华为USG6000系列下一代防火墙技术主打胶片.pptx
- 文档编号:991499
- 上传时间:2022-10-15
- 格式:PPTX
- 页数:75
- 大小:10.71MB
华为USG6000系列下一代防火墙技术主打胶片.pptx
《华为USG6000系列下一代防火墙技术主打胶片.pptx》由会员分享,可在线阅读,更多相关《华为USG6000系列下一代防火墙技术主打胶片.pptx(75页珍藏版)》请在冰豆网上搜索。
华为USG6000系列下一代防火墙技术主打胶片,ICT&威胁的改变:
推动了安全技术的变革,防火墙:
网络中必不可少的门卫,目前只有不到20%的企业在网络出口部署了下一代防火墙(NGFWs),到2014年底,这个数字将上升到35%,同时有70%的企业在新的边界安全防护采购中会选择下一代防火墙。
Source:
Gartner15April2014MagicQuadrantforEnterpriseNetworkFirewalls,环境的复杂化、应用的多样化和威胁的不断进化推动下一代防火墙的需求。
物理边界模糊化逻辑边界难定义,攻击离散复杂化全球感知难同步,攻击已知变未知潜在威胁难预测,网络应用多样化威胁传播多途径,下一代防火墙正成为市场主打,Source:
HENC2013用户问卷调查,为什么需要NGFW,标准FW功能,IPS一体化,应用感知,APP,智能联动/分析,最低要求,NGFW,大企业环境,场景,基础,功能,为什么要,NGFW,应用管不住:
企业用社交网络办公越来越多,微博微信越发普及,需要针对应用和用户来做管理,而不是IP和端口。
攻击防不住:
攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力性能撑不住:
出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈,NGFW需要不断优化,目录,USG6000竞争分析,USG6000产品亮点,USG6000硬件介绍,3,USG6000应用场景介绍,4,1,2,荣誉&成功故事,5,最精准的访问控制,1,-6维管控,应用识别“多、细、准、快”,“管控能力”的升级,为什么要基于“应用”做访问控制?
端口,应用,现实世界中,应用可能使用任意端口,传统FW无法根据端口识别和控制应用。
NGFW的进步在于更精细的访问控制,最佳使用原则:
基于应用+白名单控制+最小授权,VS.,应用识别业界No.1,应用识别业界第一,覆盖最全面,管控最精细,Huawei,友商C,友商CP,友商P,1181,1600,5000,6000,ALL,P2P,450,422,GAME,321,183,75,62,120,56,ALL,P2P,GAME,ALL,P2P,GAME,ALL,P2P,GAME,WeChat,GreatWisdom,LINE,RapidShare,Freenet,Games,Games,Half-life,语音/文本,语音/文本,上传/下载,浏览/交易,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,友商F,3133,148,ALL,P2P,语音/文本,语音/文本,上传/下载,不支持,GAME,214,应用用于“访问控制”而不是“上网行为管理”,需要识别尽量多的应用。
最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。
典型的FW式管理方式更安全。
白名单模式,黑名单模式,仅识别少量的应用。
无法识别的应用被放行可能带来危害。
“上网行为管理”方式的NGFW,不够安全。
VS,多种技术保障最精确的检测,独家数据驱动语言,引擎免升级识别不中断,“PCREX”,PCREX-可编程的“应用”描述语言,华为PCREX正则表达式变量定义内置函数逻辑计算条件分支关联能力等等,迅雷特征描述片段非常复杂,防混淆防加密,基于应用、内容、时间的管控,网络环境业务环境,应用感知:
基于应用的统计分析和访问控制基于应用的带宽管理,保障关键业务服务质量上网行为管理,提升员工效率内容感知识别真正的文件类型,对文件内容进行检查,防止数据泄露(DLP);对危险的文件类型进行深度防护(AV);时间感知基于时间的应用统计分析发现异常行为,为安全防护提供依据。
例如下班时间频繁问核心区数据。
基于用户、攻击、未知的管控,网络环境业务环境,用户感知:
基于用户的应用统计分析;基于用户的威胁统计分析;基于用户的访问控制、上网行为管理、流量控制;攻击感知:
威胁统计分析,为安全防护提供依据;位置感知:
流量地图:
基于位置的应用统计分析攻击地图:
基于位置的威胁统计分析基于位置的访问控制,“用户”感知:
我知道你是谁,“位置”感知:
我知道你在哪,IP位置,识别粒度:
中国:
地市级别美国:
州级别其他:
国家级别支持根据地址段自定义位置应用场景:
流量地图:
基于位置的流量统计分析报表威胁地图:
基于位置的威胁统计分析报表位置策略:
位置不同,访问权限不同举例:
在公司总部可以访问的数据,在分公司不允许访问,一体化策略:
安全防护一体化,安全能力与应用识别深度融合,6维控制:
应用识别基础上的入侵检测、防病毒应用识别基础上的内容过滤用户不同、位置不同、时间不同,对应的访问权限也不同对放行的高风险应用,进行更深入的安全防护,3500+新威胁识别500万恶意代码8500万URL,30+文件内容识别120+文件类型识别,全面环境感知位置信息库,8种用户认证技术,6000+应用识别,NGFW安全策略:
最简单的策略管理,2,SmartPolicy智能策略管理,传统防火墙(L4),下一代防火墙(L7),NGFW管理,你真的准备好了吗?
管控维度增加1倍四层五元组管控七层应用威胁管控管控粒度精细3-5倍应用识别、IPS、URL等,你需要一名非常非常专业的安全管理员。
下一代防火墙本身具备智能的自动化管理能力,或者,SmartPolicy:
你身边的安全咨询专家,新的分支机构的建立,办公场地迁移,员工加入离职,业务流量发生变化,员工部门调动,对新设备不熟悉.,缺乏足够安全知识,企业流量复杂,策略移植到新设备,缺乏足够优化技能,对策略的生成、调整、消除,都能提供帮助。
即使第一次使用NGFW,在2个页面内,3次点击鼠标即可完成快速部署。
SmartPolicy实现快速部署上线,系统预置安全策略模板,系统预置应用类别和风险组,策略智能优化,流量学习,业务感知,智能分析,优化建议,PolicyA:
*PolicyB:
*PolicyC:
*PolicyD:
*PolicyE:
*,*,基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化分析,最终自动生成策略建议。
最重要的是这一切都是自动进行的。
策略下发,智能优化的管理方法,安全风险自动评估,策略风险分解,安全策略自动调优,安全风险降低,冗余策略分析,策略命中分析,自动帮你找出系统中重复的策略、无用的策略,你可以一键删除,也可以修改调整。
SmartPolicy提供了策略精简的方法,最全面的安全防护,3,功能最全的NGFW,基于云沙箱和信誉防范未知威胁,全面的威胁防护,集成了企业需要的各种防护功能。
一机在手,安全我有。
DLP:
识破伪装,防止泄密,XXXXXX价格XXXXXX身份证:
XXXXXXXX信用卡:
XXXXXXXXXXXXX设计方案XXXXXX,能识别常见文件的真实类型并对内容过滤检查。
即使藏在压缩文件中,或更改扩展名也逃不过NGFW的火眼金睛。
业界领先的Anti-DDoS能力,独家“V-ISA”信誉机制,全面防护DDoS攻击“V-ISA”reputationmechanismtodefenseDDoS,V,I,S,A,I:
基于IP信誉机制的僵尸网络防御,S:
基于会话(Session)信誉的慢速攻击防御,A:
基于行为信誉的应用(App.)攻击防御,V:
支持Virtual化定制,支持虚机保护,Anti-DDOS流量自学习,传统的IPSecVPN工作模式,Spoke-Hub-Spoke网络模型的问题:
Spoke与Hub之间建立VPN隧道,Spoke之间的通信需要通过Hub节点中转,需要进行两次加解封装操作。
在网络中新增Spoke节点时,Hub节点需要新增对应的配置信息,增加维护成本。
DSVPN工作模式,Spoke-Spoke网络模型的优势:
Spoke与Hub之间建立VPN隧道,Spoke之间按需动态建立VPN隧道,Spoke之间的通信在动态建立的VPN隧道内传输,无需通过Hub中转。
采用点到多点的GRE(MultipointGRE)技术,在网络中新增Spoke节点时,由Spoke节点主动向Hub节点注册,无需修改Hub节点的配置。
虚拟化全业务防护:
一台设备当多台用,虚拟系统边界防护:
最大支持1000个虚拟系统的边界防护应用识别、入侵防御、防病毒、URL过滤等安全防护虚拟化资源虚拟化租户独享体验:
不同租户个性化安全管理不同租户个性化QoS管理,最全面的沙箱种类,最全面的沙箱种类有效抵御APT,Huawei,CISCO,CheckPoint,PaloAlto,FireEye,Windows,WEB,Mobile,Sandbox,独家支持手机沙箱,快速识别手机恶意威胁,基于云沙箱技术抵御未知威胁,安全产品品质:
威胁防御能力,安全基础能力,应用识别特征库,IPS签名库,病毒特征库,URL分类库,垃圾邮件列表,文件信誉,IP信誉,Web信誉,邮件信誉,安全知识,安全信誉,设备硬件,设备软件,安全能力:
设备品质的关键,华为NGFW:
自主知识产权的安全能力,国内主流安全厂商中,华为安全技术的自研程度最高;华为在国内的厂商中独家将安全信誉体系用于安全设备,信誉库同样是自研的。
最快速的性能体验,4,IAE一体化识别引擎,最佳的防护性能:
软硬兼施,全万兆防护,单次解析引擎提升软件性能高速的应硬件平台和架构支撑,安全特性全开启的情况下是否还能保持高性能,最高的应用层处理性能(相同FW性能条件下)IPS性能和全威胁防御性能均达到业界顶尖水平,华为USG6650,友商P,友商CP,友商F,友商T,友商H,友商S,FW,应用识别,IPS,全威胁,VPN,20G档FW横向对比,IAE引擎简介,全新的一体化结构,软硬结合的算法,消耗大量计算资源的操作模式匹配(正则表达式)文件解压缩zip,gzip摘要计算(MD5,SHA)加解码加解密,基于流的文件处理,t1,t2,搞定!
USG6000产品和优势介绍,USG6320,USG6330/50/60,USG6650/60/70/80,精准管控,简单管理,高性能全面防护,快速部署:
根据使用场景预置策略模板智能优化:
流量学习,推荐策略调整建议策略精简:
发现冗余和长期不使用的策略,业界最全沙箱技术:
支持文件、Web、手机沙箱云端沙箱运行可以流量,快速发现零日威胁全面信誉体系(文件、Web、IP、邮件):
有效防范APT攻击,并提升性能集成FW、IPS、AV、DLP、VPN、AntiDDoS等全面功能,高性价比地提供安全防护方案最高20G全威胁处理性能,全威胁开启下性能损耗少于50%。
USG6370/80/90,USG6620/30,云,沙箱,信誉,微信,大智慧,LINE,RapidShare,Freenet,Games,Half-life,语音/文本,语音/文本,上传/下载,浏览/交易,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,仅应用,Huawei,友商CP,友商C,友商P,业界最多、最细的应用感知,目录,USG6000竞争分析,USG6000产品亮点,USG6000硬件介绍,1,2,3,USG6000应用场景介绍,4,华为NGFW产品家族,USG6000硬件主机介绍6300/6500系列(千兆产品),USG6320/USG6510-sjj,USG6370/6380/6390/USG6550/USG6570,USG6310,USG6330/6350/6360/USG6530,USG6000硬件主机介绍6600系列(万兆产品),USG6650/USG6660,USG6670/USG6680,USG6620/USG6630,NGFW交换机插卡介绍,NGFW产品硬件概览,性能最高的小盒子产品;可通过长挂耳上机架,USG6320,全系支持硬盘全系支持双电源全系支持万兆口全系支持Bypass卡,USG6300/6500,国内首家下一代防火墙插卡软件功能最全的NGFW插卡,NGFW插卡,目录,USG6000竞争
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 USG6000 系列 下一代 防火墙 技术 主打 胶片
![提示](https://static.bdocx.com/images/bang_tan.gif)