华为USG6000系列下一代防火墙技术主打胶片VIP

华为USG6000系列下一代防火墙技术主打胶片,ICT&威胁的改变：推动了安全技术的变革,防火墙：网络中必不可少的门卫,目前只有不到20%的企业在网络出口部署了下一代防火墙（NGFWs），到2014年底，这个数字将上升到35%，同时有70%的企业在新的边界安全防护采购中会选择下一代防火墙。Source:Gartner15April2014MagicQuadrantforEnterpriseNetworkFirewalls,环境的复杂化、应用的多样化和威胁的不断进化推动下一代防火墙的需求。,物理边界模糊化逻辑边界难定义,攻击离散复杂化全球感知难同步,攻击已知变未知潜在威胁难预测,网络应用多样化威胁传播多途径,下一代防火墙正成为市场主打,Source：HENC2013用户问卷调查,为什么需要NGFW,标准FW功能,IPS一体化,应用感知,APP,智能联动/分析,最低要求,NGFW,大企业环境,场景,基础,功能,为什么要,NGFW,应用管不住：企业用社交网络办公越来越多，微博微信越发普及，需要针对应用和用户来做管理，而不是IP和端口。攻击防不住：攻击越来越隐蔽，手段越来越多样，防护起来愈发吃力性能撑不住：出口流量越来越大，威胁防护越来越复杂，开启防护后性能已经成为网络瓶颈,NGFW需要不断优化,目录,USG6000竞争分析,USG6000产品亮点,USG6000硬件介绍,3,USG6000应用场景介绍,4,1,2,荣誉&成功故事,5,最精准的访问控制,1,-6维管控，应用识别“多、细、准、快”,“管控能力”的升级,为什么要基于“应用”做访问控制？,端口,应用,现实世界中，应用可能使用任意端口，传统FW无法根据端口识别和控制应用。NGFW的进步在于更精细的访问控制，最佳使用原则：基于应用+白名单控制+最小授权,VS.,应用识别业界No.1,应用识别业界第一,覆盖最全面，管控最精细,Huawei,友商C,友商CP,友商P,1181,1600,5000,6000,ALL,P2P,450,422,GAME,321,183,75,62,120,56,ALL,P2P,GAME,ALL,P2P,GAME,ALL,P2P,GAME,WeChat,GreatWisdom,LINE,RapidShare,Freenet,Games,Games,Half-life,语音/文本,语音/文本,上传/下载,浏览/交易,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,友商F,3133,148,ALL,P2P,语音/文本,语音/文本,上传/下载,不支持,GAME,214,应用用于“访问控制”而不是“上网行为管理”,需要识别尽量多的应用。最小授权，仅有业务需要的应用被允许，无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。,白名单模式,黑名单模式,仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW，不够安全。,VS,多种技术保障最精确的检测,独家数据驱动语言,引擎免升级识别不中断,“PCREX”,PCREX-可编程的“应用”描述语言,华为PCREX正则表达式变量定义内置函数逻辑计算条件分支关联能力等等,迅雷特征描述片段非常复杂,防混淆防加密,基于应用、内容、时间的管控,网络环境业务环境,应用感知：基于应用的统计分析和访问控制基于应用的带宽管理，保障关键业务服务质量上网行为管理，提升员工效率内容感知识别真正的文件类型，对文件内容进行检查，防止数据泄露（DLP）；对危险的文件类型进行深度防护（AV）；时间感知基于时间的应用统计分析发现异常行为，为安全防护提供依据。例如下班时间频繁问核心区数据。,基于用户、攻击、未知的管控,网络环境业务环境,用户感知：基于用户的应用统计分析；基于用户的威胁统计分析；基于用户的访问控制、上网行为管理、流量控制；攻击感知：威胁统计分析，为安全防护提供依据；位置感知：流量地图：基于位置的应用统计分析攻击地图：基于位置的威胁统计分析基于位置的访问控制,“用户”感知：我知道你是谁,“位置”感知：我知道你在哪,IP位置,识别粒度：中国：地市级别美国：州级别其他：国家级别支持根据地址段自定义位置应用场景：流量地图：基于位置的流量统计分析报表威胁地图：基于位置的威胁统计分析报表位置策略：位置不同，访问权限不同举例：在公司总部可以访问的数据，在分公司不允许访问,一体化策略：安全防护一体化,安全能力与应用识别深度融合,6维控制：应用识别基础上的入侵检测、防病毒应用识别基础上的内容过滤用户不同、位置不同、时间不同，对应的访问权限也不同对放行的高风险应用，进行更深入的安全防护,3500+新威胁识别500万恶意代码8500万URL,30+文件内容识别120+文件类型识别,全面环境感知位置信息库,8种用户认证技术,6000+应用识别,NGFW安全策略：,最简单的策略管理,2,SmartPolicy智能策略管理,传统防火墙(L4),下一代防火墙(L7),NGFW管理，你真的准备好了吗？,管控维度增加1倍四层五元组管控七层应用威胁管控管控粒度精细3-5倍应用识别、IPS、URL等,你需要一名非常非常专业的安全管理员。,下一代防火墙本身具备智能的自动化管理能力,或者,SmartPolicy：你身边的安全咨询专家,新的分支机构的建立,办公场地迁移,员工加入离职,业务流量发生变化,员工部门调动,对新设备不熟悉.,缺乏足够安全知识,企业流量复杂,策略移植到新设备,缺乏足够优化技能,对策略的生成、调整、消除，都能提供帮助。,即使第一次使用NGFW，在2个页面内，3次点击鼠标即可完成快速部署。,SmartPolicy实现快速部署上线,系统预置安全策略模板,系统预置应用类别和风险组,策略智能优化,流量学习,业务感知,智能分析,优化建议,PolicyA：*PolicyB:*PolicyC：*PolicyD:*PolicyE:*,*,基于策略的流量学习，感知网络整体业务环境，基于业务和安全风险进行智能化分析，最终自动生成策略建议。,最重要的是这一切都是自动进行的。,策略下发,智能优化的管理方法,安全风险自动评估,策略风险分解,安全策略自动调优,安全风险降低,冗余策略分析,策略命中分析,自动帮你找出系统中重复的策略、无用的策略，你可以一键删除，也可以修改调整。,SmartPolicy提供了策略精简的方法,最全面的安全防护,3,功能最全的NGFW，基于云沙箱和信誉防范未知威胁,全面的威胁防护,集成了企业需要的各种防护功能。一机在手，安全我有。,DLP：识破伪装，防止泄密,XXXXXX价格XXXXXX身份证:XXXXXXXX信用卡:XXXXXXXXXXXXX设计方案XXXXXX,能识别常见文件的真实类型并对内容过滤检查。即使藏在压缩文件中，或更改扩展名也逃不过NGFW的火眼金睛。,业界领先的Anti-DDoS能力,独家“V-ISA”信誉机制,全面防护DDoS攻击“V-ISA”reputationmechanismtodefenseDDoS,V,I,S,A,I：基于IP信誉机制的僵尸网络防御,S：基于会话(Session)信誉的慢速攻击防御,A：基于行为信誉的应用(App.)攻击防御,V：支持Virtual化定制，支持虚机保护,Anti-DDOS流量自学习,传统的IPSecVPN工作模式,Spoke-Hub-Spoke网络模型的问题：Spoke与Hub之间建立VPN隧道，Spoke之间的通信需要通过Hub节点中转，需要进行两次加解封装操作。在网络中新增Spoke节点时，Hub节点需要新增对应的配置信息，增加维护成本。,DSVPN工作模式,Spoke-Spoke网络模型的优势：Spoke与Hub之间建立VPN隧道，Spoke之间按需动态建立VPN隧道，Spoke之间的通信在动态建立的VPN隧道内传输，无需通过Hub中转。采用点到多点的GRE（MultipointGRE）技术，在网络中新增Spoke节点时，由Spoke节点主动向Hub节点注册，无需修改Hub节点的配置。,虚拟化全业务防护：一台设备当多台用,虚拟系统边界防护:最大支持1000个虚拟系统的边界防护应用识别、入侵防御、防病毒、URL过滤等安全防护虚拟化资源虚拟化租户独享体验：不同租户个性化安全管理不同租户个性化QoS管理,最全面的沙箱种类,最全面的沙箱种类有效抵御APT,Huawei,CISCO,CheckPoint,PaloAlto,FireEye,Windows,WEB,Mobile,Sandbox,独家支持手机沙箱，快速识别手机恶意威胁,基于云沙箱技术抵御未知威胁,安全产品品质：威胁防御能力,安全基础能力,应用识别特征库,IPS签名库,病毒特征库,URL分类库,垃圾邮件列表,文件信誉,IP信誉,Web信誉,邮件信誉,安全知识,安全信誉,设备硬件,设备软件,安全能力：设备品质的关键,华为NGFW：自主知识产权的安全能力,国内主流安全厂商中，华为安全技术的自研程度最高；华为在国内的厂商中独家将安全信誉体系用于安全设备，信誉库同样是自研的。,最快速的性能体验,4,IAE一体化识别引擎,最佳的防护性能：软硬兼施，全万兆防护,单次解析引擎提升软件性能高速的应硬件平台和架构支撑,安全特性全开启的情况下是否还能保持高性能,最高的应用层处理性能（相同FW性能条件下）IPS性能和全威胁防御性能均达到业界顶尖水平,华为USG6650,友商P,友商CP,友商F,友商T,友商H,友商S,FW,应用识别,IPS,全威胁,VPN,20G档FW横向对比,IAE引擎简介,全新的一体化结构,软硬结合的算法,消耗大量计算资源的操作模式匹配（正则表达式）文件解压缩zip,gzip摘要计算(MD5,SHA)加解码加解密,基于流的文件处理,t1,t2,搞定！,USG6000产品和优势介绍,USG6320,USG6330/50/60,USG6650/60/70/80,精准管控,简单管理,高性能全面防护,快速部署：根据使用场景预置策略模板智能优化：流量学习，推荐策略调整建议策略精简：发现冗余和长期不使用的策略,业界最全沙箱技术：支持文件、Web、手机沙箱云端沙箱运行可以流量，快速发现零日威胁全面信誉体系（文件、Web、IP、邮件）：有效防范APT攻击，并提升性能集成FW、IPS、AV、DLP、VPN、AntiDDoS等全面功能，高性价比地提供安全防护方案最高20G全威胁处理性能，全威胁开启下性能损耗少于50%。,USG6370/80/90,USG6620/30,云,沙箱,信誉,微信,大智慧,LINE,RapidShare,Freenet,Games,Half-life,语音/文本,语音/文本,上传/下载,浏览/交易,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,Huawei,友商CP,友商C,友商P,业界最多、最细的应用感知,目录,USG6000竞争分析,USG6000产品亮点,USG6000硬件介绍,1,2,3,USG6000应用场景介绍,4,华为NGFW产品家族,USG6000硬件主机介绍6300/6500系列（千兆产品）,USG6320/USG6510-sjj,USG6370/6380/6390/USG6550/USG6570,USG6310,USG6330/6350/6360/USG6530,USG6000硬件主机介绍6600系列（万兆产品）,USG6650/USG6660,USG6670/USG6680,USG6620/USG6630,NGFW交换机插卡介绍,NGFW产品硬件概览,性能最高的小盒子产品；可通过长挂耳上机架,USG6320,全系支持硬盘全系支持双电源全系支持万兆口全系支持Bypass卡,USG6300/6500,国内首家下一代防火墙插卡软件功能最全的NGFW插卡,NGFW插卡,目录,USG6000竞争分析,USG6000产品亮点,USG6000硬件介绍,1,2,3,USG6000应用场景介绍,4,荣誉&成功故事,5,USG6000竞争分析,通用打法：国外品牌：国内政府行业或涉密行业不能进入，扩展性差，VPN不支持国密算法；引导更多的接口和安全License，促使其抬高商务；国内品牌：营销层面包装出的NGFW，实际还是UTM，开启安全功能后的实际性能差，应用识别数量有限；不支持DSVPN功能、智能策略优化功能。,目录,USG6000竞争分析,USG6000产品亮点,USG6000硬件介绍,1,2,3,USG6000应用场景介绍,4,荣誉&成功故事,5,NGFW主要销售场景：下一代园区,1,2,3,4,5,互联网边界防护,广域网纵向安全互联,接入网访问权限管控,核心网访问流量安全管控,数据中心边界防护,全威胁防御，全业务管控，网络与安全最佳融合！,园区中NGFW部署示意,出差员工,路由器,核心交换机,AP,分支/合作伙伴,数据中心,管理区,办公区,办公区,WAN(专网),办公区,DMZ区,互联网接入区,广域网接入区,互联网边界防护,子网/分支安全互联,IPSecVPN,接入网访问安全管控,AP,V-NGFW,USG6680,内部资源（业务区）,外部资源（互联网）,合作资源（外联区）,办公终端,公共终端,移动终端,园区核心交换机,认证前域,TSM服务器,身份账号同步,AD服务器,核心网访问安全管控从内到外,数据中心边界防护,普通业务,重要业务,核心业务,终端接入区,广域接入区,互联网接入区,V-NGFW,园区核心交换机,数据中心,V-NGFW,USG6680,目录,USG6000竞争分析,USG6000产品亮点,USG6000硬件介绍,1,2,3,USG6000应用场景介绍,4,荣誉&成功故事,5,2013中国硬件安全市场领导地位,防火墙市场37.7%,UTM硬件市场25.1%,FW系列,市场份额,华为安全,市场排名,UTM系列,TOP3,TOP3,14.9%,12.3%,市场份额,华为安全,市场排名,2013中国FW/UTM市场排名第一,首个进入GartnerFWMQ的中国厂商,首个进入GartnerFWMQ的中国厂商,Source:GartnerMQforEnterpriseNerworkFirewalls,Source:GartnerMQforunified_Threat_Management,安全SWOT,给予SWOT分析的唯一中国厂商,江湖地位，有口皆碑,【比特网】2013年度CIO信赖优秀产品奖,【网络世界】2013年度下一代防火墙创新产品奖,【计算机世界】2013年度创新产品奖,【IT168】2013年度技术卓越奖,媒体评价，载誉前行,横向测评，一马当先,网络世界横评，综合第一,性能第一,每秒新建第一,吞吐量第一,并发连接第一,No.1,Huawei,Fortinet,WatchGuard,威胁检出率第一,HUAWEI,Fortinet,WatchGuard,4X,1.2X,1.3X,要点：网络隔离网关是“零信任”网络的安全核心21项评判标准中满足