华为防火墙产品介绍及配置报价培训

1、HUAWEI TECHNOLOGIES CO., LTD.内部公开华为防火墙产品介绍及配置报价培训华为防火墙产品介绍及配置报价培训汇报提纲汇报提纲 华为公司存储与安全产品线介绍华为公司存储与安全产品线介绍 华为公司防火墙系列产品介绍华为公司防火墙系列产品介绍 华为公司防火墙产品功能介绍华为公司防火墙产品功能介绍 华为公司防火墙配置报价指导华为公司防火墙配置报价指导 华为公司安全解决方案介绍华为公司安全解决方案介绍HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 2004年l基于NP的高端防火墙华为500/1000;l承担粤港项目综合安全管理系统研

2、发工作l成立安全SDPTl参加BT安全项目支持l发布华为入侵检测系统NIPl通过BS7799国际认证年年年年2003年，l基于NP的防火墙华为100/200；l推出IPSec高速加密卡l发布华为i3SAFE安全解决方案2001年，l推出防火墙插卡2000年l华为启动网络安全产品的研发2005年l发布应用系统加固软件SIS,并成功应用到BT项目;l发布华为终端管理系统Numen，并成功在多个行业得到应用l发布华为安全综合管理系统SIMSl发布华为业务监控网关SIG2006年l成立存储与网络安全产品线，正式启动大规模进入安全市场;华为公司正式进入网络安全领域华为公司正式进入网络安全领域l在中国的深

3、圳、北京、成都、杭州，美国硅谷和印度的班加罗尔设立了安全研发中心l建立了中国首个“网络及应用攻防实验室”l已经拥有350名专职安全技术人员，600名专职安全产品开发人员，其中CISP、CISSP、CCIE、HCIE、PMP以及电信业务专家等高端人才103人。l具有多种安全服务和集成资质的专业安全服务和集成团队。2002年，l推出专业病毒防护方案Page 3HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 网络安全在华为产品及解决方案体系中的位置网络安全在华为产品及解决方案体系中的位置lUMTS lGSM/GPRS/EDGElGSM-T/GSM-R

4、lCDMA2000lIMSlMobile Soft SwitchlWLAN/WiMAXlNGNlDSLAMlMSANlSwitchinglLH/ULH DWDMlMetro WDMlOCSlNG-SDH(ASON)lNG-SONETlFSOlFixed INlWireless INlUniversal INlMobile DatalCDN/SANlOSS/BSSlDigital EntertainmentlRouterlLAN SwitchlSecurity & VPNlGW & ServerlWireless TerminalslUMTS handsetlCDMA handset lCDMA

5、 fixed terminallWireless data cardlWireless modulelFixed TerminalslADSL Modem / STBl.公共平台公共平台无线无线固网固网光网络光网络业务与软件业务与软件数通数通终端终端网络产品线网络产品线客户化通信网络解决方案客户化通信网络解决方案存储及网络存储及网络安全安全l网络安全网络安全l存储存储l专用服务器专用服务器lIP语音语音l集成与软件集成与软件Page 4HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential l 关注重点：内部威胁关注重点：内部威胁l 实施功能：实施功能

6、： 1、桌面控制、桌面控制2、应用监控、应用监控3、深度感知、深度感知4、综合管理、综合管理l问题：问题： 不能解决实体欺骗带来的安不能解决实体欺骗带来的安全风险全风险l 关注重点：关注重点： 外部攻击外部攻击l 实施功能：实施功能：1、安全分域、安全分域2、访问控制、访问控制3、入侵防范、入侵防范4、安全隧道、安全隧道l 问题：问题：对内部攻击无能为力对内部攻击无能为力华为信息安全理念华为信息安全理念l 关注重点：实体欺骗关注重点：实体欺骗l 实施功能：实施功能： 1、集中认证、集中认证2、统一授权、统一授权3、行为审计、行为审计4、密码保护、密码保护Page 5HUAWEI TECHNOL

7、OGIES CO., LTD.Huawei Confidential 安全产品全家福安全产品全家福.安全软件安全软件终端安全管理终端安全管理Secospace TSM.网络入侵检测网络入侵检测NIP100NIP200NIP1000资产管理资产管理安全接入控制安全接入控制软件分发软件分发补丁管理补丁管理安全策略管理安全策略管理.业务监控网关业务监控网关SIG 1000SIG 9280防火墙防火墙/VPNEudemon 300/500/1000Eudemon100E/200/200SEudemon 8080/8040员工行为管理员工行为管理USG 50USG 3000USG 5000Eudemon

8、 8080E/8160E安全审计安全审计安全管理平台安全管理平台Page 6汇报提纲汇报提纲 华为公司存储与安全产品线介绍华为公司存储与安全产品线介绍 华为公司防火墙系列产品介绍华为公司防火墙系列产品介绍 华为公司防火墙产品功能介绍华为公司防火墙产品功能介绍 华为公司防火墙配置报价指导华为公司防火墙配置报价指导 华为公司安全解决方案介绍华为公司安全解决方案介绍HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Eudemon 200Eudemon 100EEudemon 500Eudemon 1000小型企业、远程办公小型企业、远程办公中小型企业中

9、小型企业华为电信级硬件防火墙，从桌面型到千兆高端型设备，以卓越的性能和先进的安华为电信级硬件防火墙，从桌面型到千兆高端型设备，以卓越的性能和先进的安全体系架构为您的网络提供强大的安全保障！全体系架构为您的网络提供强大的安全保障！Eudemon 300Eudemon 200SUSG 3040USG 3030USG 50Eudemon 8080Eudemon 8040城域网流量清洗城域网流量清洗NPNP架构架构全球权威的安全产全球权威的安全产品测试机构品测试机构USG 5320NPNP架构架构NPNP架构架构NPNP架构架构城域网万兆出口城域网万兆出口Eudemon 8080EEudemon 81

10、60EUSG 5330USG 5350USG 5360多核架构多核架构多核架构多核架构多核架构多核架构多核架构多核架构多核架构多核架构多核架构多核架构大中型企业大中型企业中型企业中型企业大型企业大型企业/数据中心数据中心华为安全网关产品系列Page 8HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 华为安全网关产品介绍华为安全网关产品介绍面向中小企业、办事机构、面向中小企业、办事机构、SOHOSOHO用户的百兆桌面级防火墙用户的百兆桌面级防火墙USG50面向大中型企业、机构，功能丰富的千兆级防火墙面向大中型企业、机构，功能丰富的千兆级防火墙US

11、G3030/3040整机最大吞吐量：整机最大吞吐量：100M每秒新建连接数：每秒新建连接数：2000最大并发连接数：最大并发连接数：10万万IPSEC加密能力：加密能力：50M接口数量：接口数量：1WAN口口4LAN口口整机最大吞吐量：整机最大吞吐量：1/1.5G每秒新建连接数：每秒新建连接数：2万万最大并发连接数：最大并发连接数：100万万IPSEC加密能力：加密能力：400/600M接口数量：标配接口数量：标配3/4个光电互斥个光电互斥GE口，口，2个扩展插槽，最大可扩充到个扩展插槽，最大可扩充到7/8个个GE口口Page 9HUAWEI TECHNOLOGIES CO., LTD.Hua

12、wei Confidential 华为安全网关产品介绍华为安全网关产品介绍面向各种企业、机构用户的百兆级防火墙面向各种企业、机构用户的百兆级防火墙Eudemon100E/200SEudemon200整机最大吞吐量：整机最大吞吐量：260/500M每秒新建连接数：每秒新建连接数：1.3/2万万最大并发连接数：最大并发连接数：50万万IPSEC加密能力：加密能力：200M接口数量：接口数量：5个个10/100自适应端口自适应端口基于电信级硬件架构的百兆标准型防火墙基于电信级硬件架构的百兆标准型防火墙整机最大吞吐量：整机最大吞吐量：400M每秒新建连接数：每秒新建连接数：2万万最大并发连接数：最大并

13、发连接数：50万万IPSEC加密能力：加密能力：200M接口数量：标配接口数量：标配2个个10/100自适应端口，自适应端口，4个扩展插槽，支持个扩展插槽，支持2FE、1GE、1GE-SFP、1*E1/CE1;4*E1/CE1、低速硬件加密卡、低速硬件加密卡Page 10HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 华为安全网关产品介绍华为安全网关产品介绍基于电信级硬件架构的千兆线速防火墙基于电信级硬件架构的千兆线速防火墙Eudemon300/500/1000整机最大吞吐量：整机最大吞吐量：1/2/4G每秒新建连接数：每秒新建连接数：10万万

14、最大并发连接数：最大并发连接数：50/100/100万万IPSEC加密能力：加密能力：1G接口数量：接口数量： 3个高速扩展插槽，个高速扩展插槽，1个低速扩展插槽，支持个低速扩展插槽，支持2/4/8FE、2/4/8FE-SFP、1/2GE-SFP、高速硬件加密卡、高速硬件加密卡城域网级流量的万兆线速防火墙城域网级流量的万兆线速防火墙Eudemon8040/8080整机最大吞吐量：整机最大吞吐量：10/20G每秒新建连接数：每秒新建连接数：20/60万万最大并发连接数：最大并发连接数：100/300万万接口数量：接口数量： 4/8个扩展插槽，可支持业务板和接口板个扩展插槽，可支持业务板和接口板插

15、板类型：插板类型：16/32FE、8/16FE-SFP、2GE+8FE-SFP、2GE +16FE-SFP、2/4GE-SFP、4*OC3、2*OC12、1*OC48（固定光接口）（固定光接口）Page 11HUAWEI TECHNOLOGIES CO., LTD.USG5000 产品介绍产品介绍l3232线程并行处理，性能强劲，整机最大吞吐率可达线程并行处理，性能强劲，整机最大吞吐率可达8G8G；l高密度端口配置，最多可支持高密度端口配置，最多可支持8 8个千兆网络接口；个千兆网络接口；l超高每秒新建连接数，抗超高每秒新建连接数，抗DDoSDDoS攻击能力强大；攻击能力强大；l支持端口捆绑，

16、提高关键链路带宽；支持端口捆绑，提高关键链路带宽；l支持支持GTPGTP协议安全防护；协议安全防护；面向大中型企业以及运营网的新一代统一安全网关面向大中型企业以及运营网的新一代统一安全网关2HUAWEI TECHNOLOGIES CO., LTD.3USG5000 产品介绍产品介绍主要特点主要特点: :l所有所有GEGE接口均支持光电互斥，可实现双物理链路互备；接口均支持光电互斥，可实现双物理链路互备；l两个扩展插槽，支持两个扩展插槽，支持2GE2GE、4FE4FE两种接口板；两种接口板；l自动温控风扇，转速、功耗自动调节；自动温控风扇，转速、功耗自动调节；l支持交流、直流两种规格的电源；支持

17、交流、直流两种规格的电源；l支持关键部件故障报警；支持关键部件故障报警；l支持双电源冗余；支持双电源冗余；领先的硬件设计领先的硬件设计E2GERUNE2GESLOT1SLOT2Class 1 laser productSecoway U5000HUAWEIUSG5000USG5000前、后面板视图前、后面板视图HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Slide title :32-35pt Color: R153 G0 B0 Corporate Font : FrutigerNext LT Medium Font to be used

18、by customers and partners : Arial Slide text :20-22pt Bullets level 2-5: 18pt Color:Black Corporate Font : FrutigerNext LT Medium Font to be used by customers and partners : Arial关于光电互斥接口及接口板关于光电互斥接口及接口板两个物理接口在逻辑上实际为一个，使用光口时，两个物理接口在逻辑上实际为一个，使用光口时，电口无法使用，反之亦然，主要是为用户提供灵活电口无法使用，反之亦然，主要是为用户提供灵活的接口选择类型；的

19、接口选择类型；但是但是USG5000系列的系列的combo口口支持光电口互为备份功能，即同时插上光电口，光支持光电口互为备份功能，即同时插上光电口，光口工作，光口因异常断开，电口自动启动工作。口工作，光口因异常断开，电口自动启动工作。4FE插卡插卡2GE插卡插卡Page 14HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Slide title :32-35pt Color: R153 G0 B0 Corporate Font : FrutigerNext LT Medium Font to be used by customers and p

20、artners : Arial Slide text :20-22pt Bullets level 2-5: 18pt Color:Black Corporate Font : FrutigerNext LT Medium Font to be used by customers and partners : ArialPage *15产品简介及定位产品简介及定位主要特点：主要特点：l 关键性能指标，每秒新建连接数业界第一，可以达到关键性能指标，每秒新建连接数业界第一，可以达到150000150000条；最大实测是条；最大实测是2424万。万。l 整机最大小包（整机最大小包（64byt64by

21、t）吞吐率）吞吐率实测实测可达可达2G2G，是前一代产品的，是前一代产品的2 2倍；倍；l 高密度端口配置，高密度端口配置，1U1U机箱，自带机箱，自带4 4个个GEGE光电互斥接口，最多可支持光电互斥接口，最多可支持8 8个个GEGE光电互斥光电互斥接口，业界唯一全千兆光电互斥接口防火墙；接口，业界唯一全千兆光电互斥接口防火墙；l 绿色防火墙，功耗性能比在业界处于领先位置；绿色防火墙，功耗性能比在业界处于领先位置；l 我司目前唯一的一款支持对我司目前唯一的一款支持对GTPGTP协议安全防护的防火墙。协议安全防护的防火墙。 USG5000USG5000系列多功能安全网关是华为公司推出的新一代多

22、功能安全网关系列多功能安全网关是华为公司推出的新一代多功能安全网关产品，主要定位于后续产品，主要定位于后续UTMUTM产品升级，并最终替换现有的产品升级，并最终替换现有的E1000E1000系列产品。系列产品。 USG5000USG5000共推出四款产品：共推出四款产品：USG5320USG5320、 USG5330USG5330、 USG5350USG5350、 USG5360USG5360。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 型号型号USG 5320USG 5330USG 5350USG 5360整机最大吞吐率整机最大吞吐率5G

23、6G7G8G每秒新建连接数每秒新建连接数60K80K100K150K 并发连接数（标准并发连接数（标准/最大）最大） 200/400万万200/400万万400/600万万400/600万万最大最大ACL规则数规则数50K50K50K50K最大虚拟防火墙个数最大虚拟防火墙个数100100100100固定接口固定接口4个个GE光电互斥接口、光电互斥接口、1个个Console口、口、2个个USB口口扩展插槽数量扩展插槽数量2 2个扩展插槽个扩展插槽扩展插卡类型扩展插卡类型4 4FE（10/100M10/100M）模块、）模块、2 2GEGE光电混合接口模块光电混合接口模块外形尺寸外形尺寸(mm)(

24、mm)宽宽深深高高43643656056044.244.2重量重量10kg10kg输入电压输入电压ACAC：100100240V240VDCDC：-48V-48V-60V-60V最大最大/ /平均功率平均功率100/75W100/75W平均无故障间隔时间平均无故障间隔时间（MTBFMTBF）37.5437.54年年产品规格产品规格Page 16汇报提纲汇报提纲 华为公司存储与安全产品线介绍华为公司存储与安全产品线介绍 华为公司防火墙系列产品介绍华为公司防火墙系列产品介绍 华为公司防火墙产品功能介绍华为公司防火墙产品功能介绍 华为公司防火墙配置报价指导华为公司防火墙配置报价指导 华为公司安全解决

25、方案介绍华为公司安全解决方案介绍HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 领先的平台架构领先的平台架构硬件架构硬件架构CPUASICNP集灵活性与高性能于一身l基于基于NPNP核心处理器的核心处理器的EudemonEudemon系列系列NPNP可以提供优异转发性能可以提供优异转发性能NPNP的可编程能力可以处理复杂的首包业务，的可编程能力可以处理复杂的首包业务，抗攻击性能强大，为用户网络提供可靠的安抗攻击性能强大，为用户网络提供可靠的安全保障全保障NPNP支持以升级方式提供更丰富的业务，具备支持以升级方式提供更丰富的业务，具备平滑的业务升

26、级能力平滑的业务升级能力l基于多核处理器的基于多核处理器的USGUSG系列系列多核协同处理，数据处理能力大幅提高多核协同处理，数据处理能力大幅提高采用高度集成技术，内置多个工作处理模块，采用高度集成技术，内置多个工作处理模块，链式处理，大幅提升运算效率链式处理，大幅提升运算效率具有很高的技术融通性，系统可方便的升级具有很高的技术融通性，系统可方便的升级和扩展和扩展性能高，过于固化，无法升级灵活，升级方便，性能低多核处多核处理器理器Page 18HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 防火墙充分继承了华为高端路由器的高可靠设计优势，将电信

27、级运行环境和大型行防火墙充分继承了华为高端路由器的高可靠设计优势，将电信级运行环境和大型行业环境的经验移植到安全产品。业环境的经验移植到安全产品。电信级硬件架构电信级硬件架构风扇模块电源模块1电源模块2关键器件冗余设计：关键器件冗余设计：l软件在线热补丁；软件在线热补丁；l支持光口、电口互斥备份；支持光口、电口互斥备份；l接口模块和风扇模块支持热插拔，可现场更换；接口模块和风扇模块支持热插拔，可现场更换；l支持支持BypassBypass卡功能，保证断电，卡功能，保证断电，downdown机，升级等异常情况下业务直通，不受影响；机，升级等异常情况下业务直通，不受影响；Page 19HUAWEI

28、 TECHNOLOGIES CO., LTD.Huawei Confidential 领先的平台架构领先的平台架构软件架构软件架构l采用华为自主知识产权的采用华为自主知识产权的VRPVRP系统系统1010年开发、商用积累，功能丰富并且年开发、商用积累，功能丰富并且结构稳定；结构稳定；具备良好的网络特性，支持完善的网络具备良好的网络特性，支持完善的网络通讯协议；通讯协议；自有网络操作系统，避免通用系统的漏自有网络操作系统，避免通用系统的漏洞关联性；洞关联性；基于模块化设计，支持可扩展开发，可基于模块化设计，支持可扩展开发，可集成丰富的特性。集成丰富的特性。CORE扩展模块扩展模块1扩展模块扩展模

29、块X用户接口层用户接口层扩扩展展接接口口扩展模块扩展模块2硬件驱动层硬件驱动层VRP系统系统模型模型Page 20HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 机构网络机构网络华为防火墙华为防火墙网络网络A网络网络B网络网络C对不同访问流量进行对不同访问流量进行指纹记录，发现未知指纹记录，发现未知类型的类型的DDos攻击攻击全面的全面的DDOS攻击防范攻击防范攻击指纹识别攻击指纹识别网络网络A：流量非正常，指纹记录：流量非正常，指纹记录网络网络B：流量正常：流量正常网络网络C：流量正常：流量正常1、基准匹配、基准匹配2、提取指纹、提取指纹3、

30、阻止攻击、阻止攻击Page 21HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 全面的全面的DDOS攻击防范攻击防范机构网络机构网络华为防火墙华为防火墙应用系统应用系统僵尸网络僵尸网络正常网络用户正常网络用户僵尸网络僵尸网络在大攻击流量下仍在大攻击流量下仍然可以保障应用系然可以保障应用系统的正常访问带宽统的正常访问带宽攻击流量攻击流量正常访问流量正常访问流量服务器带宽保障服务器带宽保障1、识别攻击、识别攻击2、阻止攻击、阻止攻击3、提供最低保障带宽、提供最低保障带宽Page 22HUAWEI TECHNOLOGIES CO., LTD.Huaw

31、ei Confidential 全面的全面的DDOS攻击防范攻击防范机构网络机构网络华为防火墙华为防火墙应用系统应用系统僵尸网络僵尸网络正常网络用户正常网络用户僵尸网络僵尸网络攻击流量攻击流量正常访问流量正常访问流量多种攻击类型识别多种攻击类型识别1、SYN Flood2、UDP Flood3、ICMP Flood4、DNS Flood5、SMURF6、CC7、Land8、Fraggle9、WinNuke10、ICMP重定向重定向11、僵尸网络僵尸网络僵尸网络僵尸网络僵尸网络僵尸网络UDP FloodSYN FloodICMP FloodCC攻击攻击SMURF Page 23HUAWEI TE

32、CHNOLOGIES CO., LTD.Huawei Confidential 完善的完善的QoSQoS流量监管流量监管机构内网机构内网远程用户远程用户分支机构分支机构DMZ为不同的应用提供不同的带宽保障内网不同的用户组限制不同的访问带宽VPN 隧道不同的外部访问用户提供不同带宽分配防火墙防火墙 流量分类流量分类 流量监控流量监控 流量整形流量整形 拥塞管理拥塞管理 拥塞避免拥塞避免 保障关键应用保障关键应用为用户提供完善的流量带宽控制解决方案，优化用户网络中的流量，合理分配网络带宽。为用户提供完善的流量带宽控制解决方案，优化用户网络中的流量，合理分配网络带宽。Page 24HUAWEI TE

33、CHNOLOGIES CO., LTD.Huawei Confidential EBCFGA丰富的路由特性丰富的路由特性到达网络到达网络E的路的路径可自动优选径可自动优选l支持多种的动态路由协议支持多种的动态路由协议：RIPv1、RIPv2、OSPF、BGP；可为用户提供灵活的组网方式；可为用户提供灵活的组网方式；为用户提供网络级负载和冗余；为用户提供网络级负载和冗余； 用单台设备实现路由和安全两大特性；用单台设备实现路由和安全两大特性；降低用户的组网建设成本。降低用户的组网建设成本。D多条路径可自多条路径可自动负载和备份动负载和备份Page 25HUAWEI TECHNOLOGIES CO.

34、, LTD.Huawei Confidential 丰富的高可用特性丰富的高可用特性双机热备双机热备备用设备备用设备运行设备运行设备Page 26HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 丰富的高可用特性丰富的高可用特性负载均衡负载均衡备用设备备用设备运行设备运行设备Page 27HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 多场景适应多场景适应丰富的高可用特性丰富的高可用特性图图示示防火墙防火墙路由器路由器交换机交换机l完善的组网环境适应性完善的组网环境适应性交换环境双机热备交换环境双

35、机热备路由环境双机热备路由环境双机热备交换、路由混合环境双机热备交换、路由混合环境双机热备l成熟的链路倒换机制成熟的链路倒换机制物理链路触发倒换物理链路触发倒换IP Link三层链路触发倒换三层链路触发倒换主备切换与主备切换与OSPF Cost同步调整同步调整Page 28HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 虚拟防火墙虚拟防火墙VZONEl支持虚拟防火墙特性，最大支持虚拟防火墙特性，最大512个个每个虚拟防火墙均可以独立支持每个虚拟防火墙均可以独立支持TRUST、UNTRUST、DMZ、VZONE和自定义安全域共和自定义安全域共8个

36、安全区域，个安全区域，接口接口(物理接口、物理接口、VLAN、VPN隧道隧道接口接口)灵活划分和分配。灵活划分和分配。系统资源独立分配，提供独立的系统资源独立分配，提供独立的安全业务、安全业务、NAT多实例、多实例、VPN多实多实例特性。例特性。虚拟防火墙独立管理虚拟防火墙独立管理.DMZTrustUser Defined Zone.DMZTrustUser Defined ZonePage 29HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 为为MPLS VPN MPLS VPN 用户提供统一的用户提供统一的 Internet Interne

37、t 访问访问虚拟防火墙虚拟防火墙安全策略、安全策略、NAT NAT 多实例多实例采用不同的采用不同的VLANVLAN子接口子接口对应不同对应不同VPNVPN的方式，的方式，防火墙和防火墙和PEPE设备连接设备连接CEVPN-3VPN-1PEPECECEVPN-1CECE独立地保存不同独立地保存不同NATNAT表、表、ACLACL策略，可以承担不同策略，可以承担不同VPNVPN用户的地址转换服务用户的地址转换服务PEVPN-2MPLS COREVPN-2Page 30HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 对外业务系统对外业务系统财务部门

38、安全域财务部门安全域机构内网机构内网防火墙防火墙内网安全域内网安全域ISP BISP B人事部门安全域人事部门安全域对内业务系统对内业务系统领导部门安全域领导部门安全域ISP AISP A合作伙伴安全域合作伙伴安全域网络隔离网络隔离多多安全区域划分安全区域划分为用户提供高密度的网络接口，进一步细化用户的网络结构，合理降低内网安全风险。为用户提供高密度的网络接口，进一步细化用户的网络结构，合理降低内网安全风险。Page 31HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential VPNVPN功能功能Intranet VPN Intranet VPN 、E

39、xtranet VPNExtranet VPN业务业务l华为防火墙支持采用华为防火墙支持采用IPSEC协议协议(通过通过IKE的验证采用预共享密钥、电子证书等方的验证采用预共享密钥、电子证书等方式对式对IPSEC隧道进行验证隧道进行验证)，提供高可靠，提供高可靠的的 Intranet VPN、Extranet VPN 功能。功能。支持支持MD5，SHA-1，IKE， Preshared KEY，手工配置密钥，手工配置密钥，CA证书等身份认证方式证书等身份认证方式支持支持DES/3DES/AES/国密办国密办(SCB2)加密加密支持支持IPSEC 穿越穿越 NATBranchHeadquarte

40、rPartnerRadiusIPSEC VPNIPSEC VPNPage 32HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential VPNVPN功能功能l华为防火墙通过进行用户验证，根据用户名、密码验证身份，提供可靠、安全的华为防火墙通过进行用户验证，根据用户名、密码验证身份，提供可靠、安全的VPDN接入业务接入业务支持采用支持采用Radius协议统一管理用户，提供双因素验证方式，采用令牌固定口令的方式提协议统一管理用户，提供双因素验证方式，采用令牌固定口令的方式提供高可靠的接入服务。供高可靠的接入服务。支持支持 L2TP over IPSec，保证

41、通信的安全性，保证通信的安全性 支持做支持做 LAC、LNSl使用华为使用华为VPN Client，支持出差员工、合作方的，支持出差员工、合作方的Access VPN接入接入L2TP VPNL2TP VPNL2TP/L2TP+IPSec tunnelLNS FirewallPSTN/ISDN/XDSLLAC(BAS)RadiusRadiusMODEMBranchMODEMBranckBranchHeadquarterLAC FirewallVPN ClientPage 33HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential VPNVPN功能功能l华

42、为防火墙支持通用路由封装协议华为防火墙支持通用路由封装协议(GRE)，支持，支持GRE over IPSec方式组网方式组网Site-to-Site方式用于企业总部与分支机构建立方式用于企业总部与分支机构建立Intranet缩短路由跳数缩短路由跳数支持动态路由的穿透支持动态路由的穿透(e.g. 组播，组播，OSPF) IPSec加密保证隧道数据安全性加密保证隧道数据安全性GRE隧道隧道HeadquarterBranchGRE隧道隧道GRE VPNGRE VPNPage 34HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential CEVPN-3VPN-1

43、PEPECECEVPN-1CECEPEVPN1 分支机构分支机构VPN ClientVPN-2VPN-2IP VPN部分部分(INTERNET)(INTERNET)MPLS VPN部分部分( (内部专网内部专网) )VPNVPN功能功能IP VPNIP VPN和和MPLS VPNMPLS VPN集成集成MPLS CORE可同时开启MPLS和IP两种VPN，并且可实现二者互相访问远程机构可访问专网内相同的部门移动用户可以访问机构内网VPN2 远程用户远程用户Page 35HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 防火墙包过滤防火墙包过滤应用

44、层内容过滤应用层内容过滤l基于基于ASPF (Application Specific Packet Filter)状态检测技术状态检测技术:支持包括支持包括H323/MGCP/SIP/H248/RTSP/HWCC，以及，以及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等多种应用协议的检测能力。等多种应用协议的检测能力。支持对支持对HTTP中的中的 Activex/JAVA Appelt 进行过滤进行过滤丰富的丰富的ASPFASPF功能保证开展业务时安全性得到保证。功能保证开展业务时安全性得到保证。监视多通道业务通信报文监视多通道业务通信报文动态创建过滤规则动态创建过

45、滤规则Page 36HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 被感染主机被感染主机动态黑名单主动防御技术动态黑名单主动防御技术l华为华为防火墙支持智能动态黑名单主动防御技术，通过对报文的行为特征检测，可以实现：防火墙支持智能动态黑名单主动防御技术，通过对报文的行为特征检测，可以实现：防范蠕虫病毒；防范蠕虫病毒；抵御拓扑探测；抵御拓扑探测；假冒假冒IP攻击。攻击。正常用户外部攻击者外部攻击者正常用户正常用户正常用户主要威胁：主要威胁：蠕虫病毒蠕虫病毒拓扑探测拓扑探测外部网络外部网络内部网络内部网络自动记入设备自动记入设备黑名单，阻断黑名单，

46、阻断其访问：其访问：外部攻击者；外部攻击者；被感染主机；被感染主机； 主要威胁：主要威胁：蠕虫病毒蠕虫病毒拓扑探测拓扑探测假冒假冒IPIP正常用户Page 37HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 灵活的工作模式灵活的工作模式网络网络A网络网络B网络网络C/24/24/24网络网络A网络网络B网络网络C/24/24/24网络网络A网络网络C/24/24网络网络B/24路由

47、模式：路由模式：防火墙所有接口都工作在不同网段防火墙所有接口都工作在不同网段透明模式：透明模式：防火墙所有接口都工作在相同网段防火墙所有接口都工作在相同网段混合模式：混合模式：防火墙所有接口都工作在相同网段防火墙所有接口都工作在相同网段Page 38HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential NATNAT功能功能l提供丰富的地址转换功能，满足内网用户访问提供丰富的地址转换功能，满足内网用户访问Internet的需求：的需求：基于接口的基于接口的NAT地址转换地址转换基于地址池的基于地址池的NAT地址转换地址转换基于端口的基于端口的PAT地址

48、转换地址转换地址池最多支持地址池最多支持65,28065,280个地址个地址内网内网NAT/PATNAT/PAT地址转换地址转换Page 39HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential NATNAT功能功能内网用户Eudemon000000S0: S0: 414141:888941:888941:888941:888964.23

49、3.189.10404目的地址目的端口源地址源端口私网地址8041888900048041888801普通NAT目的地址目的端口源地址源端口私网地址804188898889000480418889888901Extended NATlEudemon系列防火墙在转换

50、源端口时参考了报文的五元组，即使源端口相同，依然系列防火墙在转换源端口时参考了报文的五元组，即使源端口相同，依然可以区分应答报文的真实目的地址可以区分应答报文的真实目的地址(私网地址私网地址)实现转换实现转换Extend NATExtend NATPage 40HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential l可以使用访问控制列表可以使用访问控制列表ACLACL来决定哪些用户被允许通过来决定哪些用户被允许通过NATNAT实现实现InternetInternet访问，那访问，那些不被允许。些不被允许。l可以根据时间范围灵活定义可以根据时间范围灵活

51、定义NATNAT规则。规则。NATNAT功能功能PC2PC1Eudemon内网用户设置ACL控制PC1可以通过NAT访问Internet，而PC2则不行。上午8:00到下午5：00不可以访问Internet内网内网策略策略NATNATPage 41HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential NATNAT功能功能lEudemon防火墙可以提供透明模式下的防火墙可以提供透明模式下的NAT提供无提供无IPIP地址情况下的地址情况下的NATNAT功能功能提供对提供对IPIP报文报文NATNAT转换的同时转发转换的同时转发MPLSMPLS报文的功能，

52、保证了在报文的功能，保证了在 MPLSMPLS，动态路由协议等，动态路由协议等复杂组网的情况下方便地提供复杂组网的情况下方便地提供NATNAT转换功能的能力转换功能的能力内网内网5透明模式下的透明模式下的NATNATPage 42HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential NAT功能功能WEB 服务器DMZ01:80FTP 服务器00:2341:23S0: 4000外

53、网用户内网用户41:80lEudemon系列防火墙借助系列防火墙借助NAT提供映射内部服务器功能，提供映射内部服务器功能， 1个公网地址最多支持映射个公网地址最多支持映射256个服务器私网地址个服务器私网地址映射内部服务器映射内部服务器Page 43HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential NATNAT功能功能2001CernetCernetDMZDMZlEudemon系列防火墙借助系列防火

54、墙借助NAT提供映射内部服务器功能，多个公网地址可映射为一提供映射内部服务器功能，多个公网地址可映射为一个服务器私网地址。特别适用于多互连网出口的机构使用，如教育行业的多出口情个服务器私网地址。特别适用于多互连网出口的机构使用，如教育行业的多出口情况况, ,以及具有多出口的企业。以及具有多出口的企业。地址映射地址映射地址映射地址映射多多对一地址映射对一地址映射Page 44HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential DMZDMZ服务器01S0: 41外网用户NATNAT功能功能服务器2服务器310

55、.10.5.1003对外虚拟IP地址：0l提供将用户流量分配到不同的服务器上，解决单台服务器的性能瓶颈问题。提供将用户流量分配到不同的服务器上，解决单台服务器的性能瓶颈问题。服务器负载均衡服务器负载均衡(SLB)(SLB)Page 45HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential EudemonEudemon防火墙优秀的业务支持能力保证了防火墙不会成为网络上的业务瓶颈防火墙优秀的业务支持能力保证了防火墙不会成为网络上的业务瓶颈NATNAT功能功能宽带宽带IPIP网网内网内网19

56、3l支持多媒体支持多媒体/NGN业务：业务：基于基于ASPF (Application Specific Packet Filter)状态检测技术，支状态检测技术，支持丰富的多媒体持丰富的多媒体/NGN协议，支持对多媒体业务的协议，支持对多媒体业务的NAT以及安全防范功能，支持如下以及安全防范功能，支持如下协议：协议：H.323 (包括包括RAS、T.120)SIPMGCPH.248RTSPMMSl其他业务：其他业务：FTP、PPTP、IPSec ESPQQ、MSN、RPC业务穿越支持业务穿越支持(NAT ALG)(NAT ALG)Page 46HUAW

57、EI TECHNOLOGIES CO., LTD.Huawei Confidential DMZDMZ防火墙联动防火墙联动防火墙与入侵检测系统防火墙与入侵检测系统IDSIDS联动示意图联动示意图WEB 服务器FTP 服务器联动信息监听数据流内网内网l支持与专业支持与专业IDS设备：安氏、天龙马、金诺网安、启明星辰、华为设备：安氏、天龙马、金诺网安、启明星辰、华为NIP 联动组网，实联动组网，实现纵深防御，共同提高网络的安全性。现纵深防御，共同提高网络的安全性。IDS设备IDSIDS联动联动Page 47HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidenti

58、al lAgentAgent：客户端代理客户端代理lSACGSACG：安全接入控制网关安全接入控制网关( (防火墙防火墙) )lSPSSPS: : 安全策略服务器安全策略服务器lSRSSRS: : 安全修复服务器安全修复服务器VPN 访问分支机构SRSSRS SPSSPSSACGSACG防病毒服务器域管理服务器安全管理员安全管理员 补丁服务器AgentAgentAgentAgentAgentAgentAgentAgent安全审计员安全审计员 认证前域认证前域AgentAgent防火墙联动防火墙联动内网认证后域内网认证后域SecospaceSecospace联动联动HUAWEI TECHNOLO

59、GIES CO., LTD.Huawei Confidential 防火墙联动防火墙联动内部攻击内部攻击核心网核心网外部攻击外部攻击流量清洗中心流量清洗中心监控中心监控中心智能管理中心智能管理中心城域网城域网接入层接入层SIG 1000 / SIG 9280E8040/E8080TCP attack, UDP attack, ICMP attack, DNS attack, HTTP GET attack, LAND attack, Smurf attack, Fraggle attack, Winnuke attack, Ping of Death attack, and Tear Drop

60、 attack等超过11种的DDoS攻击SIGSIG联动联动Page 49HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential 增强的日志功能增强的日志功能机构内网用户机构内网用户可收集网络中可收集网络中所有通过该设所有通过该设备的日志备的日志日志服务器日志服务器通过二进志日通过二进志日志格式实现高志格式实现高速日志流传输速日志流传输l华为防火墙提供多种与安全相关的增强日志和华为防火墙提供多种与安全相关的增强日志和统计信息，包括：统计信息，包括：NAT日志和日志和ASPF流日志流日志攻击防范日志：记录收到的各种攻击的信息，汇总后攻击防范日志：记录收到