duì)網(wǎng)盤類應(yīng)用允許下載并進(jìn)行病毒檢測(cè)，但禁止文件上傳。

• 智能優(yōu)化策略：

• 
  

• 根據(jù)內(nèi)置應(yīng)用風(fēng)險(xiǎn)庫(kù)和網(wǎng)絡(luò)實(shí)際流量對(duì)已部署的安全策略進(jìn)行評(píng)估和優(yōu)化，使其符合*小原則。在企業(yè)遺留大量端口防護(hù)策略，需要轉(zhuǎn)換為NGFW使用的應(yīng)用防護(hù)策略時(shí)尤其有用。

• 智能精簡(jiǎn)策略：

• 
  

• 自動(dòng)發(fā)現(xiàn)重復(fù)的和長(zhǎng)期沒有使用的策略，精簡(jiǎn)策略規(guī)模，簡(jiǎn)化管理；

高效防護(hù)性能

UTM產(chǎn)品當(dāng)開啟應(yīng)用層防護(hù)時(shí)性能下降明顯，無法滿足當(dāng)前應(yīng)用層防護(hù)的性能要求。下一代防火墻要求在多重防護(hù)的情況下仍保持高性能。



USG6000系列下一代防火墻采用全新架構(gòu)的智能感知引擎（IAE, Intelligence Awareness Engine），采用了一次解析多業(yè)務(wù)并行處理的架構(gòu)，確保多重防御下的高性能體驗(yàn)。IAE使用了三大核心技術(shù)：

• 一體化描述語(yǔ)言：

• 
  

• 應(yīng)用識(shí)別、IPS、AV采用統(tǒng)一的描述語(yǔ)言，一次性處理，一次性分析，減少重復(fù)的操作；

• 一體化處理架構(gòu)：

• 
  

• 不同于UTM對(duì)各個(gè)安全功能串行處理，USG6000在完成統(tǒng)一解析后，各安全業(yè)務(wù)檢查是并行的，*后做統(tǒng)一處理。每個(gè)步驟一次性做好，確保多安全業(yè)務(wù)開啟情況下，對(duì)整體性能影響*小；

• 軟硬結(jié)合一體化：

• 
  

• 對(duì)有規(guī)律、大批量、高運(yùn)算能力要求的報(bào)文處理，例如：報(bào)文加解密、特征匹配，采用專用多核平臺(tái)由專用的協(xié)處理器硬件處理。對(duì)小規(guī)模的運(yùn)算，仍然用軟件處理。軟硬結(jié)合一體化的處理方式讓整體性能更高。

組網(wǎng)應(yīng)用

企業(yè)內(nèi)網(wǎng)邊界防護(hù)

• 
  

• 在企業(yè)內(nèi)網(wǎng)部門和無線接入的匯聚網(wǎng)絡(luò)部署下一代防火墻。對(duì)PC用戶通過防火墻策略基于用戶信息進(jìn)行訪問控制。

• 對(duì)移動(dòng)用戶采用基于用戶+應(yīng)用的策略控制，實(shí)現(xiàn)精細(xì)權(quán)限管理，并記錄日志。

• 對(duì)郵件、IM、文件傳輸?shù)冗M(jìn)行內(nèi)容過濾和審計(jì)，監(jiān)控社交類應(yīng)用，避免數(shù)據(jù)泄露。

互聯(lián)網(wǎng)出口防護(hù)

• 
  

• 在互聯(lián)網(wǎng)出口部署下一代防火墻，在出口進(jìn)行訪問控制，阻止一切非認(rèn)證訪問。

• 啟用入侵防御功能，提供萬兆級(jí)應(yīng)用層威脅實(shí)時(shí)防護(hù)。

• 對(duì)郵件、IM、文件傳輸?shù)冗M(jìn)行內(nèi)容過濾和審計(jì)，監(jiān)控社交類應(yīng)用，避免數(shù)據(jù)泄露。

• 基于用戶、應(yīng)用、時(shí)間進(jìn)行QoS管理，優(yōu)先保障核心用戶和關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量。

• 通過URL分類和應(yīng)用阻斷進(jìn)行上網(wǎng)行為管理。阻斷掛馬網(wǎng)站和工作無關(guān)網(wǎng)站，根據(jù)角色監(jiān)控員工可以訪問的網(wǎng)站和可以使用的網(wǎng)絡(luò)應(yīng)用。

云數(shù)據(jù)中心邊界防護(hù)

• 
  

• 數(shù)據(jù)中心出口部署下一代防火墻，進(jìn)行安全業(yè)務(wù)和系統(tǒng)資源的虛擬化特性，可為每個(gè)虛擬環(huán)境提供超乎尋常的安全體驗(yàn)。

• 萬兆級(jí)入侵防御可有效阻斷各類攻擊，并可根據(jù)不同的虛擬環(huán)境需求，提供差異化的防御特性，保障數(shù)據(jù)安全。

• 通過Anti-DDoS特性，對(duì)拒絕服務(wù)攻擊流量進(jìn)行清洗，保障數(shù)據(jù)中心對(duì)外業(yè)務(wù)。

VPN遠(yuǎn)程互聯(lián)

• 
  

• 通過下一代防火墻的VPN接入，在互聯(lián)網(wǎng)上構(gòu)建一條可信、可控、可管的安全傳輸隧道。

• 在外人員和移動(dòng)用戶可通過SSL VPN接入，提供Windows、IOS、Android、Blackberry，Symbian多種操作系統(tǒng)支持，提供泛終端的接入能力。

產(chǎn)品規(guī)格

整機(jī)規(guī)格：

功能：