防火墙产品主打胶片介绍(PPT-57页)

华为防火墙产品主打胶片汇报提纲•华为公司存储与安全产品线介绍•华为公司防火墙系列产品介绍•华为公司防火墙产品技术及功能介绍•华为公司安全解决方案介绍•华为公司防火墙应用案例Page32004年基于NP的高端防火墙华为500/1000;承担粤港项目综合安全管理系统研发工作成立安全SDPT参加BT安全项目支持发布华为入侵检测系统NIP通过BS7799国际认证2003年，基于NP的防火墙华为100/200；推出IPSec高速加密卡发布华为i3SAFE安全解决方案2001，推出防火墙插卡2000年•华为启动网络安全产品的研发2005年发布应用系统加固软件SIS,并成功应用到BT项目;发布华为终端管理系统Numen，并成功在多个行业得到应用发布华为安全综合管理系统SIMS发布华为业务监控网关SIG2006年成立存储与网络安全产品线，正式启动大规模进入安全市场;华为公司正式进入网络安全领域在中国的深圳、北京、成都、杭州，美国硅谷和印度的班加罗尔设立了安全研发中心建立了中国首个“网络及应用攻防实验室”已经拥有350名专职安全技术人员，600名专职安全产品开发人员，其中CISP、CISSP、CCIE、HCIE、PMP以及电信业务专家等高端人才103人。具有多种安全服务和集成资质的专业安全服务和集成团队。2002，推出专业病毒防护方案Page4网络安全在华为产品及解决方案体系中的位置UMTSGSM/GPRS/EDGEGSM-T/GSM-RCDMA2000IMSMobileSoftSwitchWLAN/WiMAXNGNDSLAMMSANSwitchingLH/ULHDWDMMetroWDMOCSNG-SDH(ASON)NG-SONETFSOFixedINWirelessINUniversalINMobileDataCDN/SANOSS/BSSDigitalEntertainmentRouterLANSwitchSecurity&VPNGW&ServerWirelessTerminalsUMTShandsetCDMAhandsetCDMAfixedterminalWirelessdatacardWirelessmoduleFixedTerminalsADSLModem/STB…….ASIC和公共平台无线固网光网络业务与软件数通终端网络产品线客户化通信网络解决方案存储及网络安全网络安全l存储专用服务器IP语音集成与软件Page5关注重点：内部威胁实施功能：1、桌面控制2、应用监控3、深度感知4、综合管理问题：不能解决实体欺骗带来的安全风险关注重点：外部攻击实施功能：1、安全分域2、访问控制3、入侵防范4、安全隧道问题：对内部攻击无能为力信息安全纵深防御安全免疫可信增值华为信息安全理念关注重点：实体欺骗实施功能：1、集中认证2、统一授权3、行为审计4、密码保护Page6最佳的信息安全实践贝托华为美国巴西深圳新加坡南非肯尼亚尼日利亚孟加拉国阿尔及利亚埃及沙特阿拉伯乌克兰乌兹别克斯坦印度巴基斯坦尼泊尔泰国哥伦比亚华为技术（总部）津巴布韦俄罗斯秘鲁吉尔吉斯坦哈萨克斯坦突尼斯摩洛哥智利阿根廷菲律宾马来西亚印尼墨西哥西班牙越南法国德国澳大利亚韩国英国•亚洲最大的园区网络，覆盖华为全球8个地区部和32个分支机构。•世界级的数据中心和容灾中心，实现7*24小时连续运作。•2004年7月通过信息安全BS7799国际认证，并被审核员高度评价。Page7完善的专业技术服务体系Page8...安全业务软件...防火墙/VPN安全管理套件SecospaceSuite...网络入侵检测NIP100Eudemon300/500/1000Eudemon8080/8040Eudemon100E/200/200SNIP200NIP1000SVN3000SSLVPNUSG50USG3030/3040资产管理安全接入控制员工行为管理软件分发补丁管理认证服务日志审计终端安全...业务监控网关SIG1000SIG9280安全产品族系列产品汇报提纲•华为公司存储与安全产品线介绍•华为公司防火墙系列产品介绍•华为公司防火墙产品技术•华为公司防火墙产品功能介绍•华为公司安全解决方案介绍•华为公司防火墙应用案例Page10华为安全网关产品系列Eudemon200Eudemon100EEudemon500Eudemon1000小型企业、远程办公中小型企业华为电信级硬件防火墙，从桌面式终端设备到高端千兆级别，以卓越的性能和先进的安全体系架构为网络提供强大的安全保障。Eudemon300中型企业Eudemon200S大中型企业大型企业,运营商大型数据中心USG3040USG3030USG50Eudemon8080Eudemon8040城域网流量清洗Page11华为安全网关产品介绍终端安全网关产品USG50›盒式安全网关设备›提供攻击防范、VPN、NAT功能›多种管理、配置方法（CLI和GUI等）方便管理。›可以方便的使用市电供电。用途›安全接入设施：可以满足企业、办事机构、行业网、SOHO办公用户的VPN接入需求原因›高加密性能，多种加密算法，率先支持国密SCB2算法›支持L2TP/GRE/IPSEC等多种VPN的组网应用›PPPoE拨号与VPN拨号同一化USG50Page12华为安全网关产品介绍中小企业安全网关设备›中小企业级安全设备›专业软、硬件平台›多种管理、配置方法（CLI和GUI等）方便管理。用途›提供安全接入：可以满足企业、办事机构、行业网办公用户的VPN接入需求›防范攻击保障网络安全›地址转换功能原因›高加密性能，多种加密算法，率先支持国密SCB2算法›支持L2TP/GRE/IPSEC等多种VPN的组网应用›提供防火墙功能›丰富的地址转换功能Eudemon100EEudemon200SEudemon200Page13华为安全网关产品介绍中小企业安全网关设备›统一安全保障设备›高端口密度，专业软、硬件平台›多种管理、配置方法（CLI和GUI等）方便管理用途›提供安全接入：可以满足企业、办事机构、行业网用户的VPN接入需求›地址转换功能›防范攻击保障网络安全›为用户网络统一安全保障原因›高加密性能，多种加密算法，率先支持国密SCB2算法›支持L2TP/GRE/IPSEC等多种VPN的组网应用›提供防火墙功能›丰富的地址转换功能›UTM功能USG3030USG3040Page14华为安全网关产品介绍大企业、运营商级安全网关设备›高性能安全设备›专业软、硬件平台›多种管理、配置方法（CLI和GUI等）方便管理。用途›提供安全接入›P2P限流功能›地址转换功能›防范攻击保障IDC等多种大型网络的安全›为用户网络统一安全保障原因›高加密性能，多种加密算法，率先支持国密SCB2算法›支持L2TP/IPSEC等多种VPN的组网应用›提供防火墙功能›丰富的地址转换功能Eudemon300Eudemon500Eudemon1000Page15城域网异常流量清洗设备›高性能安全设备，提供6G-12G网络流量清洗能力›专业软、硬件平台›多种管理、配置方法（CLI和GUI等）方便管理。›与SIG联动实现异常流量清洗用途›IDC出口或城域网异常流量清洗›为用户网络提供安全保障原因›分布式NP技术，保证了设备的高速处理能力，每秒可以处理200万包－400万包攻击流量›侧挂不会对网络造成瓶颈Eudemon8040Eudemon8080华为安全网关产品介绍汇报提纲•华为公司存储与安全产品线介绍•华为公司防火墙系列产品介绍•华为公司防火墙产品技术•华为公司防火墙功能介绍•华为公司安全解决方案介绍•华为公司防火墙应用案例Page17防火墙充分继承了华为高端路由器的高可靠设计优势，将电信级运行环境和大型行业环境的经验移植到安全产品。防火墙高可靠性—电信级的设计风扇模块电源模块1电源模块2•关键器件冗余设计•接口模块和风扇模块热插拔，可现场更换•软件在线热补丁•双机状态热备机制，可支持多种组网方式•Bypass卡功能保证断电，down机，升级等异常情况下业务直通，不受影响路由器交换机华为防火墙Page18领先的平台架构—基于NP和VRP采用专门为防火墙设计的硬件平台›NP（网络处理器）结构可以提供远远高于CPU架构的优异转发性能。›NP的可编程能力可以处理复杂的首包处理等业务，抗攻击性能强，在复杂现网中能够提供可靠的安全保障›NP支持以升级方式提供更丰富的业务，具备ASIC架构难以实现的平滑升级能力采用华为自主知识产权的VRP操作系统，避免通用系统的天然漏洞首包等复杂业务仍然依靠CPU，抗攻击性能差；且过于固化，无法升级CPUASICNPCPU功能灵活，可不断升级，弱点是性能低。NP(网络处理器)－高速处理和灵活性相结合NPPage19防火墙自身架构技术分析优点缺点软件实现各种功能，灵活性和扩展性好性能差抗攻击能力差基于WINDOWS，LINUX等通用操作系统，稳定性差，并存在安全隐患复杂业务处理性能高（ACL、日志，NAT，VPN）NP处理首包能力强，抗攻击能力强灵活性高于ASIC架构灵活性低于CPU架构单纯业务处理性能高支持业务有限，灵活性很差，无法满足快速变化的安全需求采用CPU处理首包，抗攻击能力很差，在实际应用的复杂环境下性能也较差CPU架构ASIC架构NP架构汇报提纲•华为公司存储与安全产品线介绍•华为公司防火墙系列产品介绍•华为公司防火墙产品技术•华为公司防火墙功能介绍•华为公司安全解决方案介绍•华为公司防火墙应用案例Page21灵活的工作模式和组网能力路由模式：各接口具有确定的IP地址，内部和外部网络的设备都可配置到达本防火墙的路由，适合网络初建时，IP地址统一规划有助于全网络管理。›支持多种动态单播路由协议：RIP、OSPF、BGP等。支持多种动态多播IGMP、PIM-DM、PIM-SM等路由协议，支持多播报文的正常转发。支持路由策略、路由迭代等高级路由功能。›支持基于会话流的策略路由与安全特性（如NAT、ASPF）等协同工作的功能›提供一条链路故障时，将流量切换到正常的链路中的负载分担功能。透明模式：各接口不配置IP地址，以透明方式嵌入到内部网络和外部网络之间，内部和外部网络的设备都察觉不到该防火墙的存在。适合网络改造时的组网。›特点一：无需重新规划网络中的IP地址和路由，同时提供的网络安全性的保障。›特点二：业务端口没有IP地址，可使防火墙免受外界入侵。›特点三：能够提供无IP地址情况下的NAT功能。混合模式：某些接口工作在路由模式（接口具有IP地址），某些接口工作在透明模式下（接口无IP地址）。Page22网络隔离－安全区域划分Untrust区域外部网络Internet接口1接口2LANDMZ区域Server接口3LANPC内部网络PCLocal区域Trust区域防火墙提供灵活的安全区域隔离功能，通过系统自带的4个安全区域：信任域、非信任域、DMZ域、本地域（防火墙本身），可以灵活的将网络隔离成不同的部分。所有逻辑接口都可以自由的划分在不同的安全区域中，包括子接口、隧道接口、物理接口等。可自定义16～800个安全区域，满足最复杂的组网要求。DMZPage23ACL包过滤公司总部分支机构采用高效的硬件ACL技术，支持5万规则，规则数目不影响转发性能Internet攻击者上午8：00－下午5：00，只能访问特定的站点；其余时间可以访问其他站点从192.110.10.0/24来的数据包能通过从202.110.10.0/24来的数据包不能通过可以根据五元组信息、ICMP的协议类型(ping、tracert)等各种条件任意组合规则。可以根据VLAN标记定义策略。可以根据时间范围灵活定义规则。可以根据报文优先级(TOS域)灵活进行流分类。华为Page24应用层内容过滤IP报头TCP/UDP报头应